UNIVERSIDAD PRIVADA ANTENOR ORREGO

FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERIA DE COMPUTACIÓN Y
SISTEMAS

AUDITORIA DE SISTEMAS DE INFORMACIÓN

INFORME DE AUDITORIA
“AREA DE SOPORTE TECNICO – WINNER SYSTEMS SAC

INTEGRANTES:

Rufino Rivera; José Walter

Lazo Flores; Carlos Emilio

Perez Sánchez; Luis Alberto

PROFESOR:

Ing. ABANTO CABRERA HEBER GEISON

PIURA – PERÚ

2018
Introducción:

La información en la actualidad es un elemento crítico para el éxito y la supervivencia

de las empresas y organizaciones y es por esa razón que las mismas deciden la
administración efectiva de la información y su resguardo considerando además la
Tecnología de la Información (TI) relacionada y generada en esta sociedad global
donde la información viaja a través del ciberespacio, son la restricción del tiempo,
distancia y velocidad, siendo la información y la tecnología la que soporta la
sobrevivencia de la empresa de ahí que la información es uno de los activos más
importantes y valiosos de la empresa y organizaciones, el soporte, motivo por el cual
los responsables de la empresa en su nivel jerárquico más elevado, optan por
implantar métodos, modelos y sistemas de seguridad de la información, los mismos
deben ser evaluados en su eficiencia y eficacia, es ahí donde la auditoria interviene
permitiendo su revisión y análisis por medio de estándares, buenas prácticas, guías,
etc. aceptadas y de aplicación internacional que permiten que se evidencie el estado
de los Sistemas de Seguridad de la Información.
 1. ORIGEN DE LA AUDITORIA:
La presente auditoria se realiza con el fin de identificar el estado actual del Soporte
técnico de la empresa Winner Systems SAC.

2.1. Los problemas Detectados

Existe evidencia que la empresa ha reconocido que los problemas que existen y
requieren ser solucionados. Sin embargo no existe un proceso estándar en su lugar
existen enfoques que tienden a ser aplicados de forma individual o por caso por caso.
El enfoque general hacia la administración es desorganizado.

2.2. Posibles causas, problemas y fallas que originaron la situación

presentada

Existe evidencia que la empresa ha reconocido que los problemas que existen y
requieren ser solucionados. Sin embargo no existe un proceso estándar en su lugar
existen enfoques que tienden a ser aplicados de forma individual o por caso por caso.
El enfoque general hacia la administración es desorganizado.
Se han desarrollado los procesos hasta el punto en que sigan procedimientos
similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar y se deja la responsabilidad al
individuo. Existe un alto grado de confianza en conocimiento de los individuos y por lo
tanto, los errores son muy probables.

2.3. Alternativas de solución

Los procedimientos se han estandarizado y documentado, y se han difundido a través
de entrenamiento y se han difundido a través de entrenamiento. Sin embargo, se deja
que el individuo decida utilizar estos procesos y es poco probable que se detecten
desviaciones. Los procedimientos en si son sofisticados pero formalizan las prácticas
existentes.

2.4. Comentario y observaciones de la Dirección de Informática y de

los usuarios sobre las soluciones propuestas.

Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas

cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo
constante mejora y proporcionan buenas prácticas. Se usa la automatización y
herramientas de una manera limitada o fragmentada.
2.5. Si se opta por una alternativa de solución, cuáles son sus
repercusiones, ventajas y desventajas, y tiempo estimado para
efectuar el cambio.

Los procesos se han refinado hasta el nivel de mejor práctica se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI
se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas
para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera
rápida.

2.7. Tabla de impacto de los objetivos de control de COBIT:

 CALIFICACION IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86
3. Fases del proceso de auditoría.

1. El negocio
 Razón Social: WINNER SYSTEMS SAC
 RUC: 20453884091
 Rubro Económico: Actividades de telecomunicaciones, tecnología de la
información y de servicios informáticos.
 Ubicación Oficinas: Jr. Junín 163 – Piura – Piura
 VISION: Ser líderes en soluciones de telecomunicaciones de bajo costo,
soportados con una estructura organizacional y tecnológica orientada al desarrollo
de productos y servicios innovadores, con un equipo humano profesional
altamente capacitado, creativo, permanentemente motivado y comprometido con
la creación de valor para la empresa y la comunidad.
 MISION: Proveer soluciones de telecomunicaciones de bajo costo a usuarios
finales, aliados o socios estratégicos, integrando servicios de excelencia con
tecnología de nuestra propiedad o de terceros, anticipándonos a las demandas del
mercado con un permanente mejoramiento interno.
 Organigrama:

2. Roles y equipos
 Jefe de Proyecto: Rufino Rivera, José Walter
 Analista del sistema de negocio: Luis Pérez Sánchez
 Modelador de datos: Luis Pérez Sánchez
  Diseñador ETL: Lazo Flores, Carlos Emilio
 Seguridad, Calidad de los datos: Perez Sánchez, Luis

3. Recursos
I.3.1. Personal
Trabajan 3 personas:
 Rufino Rivera, José Walter
 Lazo Flores, Carlos Emilio
 Perez Sánchez, Luis

I.3.2. Hardware y software

Software:
 Lenguaje por utilizar: Java con Spring Framework + Angular 2.0 con
MSSQL 2014.
 Diseño web: HTML5, CSS3, Typescript.

Hardware:

 CPU: Core i5, 2.53 Ghz, Cache L2.

 Memoria RAM: 8 Gb.
 Tarjeta de red: 10/100/1000 Mbps.
 Sistema Operativo: Windows Vista / 7 / 10, Linux.

4. Selección de la Estrategia de Implementación

Para desarrollar la solución para el área de Atención al Cliente de la Empresa
Winner Systems SAC, se utilizará como estrategia de implementación el
enfoque conocido como de abajo hacia arriba, ya que vamos a partir de lo
particular para llegar a lo general.

Motivos por los cuales se seleccionó esta estrategia:

 Es una implementación mucho más rápida.

 Las decisiones se toman de forma rápida, con participación de poca cantidad de
gente.
 El gasto es mucho menor en relación a los beneficios.
 Se realizarán prototipos para poder obtener un resultado óptimo.
Descripción

Área de Soporte técnico, es un área de Winner Systems SAC que depende de la Subgerencia de
operaciones y Proyectos.

STP en Organigrama de Winner Systems SAC

Gerencia General

Gerencia Administrativa

Subgerencia Subgerencia Subgerencia Operaciones y Proyectos

Logística Servicio Técnico

Soporte Técnico

El Área de Soporte técnico depende de las subgerencias de Operaciones y

Proyectos de Winner Systems SAC.
El Área brinda soporte en el monitoreo, gestión, evaluación e interrelación de
su infraestructura de red (Servidores, routers, estaciones base, UPS ’s).
De la misma manera se encarga del mantenimiento de toda la infraestructura
de red de la empresa, además atiende las consultas de nuestros clientes
buscando dar una solución en línea al incidente presentado o se programa un
mantenimiento en el sitio, cumpliendo con los acuerdos de nivel de servicio
estando siempre disponibles los mismos.
El presente informe aborda la definición del proyecto, la organización interna
del grupo de trabajo, del área, las herramientas de hardware y software para
realizar un correcto diagnóstico y mantenimiento de la infraestructura de red y
los indicadores basados en las mejores prácticas de la industria.
Cargos y funciones operativas:

Apellidos y Nombres Cargos operativos Cargos funcionales

Luis Pérez Sánchez
José Rufino Rivera
David Castillo Nima
Juan Izquierdo Ríos
Jefe de tecnologías Delegar funciones al personal
de información y y gestionar los procesos del
comunicaciones. área de tecnologías de
información
Especialista en Administración de la seguridad
seguridad de Redes de la red de transporte en la
organización.
Especialista en Administración de los accesos
arquitectura de de los usuarios.
servidores
Especialista en base Administración de la base de
de datos datos de la organización.

Organización interna

Las funciones del área de TIC se han divido en áreas, según el tipo de elementos de la
infraestructura de red con que se trabaja. Sin embargo, todos los miembros del equipo
TIC se apoyan entre sí en el desarrollo de cualquiera de las funciones cuando es
necesario.

STP Organigrama Interno

SOPORTE

Dirección
SOPORTE

OPERACIONES MANTENIMIENTO

Entorno

Como consecuencia de su actividad, SOPORTE TECNICO tiene que

interactuar con el resto de las entidades de la empresa, ya sean otras áreas
(tales como logística) o sean dispersas (como los usuarios).
Subgerencia de Operaciones y Proyectos
La interacción con el área de SOPORTE se presenta en los reportes que se
deben entregar a gerencia. Se reportan las incidencias y averías que
comprometan la disponibilidad de nuestros servicios, las incidencias y averías
de nuestra infraestructura de red y las incidencias y averías con respecto a
nuestros clientes finales, de la misma manera las actividades que impliquen
adquisición de nuevo hardware (costos y causa).

Proveedores:
La interacción del área de , SOPORTE TECNICO con otras empresas se
presenta cuando se coordinan trabajos de operación y mantenimiento de
nuestra infraestructura de red como es el caso con ZTE, mantenimiento de
nuestras líneas de transmisión eléctricas con Itelsac – ENOSA, además de
otras empresas nacionales e internacionales, encargadas de suministrar de
equipos, componentes y software a STP. La gestión de órdenes de compra es
realizada por el Área de Logística.

Logística:
Es el área encargada de todas las compras de la empresa. La interacción con
el TI se presenta de tres formas: Primero, cuando SOPORTE especifica una
orden de compra (aprobada por gerencia) de hardware o software y se la envía
a logística para que sea atendida. Segundo, cuando logística valida con TIC
una solicitud de compra de un usuario. Tercero, cuando logística recepcionar
un elemento de hardware y/o software es enviado a STP para su puesta en
marcha.

Emprendedores:
Son las personas que adquieren nuestros servicios (TUP – INTERNET -
ABONADOS). La interacción de STP con los emprendedores se da de dos
formas: primero en atención y solución en línea de las incidencias y segundo in
site resolviendo las averías programadas dando la continuidad a los servicios.

Almacén:
Encargada de almacenar todos tipo de ítems de Winner Systems SAC.
La interacción con el área de SOPORTE se presenta cuando un equipo y/o
componente es dado de baja y es enviado a almacén.

2.1 Areas involucradas

Las áreas y funciones del STP considerados en el estudio son los siguientes:

Funciones Área de Mantenimiento

- Programación de mantenimiento preventivo de equipos.

Consiste en la calendarización del mantenimiento preventivo según una
frecuencia de tiempo (mensual, anual, etc.) que se establece según sea el
equipo.

- Mantenimiento preventivo de equipos.

Consiste en la programación y realización de una revisión del estado de
funcionamiento de los equipos y componentes.

- Mantenimiento correctivo de hardware.

Consiste en la reparación, reemplazo de un equipo o componente fallido.
Esta reparación puede estar a cargo del STP o del proveedor, dependiendo
del sistema de garantías del equipo o componente en cuestión.

Funciones Área de Operaciones

Activación de equipos

Consiste en la recepción, revisión, instalación, prueba y de equipos.

Soporte en Equipos SDH.

Soporte en Equipos Microondas.

Soporte en Equipos de Core.

Soporte en Equipos BTS

 Instalaciones CPE (TUP – ABONADOS - INTERNET

3.1. Planeación:

La auditoría será realizada por el ing Carlos Lazo Flores en el área de Soporte
técnico debido a que aquí se encuentran ubicados gran parte de los equipos de
cómputo con los que cuenta la empresa Winner Systems SAC.
Por medio de la observación realizada se procedió a la realización de entrevistas y
cuestionarios con el gerente general de Winner Systems SAC y así poder determinar
con más precisión cuales son los problemas presentados y poder dar un dictamen más
específico.

Documentos de gestión del área de soporte técnico no cuenta con el manual de

procedimientos administrativos informáticos, ni tampoco con la documentación
requerida las cuales son:
 Mantenimiento preventivo y correctivo de equipos de cómputo y
telecomunicaciones.
 Un plan de contingencia.
 Seguridad de los datos y equipos de cómputo.

Plan de la auditoria en el área de soporte técnico, se cuenta con apoyo de la alta

gerencia de la organización solicitando la participación de los principales trabajadores
de la organización donde se realizaran las siguientes acciones:

N° ACTIVIDADES
1 Observación general del área de Soporte.
2 Entrevistas a los trabajadores del área de Soporte.
3 Analizar los documentos de gestión y cuentas
4 Verificar si los equipos de los que se cuenta en la actualidad concuerdan
con su inventario.
5 Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
6 Evaluar las tecnologías de información (TI), tanto en hardware como en
software
7 Evaluación de la seguridad física, lógica y de redes.
Herramientas y técnicas:

HERRAMIENTAS TECNICAS
Cuaderno de apuntes, papel, lapicero, Observación entrevistas y cuestionarios.
antivirus ESET SMART SECURITY 7.0,
Office 2016 y otros

Motivo y necesidad de esta auditoria informática.

 Síntomas de inseguridad informática
 Síntomas de descoordinación y desorganización

3.2. Definición de objetivos y alcance de la auditoría.

OBJETIVOS Y ALCANCE:

Revisar y evaluar los sistemas de cómputo, su eficiencia, seguridad y calidad de los diferentes
equipos que son utilizados por la empresa Winner Systems SAC para poder brindar el
cumplimiento de sus objetivos.

OBJETIVOS ESPECÍFICOS:

 Evaluar el sistema físico (cableado, conectores, terminales).

 Determinar cómo se encuentra distribuido cada uno de los ambientes del centro de
control de operaciones.
 Evaluar la forma como se administran los dispositivos de almacenamiento.
 Evaluar el hardware, sistemas operativos, sistemas de gestión de bases de datos,
redes, multimedia, etc.
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de los equipos de
cómputo.
 Los objetos de datos en su sentido más amplio (es decir, externos e internos,
estructurados y no estructurados, gráficos, sonido, documentación del sistema, etc.).
 Capacidad del personal, conciencia y productividad para planificar, organizar, adquirir,
entregar, apoyar y monitorear sistemas y servicios de información.
 Procedimientos manuales y programados.
Gestión Integral de Riesgos Empresariales Enfoque ISO 31000:

Se desarrolla con el propósito de brindar una herramienta confiable para la

identificación, análisis y gestión de riesgos que permita generar planes de continuidad
del negocio garantizando el cumplimiento de los objetivos estratégicos de la compañía,
para esto es necesario conocer la norma ISO 31000 que es la base para generar las
recomendaciones.
Fallas en el control de riesgos y control interno:
 Tener una mentalidad de solamente de cumplimiento.
 Tratar el riesgo como algo negativo y pasar por alto que las entidades tienen
que asumir riesgos en la búsqueda de sus objetivos.
 Gestión de riesgos y control interno demasiado centrados en la información
financiera externa.
 Visualizar la gestión de riesgos y el control interno como predominantemente
importante para las operaciones.
Fuente de Peligros:
La fuente de peligro se entenderá como todos los peligros asociados a Equipos,
Materiales y Ambiente, conforme al siguiente detalle:

Inexistencia de manuales de operación

Falta de mantenimientos preventivos e inductivos
EQUIPOS Fallas en los sistema de aislación
Cables y conductores eléctricos sin protección
Falta de manual de instrucciones (original)
Productos incompatibles o reactivos
Falta de hoja de datos de seguridad
Materiale
Almacenamiento incorrecto
s
Falta de rotulado
Herramientas defectuosas sin sello de garantía.
Radiación UV
Iluminación insuficiente
Postura ergonómica incorrecta
Ambiente
Ruido
Falta de señalización
Presencia de gases o agentes tóxicos
 IDENTIFICACION DE PELIGROS
AREA ACTIVIDAD PELIGRO RIESGO CONSECUENCIA
Generación de reclamos
No tener un plan de
por parte de
Ejecución de plan contingencia Interrupción del servicio de
los usuarios, para la
de contingencia por en caso de interrupción del internet por
reposición del servicio
Soporte Técnico corte servicio la duración de corte de
de internet o que
de suministro de electricidad en caso de servicio, generando
suspenda de manera
eléctrico. corte por malestar entre los usuarios
definitiva de nuestros
parte de la concesionaria.
servicios.
Caídas desde el poste a una
Empalmar fibra Puede producir la muerte
Atención al cliente No usar los EPS. altura
óptica o lesiones graves
mayor a 2 metros.
Inconvenientes al momentos
de resolver las A falta de un insumo
Compra de Retrasos en la entrega de
averías debido a que los fundamental se pueden
Logística herramientas para herramientas al
técnicos tienen saltar los procedimientos
la operación personal técnico.
que improvisar a falta de las técnicos.
mismas.
Al tener turnos demasiado
Turnos de personal técnico prolongados, se generan
demasiado pagos de horas extras a
Solución de una Tiempos de solución
Soporte Técnico prolongados, debido a que no los trabajadores
avería demasiado prolongados
se ha solucionado generando pérdidas
una incidencia. económicas por falta de
efectividad.
 VALOR PROBABILIDAD CONSECUENCIA
3 BAJO BAJO
6 MEDIO MEDIO
9 ALTO ALTO

CONSECUENCI
A DESCRIPCION
Se genera una lesión o enfermedad que no genera días de descanso al
BAJO trabajador.
Evaluación como área con algunas deficiencias.
Se genera una lesión o enfermedad que genera días de descanso al trabajador.
MEDIO Gatos adicionales en logística por calidad de las herramientas.
Evaluación como área deficiente.

Se genera una lesión o enfermedad que genera una invalidez o la muerte.

ALTO Se genera una multa excesiva por parte de Osiptel por reclamos de los
usuarios.

PROBABILIDAD LIJERAMENTE EXTREMADAMENTE

DAÑINO(6)
CONSECUENCIA DAÑINO (4) DAÑINO (8)
12 a 20 12 a 20 24 a 36 Riesgo
BAJA (3) Riesgo Bajo Riesgo Bajo Moderado
12 a 20 24 a 36 Riesgo 40 a 54 Riesgo
MEDIA (5) Riesgo Bajo Moderado Importante
24 a 36 Riesgo 40 a 54 Riesgo 60 a 72 Riesgo
ALTA (9) Moderado Importante Crítico

RIESGO RESIDUAL

Probabilidad Severidad Evaluación del Riesgo Nivel del Riesgo

(P) (S)
8 6 48 RIESGO IMPORTANTE
9 8 72 RIESGO CRITICO
4 6 24 RIESGO MODERADO
7 6 42 RIESGO IMPORTANTE
 MEDIDAS DE CONTROL

Generar un requerimiento de un UPS, baterías en serie y su instalación, que haga que los servidores
sigan funcionando en caso ocurra un corte del suministro eléctrico.
Elaborar un procedimiento de contingencia, manuales y procedimiento para proveer antes del corte
del servicio de luz y asegurarse que los equipos de contingencia
estén funcionando de manera correcta.

Asegurarse que el supervisor a cargo del trabajo de alto riesgo cumpla los estándares de seguridad
como la elaboración del documento ARL, verificar que el personal que se tiene
a cargo cumpla con todos sus EPPS asignados, cumplir el procedimiento de verificar el área de trabajo y
herramientas a usar y la charla de 5 minutos.

Asegurarse que los materiales requeridos sean aprobados por la gerencia en el menor tiempo posible y
así mismo hacer seguimiento de las órdenes para generar la
entrega de las herramientas, o la penalización por incumplimiento a los proveedores.
Brindar a los colaboradores cursos de especialización que ofrecen distintos proveedores, institutos o
universidades para mejorar el desempeño de sus labores y la efectividad
de una avería cuando la misma se da en las distintas circunstancias.
 DOMINIO: PLANIFICAR Y ORGANIZAR
Definir el plan Estratégico de tecnología de la información

NIVEL DE MADUREZ Cumpl No OBSERVACIONES

e cumple
Nivel No existe conciencia por parte
x
0 la gerencia en la planeación estratégica de TI El proceso de definir el
 
plan estratégico de tecnología
Nivel La planeación estratégica de TI se en el nivel de madurez 1.
discute de forma ocasional en las x
1
reuniones de gerencia.  
Nivel Las decisiones estratégicas se toman proyecto
por proyecto sin ser consistentes con una estrategia global de la x
2
organización.  

Nivel La planeación estratégica de TI, sigue un Objetivos no cumplidos:

enfoque estructurado, el cual se documenta y se x Que no existe un plan estratégico de TI y
3 estrategias de recursos de la
da a conocer a todo el equipo.  
organización.
Nivel Existen procesos bien definidos para determinar e No se realizar planes a largo plazo de TI,
uso de recursos internos y externos requeridos en el x haciendo solo actualizaciones debido a los
4 avances tecnológicos.
desarrollo y las operaciones de los sistemas.  

Nivel Se desarrollan planes realistas a largo plazo de TI y se actualizan

de manera constante para reflejar los cambiantes avances x
5
tecnológicos en el proceso del negocio.  

Recomendaciones:
Planes a largo plazo de TI.
Tomar decisiones estratégicas.
Definir los recursos internos y externos
 NIVEL DE MADUREZ No OBSERVACIONES
Cumple cumple
El conocimiento, la experiencia y las responsabilidades necesarias para
Nivel 0 desarrollar esta arquitectura no existen en la organización.
x
  El proceso de definir el
plan estratégico de tecnología
La gerencia reconoce la necesidad de una arquitectura de información. El en el nivel de madurez 1.
Nivel 1 desarrollo de algunos componentes de una x
arquitectura de información  
Las personas obtienen sus habilidades al construir sus habilidades al
Nivel 2 construir la arquitectura de información por medio de la experiencia x
práctica.  

Objetivos no cumplidos:
Nivel 3 Existe una función de administración de datos definida formalmente, que x No se resolvieron las necesidades futuras
establece estándares para toda la organización y empieza a reportar sobre de negocio realizando el proceso de la
el uso de la arquitectura de información.   arquitectura de la información.
Aprovechar las habilidades personales para
Nivel 4 x la construcción de la arquitectura de
El proceso de definición de la arquitectura de información la información.
se enfoca resolver las futras necesidades del negocio.  

El personal de TI cuenta con la experiencia y las habilidades necesarias para

Nivel 5 desarrollar y dar mantenimiento a una arquitectura de información.
x
 

Recomendaciones:
Desarrollar y mantener la arquitectura de información
Tener claro la definición del proceso de arquitectura de la información
Ser partícipe de la arquitectura de la información para incrementar sus habilidades.

DOMINIO: ADQUIRIR E IMPLEMENTAR

 Identificar Soluciones Automatizadas
No
NIVEL DE MADUREZ Cumple OBSERVACIONES
cumple

La organización no requiere de la identificación de los

Nivel
requerimientos funcionales y operativos para el desarrollo x  
0 implantación o modificación de soluciones, tales como sistemas.

Nivel
Existe investigación del análisis estructurado, mínimo de la tecnología disponible.   x
1

Determinar el proceso para la

Nivel El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores,
  x solución
2 tales como las decisiones tomadas por el personal involucrado.
de TI, según el requerimiento
del negocio.

Documentación de los procesos

El procesa para determinar las soluciones de TI realizados.
Nivel se aplica para algunos proyectos con base en factores
  x
3 tales como las decisiones tomadas por el personal involucrado la cantidad de tiempo administrado
dedicado, y el tamaño y prioridad del requerimiento de negocio original.

Nivel La documentación de los proyectos es de buena

  x
4 calidad y cada etapa se aprueba adecuadamente.
 La metodología está soportada en bases de datos
Nivel
de conocimiento internas y externas que contienen material de referencia sobre soluciones   x
5 tecnológicas.

Recomendaciones:
Soportar la metodología de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de decisiones.
Resaltar priorizar especificar los requerimientos funcionales y técnicos priorizando el desempeño, costo la confiabilidad.
 DOMINIO: ENTREGAR Y DAR SOPORTE
Identificar Soluciones Automatizadas

No
NIVEL DE MADUREZ Cumple OBSERVACIONES
cumple

Nivel
La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio. x  
0

Nivel La responsabilidad y la rendición de cuentas sobre la definición y la administración de servicios

x  
1 no está definida

Los reportes de los niveles de servicio están incompletos y pueden ser irrelevantes o engañosos El proceso de definir y administrar los
para los niveles de
Nivel servicio está en el nivel de madurez 1.
clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades   x
2 y la iniciativa de
los administradores. Objetivos no cumplidos:
No ordenar los procesos de desarrollo
El proceso de desarrollo del acuerdo de niveles de servicio está en orden y cuenta con puntos de
Nivel por niveles de servicio.
control   x Realizar reportes de servicio
3 para revalorar los niveles de servicio y la satisfacción del cliente.
de forma completa y relevante.
La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño
Nivel
reflejan las necesidades del   x
4 cliente, en lugar de las metas de TI.
Nivel Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los
  x
5 niveles de satisfacción del cliente son administrados y monitoreados de manera continua.
Recomendaciones:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio, estos reporte deben mantener un for un formato

DOMINIO: MONITOREAR Y EVALUAR

 Identificar Soluciones Automatizadas

No
NIVEL DE MADUREZ Cumple OBSERVACIONES
cumple
TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se da
Nivel
cuenta con reportes útiles, oportunos y precisos x  
0 La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.
No se han identificado procesos estándar de recolección y evaluación. El monitoreo se
Nivel
implanta y las métricas se seleccionan de acuerdo a cada   x
1 caso de acuerdo a las necesidades de proyectos y procesos de TI específicos. El proceso de monitorear
y evaluar el desempeño de TI está en el
Nivel La interpretación de los resultados del monitoreo se basa en la experiencia de individuos nivel 0.
  x
2 clave.
Las mediciones de la contribución de la función de servicios de información al desempeño de Objetivos no cumplidos:
Nivel Poder identificar los procesos estándares
la organización se han definido, usando criterios   x
3 financieros y operativos tradicionales. de evaluación.
Identificar todos los procesos y servicios
Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los de TI.
Nivel
sistemas de reporte de la administración   x
4 de TI están formalizados.
Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño y
Nivel
están integradas en los marcos de trabajo   x
5 estratégicos tales como Balanced Scorecard.
Recomendaciones:
Definir un método de monitoreo de balance.
Evaluar el desempeño comparándolo periódicamente con las metas.
Realizar un marco de trabajo de monitoreo general garantizado por la gerencia.
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
 NIVEL DE
DOMINIO PROCESO MADUREZ
Definir el plan estratégico de Tecnología de
información 1
Definir la arquitectura de la información 1
PLANIFICAR Y
Determinar la dirección Tecnología 1
ORGANIZAR
Definir los procesos, la organización y las
relaciones de TI 2
Administrar la inversión de TI 4
Identificar soluciones automatizadas 1
Adquirir y mantener Software Aplicativo. 2
ADQUIRIR E
Adquirir y mantener Infraestructura tecnológica 1
IMPLEMENTAR
Facilitar la operación del uso 1
Adquirir recursos de TI. 4
Definir y administrar los niveles de servicio 1
Administrar los servicios de terceros 3
ENTREGAR Y DAR
Administrar el desempeño y la capacidad 1
SOPORTE
Garantizar la continuidad del servicio. 1
Garantizar la seguridad de los sistemas. 1
Monitorear y evaluar el desempeño de TI 0
MONITOREAR Y Monitorear y evaluar el control interno. 0
EVALUAR Garantizar el cumplimiento regulatorio. 1
Proporcionar Gobierno de TI 0

NIVEL DE
DOMINIO PROCESO MADUREZ
Definir el plan estratégico de Tecnología de
información 1
  5
Definir la arquitectura de la información 1
  5
PLANIFICAR Y Determinar la dirección Tecnología 1
ORGANIZAR   5
Definir los procesos, la organización y las
relaciones de TI 2
  5
Administrar la inversión de TI 4
  5
ADQUIRIR E Identificar soluciones automatizadas 1
IMPLEMENTAR   5
Adquirir y mantener Software Aplicativo. 2
  5
Adquirir y mantener Infraestructura tecnologica 1
  5
Facilitar la operación del uso 1
  5
 Adquirir recursos de TI. 4
  5
Definir y administrar los niveles de servicio 1
  5
Administrar los servicios de terceros 3
  5
ENTREGAR Y DAR Administrar el desempeño y la capacidad 1
SOPORTE   5
Garantizar la continuidad del servicio. 1
  5
Garantizar la seguridad de los sistemas. 1
  5
Monitorear y evaluar el desempeño de TI 0
  5
Monitorear y evaluar el control interno. 0
MONITOREAR Y   5
EVALUAR Garantizar el cumplimiento regulatorio. 1
  5
Proporcionar Gobierno de TI 0
  5

Resultados finales del impacto sobre los criterios de información:

20.4
TABLA REAL DE IMPACTO 45.04 48.5 7.63 11.53 9.46 18.2 4
TABLA IDEAL DE 19.5
IMPACTO 94.3 97.8 5 32.9 28.7 35.05 40.1  
39.0 32.9 50.9
PORCENTAJE ALCANZADO 47.76 49.59 3 35.05 6 51.93 7 43.9

 Efectividad: Para este criterio de información se obtuvo un porcentaje de 47.76%

sobre el 100 %, es decir que la información que es de importancia para Winner
Systems que deber ser entrega de forma veraz tiene el porcentaje de 47.76 %.
 Eficiencia: Para este criterio de información se obtuvo un porcentaje de 49.59 % sobre
el 100 %, es decir que la información que debe generar el uso óptimo de los recursos
de Winner System es un porcentaje del 49.59 %.
 Confidencialidad: Para este criterio de información se obtuvo un porcentaje de 39.03
% sobre el 100 %, es decir que la protección información que debe generar el uso
óptimo de los recursos de Winner System es un porcentaje del 39.03 %.
 Integridad: Para este criterio de información se obtuvo un porcentaje de 35.05% sobre
el 100 %, es decir la distribución de la información exacta y correcta, así como su
validez con las expectativas de la empresa tiene un porcentaje del 35.05 %.
 Disponibilidad: Para este criterio de la información se obtuvo un porcentaje del 32.96
% sobre el 100 %, es decir la accesibilidad de la información cuando esta sea requerida
por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas
a la misma en Winner Systems tiene el porcenatje de 32.96 %.
 Cumplimiento: Para este criterio de la información se obtuvo el porcentaje del 51.93%
sobre el 100 % es decir que el cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometido tiene un porcentaje de 51.93 %.
 Confiabilidad: Para este criterio de la información se obtuvo el porcentaje del 50.97 %
sobre el 100%, es decir proveer la información apropiada para que la administración
tome decisiones adecuadas para manejar y cumplir con sus responsabilidades, tiene el
porcentaje del 50.97 %.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACION

 CRITERIOS DE LA
PORCENTAJE OBSERVACIONES
INFORMACION

EFECTIVIDAD 47.76% El objetivo es alcanzar el 100 % para esto

la información en Winner Systems, debe ser entregada
de forma oportuna, correcta, consistente y utilizable.
El objetivo es alcanzar el 100 % para esto
EFICIENCIA 49.59% la información debe ser generada optimizando
los recursos.
El objetivo es alcanzar el 100 %, para lo cual se debe
CONFIDENCIALIDA
39.03% proteger la información sensitiva contra revelación
D
no autorizada.
El objetivo es alcanzar el 100 %, para lo cual la
INTEGRIDAD 35.05%
información debe ser precisa completa y valida.
El objetivo es alcanzar el 100 %, para lo cual la
DISPONIBILIDAD 32.96% información debe estar disponible cuando esta se
requiera por parte de las áreas del negocio en cualquier
momento.
El objetivo es alcanzar el 100 %, para lo cual se debe
CUMPLIMIENTO 51.93% respetar las leyes, reglamentos y acuerdos contractuales
a los que esté sujeta el proceso de negocio, como
políticas internas.
El objetivo es alcanzar el 100 %, para lo cual se debe
proporcionar
CONFIABILIDAD 50.97% la información apropiada, con el fin de que la gerencia
general
administre la entidad.

Conclusiones:

 Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a
alinear Soporte Técnico, es decir identificar riesgos, gestionar recursos y medir el
desempeño y madurez de cada uno de los procesos de Winner Systems.
 Los gerentes y usuarios son beneficiados con el uso de COBIT ya que este marco de
referencia ayuda a entender sus sistemas de TI, de igual forma decidir el nivel de
seguridad y control para proteger los activos ( información, hardware, Software, etc.),
de Winner Systems mediante un modelo de desarrollo de gobernación de TI.
 Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los
procesos de TI en Winner Systems, además se ha diagnosticado cada uno de los
criterios de la información los cuales son efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.