Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cobit Cuestionario
Cobit Cuestionario
Carrión
E.A.P: Ingeniería de Sistemas
Curso: Auditoría
PROFESOR: Ing. Martín Figueroa Revilla
RESULTADOS DEL
CUESTIONARIO DE COBIT
Diagnóstico de la Seguridad de Información y
Análisis de Riesgos
2015
Presentado por:
CUESTIONARIO DE COBIT
pág. 1
Dominio 1: Planear Y Organizar (PO)
PO1: Definir un Plan Estratégico de TI
PO1.1 Administración del Valor de TI
¿Existen inversiones obligatorias, de sustento y
discrecionales que difieren en complejidad y grado
de libertad en cuanto a la asignación de fondos?
PO1.2 Alineación de TI con el Negocio
¿Se encuentran integradas las estrategias de
negocio y de TI, relacionando de manera clara las
metas de la empresa y las metas de TI?
PO1.3 Evaluación del Desempeño y la Capacidad Actual
¿Evalúan el desempeño de los planes existentes y
de los sistemas de información?
pág. 2
¿Tienen implementado procedimientos que
garanticen la integridad de la información dentro de
La empresa Agraria Azucarera Andahuasi?
pág. 3
¿Se encuentra establecida una estructura
organizacional de TI interna y externa que refleje las
necesidades del negocio?
PO4.6 Establecimiento de Roles y Responsabilidades
¿Están definidos los roles y las responsabilidades
para el personal de TI y los usuarios que delimiten
la autoridad entre el personal de TI y los usuarios
finales?
PO4.7 Responsabilidad de Aseguramiento de Calidad de TI
¿Existen Asignados las responsabilidades para el
desempeño de la función de aseguramiento de
calidad (QA)?
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
¿Están Establecido la propiedad y la
responsabilidad de los riesgos relacionados con TI
a un nivel superior apropiado?
PO4.9 Propiedad de Datos y de Sistemas
¿Proporcionan al negocio los procedimientos y
herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos?
PO4.10 Supervisión
¿Implementan prácticas adecuadas de supervisión
dentro de la función de TI para garantizar que los
roles y las responsabilidades se ejerzan de forma
apropiada?
PO4.11 Segregación de Funciones
¿Han Implementado una división de roles y
responsabilidades que reduzca la posibilidad de
que un solo individuo afecte negativamente un
proceso crítico?
PO4.12 Personal de TI
¿Evalúan los requerimientos de personal de forma
regular o cuando existan cambios importantes en el
ambiente de negocios?
PO4.13 Personal Clave de TI
¿Está definido el personal clave de TI para
minimizar la dependencia en un solo individuo
desempeñando una función de trabajo crítica?
PO4.14 Políticas y Procedimientos para Personal Contratado
¿Cómo aseguraran que los consultores y el
personal contratado que soporta la función de TI
cumplan con las políticas organizacionales de
pág. 4
protección de los activos de información de la
empresa?
PO4.15 Relaciones
¿Establecen y mantienen una estructura óptima de
enlace, comunicación y coordinación entre la
función de TI y otros interesados dentro y fuera de
la función de TI?
PO5 Administrar la Inversión en TI
PO5.1 Marco de Trabajo para la Administración Financiera
¿Está establecido un marco de trabajo financiero
para administrar las inversiones y el costo de los
activos y servicios de TI?
PO5.2 Prioridades Dentro del Presupuesto de TI
¿Tienen implementado un proceso de toma de
decisiones para dar prioridades a la asignación de
recursos a TI para operaciones, proyectos y
mantenimiento?
PO5.3 Proceso Presupuestal
¿Tienen Establecido un proceso para elaborar y
administrar un presupuesto que refleje las
prioridades establecidas en el portafolio
empresarial de programas de inversión en TI?
PO5.4 Administración de Costos de TI
¿Tienen Implementado un proceso de
administración de costos que compare los costos
reales con los presupuestados?
PO5.5 Administración de Beneficios
¿Han Implementado un proceso de monitoreo de
beneficios?
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6.1 Ambiente de Políticas y de Control
¿Están bien definidos los elementos de un
ambiente de control para TI, alineados con la
filosofía administrativa y el estilo operativo de La
empresa Agraria Azucarera Andahuasi?
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
¿Cómo está elaborar el marco de trabajo que
establece el enfoque empresarial general hacia los
riesgos y el control que se alinee con la política de
T?
PO6.3 Administración de Políticas para TI
¿Tienen elaborado un conjunto de políticas que
apoyen la estrategia de TI?
pág. 5
PO6.4 Implantación de Políticas de TI
¿Cómo aseguran de que las políticas de TI se
implantan y se comuniquen a todo el personal
relevante?
PO6.5 Comunicación de los Objetivos y la Dirección de TI
¿Cómo aseguran de que la conciencia y el
entendimiento de los objetivos y la dirección del
negocio y de TI se comunican a los interesados es
apropiado?
pág. 6
¿Toman medidas preventivas respecto a los
cambios en los puestos, en especial las
terminaciones de los contratos del personal dentro
de La empresa Agraria Azucarera Andahuasi?
P08. Administrar la Calidad.
PO8.1 Sistema de Administración de Calidad
¿Existe un sistema de administración de calidad
que proporcione un estándar que este alineado con
los requerimientos del negocio?
PO8.2 Estándares y Prácticas de Calidad
¿Existen la presencia de estándares o buenas
prácticas para los procesos de TI?
pág. 7
¿Se ha desarrollado un proceso de respuesta ante
los riesgos que se tienen identificados para poder
mitigar los niveles de tolerancia de riesgos?
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
¿Si ha creado un plan de riesgos este se le realiza
un mantenimiento o monitoreo?
pág. 8
¿Existe un control de cambios?
pág. 10
¿Está documentado los aspectos técnicos de cada
TI?
pág. 11
¿La empresa Agraria Azucarera Andahuasi luego
de implementar las aplicaciones, se evalúa y mide
el impacto en los usuarios?
AI6.3 Cambios de Emergencia
¿La empresa Agraria Azucarera Andahuasi lleva a
cabo cambios de emergencia con los procesos que
no siguen lo establecido?
AI6.4 Seguimiento y Reporte del Estatus de Cambio
¿La empresa Agraria Azucarera Andahuasi realiza
seguimiento y reporte de todos los cambios en las
aplicaciones?
pág. 12
¿Los resultados de los procesos de pruebas son
evaluados por el dueño del proceso de negocio y
los interesados, de acuerdo a lo establecido en el
plan de pruebas?
AI7.8 Promoción a Producción
¿La empresa Agraria Azucarera Andahuasi
controla la entrega de los sistemas cambiados a
operaciones, de acuerdo a lo establecido en el plan
de implantación?
AI7.9 Revisión Posterior a la Implantación
¿La empresa Agraria Azucarera Andahuasi
establece procedimientos en línea con los
estándares de gestión de cambios
organizacionales?
Dominio 03: Entregar y dar Soporte (DS)
DS1 Definir administrar los niveles de servicio
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio
¿Actualmente La empresa Agraria Azucarera
Andahuasi cuenta un marco de trabajo formal de
administración de niveles de servicio entre cliente y
el prestador de servicio?
DS1.2 Definición de Servicios
¿La empresa Agraria Azucarera Andahuasi tiene
definido sus servicios de TI y estas se encuentran
almacenadas de manera centralizada por medio de
catálogo o portafolio de servicios?
DS1.3 Acuerdos de Niveles de Servicio
¿La empresa Agraria Azucarera Andahuasi define
y acuerda convenios de niveles de servicio para
todos los procesos críticos de TI?
DS1.4 Acuerdos de Niveles Operación
¿Los acuerdos de niveles de operación explican la
forma en que se va a entregar de los servicios?
pág. 13
tiene categorizados de acuerdo al tipo de
proveedor, significado y criticidad?
DS2.2 Gestión de Relaciones con Proveedores
¿Se tiene formalizado el proceso de gestión de
relaciones con los proveedores?
pág. 14
DS4.2 Planes de Continuidad de TI
¿La empresa Agraria Azucarera Andahuasi cuenta
con planes de continuidad de TI basados en el
marco de trabajo y que consideren los
requerimientos de resistencia, procesamiento
alternativo y capacidad de recuperación de todos
los servicios críticos de TI?
DS4.3 Recursos Críticos de TI
¿La empresa Agraria Azucarera Andahuasi pone
énfasis en los puntos más críticos del plan de
continuidad de TI y la alineación de estas al
negocio?
DS4.4 Mantenimiento del Plan de Continuidad de TI
¿La gerencia de TI de La empresa Agraria
Azucarera Andahuasi tiene definido y actualmente
ejecutando los procedimientos de control de
cambios?
DS4.5 Pruebas del Plan de Continuidad de TI
¿Se realizan pruebas al plan de continuidad de TI
de forma constante en La empresa Agraria
Azucarera Andahuasi?
DS4.6 Entrenamiento del Plan de Continuidad de TI
¿Las partes involucradas en el plan de continuidad
de TI reciben sesiones de habilitación de forma
constante respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre?
DS4.7 Distribución del Plan Continuidad de TI
¿Actualmente en La empresa Agraria Azucarera
Andahuasi existe una estrategia de distribución
definida para asegurar que los planes se
distribuyan de manera apropiada y segura y que
estén siempre disponibles cuando se requiera?
DS4.8 Recuperación y Reanudación de los Servicios de TI
¿Durante el período de recuperación de TI, se
tienen activados sitios de respaldo, se realizan
procesamientos alternativos, se les comunica a los
cliente o terceros o se realizan procedimientos de
reanudación?
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
¿Se tienen almacenados fuera de las instalaciones,
los medios de respaldo, documentación y otros
recursos de TI críticos, necesarios para la
recuperación de TI y planes de continuidad del
negocio?
DS4.10 Revisión Post Reanudación
¿La Gerencia de TI ha establecido procedimientos
para valorar lo adecuado del plan y actualizar el
plan si así lo requiere?
DS5 Garantizar la seguridad de los sistemas
pág. 15
DS5.1. Administración de la Seguridad de TI
¿La empresa Agraria Azucarera Andahuasi
administra la seguridad de TI?
pág. 16
se toman actualmente para proteger el flujo de
información en la misma?
DS6.2. Contabilización de TI
¿La asignación de costos de TI se realiza tomando
en cuenta la relación que tienen estos con los
servicios TI y en base a un modelo de costos
establecido?
pág. 17
¿Se realizan la planificación y actualización
periódica de programas de entrenamiento al
personal con la finalidad de lograr que cumplan con
los objetivos del negocio y a la vez sean
capacitados en el uso de TI?
pág. 18
como su relación con los elementos relacionados
con los mismos?
DS11.4. Eliminación
¿Existen procedimientos de eliminación,
transferencias de datos y/o hardware que sirvan
para la protección de datos sensibles?
pág. 19
DS12 Administrar el ambiente físico
DS12.1. Selección y Diseño del Centro de Datos
¿Existe un centro de datos que tome en cuenta el
riesgo asociado con desastres naturales y
causados por el hombre?
pág. 20
ME1.1. Enfoque del Monitoreo
¿Existe en La empresa Agraria Azucarera
Andahuasi un marco de trabajo que le permita
monitorear la contribución de TI al negocio?
pág. 21
¿Existe un programa de continuo de auto-evolución
que evalué la completitud y efectividad de los
controles de gerencia sobre los procesos, políticas
y contratos de TI?
ME2.5. Aseguramiento del Control Interno
¿Existe una revisión de terceros de los controles
internos?
pág. 22
gobierno corporativo que asegure el cumplimiento
leyes y regulaciones?
pág. 23