Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2020- 2021
GRUPO 8
Integrantes:
Nivel: Décimo
1
Actividad 1
cada proceso.
1. Información de la empresa
de acero para la construcción. Actualmente está ubicada entre las 25 empresas más
2. Selección de Procesos
ocupacional.
Plan Estratégico de Desarrollo Institucional (PEDI), se realiza el mapeo para priorizar los
procesos.
Metas corporativas de la empresa NOVACERO vs. Metas corporativas de COBIT 5.
4
De acuerdo con los resultados obtenidos se identificaron 8 metas corporativas que la
Empresa NOVACERO debe priorizarlas, para posteriormente llevarlas en cascada hacia las
5
Metas corporativas de COBIT 5 vs. Metas relacionadas con TI de COBIT 5.
6
De acuerdo con el mapeo de metas corporativas vs metas relacionadas con TI, de la
empresa NOVACERO para posteriormente relacionarlos con los procesos, se obtuvo los
siguientes resultados:
7
Metas relacionadas con las TI EMPRESA NOVACERO vs. Procesos relacionados con las TI de COBIT 5.
Tabla 6 Metas relacionadas con las TI EMPRESA NOVACERO vs. Procesos relacionados con las TI de COBIT 5
Fuente: ISACA
Entrega de
programas que
proporcionen
Realización de Entrega de beneficios a
Metas relacionadas con las TI EMPRESA
beneficios del servicios Uso adecuado Seguridad de la tiempo, dentro
NOVACERO vs. Procesos relacionados
Riesgos de portafolio de Transparencia de TI de de Información, Optimización del presupuesto Personal del Conocimiento,
con las TI de COBIT 5
Alineamiento negocio inversiones y de los costos, acuerdo aplicaciones, infraestructura de activos, y satisfaciendo Cumplimiento negocio y de experiencia e
de TI y relacionados servicios beneficios y con los información y de recursos y los requisitos y con políticas las TI iniciativas para la
estrategia de con las TI relacionados riesgos de las requisitos soluciones Agilidad procesamiento y capacidades de normas de internas por competente y innovación de
negocio. gestionados. con las TI. TI. de negocio tecnológicos. de las TI. aplicaciones. las TI calidad. parte de las TI. motivado. negocio.
1 4 5 6 7 8 9 10 11 13 15 16 17
Asegurar el
establecimiento y
EDM01 mantenimiento del V V V V P V V V V V V V V 2
Marco de
Gobierno
Asegurar la
EDM02 entrega de V V S P P V V V V V V V P 7
beneficios
Evaluar,
Asegurar la
Orientar y
EDM03 optimización de V P S P V V S P V P S V 11
Supervisar
riesgos
Asegurar la
EDM04 optimización de V V P V V S P S P V V P S 10
los recursos
Asegurar la
transparencia
EDM05 V V V P P V S V V V V S S 7
hacia las partes
interesadas
Gestionar el
APO01 marco de gestión S V V V V V S V P V P S S 8
Alinear, de TI
Planificar y
Organizar
Gestionar la
APO02 P V S V P V V V V S V V P 8
estrategia
8
Gestionar la
APO03 arquitectura P V V V V V P V P S V V V 7
empresarial
Gestionar la
APO04 S S P V S P P S P S V V P 15
innovación
Gestionar el
APO05 P V P V S S S V V P S V V 10
portafolio
Gestionar el
APO06 presupuesto y los V P P V V V V V V V V V 4
costos
Gestionar los
APO07 S V V V V V V V S P V S P 7
recursos humanos
Gestionar las
APO08 P V V V P V V V V V V V P 6
relaciones
Gestionar los
APO09 acuerdos de V V V V P S S V V P V V V 6
servicios
Gestionar los
APO10 V P V V P S P V V S V V V 8
proveedores
Gestionar la
APO11 S P P S P S P S S P P V P 19
calidad
APO12 S P S P V S S P S S S V S 14
Gestionar el riesgo
Gestionar la
APO13 V P V P V V V P V V V V S 7
seguridad
Gestionar los
BAI01 programas y S P P V S V V V V P V V V 8
proyectos
Gestionar la
BAI02 definición de los P V V V P V V V V V V V V 4
requisitos
Gestionar la
Construir, identificación y la
BAI03 S V V V P S S V V S V V V 6
Adquirir e construcción de
Implementar soluciones
Gestionar la
BAI04 disponibilidad y la V V V V P V V V P V V V V 4
capacidad
Gestionar la
introducción de
BAI05 S V V V V P V V V P V V P 7
cambios
organizativos
Gestionar los
BAI06 S P V V P V V P V V V V V 7
cambios
Gestionar la
aceptación del
BAI07 V V V V V P V V V V V V V 2
cambio y de la
transición
Gestionar el
BAI08 S V V V V V P V V V V S P 6
conocimiento
Gestionar los
BAI09 S V V P V V V V P V V V V 5
activos
Gestionar la
BAI10 V S V V V V V V P V V V V 3
Configuración
Gestionar las
DSS01 V P V V P V S V P S S V V 9
operaciones
Gestionar las
peticiones y los
DSS02 V P V V P S S V V V V V S 7
incidentes del
servicio
Gestionar los
DSS03 V P V V P S S V P V S V S 10
problemas
Entrega, dar
Servicio y
Soporte Gestionar la
DSS04 V P V V P S S V V V V V S 7
continuidad
Gestionar los
DSS05 servicios de V P V V S S S P V V S V S 9
seguridad
Gestionar los
controles de los
DSS06 V P V V P S S V V S V V S 8
procesos de
negocio
Supervisar,
evaluar y valorar
MEA01 V P V V P S S V V S P V V 9
rendimiento y
conformidad
Supervisar,
evaluar y valorar
Supervisión, MEA02 V P V S S S S V V S P V V 9
el sistema de
Evaluación y
control Interno
Verificación
Supervisar,
evaluar y valorar
la conformidad
MEA03 V P V S S S S V V S V V V 7
con los
requerimientos
externos
En la tabla 6 se puede observar el resultado de los procesos identificados; en base al
puntaje obtenido de la tabla anterior se expone los 16 procesos más importantes, de los cuales
se han elegido dos procesos con mayor calificación de Gobierno de TI Empresarial y dos
11
APO04 Gestionar la innovación.
SUPERVISAR
y comunicado y que el riesgo para el valor de la empresa relacionado con el uso de las
TI es identificado y gestionado.
4. Diagrama de Flujo
6. Matriz RACI
14
15 cumplimiento de Número incidentes relacionados con el incumplimiento de políticas. 12
1. Número de incidentes
las políticas
relacionados con el *100 *100 41%
internas por parte Número total de cambios de privilegios.
incumplimiento de políticas
de las TI. 29
1. Los umbrales de 1. Número de incidentes de TI Número incidentes de TI que fueron identificados en la evaluación del riesgo 320
riesgo son definidos que fueron identificados en la *100 *100 12%
y evaluación del riesgo
comunicados y los Número total de incidentes de TI
2600
riesgos clave
relacionados 2. Frecuencia de la 3
con las TI son Número de actualización del perfil de riesgo.
actualización del perfil de *100 *100 8%
conocidos. riesgo.
Número total de incidentes de TI 40
2. La red gestiona
Número de servicios TI que tienen evaluación del riesgo 23
el riesgo critico
1. Porcentaje de servicios TI
empresarial
que tienen evaluación del *100 *100 58%
relacionado con las
riesgo.
TI eficaz y
eficientemente. Número total de evaluación riesgo 40
1. Número de incidentes de TI Número incidentes de TI que no fueron identificados en la evaluación
3. Los riesgos 14
que no fueron identificados en del riesgo
relacionados con *100 *100 82%
la evaluación
las TI no exceden del riesgo Número de incidencias del departamento de TI 17
el apetito de riesgo
y el impacto del
riesgo TI 2. Frecuencia de la Número actualización del perfil de riesgo 13
es identificado y actualización del perfil de *100 *100 76%
gestionado. riesgo
Número de incidencias del departamento de TI 17
8. Ponderación nivel de capacidad
Fuente: ISACA
Metas TI Total
16
9. Matriz PAM
trabajo
EDM03 Asegurar la
optimización de
riesgos. 56,54%
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
10. Acorde con el Nivel de Capacidad en el que se encuentren los procesos del punto
Justificación
Se determina que el proceso está entre el 41% y el 60% en este caso con un 56,54 % con
ayude a detectar los riesgos, esto pone en peligro los recursos de la empresa Novacero
S.A
Recomendaciones
Se debería crear un grupo para analizar los riesgos TI de Novacero S.A, los riesgos a
Debe existir un plan de contingencia que cubra a todos los niveles de la organización
Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas,
3. Objetivos
óptima.
4. Alcance
Con este proceso de auditoria NOVACERO pretende asegurar que las adecuadas y
5. Participante
Director de sistemas.
Analista de Infraestructura.
Asistente de sistemas.
6. Diagrama de Flujo
Inicio
Director de Sistemas
Examinar opciones
para proporcionar
recursos TI
Supervisar el
Requerimiento en rendimiento de los
espera Fin
recursos frente a
los objetivos.
Existe No
Alinear la gestión de
recursos? Asignar
recursos con la
responsabilidades
planificación de RRHH y
para la ejecución
financiera de la empresa.
Si
Establecer los
Revisar y aprobar las principios para la
estrategias del plan de protección de Supervisar la asignación y
recursos y la arquitectura recursos optimización de recursos de acuerdo
empresarial con las prioridades dela empresa.
Asistente de
Comunicar e
Sistemas
necesidades de la empresa
recursos.
11 Optimización de los Frecuencia de evaluaciones de la Número de evaluaciones realizadas a la madurez de *100 2 *100 50%
activos, recursos y madurez de la capacidad y de la capacidad y optimización de costes
capacidades de las TI optimización de costes
Número de evaluaciones a la madurez de la capacidad 4
propuestas en el año
Niveles de satisfacción de los Número de requerimientos satisfechos relacionados *100 45 *100 38%
ejecutivos de negocio y TI con los con los costes y capacidades de TI
costes y capacidades TI Número de requerimientos relacionados con los costes 120
y capacidades de TI
16 Personal del Porcentaje del personal cuyas Número de pruebas aplicadas para la determinación *100 1 *100 25%
negocio y de las TI habilidades TI son suficientes para las del desempeño realizadas en el área de TI en el último
año
22
competente y competencias requeridas para su Número de pruebas planificadas para la determinación 4
motivado función del desempeño realizados en el área de TI en el último
año
Porcentaje del personal satisfecho con Número de trabajadores satisfechos con sus funciones *100 8 *100 44%
su función TI en el área de TI
Número de trabajadores del área de TI 18
Serie de beneficios (p.ej., ahorro de Número de beneficios logrados por la optimización de *100 6 *100 60%
costes) que se logran a través de la recursos
utilización óptima de los recursos Número de beneficios por la optimización de recursos 10
2. Los recursos se Porcentaje de proyectos con asignación Número de proyectos que se han asignado los recursos *100 5 *100 42%
asignan para satisfacer de recursos adecuados de manera adecuada y dentro del presupuesto
mejor las prioridades
de la empresa dentro Número de proyectos ejecutados en el año 12
del presupuesto y
restricciones.
3. El uso óptimo de los Porcentaje de reutilización de Número de componentes de la arquitectura reutilizados *100 54 *100 20%
recursos se logra a lo componentes de la arquitectura
largo de su completo Número de componentes de la arquitectura 272
ciclo de vida
económico.
Número de metas de rendimiento de la Número de metas cumplidas del rendimiento de la *100 6 *100 60%
gestión de recursos alcanzadas gestión de recursos
Número de metas de rendimiento de la gestión de 10
recursos
10. Ponderación nivel de capacidad
Fuente: ISACA
Metas TI Total
09 Agilidad de las TI 36%
trabajo
1
2 (Gestionado) 3 (Establecido) 4 (Predecible) 5 (Optimizado)
(Ejecutado)
APO04 Gestionar
la innovación 40%
24
Porcentaje Nivel de capacidad
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
12. Acorde con el Nivel de Capacidad en el que se encuentren los procesos del punto
encuentra con metas de bajo rendimiento, según los indicadores y su respectiva calificación
se evidencia porcentajes bajos con el 25% en la meta agilidad en las TI, por la falta de control
motivado. En cuanto a las metas del proceso se evidencia el porcentaje más bajo el uso
óptimo de los recursos, debido a que Novacero ha adquirido nuevos equipos por lo que ha
Para que el proceso gestionado pueda pasar al siguiente nivel de capacidad establecido se
Identificar los procesos comunes que soporten la ejecución del proceso gestionado para
documentarlo y realizar guías de trabajo a medida que proporcione información del proceso
proceso.
Y ORGANIZAR
2. Objetivo
3. Participantes
Unidad de calidad.
Unidad de soporte.
4. Diagrama de flujo
Se determina las actividades del flujo del proceso con las actividades y las tareas del
personal.
6. Matriz RACI
Fuente: ISACA
ROLES
Equipo de Unidad de Unidad de
proyectos TI Calidad evaluación
1. Presentación del proyecto. R A
2. Evaluación del proyecto. R A, I
3. Presentación y alcance de las limitaciones de R A, I
la tecnología.
4. Evaluar las tecnologías de información. I R, A, I C
5. Evaluar prueba de concepto. I R, A C
6. Documentar el resultado y guías analizadas. I R
7. Elegir la propuesta a implementar. C R, I
7. Medición de la capacidad del proceso.
Fuente: ISACA
Área: Gestión
APO 04 GESTIONAR LA INNOVACIÓN Alinear, Planificar y
Dominio: Organizar
Descripción del proceso
Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la
innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o
innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las
decisiones de la arquitectura de empresa.
Declaración del propósito del proceso
Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia operativa mejorada mediante la explotación de los desarrollos tecnológicos para la explotación de la información.
El proceso apoyo a la obtención de un conjunto de objetivos relacionados con las TI:
Cálculo de
Metas TI Métricas relacionadas Fórmula métricas Total
05 Realización de Porcentaje de servicios TI en los que se Número de servicios de innovación con beneficios esperados 23
*100 *100 77%
beneficios del realizan los beneficios esperados. Número de servicios innovación de TI 30
portafolio de Número de servicios de innovación con demandas alcanzadas 18
Porcentaje de las inversiones en TI
inversiones y
donde los beneficios demandados son *100 *100 60%
servicios Número de servicios de innovación TI
alcanzados o excedidos.
relacionados con TI 30
Nivel de comprensión de los usuarios Número de usuarios que saben cómo las soluciones soportan los procesos 70
08 Uso adecuado de de negocio sobre cómo las soluciones *100 *100 88%
aplicaciones, Número de usuarios que utilizan las soluciones tecnológicas
tecnológicas soportan sus procesos. 80
información y
Nivel de satisfacción de los usuarios de Número de requerimientos solicitados y resueltos satisfactoriamente en el último año 28
soluciones
negocio con la formación y manuales *100 *100 65%
tecnológicas
de usuario. Número de requerimientos realizados en el último año 43
Nivel de satisfacción de los ejecutivos Número de requerimientos solicitados con capacidad de respuesta en el último año 30
de la empresa con la capacidad de
09 Agilidad de las TI *100 *100 70%
respuesta de TI a nuevos Número de requerimientos realizados en el último año
requerimientos 43
11 Optimización de Niveles de satisfacción de los Número de requerimiento que se ajustan al presupuesto y capacidad de TI. 30
activos, recursos y ejecutivos de negocio y TI con los *100 *100 70%
capacidades de las TI costes y capacidades TI Número de requerimientos realizados en el último año 43
30
Nivel de concienciación y comprensión Número de innovaciones promovidas por el ejecutivo 5
de las posibilidades de innovación de *100 *100 17%
TI del negocio ejecutivo Número de proyectos de innovación ejecutados. 30
17 Conocimiento,
experiencia e Nivel de satisfacción de las partes Número de soluciones que cumplen con el nivel de satisfacción de las partes interesadas 23
iniciativas para la interesadas con los niveles de *100 *100 77%
innovación de experiencia e ideas de la innovación TI Número de soluciones innovadoras de TI 30
negocio Número de ideas innovadoras de TI aprobadas 30
Número de iniciativas aprobadas
*100 *100 12%
resultantes de ideas innovadoras de TI Número de ideas innovadoras de TI 245
Objetivos y Métricas de Procesos
Cálculo de
Metas de proceso Métricas relacionadas Fórmula métricas Total
1. El valor de Número de clientes nuevos 320
empresa es creado Penetración en el mercado o
*100 *100 12%
mediante la competitividad debido a la innovación Número de clientes en el último año 2600
cualificación y puesta
en escena de los 3
avances e
Número de innovaciones de TI con realimentación
innovaciones Percepciones de las partes interesadas y
tecnológicas más realimentación sobre la innovación en *100 *100 10%
apropiadas, los TI
métodos y las
soluciones TI
utilizadas Número de innovaciones de TI 30
2. Los objetivos de la Porcentaje de las iniciativas Número de servicios con beneficios esperados 23
empresa se cumplen implementadas que dieron los *100 *100 77%
por la mejora de los beneficios previstos Número de innovaciones tecnológicas implementadas 30
beneficios de la 7
calidad y/o la Número de objetivos que se cumplieron en la aplicación de innovaciones
reducción de costes
Porcentaje de las iniciativas
como resultado de la
implementadas con un vínculo claro a *100 *100 78%
identificación e Número de objetivos empresariales
los objetivos de la empresa
implementación de
soluciones
innovadoras. 9
3. La innovación se Número de metas cumplidas por el personal de TI 14
Introducción de objetivos de
permite y se
innovación o relacionados con
promueve y forma *100 *100 82%
tecnologías emergentes en las metas de
parte de la cultura de
rendimiento para personal relevante
la empresa. Número de metas del departamento de TI 17
1. Ponderación nivel de capacidad
Fuente: ISACA
Metas TI Total
avances e innovaciones tecnológicas más apropiadas, los métodos y las soluciones TI 11%
utilizadas
soluciones innovadoras.
32
2. Matriz PAM
Fuente: ISACA
PA 2.2
trabajo
APO04 Gestionar
la innovación 60.39%
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
3. Acorde con el Nivel de Capacidad en el que se encuentren los procesos del punto
tendencias relacionadas con el servicio, fruto de ello en el año 2020 se implementó un nuevo
ERP después de 20 años, siendo este un avance importante de innovación tecnológica, así
mismo se pudo evidenciar que actualmente la empresa ha optado por adquirid servidores en
Otro aspecto que es importante dentro del nivel de capacidad del proceso es que la
adecuada.
Recomendaciones
A través de este proceso se define y comunica los requisitos de calidad en todos los
y esfuerzos de eficiencia.
1. Objetivos
Cumplir con las obligaciones de calidad de los servicios, calidad en los clientes y
2. Alcance
NOVACERO.
3. Participantes
Director de Sistemas
Asistente de Sistemas
Consultores
Jefe de Desarrollo
4. Diagrama de Flujo
Ingreso de documentación.
22. Cerrar informes de defectos, o gestionar el ingreso de solicitudes de cambio para los que
siguen abiertos.
V Validación Supervisar y revisar regularmente que el sistema de gestión de calidad está de acuerdo con los
6. Matriz RACI
ROLES
Directos de Asistente de Jefe de
Sistemas sistemas Consultor desarrollo
Asignación de defectos. C, A I C, R, I
Repetición de actividades de prueba que
confirme la corrección de defectos. C, A I C, R, I
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la organización y que satisfagan las necesidades de las partes interesadas.
40
13. Entrega de
Número de usuarios satisfechos con la calidad de los
programas que 121
programas utilizados
proporcionen beneficios Porcentaje de partes
a tiempo, dentro del interesadas satisfechas con la
*100 *100 64%
presupuesto y calidad del
satisfaciendo los programa/proyecto. Número de usuarios que utilizan los programas de TI
requisitos y normas de
calidad. 190
07. Entrega de servicios de TI de acuerdo con los requisitos del negocio. 68%
13. Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y
64%
satisfaciendo los requisitos y normas de calidad.
Total metas de TI 66%
1. Las partes interesadas están satisfechas con la calidad de los servicios y las soluciones. 65%
2. Los resultados de los proyectos y de los servicios entregados son predecibles. 71%
03. Los requisitos de calidad están implementados en todos los procesos. 60%
2. Matriz PAM.
Fuente: ISACA
PA 2.2
trabajo
APO11 Gestionar
la calidad 65.74%
42
Porcentaje Nivel de capacidad
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
3. Acorde con el Nivel de Capacidad en el que se encuentren los procesos del punto
proporcionado una aproximación a la eficiencia de la calidad en todos sus procesos que lleva
Ha definido y gestionado estándares, procesos y prácticas de calidad que han sido claves
para orientar a la organización a alcanzar los objetivos planteados y así también dar
consumidor.
entrega de servicios, atributos que han conseguido que se mantenga una mejora continua en
haciendo uso eficiente de los recursos, cumpliendo los objetivos y logrando una calidad e
industria.
gestiona y controla para que exista una comprensión por parte de los clientes y personal de
cómo se trabaja para alcanzar los objetivos de rendimiento de este y del negocio, mostrando
Recomendaciones
Para que este proceso alcance un nivel de capacidad cinco se recomienda trabajar en la
innovación del proceso, estableciendo objetivos que mejoren el proceso y que se encuentren
Se recomienda también optimizar el desarrollo de actividades para alcanzar los objetivos que
ayuden a mejorar los proceso, evaluar de forma periódica la efectividad de los cambios del
proceso.
Actividad 2
1. Planeación
Esta sección presenta la situación actual en relación con proyectos o servicios de gestión
las demás donde la gestión de TI es el puntal o la base para lograr sus metas.
Objetivo General
Objetivos específicos
futura.
Programa de auditoria
Presupuesto
Rubros Monto
Honorarios $ 8,000.00
Computadores $ 1,900.00
Teléfono $ 50.00
Viáticos $ 100.00
Copias $ 10.00
Varios $ 50.00
Total $ 10,620.80
Cronograma.
Métodos
Entrevista
Se realizó una entrevista al director de TI Ing. Diego Jijón con el objetivo de evaluar el
Cuestionarios
Como punto de partida se aplicaron cuestionarios uno de control interno para medir el
nivel de riesgo de la empresa y otro para medir la capacidad del proceso DSS01 Gestionar
operaciones.
Procedimientos
Pruebas de cumplimiento
Pruebas sustantivas
Se aplicará un análisis del nivel de capacidad del proceso DSS01 Gestionar las
la información.
2. Ejecución
Programa de auditoría
Tabla 31 Programa de auditoría
Fuente: ISACA
PROGRAMA DE AUDITORÍA
Director de Sistemas
Analista de infraestructura
Jefe de desarrollo
Personas involucradas
Analista de Seguridad Informática
Jefe de operaciones TI
Analista de Sistemas
Vanessa Barrera
Miembros del Equipos Auditor Pamela Contreras
Irina Arias
Gabriela Velasco
Edwin Guevara
Cristhian Idrovo
Marco Jácome
Silvia Farinango
Cuestionario de control interno Análisis de Riesgos.
EMPRESA: NOVACERO
COMPONENTE: Proceso DSS01 Gestionar Operaciones
RESPONSABLE: Vanessa Barrera
PREGUNTA
COD PREGUNTA DEBILIDAD COMENTARIO
SI NO N/A
ALTA MEDIA BAJA
SEGURIDAD FÍSICA
¿Cuenta con infraestructura e
1 instalaciones eléctricas seguras y x 3%
confiables?
¿los equipos electrónicos se
2 x 3%
encuentran actualizados?
¿Se realizan evaluaciones
3 periódicas de la seguridad física x 3%
de las instalaciones?
¿Se controla el acceso de
4 personas ajenas al departamento x 3%
de sistemas?
¿Se ha nombrado a un
responsable del área de Sistemas
5 x 3%
para el cuidado físico de los
recursos informáticos?
¿Cuenta instrumentos contra
6 x 3% Extintores caducados.
incendios?
¿Posee cámaras de seguridad y
7 cualquier otra medida de x 3%
protección?
¿Posee guardias o alarmas de
8 x 3%
seguridad?
¿Cuenta con una póliza de
9 seguros, para desastres x 3%
naturales?
¿Posee UPS, reguladores de
10 x 3%
voltaje o supervisores pico?
SEGURIDAD LÓGICA
¿Existen medidas, controles,
11 procedimientos, normas y x 3%
estándares de seguridad?
¿Las claves de los usuarios, son
12 de conocimiento personal e x 3%
intransferible?
¿Existe licencias de software
13 base para todos los equipos de x 3%
hardware?
¿Existe un grupo especializado
14 x 3%
en el control de red?
¿Existe controles para evitar
15 modificar la configuración de x 3%
una red?
¿Existen procedimientos de
realización de copias de
16 x 3%
seguridad y de recuperación de
datos?
17 ¿Cuenta con firewalls? x 3%
¿Existen medidas a adoptar
18 cuando un soporte vaya a ser x 3%
desechado o reutilizado?
¿Existe personal autorizado a
19 x 3%
acceder a los soportes de datos?
¿Existe restricciones de acceso a
20 x 3%
páginas web?
¿Existe personal autorizado para
acceder a la información de los
21 x 3%
sistemas que tratan datos
personales?
¿Cuenta con manuales para la
22 correcta utilización de los x 3%
servicios informáticos?
¿El sistema cuenta con claves de
23 acceso para las distintas x 3%
funciones?
¿La información susceptible de
robo, pérdida o daño se
24 x 3%
encuentra protegida y
resguardada?
SEGURIDAD OPERATIVA
¿Cuenta con planes que brinden
25 apoyo a los servicios entregados 3%
por TI? x
Incumplimiento de
¿Existe una programación y
actividades planificadas a
26 seguimiento de las actividades 3%
causa de la pandemia Covid-
operativas?
x 19.
¿La respuesta a usuarios por
Falla en canales de
incidencias de los
27 3% comunicación de
procedimientos operativos son
datos.
resueltas inmediatamente? x
¿Se realizan copias de seguridad
de la información en base a las
28 3%
políticas y procedimientos
establecidos? x
¿los procesos de información se
29 adhieren a los requerimientos de 3%
seguridad de la empresa? x
¿Los servicios tecnológicos
prestados por terceros se
30 3%
establecen a través de un
contrato? x
31 ¿Existen registros de eventos? x 3%
¿Existe un control en la Eventos sobrecargados con
32 3%
capacidad de los eventos? x información innecesaria.
¿Los eventos reciben revisiones No cuenta con un programa
33 3%
periódicas? x de revisiones de eventos.
¿Se entregan tiques de
34 3%
incidentes? x
SUMAS 9% 9% 82%
Objetivo
Alcance
Participantes
Analista de infraestructura.
Analista de sistemas.
Diagrama de flujo
Contratos de adhesión.
Definiciones de servicio.
3. Gestionar el entorno.
7. Revisar eventos.
9. Gestionar Incidencias.
monitorización.
Tiques de incidencias.
de TI tura. informática.
3. Gestionar el entorno. R, A, I
de red.
7. Revisar eventos. R, A, I, C
9. Gestionar Incidencias. R, A, I
Medición de la capacidad
Tabla 35 Medición de la capacidad del proceso DSS01
Fuente: ISACA
58
Número de incidencias en TI solucionadas en el
3
• Número de interrupciones del negocio año
debidas a incidentes en el servicio *100 *100 100%
de TI Número de incidencias en TI reportadas por
3
capacidad inadecuada en el año
Matriz RACI
Fuente: ISACA
PA 2.2
trabajo
DSS01
Gestionar
Operaciones 47.11%
61
Porcentaje Nivel de capacidad
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
Recomendaciones
servicios de TI.
momento las que se tienen son generales, y es necesario un mayor detalle de cómo proceder y
HA.1
Empresa: NOVACERO Elaborado por: M. J Fecha: 25/02/2021
Revisado por: P.C Fecha: 27/02/2021
Elaboró Aprobó
3. Dictamen de Auditoría
INFORME DE AUDITORÍA
Auditado: NOVACERO
DEPARTAMENTO AUDITADO:
Producción de TI
OBJETIVO:
NOVACERO.
ALCANCE:
ANTECEDENTES:
misma, planifica una auditoría al proceso DSS01, con el objetivo de hallar las
inconformidades y riesgos del proceso; se inicia con un análisis de las situaciones que se
INFORME:
compañía.
resuelta inmediatamente.
caso de fallos.
magnética.
pandemia Covit-19.
NCR 4: Se concentra actividades de paso a nuevo ERP, por lo que no se realizó un adecuado
en servidores.
NCR 5: No se puede realizar un seguimiento de las actividades ya que en gran parte de ellas
tecnológicos.
Recomendaciones:
tecnología.
Inventariar los procesos, y catalogar con respecto a la criticidad desde el punto de vista de
fallos, para esto se debe evaluar utilizando criterios definidos y claros para todos los
procesos.
Identificar para los procesos críticos los recursos de TI que los soportan e identificar los
RTO”.
FIRMA AUDITOR
GRUPO 8 AUDITORÍA
Gerente General
NOVACERO S.A.
cabo nuestra auditoría en base a la metodología COBIT 5 (Control Objetives for Information
and related Technology), las normas ISO, así como leyes y reglamentos de seguridad
vigentes en Ecuador. Dichas normas exigen que cumplamos con los requerimientos de ética,
así como que planifiquemos y ejecutemos la auditoría con el fin de obtener nuestra opinión
cuales han sido aplicado de acuerdo con el juicio del auditor. Consideramos que la evidencia
de auditoría que hemos obtenido proporciona una base suficiente y adecuada para nuestra
opinión de auditoría.
cumple con parte de los requerimientos establecidos para el cumplimiento del proceso, pero
AUDITOR AUDITADO
Grupo 8 Novacero
4. Seguimiento de Auditoria
será comprobar que se están entregando los resultados del servicio operativo de TI según la
Como parte del seguimiento el auditor solicitará a los empleados involucrados las
acciones que han implementado para justificar el cumplimiento de las recomendaciones con
comunicar de forma escrita los resultados de dicho seguimiento a las máximas autoridades de
la empresa, haciendo mención que las acciones implementadas tienden a mejorar la Gestión
conformidades.
conformidades:
ESTADO
FECHA FECHA
(ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE REAL DE
PROGRESO,
CIERRE CIERRE
CERRADO)
Diseñar un sistema de Control de
No existe un control de acceso a personas ajenas al
1 NOVACERO Acceso electrónico a través de 01-07-2021 ABIERTO
departamento de TI.
huella dactilar o tarjeta RFID
Llevar un control y supervisión
Algunos instrumentos contra incendios se encuentran
2 NOVACERO periódica de los instrumentos 03-03-2021 ABIERTO
caducados.
contra incendios
El área de sistemas no cuenta con una planificación Diseñar y difundir un modelo de
estratégica formalmente documentada y aprobada que Planificación Estratégica formal
3 NOVACERO 15-04-2021 ABIERTO
le permita alinearse a los objetivos estratégicos de la que permita alinear los objetivos
compañía. con la compañía
Realizar un mantenimiento de los
Falla el servidor que soportan el servicio al ERP (DB, servidores ERP Hiperk ya que
4 NOVACERO 02-03-2021 ABIERTO
Aplicativo Hiperk) soporta información de años
anteriores.
Implementar y difundir un manual
No se realiza un seguimiento de las actividades de procedimientos para
5 NOVACERO 12-04-2021 ABIERTO
operativas de la empresa. seguimiento de actividades
operativas
72
Mejorar la atención a los usuarios
en el aplicativo “Mesa de ayuda",
La respuesta a usuarios por incidencias de los
para solventar con mayor
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 ABIERTO
eficiencia y rapidez las incidencias
inmediatamente.
de procedimientos operativos que
se produzcan.
Crear un plan que permita
No se realiza un control de capacidad y revisiones
7 NOVACERO controlar la capacidad y revisiones 19-05-2021 ABIERTO
periódicas de los eventos.
de los eventos de forma periódica
Implementar un Marco
No existe un marco metodológico que se aplique para Metodológico que permita
8 NOVACERO 19-08-2021 ABIERTO
la formulación de los planes de recuperación de TI identificar los planes de
recuperación de información de TI
Llevar un registro de la
No identificamos documentación con respecto a:
9 NOVACERO documentación de procesos y 03-03-2021 ABIERTO
Definición de procesos y recursos críticos.
recursos críticos
Existen debilidades en la generación de respaldos, su
almacenamiento y custodia, al no observar ningún
documento y/o bitácora que certifique la generación
y/o pruebas de restauración que se realizan a los
respaldos obtenidos y que son enviados a cintas Implementar nuevos mecanismos
externas y/o mecanismos alternos de almacenamiento para la generación de respaldos,
donde se evidencie: fechas, responsables de ejecución, almacenamiento y custodia de la
10 NOVACERO 19-09-2021 ABIERTO
tiempos de generación y restauración y firmas de información, mismo que brinde
responsabilidad, que permita validar la integridad de la una garantía de que la información
información, los respaldos generados son almacenados no se pierda.
a un disco duro externo el que es trasportado al
domicilio del encargado del Departamento de
Tecnología, esta situación incrementa el riesgo de
recuperación de las operaciones en caso de fallos
SEGUIMIENTO DE CIERRE DE NO CONFORMIDADES
Fuente: ISACA
ESTADO
FECHA
FECHA REAL (ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE
DE CIERRE PROGRESO,
CIERRE
CERRADO)
Diseñar un sistema de Control de
No existe un control de acceso a personas ajenas al
1 NOVACERO Acceso electrónico a través de 01-07-2021 PROGRESO
departamento de TI.
huella dactilar o tarjeta RFID
Llevar un control y supervisión
Algunos instrumentos contra incendios se encuentran
2 NOVACERO periódica de los instrumentos 03-03-2021 04-03-2021 CERRADO
caducados.
contra incendios
El área de sistemas no cuenta con una planificación Diseñar y difundir un modelo de
estratégica formalmente documentada y aprobada que Planificación Estratégica formal
3 NOVACERO 15-04-2021 PROGRESO
le permita alinearse a los objetivos estratégicos de la que permita alinear los objetivos
compañía. con la compañía
Realizar un mantenimiento de los
Falla el servidor que soportan el servicio al ERP (DB, servidores ERP Hiperk ya que
4 NOVACERO 02-03-2021 02-03-2021 CERRADO
Aplicativo Hiperk) soporta información de años
anteriores.
Implementar y difundir un manual
No se realiza un seguimiento de las actividades de procedimientos para
5 NOVACERO 12-04-2021 PROGRESO
operativas de la empresa. seguimiento de actividades
operativas
Mejorar la atención a los usuarios
en el aplicativo “Mesa de ayuda",
La respuesta a usuarios por incidencias de los
para solventar con mayor eficiencia
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 PROGRESO
y rapidez las incidencias de
inmediatamente.
procedimientos operativos que se
produzcan.
Crear un plan que permita controlar
No se realiza un control de capacidad y revisiones
7 NOVACERO la capacidad y revisiones de los 19-05-2021 PROGRESO
periódicas de los eventos.
eventos de forma periódica
Implementar un Marco
No existe un marco metodológico que se aplique para la Metodológico que permita
8 NOVACERO 19-08-2021 PROGRESO
formulación de los planes de recuperación de TI identificar los planes de
recuperación de información de TI
Llevar un registro de la
No identificamos documentación con respecto a:
9 NOVACERO documentación de procesos y 03-03-2021 PROGRESO
Definición de procesos y recursos críticos.
recursos críticos
Existen debilidades en la generación de respaldos, su
almacenamiento y custodia, al no observar ningún
documento y/o bitácora que certifique la generación y/o
pruebas de restauración que se realizan a los respaldos
obtenidos y que son enviados a cintas externas y/o Implementar nuevos mecanismos
mecanismos alternos de almacenamiento donde se para la generación de respaldos,
evidencie: fechas, responsables de ejecución, tiempos almacenamiento y custodia de la
10 NOVACERO 19-09-2021 ABIERTO
de generación y restauración y firmas de informaciòn, mismo que brinde una
responsabilidad, que permita validar la integridad de la garantìa de que la información no
información, los respaldos generados son almacenados se pierda.
a un disco duro externo el que es trasportado al
domicilio del encargado del Departamento de
Tecnología, esta situación incrementa el riesgo de
recuperación de las operaciones en caso de fallos
SEGUIMIENTO DE CIERRE DE NO CONFORMIDADES
ESTADO
FECHA
FECHA REAL (ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE
DE CIERRE PROGRESO,
CIERRE
CERRADO)
Diseñar un sistema de Control
No existe un control de acceso a personas ajenas de Acceso electrónico a través
1 NOVACERO 01-07-2021 PROGRESO
al departamento de TI. de huella dactilar o tarjeta
RFID
Llevar un control y supervisión
Algunos instrumentos contra incendios se
2 NOVACERO periódica de los instrumentos 03-03-2021 04-03-2021 CERRADO
encuentran caducados.
contra incendios
El área de sistemas no cuenta con una Diseñar y difundir un modelo
planificación estratégica formalmente de Planificación Estratégica
3 NOVACERO 15-04-2021 PROGRESO
documentada y aprobada que le permita alinearse formal que permita alinear los
a los objetivos estratégicos de la compañía. objetivos con la compañía
Realizar un mantenimiento de
Falla el servidor que soportan el servicio al ERP los servidores ERP Hiperk ya
4 NOVACERO 02-03-2021 02-03-2021 CERRADO
(DB, Aplicativo Hiperk) que soporta información de
años anteriores.
Implementar y difundir un
No se realiza un seguimiento de las actividades manual de procedimientos para
5 NOVACERO 12-04-2021 19-03-2021 CERRADO
operativas de la empresa. seguimiento de actividades
operativas
Mejorar la atención a los
usuarios en el aplicativo “Mesa
La respuesta a usuarios por incidencias de los
de ayuda", para solventar con
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 18-03-2021 CERRADO
mayor eficiencia y rapidez las
inmediatamente.
incidencias de procedimientos
operativos que se produzcan.
Crear un plan que permita
No se realiza un control de capacidad y revisiones controlar la capacidad y
7 NOVACERO 19-05-2021 PROGRESO
periódicas de los eventos. revisiones de los eventos de
forma periódica
Implementar un Marco
No existe un marco metodológico que se aplique Metodológico que permita
8 NOVACERO para la formulación de los planes de recuperación identificar los planes de 19-08-2021 PROGRESO
de TI recuperación de información de
TI
Llevar un registro de la
No identificamos documentación con respecto a:
9 NOVACERO documentación de procesos y 03-03-2021 16-03-2021 CERRADO
Definición de procesos y recursos críticos.
recursos críticos
Existen debilidades en la generación de
respaldos, su almacenamiento y custodia, al no
observar ningún documento y/o bitácora que
certifique la generación y/o pruebas de
restauración que se realizan a los respaldos
Implementar nuevos
obtenidos y que son enviados a cintas externas
mecanismos para la generación
y/o mecanismos alternos de almacenamiento
de respaldos, almacenamiento y
donde se evidencie: fechas, responsables de
10 NOVACERO custodia de la información, 19-09-2021 PROGRESO
ejecución, tiempos de generación y restauración y
mismo que brinde una garantía
firmas de responsabilidad, que permita validar la
de que la información no se
integridad de la información, los respaldos
pierda.
generados son almacenados a un disco duro
externo el que es trasportado al domicilio del
encargado del Departamento de Tecnología, esta
situación incrementa el riesgo de recuperación de
las operaciones en caso de fallos
A la fecha de culminación de la Auditoría quedan en proceso 5 recomendaciones que
aún no se ha concretado su finalización, por tanto estos procesos se quedan abiertos hasta
recomendaciones son:
tarjeta RFID.
Crear un plan que permita controlar la capacidad y revisiones de los eventos de forma
periódica.
se pierda.
78
Bibliografía
de COBIT 5© 2012
https://www.academia.edu/31062302/COBIT_5_Niveles_de_Capacidad_Desaf%C3%
ADo_de_formalizaci%C3%B3n_de_procesos_Costos_y_Beneficios
Castillo, C., Castillo, H., & Alfonso, O. (2019). Nivel de capacidad en las empresas de
Texto%20del%20art%C3%ADculo-80173-2-10-20191213%20(9).pdf
http://blplegal.net/zoneSite/RestFulApiZoneSite/uploads/1539031830-
Cobit%205%20-%20Procesos%20Catalizadores.pdf
framework-spanish.pdf
Mora, J., León, J., Huilcapi, M., & Escobar, D. (S.F). El modelo de COBIT 5 para auditoría y
https://uvirtual.uce.edu.ec/pluginfile.php/1281253/mod_resource/content/8/Modelo%
20Cobit5%20para%20auditoria%20y%20control%20de%20los%20sistemas%20de%
20informaci%C3%B3n.pdf
NOVACERO. (2021). Memoriasostenibilidad. Obtenido de
https://www.novacero.com/memoria-sostenibilidad/wp-content/themes/divi-
child/pdf/MEMORIA_DE_SOSTENIBILIDAD_2018_2019.pdf
Tello, C., & Guerrero, M. (2017). Principios de auditoría informática. Quito. Obtenido de
http://www.dspace.uce.edu.ec/bitstream/25000/21030/1/Principios%20de%20auditor
%C3%ADa%20inform%C3%A1tica.pdf