Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ups GT000307 PDF
Ups GT000307 PDF
FACULTAD DE INGENIERÍAS
CARRERA:
INGENIERÍA EN SISTEMAS
Tema:
Diagnóstico para la Implantación de COBIT en una
Empresa de Producción
Área Piloto: Departamento de Sistemas
Tesistas:
Martha Elizabeth de la Torre Morales
Ingrid Kathyuska Giraldo Martínez
Carmen Azucena Villalta Gómez
Director:
Ing. Bertha Alice Naranjo Sánchez, MSC
Septiembre 2012
DECLARACIÓN
__________________________________
______________________________
_____________________________
2
AGRADECIMIENTO Y DEDICATORIA
3
AGRADECIMIENTO Y DEDICATORIA
Principalmente a Dios.
4
AGRADECIMIENTO Y DEDICATORIA
MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de
bien.
MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.
A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga
5
CERTIFICADO
Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martínez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gómez; bajo mi dirección.
-----------------------------------------------
DIRECTORA DE TESIS
6
ÍNDICE
CAPÍTULO 1 18
CAPÍTULO 2 23
7
CAPÍTULO 3 80
CAPITULO 4 86
8
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO 120
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS
DE CONTROL 127
4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS
DE CONTROL DE MENOR CUMPLIMIENTO 172
4.1.3 EVALUACIÓN DE RIESGOS DE TI 174
4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS
OBJETIVOS DE CONTROL CRÍTICOS 180
CONCLUSIONES y RECOMENDACIONES 188
BIBLIOGRAFÍA 211
9
ÍNDICE DE ILUSTRACIONES
10
ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO
AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47
11
ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO
DS10 – ADMINISTRAR LOS PROBLEMAS ......................................................... 63
12
ÍNDICE DE TABLAS
13
ÍNDICE DE GRÁFICOS
14
GRÁFICO 17: OBJETIVOS DE CONTROL DEL PROCESO
AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140
15
GRÁFICO 33: OBJETIVOS DE CONTROL DEL PROCESO
DS10 – ADMINISTRAR LOS PROBLEMAS ....................................................... 162
16
ANEXOS
17
CAPÍTULO 1
19
1.2 OBJETIVOS
1.3 ALCANCE
VARIABLES INDICADORES
Dependiente Control
Mejorar procesos Políticas
Análisis de Riesgos
21
1.5 MATRIZ CAUSA – EFECTO
Se identifica el problema, las causas y las soluciones viables que se deberían aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.
22
CAPÍTULO 2
DEFINICIÓN DE COBIT
COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos
de los negocios mediante la dirección y control adecuado de las TI, sin embargo la
aplicación de COBIT se debería de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnología de la información. COBIT está
involucrado en reflejar las principales directrices jerárquicas que permitan el control
de la tecnología de información aplicada en la empresa.
23
ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
Para la realización de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificación por dominio, procesos y objetivos de control servirá de guía en la
ejecución del diagnóstico de este proyecto.
24
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO1.1 - Administración del Valor de TI
PO1.2 - Alineación de TI con el Negocio
PO1.3 - Evaluación del Desempeño y la Capacidad
PO1 - Definir un Plan Estratégico Actual
de TI
PO1.4 - Plan Estratégico de TI
PO1.5 - Planes Tácticos de TI
PO1.6 - Administración del Portafolio de TI
PO2.1 - Modelo de Arquitectura de Información
Empresarial
PO2 - Definir la Arquitectura de la PO2.2 - Diccionario de Datos Empresarial y Reglas de
Información Sintaxis de Datos
PO2.3 - Esquema de Clasificación de Datos
PO2.4 - Administración de Integridad
PO3.1 - Planeación de la Dirección Tecnológica
PO3.2 - Plan de Infraestructura Tecnológica
PO3 - Determinar la Dirección PO3.3 - Monitoreo de Tendencias y Regulaciones
PLANEAR Y ORGANIZAR
Tecnológica Futuras
PO3.4 - Estándares Tecnológicos
PO3.5 - Consejo de Arquitectura de TI
PO4.1 - Marco de Trabajo de Procesos de TI
PO4.2 - Comité Estratégico de TI
PO4.3 - Comité Directivo de TI
PO4.4 - Ubicación Organizacional de la Función de TI
PO4.5 - Estructura Organizacional
PO4.6 - Establecimiento de Roles y Responsabilidades
PO4.7 - Responsabilidad de Aseguramiento de Calidad
de TI
PO4 - Definir los Procesos, PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad
Organización y Relaciones de TI y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.10 - Supervisión
PO4.11 - Segregación de Funciones
PO4.12 - Personal de TI
PO4.13 - Personal Clave de TI
PO4.14 - Políticas y Procedimientos para Personal
Contratado
PO4.15 - Relaciones
PO5.1 - Marco de Trabajo para la Administración
Financiera
PO5 - Administrar la Inversión en PO5.2 - Prioridades dentro del Presupuesto de TI
TI PO5.3 - Proceso Presupuestal
PO5.4 - Administración de Costos de TI
PO5.5 - Administración de Beneficios
25
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO6.1 - Ambiente de Políticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6 - Comunicar las Aspiraciones y
PO6.3 - Administración de Políticas para TI
la Dirección de la Gerencia
PO6.4 - Implantación de Políticas de TI
PO6.5 - Comunicación de los Objetivos y la Dirección de
TI
PO7.1 - Reclutamiento y Retención del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignación de Roles
PO7 - Administrar Recursos PO7.4 - Entrenamiento del Personal de TI
Humanos de TI PO7.5 - Dependencia Sobre los Individuos
PLANEAR Y ORGANIZAR
26
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
AI1.1 - Definición y Mantenimiento de los Requerimientos
Técnicos y Funcionales del Negocio
AI1.2 - Reporte de Análisis de Riesgos
AI1 - Identificar soluciones
AI1.3 - Estudio de Factibilidad y Formulación de Cursos
automatizadas
de Acción Alternativos.
AI1.4 - Requerimientos, Decisión de Factibilidad y
Aprobación
AI2.1 - Diseño de Alto Nivel
AI2.2 - Diseño Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuración e Implantación de Software
Aplicativo Adquirido
AI2 - Adquirir y mantener software
AI2.6 - Actualizaciones Importantes en Sistemas
aplicativo
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administración de los Requerimientos de
Aplicaciones
ADQUIRIR E IMPLEMENTAR
27
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
DS1.1 - Marco de Trabajo de la Administración de los
Niveles de Servicio
DS1.2 - Definición de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1 – Definir y administrar los
niveles de servicio DS1.4 - Acuerdos de Niveles de Operación
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2.1 - Identificación de Todas las Relaciones con
Proveedores
DS2 – Administrar los servicios de DS2.2 - Gestión de Relaciones con Proveedores
terceros
DS2.3 - Administración de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeño del Proveedor
DS3.1 - Planeación del Desempeño y la Capacidad
DS3.2 - Capacidad y Desempeño Actual
DS3 – Administrar el desempeño y la
DS3.3 - Capacidad y Desempeño Futuros
ENTREGAR Y DAR SOPORTE
capacidad
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4.1 - Marco de Trabajo de Continuidad de TI
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Críticos de TI
DS4.4 - Mantenimiento del Plan de Continuidad de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4 – Garantizar la continuidad del DS4.6 - Entrenamiento del Plan de Continuidad de TI
servicio
DS4.7 - Distribución del Plan de Continuidad de TI
DS4.8 - Recuperación y Reanudación de los Servicios de
TI
DS4.9 - Almacenamiento de Respaldos Fuera de las
Instalaciones
DS4.10 - Revisión Post Reanudación.
DS5.1 - Administración de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administración de Identidad
DS5.4 - Administración de Cuentas del Usuario
DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 - Definición de Incidente de Seguridad
DS5 – Garantizar la seguridad de los
sistemas DS5.7 - Protección de la Tecnología de Seguridad
DS5.8 - Administración de Llaves Criptográficas
DS5.9 - Prevención, Detección y Corrección de Software
Malicioso
DS5.10 - Seguridad de la Red
DS5.11 - Intercambio de Datos Sensitivos
28
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
DS6.1 - Definición de Servicios
DS6.2 - Contabilización de TI
DS6 – Identificar y asignar costos
DS6.3 - Modelación de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7.1 - Identificación de Necesidades de Entrenamiento y
Educación
DS7 – Educar y entrenar a usuarios DS7.2 - Impartición de Entrenamiento y Educación
DS7.3 - Evaluación del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes
DS8 – Administrar la mesa de
DS8.3 - Escalamiento de Incidentes
servicio y los incidentes
DS8.4 - Cierre de Incidentes
DS8.5 - Análisis de Tendencias
DS9.1 - Repositorio y Línea Base de Configuración
DS9.2 - Identificación y Mantenimiento de Elementos de
ENTREGAR Y DAR SOPORTE
29
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
Planear Y Adquirir e
Organizar Implementar
Entregar y Monitorear y
Dar Soporte Evaluar
31
El dominio planear y organizar está compuesto de 10 procesos que se detallan en la
ilustración siguiente:
PO5
PO1 Definir un Plan
Administrar la
Estratégico de TI
Inversión en TI
PO4
Definir los
Procesos, PO8 Administrar la
Organización y Calidad
Relaciones de TI
PO9
Evaluar y
Administrar los
riesgos de TI
PO10
Administrar
Proyectos
32
PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI
33
PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
34
quienes conforman las actividades de la TI en su completa y extensa calidad en la
empresa.
35
sistemáticos y además permitan planificar de forma eficaz las tendencias y
regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo
y la evaluación de sistemas aplicativos así como recursos y capacidades que permitan
aprovechar las oportunidades tecnológicas.
36
ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
37
PROCESO PO5 - ADMINISTRAR LA INVERSIÓN EN TI
COBIT indica que el proceso debe: “Establecer y mantener un marco de trabajo para
administrar los programas de inversión en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administración
contra ese presupuesto”. (IT Governance Institute, COBIT 4.1, Pág.47, 2007)
Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas
áreas, sin embargo la inversión consiste en medir el esfuerzo, la eficiencia y
optimizar los recursos con una adecuada gestión financiera, que permita difundir
habilidades de comunicación integradoras para la correcta consecución de beneficios.
El manejo adecuado y garantizado del proceso implica cambios sustanciales que
garanticen beneficios y nuevos objetivos trazados.
38
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN
DE LA GERENCIA
Lo que menciona COBIT para este proceso es: “La dirección debe elaborar un marco
de trabajo de control empresarial para TI, y definir y comunicar las políticas. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes”. (IT
Governance Institute, COBIT 4.1, Pág.51, 2007)
41
ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO
PO8 - ADMINISTRAR LA CALIDAD
42
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
“Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes”. (IT Governance Institute, COBIT 4.1, Pág.12, 2007)
AI4 Facilitar la
operación y el
uso
AI7 Instalar y
AI6 acreditar
AI5 Adquirir
Administrar soluciones y
recursos de TI
cambios cambios
46
PROCESO AI2 – ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
48
PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO
49
PROCESO AI5 – ADQUIRIR RECURSOS DE TI
50
PROCESO AI6 – ADMINISTRAR CAMBIOS
Según COBIT:
Los objetivos de control de este proceso permiten seguir los pasos secuenciales para
la adecuada administración de cambios definiendo y comunicando oportunamente los
procedimientos a cumplir para realizarlos. El monitoreo y evaluación de los cambios
minimiza errores e interrupciones y agrega valor a la información garantizando que
TI sea un factor que hace posible un incremento en la productividad y crea nuevas
oportunidades de negocio para la organización.
51
PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e instrucciones de migración,
planear la liberación y la transición en sí al ambiente de producción, y revisar
la post-implantación. Esto garantiza que los sistemas operativos estén en línea
con las expectativas convenidas y con los resultados. (IT Governance
Institute, COBIT 4.1, Pág.97, 2007)
Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y
cambios, se detallan en la siguiente ilustración.
52
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)
DS5 DS4
Garantizar la Garantizar la
seguridad de continuidad
los sistemas del servicio
DS8
DS7 Educar y Administrar la
DS6 entrenar a los Mesa de
Identificar y usuarios servicio y los
asignar incidentes
costos
DS10
DS9
Administrar los
Administrar la
Problemas
configuración
DS12 DS13
DS11
Administrar el Administrar
Administrar
ambiente las
los datos
físico operaciones
53
PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO
55
PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
56
PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Generar un marco de trabajo óptimo que incluya planes de continuidad que considere
entre otras cosas la estructura organizacional, roles y responsabilidades,
identificación de recursos críticos, etc. Considerar el mantenimiento, prueba,
entrenamiento y distribución de los planes de continuidad asegura la recuperación y
reanudación de los servicios de TI con un impacto mínimo. Los objetivos de control
también contemplan una revisión posterior a la reanudación de las funciones de TI
validando la efectividad de los planes de continuidad.
57
PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad
del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de
negocio, riesgos y cumplimiento. Implementar mecanismos de autenticación para
usuarios de las TI, y los permisos de accesos a información crítica y sensible debe
contar con la debida aprobación. El monitoreo y las pruebas periódicas garantizan
que se mantiene el nivel de seguridad aprobado.
58
PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS
59
PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
60
PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES
Con estos objetivos de control se puede conformar una mesa de servicio bien
diseñada que atienda en forma oportuna y efectiva los requerimientos y problemas de
los usuarios. Establecer procedimientos para el monitoreo y escalamientos de
incidentes, priorizando la resolución de los más críticos corresponde a una adecuada
administración de la mesa de servicio que permite mantener un control apropiado
sobre los incidentes e identificar las tendencias de problemas recurrentes para
mejorar el servicio de manera continua.
61
PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN
62
PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS
64
PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO
“Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y cumplimiento en cuanto a los requerimientos de control”. (IT
Governance Institute, COBIT 4.1, Pág.13, 2007)
ME1
Monitorear y
Evaluar el
Desempeño
de TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME3
Garantizar el
Cumplimiento
Regulatorio
ME4
Proporcionar
Gobierno de
TI
TI
67
PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
70
PROCESO M4 - PROPORCIONAR GOBIERNO DE TI
71
2.1.1.2 MISIÓN DE COBIT
Por medio de la siguiente ilustración se indica las áreas de enfoque del Gobierno de
TI dentro de la organización.
72
ALINEACIÓN ESTRATÉGICA
ENTREGA DE VALOR
“Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrándose en optimizar los
costos y en brindar el valor intrínseco de la TI”. (IT Governance Institute, COBIT
4.1, Pág.6, 2007)
73
lograr las metas medibles más allá del registro convencional”. (IT Governance
Institute, COBIT 4.1, Pág.6, 2007)
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento y
Confiabilidad
Los siete criterios de información que permiten satisfacer los objetivos del negocio
se muestran en la ilustración siguiente:
CRITERIOS DE INFORMACIÓN
74
Efectividad:
Eficiencia:
Confidencialidad:
Integridad:
Disponibilidad:
Cumplimiento:
75
Confiabilidad:
2.1.1.2.3 RECURSOS DE TI
TI
APLICACIONES
Información
Infraestructura
PERSONAS
Información para la
Gestión correcta en
la organizacion
Aplicaciones:
Se relaciona a los sistemas automatizados así como los procedimientos manuales que
procesan información.
76
Información:
Consiste en los datos generados por los sistemas de información y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Personas:
2 - Repetible pero intuitivo: “Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes áreas que realizan la misma tarea.
No hay entrenamiento o comunicación formal de los procedimientos estándar, y se
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
77
conocimiento de los individuos y, por lo tanto, los errores son muy probables”. (IT
Governance Institute, COBIT 4.1, Pág.19, 2007)
78
c) El objetivo de la empresa para mejorar - Dónde la empresa quiere estar.
Con este modelo de madurez es más sencillo establecer que parámetros se cumplen
y cuáles no. Así mismo definir para el cumplimiento, cómo se lo está haciendo.
79
CAPÍTULO 3
80
3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE
INFORMACIÓN
3. Entrevistas.
81
3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS
82
El método se desarrolló de la siguiente manera:
Según (Talancón, 2006) se define que: “El análisis FODA consiste en realizar una
evaluación de los factores fuertes y débiles que en su conjunto diagnostican la
situación interna de una organización, así como su evaluación externa”
Las evaluaciones deben estar enfocadas en los factores relevantes para el éxito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastándolas
con las oportunidades y amenazas que son externas.
83
A continuación se detalla en la ilustración la aplicación del análisis Foda en una
organización.
La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder
elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los
procesos en base a los avances sistemáticos de la organización.
Estrategias FO FA DO DA
84
Estrategia FA. Disminuye al mínimo la situación de los factores externos que se
presentan como amenazas, aprovechando las fortalezas con la que la organización
cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de
una forma tan directa, ya que a veces puede resultar más problemático para la
institución.
Estrategia DA. Consiste en aplicar estrategias muy bien diseñadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organización.
85
CAPITULO 4
4.1.1.1 HISTORIA
86
El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificación ISO
9001: 2000 al Sistema de Gestión de Calidad. A todos estos logros alcanzados por la
empresa se suma la mano de obra calificada, técnica y tecnología adecuada, manejo
de los recursos residuales, que transforman a la empresa en la primera industria
siderúrgica en el Ecuador con Certificación Internacional a la Calidad.
• Armaduras Conformadas
• Alambre Trefilado
• Varillas Soldables
• Ángulos
• Alambrón
• Alambre Grafilado
• Mallas Electro Soldadas
• Barras Cuadradas
87
a) Capacitación a los maestros de obra, a fin de explicar las ventajas de los
productos.
b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada
año, para exponer las potencialidades de los productos.
c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de
Ingenieros, de Arquitectos, etc.
d) Visitas de los estudiantes de colegios técnicos y universidades del país a
la planta industrial de Acería y Laminación en la empresa EP con el
objetivo de reforzar su formación académica.
88
4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP
Fuente: EMPRESA EP
89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP
Estos tienen a su cargo tareas específicas, las cuales se ejecutan en coordinación con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.
Fuente: EMPRESA EP
90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE
INFORMACIÓN EN LA EMPRESA EP
Fuente: EMPRESA EP
91
4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE
INFORMACIÓN
AMENAZAS FA DA
1.- Competencia Nacional 1.1. Mantener y difundir buena imagen 1.1. Tomar contactos técnicos en el exterior
2.- Crecimiento de Importaciones corporativa. 2.2. Evitar Organizaciones Sindicales
3.- Inestabilidad Socio-económical del País 2.2. Mantener Certificación ISO 9002 3.3. Análisis de competencia
4.- Alto Costo de energía eléctrica 3.3. Aprovechar coyuntura con FF.AA.
4.4. Proyecto de ahorro energía eléctrica
OPORTUNIDADES FO DO
1.- Posibilidad de exportar 1.1. Preparación para globalización del 1.1. Acuerdos con empresas del exterior que
2.- Apertura a la inversión Nacional e mercado. provean productos afines a la construccion
Internacional 2.2. Aprovechar ubicación geográfica 2.2. Apoyar a la especialización técnica del
3.- Diversificación de la demanda del 3.3. Brindar al cliente un valor agregado. personal.
producto 4.4. Categorizar a los clientes 3.3. Mantener un buen nivel de abastecimiento
4.- Acercamiento con los centros de 5.5. Adoptar medidas para enfrentar 4.4. Actualización de información de compe-
Educación superior competencia nacional e importaciones. tencia.
5.- Conyuntura con las Fuerzas Armadas
Fuente: EMPRESA EP
Los datos para el diagnóstico son tomados del manual COBIT 4.1, se diseñó una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, además de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edición
de los Objetivos de Control y la 3ª Edición de las Directrices de Auditoría para
identificar el cumplimiento de los procesos del departamento de sistemas con
relación a lo que indica la metodología COBIT.
Se coordinó con anticipación entrevistas con los encargados de cada proceso del
departamento de sistemas, así como con el jefe del departamento para obtener la
información necesaria de esta investigación en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.
93
TABLA 5: MATRIZ GENERAL COBIT 4.1
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿El portafolio de inversiones de TI contiene programas con casos de El portafolio cubre el 3% de los procesos de la
negocio sólidos? empresa en la actualidad basado en el
presupuesto anual. Tienen algunos proyectos
en curso como proyecto de seguridad
informáticas, implementación de estandares, 1,00
integración de cliente y proveedores a la
cadena de valor., Adquirir software para las
áreas de mantenimiento y proyectos.
2.- ¿Los procesos de TI proporcionan una entrega efectiva de los Se revisa mensualmente lo presupuestado vs.
componentes TI de los programas? lo real cada gerencia hace seguimiento
mediante reuniones y se verifica las
desviaciones en cuanto a dinero. Hay
procedimientos para establecer los controles
sobre los datos o resultados que se generan
Trabajar con el negocio para garantizar que el portafolio de en los sistemas. En cada area hay monitoreo. 1,00
inversiones de TI de la empresa contenga programas con Si hay herramientas que dan información a
casos de negocio sólidos. Reconocer que existen inversiones los gerentes (tableros gerenciales) para toma
Relacionar las metas del negocio con las de TI.
obligatorias, de sustento y discrecionales que difieren en de decisiones, A nivel operativo los reportes
PO1.1 - Administración del Valor de TI.
P 7.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si está asignada porque se basan en
costos está claramente asignada? presupuesto, y monitoreada porque es
L auditada de manera interna y externa. Es 1,00
corporativa.
A 8.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si.
1,00
N costos está claramente monitoreada?
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que están expuestos
E beneficios esperados? pero no hay una evaluación del impacto, se
PO1 - Definir un Plan Estratégico de TI.
0,50
está trabajando en un proyecto de seguridad
A informática.
R 10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados? Ver respuesta anterior.
0,50
1. ¿Los ejecutivos reciben capacitación tecnológica actual? Reciben la especifica al caso por herramienta
adquirida. No hay capacitación.
Y Implementarán programas de capacitacion en
todos los niveles para las personas que van a
trabajar y elaborarán planes de capacitaciòn
0,50
O en base al análisis de las necesidades de los
usuarios. Si se lo hacia por el año 2001 y lo
R piensan retomar.
Relacionar las metas del negocio con las de TI.
6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas Si está priorizado. Los proyectos están hechos
prioridades concertadas? en base a las necesidades del negocio. 1,00
1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evaluán. 1,00
Identificar dependencias
2.- ¿En el desempeño de los planes existentes se evalúa la estabilidad? Si se evaluán. 1,00
Capacidad Actual.
Desempeño y la
estratégicos de la empresa (metas) así como los costos y 3.- ¿En este plan están definidos los costos relacionados? Ver respuesta anterior. 1,00
riesgos relacionados. Incluye cómo TI dará soporte a los
4.- ¿En este plan están definidos los riesgos relacionados? Ver respuesta anterior. 1,00
programas de inversión facilitados por TI y a la entrega de
los servicios operativos. Define cómo se cumplirán y medirán 5.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Si. Hicieron un analisis FODA.
1,00
los objetivos y recibirán una autorización formal de los
interesados. El plan estratégico de TI debe incluir el 6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios Ver respuesta anterior.
presupuesto de la inversión / operativo, las fuentes de operativos? 1,00
financiamiento, la estrategia de obtención, la estrategia de
7.- ¿El plan define cómo se cumplirán los objetivos? Si. 1,00
adquisición, y los requerimientos legales y regulatorios. El
8.- ¿El plan define cómo se medirán los objetivos? Si. 1,00
plan estratégico debe ser lo suficientemente detallado para
permitir la definición de planes tácticos de TI. 9.- ¿El plan es lo suficientemente detallado para permitir la definición de Si.
planes tácticos de TI? 1,00
94
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
portafolio de programas de inversión de TI requerido para a. ¿Se administran de forma activa la inversión?
administrar portafolios de servicios y
Analizar portafolios de programas y
lograr objetivos de negocio estratégicos específicos por b. ¿Se identifican nuevos proyectos? Si, algunos surgen de las necesidades de los
1,00
medio de la identificación, definición, evaluación, asignación clientes y otros surgen aquí.
de prioridades, selección, inicio, administración y control de c. ¿Se definen nuevos proyectos? Si. 1,00
los programas. Esto incluye clarificar los resultados de d. ¿Se evalúan los nuevos proyectos? Si. 1,00
proyectos.
negocio deseados, garantizar que los objetivos de los e. ¿Se priorizan los proyectos? Si. 1,00
programas den soporte al logro de los resultados, entender el f. ¿Se seleccionan proyectos? Si. 1,00
alcance completo del esfuerzo requerido para lograr los
g. ¿Se administran los proyectos? Si. 1,00
resultados, definir una rendición de cuentas clara con
medidas de soporte, definir proyectos dentro del programa, h. ¿Se controlan los proyectos? Si.
asignar recursos y financiamiento, delegar autoridad, y
1,00
comisionar los proyectos requeridos al momento de lanzar el
programa.
1.- ¿El modelo de información empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos
aplicaciones consistente con los planes de TI? que como resultado. TI hace un levantamiento
de informaciòn por cada necesidad que surge
P . El modelo contribuye un 70% a proporcionar
la informacion que TI necesita para realizar 0,70
L el trabajo. Se trabaja con reporteadores para
unificar la informaciòn de los procesos y que
Crear y mantener modelo de información corporativo/empresarial.
2.-¿El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren
R aplicaciones? unirlo a nivel empresarial no se puede. a) No
han obtenido a nivel de Baan las fuentes. b)
Tecnologia no ha recibido capacitación
de Sintáxis de Datos.
95
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Existen procedimientos que garanticen la integridad de los datos En un pequeño porcentaje, a nivel de
Arquitectura de la
Usar el modelo de
PO2 - Definir la
Administración
diccionario de
de Integridad.
Información.
Definir e Implementar procedimientos para garantizar la almacenados en formato electrónico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25
esquema de
clasificación
datos y el
PO2.4 -
sistemas
integridad y consistencia de todos los datos almacenados en almacenes de datos y archivos? mayoria documentados. Se lo piensa hacer.
formato electrónico, tales como bases de datos, almacenes de 2.- ¿Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior.
datos y archivos. datos almacenados en formato electrónico, tales como bases de datos, 0,25
almacenes de datos y archivos?
1.- ¿Se analizan las tecnologías existentes? Si. Los proveedores vienen a que les enseñen.
1,00
PO3.1 - Planeación de la Dirección Tecnológica.
1,00
3.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Si.
Analizar las tecnologías existentes y emergentes y planear 1,00
materializar la estrategia de TI?
cuál dirección tecnológica es apropiada tomar para 4.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Si.
materializar la estrategia de TI y la arquitectura de sistemas materializar la arquitectura de sistemas del negocio? 1,00
tecnológica.
del negocio. También identificar en el plan qué tecnologías 5.- ¿Están identificadas en el plan las tecnologías que tienen el potencial No, a lo mucho el internet, por las
tienen el potencial de crear oportunidades de negocio. El plan de crear oportunidades de negocio? 0,00
exportaciones.
debe abarcar la arquitectura de sistemas, la dirección 6.- ¿El plan abarca la arquitectura de sistemas? El plan de TI abarca todo eso, contingencia,
tecnológica, las estrategias de migración y los aspectos de riesgo, pero en un porcentaje. Falta crear 0,50
contingencia de los componentes de la infraestructura. (tienen seguridad, riesgos, capacitacion).
7.- ¿El plan abarca la dirección tecnológica? En parte. 0,50
8.- ¿El plan abarca las estrategias de migración? En parte. 0,50
9.- ¿El plan abarca los aspectos de contingencia de los componentes de la En parte.
0,50
infraestructura?
1.- ¿Existe un plan de infraestructura tecnológica? En la actualidad no. Se están haciendo
diagnosticos en base de datos, servidores ,
SO. y estandares (ITIL, Cobit, ISO 27000 y
0,00
seguridad informática). En base a ese
diagnostico (3 empresas lo hacen) se
elaborará el plan estratégico.
PO3.2 - Plan de Infraestructura Tecnológica.
2.- ¿El plan de infraestructura tecnológica está acorde con los planes Ver respuesta anterior.
Crear y mantener estándares tecnológicos.
N recursos tecnológicos. También toma en cuenta los cambios 5.- ¿El plan está basado en la dirección tecnológica? Si está basado en la dirección tecnológica. 1,00
en el ambiente competitivo, las economías de escala para
6.- ¿El plan incluye acuerdos para contingencias? Si.
E inversiones y personal en sistemas de información, y la
7.- ¿El plan incluye la orientación para la adquisición de recursos Si.
1,00
8.- ¿El plan considera los cambios en el ambiente competitivo? Si considera los cambios en el ambiente
R competitivo.
1,00
9.- ¿El plan considera las economías de escala para inversiones? Ver respuesta anterior. 1,00
10.- ¿El plan considera al personal en sistemas de información? Ver respuesta anterior. 1,00
Y 11.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
plataformas?
1,00
12.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
1,00
aplicaciones?
O 1.- ¿Existe un proceso para monitorear las tendencias ambientales del No existe un proceso claro. Se lo hace en base
sector/industria? a los requerimientos del usuario, no es
PO3.3 - Monitoreo de Tendencias y
R
Publicar estándares tecnológicos.
Establecer un proceso para monitorear las tendencias para biblioteca de planos, PDA. Integración
A ambientales del sector / industria, tecnológicas, de
infraestructura, legales y regulatorias. Incluir las 2.- ¿Existe un proceso para monitorear las tendencias tecnológicas?
del Baan con el BSC).
Ver respuesta anterior. 0,00
N consecuencias de estas tendencias en el desarrollo del plan
de infraestructura tecnológica de TI.
3.- ¿Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior. 0,00
I 4.- ¿Existe un proceso para monitorear las tendencias legales? Ver respuesta anterior. 0,00
5.- ¿Existe un proceso para monitorear las tendencias regulatorias? Ver respuesta anterior. 0,00
Z 6.- ¿Están incluidas las consecuencias de estas tendencias en el No están incluidas las consecuencias porque
0,00
desarrollo del plan de infraestructura tecnológica de TI? no hay plan.
A 1.- ¿Se proporcionan soluciones tecnológicas consistentes para toda la Si se proporcionan soluciones.
1,00
R empresa?
2.- ¿Se proporcionan soluciones tecnológicas efectivas para toda la Ver respuesta anterior.
1,00
empresa?
3.- ¿Se proporcionan soluciones tecnológicas seguras para toda la Ver respuesta anterior.
1,00
empresa?
Monitorear la evolución tecnológica.
Proporcionar soluciones tecnológicas consistentes, efectivas 4.- ¿Se brindan directrices tecnológicas sobre los productos de la Si se brindan. El departamento de Logística
y seguras para toda la empresa, establecer un foro infraestructura? envia los requerimientos de los usuarios para
1,00
tecnológico para brindar directrices tecnológicas, asesoría hacer el análisis tecnico y en base a esto se
sobre los productos de la infraestructura y guías sobre la compra o se contrata el servicio.
selección de la tecnología, y medir el cumplimiento de estos 5.- ¿Se brinda asesoría sobre los productos de la infraestructura? Ver respuesta anterior. 1,00
estándares y directrices. Este foro impulsa los estándares y 6.- ¿Se brindan guías sobre la selección de la tecnología? Ver respuesta anterior. 1,00
las prácticas tecnológicas con base en su importancia y 7.- ¿Se mide el cumplimiento de los estándares tecnológicos? Si se lo hace por medio de las auditorías de
riesgo para el negocio y en el cumplimiento de 1,00
calidad.
requerimientos externos. 8.- ¿Se mide el cumplimiento de las directrices tecnológicas? Si. 1,00
9.- ¿Se impulsa los estándares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros
negocio y en el cumplimiento de requerimientos externos? (diagnostico de ITIL, politicas de calidad para
0,00
certificarse en ISO 27000) se lo está
impulsando.
10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia y Ver respuesta anterior.
0,00
riesgo para el negocio y en el cumplimiento de requerimientos externos?
1.- ¿Existe un comité de arquitectura de TI que proporcione directrices No hay comité de arquitectura. (Se lo piensa
PO3.5 - Consejo de Arquitectura
Establecer un comité de arquitectura de TI que proporcione sobre la arquitectura? crear en aproximadamente 8 meses porque 0,00
(estratégico) de la nueva
Definir el uso (futuro)
directrices sobre la arquitectura y asesoría sobre su les falta asentarse como departamento).
aplicación, y que verifique el cumplimiento. Esta entidad 2.- ¿Existe un comité de arquitectura de TI que proporcione asesoría sobre Ver respuesta anterior.
0,00
tecnología.
facilite la estrategia del negocio y tome en cuenta el 3.- ¿Existe un comité de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior. 0,00
cumplimiento regulatorio y los requerimientos de 4.- ¿Esta entidad orienta el diseño de la arquitectura de TI garantizando No hay comité de arquitectura.
0,00
continuidad. Estos aspectos se vinculan con el PO2 (Definir que facilite la estrategia del negocio?
arquitectura de la información). 5.- ¿Esta entidad tome en cuenta el cumplimiento regulatorio? Ver respuesta anterior. 0,00
6.- ¿Esta entidad tome en cuenta los requerimientos de continuidad? Ver respuesta anterior. 0,00
96
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir un marco de trabajo para el proceso de TI para 1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutar Si está definido.
1,00
ejecutar el plan estratégico de TI. Este marco incluye el plan estratégico de TI?
Diseñar Marco de Trabajo para el
Procesos de TI.
proceso de TI.
medición del desempeño, mejoras, cumplimiento, metas de 3.- ¿El marco de trabajo de procesos de TI está integrado en un marco de Si.
calidad y planes para alcanzarlas. Proporciona integración trabajo de control interno?
entre los procesos que son específicos para TI,
administración del portafolio de la empresa, procesos de
1,00
negocio y procesos de cambio del negocio. El marco de
trabajo de procesos de TI debe estar integrado en un sistema
de administración de calidad y en un marco de trabajo de
control interno.
Establecer un comité estratégico de TI a nivel del consejo. 1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico. 0,00
PO4.2 - Comité
organizacional
Estratégico de
proveedores
interesados y
incluyendo
estructura
Establecer
2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno No existe comité estratégico (Si se piensa
ligas a los
de TI,
corporativo, se maneja de forma adecuada, asesora sobre la dirección crear el comité y nosotros debemos
adecuada, asesora sobre la dirección estratégica y revisa las 0,00
estratégica y revisa las inversiones principales a nombre del consejo asesorarlos como formar el comité.
inversiones principales a nombre del consejo completo. completo?
1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo? No existe comité estratégico (Si se piensa
Establecer un comité directivo de TI (o su equivalente)
incluyendo comités y
Establecer estructura
PO4.3 - Comité
Directivo de TI.
Organizacional de
organizacional general con un modelo de negocios general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General.
la Función de TI.
de sistemas.
1,00
Establecer una estructura organizacional de TI interna y Con ellos se coordina la adopción de
externa que refleje las necesidades del negocio. Además estandares o cualquier otro requerimiento
P implementar un proceso para revisar la estructura que se necesite.
organizacional de TI de forma periódica para ajustar los 2.- ¿Está establecida una estructura organizacional de TI externa que Ver respuesta anterior.
L requerimientos de personal y las estrategias internas para refleje las necesidades del negocio?
1,00
N 4.- ¿Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior.
los objetivos de negocio esperados y las circunstancias cambiantes? 1,00
E
PO4 - Definir los Procesos, Organización y Relaciones de TI.
1.- ¿Se definen los roles y las responsabilidades para el personal de TI? Si se definen. 1,00
A
PO4.6 - Establecimiento de
Roles y Responsabilidades.
supervisión y segregación
roles y responsabilidades
2.- ¿Se comunican los roles y las responsabilidades para el personal de Si se comunican.
Establecer e implantar
1,00
R Definir y comunicar los roles y las responsabilidades para el TI?
de TI, incluida la
de funciones.
personal de TI y los usuarios que delimiten la autoridad 3.- ¿Están definidas las responsabilidades para alcanzar las necesidades Si se definen mediante el plan de actividades
entre el personal de TI y los usuarios finales y definían las del negocio? y de acuerdo a los requerimientos
responsabilidades y rendición de cuentas para alcanzar las 1,00
priorizados por la alta gerencia.
Y necesidades del negocio.
4.- ¿Está definida la rendición de cuentas para alcanzar las necesidades Ver respuesta anterior.
1,00
del negocio?
1.- ¿Está asignada la responsabilidad para el desempeño de la función de No hay implementado un aseguramiento de
O aseguramiento de calidad (QA)? calidad de TI. Se esta definiendo todos los
PO4.7 - Responsabilidad de Aseguramiento de
R
supervisión y segregación de funciones.
0,00
G
Establecer e implantar roles y
relacionados con TI a un nivel superior apropiado. Definir y 2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se tiene algo básico. Se está trabajando en la
asignar roles críticos para administrar los riesgos de TI, politica de seguridad, se está elaborando
Seguridad y el Cumplimiento.
riesgo y la seguridad a nivel de toda la organización para procedimientos que exige esta política.
manejar los problemas a nivel de toda la empresa. Puede ser 3.- ¿Está establecida la responsabilidad sobre la administración del No está establecido formalmente. En cuanto
0,00
necesario asignar responsabilidades adicionales de riesgo? se tenga los procedimiento se va a establecer.
administración de la seguridad a nivel de sistema específico 4.- ¿Está establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior.
0,00
para manejar problemas relacionados con seguridad. toda la empresa?
Obtener orientación de la alta dirección con respecto al 5.- ¿Están asignadas responsabilidades adicionales de administración de No.
0,00
apetito de riesgo de TI y la aprobación de cualquier riesgo la seguridad a nivel de sistema específico?
residual de TI. 6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? No. 0,00
7.- ¿La alta dirección aprueba cualquier riesgo residual de TI? No. 0,00
1.- ¿Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma
PO4.9 - Propiedad de Datos y
Establecer e implantar roles y
responsabilidades de propiedad sobre los datos y los sistemas de tecnológica que soportan los procesos
segregación de funciones.
responsabilidades de TI,
incluida la supervisión y
Proporcionar al negocio los procedimientos y herramientas información? definidos en la empresa en base a sus 1,00
que le permitan enfrentar sus responsabilidades de necesidades, dependiendo de las funciones
de Sistemas.
propiedad sobre los datos y los sistemas de información. Los establecidad por RR HH.
dueños toman decisiones sobre la clasificación de la 2.- ¿Los dueños toman decisiones sobre la clasificación de la información No, pero se debe hacer. Falta hacer un
información y de los sistemas y sobre cómo protegerlos de para protegerlos de acuerdo a esta clasificación? levantamiento de informacion de cada
0,00
acuerdo a esta clasificación. proceso y categorizarlo según la criticidad de
la información.
3.- ¿Los dueños toman decisiones para proteger los sistemas? Ver respuesta anterior. 0,00
Implementar prácticas adecuadas de supervisión dentro de 1.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentro Si se tiene implementada. Hay indicadores .
Supervisión
supervisión
responsabi
TI, incluida
Establecer
lidades de
PO4.10 -
implantar
la función de TI para garantizar que los roles y las de la función de TI para garantizar que los roles y las responsabilidades 1,00
roles y
la
e
Segregación de
segregación de
s de TI, incluida
la supervisión y
implantar roles
reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un
Establecer e
1,00
Funciones.
funciones.
PO4.11 -
97
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.-¿ Se evalúan los requerimientos de personal de forma regular para Si, de acuerdo a los requerimientos, si es
Establecer e implantar roles
garantizar que la función de TI cuente con un número suficiente de algo pequeño se usan el recurso humano con
segregación de funciones.
y responsabilidades de TI,
Evaluar los requerimientos de personal de forma regular o recursos para soportar adecuada y apropiadamente las metas del que se cuenta y si es algo grande se lo busca
1,00
cuando existan cambios importantes en el ambiente de negocio? en el mercado. Dependiendo del alcance de
negocios, operativo o de TI para garantizar que la función de requerimiento se lo busca internamente o
TI cuente con un número suficiente de recursos para soportar externamente.
PO4 - Definir los Procesos, Organización y Relaciones de TI.
adecuada y apropiadamente a las metas y objetivos del 2.- ¿ Se evalúan los requerimientos de personal de forma regular para Si.
negocio. garantizar que la función de TI cuente con un número suficiente de
1,00
recursos para soportar adecuada y apropiadamente los objetivos del
negocio?
1.- ¿Se define al personal clave de TI para minimizar la dependencia en un Si. Se busca que el conocimiento critico para
PO4.13 - Personal Clave de TI.
Establecer e implantar roles
Asegurar que los consultores y el personal contratado que organizacionales de protección de los activos de información de la clausulas específicas sobre esto.
implantar roles y
Procedimientos
de TI, incluida la
segregación de
para Personal
1,00
supervisión y
Contratado.
Establecer e
funciones.
soporta la función de TI cumplan con las políticas empresa de tal manera que se logren los requerimientos contractuales
organizacionales de protección de los activos de acordados?
información de la empresa de tal manera que se logren los 2.- ¿Se asegura que el personal contratado que soporta la función de TI Ver respuesta anterior.
requerimientos contractuales acordados. cumplan con las políticas organizacionales de protección de los activos 1,00
de información de la empresa?
1.- ¿Existe una estructura óptima de enlace entre la función de TI y otros Si existe, pero falta más. Hay una definición
interesados dentro y fuera de la función de TI? clara para hacer un requerimiento pero falta
Establecer e implantar roles y
segregación de funciones.
Establecer y mantener una estructura óptima de enlace, mayor acercamiento, como por ejemplo: Se
responsabilidades de TI,
incluida la supervisión y
PO4.15 - Relaciones.
0,50
comunicación y coordinación entre la función de TI y otros tienen reuniones con cada gerente para saber
interesados dentro y fuera de la función de TI, tales como el que falta o que no se ha atendido en cada
consejo directivo, ejecutivos, unidades de negocio, usuarios área.
individuales, proveedores, oficiales de seguridad, gerentes 2.- ¿Existe una estructura óptima de comunicación entre la función de TI Ver respuesta anterior.
P de riesgo, el grupo de cumplimiento corporativo, los y otros interesados dentro y fuera de la función de TI?
0,50
L contratistas externos y la gerencia externa (offsite). 3.- ¿Existe una estructura óptima de coordinación entre la función de TI y Ver respuesta anterior.
otros interesados dentro y fuera de la función de TI?
0,50
A 4.- ¿Se mantienen estas estructuras óptimas? Ver respuesta anterior. 0,50
1.- ¿Existe un marco de trabajo financiero para administrar las Se tiene establecido que en inversiones
N inversiones de TI a través del portafolios de inversiones y presupuestos mayores a $10.000, estas deben ser
de TI? analizadas por tecnicos o especialistas de TI,
E
Dar mantenimiento al portafolio de
R 1.- ¿Existe un proceso de toma de decisiones para dar prioridades a la Si, las decisiones se basan en la prioridad de
portafolio de proyectos.
Implementar un proceso de toma de decisiones para dar asignación de recursos a TI? los proyectos que afecten altamente a la 1,00
PO5.2 Prioridades
A contribución de TI a optimizar el retorno del portafolio programas de inversión en TI y otros servicios? debería hacer. Las implementaciones del ERP, 0,00
empresarial de programas de inversión en TI y otros BSC fueron hechas por medio del Holding.
N servicios y activos de TI. 3.- ¿Este proceso optimiza el retorno del portafolio empresarial de activos Ver respuesta anterior.
0,00
I de TI?
PO5 - Administrar la Inversión en TI.
1.- ¿Existe un proceso para elaborar un presupuesto que refleje las Si, este incluye todo, como por ejemplo lo que
Z Establecer un proceso para elaborar y administrar un prioridades establecidas en el portafolio empresarial de programas de se paga por el mantenimiento del Erp, de
Dar mantenimiento al portafolio de
1,00
PO5.3 - Proceso Presupuestal.
presupuesto que refleje las prioridades establecidas en el inversión en TI, que incluya los costos recurrentes de operar y mantener licencias, etc.
A portafolio empresarial de programas de inversión en TI,
incluyendo los costos recurrentes de operar y mantener la
la infraestructura actual?
2.- ¿Existe un proceso para administrar este presupuesto? Ver respuesta anterior.
R infraestructura actual. El proceso debe dar soporte al
1,00
servicios.
desarrollo de un presupuesto general de TI así como al 3.- ¿El proceso soporta al desarrollo de un presupuesto general de TI así Si.
desarrollo de presupuestos para programas individuales, como al desarrollo de presupuestos para programas individuales, con 1,00
con énfasis especial en los componentes de TI de esos énfasis especial en los componentes de TI de esos programas?
programas. El proceso debe permitir la revisión, el 4.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si.
1,00
refinamiento y la aprobación constantes del presupuesto constante del presupuesto general?
general y de los presupuestos de programas individuales. 5.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si.
1,00
constante de los presupuestos de programas individuales?
1.- ¿Existe un proceso de administración de costos que compare los Si.
1,00
costos reales con los presupuestados?
Establecer y mantener proceso presupuestal
el impacto de esas desviaciones sobre los programas se debe optimizar costos del área ya que no cuenta 1,00
evaluar y, junto con el patrocinador del negocio para estos con una persona (Asistente).
programas, se deberán tomar las medidas correctivas 5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si se corrige apropiadamente. 1,00
apropiadas y, en caso de ser necesario, el caso de negocio 6.- ¿Junto con el patrocinador del negocio para estos programas, se Ver respuesta anterior.
del programa de inversión se deberá actualizar. 1,00
toman medidas correctivas apropiadas?
7.- ¿Se actualiza el caso de negocio del programa de inversión? Cada tres meses se hace un Fore Cast, que es
como un ajuste al presupuesto, pero hasta 1,00
ahora no se ha afectado el presupuesto.
PO5.5 - Administración de Benefici
Implementar un proceso de monitoreo de beneficios. La 1.- ¿Se cuenta con un proceso de monitoreo de beneficios? No. Se piensa implementar con nuestra ayuda. 0,00
monitorear la inversión, costo y
98
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir los elementos de un ambiente de control para TI, 1.- ¿Están definidos los elementos de un ambiente de control para TI? Si, mediante los indicadores del BSC.
1,00
Elaborar y mantener un ambiente y
requerimientos respecto a la entrega de valor proveniente de 2.- ¿Estos elementos están alineados con el estilo operativo de la Si, administración basada en procesos y en
las inversiones en TI, el apetito de riesgo, la integridad, los empresa? estandar ISO 9000, 14000 y 18000
PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia.
Control.
Referencia de
Interno de TI.
control de TI.
Corporativo y
mantener un
ambiente y
establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? su totalidad, solo los más relevantes. Se
Marco de
Elaborar y
marco de
Control
0,50
el control que se alinee con la política de TI, el ambiente de piensa mejorar mediante la implementación
control y el marco de trabajo de riesgo y control de la de un sistema de seguridad.
empresa. 2.- ¿Existe un control que se alinee con la política de TI? Si, mediante las auditorias. 1,00
1.- ¿Existen políticas que apoyen la estrategia de TI? Si, política de calidad. 1,00
PO6.3 - Administración de
Objetivos y la de Políticas de
2.- ¿Se asegura que las políticas de TI se comuniquen a todo el personal Si.
PO6.4 -
dirección de
Dirección de
control y los
objetivos y
PO6.5 -
2.- ¿Los usuarios están concientes de los objetivos de TI? Si. Mediante el análisis del impacto de los
TI.
puesto, rango de
descripciones de
habilidades de TI,
generales de personal de la organización (Ej. contratación, contratación, un ambiente positivo de trabajo y orientación)?
del personal.
Identificar las
G 2.- ¿Se define los requerimientos esenciales de habilidades para TI? Si, Recursos humanos lo hace de acuerdo al
Identificar las habilidades de TI,
1,00
cargo.
A Verificar de forma periódica que el personal tenga las
habilidades para cumplir sus roles con base en su
3.- ¿Se verifica que se les dé mantenimiento, usando programas de Si se verifica pero no se hace nada por
calificación según sea el caso? mejorar. El primer paso, implementar
PO7 - Administrar los Recursos Humanos de TI
personal.
1,00
descripciones de puesto,
Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensación del personal está definido?
PO7.3 - Asignación de
benchmarks sobre
rango de salarios y
los roles, responsabilidades y compensación del personal, 2.- ¿El marco de trabajo para la asignación de los roles, Si.
habilidades de TI,
Identificar las
incluyendo el requerimiento de adherirse a las políticas y responsabilidades y compensación del personal está monitoreado? 1,00
Roles.
del Personal de
Entrenamiento
entrenar
PO7.4 -
Dependencia
habilidades
Individuos.
Identificar
rango de
Sobre los
PO7.5 -
0,50
las
1,00
Ejecutar las políticas
Procedimientos de
actualizado constantemente.
y procedimientos
Investigación del
para TI(reclutar,
terminar).
verificaciones dependen de que tan delicada ó crítica sea la 3.- ¿Las verificaciones se aplican a empleados? Si, por medio de ISO 9000 1,00
función y se deben aplicar a los empleados, contratistas y
4.- ¿Las verificaciones se aplican a contratistas? Ver respuesta anterior. 1,00
proveedores.
5.- ¿Las verificaciones se aplican a proveedores? Ver respuesta anterior. 1,00
99
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Las evaluaciones de desempeño se realizan periódicamente? Si, cada 6 meses. 1,00
evaluar, promover, y
contratar, investigar,
1,00
periódicamente, comparando contra los objetivos derivados de las metas organizacionales?
terminar).
individuales derivados de las metas organizacionales, 3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si. 1,00
estándares establecidos y responsabilidades específicas del 4.- ¿Las evaluaciones se comparan contra las responsabilidades Si.
1,00
Humanos de TI
puesto. Los empleados deben recibir adiestramiento sobre su específicas del puesto?
desempeño y conducta, según sea necesario. 5.- ¿Los empleados reciben adiestramiento sobre su desempeño? Sobre el desempeño si, por medio de la
1,00
capacitación.
6.- ¿Los empleados reciben adiestramiento sobre su conducta? De conducta no. 0,50
1.- ¿Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH.
Terminación de Trabajo.
1,00
promover, y terminar).
investigar, compensar,
relevantes de RH para
TI(reclutar, contratar,
puestos, en especial las terminaciones. Se debe realizar la 2.- ¿Se realiza la transferencia del conocimiento? Si. 1,00
transferencia del conocimiento, reasignar responsabilidades 3.- ¿Se reasigna responsabilidades? Si. 1,00
y se deben eliminar los privilegios de acceso, de tal modo 4.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos se Si.
que los riesgos se minimicen y se garantice la continuidad de 1,00
minimicen?
la función. 5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice la Si.
1,00
continuidad de la función?
1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos del No hay un QMS de TI, pero si en forma
negocio? general. Tienen ISO 9000 y tienen proyectado 0,50
implementar ISO 27000.
2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo con Ver respuesta anterior.
0,50
respecto a la administración de la calidad?
3.- ¿El QMS identifica los requerimientos? Ver respuesta anterior.
Definir un sistema de administración de calidad.
estándar, formal y continuo, con respecto a la 4.- ¿El QMS identifica los criterios de calidad? Ver respuesta anterior. 0,50
administración de la calidad, que esté alineado con los 5.- ¿El QMS identifica los procesos claves de TI? Ver respuesta anterior. 0,50
requerimientos del negocio. El QMS identifica los
6.- ¿El QMS identifica las políticas para definir, detectar, corregir y prever Ver respuesta anterior.
requerimientos y los criterios de calidad, los procesos claves 0,50
las no conformidades?
de TI, y su secuencia e interacción, así como las políticas,
7.- ¿El QMS identifica los criterios para definir, detectar, corregir y prever Ver respuesta anterior.
criterios y métodos para definir, detectar, corregir y prever 0,50
las no conformidades?
las no conformidades. El QMS debe definir la estructura
8.- ¿El QMS identifica los métodos para definir, detectar, corregir y prever Ver respuesta anterior.
organizacional para la administración de la calidad, 0,50
las no conformidades?
P cubriendo los roles, las tareas y las responsabilidades.
Todas las áreas clave desarrollan sus planes de calidad de
9.- ¿El QMS define la estructura organizacional para la administración de Ver respuesta anterior.
0,50
la calidad, cubriendo los roles, las tareas y las responsabilidades?
L acuerdo a los criterios y políticas, y registran los datos de
10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a los Ver respuesta anterior.
0,50
calidad. Monitorear y medir la efectividad y aceptación del
A QMS y mejorarla cuando sea necesario.
criterios y políticas, y registran los datos de calidad?
11.- ¿Se monitorea la efectividad del QMS? Ver respuesta anterior. 0,50
N 12.- ¿Se mide la efectividad del QMS? Ver respuesta anterior. 0,50
13.- ¿Se monitorea la aceptación del QMS? Ver respuesta anterior. 0,50
E 14.- ¿Se mide la aceptación del QMS? Ver respuesta anterior. 0,50
A 15.- ¿Se lo mejora cuando es necesario? Ver respuesta anterior. 0,50
Identificar y mantener estándares, procedimientos y 1.- ¿Se identifica estándares para los procesos clave de TI? Ver respuesta anterior. 0,50
R
administración
mantener un
Estándares y
Prácticas de
Establecer y
de calidad.
prácticas para los procesos clave de TI para orientar a la 2.- ¿Se identifica procedimientos para los procesos clave de TI? Ver respuesta anterior. 0,50
sistema de
Calidad.
PO8.2 -
organización hacia el cumplimiento del QMS. Usar las 3.- ¿Se identifica prácticas para los procesos clave de TI? Ver respuesta anterior. 0,50
buenas prácticas de la industria como referencia al mejorar 4.- ¿Se usan las buenas prácticas de la industria como referencia al Ver respuesta anterior.
Y y adaptar las prácticas de calidad de la organización. mejorar y adaptar las prácticas de calidad de la organización?
0,50
1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga el Los lineamientos los da el Holding Dine.
ciclo de vida, hasta el último entregable? 1,00
O
Crear y comunicar estándares de calidad a toda la organización.
2.- ¿Se mantienen estándares para todo desarrollo y adquisición que siga Si.
1,00
el ciclo de vida, hasta el último entregable?
PO8 - Administrar la Calidad
R
PO8.3 - Estándares de Desarrollo y de Adquisición.
0,50
Crear y comunicar
Enfocar la administración de calidad en los clientes, enfocan en las necesidades del usuario.
calidad a toda la
el Cliente de TI.
organización.
estándares de
determinando sus requerimientos y alineándolos con los 2.- ¿Están definidos los roles respecto a la resolución de conflictos entre Si se sabe que datos corrige el usuario y la
estándares y prácticas de TI. Definir roles y el usuario/cliente y la organización de TI? organización en lo que respecta a errores del 1,00
responsabilidades respecto a la resolución de conflictos aplicativo.
entre el usuario/cliente y la organización de TI. 3.- ¿Están definidos las responsabilidades respecto a la resolución de Si.
1,00
conflictos entre el usuario/cliente y la organización de TI?
1.- ¿Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000
PO8.5 - Mejora
plan de calidad
Continua.
continua.
Crear y
2.- ¿Están planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
Medir, monitorear y revisar el
QMS proporciona. La medición, el monitoreo y el registro de 4.- ¿Está definido el valor que el QMS proporciona? Ver respuesta anterior. 0,00
la información deben ser usados por el dueño del proceso
5.- ¿Está planeado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
para tomar las medidas correctivas y preventivas
6.- ¿Está implementado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
apropiadas.
7.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior.
0,00
el dueño del proceso para tomar las medidas correctivas apropiadas?
8.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior.
0,00
el dueño del proceso para tomar las medidas preventivas apropiadas?
100
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Está establecido un marco de trabajo de administración de riesgos de Se lo tiene en parte. Se está trabajando en la
ón de riesgos
Administraci
administraci
la alineación
Determinar
0,50
(ej: Evaluar
Trabajo de
Establecer un marco de trabajo de administración de riesgos TI?
Marco de
riesgo). seguridad para minimizar los riesgos.
Riesgos.
PO9.1 -
ón de
de la
0,00
evaluación de riesgos se aplica para garantizar resultados evaluación de riesgos? contingencia y revisar la matriz de riesgos.
apropiados. Esto incluye la determinación del contexto 3.- ¿Está incluida la determinación del contexto externo de cada Ver respuesta anterior.
0,00
interno y externo de cada evaluación de riesgos, la meta de evaluación de riesgos?
la evaluación y los criterios contra los cuales se evalúan los 4.- ¿Está incluida la meta de la evaluación contra los cuales se evalúan Ver respuesta anterior.
0,00
riesgos. los riesgos?
5.- ¿Están incluidos los criterios contra los cuales se evalúan los riesgos? Ver respuesta anterior.
0,00
1.- ¿Están identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales
*Entender los objetivos de los
negativo sobre las metas o las operaciones de la empresa? de criticidad media, frente a los cuales tienen
tiempos de respuesta adecuados. Para los
*Entender los objetivos de negocio
1.- ¿Se evalúa en forma recurrente la probabilidad e impacto de todos los No.
0,00
A, negocio es C). *Asesorar el riesgo
riesgos identificados?
*Identificar los objetivos internos de
0,00
P Evaluar de forma recurrente la probabilidad e impacto de
todos los riesgos identificados, usando métodos cualitativos
3.- ¿Se usan métodos cuantitativos? No.
0,00
L y cuantitativos. La probabilidad e impacto asociados a los 4.- ¿Se determina de forma individual la probabilidad e impacto Si.
1,00
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
A
con los eventos.
1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado para En parte por medio del plan de contingencia,
A Desarrollar y mantener un proceso de respuesta a riesgos
PO9.5 - Respuesta a
respuestas a riesgo.
diseñado para asegurar que controles efectivos en costo asegurar que controles efectivos en costo mitigan la exposición en forma pero falta. 0,50
R
los Riesgos.
seleccionar
respuesta a riesgos debe identificar estrategias tales como 2.- ¿El proceso de respuesta a riesgos identifica estrategias tales como No.
0,00
evitar, reducir, compartir o aceptar riesgos; determinar evitar, reducir, compartir o aceptar riesgos?
responsabilidades y considerar los niveles de tolerancia a 3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia Ver respuesta anterior.
Y riesgos. a riesgos?
0,00
Priorizar y planear las actividades de control a todos los 1.- ¿Se prioriza las actividades de control a todos los niveles para No.
0,00
*Aprobar y asegurar fondos
*Mantener y monitorear un
plan de acción de riesgos.
O
*Priorizar y Planear
Acción de Riesgos.
identificadas como necesarias, incluyendo la identificación 2.- ¿Se obtiene la aprobación para las acciones recomendadas de Si, pero no lo han propuesto. La gerencia si
cualquier riesgo residual? tiene apertura para esto. 1,00
de costos, beneficios y la responsabilidad de la ejecución.
R Obtener la aprobación para las acciones recomendadas y la 3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquier Si. 1,00
aceptación de cualquier riesgo residual, y asegurarse de que i ¿Se asegura
id l?que las acciones comprometidas están a cargo del dueño No.
G 4.- 0,00
riesgos.
para la Administración de
Definir un marco de
por medio de la identificación, definición, evaluación, 2.- ¿Se asegura que los proyectos apoyen los objetivos del programa? Si. 1,00
administración de
inversiones en TI.
defina el alcance?
un Marco de Trabajo
para la administración
de proyectos de TI.
PO10.2 - Marco de
Administración de
administración de proyectos que defina el alcance y los 2.- ¿Este marco de trabajo defina los límites de la administración de Si.
Trabajo para la
Proyectos.
proyectos.
de calidad, presupuestos y planes de comunicación y de
2.- ¿Está establecido un enfoque de administración de proyectos que Ver respuesta anterior.
1,00
Establecer un enfoque de administración de proyectos que corresponda a la complejidad de cada proyecto?
corresponda al tamaño, complejidad y requerimientos 3.- ¿Está establecido un enfoque de administración de proyectos que Ver respuesta anterior.
1,00
regulatorios de cada proyecto. La estructura de gobierno de corresponda a los requerimientos regulatorios de cada proyecto?
administración de riesgos.
proyectos puede incluir los roles, las responsabilidades y la 4.- ¿La estructura de gobierno de proyectos incluye los roles del Ver respuesta anterior.
rendición de cuentas del patrocinador del programa, patrocinador del programa, patrocinadores de proyectos, comité de 1,00
patrocinadores de proyectos, comité de dirección, oficina de dirección, oficina de proyectos, y gerente del proyecto?
proyectos, y gerente del proyecto, así como los mecanismos 5.- ¿La estructura de gobierno de proyectos incluye las responsabilidades Ver respuesta anterior.
por medio de los cuales pueden satisfacer esas del patrocinador del programa, patrocinadores de proyectos, comité de 1,00
responsabilidades (tales como reportes y revisiones por dirección, oficina de proyectos, y gerente del proyecto?
etapa). Asegurarse que todos los proyectos de TI cuenten con 6.- ¿La estructura de gobierno de proyectos incluye la rendición de Ver respuesta anterior.
patrocinadores con la suficiente autoridad para apropiarse cuentas del patrocinador del programa, patrocinadores de proyectos, 1,00
de la ejecución del proyecto dentro del programa estratégico comité de dirección, oficina de proyectos, y gerente del proyecto?
global. 7.- ¿La estructura de gobierno de proyectos incluye los mecanismos por Ver respuesta anterior.
medio de los cuales pueden satisfacer esas responsabilidades (tales 1,00
como reportes y revisiones por etapa)?
8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadores Si.
con suficiente autoridad para apropiarse de la ejecución del proyecto 1,00
dentro del programa estratégico global?
101
COBIT
ACTIVIDADES DEL
CALIFICACIÓN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
PO10.4 - Compromiso
proyecto. *Asegurar
cambios a proyectos.
el control efectivo de
los proyectos y de los
ejecución del proyecto dentro del contexto del programa global de
de los Interesados.
compromiso de los
1,00
interesados del
participación y
1.- ¿Está definida la naturaleza del proyecto para confirmar y desarrollar Si.
1,00
métodos de aseguramiento
para confirmar y desarrollar, entre los interesados, un 2.- ¿Está documentada la naturaleza del proyecto?
Si. 1,00
entendimiento común del alcance del proyecto y cómo se 3.- ¿Está definido el alcance del proyecto? Si. 1,00
relaciona con otros proyectos dentro del programa global de 4.- ¿Está documentado el alcance del proyecto? Si. 1,00
inversiones facilitadas por TI. La definición se debe aprobar 5.- ¿Está definid como se relaciona con otros proyectos dentro del Si.
de manera formal por parte de los patrocinadores del 1,00
programa global de inversiones facilitadas por TI?
programa y del proyecto antes de iniciar el proyecto.
6.- ¿La definición se aprueba de manera formal por parte de los Si.
1,00
patrocinadores del proyecto antes de iniciar el proyecto?
Aprobar el inicio de las etapas importantes del proyecto y 1.- ¿Se aprueba el inicio de las etapas importantes del proyecto? Si. 1,00
métodos de aseguramiento y
comunicarlo a todos los interesados. La aprobación de la 2.- ¿Se comunica a todos los interesados? Si. 1,00
revisión de proyectos.
Definir e implementar
A Definir las responsabilidades, relaciones, autoridades y 1.- ¿Están definidas las responsabilidades, relaciones, autoridades y Si.
1,00
revisión de proyectos.
R proyecto y especificar las bases para adquirir y asignar a los 2.- ¿Se especifica las bases para adquirir y asignar a los miembros Si.
métodos de
Proyecto.
1,00
miembros competentes del equipo y/o a los contratistas al competentes del equipo y/o a los contratistas al proyecto?
proyecto. La obtención de productos y servicios requeridos 3.- ¿Se planea y administra la obtención de productos y servicios Si.
1,00
para cada proyecto se debe planear y administrar para requeridos para cada proyecto?
Y alcanzar los objetivos del proyecto, usando las prácticas de 4.- ¿Se utilizan las prácticas de adquisición de la organización? Si.
1,00
adquisición de la organización.
Eliminar o minimizar los riesgos específicos asociados con 1.- ¿Existe un proceso sistemático que elimine o minimice riesgos Si.
1,00
revisión de proyectos.
O
Riesgos del Proyecto.
Definir e implementar
los proyectos individuales por medio de un proceso especificos asociados con los proyectos individuales?
Administración de
aseguramiento y
sistemático de planeación, identificación, análisis, 2.- ¿Están establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se
métodos de
R
PO10.9 -
respuesta, monitoreo y control de las áreas o eventos que afrontados por el proceso de administración de proyectos y el producto incluyen clausulas que contemple esto y se lo
tengan el potencial de ocasionar cambios no deseados. Los entregable del proyecto? supervisa mediante actas de trabajo hasta el
G riesgos afrontados por el proceso de administración de cumplimiento final del mismo.
1,00
proyectos y el producto entregable del proyecto se deben
A establecer y registrar de forma central.
N Preparar un plan de administración de la calidad que 1.- ¿Se cuenta con un plan de administración de la calidad que describa Si.
PO10.10 - Plan
aseguramiento
de Calidad del
1,00
y revisión de
implementar
métodos de
proyectos.
I implantado. El plan debe ser revisado y acordado de manera 2.- ¿Se revisa este plan y se acuerda de manera formal por todas las Si.
formal por todas las partes interesadas para luego ser partes interesadas para luego ser incorporado en el plan integrado del 1,00
Z incorporado en el plan integrado del proyecto. proyecto?
A Establecer un sistema de control de cambios para cada 1.- ¿Existe un sistema de control de cambios para cada proyecto? Si. Si cambia el escenario antes de la
PO10.11 - Control
1,00
aseguramiento y
de Cambios del
proyecto, de tal modo que todos los cambios a la línea base planificación como algo impredecible.
implementar
métodos de
proyectos.
revisión de
Proyecto.
R
Definir e
del proyecto (Ej. costos, cronograma, alcance y calidad) se 2.- ¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan, Si.
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
1,00
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
1.- ¿Están identificadas las tareas de aseguramiento requeridas para Si.
del Proyecto y Métodos
revisión de proyectos.
PO10.12 - Planeación
Definir e implementar
Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la
de Aseguramiento.
1,00
aseguramiento y
1.- ¿Se mide el desempeño del proyecto contra los criterios clave del Si, mediante actas de trabajo.
Desempeño, Reporte y Monitoreo
1,00
Definir e implementar métodos
de aseguramiento y revisión de
2.- ¿Se identifica las desviaciones con respecto al plan? Si. 1,00
del proyecto (Ej. alcance, cronograma, calidad, costos y
3.- ¿Se evalúa su impacto sobre el proyecto? Si. 1,00
del Proyecto.
evaluar su impacto sobre el proyecto y sobre el programa 4.- ¿Se evalúa su impacto sobre el programa global? Si. 1,00
global; reportar los resultados a los interesados clave; y 5.- ¿Se reportan los resultados a los interesados clave? Si. 1,00
recomendar, Implementar y monitorear las medidas 6.- ¿Se recomienda las medidas correctivas, según sea requerido, de Si.
correctivas, según sea requerido, de acuerdo con el marco de 1,00
acuerdo con el marco de trabajo de gobierno del proyecto?
trabajo de gobierno del programa y del proyecto. 7.- ¿Se implementa las medidas correctivas? Si. 1,00
8.- ¿Se monitorea las medidas correctivas? Si. 1,00
1.- ¿Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de
Solicitar que al finalizar cada proyecto, los interesados del
aseguramiento y revisión
proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30
Definir e implementar
Proyecto.
102
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las
el alcance completo de los programas de inversión en TI? llamadas, identifica si lo cumplen. Se basa en
negocio. *Establecer procesos para la integridad/válidez de
1,00
de cada año para el siguiente año, en el se
incluyen todos los requerimientos de TI (tanto
8.- ¿Se acorda los requerimientos técnicos del negocio que cubran el Si.
1,00
alcance completo de los programas de inversión en TI?
1.- ¿Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se
AI1.2 - Reporte de Análisis
Identificar, documentar y
como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo 1,00
proceso de negocio.
analizar el riesgo del
2.- ¿Se identifica los riesgos asociados con el diseño de soluciones como Si.
los requerimientos del negocio y diseño de soluciones como
parte de los procesos organizacionales para el desarrollo de los 1,00
parte de los procesos organizacionales para el desarrollo de
requerimientos?
los requerimientos.
3.- ¿Se documenta los riesgos asociados con los requerimientos del Si.
1,00
negocio?
4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio? Si. 1,00
1.- ¿Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar.
Formulación de Cursos de Acción
0,00
de las soluciones propuestas.
2.- ¿La administración del negocio, apoyada por la función de TI evalúa la Desde Marzo se está haciendo levantamiento
administración del negocio, apoyada por la función de TI, factibilidad? de funciones. Hay cambios en la actualidad y
0,00
D debe evaluar la factibilidad y los cursos alternativos de aún no están establecidos procedimientos
acción y realizar recomendaciones al patrocinador del definidos.
Q negocio. 3.- ¿La administración del negocio, apoyada por la función de TI evalúa No.
0,00
los cursos alternativos de acción?
U 4.- ¿La administración del negocio, apoyada por la función de TI realiza No.
0,00
recomendaciones al patrocinador del negocio?
I 1.- ¿El patrocinador del negocio aprueba los requisitos funcionales de Como área de tecnología se está bajo la
*Elaborar un proceso de aprobación de
R
requerimientos de negocio propuestos.
1,00
AI1.4 - Requerimientos, Decisión de
I la gerencia.
Factibilidad y Aprobación.
Conducir un estudio de
soluciones propuestas.
Verificar que el proceso requiere al patrocinador del negocio 2.- ¿El patrocinador del negocio aprueba los requisitos técnicos de Si.
1,00
R para aprobar y autoriza los requisitos de negocio, tanto negocio?
funcionales como técnicos, y los reportes del estudio de 3.- ¿El patrocinador del negocio autoriza los requisitos funcionales de Si.
1,00
factibilidad en las etapas clave predeterminadas. El negocio?
patrocinador del negocio tiene la decisión final con respecto 4.- ¿El patrocinador del negocio autoriza los requisitos técnicos de Si.
E a la elección de la solución y al enfoque de adquisición. negocio?
1,00
5.- ¿El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior
1,00
factibilidad en las etapas clave predeterminadas?
I 6.- ¿El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
1,00
M 1.- ¿Se traduce los requerimientos del negocio a una especificación de No hay formato, no hay documento.
0,00
Traducir los requerimientos del negocio
P Traducir los requerimientos del negocio a una especificación 2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia? Solo a traves de comunicados o informes de
AI2.1 - Diseño de Alto Nivel.
0,50
de diseño de alto nivel para la adquisición de software, la gerencia general.
L teniendo en cuenta las directivas tecnológicas y la 3.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias Si, se reevalúa los requerimientos aunque sin
significativas técnicas durante el desarrollo o mantenimiento.? procedimientos, solo leyendo los pedidos.
E arquitectura de información dentro de la organización. Tener
nivel.
aprobadas las especificaciones de diseño por gerencia para Ejemplo, piden Autocad para el área de
M garantizar que el diseño de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias
despacho, se evalua si realmente lo necesitan
o no, se lo hace de manera informal porque
0,50
del software de aplicación. Definir el criterio de aceptación 4.- ¿Se aprueba los requerimientos para garantizar que corresponden al Si. Son aprobados por los usuarios y por el
de los requerimientos. Aprobar los requerimientos para diseño de alto nivel? departamento de TI, (El especialista en
1,00
garantizar que corresponden al diseño de alto nivel. Realizar aplicativos y la Especialista en base de datos
reevaluaciones cuando sucedan discrepancias significativas y aplicativos).
técnicas o lógicas durante el desarrollo o mantenimiento. 5.- ¿Se realiza reevaluaciones cuando sucedan discrepancias Si se realizan reevaluaciones, en el caso de
significativas técnicas durante el desarrollo o mantenimiento del Software adquisición de sofware hay contratos con
de aplicación? parámetros hay una base técnica y de lo
1,00
contrario se lo hace con el personal interno
en base a procedimientos establecidos con
soporte técnico coordinado con logística.
6.- ¿Se realiza reevaluaciones cuando sucedan discrepancias Si.
significativas lógicas durante el desarrollo o mantenimiento del Software 1,00
de aplicación?
1.- ¿Se implementa controles de negocio cuando aplique, en controles de Se realizan auditorías al departamento,
aplicación automatizados? (auditoría interna) mediante documentos se 1,00
Preparar diseño detallado y los requerimientos
3.- ¿El procesamiento de los controles de negocio son completos? Si son completas. Realizan auditorias
1,00
completas tres veces al año.
Aplicaciones.
Implementar controles de negocio, cuando aplique, en 4.- ¿El procesamiento de los controles de negocio son oportunos? Si son oportunos. (auditoria bases, procesos,
1,00
controles de aplicación automatizados tal que el etc.).
procesamiento sea exacto, completo, oportuno, autorizado y 5.- ¿El procesamiento de los controles de negocio son autorizados? Si son autorizados por el auditor interno de la
auditable. empresa junto con el departamento de TI a
nivel de la Empresa de Producción. Para el
Baan lo hacen a nivel corporativo desde 1,00
Quito así como lo relacionado a base de
datos o cualquier contrato o proceso que se
maneje corporativamente.
6.- ¿El procesamiento de los controles de negocio son auditables? Si son auditables. 1,00
103
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se aborda la seguridad de las aplicaciones? Si se aborda. Los auditores tienen su propia
metodología, verifican los roles que tienen los
Especificar los controles de aplicación dentro
2.- ¿Se aborda los requerimientos de disponibilidad en respuesta a los Si,Los auditores evalúan que las
identificados y en línea con la clasificación de datos, la
riesgos identificados? recomendaciones hayan sido implementadas. 1,00
arquitectura de la información, la arquitectura de seguridad
de la información y la tolerancia a riesgos de la
3.- ¿Se aborda los requerimentos en línea con la clasificación de datos? Si, lo hacen en linea. 1,00
organización.
4.- ¿Se aborda la arquitectura de la información? Eso lo hacen poco. No auditan modelo de
datos, integridad referencial, a ese nivel no 0,00
llegan las auditorías.
5.- ¿Se aborda la arquitectura de seguridad de la información? No. 0,00
6.- ¿Se aborda la tolerancia a riesgos de la organización.? Si lo auditan. 1,00
1.- ¿Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables,
AI2.5 - Configuración e Implantación
2.- ¿Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicación
los objetivos de negocio? adquirida. Los especialistas de los
aplicativos y bases de datos tambien 1,00
implementan.
1.- ¿Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a
AI2.6 - Actualizaciones Importantes
A resulten cambios significativos al diseño actual? las necesidades de cada departamento y que
Personalizar e implementar la
funcionalidad automatizada
existentes para el desarrollo de sistemas nuevos? implementación de todos los sistemas. 1,00
I 1.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de Si, está supervisado por el Holding Dinner.
acuerdo con las especificaciones de diseño? Ellos realizan auditorías y constantemente
R monitorean por medio de actas de trabajo y
Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la
5.- ¿Se asegura que todos los aspectos contractuales se identifican y Si.
1,00
direccionan para el software aplicativo desarrollado por terceros.?
1.- ¿Se desarrolla un plan de aseguramiento de calidad del software? No tienen plan, hay planes de prueba, se
Aseguramiento de la
aseguramiento de la
calidad del software
para el proyecto.
Crear un plan de
Desarrollar, Implementar los recursos y ejecutar un plan de cogen casos criticos y con eso se hace la
0,00
Calidad del
Mantenimie
aplicacione
Desarrollar
Aplicativo.
1,00
software.
Software
AI2.10 -
un plan
nto de
para el
de aplicaciones de software. 2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan.
software.? 0,00
104
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se genera un plan para adquirir la infraestructura tecnológica? No cuentan con un plan para reunirse y
verificar el requerimiento del usuario. Por
política del área TI cada 2 Años se cambian
los equipos, se puede decir que con este
Negociar la compra y adquirir la infraestructura requerida con
2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica? Si. 1,00
establecidos funcionales y técnicos del negocio, y que esté de
acuerdo con la dirección tecnológica de la organización. El 3.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Si se evalúa, se realiza una cotización y el
plan debe considerar extensiones futuras para adiciones de satisfaga los requerimientos establecidos funcionales del negocio, y que departamento de adquisiciones aprueba la 1,00
capacidad, costos de transición, riesgos tecnológicos y vida esté de acuerdo con la dirección tecnológica de la organización? compra a través de un cómite.
útil de la inversión para actualizaciones de tecnología. 4.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Sí.
Evaluar los costos de complejidad y la viabilidad comercial satisfaga los requerimientos establecidos técnicos del negocio, y que esté 1,00
del proveedor y el producto al añadir nueva capacidad de acuerdo con la dirección tecnológica de la organización?
técnica. 5.- ¿El plan considera extensiones futuras para adiciones de capacidad, No hay un documento de planificación que
costos de transición, riesgos tecnológicos y vida útil de la inversión para abarque estos temas. 0,00
actualizaciones de tecnología?
6.- ¿Se evalúa los costos de complejidad del proveedor? Es independiente del proceso de la compra, el
área de TI no evalúa al proveedor, este es un 1,00
proceso de logistica.
7.- ¿Se evalúa los costos de la viabilidad comercial del proveedor y el Ver respuesta anterior.
1,00
producto al añadir nueva capacidad técnica?
1.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Si se lo hace a nivel de desarrollo y de
durante la configuración de la infraestructura para proteger los recursos producción, cuando es necesario se crea base
y garantizar su disponibilidad e integridad? de datos para hacer pruebas a los aplicativos
para no afectar el proceso en linea una vez
probado se envia los aplicativos al Ing.
AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura.
1,00
Orellana encargado de los servidores para
que los pase a los servidores de producción.
Definir el procedimiento/ proceso de adquisición.
R 5.- ¿Se comprende claramente las responsabilidades al utilizar Sí cada especialista tiene asignado las
componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos. 1,00
desarrollan e integran los componentes de infraestructura?
6.- ¿Se monitorea el uso del recurso de infraestructura? Se monitorea, se hace un mantenimiento
E preventivo, mas o menos cada 4 meses a los
1,00
equipos, (servidores, equipos de
usuarios,etc).
1,00
M infraestrucutura? acuerdo el reporte de Help Desk.
2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura? A Nivel de equipos de computación. Son
P servicios que estan tercerizados.
1,00
Definir estrategia y planear el mantenimiento de infraestructura.
3.- ¿La estrategia desarrollada para el mantenimiento de la Si se garantiza pero no hay documentación
L infraestructura garantiza que se controlan los cambios, de acuerdo con el pero si hay análisis. 0,50
procedimiento de administración de cambios de la organización?
E
AI3.3 - Mantenimiento de la Infraestructura.
4.- ¿El plan desarrollado para el Mantenimiento de la Infraestructura Ver respuesta anterior.
M garantiza que se controlan los cambios, de acuerdo con el procedimiento
de administración de cambios de la organización?
0,50
E Desarrollar una estrategia y un plan de mantenimiento de la 5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión
infraestructura y garantizar que se controlan los cambios, de periódica contra las necesidades del negocio?
No hay.
0,00
N acuerdo con el procedimiento de administración de cambios 6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión Desarrolladores de aplicativos y Base de
de la organización. Incluir una revisión periódica contra las periódica contra la administración de parches? Datos se encargan en que versiones estan
T necesidades del negocio, administración de parches y desarrolladas las aplicaciones, Si hay 1,00
estrategias de actualización, riesgos, evaluación de actualizaciones, todo es con licencia no hay
A vulnerabilidades y requerimientos de seguridad. nada pirata.
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
Establecer el ambiente de desarrollo y pruebas para soportar 4.- ¿Se considera la integración de las aplicaciones en el ambiente de Si.
la efectividad y eficiencia de las pruebas de factibilidad e 1,00
adquisición y desarrollo?
integración de aplicaciones e infraestructura, en las primeras 5.- ¿Se considera el desempeño de las aplicaciones en el ambiente de Si.
fases del proceso de adquisición y desarrollo. Hay que 1,00
adquisición y desarrollo?
considerar la funcionalidad, la configuración de hardware y 6.- ¿Se considera la migración entre ambientes de las aplicaciones en el Si.
software, pruebas de integración y desempeño, migración 1,00
ambiente de adquisición y desarrollo?
entre ambientes, control de la versiones, datos y 7.- ¿Se considera el control de la versiones de las aplicaciones en el Si.
herramientas de prueba y seguridad. 1,00
ambiente de adquisición y desarrollo?
8.- ¿Se considera los datos y herramientas de prueba de las aplicaciones Si.
1,00
en el ambiente de adquisición y desarrollo?
9.- ¿Se considera la seguridad de las aplicaciones en el ambiente de Si.
1,00
adquisición y desarrollo?
10.- ¿Se considera la configuración de hardware y software de la Si se considera Cuando hay cambios lo hacen
infraestructura en el ambiente de adquisición y desarrollo? en un solo repositorio y es facil porque toda
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
105
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos
técnicos, la capacidad de operación y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico,
Desarrollar estrategia para que la solución sea
puedan tomar la responsabilidad oportunamente por la 2.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
producción de procedimientos de administración, de usuario técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
y operativos, como resultado de la introducción o en las aplicaciones?
actualización de sistemas automatizados o de 3.- ¿Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior.
infraestructura. técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
en la infraestructura?
4.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50
en la infraestructura?
1.- ¿Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo
empresa? que es beneficio. Si se entrega, el plan
1,00
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
aplicación. La transferencia de conocimiento incluye la 4.- ¿Se incluye en la transferencia del conocimiento la administración de Si.
1,00
aprobación de acceso, administración de privilegios, privilegios de las aplicaciones e infraestructura?
segregación de tareas, controles automatizados del negocio, 5.- ¿Se incluye en la transferencia del conocimiento la segregación de Si.
1,00
respaldo/recuperación, seguridad física y archivo de la tareas de las aplicaciones e infraestructura?
documentación fuente. 6.- ¿Se incluye en la transferencia del conocimiento los controles Si.
1,00
automatizados del negocio de las aplicaciones e infraestructura?
7.- ¿Se incluye en la transferencia del conocimiento el Si.
1,00
respaldo/recuperación de las aplicaciones e infraestructura?
8.- ¿Se incluye en la transferencia del conocimiento la seguridad física de Si.
1,00
las aplicaciones e infraestructura?
9.- ¿Se incluye en la transferencia del conocimiento el archivo de la Si.
1,00
documentación fuente de las aplicaciones e infraestructura?
A Transferencia de conocimiento y habilidades para permitir 1.- ¿Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe
resultados del entrenamiento
y ampliar la documentación
procedimiento del usuario
que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal. 1,00
D
Conocimiento a Usuarios
AI4.3 - Transferencia de
Desarrollar manuales de
el sistema de aplicación como apoyo a los procesos del aplicación como apoyo a los procesos del negocio?
como se requiera.
final. * Evaluar los
negocio. La transferencia de conocimiento incluye el 2.- ¿Se mejora las habilidades para permitir que los usuarios finales Si.
Q
Finales.
desarrollo de un plan de entrenamiento que aborde al utilicen con efectividad y eficiencia el sistema de aplicación como apoyo 1,00
U entrenamiento inicial y al continuo, así como el desarrollo de a los procesos del negocio.?
habilidades, materiales de entrenamiento, manuales de 3.- ¿Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual
I usuario, manuales de procedimiento, ayuda en línea,
asistencia a usuarios, identificación del usuario clave, y
plan de entrenamiento? network conection , manuales
usuario,procedimiento no, asistencia a
de
1,00
procedimiento.
2.- ¿Se capacita al personal técnico en relación a las aplicaciones e Si, en parte.
infraestructura atendiendo a los requerimientos de los usuarios de 0,50
E Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente?
Operaciones y Soporte.
personal de soporte técnico y de operaciones que entregue, 3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si.
1,00
apoyen y mantenga la aplicación y la infraestructura habilidades del personal de soporte técnico y de operaciones?
entrenamiento.
asociada de manera efectiva y eficiente de acuerdo a los 4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales de Si.
I niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte 1,00
conocimiento debe incluir al entrenamiento inicial y técnico y de operaciones?
M continuo, el desarrollo de las habilidades, los materiales de 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No.
entrenamiento, los manuales de operación, los manuales de operación en el desarrollo de las habilidades del personal de soporte 0,00
P procedimientos y escenarios de atención al usuario. técnico y de operaciones?
L 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No hay procedimiento.
procedimientos en el desarrollo de las habilidades del personal de 0,00
E soporte técnico y de operaciones?
7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios de Si.
M atención al usuario en el desarrollo de las habilidades del personal de 1,00
soporte técnico y de operaciones?
E 1.- ¿Se adquiere instalaciones para el área de TI? Si, (presupuesto) 1,00
acuerdo con las politicas
de adquisiciones a nivel
Desarrollar políticas y
AI5.1 - Control de
estándares consistente con el proceso general de 3.- ¿Se adquiere software para el área de TI? Si.
corporativo.
Adquisición.
1,00
T adquisiciones de la organización y con la estrategia de
adquisición para adquirir infraestructura relacionada con TI,
4.- ¿Se adquiere servicios necesarios por el negocio para el área de TI? Si. 1,00
5.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares No
A instalaciones, hardware, software y servicios necesarios por
consistente con el proceso general de adquisiciones de la organización?
0,00
el negocio.
R 6.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares
consistente con la estrategia de adquisición?
No
0,00
1.- ¿Se formula un procedimiento para establecer contratos para todos los Salir a convocatoria, se define lo que se va a
proveedores? generar el contrato, las ofertas y documentos,
adicional deben presentarse a sobre cerrado,
minimo tres propuesta de oferta. Es factible
tener mas proveedores, miden la parte
social(todos los trabajadores q esten
gozando el seguro), medio ambiente(dentro de
sus proceso cumplan con el medio ambiente.) 1,00
financiera(informe de los estados de cuenta
AI5 - Adquirir recursos de TI.
106
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal? Si.
Proveedores.
1,00
de propuesta
Seleccionar proveedores de acuerdo a una práctica justa y
Selección de
proveedores
un proceso
de solicitud
seleccionar
a través de
Evaluar y
AI5.3 -
formal para garantizar la mejor viable y encajable según los
(RFP). 2.- ¿Se selecciona proveedores de acuerdo a una práctica formal? Si. 1,00
requerimientos especificados. Los requerimientos deben estar 3.- ¿Los requerimientos estan optimizados con las entradas de los Si.
optimizados con las entradas de los proveedores potenciales. 1,00
AI5 - Adquirir recursos de TI.
proveedores potenciales?
1.- ¿Se protege los intereses de la organización en todo los contratos de Si.
1,00
Desarrollar contratos que protejan los intereses
adquisiciones de software?
de la organización. *Realizar adquisiciones de
2.- ¿Se protege los intereses de la organización en todo los contratos de Si.
AI5.4 - Adquisición de Recursos de TI.
conformidad con los procedimientos
1,00
adquisiciones de recursos de desarrollo?
3.- ¿Se protege los intereses de la organización en todo los contratos de Si.
1,00
adquisiciones de infraestructura?
Proteger y hacer cumplir los intereses de la organización en
4.- ¿Se protege los intereses de la organización en todo los contratos de Si.
establecidos.
1,00
forma consistente a las solicitdes de
solicitudes (incluyendo mantenimiento y parches) para 3.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
cambios a aplicaciones, procedimientos, procesos, los procesos?
parámetros de sistema y servicio, y las plataformas 4.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
fundamentales. los parámetros de sistema?
5.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si.
1,00
los servicios?
6.- ¿En las plataformas fundamentales se establecen procedimientos de No hay procedimientos.
0,00
A administración de cambio formales?
1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los Si se evalúan.
D 1,00
Impacto, Priorización y
prioridad a cambios en
Evaluar impacto y dar
AI6.2 - Evaluación de
base a las necesidades
Garantizar que todas las solicitudes de cambio se evalúan de impactos en el sistema operacional?
una estructurada manera en cuanto a impactos en el sistema 2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los Si.
Autorización.
Q
del negocio.
1,00
impactos en el sistema en su funcionalidad?
AI6 - Administrar cambios.
I
AI6.3 - Cambios de Emergencia.
crítico y de emergencia sigue el
2.- ¿Se establece un proceso para plantear los cambios de emergencia que No.
0,00
R no sigan el proceso de cambio establecido?
proceso aprobado.
Establecer un sistema de seguimiento y reporte para 1.- ¿Se establece un sistema de seguimiento para mantener actualizados a No se lo hace, pero se está trabajando para
M
Seguimiento y
mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes? que a través del sistema ellos conozcan el
Reporte del
Estatus de
Autorizar
0,00
cambios.
Cambio.
AI6.4 -
E 1.- ¿Se actualiza los cambios en los sistemas? Si se actualiza el sistema asociado. 1,00
relevante referente
2.- ¿Se actualiza la documentación de usuario? No, a veces se lo hace y otras no 0,50
información
del Cambio.
M
diseminar la
a cambios.
Entrenamiento.
acuerdo con el plan definido de entrenamiento e implantación de casa indicaciones básicas de acuerdo al 0,30
investigación.
AI7.1 -
1.- ¿Se establece un plan de pruebas basado en los estándares de la No cuentan con un plan pero si se realizan
0,50
AI7.2 - Plan de Prueba.
sálida) y la metodología
(criterio de entrada y
organización? pruebas.
estrategia de prueba
Definir y revisar una
de plan de prueba
Establecer un plan de pruebas basado en los estándares de la 2.- ¿Dentro de los estándares de la organización se definen los roles? No hay estandares. 0,00
operacional.
AI7 - Instalar y acreditar soluciones y cambios.
organización que define roles, responsabilidades, y criterios 3.- ¿Dentro de los estándares de la organización se definen las No.
0,00
de entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes. 4.- ¿Dentro de los estándares de la organización se definen los criterios No.
0,00
de entrada y salida?
5.- ¿Se asegura que el plan está aprobado por las partes relevantes? Si se aprueban por las partes. 1,00
1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás? Hay un cronograma de trabajo aprobado por
requirimientos de negocio
Construir y mantener un
Implantación.
acreditados.
pruebas de
de Prueba.
aceptación
Establecer
finales.
Conversión
conversaci
Ejecutar la
integració
Sistemas y
AI7.5 -
ón del
Datos.
2.- ¿Cuentan con una migración de infraestructuras como parte de los No.
incluyendo pistas de auditoria, respaldo y vuelta atrás. 0,00
métodos de desarrollo de la organización?
1.- ¿Las Pruebas de cambios independientemente están de acuerdo con los No tienen plan de pruebas.
AI7.6 - Pruebas
de Cambios.
pruebas de
aceptación
prueba y
conducir
finales.
107
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Asegurar que el dueño de proceso de negocio y los 1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultados No hay plan pero si lo hacen
0,50
Establecer ambiente de
pruebas de aceptación
interesados de TI evalúan los resultados de los procesos de de los procesos de pruebas como determina el plan de pruebas?
prueba y conducir
AI7.7 - Prueba de
Aceptación Final.
AI7 - Instalar y acreditar soluciones y
pruebas como determina el plan de pruebas. Remediar los 2.- ¿Se asegura que los interesados de TI evalúan los resultados de los Si se lo realiza empiricamente.
I 0,50
A procesos de pruebas como determina el plan de pruebas?
finales.
Seguimiento a pruebas, controlar la entrega de los sistemas 1.- ¿Se controla la entrega de los sistemas cambiados a operaciones, Si.
producción con base
I 1,00
AI7.8 - Promoción a
convenidos.
Producción.
acreditación
R
liberación a
de implantación. Obtener la aprobación de los interesados 2.- ¿Se obtiene la aprobación de los interesados clave, tales como Si.
E clave, tales como usuarios, dueño de sistemas y gerente de usuarios, dueño de sistemas y gerente de operaciones cuando sea 1,00
I apropiado?
N operaciones. Cuando sea apropiado, ejecutar el sistema en
R paralelo con el viejo sistema por un tiempo, y comparar el 3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si. 1,00
T comportamiento y los resultados. 4.- ¿Se compara el comportamiento y los resultados? Si. 1,00
A 1.- ¿Se establece procedimientos en línea con los estándares de gestión de No cuentan con un software. Cuando el
E
Implantación.
pruebas de
aceptación
Establecer
Revisión
AI7.9 -
finales.
0,00
de negocio y facilita el entendimiento común entre el cliente y requerimientos y las prioridades de negocio?
el(los) prestador(es) de servicio. El marco de trabajo incluye 3.- ¿El marco de trabajo facilita el entendimiento común entre el cliente y No cuentan con un marco de trabajo.
0,00
procesos para la creación de requerimientos de servicio, el(los) prestador(es) de servicio?
TI.
definiciones de servicio, acuerdos de niveles de servicio 4.- ¿El marco de trabajo incluye procesos para la creación de No cuentan con marco de trabajo pero si con
0,50
(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes requerimientos de servicio? SLAs.
de financiamiento. Estos atributos están organizados en un 5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo.
0,25
catálogo de servicios. El marco de trabajo define la acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?
estructura organizacional para la administración del nivel de 6.- ¿El marco de trabajo define la estructura organizacional para la No cuentan con Marco de Trabajo.
servicio, incluyendo los roles, tareas y responsabilidades de administración del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes. 0,00
responsabilidades de los proveedores externos e internos y de los
clientes?
DS1 – Definir y administrar los niveles de servicio
1.- ¿Se definen los servicios de TI sobre las características del servicio y
Si lo definen. Tienen un sofware de soporte
Definiciones base de los servicios de TI sobre las
servicios de TI.
Definición de
Construir un
métricas cualitativas y cuantitativas para la medición del parámetros al 100%. Esto está en proyecto.
Servicio.
serán entregados técnicamente los servicios para soportar el (los) SLA(s) estandar. 0,50
convenios de
Operación.
Niveles de
Definir los
de manera óptima?
Y
SLAs.
soportar el (los) SLA(s) de manera óptima. Los OLAs 2.- ¿Los OLAs especifican los procesos técnicos en términos entendibles No en su totalidad, solo una parte.
0,50
especifican los procesos técnicos en términos entendibles para el proveedor?
para el proveedor y pueden soportar diversos SLAs. 3.- ¿Los OLAs pueden soportar diversos SLAs? No tecnicamente, los soportan empíricamente.
0,50
D 1.- ¿Se monitorean continuamente los criterios de desempeño No se monitorean, sólo en el sistema se
Monitorear continuamente los criterios de desempeño 0,50
Monitorear y reportar
DS1.5 - Monitoreo y
A
Cumplimento de los
actualizar el catálago
de servicios de TI.
el desempeño del
punta. *Revisar y
y de los Contratos.
Niveles de Servicio
0,50
plan de mejora de
apoyo. *Crear un
Revisar los SLAs y
los Acuerdos de
los contratos de
los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo? pero no formalmente.
servicios.
P para asegurar que son efectivos, que están actualizados y que 2.- ¿Se revisan regularmente con los proveedores externos los acuerdos de En parte.
se han tomado en cuenta los cambios en requerimientos, los niveles de servicio y los controles de apoyo?
O para asegurar que son efectivos, que están actualizados y que
0,50
se han tomado en cuenta los cambios en requerimientos.
R 1.- ¿Se identifican todos los servicios de los proveedores? Si, pero falta estructurar. Tener una sola
Identificar y categorizar las
T
relaciones de los servicios
DS2.1 - Identificación de
Proveedores.
inconveniente.
criticidad. Mantener documentación formal de relaciones
2.- ¿Se categorizan los de acuerdo al tipo de proveedor, significado y No.
técnicas y organizacionales que cubren los roles y 0,00
criticidad?
responsabilidades, metas, entregables esperados, y
3.- ¿Se mantiene una documentación formal de relaciones técnicas? No. 0,00
credenciales de los representantes de estos proveedores.
4.- ¿Se mantiene una documentación formal de relaciones No hay.
0,00
organizacionales?
1.- ¿Se formaliza el proceso de gestión de relaciones con proveedores para
Habría que revisar el requerimento de
cada proveedor? calificación de proveedores. Logistica debe de
Definir y documentar los procesos de
proveedores para cada proveedor. Los dueños de las proveedor en el sistema BAAN se almacena
relaciones deben enlazar las cuestiones del cliente y los datos del proveedor, caso contrario por
proveedor y asegurar la calidad de las relaciones basadas en internet, otra opción es por paginas amarillas
la confianza y transparencia. (Ej.: a través de SLAs). o contactar a través de otros amigos de otras
empresas.
2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente y Si.
1,00
proveedor?
3.-¿aseguran la calidad de las relaciones basadas en la confianza y Si.
1,00
transparencia?
108
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar
proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si está
*Monitore plazo de la relación del servicio para todos los interesados.
suspensión de proveedores. *Evaluar las metas de largo
0,00
Proveedor.
Monitoreo
Desempeñ
Identificar,
riesgos del
prestación
mitigar los
0,00
valorar y
DS2.4 -
del
del
los requerimientos del negocio actuales y que se adhiere 2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientos Si.
1,00
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- ¿Se establece un proceso de planeación para la revisión del Si se establece. (Especialista en Soporte).
1,00
Establecer un proceso de planeación para la revisión del desempeño?
desempeño y la capacidad de
Planeación para la revisión del
Desempeño y la Capacidad.
Establecer un proceso de
desempeño y la capacidad de los recursos de TI, para 2.- ¿Se establece un proceso de planeación para la revisión de la Si. Se esta haciendo diagnóstico de redes,
DS3.1 - Planeación del
1,00
los recursos de TI.
asegurar la disponibilidad de la capacidad y del desempeño, capacidad de los recursos de TI? Base de Datos, Sistema Operativo.
con costos justificables, para procesar las cargas de trabajo 3.- ¿Los planes de capacidad y desempeño hacen uso de técnicas de Indirectamente si aprovechan los recursos y
acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeño, de capacidad metodologias de los proveedores, se basan en
capacidad y desempeño deben hacer uso de técnicas de de los recursos de TI, tanto actual como pronosticado? tècnicas apropiadas. Cada especialista de la
modelo apropiadas para producir un modelo de desempeño, Empresa de Producción interactúa con los 0,50
Capacidad y
T
capacidad
actiual de
Revisar el
DS3.2 -
TI en intervalos regulares para determinar si existe suficiente regulares? documento, solo se lo hace como una función
Actual.
DS3 – Administrar el desempeño y la capacidad
de TI.
y la
Desempeño Futuros.
DS3.3 - Capacidad y
contingencias, requerimientos de almacenamiento y ciclos de 2.- ¿La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la
Realizar un plan de
falta potencial de
Recursos de TI.
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementación, solo está escrito. Falta
D desempeño y la capacidad no están en el nivel requerido, inversión que permita la implementación.
TI.
Desarrollar planes de continuidad de TI con base en el marco 1.- ¿La empresa desarrolla planes de continuidad de TI con base en el No.
planes de continuidad de
Desarrollar y mantener
de trabajo, diseñado para reducir el impacto de una marco de trabajo, diseñado para reducir el impacto de una interrupción
Continuidad de TI.
DS4.2 - Planes de
interrupción mayor de las funciones y los procesos clave del mayor de las funciones?
negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de 0,00
TI.
0,00
Críticos de TI.
valoración de
impacto al
negocio y
análisis de
riesgo.
resistencia y establecer prioridades en situaciones de 2.- ¿Los puntos determinados en el plan construyen resistencia Si lo tienen pero está incompleto, pero si
0,00
recuperación. Evitar la distracción de recuperar los puntos estableciendo prioridades en situaciones de recuperacion? estan conscientes que se debe hacer.
menos críticos y asegurarse de que la respuesta y la 3.- ¿Se considera los requerimientos de resistencia, respuesta y Si, en el plan de contingencia, pero el plan no
0,00
recuperación están alineadas con las necesidades recuperación para diferentes niveles de prioridad? esta implantado.
109
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding.
DS4.4 - Mantenimiento
Exhortar a la gerencia de TI a definir y ejecutar
base a los objetivos de
procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado?
recursos de TI con
Continuidad de TI.
recuperación.
categorizar los
Identificar y
del Plan de
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del 1,00
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.
Probar el plan de continuidad de TI de forma regular para 1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurar No hay plan de continuidad, en el manual de
plan de continuidad sea vigente.
procedimientos de control de
que los sistemas de TI pueden ser recuperados de forma efectiva? procedimiento están descritas las funciones
cambios para asegurar que el
o desastre?
DS4 – Garantizar la continuidad del servicio
2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de No.
Asegurarse de que todos las partes involucradas reciban
Continuidad de TI.
continuidad de TI.
asegurar que los planes se distribuyan de manera segura? con el Departamento de Desarrollo
resultados de las
con base en los
Reanudaci
0,50
planes de
capacitaci
ón sobre
Servicios
Planear y
DS4.8 -
d de TI.
llevar a
está recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios? cuando ocurre.
de TI.
cabo
ón y
representar la activación de sitios de respaldo, el inicio de 2.- ¿Se aseguran que los responsables del negocio entiendan los tiempos No.
E procesamiento alternativo, la comunicación a clientes y a los de recuperación de TI?
0,00
G Almacenar fuera de las instalaciones todos los medios de 1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldo No.
0,00
DS4.9 - Almacenamiento de Respaldos Fuera de
La administración del sitio de almacenamiento externo a las 3.- ¿La administración del sitio de almacenamiento externo a las No tienen.
instalaciones, debe apegarse a la política de clasificación de instalaciones, está apegada a la política de almacenamiento de datos de 0,00
Y datos y a las prácticas de almacenamiento de datos de la la empresa?
empresa. La gerencia de TI debe asegurar que los acuerdos 4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos sean No.
0,00
con sitios externos sean evaluados periódicamente, al menos evaluados periódicamente?
D una vez por año, respecto al contenido, a la protección 5.- ¿Se aseguran de la compatibilidad del hardware y del software para Si, pero falta implementar la política de
ambiental y a la seguridad. Asegurarse de la compatibilidad poder recuperar los datos archivados y periódicamente probar y renovar renovar y probar.
A del hardware y del software para poder recuperar los datos los datos archivados?
archivados y periódicamente probar y renovar los datos
0,50
R archivados.
Una vez lograda una exitosa reanudación de las funciones de 1.-¿La gerencia de TI ha establecido procedimientos para valorar lo Se está implementando.
protección
Definir, establecer implement
administración de miento y la
almacena
DS4.10 -
Revisión
ón.
0,50
de
O 1.- ¿El nivel apropiado de seguridad de TI dentro de la organización esta No, falta implementar bastante. Se cambió
de Seguridad Administración de
Administrar la seguridad de TI al nivel más alto apropiado en linea sobre los requerimientos del negocio? todas las configuraciones de los ruteadores,
y operar un
proces de
(cuentas).
identidad
P
DS5.1 -
dentro de la organización, de manera que las acciones de se lleva registro de todos los que se están
0,30
administración de la seguridad estén en línea con los conectando, hicieron un estudio (Sliced cord,
O requerimientos del negocio. Deloitte, proporcionaron una matriz para
implementar las seguridades. y controles).
R Trasladar los requerimientos de negocio, riesgos y 1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TI Si.
mantener un
seguridad de
DS5.2 - Plan
cumplimiento dentro de un plan de seguridad de TI completo, se trasladan teniendo en consideracion la infraestructura de TI en cuanto 1,00
T
Definir y
plan de
de TI.
Asegurar que todos los usuarios (internos, externos y 1.- ¿Los usuarios y su actividad en TI son identificados de manera unica? Si.
DS5 – Garantizar la seguridad de los sistemas
1,00
mantenimiento) deben ser identificables de manera única. en línea con las necesidades del negocio?
DS5.3 - Administración de Identidad.
Permitir que el usuario se identifique a través de mecanismos 3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por la Si.
de autenticación. Confirmar que los permisos de acceso del gerencia del usuario para ser aprobados por el responsable del sistema? 1,00
usuario al sistema y los datos están en línea con las
necesidades del negocio definidas y documentadas y que los 4.- ¿Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El
potenciales.
requerimientos de trabajo están adjuntos a las identidades un repositorio central? administrador del aplicativo maneja las
del usuario. Asegurar que los derechos de acceso del usuario seguridades, el adminstrador de Base de
1,00
se solicitan por la gerencia del usuario, aprobados por el Datos las seguridades a nivel de BD., y el
responsable del sistema e implementado por la persona Administrador de comunicaciones el acceso a
responsable de la seguridad. Las identidades del usuario y la red.
los derechos de acceso se mantienen en un repositorio 5.- ¿Se despliegan técnicas efectivas en procedimientos rentables, que se No lo tienen.
central. Se despliegan técnicas efectivas en coste y mantienen actualizados para establecer la identificación del usuario?
procedimientos rentables, y se mantienen actualizados para 0,00
establecer la identificación del usuario, realizar la
autenticación y habilitar los derechos de acceso.
Garantizar que la solicitud, establecimiento, emisión, 1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios, Es uno de los puntos a mejorar, actualmente
suspensión, modificación y cierre de cuentas de usuario y de son tomados en cuenta por un conjunto de procedimientos de la gerencia se hace a través de los procedimientos de
DS5.4 - Administración de Cuentas del
privilegios y derechos de acceso de los
los privilegios relacionados, sean tomados en cuenta por un de cuentas de usuario? soporte. No hay manual de usuario. No hay
Revisar y validar periódicamente los
Usuario.
110
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se garantiza que la implementación de la seguridad en TI sea probada En un 20 %. El administrador de la red
procedimientos para mantener y
de Incidente de
procedimientos
Implementar y
través de la red
información a
técnicos y de
Definir claramente y comunicar las características de para que puedan ser clasificados propiamente por el proceso de gestión contingencia. Si hay mal uso en la red, lo
Seguridad.
mantener
controles
flujo de
incidentes de seguridad potenciales para que puedan ser de incidentes? primero que se hace es bloquear el problema
0,00
clasificados propiamente y tratados por el proceso de gestión y comunicar al jefe y se toman medidas
de incidentes y problemas. correctivas. No hay procedimiento
DS5 – Garantizar la seguridad de los sistemas
establecido.
1.- ¿Se garantiza que la tecnología relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de
Protección de
de Seguridad.
d de menera
la Tecnología
vulnerabilida
evaluaciones
Garantizar que la tecnología relacionada con la seguridad resistente al sabotaje? que no hay sotfware que revise cada
regular.
DS5.7 -
Realizar
sea resistente al sabotaje y no revele documentación de documento o correo, no tienen ese tipo de 0,50
de
través de la red.
procedimientos
la generación, cambio, revocación, destrucción, distribución, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la
Criptográficas.
Implementar y
información a
técnicos y de
autorizadas? información.
flujo de
DS5.8 -
1,00
llaves criptográficas estén implantadas, para garantizar la
protección de las llaves contra modificaciones y divulgación
no autorizadas.
1.- ¿La empresa cuenta con medidas preventivas en toda la organización Utilizan Kapersky y a través de la consola
DS5.9 - Prevención, Detección
administración de identidad
Definir, establecer y operar
para proteger los sistemas de la información de TI? controlan como va el tema de los virus. El
y Corrección de Software
Malicioso.
R Uso de técnicas de seguridad y procedimientos de 1.- ¿La empresa usa técnicas de seguridad y procedimientos de Si. Routeadores, firewall estàn trabajando
Seguridad de
d de menera
vulnerabilida
evaluaciones
administración asociados (por ejemplo, firewalls, administración asociados para autorizar acceso y controlar los flujos de para ver quienes pueden acceder a la red.
DS5.10 -
regular.
Realizar
la Red.
E dispositivos de seguridad, segmentación de redes, y detección información hacia las redes? Kapersky tambien tienen un firewall local y 1,00
de
de intrusos) para autorizar acceso y controlar los flujos de otro perimetral que siempre está trabajando
G información desde y hacia las redes. en la seguridad de acceso a la red.
1.- ¿Las transacciones de datos sensibles se intercambian a través de una Tienen un proxy para la web pero no tienen
A
DS5.11 - Intercambio de
0,50
privilegios y derechos
ruta o medio con controles para proporcionar autenticidad de contenido? para el correo electronico.
periódicamente los
Datos Sensitivos.
de acceso de los
Revisar y validar
R Transacciones de datos sensibles se intercambian solo a 2.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
usuarios.
través de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envío?
autenticidad de contenido, prueba de envío, prueba de 3.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
recepción y no repudio del origen. ruta o medio con controles prueba de recepción?
Y 4.- ¿Las transacciones de datos sensibles se intercambian a través de una En parte.
0,50
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los 1.- ¿Se identifican todos los costos de TI para soportar un modelo de Se identifican los costos en términos globales
mapearlos a los brindados/proce
tecnología, etc) y con los servicios
infraestructura
sos de negocio
Definición de
servicios de TI para soportar un modelo de costos costos transparente? por departamento pero no está detallado o
soportados.
D
Mapear la
Servicios.
DS6.1 -
costos unitarios.
los costos de TI
Contabilización
servicios de TI
con bases en
DS6.2 -
1,00
S reportarse de acuerdo con los sistemas de medición
financiera de la empresa.
O
1.- ¿Se define un modelo de costos de TI? Si. 1,00
P
DS6.3 - Modelación de Costos y Cargos.
2.- ¿El modelo de costos está alineado con los procedimientos de Si.
Establecer y mantener un proceso de
control de contabilización de TI y de
1,00
O Con base en la definición del servicio, definir un modelo de
costos que incluya costos directos, indirectos y fijos de los
contabilización de costos de la empresa?
3.- ¿Se garantiza que los cargos por servicios son identificables en el Si.
1,00
R servicios, y que ayude al cálculo de tarifas de reintegros de
cobro por servicio. El modelo de costos debe estar alineado
modelo de costos de TI?
4.- ¿Se garantiza que los cargos por servicios son medibles en el modelo Si.
1,00
T
costos.
Mantenimiento
del Modelo de
políticas de
mantener
Costos.
Entrenamiento y Educación.
DS7 – Educar y entrenar a usuarios
incluya: 2.- ¿Se actualiza de forma regular el programa de entrenamiento para Ver respuesta anterior.
• Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados? 0,00
• Valores corporativos (valores éticos, cultura de control y
seguridad, etc.) 3.- ¿El programa de entrenamiento incluye estrategias y requerimientos Si.
1,00
• Implementación de nuevo software e infraestructura de TI actuales y futuros del negocio?
(paquetes y aplicaciones) 4.- ¿El programa de entrenamiento incluye valores corporativos? Si. 1,00
• Habilidades, perfiles de competencias y certificaciones 5.- ¿El programa de entrenamiento incluye la Implementación de nuevo Si incluye. (BAAN).
1,00
actuales y/o credenciales necesarias. software e infraestructura de TI?
• Métodos de impartición (por ejemplo, aula, web), tamaño 6.- ¿El programa de entrenamiento incluye habilidades, perfiles de Recursos Humanos elegirá a las personas
0,00
del grupo objetivo, accesibilidad y tiempo. competencias y certificaciones actuales y/o credenciales necesarias? indicadas.
7.- ¿El programa de entrenamiento incluye métodos de impartición? Si. 1,00
Con base en las necesidades de entrenamiento identificadas, 1.- ¿Se designa instructores de entrenamiento a los grupos objetivo? Si. 1,00
DS7.2 - Impartición de
identificar: a los grupos objetivo y a sus miembros, a los 2.- ¿Se organiza el entrenamiento de los grupos objetivo con tiempo Si.
Entrenamiento y
programa de
capacitación.
Construir un
Educación.
111
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación Se está armando el plan de capacitación y se
DS7 – Educar y entrenar a
Entrenamiento Recibido.
*Identificar y evaluar los
capacitación, intrusión y
respecto a la calidad?
percepción y retención del conocimiento, costo y valor. Los
3.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No.
resultados de esta evaluación deben contribuir en la 0,00
respecto a la efectividad?
definición futura de los planes de estudio y de las sesiones de
4.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No.
entrenamiento. 0,00
respecto a la percepción y retención del conocimiento?
5.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No.
0,00
respecto al costo y valor?
1.- ¿Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos.
0,00
Crear procedimientos de clasificación (severidad e
problema?
Establecer la función de mesa de servicio, la cual es la
3.- ¿Los procedimientos de monitoreo permiten priorizar cualquier No.
conexión del usuario con TI, para registrar, comunicar, 0,00
DS8.1 - Mesa de Servicios.
problema?
atender y analizar todas las llamadas, incidentes reportados,
4.- ¿Existen procedimientos de escalamiento basados en los niveles de No.
requerimientos de servicio y solicitudes de información.
jerárquicos).
rastreo de llamadas, incidentes, solicitudes de servicio y 2.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
necesidades de información. Debe trabajar estrechamente
E con los procesos de administración de incidentes,
de incidentes?
3.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
N administración de problemas, administración de cambios,
administración de capacidad y administración de
de problemas?
4.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
1,00
T disponibilidad. Los incidentes deben clasificarse de acuerdo de cambios?
al negocio y a la prioridad del servicio y enrutarse al equipo 5.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
R de administración de problemas apropiado y se debe de capacidad?
1,00
mantener informados a los clientes sobre el estatus de sus 6.- ¿El sistema trabaja estrechamente con los procesos de administración Si.
E consultas. de disponibilidad?
1,00
7.- ¿Se mantiene informado a los clientes sobre el estatus de sus Si.
G consultas?
1,00
A Establecer procedimientos de mesa de servicios de manera 1.- ¿Existen procedimientos de mesa de servicios? No existen procedimientos bien elaborados. 0,00
DS8.3 - Escalamiento de
2.- ¿Se escalan apropiadamente los incidentes que no pueden resolverse No.
Clasificar, investigar y
0,00
R inmediata sean escalados apropiadamente de acuerdo con de forma inmediata de acuerdo con los límites acordados en el SLA?
Incidentes.
los límites acordados en el SLA (niveles de servicio) y, si es 3.- Se garantiza que la asignación de incidentes permanece en la mesa de No.
adecuado, brindar soluciones alternas. Garantizar que la servicios?
asignación de incidentes y el monitoreo del ciclo de vida
Y permanecen en la mesa de servicios, independientemente de 0,00
qué grupo de TI esté trabajando en las actividades de
resolución.
incidentes.
Incidentes.
A
cerrar
0,50
usuarios (por
s de estatus)
Tendencias.
Informar a
Análisis de
S
DS8.5 -
tiempos de respuesta, así como para identificar tendencias de 2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerencia Solo se lo emite como informativo.
problemas recurrentes de forma que el servicio pueda medir el desempeño del servicio y los tiempos de respuesta? 0,50
O mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
P 1.- ¿Existe una herramienta de soporte que contenga toda la información No.
procedimientos de
Repositorio y Línea
0,00
administración de
la configuración.
central que contenga toda la información relevante sobre los relevante sobre los elementos de configuración?
Configuración.
configuración.
repositorio de
planeación de
*Actualizar el
O
Desarrollar
elementos de configuración. Monitorear y grabar todos los 2.- ¿Existe un repositorio central que contenga toda la información No.
Base de
DS9.1 -
activos y los cambios a los activos. Mantener una línea base relevante sobre los elementos de configuración? 0,00
DS9 – Administrar la configuración
R de los elementos de la configuración para todos los sistemas 3.- ¿Se monitorean todos los activos y los cambios a los activos?
y servicios como punto de comprobación al que volver tras el
En parte. 0,50
T cambio.
4.- ¿Se graban todos los activos y los cambios a los activos?
1.- ¿Existen procedimientos de configuración?
En parte.
No.
0,50
0,00
E
inicial y establecer líneas
DS9.2 - Identificación y
Recopilar información
sobre la configuración
gestión y rastro de todos los cambios al repositorio de 3.- ¿Está integrado el procedimiento de configuración con la gestión de No.
0,00
base.
verificar y confirmar la integridad de la configuración actual integridad de la configuración actual e histórica? formal o establecido.
Integridad de la
Configuración.
configuración
detección del
autorizado).
software no
(incluye la
e histórica. Revisar periódicamente el software instalado 2.- ¿Se revisan periódicamente los datos de configuración para confirmar No.
0,00
contra la política de uso de software para identificar la integridad de la configuración actual e histórica?
software personal o no licenciado o cualquier otra instancia 3.- ¿Se revisa periódicamente el software instalado contra la política de Si. Se lo revisa cada seis meses cuando se
de software en exceso del contrato de licenciamiento actual. uso de software personal o no licenciado o cualquier otra instancia de hace el mantenimiento de equipos. 1,00
Reportar, actuar y corregir errores y desviaciones. software en exceso del contrato de licenciamiento actual?
Implementar procesos para reportar y clasificar problemas 1.- ¿Existen procesos para reportar problemas que han sido identificados No.
0,00
que han sido identificados como parte de la administración como parte de la administración de incidentes?
DS10 – Administrar los problemas
Clasificación de Problemas.
DS10.1 - Identificación y
de incidentes. Los pasos involucrados en la clasificación de 2.- ¿Existen procesos para clasificar problemas que han sido No.
Identificar y clasificar
problemas son similares a los pasos para clasificar identificados como parte de la administración de incidentes?
problemas.
2.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causa No.
Resolución de
112
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
DS10.3 - Cierre
registros de los
de Problemas.
Disponer de un procedimiento para cerrar registros de
*Mantener
problemas.
problemas.
DS10 – Administrar los
*Revisar el
problemas
estatus de
Resolver
Para garantizar una adecuada administración de problemas 1.- ¿Se garantiza una adecuada administración de problemas? No. 0,00
DS10.4 - Integración
Administraciones de
almacenamiento y para mejorar y crear
3.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos? No. 0,00
Emitir
de las
Administración de
0,50
del Negocio para
2.- ¿Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100%
Datos.
Almacenamiento y
regulatorios. 2.- ¿Existen procedimientos para el almacenaniento de los datos? Ver respuesta anterior. 0,50
3.- ¿Existen procedimientos para la retención de los datos? Ver respuesta anterior. 0,50
1.- ¿Existen procedimientos para mantener un inventario de medios No. Se lo hace empíricamente.
procedimientos
segura, medios
Administración
de Librerías de
0,00
para desechar
implementar
mantener e
almacenados?
Sistema de
y equipo.
DS11.3 -
Medios.
Definir,
inventario de medios almacenados y archivados para 2.- ¿Existen procedimientos para mantener un inventario de medios No.
0,00
asegurar su usabilidad e integridad. archivados?
E 3.- ¿Se aseguran de la usabilidad e integridad de los medios? No. 0,00
N Definir e implementar procedimientos para asegurar que los 1.- ¿Existen procedimientos para la protección de datos sensitivos que No hay procedimientos.
de acuerdo
esquema.
Eliminació
Respaldar
0,00
DS11.4 -
los datos
requerimientos de negocio para la protección de datos aseguren los requerimientos del negocio?
n.
T
al
sensitivos y el software se consiguen cuando se eliminan o 2.- ¿Existen procedimientos para la protección del software que aseguren No.
0,00
transfieren los datos y/o el hardware. los requerimientos del negocio?
R 1. ¿Existen procedimientos de respaldo de los sistemas en línea alineado Existen un procedimiento pero no está
0,50
restauración de datos.
procedimientos para
DS11.5 - Respaldo y
Definir, mantener e
Definir e implementar procedimientos de respaldo y 2. ¿Existen procedimientos de respaldo de las aplicaciones en línea Existen un procedimiento pero no está
implementar
0,50
restauración de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad? documentado.
G documentación en línea con los requerimientos de negocio y 3. ¿Existen procedimientos de respaldo de los datos en línea alineado con Existen un procedimiento pero no está
0,50
el plan de continuidad.
A los requerimientos de negocio y el plan de continuidad?
4. ¿Existen procedimientos de respaldo de la documentación en línea
documentado.
Existen un procedimiento pero no está
0,50
R alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las políticas y procedimientos para 1.- ¿Existen procedimientos para identificar los requerimientos de
documentado.
No hay procedimientos.
procedimiento
Requerimiento
s de Seguridad
Administració
0,00
mantener e
n de Datos.
DS11.6 -
Definir,
para la
Y datos para conseguir los objetivos de negocio, las políticas 2.- ¿Existen procedimientos para aplicar los requerimientos de seguridad
de seguridad de la organización y requerimientos aplicables al recibo?
No.
0,00
regulatorios
1.- ¿Se define los centros de datos físicos para el equipo de TI? Están Implícitos en el proceso porque solo
D están aquí. En las otras partes no hay, solo se 1,00
DS12.1 - Selección y Diseño del
Definir el nivel requerido de
Definir y seleccionar los centros de datos físicos para el lo maneja en forma remota.
A equipo de TI para soportar la estrategia de tecnología ligada 2.- ¿Se selecciona los centros de datos físicos para el equipo de TI? Si. 1,00
protección física.
Centro de Datos.
a la estrategia del negocio. Esta selección y diseño del 3.- ¿Se soporta la estrategia de tecnología ligada a la estrategia del Si por medio del plan estrátegico.
R esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
1,00
asociado con desastres naturales y causados por el hombre. 4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociado Se tienen identificado los desastres en el data
0,50
También debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre? center.
correspondientes, tales como regulaciones de seguridad y de 5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgo Se tienen identificado los desastres en el data
S salud en el trabajo. asociado con desastres naturales y causados por el hombre? center.
0,50
O 6.- ¿Se considera las leyes y regulaciones correspondientes, tales como Si, por medio del comitè de salud y seguridad
regulaciones de seguridad y de salud en el trabajo? en el trabajo.
1,00
P 1.- ¿Existen medidas de seguridad físicas alineadas con los Si pero falta implementar medidas de
DS12 – Administrar el ambiente físico
DS12.2 - Medidas de
T mantenga un perfil bajo respecto a la presencia de 4.- ¿Se establecen las responsabilidades sobre la resolución de incidentes Si.
de seguridad física?
operaciones críticas de TI. Deben establecerse las
E responsabilidades sobre el monitoreo y los procedimientos 1,00
de reporte y de resolución de incidentes de seguridad física.
1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios y Si.
Implementar medidas de
áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
Definir e implementar El acceso a locales, edificios y áreas emergencias?
ambiente físico.
debe justificarse, autorizarse, registrarse y monitorearse. 2.- ¿Existen procedimientos para limitar el acceso a locales, edificios y Si.
Esto aplica para todas las personas que accedan a las áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
instalaciones, incluyendo personal, clientes, proveedores, emergencias?
visitantes o cualquier tercera persona. 3.- ¿Existen procedimientos para revocar el acceso a locales, edificios y Si.
áreas de acuerdo con las necesidades del negocio, incluyendo las 1,00
emergencias?
1.- ¿Existen medidas de protección contra factores ambientales? Si. 1,00
o, monitoreo y
(mantenimient
Administrar el
Ambientales.
Protección
incluidos).
Diseñar e implementar medidas de protección contra factores 2.- ¿ Existen dispositivos especializados para monitorear y controlar el
ambiente
DS12.4 -
Si.
reportes
Factores
Contra
1,00
físico
leyes y los reglamentos, los requerimientos técnicos y del negocio, las 0,50
acceso físico.
implementar
Instalaciones
comunicaciones y de suministro de energía, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
DS12.5 -
Definir e
Físicas.
las leyes y los reglamentos, los requerimientos técnicos y del 2.- ¿El equipo de suministro de energía, esta administrado de acuerdo con Ver respuesta anterior.
negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos técnicos y del negocio, las 0,50
lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir, implementar y mantener procedimientos estándar 1.- ¿Existen procedimientos estándar para operaciones de TI? Falta elaborar procedimientos. 0,00
DS13 – Administrar las
DS13.1 - Procedimientos e
cambios, procedimientos
operación (incluyendo
para operaciones de TI y garantizar que el personal de 2.- ¿El personal de operaciones está familiarizado con todas las tareas de Si.
de escalamiento, etc).
manuales, planes de
procedimientos de
Instrucciones de
Operación.
113
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- ¿La programacion de trabajos está organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer,
DS13.2 - Programación de
Pogramación de cargas de
trabajo y de programas en
E Organizar la programación de trabajos, procesos y tareas en eficiente, maximizando el desempeño y la utilizacion para cumplir con los Verificar y Actuar).
requerimientos del negocio?
1,00
la secuencia más eficiente, maximizando el desempeño y la
N utilización para cumplir con los requerimientos del negocio. 2.- ¿La programacion de procesos esta organizado de una manera mas Si.
Tareas.
lote.
Deben autorizarse los programas iniciales así como los eficiente, maximizando el desempeño y la utilizacion para cumplir con los 1,00
T cambios a estos programas. Los procedimientos deben requerimientos del negocio?
R implementarse para identificar, investigar y aprobar las 3.- ¿La programacion de tareas esta organizado de una manera mas Si.
salidas de los programas estándar agendados. eficiente, maximizando el desempeño y la utilizacion para cumplir con los 1,00
E requerimientos del negocio?
G Definir e implementar procedimientos para monitorear la 1.- ¿Existen procedimientos para monitorear la infraestructura de TI? No está claramente, se lo hace empíricamente
0,00
DS13.3 - Monitoreo
de la Infraestructura
procesar y resolver
A
problemas.
que en los registros de operación se almacena suficiente 2.- ¿Existen procedimientos para monitorear los eventos relacionados? No.
de TI.
Sensitivos y Dispositivos
0,50
DS13.4 - Documentos
D
medios, etc).
2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivos No, solo en parte.
de TI más sensitivos tales como formas, instrumentos
A negociables, impresoras de uso especial o dispositivos de
tales como formas, instrumentos negociables, impresoras de uso especial
o dispositivos de seguridad?
0,50
R seguridad. 3.- ¿Existe una administración de inventarios adecuados sobre los activos No, solo en parte.
de TI más sensitivos tales como formas, instrumentos negociables, 0,50
impresoras de uso especial o dispositivos de seguridad?
S 1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno de Si.
*Implementar/establecer un proceso
la infraestructura?
Establecer el enfoque de para salvaguardar los dispositivos
O 1,00
interferencia, perdida o robo.
programa de infraestructura.
Aplicar cambios o arreglos al
P
del Hardware.
Definir e implementar procedimientos para garantizar el 2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de las Si.
O mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
1,00
frecuencia y el impacto de las fallas o de la disminución del
R desempeño.
T 3.- ¿Existen procedimientos para reducir la disminución del desempeño de Si.
la infraestructura?
E 1,00
1.- ¿Se establece un marco de trabajo de monitoreo general que definan el No hay.
ME1.1 - Enfoque del
Establecer un marco de trabajo de monitoreo general y un alcance, la metodología y el proceso a seguir para medir la solución y la 0,00
enfoque que definan el alcance, la metodología y el proceso a entrega de servicios de TI?
monitoreo.
Monitoreo.
seguir para medir la solución y la entrega de servicios de TI, y 2.- ¿Se establece un enfoque que definan el alcance, la metodología y el No hay.
0,00
Monitorear la contribución de TI al negocio. Integrar el marco proceso a seguir para medir la solución y la entrega de servicios de TI?
de trabajo con el sistema de administración del desempeño 3.- ¿Se monitorea la contribución de TI al negocio? No hay. 0,00
corporativo. 4.- ¿Se integra el marco de trabajo de TI con el sistema de administración No hay.
0,00
del desempeño corporativo?
1.- ¿Se definen un conjunto balanceado de objetivos de desempeño que Si por medio del Balance Score Card, se
ME1.2 - Definición y Recolección de
1,00
van acordes con las metas del negocio? registran los indicadores.
Identificar y recolectar objetivos
2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesos Si.
medibles que apoyen a los
Método de
Monitoreo.
monitoreo?
I
ME1.3 -
O 1.- ¿Se comparan de forma periódica el desempeño contra las metas? Si por medio del Balanced Scorecard, se
Desempeño.
desempeño
1,00
Evaluación
R
del
3.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado Si.
desempeño del portafolio empresarial de programas de 1,00
los entregables obtenidos?
inversión habilitados por TI, niveles de servicio de programas
Ejecutivos.
1,00
evaluación?
A 3.- ¿Se identifican e inician medidas correctivas basadas en reportes? Si. 1,00
4.- ¿En el seguimiento del monitoreo se incluye: Si.
R a) Una revisión.
ME1.6 - Acciones Correctivas.
b) La negociación.
1,00
Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administración
monitoreo del desempeño, evaluación y reportes. Esto incluye d) Asiganción de responsabilidades por la corrección.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: • Revisión, negociación y establecimiento 5.- ¿En el seguimiento de los reportes se incluye: Si.
de respuestas de administración. • Asignación de a) Una revisión.
responsabilidades por la corrección. • Rastreo de los b) La negociación.
1,00
resultados de las acciones comprometidas. c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
6.- ¿En el seguimiento de las evaluaciones se incluye: Si.
a) Una revisión.
b) La negociación.
1,00
c) Establecimiento de respuestas de administración.
d) Asignación de responsabilidades por la corrección.
e) Rastreo de los resultados de las acciones comprometidas?
114
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
control interno de TI 1.- ¿Se monitorea de forma continua el ambiente de control de TI y el Si.
de Control Interno.
Monitorización del
Marco de Trabajo
marco de trabajo de control de TI para satisfacer los objetivos 1,00
actividades de
Monitorear y
controlar las
ME2.1 -
ambiente de control de TI y el marco de trabajo de control de 2.- ¿Se compara el ambiente de control de TI y el marco de trabajo de Si.
1,00
TI para satisfacer los objetivos organizacionales. control de TI para satisfacer los objetivos organizacionales?
3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control Si.
1,00
de TI para satisfacer los objetivos organizacionales?
1.- ¿Se monitorea la eficiencia y efectividad de los controles internos de Si. AuditorÍa interna ejecuta las auditorías
Crear cuadro
Revisiones de
de mandos.
Auditoría.
revisión de la gerencia de TI? informáticas y ellos emiten un irforme de lo 1,00
ME2.2 -
1,00
auditados.
para identificar y
1,00
ME2 Monitorear y Evaluar el Control Interno
Control.
evaluación?
Evaluación.
Evaluar la completitud y efectividad de los controles de 2.- ¿Se evalúa la completitud y efectividad de los controles de gerencia No.
gerencia sobre los procesos, políticas y contratos de TI por sobre las políticas de TI por medio de un programa continuo de auto- 0,00
medio de un programa continuo de auto-evaluación. evaluación?
3.- ¿Se evalúa la completitud y efectividad de los controles de gerencia No tienen control de autoevaluación solo las
sobre los contratos de TI por medio de un programa continuo de auto- auditorías internas y externas. 0,00
evaluación?
1.- ¿Se obtiene un aseguramiento adicional de la completitud de los Si.
Monitorear el
proceso para
excepciones
remediar las
identificar y
de control.
1,00
miento del
Obtener, según sea necesario, aseguramiento adicional de la controles internos por medio de revisiones de terceros?
Asegura-
evaluar y
Interno.
ME2.5 -
Control
1,00
los controles operados
Monitorear el proceso
aseguramiento sobre
servicios externos?
M Evaluar el estado de los controles internos de los
para Terceros.
por terceros.
para obtener
2.- ¿Se confirma que los proveedores de servicios externos cumplen con Si.
proveedores de servicios externos. Confirmar que los 1,00
O proveedores de servicios externos cumplen con los
los requerimientos legales?
3.- ¿Se confirma que los proveedores de servicios externos cumplen con Si.
requerimientos legales y regulatorios y obligaciones 1,00
N contractuales.
los requerimientos regulatorios?
4.- ¿Se confirma que los proveedores de servicios externos cumplen con Si.
1,00
I las obligaciones contractuales?
1.- ¿Se identifican acciones correctivas derivadas de los controles de Si.
T evaluación y los informes?
1,00
ME2.7 - Acciones
interesados clave.
Reportar a los
A 1.- ¿Se identifican, sobre una base continua, leyes locales e Si.
legales, contractuales de
proceso para identificar
R
los requerimientos
Identificar, sobre una base continua, leyes locales e estándares, procedimientos y metodologías de TI de la organización?
Cumplimientos
Contractuales.
internacionales, regulaciones, y otros requerimientos 2.- ¿Se identifican, sobre una base continua, regulaciones que se deben de Si.
externos que se deben de cumplir para incorporar en las cumplir para incorporar en las políticas, estándares, procedimientos y 1,00
políticas, estándares, procedimientos y metodologías de TI de metodologías de TI de la organización?
Y la organización. 3.- ¿Se identifican, sobre una base continua, otros requerimientos Si.
externos que se deben de cumplir para incorporar en las políticas, 1,00
estándares, procedimientos y metodologías de TI de la organización?
E 1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de Si.
1,00
Requerimientos Externos.
Evaluar cumplimiento de
ME3 Garantizar el Cumplimiento Regulatorio
TI?
procedimientos de TI.
políticas, estándares y
actividades de TI con
ME3.2 - Optimizar la
de TI?
A metodologías de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
3.- ¿Se garantizan que los requisitos legales son direccionados y Si.
1,00
comunicados?
L comunicados. 4.- ¿Se garantizan que los requisitos regulatorios son direccionados y Si.
1,00
comunicados?
U 5.- ¿Se garantizan que los requisitos contractuales son direccionados y Si.
1,00
comunicados?
A 1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientos Si.
1,00
ME3.3 - Evaluación del
legales y regulatorios?
Cumplimiento con
R
Crear cuadro de
Requerimientos
de cumplimiento.
2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas las Si.
estándares y
Positivo del
ME3.5 - Reportes
1,00
regulatorios con
otras funciones
provenientes e
Integrados.
Integrar los
2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal.
regulatorios y contractuales con las salidas similares 1,00
salidas similares provenientes de otras funciones del negocio?
provenientes de otras funciones del negocio.
3.- ¿Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal.
1,00
las salidas similares provenientes de otras funciones del negocio?
1.- ¿Se define el marco de gobierno de TI con la visión completa del Si se lo hace.
1,00
ME4 Proporcionar Gobierno de
2.- ¿Se establece el marco de gobierno de TI con la visión completa del Si.
Establecer visibilidad y facililitación del
1,00
consejo y de los ejecutivos hacia las
Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visión completa del entorno de control y Gobierno 3.- ¿Se alinea el marco de gobierno de TI con la visión completa del Si.
Corporativo. Basar el marco de trabajo en un adecuado 1,00
entorno de control y Gobierno Corporativo?
actividades de TI.
Gobierno de TI.
proceso de TI y modelo de control y proporcionar la rendición 4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI? Si. 1,00
de cuentas y prácticas inequívocas para evitar una rotura en
5.- ¿Se basa el marco de trabajo en un adecuado modelo de control? Si.
TI
1,00
el control interno y la revisión. Confirmar que el marco de
gobierno de TI asegura el cumplimiento con las leyes y 6.- ¿El marco de trabajo proporciona la rendición de cuentas y prácticas Si.
1,00
regulaciones y que esta alineado, y confirma la entrega de, la inequívocas para evitar una rotura en el control interno y la revisión?
estrategia y objetivos empresariales. Informa del estado y 7.- ¿Se aseguran que el marco de gobierno de TI está cumpliendo con las Si.
1,00
cuestiones de gobierno de TI. leyes y regulaciones?
8.- ¿Se aseguran que el marco de gobierno de TI está alineado con las Si.
1,00
leyes y regulaciones?
9.- ¿Se informa del estado y cuestiones de gobierno de TI? Si. 1,00
115
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIÓN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Facilitar el entendimiento del consejo directivo y de los 1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI? Solo en parte. 0,50
ejecutivos sobre temas estratégicos de TI tales como el rol de 2.- ¿Se da a conocer a los ejecutivos sobre temas estratégicos de TI?
Revisar, avalar, alinear y comunicar el desempeño
de TI, la estrategia de TI, el manejo de recursos y
Administrar los programas de inversión habilitados con TI, 1.- ¿Se administra los programas de inversión habilitados con TI, así como Si.
1,00
así como otros activos y servicios de TI, para asegurar que otros activos y servicios de TI?
T
Crear cuadro
ofrezcan el mayor valor posible para apoyar la estrategia y 2.- ¿Se implementa un enfoque disciplinado de la administración del Si.
mandos.
1,00
los objetivos empresariales. Asegurarse de que los resultados portafolio?
O de negocio esperados de las inversiones habilitadas por TI y 3.- ¿El departamento de TI garantiza la optimización de los costos por la Si.
ME4 Proporcionar Gobierno de TI
1,00
R el alcance completo del esfuerzo requerido para lograr esos
resultados esté bien entendido, que se generen casos de
prestación de servicios?
4.- ¿El departamento garantiza las capacidades de TI? Si. 1,00
E 1.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas? Si, por medio del presupuesto y el control
parte de la gerencia de
Resolver los hallazgos
las recomendaciones
presupuestario. 1,00
Administración de
de la evaluaciones
implantación por
independientes y
acordadas.
Recursos.
medio de evaluaciones periódicas de las iniciativas y 2.- ¿Se revisa el uso de los activos de TI por medio de evaluaciones Si.
ME4.4 -
de negocio actuales y futuros. 3.- ¿Se revisa la asignación de los activos de TI por medio de evaluaciones Si.
periódicas? 1,00
Y Trabajar con el consejo directivo para definir el nivel de 1.- ¿Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No.
Generar un reporte de gobierno
0,00
riesgo de TI aceptable por la empresa y obtener garantía aceptable por la empresa?
ME4.5 - Administración de
razonable que las practicas de administración de riesgos de 2.- ¿Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No.
0,00
E TI son apropiadas para asegurar que el riesgo actual de TI no dirección?
Riesgos.
excede el riesgo aceptable de dirección. Introducir las 3.- ¿Se introduce las responsabilidades de administración de riesgos en la No.
de TI.
empresa? 1,00
A
la estrategia empresarial.
Revisar, avalar, alinear y
TI cumple las expectativas. Donde los objetivos confirmados 2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI? Si.
Desempeño.
Independiente.
Aseguramiento
Generar un
reporte de
conformidad de TI con la legislación y regulación relevante; 2.- ¿Se garantiza de forma independiente la conformidad de TI con las Si.
ME4.7 -
117
para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no
aceptable.
ANÁLISIS:
119
ANÁLISIS:
120
ANÁLISIS:
121
RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
Con el siguiente gráfico se muestra los procesos evaluados en el dominio Adquirir e
Implementar:
ANÁLISIS:
122
RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE
Se detallan los procesos del dominio Entregar y Dar Soporte los cuáles han sido
evaluados en el siguiente gráfico:
ANÁLISIS:
Para este análisis se detallan a continuación los procesos de menor cumplimiento del
dominio Entregar y Dar Soporte:
123
• Administrar los servicios de Terceros, con un 58% el departamento no
cuenta con un control donde se asegure las tareas y responsabilidades de las
terceras partes que estén claramente definidas, que cumplan y satisfagan los
requerimientos del negocio.
• Garantizar la Seguridad de los Sistemas, con un 56% está por debajo del
límite de aceptación no se salvaguarda la información contra uso no
autorizado, divulgación, modificación, daño o pérdida.
124
• Administrar los Problemas, con un 0% no se investigan las causas
subyacentes de las alteraciones de los servicios de TI, que permitan
determinar posibles soluciones de la manera más eficaz para que no vuelvan a
ocurrir.
125
RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR
El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el
gráfico siguiente:
ANÁLISIS:
126
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS
DE CONTROL
127
ANÁLISIS:
ANÁLISIS:
Para el análisis se considera el proceso, debido a que todos los objetivos de control
son de menor cumplimiento indicándonos que el departamento de sistemas debe
128
optar por un diseño estructural en entornos de información para facilitar la
comprensión y asimilación de las interfaces para los usuarios.
ANÁLISIS:
130
ANÁLISIS:
131
PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI
ANÁLISIS:
132
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN
DE LA GERENCIA
ANÁLISIS:
133
PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
ANÁLISIS:
ANÁLISIS:
La evaluación de cada objetivo de control refleja que cinco de los seis objetivos de
este proceso, tienen el menor porcentaje de cumplimiento y son:
136
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
ANÁLISIS:
En este proceso los seis objetivos de control que lo conforman tienen un menor
porcentaje de cumplimiento, lo cual se detalla a continuación:
138
PROCESO PO10 - ADMINISTRAR PROYECTOS
ANÁLISIS:
139
DOMINIO ADQUIRIR E IMPLEMENTAR
ANÁLISIS:
De los cuatro objetivos de control que conforman este proceso solo uno, que
corresponde al Estudio de Factibilidad y Formulación de Cursos de Acción
Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para
la implementación de requerimientos como se define en los estándares de desarrollo
y tampoco identifican soluciones alternas que sean rentables para la organización.
140
PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
ANÁLISIS:
La evaluación de cada uno de los 10 objetivos que conforman este proceso revela
que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:
• Diseño de Alto Nivel, con un 38% indica que para la adquisición de software,
no se tiene en cuenta las directivas tecnológicas y la arquitectura de
información de la organización y que la incompatibilidad técnica o lógica no
es evaluada.
ANÁLISIS:
Este proceso está conformado por cuatro objetivos de control de los cuales el de
menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura
que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien
definido en lo referente al control de cambios en la infraestructura tecnológica que
garantice que las aplicaciones críticas de la empresa se vean afectadas en su
desempeño.
142
PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO
Facilitar la operación y el uso hace referencia a cuatro objetivos de control los cuales
no todos pasan el porcentaje de cumplimiento, en el siguiente gráfico se detalla el
porcentaje de cumplimiento.
ANÁLISIS:
143
usuario y de operación, así como entrenamiento necesario al personal
involucrado incluyendo la gerencia, para el correcto uso del sistema. La base
de conocimientos está en proceso.
ANÁLISIS:
La valoración de los cuatro objetivos de control de este proceso nos revela que todos
los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se
aplican políticas y procedimientos para la adquisición de las TI y que la relación con
los proveedores se maneja en forma estratégica cuidando todos los aspectos.
144
PROCESO AI6 - ADMINISTRAR CAMBIOS
ANÁLISIS:
De los cinco objetivos de control que conforman este proceso, dos no alcanzan el
porcentaje aceptable de cumplimiento y son:
145
PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
ANÁLISIS:
Este proceso está compuesto de nueve objetivos de control, cinco de los cuales
obtuvieron un porcentaje de menor cumplimiento y son:
146
• Ambiente de Prueba, con un 50% implica que aunque cuentan con un
ambiente de prueba, este no está basado en un estándar pero si cuidan de no
afectar los datos.
• Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de
cambio se considera la seguridad y el desempeño el no contar con un plan de
pruebas las acciones que se tomen son inconsistentes.
147
DOMINIO ENTREGAR Y DAR SOPORTE
ANÁLISIS:
De los seis objetivos de control que conforman el proceso Definir y Administrar los
niveles de servicio, los de menor cumplimiento son los cinco que se detallan a
continuación:
148
• Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a
nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la
alineación de TI con los objetivos del negocio.
149
PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
ANÁLISIS:
• Monitoreo del Desempeño del Proveedor, con un 50% que indica que se
monitorea el desempeño del proveedor aunque no existe un proceso definido.
150
PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
ANÁLISIS:
152
PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
ANÁLISIS:
En este análisis se consideran los objetivos de control críticos del proceso, los cuales
se detallan a continuacion:
• Distribución del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
154
PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
ANÁLISIS:
156
PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS
ANÁLISIS:
En los cuatro objetivos de control que conforman este proceso se identificó que el de
menor cumplimiento es:
DS6.1 Definición de Servicios con un 50% indica que se los costos de TI son
identificados en términos globales pero no están clasificados.
157
PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
ANÁLISIS:
Este proceso consta de tres objetivos de control y en la evaluación los que obtuvieron
el menor cumplimiento son:
ANÁLISIS:
Se evaluó cada objetivo de este proceso determinando que los que obtuvieron el
menor porcentaje de cumplimiento son:
159
• Cierre de Incidentes, con un 0% nos revela que los incidentes no son
registrados apropiadamente y tampoco se confirma cual fue la acción tomada
y acordada con el cliente.
160
ANÁLISIS:
161
PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS
ANÁLISIS:
162
PROCESO DS11 – ADMINISTRAR LOS DATOS
ANÁLISIS:
163
• Acuerdos de Almacenamiento y Conservación, con un 50% relaciona que
no existen procedimientos para el archivo, almacenamiento y retención de los
datos, solo se hacen respaldos de información y únicamente lo que indica el
usuario cuando realizan mantenimiento.
164
PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO
ANÁLISIS:
165
PROCESO DS13 – ADMINISTRAR LAS OPERACIONES
ANÁLISIS:
Los objetivos de menor cumplimiento de este proceso son los que se detallan a
continuación:
166
• Monitoreo de la Infraestructura de TI, con un 0% revela la falta de
procedimientos definidos ya que de manera empírica realizan el monitoreo de
la infraestructura de TI.
167
DOMINIO MONITOREAR Y EVALUAR
ANÁLISIS:
168
PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO
ANÁLISIS:
169
PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO
ANÁLISIS:
Se puede verificar que después del análisis desarrollado en este proceso, los objetivos
de control que lo conforman cumplen con el 100% lo que indica que por medio del
departamento legal de la empresa se toman todas las medidas para garantizar el
cumplimiento con las regulaciones internas y externas.
170
PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI
ANÁLISIS:
Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:
En el gráfico se puede verificar que solo están detallados todos los objetivos críticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogió cinco de estos objetivos para que sean
desarrolladas las políticas.
ANÁLISIS:
175
internas o externas, pero siempre serán constantes y pueden ocurrir en cualquier
momento, el objetivo es impedir impactos al negocio.
ANÁLISIS:
ANÁLISIS:
Para segmentar los niveles de riesgo/sensibilidad se realizó una tabla donde se ubicó
los valores repetidos de la multiplicación de amenazas/objetos de mayor a menor con
el número de repeticiones, además el número total de celdas de la matriz. Para dividir
las celdas en regiones de mayor, mediano y menor riesgo se realizó la resta del total
de celdas con el total de las repeticiones dividido para cuatro (= ((48-12)/4)), dando
un total de nueve (9) para determinar los siguientes rangos:
178
ALTO RIESGO = De 1 a 9 celdas
En la siguiente tabla se verifica las áreas de alto, mediano y bajo riesgos clasificados
por color:
Nota: Las celdas con valor repetido se las considera una sola vez para la numeración
de los niveles de riesgo.
179
ANÁLISIS:
180
POLÍTICA PARA EL MONITOREO DE Código:
TENDENCIAS Y REGULACIONES FUTURAS XXX-GG-TI-P005
TECNOLOGÍA DE LA INFORMACIÓN Versión: 1
Página 1 de 1
I. OBJETIVO
II. ALCANCE
III. POLÍTICAS
181
POLÍTICA DEL COMITÉ ESTRATÉGICO Código:
DE TI XXX-GG-TI-P005
Versión: 1
TECNOLOGÍA DE LA INFORMACIÓN
Página 1 de 2
I. OBJETIVO
II. ALCANCE
III. POLÍTICAS
I. OBJETIVO
II. ALCANCE
III. POLÍTICAS
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de
pruebas y revisiones antes de ser aceptadas.
I. OBJETIVO
II. ALCANCE
III. POLÍTICAS
186
POLÍTICA PARA RECURSOS CRÍTICOS Código:
DE TI XXX-GG-TI-P005
Versión: 1
TECNOLOGÍA DE LA INFORMACIÓN
Pagina 1 de 1
I. OBJETIVO
II. ALCANCE
III. POLÍTICAS
187
CONCLUSIONES y RECOMENDACIONES
CONCLUSIONES
Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
así como también para detectar debilidades y riesgos potenciales de cada proceso del
departamento.
188
RECOMENDACIONES
• Protección de datos.
189
ANEXOS
Relacionar las metas del negocio con las de PO1.1 - Administración del Valor
0,17 90%
TI. de TI.
Relacionar las metas del negocio con las de PO1.2 - Alineación de TI con el
0,17 50%
TI. Negocio.
Identificar dependencias críticas y desempeño PO1.3 - Evaluación del Desempeño
TI
0,17 100%
actual. y la Capacidad Actual.
Construir un plan estratégico para TI. PO1.4 - Plan Estratégico de TI. 0,17 100%
Construir planes tácticos para TI. PO1.5 - Planes Tácticos de TI. 0,16 100%
Analizar portafolios de programas y
PO1.6 - Administración del
administrar portafolios de servicios y 0,16 100%
Portafolio de TI.
proyectos.
Crear y mantener modelo de información PO2.1 - Modelo de Arquitectura de
0,25 47%
corporativo/empresarial. Información Empresarial.
PO2 - Definir la Arquitectura de la
191
EVALUACIÓN POR CONTROLES - COBIT
PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
incluyendo comités y ligas a los interesados y PO4.5 - Estructura Organizacional. 0,07 100%
proveedores.
Establecer e implantar roles y
PO4.6 - Establecimiento de Roles y
responsabilidades de TI, incluida la 0,07 100%
Responsabilidades.
supervisión y segregación de funciones.
Establecer e implantar roles y
PO4.7 - Responsabilidad de
responsabilidades de TI, incluida la 0,07 0%
Aseguramiento de Calidad de TI.
supervisión y segregación de funciones.
Establecer e implantar roles y PO4.8 - Responsabilidad sobre el
responsabilidades de TI, incluida la Riesgo, la Seguridad y el 0,07 14%
supervisión y segregación de funciones. Cumplimiento.
Establecer e implantar roles y
PO4.9 - Propiedad de Datos y de
responsabilidades de TI, incluida la 0,07 33%
Sistemas.
supervisión y segregación de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.10 - Supervisión. 0,07 100%
supervisión y segregación de funciones.
Establecer e implantar roles y
PO4.11 - Segregación de
responsabilidades de TI, incluida la 0,07 100%
Funciones.
supervisión y segregación de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.12 - Personal de TI. 0,07 100%
supervisión y segregación de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.13 - Personal Clave de TI. 0,07 100%
supervisión y segregación de funciones.
Establecer e implantar roles y
PO4.14 - Políticas y Procedimientos
responsabilidades de TI, incluida la 0,07 100%
para Personal Contratado.
supervisión y segregación de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.15 - Relaciones. 0,07 50%
supervisión y segregación de funciones.
192
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
PO6 - Comunicar las Aspiraciones y la PO5 - Administrar la Inversión en Dar mantenimiento al portafolio de programas PO5.1 - Marco de Trabajo para la
0,20 100%
de inversión. Administración Financiera.
PO5.2 Prioridades dentro del
Dar mantenimiento al portafolio de proyectos. 0,20 33%
Presupuesto de TI.
193
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
Definir un sistema de administración de PO8.1 - Sistema de Administración
0,17 50%
PO8 - Administrar la Calidad calidad. de Calidad.
Establecer y mantener un sistema de PO8.2 - Estándares y Prácticas de
0,17 50%
administración de calidad. Calidad.
Crear y comunicar estándares de calidad a PO8.3 - Estándares de Desarrollo y
0,17 13%
toda la organización. de Adquisición.
Crear y comunicar estándares de calidad a PO8.4 - Enfoque en el Cliente de
0,17 83%
toda la organización. TI.
Crear y administrar el plan de calidad para la
PO8.5 - Mejora Continua. 0,16 0%
mejora continua.
Medir, monitorear y revisar el cumplimiento PO8.6 - Medición, Monitoreo y
0,16 0%
de las metas de calidad. Revisión de la Calidad.
Evaluar y seleccionar respuestas a riesgo. PO9.5 - Respuesta a los Riesgos. 0,16 17%
194
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
Definir e implementar métodos de PO10.5 - Declaración de Alcance
0,07 100%
aseguramiento y revisión de proyectos. del Proyecto.
Definir e implementar métodos de PO10.6 - Inicio de las Fases del
0,07 100%
aseguramiento y revisión de proyectos. Proyecto.
Definir e implementar métodos de PO10.7 - Plan Integrado del
0,07 100%
aseguramiento y revisión de proyectos. Proyecto.
PO10 - Administrar Proyectos
195
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
operativa. Operación.
AI4.2 - Transferencia de
Desarrollar metodología de transferencia de
Conocimiento a la Gerencia del 0,25 100%
conocimiento.
Negocio.
Desarrollar manuales de procedimiento del
usuario final. * Evaluar los resultados del AI4.3 - Transferencia de
0,25 100%
entrenamiento y ampliar la documentación Conocimiento a Usuarios Finales.
como se requiera.
Desarrollar documentación de soporte técnica AI4.4 - Transferencia de
para operaciones y personal de soporte. * Conocimiento al Personal de 0,25 57%
Desarrollar y dar entrenamiento. Operaciones y Soporte.
adquisición de TI de acuerdo con las políticas AI5.1 - Control de Adquisición. 0,25 67%
de adquisiciones a nivel corporativo.
197
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
valoración de riesgo.
Identificar y categorizar los recursos de TI con DS4.4 - Mantenimiento del Plan de
0,10 100%
base a los objetivos de recuperación. Continuidad de TI.
Definir y ejecutar procedimientos de control
DS4.5 - Pruebas del Plan de
de cambios para asegurar que el plan de 0,10 50%
Continuidad de TI.
continuidad sea vigente.
Probar regularmente el plan de continuidad de DS4.6 - Entrenamiento del Plan de
0,10 20%
TI. Continuidad de TI.
Desarrollar un plan de acción a seguir con DS4.7 - Distribución del Plan de
0,10 50%
base en los resultados de las pruebas. Continuidad de TI.
DS4.9 - Almacenamiento de
Planear la recuperación y reanudación de los
Respaldos Fuera de las 0,10 30%
servicios de TI.
Instalaciones.
Planear e implementar el almacenamiento y la
protección de respaldos. Establecer los DS4.10 - Revisión Post
0,10 50%
procedimientos para llevar a cabo revisiones Reanudación.
post reanudación.
Definir, establecer y operar un proceso de DS5.1 - Administración de la
0,09 30%
administración de identidad (cuentas). Seguridad de TI.
Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 0,09 50%
potenciales. Identidad.
Revisar y validar periódicamente los
DS5.4 - Administración de Cuentas
privilegios y derechos de acceso de los 0,09 0%
del Usuario.
usuarios.
Establecer y mantener procedimientos para
DS5.5 - Pruebas, Vigilancia y
mantener y salvaguardar las llaves 0,09 60%
Monitoreo de la Seguridad.
criptográficas.
Implementar y mantener controles técnicos y
DS5.6 - Definición de Incidente de
de procedimientos para proteger el flujo de 0,09 0%
Seguridad.
información a través de la red.
Realizar evaluaciones de vulnerabilidad de DS5.7 - Protección de la Tecnología
0,09 50%
manera regular. de Seguridad.
Realizar evaluaciones de vulnerabilidad de DS5.8 - Administración de Llaves
0,09 100%
manera regular. Criptográficas.
Establecer y mantener procedimientos para
DS5.9 - Prevención, Detección y
mantener y salvaguardar las llaves 0,09 100%
Corrección de Software Malicioso.
criptográficas.
Monitorear incidentes de seguridad, reales y
DS5.10 - Seguridad de la Red. 0,09 100%
potenciales.
DS5.11 - Intercambio de Datos
Definir y mantener un plan de seguridad de TI. 0,10 50%
Sensitivos.
198
EVALUACIÓN POR CONTROLES - COBIT
PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
DS7.1 - Identificación de
Identificar y categorizar las necesidades de
Necesidades de Entrenamiento y 0,33 57%
capacitación de los usuarios.
Educación.
DS7.2 - Impartición de
usuarios
(funcional y jerárquico).
Detectar y registrar incidentes/solicitudes de DS8.2 - Registro de Consultas de
0,20 100%
servicio/solicitudes de información. Clientes.
DS9.2 - Identificación y
Recopilar información sobre la configuración
Mantenimiento de Elementos de 0,33 0%
inicial y establecer líneas base.
Configuración.
Verificar y auditar la información de la
configuración (incluye la detección del DS9.3 - Revisión de Integridad de la
0,34 33%
software no autorizado). Actualizar el Configuración.
repositorio de configuración.
199
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
DS10.1 - Identificación y
DS10 – Administrar los Identificar y clasificar problemas.
Clasificación de Problemas
0,25 0%
problemas DS10.2 - Rastreo y Resolución de
Realizar análisis de causa raíz. 0,25 0%
Problemas
Resolver problemas. Revisar el estatus de
DS10.3 - Cierre de Problemas 0,25 0%
problemas.
Emitir recomendaciones para mejorar y crear DS10.4 - Integración de las
una solicitud de cambio relacionada. Mantener Administraciones de Cambios, 0,25 0%
registros de los problemas. Configuración y Problemas.
Traducir los requerimientos de DS11.1 - Requerimientos del
almacenamiento y conservación a Negocio para Administración de 0,17 25%
procedimientos. Datos.
DS11 – Administrar los datos
200
EVALUACIÓN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
0,14 100%
control interno de TI. de Trabajo de Control Interno.
201
ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO
OBJETIVOS DE CONTROL %
PO1.2 - Alineación de TI con el Negocio 50%
PO2.1 - Modelo de Arquitectura de Información Empresarial 47%
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificación de Datos 0%
PO2.4 - Administración de Integridad 25%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comité Estratégico de TI 0%
PO4.3 - Comité Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 14%
PO4.9 - Propiedad de Datos y de Sistemas 33%
PO4.15 - Relaciones 50%
PO5.2 - Prioridades dentro del Presupuesto de TI 33%
PO5.5 - Administración de Beneficios 33%
PO6.5 - Comunicación de los Objetivos y la Dirección de TI 50%
PO7.4 - Entrenamiento del Personal de TI 0%
PO7.5 - Dependencia Sobre los Individuos 50%
PO8.1 - Sistema de Administración de Calidad 50%
PO8.2 - Estándares y Prácticas de Calidad. 50%
PO8.3 - Estándares de Desarrollo y de Adquisición 13%
PO8.5 - Mejora Continua 0%
PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%
PO9.1 - Marco de Trabajo de Administración de Riesgos 50%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
PO9.3 - Identificación de Eventos 50%
PO9.4 - Evaluación de Riesgos de TI 50%
PO9.5 - Respuesta a los Riesgos 17%
PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos 50%
AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%
AI2.1 - Diseño de Alto Nivel 38%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI2.10 - Mantenimiento de Software Aplicativo 50%
AI3.3 - Mantenimiento de la Infraestructura 50%
AI4.1 - Plan para Soluciones de Operación 50%
AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte 57%
AI6.3 - Cambios de Emergencia 33%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.1 - Entrenamiento 30%
AI7.2 - Plan de Prueba 30%
AI7.4 - Ambiente de Prueba 50%
AI7.5 - Conversión de Sistemas y Datos 0%
AI7.6 - Pruebas de Cambios 33%
202
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO
OBJETIVOS DE CONTROL %
DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio 21%
DS1.3 - Acuerdos de Niveles de Servicio 50%
DS1.4 - Acuerdos de Niveles de Operación 50%
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 50%
DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos 50%
DS2.1 - Identificación de Todas las Relaciones con Proveedores 13%
DS2.4 - Monitoreo del Desempeño del Proveedor 50%
DS3.2 - Capacidad y Desempeño Actual 0%
DS3.3 - Capacidad y Desempeño Futuros 0%
DS3.4 - Disponibilidad de Recursos de TI 50%
DS3.5 - Monitoreo y Reporte 50%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Críticos de TI 0%
DS4.5 - Pruebas del Plan de Continuidad de TI 50%
DS4.6 - Entrenamiento del Plan de Continuidad de TI 20%
DS4.7 - Distribución del Plan de Continuidad de TI 50%
DS4.8 - Recuperación y Reanudación de los Servicios de TI 25%
DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones 30%
DS4.10 - Revisión Post Reanudación 50%
DS5.1 - Administración de la Seguridad de TI 30%
DS5.2 - Plan de Seguridad de TI 50%
DS5.4 - Administración de Cuentas del Usuario 0%
DS5.6 - Definición de Incidente de Seguridad 0%
DS5.7 - Protección de la Tecnología de Seguridad 50%
DS5.11 - Intercambio de Datos Sensitivos 50%
DS6.1 - Definición de Servicios 50%
DS7.1 - Identificación de Necesidades de Entrenamiento y Educación 57%
DS7.3 - Evaluación del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS8.5 - Análisis de Tendencias 50%
DS9.1 - Repositorio y Línea Base de Configuración 25%
DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%
DS9.3 - Revisión de Integridad de la Configuración 33%
DS10.1 - Identificación y Clasificación de Problemas 0%
DS10.2 - Rastreo y Resolución de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%
DS11.1 - Requerimientos del Negocio para Administración de Datos 25%
DS11.2 - Acuerdos de Almacenamiento y Conservación 50%
DS11.3 - Sistema de Administración de Librerías de Medios 0%
DS11.4 - Eliminación 0%
DS11.5 - Respaldo y Restauración 50%
DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%
DS12.5 - Administración de Instalaciones Físicas 50%
DS13.1 - Procedimientos e Instrucciones de Operación 50%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
DS13.4 - Documentos Sensitivos y Dispositivos de Salida 50%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluación 0%
ME4.2 - Alineamiento Estratégico 38%
ME4.5 - Administración de Riesgos 0%
OBJETIVOS DE CONTROL %
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificación de Datos 0%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comité Estratégico de TI 0%
PO4.3 - Comité Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO7.4 - Entrenamiento del Personal de TI 0%
PO8.5 - Mejora Continua 0%
PO8.6 - Medición, Monitoreo y Revisión de la Calidad 0%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos 0%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.5 - Conversión de Sistemas y Datos 0%
DS3.2 - Capacidad y Desempeño Actual 0%
DS3.3 - Capacidad y Desempeño Futuros 0%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Críticos de TI 0%
DS5.4 - Administración de Cuentas del Usuario 0%
DS5.6 - Definición de Incidente de Seguridad 0%
DS7.3 - Evaluación del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS9.2 - Identificación y Mantenimiento de Elementos de Configuración 0%
DS10.1 - Identificación y Clasificación de Problemas 0%
DS10.2 - Rastreo y Resolución de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas 0%
DS11.3 - Sistema de Administración de Librerías de Medios 0%
DS11.4 - Eliminación 0%
DS11.6 - Requerimientos de Seguridad para la Administración de Datos 0%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluación 0%
ME4.5 - Administración de Riesgos 0%
204
ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI
(A)
ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, en el área de TI y cuantificarlos para que la gerencia pueda tener información suficiente
al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente
puntos de análisis.
En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizará el método matricial
Amenazas Objetos
Pérdida de datos Archivos de base de datos
Desastre físico Computadoras/Discos
Robo Programas
Errores Terminal de operación
Acceso ilegal Reportes
Violación de privacidad Circuitos de comunicación
Terminales
Infraestructura
Análisis de Amenazas
Pérdida de Pérdida de
datos datos
Desastre
Desastre físico
físico
Robo Robo
Errores Errores
Violación de Violación de
privacidad privacidad
205
ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI
(B)
Análisis de Objetos
Archivos de Archivos de
base de datos base de datos
Computadoras/ Computadoras
Discos /Discos
Programas Programas
Terminal de Terminal de
operación operación
Reportes Reportes
Circuitos de Circuitos de
comunicación comunicación
Terminales Terminales
Infraestructura Infraestructura
Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el análisis de riesgo y
aplicar la evaluación
206
ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (1)
207
ANEXO 8: APLICACIÓN ANÁLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (2)
208
ANEXO 9: APLICACIÓN ANÁLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (3)
209
ANEXO 10: APLICACIÓN ANÁLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (4)
210
BIBLIOGRAFÍA
• IT Governance Institute. (2007). COBIT 4.1, Págs. 6, 9, 12, 13, 19, 29 , 33,
37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,
117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling
Meadows,EE.UU.: IT Governance Institute.
211
DEFINICIONES DE TÉRMINOS
AD HOC: Es una locución latina que significa literalmente «para esto». Se refiere a
una solución elaborada específicamente para un problema o fin preciso.
212
DELPHI: Es una metodología de investigación multidisciplinaria para la realización
de pronósticos y predicciones.
HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.
214
PROCESO: Por lo general, un conjunto de procedimientos influenciados por las
políticas y estándares de la organización.
QMS: Asegurar las funciones de una organización eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.
STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.
215