Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FACULTAD DE INGENIERAS
CARRERA:
INGENIERA EN SISTEMAS
Tema:
Director:
DECLARACIN
__________________________________
MARTHA E. DE LA TORRE MORALES
______________________________
INGRID K. GIRALDO MARTNEZ
_____________________________
CARMEN A. VILLALTA GMEZ
AGRADECIMIENTO Y DEDICATORIA
AGRADECIMIENTO Y DEDICATORIA
Principalmente a Dios.
A mi madre y mi to, porque creyeron en m y porque me sacaron
adelante, dndome ejemplos dignos de superacin y entrega. Gracias
a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron
impulsndome en los momentos ms difciles y porque el orgullo que
sienten por m, fue lo que me hizo ir hasta el final. Esto es por ustedes,
por lo que significan para m, y porque admiro su esfuerzo a pesar de
las dificultades.
A mis hermanas, primos, abuelos y amigos. Gracias por haber
fomentado en m el deseo de superacin y el anhelo de triunfo en la
vida. Sin ustedes este trabajo no hubiera podido ser realizado.
No me alcanzaran las palabras para agradecerles su apoyo y sus
consejos.
A todos, espero no defraudarlos y contar siempre con su valioso
apoyo, sincero e incondicional.
AGRADECIMIENTO Y DEDICATORIA
A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga
CERTIFICADO
Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martnez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gmez; bajo mi direccin.
NDICE
CAPTULO 1
18
1.1
18
19
19
1.2 OBJETIVOS
20
20
20
1.3 ALCANCE
20
21
22
CAPTULO 2
23
23
23
23
31
45
53
67
72
72
74
2.1.1.2.3 RECURSOS DE TI
76
77
CAPTULO 3
80
3.1
80
3.1.1
TIPO DE INVESTIGACIN
80
3.1.2
MTODO DE INVESTIGACIN
80
3.1.3
FUENTES Y TCNICAS PARA LA RECOLECCIN DE
INFORMACIN
81
3.1.4
81
3.1.5
82
82
3.1.6
83
ANLISIS FODA
CAPITULO 4
86
4.1
DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP
86
4.1.1 BREVE DESCRIPCIN DE LA EMPRESA EP
86
4.1.1.1 HISTORIA
86
87
87
88
89
90
93
117
174
180
CONCLUSIONES y RECOMENDACIONES
188
BIBLIOGRAFA
211
DEFINICIONES DE TRMINOS
212
NDICE DE ILUSTRACIONES
10
12
NDICE DE TABLAS
13
NDICE DE GRFICOS
14
16
ANEXOS
17
CAPTULO 1
1.1
19
1.2 OBJETIVOS
mediante el
1.3 ALCANCE
INDICADORES
Independiente
Grado de utilizacin
Dependiente
Control
Mejorar procesos
Polticas
Anlisis de Riesgos
21
Se identifica el problema, las causas y las soluciones viables que se deberan aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.
Objetivo general
Hiptesis general
Cules
son
los
principales aspectos de
concienciacin en los
procesos aplicados para
la implementacin del
uso de COBIT en el
departamento de sistemas
de la empresa EP?
Con
COBIT,
la
organizacin
podr
controlar sus procesos de
TI y sus ejecutivos
tomarn
decisiones
oportunas y efectivas en el
departamento de sistemas
en la empresa EP.
Sus Problemas
especficos
Objetivos especficos
Hiptesis particulares
Realizar el Diagnstico de
los Procesos y Objetivos
de Control de COBIT en el
departamento de sistemas.
El
departamento
sistemas de la empresa
aplica los procesos
COBIT para alcanzar
objetivos del negocio.
Definiendo polticas se
mejoran los controles y los
procesos crticos
en el
departamento de sistemas.
de
EP
de
los
CAPTULO 2
DEFINICIN DE COBIT
Objetivos
de Control
para Tecnologas
de informacin
y
relacionadas (COBIT, en ingls: Control Objetives for Information and
related Technology) es un conjunto de mejores prcticas para el manejo de
informacin creado por la Asociacin para la Auditora y Control de Sistemas
de Informacin,(ISACA, en ingls: Information Systems Audit and Control
Association), y el Instituto de Administracin de las Tecnologas de la
Informacin (IT Governance Institute) en 1992. (Fundacin Wikimedia,
2012)
COBIT fue creado para ayudar a la alta direccin a garantizar el logro de objetivos
de los negocios mediante la direccin y control adecuado de las TI, sin embargo la
aplicacin de COBIT se debera de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnologa de la informacin. COBIT est
involucrado en reflejar las principales directrices jerrquicas que permitan el control
de la tecnologa de informacin aplicada en la empresa.
23
Para la realizacin de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificacin por dominio, procesos y objetivos de control servir de gua en la
ejecucin del diagnstico de este proyecto.
24
COBIT 4.1
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
PO1.1 - Administracin del Valor de TI
PLANEAR Y ORGANIZAR
25
COBIT 4.1
PLANEAR Y ORGANIZAR
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
PO6.1 - Ambiente de Polticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6 - Comunicar las Aspiraciones y
PO6.3 - Administracin de Polticas para TI
la Direccin de la Gerencia
PO6.4 - Implantacin de Polticas de TI
PO6.5 - Comunicacin de los Objetivos y la Direccin de
TI
PO7.1 - Reclutamiento y Retencin del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignacin de Roles
PO7.4 - Entrenamiento del Personal de TI
PO7 - Administrar Recursos
Humanos de TI
PO7.5 - Dependencia Sobre los Individuos
PO7.6 - Procedimientos de Investigacin del Personal
PO7.7 - Evaluacin del Desempeo del Empleado
PO7.8 - Cambios y Terminacin de Trabajo
PO8.1 - Sistema de Administracin de Calidad
PO8.2 - Estndares y Prcticas de Calidad
PO8.3 - Estndares de Desarrollo y de Adquisicin
PO8 - Administrar la Calidad
PO8.4 - Enfoque en el Cliente de TI
PO8.5 - Mejora Continua
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad
PO9.1 - Marco de Trabajo de Administracin de Riesgos
PO9.2 - Establecimiento del Contexto del Riesgo
PO9.3 - Identificacin de Eventos
PO9 - Evaluar y Administrar los
PO9.4 - Evaluacin de Riesgos de TI
Riesgos de TI
PO9.5 - Respuesta a los Riesgos
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin
de Riesgos
PO10.1 - Marco de Trabajo para la Administracin de
Programas
PO10.2 - Marco de Trabajo para la Administracin de
Proyectos
PO10.3 - Enfoque de Administracin de Proyectos
PO10.4 - Compromiso de los Interesados
PO10.5 - Declaracin de Alcance del Proyecto
PO10.6 - Inicio de las Fases del Proyecto
PO10 - Administrar Proyectos
PO10.7 - Plan Integrado del Proyecto
PO10.8 - Recursos del Proyecto
PO10.9 - Administracin de Riesgos del Proyecto
PO10.10 - Plan de Calidad del Proyecto
PO10.11 - Control de Cambios del Proyecto
PO10.12 - Planeacin del Proyecto y Mtodos de
Aseguramiento
PO10.13 - Medicin del Desempeo, Reporte y Monitoreo
del Proyecto
PO10.14 - Cierre del Proyecto
26
COBIT 4.1
ADQUIRIR E IMPLEMENTAR
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio
AI1.2 - Reporte de Anlisis de Riesgos
AI1 - Identificar soluciones
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos
automatizadas
de Accin Alternativos.
AI1.4 - Requerimientos, Decisin de Factibilidad y
Aprobacin
AI2.1 - Diseo de Alto Nivel
AI2.2 - Diseo Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuracin e Implantacin de Software
Aplicativo Adquirido
AI2 - Adquirir y mantener software
AI2.6 - Actualizaciones Importantes en Sistemas
aplicativo
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administracin de los Requerimientos de
Aplicaciones
AI2.10 - Mantenimiento de Software Aplicativo
AI3.1 - Plan de Adquisicin de Infraestructura Tecnolgica
AI3.2 - Proteccin y Disponibilidad del Recurso de
AI3 - Adquirir y mantener
Infraestructura
infraestructura tecnolgica
AI3.3 - Mantenimiento de la Infraestructura
AI3.4 - Ambiente de Prueba de Factibilidad
AI4.1 - Plan para Soluciones de Operacin
AI4.2 - Transferencia de Conocimiento a la Gerencia del
Negocio
AI4 - Facilitar la operacin y el uso
AI4.3 - Transferencia de Conocimiento a Usuarios Finales
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte
AI5.1 - Control de Adquisicin
AI5.2 - Administracin de Contratos con Proveedores
AI5 - Adquirir recursos de TI
AI5.3 - Seleccin de Proveedores
AI5.4 - Adquisicin de Recursos de TI
AI6.1 - Estndares y Procedimientos para Cambios
AI6.2 - Evaluacin de Impacto, Priorizacin y
Autorizacin
AI6 - Administrar cambios
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de Cambio
AI6.5 - Cierre y Documentacin del Cambio
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba
AI7.3 - Plan de Implantacin
AI7.4 - Ambiente de Prueba
AI7 - Instalar y acreditar soluciones
AI7.5 - Conversin de Sistemas y Datos
y cambios
AI7.6 - Pruebas de Cambios
AI7.7 - Prueba de Aceptacin Final
AI7.8 - Promocin a Produccin
AI7.9 - Revisin Posterior a la Implantacin
27
COBIT 4.1
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
DS1.1 - Marco de Trabajo de la Administracin de los
Niveles de Servicio
DS1.2 - Definicin de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1.4 - Acuerdos de Niveles de Operacin
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2.1 - Identificacin de Todas las Relaciones con
Proveedores
DS2.2 - Gestin de Relaciones con Proveedores
DS2.3 - Administracin de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeo del Proveedor
28
COBIT 4.1
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
DS6.1 - Definicin de Servicios
DS6.2 - Contabilizacin de TI
DS6.3 - Modelacin de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7.1 - Identificacin de Necesidades de Entrenamiento y
Educacin
DS7.2 - Imparticin de Entrenamiento y Educacin
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes
29
COBIT 4.1
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL
ME1.1 - Enfoque del Monitoreo
ME1.2 - Definicin y Recoleccin de Datos de Monitoreo
MONITOREAR Y EVALUAR
Planear Y
Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
31
PO5
Administrar la
Inversin en TI
PO2
Definir la
Arquitectura de la
Informacin
PO6 Comunicar
las Aspiraciones y
la Direccin de la
Gerencia
PO3 Determinar la
Direccin
Tecnolgica
PO7
Administrar
Recursos Humanos
de TI
PO4
Definir los
Procesos,
Organizacin y
Relaciones de TI
PO8 Administrar la
Calidad
PO9
Evaluar y
Administrar los
riesgos de TI
PO10
Administrar
Proyectos
32
34
36
37
El efecto comunicacin garantiza un sntoma de creer que se pueden hacer las cosas
mejor de lo que se est haciendo, creando un clima de constante motivacin y deseo
por alcanzar las metas definidas.
41
42
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes. (IT Governance Institute, COBIT 4.1, Pg.12, 2007)
Esta definicin trata de incursionar en las soluciones eficientes que detalla la
metodologa COBIT en los procesos de calidad del negocio, situacin que pretende
dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los
recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan
que los procesos se ejecuten adecuadamente identificando los inconvenientes o
riesgos para luego poder sistematizar la realizacin de los nuevos procesos, la
adquisicin de un software que permita mantener una mejor infraestructura
tecnolgica que agilite las operaciones de la empresa.
En la siguiente ilustracin se detallan los 7 procesos del dominio Adquirir e
Implementar.
ILUSTRACIN 14: PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
AI1 Identificar
soluciones
automatizadas
AI2 Adquirir y
mantener
software
aplicativo
AI3 Adquirir y
mantener
infraestructura
tecnolgica
AI6
Administrar
cambios
AI7 Instalar y
acreditar
soluciones y
cambios
AI4 Facilitar la
operacin y el
uso
AI5 Adquirir
recursos de TI
46
48
49
50
DS1 Definir y
administrar
los niveles de
servicio
DS5
Garantizar la
seguridad de
los sistemas
DS6
Identificar y
asignar
costos
DS10
Administrar los
Problemas
DS11
Administrar
los datos
DS2
Administrar
los servicios
de terceros
DS3
Administrar el
desempeo y
la capacidad
DS4
Garantizar la
continuidad
del servicio
DS7 Educar y
entrenar a los
usuarios
DS8
Administrar la
Mesa de
servicio y los
incidentes
DS9
Administrar la
configuracin
DS12
Administrar el
ambiente
fsico
DS13
Administrar
las
operaciones
53
55
59
ME2
Monitorear y
Evaluar el
Control
Interno
ME3
Garantizar el
Cumplimiento
Regulatorio
ME4
Proporcionar
Gobierno de
TI
TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007)
Elaborado: Las Autoras
67
EL
CUMPLIMIENTO
CON
70
de
estructuras,
procesos,
liderazgo,
roles
responsabilidades
72
ALINEACIN ESTRATGICA
Garantiza la alineacin entre los planes de negocio y de TI; definiendo,
manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de
TI con las operaciones de la empresa. (IT Governance Institute, COBIT 4.1, Pg.6,
2007)
ENTREGA DE VALOR
Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos y en brindar el valor intrnseco de la TI. (IT Governance Institute, COBIT
4.1, Pg.6, 2007)
lograr las metas medibles ms all del registro convencional. (IT Governance
Institute, COBIT 4.1, Pg.6, 2007)
CRITERIOS DE INFORMACIN
Efectividad
Confidencialidad
Eficiencia
DIsponibilidad
Integridad
Confiabilidad
Cumplimiento
Efectividad:
Es la informacin pertinente en los procesos del negocio, que se proporciona en
forma segura, oportuna, consistente, relevante y utilizable.
Eficiencia:
Es la informacin generada con el ptimo uso de los recursos.
Confidencialidad:
La informacin sensible debe estar protegida contra revelacin no autorizada.
Integridad:
La completitud y la precisin de la informacin y la validez que est acorde a las
expectativas de la empresa.
Disponibilidad:
La informacin que se desarrolle dentro de la organizacin est disponible en todo
momento, tambin involucra la proteccin de los recursos y las capacidades
necesarias asociadas.
Cumplimiento:
Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales est
sujeto el negocio, es decir criterios de negocios externos, as como polticas internas.
75
Confiabilidad:
Consiste en proporcionar la informacin apropiada para que la gerencia administre la
entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
2.1.1.2.3 RECURSOS DE TI
Las organizaciones invierten en recursos para poder atender a los requerimientos de
TI y garantizar que los procesos se desarrollen acordes a las metas trazadas:
Los recursos de TI se identifican en la siguiente ilustracin:
ILUSTRACIN 43: RECURSOS DE TI
TI
APLICACIONES
Informacin
Infraestructura
PERSONAS
Informacin para la
Gestin correcta en
la organizacion
Informacin:
Consiste en los datos generados por los sistemas de informacin y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Comprende el software, el hardware adems de los perifricos y las instalaciones as
como el sitio y ambiente que soporta la tecnologa de informacin.
Personas:
Representan el recurso humano requerido para la ejecucin de los procesos de TI.
Estas pueden ser internas, por outsourcing o contratadas segn como se requiera.
conocimiento de los individuos y, por lo tanto, los errores son muy probables. (IT
Governance Institute, COBIT 4.1, Pg.19, 2007)
3 Definido: Los procedimientos se ha estandarizado y documentado, y se han
difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida
utilizar estos procesos, y es poco probable que se detecten desviaciones. Los
procedimientos en si no son sofisticados pero formalizan las prcticas existentes.
(IT Governance Institute, COBIT 4.1, Pg.19, 2007)
4 - Administrado y medido: Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no estn trabajando de forma
efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin y herramientas de una manera limitada o fragmentada. (IT
Governance Institute, COBIT 4.1, Pg.19, 2007)
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte de manera rpida. (IT Governance Institute, COBIT 4.1, Pg.19,
2007)
Esta herramienta de evaluacin le permite a una empresa reconocer su evolucin as
como su situacin actual y futura teniendo una perspectiva clara del nivel que quiere
alcanzar:
a) El desempeo actual de la empresa - Dnde la empresa est hoy en da.
El nivel que obtiene en la evaluacin da la pauta a los ejecutivos de las
medidas correctivas a tomar para cada uno de los procesos y conseguir subir a
la siguiente escala en caso de que no cumpla la ideal que es la de optimizado.
b) El estado actual de la empresa - La comparacin.
La empresa podr comparar su situacin con respecto al nivel en el que se
encuentran otras organizaciones similares y servir igualmente para fijar la
direccin hacia nuevos objetivos.
78
2.1.2
BENEFICIOS PARA
METODOLOGA COBIT
LA
EMPRESA
EN
APLICAR
LA
79
CAPTULO 3
3.1 ASPECTOS METODOLGICOS DE LA INVESTIGACIN
3.1.3 FUENTES
TCNICAS
PARA
LA
RECOLECCIN
DE
INFORMACIN
81
82
Las evaluaciones deben estar enfocadas en los factores relevantes para el xito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastndolas
con las oportunidades y amenazas que son externas.
Un anlisis crtico y objetivo permite determinar la situacin de la empresa con
respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para
mejorar y ser ms competitivo.
83
Estrategias FO FA DO DA
84
Estrategia DA. Consiste en aplicar estrategias muy bien diseadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organizacin.
A continuacin se muestra la matriz FODA con la combinacin de las estrategias:
ILUSTRACIN 45: MATRIZ FODA
CAPITULO 4
4.1 DIAGNSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA
EMPRESA EP
4.1.1.1 HISTORIA
86
87
88
Fuente: EMPRESA EP
Elaborado: Las Autoras
89
4.1.1.6
ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP
En la ilustracin que se presenta bajo este texto, se muestra el organigrama funcional
de las TI en la empresa EP. El departamento, est conformado por cinco personas; el
jefe de TI y cuatro responsables que ellos denominan especialistas de los procesos.
Estos tienen a su cargo tareas especficas, las cuales se ejecutan en coordinacin con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.
Fuente: EMPRESA EP
Elaborado: Las Autoras
90
Fuente: EMPRESA EP
Elaborado: Las Autoras
91
FA
1.1. Mantener y difundir buena imagen
corporativa.
2.2. Mantener Certificacin ISO 9002
3.3. Aprovechar coyuntura con FF.AA.
4.4. Proyecto de ahorro energa elctrica
DA
1.1. Tomar contactos tcnicos en el exterior
2.2. Evitar Organizaciones Sindicales
3.3. Anlisis de competencia
OPORTUNIDADES
1.- Posibilidad de exportar
2.- Apertura a la inversin Nacional e
Internacional
3.- Diversificacin de la demanda del
producto
4.- Acercamiento con los centros de
Educacin superior
5.- Conyuntura con las Fuerzas Armadas
FO
1.1. Preparacin para globalizacin del
mercado.
2.2. Aprovechar ubicacin geogrfica
3.3. Brindar al cliente un valor agregado.
4.4. Categorizar a los clientes
5.5. Adoptar medidas para enfrentar
competencia nacional e importaciones.
DO
1.1. Acuerdos con empresas del exterior que
provean productos afines a la construccion
2.2. Apoyar a la especializacin tcnica del
personal.
3.3. Mantener un buen nivel de abastecimiento
4.4. Actualizacin de informacin de competencia.
Fuente: EMPRESA EP
Elaborado: Las Autoras
92
Los datos para el diagnstico son tomados del manual COBIT 4.1, se dise una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, adems de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edicin
de los Objetivos de Control y la 3 Edicin de las Directrices de Auditora para
identificar el cumplimiento de los procesos del departamento de sistemas con
relacin a lo que indica la metodologa COBIT.
Se coordin con anticipacin entrevistas con los encargados de cada proceso del
departamento de sistemas, as como con el jefe del departamento para obtener la
informacin necesaria de esta investigacin en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.
93
CALIFICACIN
OBJETIVOS DE
CONTROL
RESPUESTAS
5.- Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Si se tiene acuerdos de niveles de servicio. Es
equitativos?
un contrato coorporativo por lo que si son
equitativos y exigibles.
1,00
6.- Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Ver respuesta anterior.
exigibles?
1,00
1,00
3.- Est bien entendido el rumbo del negocio al cual est alineado TI
5.- Cules son las reas en que el negocio (estrategia) depende de forma
crtica de TI?
2.- En el
Evaluar el desempeo de los planes existentes y de los
3.- En el
sistemas de informacin en trminos de su contribucin a los
objetivos de negocio, su funcionalidad, su estabilidad, su 4.- En el
complejidad, sus costos, sus fortalezas y debilidades.
5.- En el
0,50
2.- Los ejecutivos saben lo que debe hacer el negocio para capitalizar las No saben como hacerlo porque ya lo
0,00
oportunidades que ofrece TI?
hubieran exigido.
9.- Se evala el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que estn expuestos
beneficios esperados?
pero no hay una evaluacin del impacto, se
0,50
est trabajando en un proyecto de seguridad
informtica.
Identificar dependencias
crticas y desempeo
actual.
O
R
G
A
N
I
Z
A
R
PREGUNTAS
8.- La rendicin de cuentas del logro de los beneficios y del control de los Si.
costos est claramente monitoreada?
7.- La rendicin de cuentas del logro de los beneficios y del control de los Si est asignada porque se basan en
costos est claramente asignada?
presupuesto, y monitoreada porque es
auditada de manera interna y externa. Es 1,00
corporativa.
P
L
A
N
E
A
R
COBIT
ACTIVIDADES DEL
PROCESO
Relacionar las metas del negocio con las de TI.
PROCESOS
DOMINIO
1,00
Si se evalun.
Si se evalun.
1,00
Si se evalun.
1,00
Si se evalun.
1,00
Si se evalun.
Si hay PETI.
1,00
1,00
1,00
2.- Este plan define cmo TI contribuir a los objetivos estratgicos de la Si, contempla todo.
empresa?
1,00
1,00
1,00
5.- En el plan incluye cmo TI dar soporte a los programas de inversin? Si. Hicieron un analisis FODA.
6.- En el plan incluye cmo TI dar soporte a la entrega de los servicios
operativos?
Si.
Si.
Si.
94
1,00
1,00
1,00
1,00
1,00
PREGUNTAS
1,00
1,00
Si.
1,00
Si.
1,00
5.- Estos planes tcticos describen como se monitorean los beneficios Si.
obtenidos?
6.- Estos planes tcticos describen como se administran los beneficios Si.
obtenidos?
7.- Los planes tcticos permiten la definicin de planes de proyectos?
Si (planes de accin).
8.- Se administran los planes tcticos mediante el anlisis de los Si se administran.
portafolios de proyectos y servicios?
9.- El equilibio de recursos se compara con el logro de metas Si se compara.
estratgicas?
10.- El equilibio de recursos se compara con los beneficios esperadps? Si se compara.
11.- Se toman las medidas necesarias en caso de desviaciones?
Si.
Si.
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
Si.
1,00
f. Se seleccionan proyectos?
Si.
1,00
Si.
1,00
Si.
1,00
1.- El modelo de informacin empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos
aplicaciones consistente con los planes de TI?
que como resultado. TI hace un levantamiento
de informacin por cada necesidad que surge
. El modelo contribuye un 70% a proporcionar
la informacion que TI necesita para realizar 0,70
el trabajo. Se trabaja con reporteadores para
unificar la informacin de los procesos y que
de informacion necesaria para las diferentes
areas sobre situaciones crticas.
2.- El modelo de informacin empresarial facilita las actividades de Ver respuesta anterior.
soporte a la toma de decisiones, consistente con los planes de TI?
0,70
Solo un 70%.
0,70
Si en un 70%.
0,70
Si en un 70%.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
PO1.5 - Planes Tcticos de TI.
PO1.6 - Administracin del Portafolio de TI.
ACTIVIDADES DEL
PROCESO
Construir planes tcticos para TI.
Analizar portafolios de programas y
administrar portafolios de servicios y
proyectos.
Crear y mantener modelo de informacin corporativo/empresarial.
O
R
G
A
N
I
Z
A
R
PROCESOS
PO1 - Definir un Plan Estratgico de TI.
DOMINIO
P
L
A
N
E
A
R
COBIT
0,70
En parte. No tanto integra por el tema de la
0,30
seguridad informatica.
En cuanto a modelo de informacion se planea
la capacitacin con usuarios back up o
segundo a bordo para que la informacin no 0,30
est concentrada en personas especficas. Se
tendr una base de conocimientos.
En parte.
0,30
Es rentable en parte aunque no han medido el
beneficio que se ha obtenido en tener este 0,30
modelo. No esta todo, hay que trabajar.
En parte.
0,30
En parte estn en el proceso de implementar
0,30
un proyecto de seguridad de la informacin.
12.- El modelo permite que la informacin se mantenga tolerante a Es rentable en parte aunque no han medido el
fallos?
beneficio que se ha obtenido en tener este 0,30
modelo. No esta todo, hay que trabajar.
1.-El diccionario de datos incluye reglas de sintaxis de datos de la No incluye. El Baan si tiene, el Adam no tiene,
0,00
organizacin?
el Holding tampoco.
2.-El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren
aplicaciones?
unirlo a nivel empresarial no se puede. a) No
han obtenido a nivel de Baan las fuentes. b)
Tecnologia no ha recibido capacitacin
Mantener un diccionario de datos empresarial que incluya
tcnica sobre la BD y las relaciones de los
las reglas de sintaxis de datos de la organizacin. El
elementos de la BD. Pero si se puede solicitar
diccionario facilita compartir elementos de datos entre las
capacitacin
tcnica a los proveedores de los
aplicaciones y los sistemas, fomenta un entendimiento
aplicativos y otra alternativa es el
comn de datos entre los usuarios de TI y del negocio, y
autoaprendizaje.
previene la creacin de elementos de datos incompatibles.
3.-El diccionario facilita compartir elementos de datos entre los Ver respuesta anterior.
sistemas?
4.- El diccionario fomenta un entendimiento comn de datos entre los Ver respuesta anterior.
usuarios de TI y del negocio?
5.- El diccionario previene la creacin de elementos de datos Ver respuesta anterior.
incompatibles?
1.- El esquema de clasificacin de datos aplica a toda la empresa?
Es empririco. Como TI, no est establecido un
procedimiento. En ISO 9000 les dicen como
generar los documentos pero no los
categoriza. No lo tienen contemplado. Tienen
proyecto de implementar ISO 27000 y asumen
que en este estandar estar contemplado
Establecer un esquema de clasificacin que aplique a toda la
esto.
2.- Est basado en que tan crtica es la informacin (pblica, Ver respuesta anterior.
empresa, basado en que tan crtica y sensible es la
confidencial, secreta) de la empresa?
informacin (esto es, pblica, confidencial, secreta) de la
3.- Est basado en que tan sensible es la informacin (pblica, Ver respuesta anterior.
empresa. Este esquema incluye detalles acerca de la
confidencial, secreta) de la empresa?
propiedad de datos, la definicin de niveles apropiados de
4.- Este esquema incluye detalles cmo la propiedad de datos?
Ver respuesta anterior.
seguridad y de controles de proteccin, y una breve
descripcin de los requerimientos de retencin y destruccin 5.- Este esquema define los niveles apropiados de seguridad?
Ver respuesta anterior.
de datos, adems de qu tan crticos y sensibles son. Se usa 6.- Este esquema define los niveles apropiados de controles de Ver respuesta anterior.
como base para aplicar controles como el control de acceso, proteccin?
archivo o cifrado.
7.- Este esquema describe los requerimientos de retencin de datos?
Ver respuesta anterior.
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
9.- Este esquema describe que tan crticos son los datos?
0,00
10.- Este esquema describe que tan sensibles son los datos?
0,00
11.- Este esquema se utiliza como base para aplicar controles como el de Ver respuesta anterior.
acceso, archivo o cifrado?
0,00
95
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
PO2.4 Administracin
de Integridad.
PO3.1 - Planeacin de la Direccin Tecnolgica.
PO3.2 - Plan de Infraestructura Tecnolgica.
PO3.3 - Monitoreo de Tendencias y
Regulaciones Futuras.
ACTIVIDADES DEL
PROCESO
Crear y mantener un plan de infraestructura
tecnolgica.
Crear y mantener estndares tecnolgicos.
Publicar estndares tecnolgicos.
PROCESOS
Usar el modelo de
informacin, el
diccionario de
datos y el
esquema de
clasificacin
para planear los
sistemas
PREGUNTAS
1.- Existen procedimientos que garanticen la integridad de los datos En un pequeo porcentaje, a nivel de
almacenados en formato electrnico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25
almacenes de datos y archivos?
mayoria documentados. Se lo piensa hacer.
2.- Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior.
datos almacenados en formato electrnico, tales como bases de datos,
almacenes de datos y archivos?
1.- Se analizan las tecnologas existentes?
Si. Los proveedores vienen a que les enseen.
2.- Se analizan las tecnologas emergentes?
Si.
Si.
Si.
0,25
1,00
1,00
1,00
1,00
0,50
En parte.
0,50
9.- El plan abarca los aspectos de contingencia de los componentes de la En parte.
0,50
infraestructura?
1.- Existe un plan de infraestructura tecnolgica?
En la actualidad no. Se estn haciendo
diagnosticos en base de datos, servidores ,
SO. y estandares (ITIL, Cobit, ISO 27000 y
0,00
seguridad informtica). En base a ese
diagnostico (3 empresas lo hacen) se
elaborar el plan estratgico.
2.- El plan de infraestructura tecnolgica est acorde con los planes Ver respuesta anterior.
0,00
estratgicos de TI?
3- Tienen planes tcticos de TI?
0,00
4- El plan de infraestructura tecnolgica est acorde con los planes Ver respuesta anterior.
tcticos de TI?
0,00
1,00
Si.
1,00
7.- El plan incluye la orientacin para la adquisicin de recursos Si.
1,00
tecnolgicos?
Si considera los cambios en el ambiente
8.- El plan considera los cambios en el ambiente competitivo?
1,00
competitivo.
9.- El plan considera las economas de escala para inversiones?
Ver respuesta anterior.
1,00
10.- El plan considera al personal en sistemas de informacin?
Ver respuesta anterior.
1,00
11.- El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
plataformas?
12.- El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
aplicaciones?
1.- Existe un proceso para monitorear las tendencias ambientales del No existe un proceso claro. Se lo hace en base
sector/industria?
a los requerimientos del usuario, no es
continuo y por el momento el usuario solicita
algo que est vigente en el mercado. (Software
para biblioteca de planos, PDA. Integracin
del Baan con el BSC).
2.- Existe un proceso para monitorear las tendencias tecnolgicas?
Ver respuesta anterior.
1,00
1,00
0,00
0,00
3.- Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior.
0,00
0,00
O
R
G
A
N
I
Z
A
R
DOMINIO
PO2 - Definir la
Arquitectura de la
Informacin.
P
L
A
N
E
A
R
COBIT
3.- Se proporcionan soluciones tecnolgicas seguras para toda la Ver respuesta anterior.
empresa?
Proporcionar soluciones tecnolgicas consistentes, efectivas 4.- Se brindan directrices tecnolgicas sobre los productos de la Si se brindan. El departamento de Logstica
infraestructura?
envia los requerimientos de los usuarios para
y seguras para toda la empresa, establecer un foro
hacer el anlisis tecnico y en base a esto se
tecnolgico para brindar directrices tecnolgicas, asesora
compra o se contrata el servicio.
sobre los productos de la infraestructura y guas sobre la
Ver respuesta anterior.
seleccin de la tecnologa, y medir el cumplimiento de estos 5.- Se brinda asesora sobre los productos de la infraestructura?
estndares y directrices. Este foro impulsa los estndares y 6.- Se brindan guas sobre la seleccin de la tecnologa?
Ver respuesta anterior.
las prcticas tecnolgicas con base en su importancia y
Si se lo hace por medio de las auditoras de
7.- Se mide el cumplimiento de los estndares tecnolgicos?
riesgo para el negocio y en el cumplimiento de
calidad.
requerimientos externos.
8.- Se mide el cumplimiento de las directrices tecnolgicas?
Si.
9.- Se impulsa los estndares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros
negocio y en el cumplimiento de requerimientos externos?
(diagnostico de ITIL, politicas de calidad para
certificarse en ISO 27000) se lo est
impulsando.
10.- Se impulsa las prcticas tecnolgicas con base en su importancia y Ver respuesta anterior.
riesgo para el negocio y en el cumplimiento de requerimientos externos?
1.- Existe un comit de arquitectura de TI que proporcione directrices No hay comit de arquitectura. (Se lo piensa
sobre la arquitectura?
crear en aproximadamente 8 meses porque
les falta asentarse como departamento).
2.- Existe un comit de arquitectura de TI que proporcione asesora sobre Ver respuesta anterior.
su aplicacin?
3.- Existe un comit de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior.
4.- Esta entidad orienta el diseo de la arquitectura de TI garantizando No hay comit de arquitectura.
que facilite la estrategia del negocio?
5.- Esta entidad tome en cuenta el cumplimiento regulatorio?
Ver respuesta anterior.
6.- Esta entidad tome en cuenta los requerimientos de continuidad?
96
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
PREGUNTAS
1.- Est definido un marco de trabajo para el proceso de TI para ejecutar Si est definido.
el plan estratgico de TI?
2.- El marco de trabajo de procesos de TI est integrado en un sistema de Si est integrado.
administracin de calidad?
3.- El marco de trabajo de procesos de TI est integrado en un marco de Si.
trabajo de control interno?
1,00
1,00
1,00
2.- Este comit asegura que el gobierno de TI, como parte del gobierno
corporativo, se maneja de forma adecuada, asesora sobre la direccin
estratgica y revisa las inversiones principales a nombre del consejo
completo?
1.- Se cuenta con un comit estratgico de TI a nivel del consejo?
4.- Este comit evisa las inversiones principales a nombre del consejo ver respuesta anterior.
completo?
1.- La funcin de TI est ubicada dentro de la estructura organizacional Si, porque est como una jefatura y se
general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General.
dentro de la empresa?
0,00
0,00
0,00
0,00
0,00
0,00
1,00
1.- Est establecida una estructura organizacional de TI interna que Si se cuenta. En el Holding Dine hay una
refleje las necesidades del negocio?
Gerencia de TI y bajo esta gerencia estn las
jefaturas de TI de cada una de las empresas.
Con ellos se coordina la adopcin de
estandares o cualquier otro requerimiento
que se necesite.
Ver respuesta anterior.
2.- Est establecida una estructura organizacional de TI externa que
refleje las necesidades del negocio?
3.- Existe un proceso que revise la estructura organizacional de TI de Esto se coordina con la gerencia de TI del
forma peridica para ajustar los requerimientos de personal?
Holding Dine
4.- Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior.
los objetivos de negocio esperados y las circunstancias cambiantes?
1.- Se definen los roles y las responsabilidades para el personal de TI?
Si se definen.
Si se comunican.
Si se definen mediante el plan de actividades
y de acuerdo a los requerimientos
priorizados por la alta gerencia.
4.- Est definida la rendicin de cuentas para alcanzar las necesidades Ver respuesta anterior.
del negocio?
1.- Est asignada la responsabilidad para el desempeo de la funcin de No hay implementado un aseguramiento de
aseguramiento de calidad (QA)?
calidad de TI. Se esta definiendo todos los
procesos, indicadores y procedimientos y se
los va a montar en una plataforma. Adems
se recibir la capacitacin de ISO 9000 para
Asignar la responsabilidad para el desempeo de la funcin
saber que falta para la certificacin y se
de aseguramiento de calidad (QA) y proporcionar al grupo de
contratar
a
una
empresa
para
QA sistemas de QA, los controles y la experiencia para
asesoramiento y logro del objetivo.
comunicarlos. Asegurar que la ubicacin organizacional, las 2.- El grupo de QA cuenta con los sistemas de QA, los controles y la No hay implementado aseguramiento de
responsabilidades y el tamao del grupo de QA satisfacen
experiencia para comunicarlos?
calidad.
los requerimientos de la organizacin.
3.- La ubicacin organizacional del grupo de QA satisfacen los No hay implementado aseguramiento de
requerimientos de la organizacin?
calidad.
4.- Las responsabilidades del grupo de QA satisfacen los requerimientos No hay implementado aseguramiento de
de la organizacin?
calidad.
5.- El tamao del grupo de QA satisfacen los requerimientos de la No hay implementado aseguramiento de
organizacin?
calidad.
1.- Est establecida la responsabilidad de los riesgos relacionados con Si se establece pero, an falta evaluacin con
TI a un nivel superior apropiado?
respecto a los incidentes.
Establecer la propiedad y la responsabilidad de los riesgos
relacionados con TI a un nivel superior apropiado. Definir y 2.- Estn asignados los roles crticos para administrar los riesgos de TI? Se tiene algo bsico. Se est trabajando en la
politica de seguridad, se est elaborando
asignar roles crticos para administrar los riesgos de TI,
una poltica de calidad, estn en la etapa de
incluyendo la responsabilidad especfica de la seguridad de
revisin de esa poltica, cada especialista,
la informacin, la seguridad fsica y el cumplimiento.
b.d. , aplicativos y help desk debe elaborar
Establecer responsabilidad sobre la administracin del
procedimientos que exige esta poltica.
riesgo y la seguridad a nivel de toda la organizacin para
manejar los problemas a nivel de toda la empresa. Puede ser 3.- Est establecida la responsabilidad sobre la administracin del No est establecido formalmente. En cuanto
riesgo?
se tenga los procedimiento se va a establecer.
necesario asignar responsabilidades adicionales de
administracin de la seguridad a nivel de sistema especfico 4.- Est establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior.
para manejar problemas relacionados con seguridad.
toda la empresa?
Obtener orientacin de la alta direccin con respecto al
5.- Estn asignadas responsabilidades adicionales de administracin de No.
apetito de riesgo de TI y la aprobacin de cualquier riesgo
la seguridad a nivel de sistema especfico?
residual de TI.
6.- La alta direccin orienta con respecto al apetito de riesgo de TI?
No.
7.- La alta direccin aprueba cualquier riesgo residual de TI?
PO4.11 Segregacin de
Funciones.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
PO4.1 - Marco de Trabajo de
Procesos de TI.
PO4.2 - Comit
Estratgico de
TI.
PO4.3 - Comit
Directivo de TI.
PO4.4 - Ubicacin
Organizacional de
la Funcin de TI.
PO4.6 - Establecimiento de
Roles y Responsabilidades.
PO4.8 - Responsabilidad sobre el Riesgo, la
Seguridad y el Cumplimiento.
ACTIVIDADES DEL
PROCESO
Establecer estructura organizacional
de TI, incluyendo comits y ligas a los
interesados y proveedores.
Establecer e implantar
roles y responsabilidades
de TI, incluida la
supervisin y segregacin
de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la
supervisin y segregacin de funciones.
O
R
G
A
N
I
Z
A
R
Establecer
Establecer e
e
implantar roles
implantar
Establecer e implantar roles y
y
roles y
responsabilidades de TI,
responsabilidade
responsabi
incluida la supervisin y
s de TI, incluida
lidades de
segregacin de funciones.
la supervisin y
TI, incluida
segregacin de
la
funciones.
supervisin
P
L
A
N
E
A
R
Identificar dueos
de sistemas.
Establecer estructura
organizacional de TI,
incluyendo comits y
ligas a los interesados
y proveedores.
Establecer
estructura
organizacional
de TI,
incluyendo
comits y
ligas a los
interesados y
proveedores
PROCESOS
DOMINIO
COBIT
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,00
0,00
0,00
0,00
0,50
0,50
0,00
0,00
0,00
0,00
No.
0,00
1.- Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma
responsabilidades de propiedad sobre los datos y los sistemas de tecnolgica que soportan los procesos
definidos en la empresa en base a sus 1,00
Proporcionar al negocio los procedimientos y herramientas informacin?
necesidades, dependiendo de las funciones
que le permitan enfrentar sus responsabilidades de
establecidad por RR HH.
propiedad sobre los datos y los sistemas de informacin. Los
2.- Los dueos toman decisiones sobre la clasificacin de la informacin No, pero se debe hacer. Falta hacer un
dueos toman decisiones sobre la clasificacin de la
para protegerlos de acuerdo a esta clasificacin?
levantamiento de informacion de cada
informacin y de los sistemas y sobre cmo protegerlos de
0,00
proceso y categorizarlo segn la criticidad de
acuerdo a esta clasificacin.
la informacin.
3.- Los dueos toman decisiones para proteger los sistemas?
Ver respuesta anterior.
0,00
Implementar prcticas adecuadas de supervisin dentro de 1.- Se tienen implementadas prcticas adecuadas de supervisin dentro Si se tiene implementada. Hay indicadores .
la funcin de TI para garantizar que los roles y las
de la funcin de TI para garantizar que los roles y las responsabilidades
1,00
responsabilidades se ejerzan de forma apropiada, para
se ejerzan de forma apropiada?
2.- Se revisan en forma general los indicadores claves de desempeo?
Ver respuesta anterior.
evaluar si todo el personal cuenta con la suficiente
1,00
Implementar una divisin de roles y responsabilidades que 1.- Se tiene implementado una divisin de roles y responsabilidades que Si, por medio de las funciones de RRHH.
reduzca la posibilidad de que un solo individuo afecte
reduzca la posibilidad de que un solo individuo afecte negativamente un
1,00
negativamente un proceso crtico. La gerencia tambin se
proceso crtico?
asegura de que el personal realice slo las tareas
2.La
gerencia
se
asegura
de
que
el
personal
realice
slo
las
tareas
Si,
al
igual
que
lo
anterior
por
las
funciones
autorizadas, relevantes a sus puestos y posiciones
1,00
autorizadas relevantes a sus puestos?
definidas por RRHH.
respectivas.
97
PREGUNTAS
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
PO4.12 - Personal de TI.
PO4.13 - Personal Clave de TI.
PO4.14 - Polticas y
Procedimientos
para Personal
Contratado.
PO4.15 - Relaciones.
PO5.1 - Marco de Trabajo para la
Administracin Financiera.
PO5.5 - Administracin de Benefici
PO5.2 Prioridades
dentro del Presupuesto
de TI.
funciones.
implantar roles y
segregacin de
ACTIVIDADES DEL
PROCESO
Dar mantenimiento al portafolio de
programas de inversin.
Establecer y mantener proceso presupuestal
de TI.
Dar mantenimiento al
portafolio de proyectos.
supervisin y
de TI, incluida la
responsabilidades
Identificar, comunicar y
monitorear la inversin, costo y
valor de TI para el negocio.
Y
O
R
G
A
N
I
Z
A
R
PROCESOS
P
L
A
N
E
A
R
Establecer e
DOMINIO
COBIT
1.- Se evalan los requerimientos de personal de forma regular para
garantizar que la funcin de TI cuente con un nmero suficiente de
recursos para soportar adecuada y apropiadamente las metas del
negocio?
1,00
98
0,00
1,00
PREGUNTAS
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
PO6.2 - Riesgo
Corporativo y
Marco de
Referencia de
Control
Interno de TI.
Si.
Si.
Si.
1,00
1,00
1,00
2.- Existe un proceso que garantice que la organizacin cuente con una En parte. Falta un plan de carrera. Recursos
fuerza de trabajo apropiada?
Humanos considera implementar un plan de
0,50
carrera.
PO7.3 - Asignacin de
Roles.
PO7.4 Entrenamiento
del Personal de
TI.
1,00
PO7.5 Dependencia
Sobre los
Individuos.
1.- Se verifica en forma peridica que el personal tenga las habilidades Si, se verifica mediante auditora externa.
para cumplir sus roles?
Deloitte, Price y de Holding Dine.
PO7.6 Procedimientos de
Investigacin del
Personal.
PO7.1 - Reclutamiento y
Retencin del Personal.
PO6.3 - Administracin de
Polticas para TI.
ACTIVIDADES DEL
PROCESO
Elaborar y mantener un ambiente y
marco de control de TI.
Elaborar y
mantener un
ambiente y
marco de
control de TI.
Elaborar y mantener
polticas de TI.
Elaborar y
mantener
polticas de TI.
Comunicar el
marco de
control y los
objetivos y
direccin de
TI.
PROCESOS
PO6 - Comunicar las Aspiraciones y la Direccin de la Gerencia.
Identificar las
habilidades de TI,
benchmarks sobre
descripciones de
puesto, rango de
salarios y desempeo
del personal.
Identificar las habilidades de TI,
benchmarks sobre descripciones de
puesto, rango de salarios y desempeo del
personal.
Identificar las
habilidades de TI,
benchmarks sobre
descripciones de puesto,
rango de salarios y
desempeo del personal.
O
R
G
A
N
I
Z
A
R
Identificar
Ejecutar las
las
polticas y
habilidades
procedimientos
de TI,
relevantes de RH
benchmarks para TI(reclutar,
sobre
contratar,
descripcione
investigar,
s de puesto,
compensar,
rango de
entrenar
P
L
A
N
E
A
R
DOMINIO
COBIT
Si.
1,00
1,00
1,00
99
1,00
Si.
Sobre el desempeo si, por medio de la
capacitacin.
De conducta no.
1,00
1,00
1,00
1,00
1,00
0,50
1.- Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH.
en especial las terminaciones?
2.- Se realiza la transferencia del conocimiento?
Si.
1,00
Si.
1,00
4.- Se eliminan los privilegios de acceso, de tal modo que los riesgos se
minimicen?
5.- Se eliminan los privilegios de acceso, de tal modo que se garantice la
continuidad de la funcin?
1.- Se cuenta con un QMS de TI alineados con los requerimientos del
negocio?
Si.
Si.
1,00
1,00
1,00
2.- Este QMS proporciona un enfoque estndar, formal y continuo con Ver respuesta anterior.
respecto a la administracin de la calidad?
3.- El QMS identifica los requerimientos?
Ver respuesta anterior.
0,50
0,50
0,50
6.- El QMS identifica las polticas para definir, detectar, corregir y prever
las no conformidades?
7.- El QMS identifica los criterios para definir, detectar, corregir y prever
las no conformidades?
8.- El QMS identifica los mtodos para definir, detectar, corregir y prever
las no conformidades?
9.- El QMS define la estructura organizacional para la administracin de
la calidad, cubriendo los roles, las tareas y las responsabilidades?
10.- Las reas clave desarrollan sus planes de calidad de acuerdo a los
criterios y polticas, y registran los datos de calidad?
11.- Se monitorea la efectividad del QMS?
0,50
0,50
0,50
0,50
0,50
0,50
0,50
0,50
4.- Se usan las buenas prcticas de la industria como referencia al Ver respuesta anterior.
mejorar y adaptar las prcticas de calidad de la organizacin?
1.- Se adoptan estndares para todo desarrollo y adquisicin que siga el Los lineamientos los da el Holding Dine.
ciclo de vida, hasta el ltimo entregable?
2.- Se mantienen estndares para todo desarrollo y adquisicin que siga Si.
el ciclo de vida, hasta el ltimo entregable?
3.- Se incluyen estndares de codificacin de software?
CALIFICACIN
OBJETIVOS DE
CONTROL
PO7.7 - Evaluacin del
Desempeo del Empleado.
PO7.8 - Cambios y
Terminacin de Trabajo.
PO8.2 Estndares y
Prcticas de
Calidad.
RESPUESTAS
0,50
0,50
0,50
0,50
0,50
0,50
0,50
1,00
1,00
6.- Se incluyen estndares de diseo para esquemas y diccionario de Ver respuesta anterior.
datos?
7.- Se incluyen estndares para la interfaz de usuario?
Ver respuesta anterior.
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
No se tiene un sistema de calidad pero, si se
0,50
enfocan en las necesidades del usuario.
2.- Estn definidos los roles respecto a la resolucin de conflictos entre Si se sabe que datos corrige el usuario y la
el usuario/cliente y la organizacin de TI?
organizacin en lo que respecta a errores del 1,00
aplicativo.
3.- Estn definidos las responsabilidades respecto a la resolucin de Si.
1,00
conflictos entre el usuario/cliente y la organizacin de TI?
1.- Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000
continua?
se la tiene en forma global como
departamento, se planea, se hace y se 0,00
controla y se toma medidas correctivas o
preventivas. Ciclo DEMI.
2.- Se comunica regularmente el plan global de calidad?
No.
0,00
1.- Estn definidas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?
2.- Estn planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?
3.- Estn implementadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
continuo del QMS?
PO8.4 - Enfoque en
el Cliente de TI.
PO8.5 - Mejora
Continua.
Crear y comunicar
estndares de
calidad a toda la
organizacin.
Crear y
administrar el
plan de calidad
para la mejora
continua.
PREGUNTAS
ACTIVIDADES DEL
PROCESO
Establecer y
mantener un
sistema de
administracin
de calidad.
P
L
A
N
E
A
R
O
R
G
A
N
I
Z
A
R
PROCESOS
PO7 - Administrar los Recursos
Humanos de TI
DOMINIO
COBIT
0,00
0,00
7.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
el dueo del proceso para tomar las medidas correctivas apropiadas?
8.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
el dueo del proceso para tomar las medidas preventivas apropiadas?
100
0,00
0,00
0,00
Actualmente no.
No. Se va a actualizar el plan de
contingencia y revisar la matriz de riesgos.
Ver respuesta anterior.
Ver respuesta anterior.
Ver respuesta anterior.
CALIFICACIN
OBJETIVOS DE
CONTROL
PO9.1 Marco de
Trabajo de
Administraci
n de
Riesgos.
PO9.2 - Establecimiento del
Contexto del Riesgo.
PO9.3 - Identificacin de Eventos.
PO9.4 - Evaluacin de Riesgos de TI.
RESPUESTAS
1.- Est establecido un marco de trabajo de administracin de riesgos de Se lo tiene en parte. Se est trabajando en la
Establecer un marco de trabajo de administracin de riesgos TI?
seguridad para minimizar los riesgos.
de TI que est alineado al marco de trabajo de
2.- El marco de trabajo de administracin de riesgos de TI est alineado En parte.
administracin de riesgos de la organizacin.
al marco de trabajo de administracin de riesgos de la organizacin?
0,50
0,50
0,00
0,00
0,00
0,00
0,00
1.- Estn identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales
negativo sobre las metas o las operaciones de la empresa?
de criticidad media, frente a los cuales tienen
tiempos de respuesta adecuados. Para los
riesgos de criticidad alta como perdida del 0,50
Identificar eventos (una amenaza importante y realista que
centro de cmputo, perdida de servidores, no
explota una vulnerabilidad aplicable y significativa) con un
se tiene una evaluacin real del tiempo de
impacto potencial negativo sobre las metas o las
respuesta.
operaciones de la empresa, incluyendo aspectos de negocio,
2.- Se determina la naturaleza del impacto?
Se lo est haciendo aproximadamente desde
0,50
regulatorios, legales, tecnolgicos, de sociedad comercial, de
hace un mes. Antes no se lo registraba.
recursos humanos y operativos. Determinar la naturaleza del
3.- Se mantiene esta informacin?
Ver respuesta anterior.
0,50
impacto y mantener esta informacin. Registrar y mantener
los riesgos relevantes en un registro de riesgos.
4.- Se registran los riesgos relevantes en un registro de riesgos?
Se lo est haciendo aproximadamente desde
0,50
hace un mes. Antes no se lo registraba.
5.- Se mantienen los riesgos relevantes en un registro de riesgos?
Ver respuesta anterior.
0,50
1.- Se evala en forma recurrente la probabilidad e impacto de todos los No.
riesgos identificados?
2.- Se usan mtodos cualitativos?
Evaluar de forma recurrente la probabilidad e impacto de
3.- Se usan mtodos cuantitativos?
todos los riesgos identificados, usando mtodos cualitativos
y cuantitativos. La probabilidad e impacto asociados a los
4.- Se determina de forma individual la probabilidad e impacto
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
individual, por categora y con base en el portafolio.
5.- Se determina por categora la probabilidad e impacto asociados a los
riesgos inherentes y residuales?
6.- Se determina con base en el portafolio la probabilidad e impacto
asociados a los riesgos inherentes y residuales?
Desarrollar y mantener un proceso de respuesta a riesgos
diseado para asegurar que controles efectivos en costo
mitigan la exposicin en forma continua. El proceso de
respuesta a riesgos debe identificar estrategias tales como
evitar, reducir, compartir o aceptar riesgos; determinar
responsabilidades y considerar los niveles de tolerancia a
riesgos.
PO9.6 - Mantenimiento y
Monitoreo de un Plan de
Accin de Riesgos.
PO9.5 - Respuesta a
los Riesgos.
PREGUNTAS
Establecer y mantener
un Marco de Trabajo
para la administracin
de proyectos de TI.
*Establecer y mantener un sistema de monitoreo, medicin y
administracin de sistemas. *Elaborar estatutos, calendarios, planes
de calidad, presupuestos y planes de comunicacin y de
administracin de riesgos.
Definir un marco de
administracin de
programas/portafolio para
inversiones en TI.
O
R
G
A
N
I
Z
A
R
PO10.2 - Marco de
Trabajo para la
Administracin de
Proyectos.
*Priorizar y Planear
actividades de control.
*Aprobar y asegurar fondos
para planes de accin de
riesgos.
*Mantener y monitorear un
plan de accin de riesgos.
ACTIVIDADES DEL
PROCESO
*Entender los objetivos de negocio
estratgicos relevantes.
*Entender los objetivos de los
procesos de negocios relevantes.
Evaluar y
seleccionar
respuestas a riesgo.
P
L
A
N
E
A
R
Determinar la alineacin de
la administracin de riesgos
(ej: Evaluar riesgo).
Determinar
la alineacin
de la
administraci
n de riesgos
(ej: Evaluar
riesgo).
PROCESOS
DOMINIO
COBIT
No.
No.
Si.
Si.
Si.
0,00
0,00
0,00
1,00
1,00
1,00
1.- Se cuenta con un proceso de respuesta a riesgos diseado para En parte por medio del plan de contingencia,
asegurar que controles efectivos en costo mitigan la exposicin en forma pero falta.
0,50
continua?
2.- El proceso de respuesta a riesgos identifica estrategias tales como
evitar, reducir, compartir o aceptar riesgos?
3.- El proceso de respuesta a riesgos considera los niveles de tolerancia
a riesgos?
1.- Se prioriza las actividades de control a todos los niveles para
implementar las respuestas a los riesgos?
2.- Se obtiene la aprobacin para las acciones recomendadas de
cualquier riesgo residual?
No.
Ver respuesta anterior.
No.
Si, pero no lo han propuesto. La gerencia si
tiene apertura para esto.
0,00
0,00
0,00
1,00
0,00
1,00
Si.
Si.
2.- Se asegura que los proyectos apoyen los objetivos del programa?
Si.
Si.
Si.
1,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1.- Est establecido un enfoque de administracin de proyectos que Si. Hay una Unidad de Proyectos y Unidad de
corresponda al tamao de cada proyecto?
Desarrollo Organizacional pero falta reforzar
1,00
la metodologa para la generacin de
proyectos.
2.- Est establecido un enfoque de administracin de proyectos que Ver respuesta anterior.
1,00
corresponda a la complejidad de cada proyecto?
3.- Est establecido un enfoque de administracin de proyectos que
corresponda a los requerimientos regulatorios de cada proyecto?
4.- La estructura de gobierno de proyectos incluye los roles del
patrocinador del programa, patrocinadores de proyectos, comit de
direccin, oficina de proyectos, y gerente del proyecto?
5.- La estructura de gobierno de proyectos incluye las responsabilidades
del patrocinador del programa, patrocinadores de proyectos, comit de
direccin, oficina de proyectos, y gerente del proyecto?
6.- La estructura de gobierno de proyectos incluye la rendicin de
cuentas del patrocinador del programa, patrocinadores de proyectos,
comit de direccin, oficina de proyectos, y gerente del proyecto?
7.- La estructura de gobierno de proyectos incluye los mecanismos por
medio de los cuales pueden satisfacer esas responsabilidades (tales
como reportes y revisiones por etapa)?
8.- Se asegura que todos los proyectos de TI cuenten con patrocinadores
con suficiente autoridad para apropiarse de la ejecucin del proyecto
dentro del programa estratgico global?
101
1,00
1,00
Si.
PO10.10 - Plan
de Calidad del
Proyecto.
PO10.11 - Control
de Cambios del
Proyecto.
PO10.12 - Planeacin
del Proyecto y Mtodos
de Aseguramiento.
PO10.13 - Medicin del
Desempeo, Reporte y Monitoreo
del Proyecto.
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
Si.
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
2.- Estn establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se
afrontados por el proceso de administracin de proyectos y el producto incluyen clausulas que contemple esto y se lo
entregable del proyecto?
supervisa mediante actas de trabajo hasta el
1,00
cumplimiento final del mismo.
2.- Se revisa este plan y se acuerda de manera formal por todas las Si.
partes interesadas para luego ser incorporado en el plan integrado del
proyecto?
1.Existe un sistema de control de cambios para cada proyecto?
Si. Si cambia el escenario antes de la
Establecer un sistema de control de cambios para cada
planificacin como algo impredecible.
proyecto, de tal modo que todos los cambios a la lnea base
2.Estos
cambios
(Ej.
costos,
cronograma,
alcance
y
calidad)
se
revisan,
Si.
del proyecto (Ej. costos, cronograma, alcance y calidad) se
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
Identificar las tareas de aseguramiento requeridas para
apoyar la acreditacin de sistemas nuevos o modificados
durante la planeacin del proyecto e incluirlos en el plan
integrado. Las tareas deben proporcionar la seguridad de
que los controles internos y las caractersticas de seguridad
satisfagan los requerimientos definidos.
CALIFICACIN
OBJETIVOS DE
CONTROL
PO10.4 - Compromiso
de los Interesados.
PO10.5 - Declaracin de
Alcance del Proyecto.
PO10.9 Administracin de
Riesgos del Proyecto.
Definir e
implementar
mtodos de
aseguramiento
y revisin de
proyectos.
Definir e
implementar
mtodos de
aseguramiento y
revisin de
proyectos.
ACTIVIDADES DEL
PROCESO
Definir e implementar
mtodos de aseguramiento
y revisin de proyectos.
Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.
1.- Est definida la naturaleza del proyecto para confirmar y desarrollar Si.
entre los interesados, un entendimiento comn del alcance del proyecto?
1.- Existe un plan aprobadp para el proyecto que guie la ejecucin y el Si.
control del proyecto a lo largo de la vida de ste?
Establecer un plan integrado para el proyecto, aprobado y
2.- Estn entendidas las actividades e interdependencias de mltiples Si. Antes no haba una planificacin, pero
formal (que cubra los recursos de negocio y de los sistemas
proyectos dentro de un mismo programa?
hoy existe un plan de aplicacin generada
de informacin) para guiar la ejecucin y el control del
por cada especialista que se consolida en un
proyecto a lo largo de la vida del ste. Las actividades e
plan integrado.
interdependencias de mltiples proyectos dentro de un
3.- Estn documentadas las actividades e interdependencias de Si. Antes no haba una planificacin, pero
mismo programa se deben entender y documentar. El plan del
mltiples proyectos dentro de un mismo programa?
hoy existe un plan de aplicacin generada
proyecto se debe mantener a lo largo de la vida del mismo. El
por cada especialista que se consolida en un
plan del proyecto, y las modificaciones a ste, se deben
plan integrado.
aprobar de acuerdo al marco de trabajo de gobierno del
4.- El plan del proyecto se mantiene a lo largo de la vida del mismo?
Si.
programa y del proyecto.
5.- El plan del proyecto, y las modificaciones a ste, se aprueban de Si.
acuerdo al marco de trabajo de gobierno del programa y del proyecto?
1.- Estn definidas las responsabilidades, relaciones, autoridades y Si.
Definir las responsabilidades, relaciones, autoridades y
criterios de desempeo de los miembros del equipo del proyecto?
criterios de desempeo de los miembros del equipo del
proyecto y especificar las bases para adquirir y asignar a los 2.- Se especifica las bases para adquirir y asignar a los miembros Si.
competentes del equipo y/o a los contratistas al proyecto?
miembros competentes del equipo y/o a los contratistas al
3.- Se planea y administra la obtencin de productos y servicios Si.
proyecto. La obtencin de productos y servicios requeridos
requeridos para cada proyecto?
para cada proyecto se debe planear y administrar para
Si.
alcanzar los objetivos del proyecto, usando las prcticas de 4.- Se utilizan las prcticas de adquisicin de la organizacin?
adquisicin de la organizacin.
Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.
Definir e implementar
mtodos de
aseguramiento y
revisin de proyectos.
Definir e implementar
mtodos de aseguramiento y
revisin de proyectos.
PROCESOS
RESPUESTAS
O
R
G
A
N
I
Z
A
R
PREGUNTAS
Definir e implementar
mtodos de
aseguramiento y revisin
de proyectos.
P
L
A
N
E
A
R
*Asegurar la
participacin y
compromiso de los
interesados del
proyecto. *Asegurar
el control efectivo de
los proyectos y de los
cambios a proyectos.
DOMINIO
COBIT
1,00
1,00
1,00
1,00
1,00
Si.
1,00
3.- Las tareas proporcionan la seguridad de que los controles internos y Si.
las caractersticas de seguridad satisfagan los requerimientos definidos?
1,00
1.- Se mide el desempeo del proyecto contra los criterios clave del Si, mediante actas de trabajo.
proyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?
1,00
Si.
1,00
Si.
1,00
Si.
1,00
Si.
1,00
1,00
1,00
Si.
1,00
1.- Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de
proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30
1,00
dias si no hay problemas se elabora el acta
de entrega-recepcion definitiva y se paga por
medio del departamento legal.
2.- Se comunica cualquier actividad requerida para alcanzar los Si.
1,00
resultados planeados del proyecto y los beneficios del programa?
3.- Se documenta las lecciones aprendidas para ser usadas en futuros No se documenta, pero si piensan que deben
0,00
proyectos y programas?
hacerlo.
102
RESPUESTAS
1.- Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las
llamadas, identifica si lo cumplen. Se basa en
el alcance completo de los programas de inversin en TI?
el presupuesto que se elabora en Noviembre
de cada ao para el siguiente ao, en el se
incluyen todos los requerimientos de TI (tanto
de inversin como de operacin).
2.- Se identifica los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
3.- Se prioriza los requerimientos funcionales del negocio que cubran el Si esta priorizado en base a un estudio para
alcance completo de los programas de inversin en TI?
la elaboracin del presupuesto.
4.- Se prioriza los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
5.- Se especifica los requerimientos funcionales del negocio que cubran Si.
el alcance completo de los programas de inversin en TI?
6.- Se especifica los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
7.- Se acorda los requerimientos funcionales del negocio que cubran el Si cubren todo el alcance.
alcance completo de los programas de inversin en TI?
8.- Se acorda los requerimientos tcnicos del negocio que cubran el Si.
alcance completo de los programas de inversin en TI?
1.- Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se
como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo
requerimientos?
antes de hacer el presupuesto.
2.- Se identifica los riesgos asociados con el diseo de soluciones como Si.
parte de los procesos organizacionales para el desarrollo de los
requerimientos?
3.- Se documenta los riesgos asociados con los requerimientos del Si.
negocio?
4.- Se analiza los riesgos asociados con los requerimientos del negocio? Si.
1.- Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar.
implementar los requerimientos?
Los proyectos no han estado saliendo con un
formato de anlisis. Se establece en el
momento el riesgo, la utilidad, etc.
2.- La administracin del negocio, apoyada por la funcin de TI evala la Desde Marzo se est haciendo levantamiento
factibilidad?
de funciones. Hay cambios en la actualidad y
an no estn establecidos procedimientos
definidos.
3.- La administracin del negocio, apoyada por la funcin de TI evala No.
los cursos alternativos de accin?
4.- La administracin del negocio, apoyada por la funcin de TI realiza No.
recomendaciones al patrocinador del negocio?
1.- El patrocinador del negocio aprueba los requisitos funcionales de Como rea de tecnologa se est bajo la
negocio?
Gerencia General. No se hace nada si no est
aprobado en algn informe o comunicado de
la gerencia.
2.- El patrocinador del negocio aprueba los requisitos tcnicos de Si.
negocio?
3.- El patrocinador del negocio autoriza los requisitos funcionales de Si.
negocio?
4.- El patrocinador del negocio autoriza los requisitos tcnicos de Si.
negocio?
5.- El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
6.- El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
1.- Se traduce los requerimientos del negocio a una especificacin de No hay formato, no hay documento.
diseo de alto nivel para la adquisicin de software?
2.- Las especificaciones de diseo son aprobadas por la Gerencia?
Solo a traves de comunicados o informes de
la gerencia general.
3.- Se reevala los requerimientos cuando sucedan discrepancias Si, se reevala los requerimientos aunque sin
significativas tcnicas durante el desarrollo o mantenimiento.?
procedimientos, solo leyendo los pedidos.
Ejemplo, piden Autocad para el rea de
despacho, se evalua si realmente lo necesitan
o no, se lo hace de manera informal porque
no hay cumplimiento de procedimientos en
general para todas las cosas.
CALIFICACIN
OBJETIVOS DE
CONTROL
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio.
ACTIVIDADES DEL
PROCESO
Definir los requerimientos funcionales y tcnicos del
negocio. *Establecer procesos para la integridad/vlidez de
los requerimientos.
Identificar, documentar y
analizar el riesgo del
proceso de negocio.
PREGUNTAS
Conducir un estudio de
factibilidad/evaluacin de impacto con
respecto a la implantacin de los
requerimientos de negocio propuestos.
*Elaborar un proceso de aprobacin de
requerimientos. *Aprobar y Autorizar
soluciones propuestas.
E
I
M
P
L
E
M
E
N
T
A
R
PROCESOS
AI1 - Identificar soluciones automatizadas.
DOMINIO
A
D
Q
U
I
R
I
R
COBIT
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,50
0,50
103
PREGUNTAS
Personalizar e implementar la
funcionalidad automatizada
adquirida.
Si,Los
auditores
evalan
que las
recomendaciones hayan sido implementadas. 1,00
Si, lo hacen en linea.
1,00
Eso lo hacen poco. No auditan modelo de
datos, integridad referencial, a ese nivel no 0,00
llegan las auditoras.
No.
0,00
Si lo auditan.
1,00
1.- Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables,
los objetivos de negocio?
una vez comprado,se personaliza y
parametriza de acuerdo a las necesidades de
la empresa, tanto software como hardware.
Se lo realiza en el rea tcnica pero a travs 1,00
de los especialistas de los aplicativos y bases
de datos. Ellos disponen y el rea ejecuta.
2.- Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicacin
los objetivos de negocio?
adquirida. Los especialistas de los
aplicativos y bases de datos tambien 1,00
implementan.
1.- Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a
resulten cambios significativos al diseo actual?
las necesidades de cada departamento y que
adems ayuden a mejorar el negocio. Los
especialistas de los aplicativos y bases de 1,00
En caso de cambios importantes a los sistemas existentes que
datos coordinan y analizan los cambios
resulten en cambios significativos al diseo actual y/o
importantes a los sistemas.
funcionalidad, seguir un proceso de desarrollo similar al
empleado para el desarrollo de sistemas nuevos.
2.- Se realizan cambios importantes a los sistemas existentes que Ver respuesta anterior
1,00
resulten cambios significativos en su funcionalidad?
3.- Se sigue un proceso de desarrollo similar al empleado en los sistemas Si. Usan el ciclo de vida clsico para la
1,00
existentes para el desarrollo de sistemas nuevos?
implementacin de todos los sistemas.
AI2.10 Mantenimie
nto de
Software
Aplicativo.
AI2.8 Aseguramiento de la
Calidad del
Software.
1.- Se garantiza que la funcionalidad de automatizacin se desarrolla de Si, est supervisado por el Holding Dinner.
acuerdo con las especificaciones de diseo?
Ellos realizan auditoras y constantemente
monitorean por medio de actas de trabajo y
actas de requerimiento en donde los usuarios
dan las especificaciones de lo que desean y 1,00
esto se plasma en un documento opcin x
opcin y se firma usuarios, gerentes de reas,
jefes involucrados y tecnologa.
Crear un plan de
aseguramiento de la
calidad del software
para el proyecto.
I
M
P
L
E
M
E
N
T
A
R
Desarrollar
un plan
para el
mantenimie
nto de
aplicacione
s de
software.
A
D
Q
U
I
R
I
R
Personalizar e implementar la
funcionalidad automatizada
adquirida.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
ACTIVIDADES DEL
PROCESO
PROCESOS
DOMINIO
COBIT
1,00
1.- Se desarrolla una estrategia para el mantenimiento de aplicaciones Aplican el mismo ciclo de vida, desde
1,00
de software?
analizar hasta aplicar la solucin.
2.-Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan.
software.?
104
0,00
PREGUNTAS
RESPUESTAS
3.- Se mantiene el plan para adquirir la infraestructura tecnolgica que Si se evala, se realiza una cotizacin y el
satisfaga los requerimientos establecidos funcionales del negocio, y que departamento de adquisiciones aprueba la 1,00
est de acuerdo con la direccin tecnolgica de la organizacin?
compra a travs de un cmite.
4.- Se mantiene el plan para adquirir la infraestructura tecnolgica que S.
satisfaga los requerimientos establecidos tcnicos del negocio, y que est
de acuerdo con la direccin tecnolgica de la organizacin?
I
M
P
L
E
M
E
N
T
A
R
1,00
5.- El plan considera extensiones futuras para adiciones de capacidad, No hay un documento de planificacin que
costos de transicin, riesgos tecnolgicos y vida til de la inversin para abarque estos temas.
0,00
actualizaciones de tecnologa?
6.- Se evala los costos de complejidad del proveedor?
7.- Se evala los costos de la viabilidad comercial del proveedor y el Ver respuesta anterior.
producto al aadir nueva capacidad tcnica?
A
D
Q
U
I
R
I
R
CALIFICACIN
OBJETIVOS DE
CONTROL
ACTIVIDADES DEL
PROCESO
PROCESOS
DOMINIO
COBIT
1.- Se Implementa medidas de control interno, seguridad y auditabilidad Si se lo hace a nivel de desarrollo y de
durante la configuracin de la infraestructura para proteger los recursos produccin, cuando es necesario se crea base
y garantizar su disponibilidad e integridad?
de datos para hacer pruebas a los aplicativos
para no afectar el proceso en linea una vez
probado se envia los aplicativos al Ing.
Orellana encargado de los servidores para
que los pase a los servidores de produccin.
Del hardware no se hace, el software
desarrolladores de aplicativos y Base de
Datos.
Implementar medidas de control interno, seguridad y
2.- Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
auditabilidad durante la configuracin, integracin y
durante la integracin de la infraestructura para proteger los recursos y
mantenimiento del hardware y del software de la
garantizar su disponibilidad e integridad?
infraestructura para proteger los recursos y garantizar su
3.- Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior.
disponibilidad e integridad. Se deben definir y comprender
durante el mantenimiento del hardware y del software de la
claramente las responsabilidades al utilizar componentes de
infraestructura para proteger los recursos y garantizar su disponibilidad
infraestructura sensitivos por todos aquellos que desarrollan
e integridad?
e integran los componentes de infraestructura. Se debe
4.- Se define claramente las responsabilidades al utilizar componentes
Si cada especialista es reponsable del manejo
monitorear y evaluar su uso.
de infraestructura sensitivos por todos aquellos que desarrollan e
del componente de infraestructura sensitivo
integran los componentes de infraestructura?
de cada uno de los procesos.
5.- Se comprende claramente las responsabilidades al utilizar S cada especialista tiene asignado las
componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos.
desarrollan e integran los componentes de infraestructura?
6.- Se monitorea el uso del recurso de infraestructura?
Se monitorea, se hace un mantenimiento
preventivo, mas o menos cada 4 meses a los
equipos,
(servidores,
equipos
de
usuarios,etc).
7.- Se evala el uso del recurso de infraestructura?
No se evala.
1.- Se desarrolla una estrategia para el mantenimiento de la Si se desarrolla, cumplen un cronograma de
infraestrucutura?
acuerdo el reporte de Help Desk.
A Nivel de equipos de computacin. Son
2.- Se desarrolla un plan de mantenimiento de la infraestructura?
servicios que estan tercerizados.
3.- La estrategia desarrollada para el mantenimiento de la Si se garantiza pero no hay documentacin
infraestructura garantiza que se controlan los cambios, de acuerdo con el pero si hay anlisis.
procedimiento de administracin de cambios de la organizacin?
4.- El plan desarrollado para el Mantenimiento de la Infraestructura Ver respuesta anterior.
garantiza que se controlan los cambios, de acuerdo con el procedimiento
de administracin de cambios de la organizacin?
Desarrollar una estrategia y un plan de mantenimiento de la 5.- El plan de Mantenimiento de la Infraestructura incluye una revisin
No hay.
infraestructura y garantizar que se controlan los cambios, de peridica contra las necesidades del negocio?
acuerdo con el procedimiento de administracin de cambios 6.- El plan de Mantenimiento de la Infraestructura incluye una revisin
Desarrolladores de aplicativos y Base de
de la organizacin. Incluir una revisin peridica contra las peridica contra la administracin de parches?
Datos se encargan en que versiones estan
necesidades del negocio, administracin de parches y
desarrolladas las aplicaciones, Si hay
estrategias de actualizacin, riesgos, evaluacin de
actualizaciones, todo es con licencia no hay
vulnerabilidades y requerimientos de seguridad.
nada pirata.
7.- El plan de Mantenimiento de la Infraestructura incluye una revisin
Se hace un monitorieo preventivo, se hace un
peridica contra las estrategias de actualizacin?
diagnostico para ver prosibles problemas e
implementar alguna mejora.
8.- El plan de Mantenimiento de la Infraestructura incluye una revisin No se lo hace, no manejan matriz de riesgo
peridica contra los riesgos?
9.- El plan de Mantenimiento de la Infraestructura incluye una revisin No hay plan, lo hacen obligados por auditoria
peridica contra la evaluacin de vulnerabilidades?
por los eventos que se presentan para ir
solucionando las cosas.
10.- El plan de Mantenimiento de la Infraestructura incluye una revisin No.
peridica contra los requerimientos de seguridad?
1.- Se establece el ambiente de desarrollo de las aplicaciones?
Si cumplen,cuando se adquiere un aplicativo
o un software realizan un periodo de prueba,
Carlos Orellana, David Guillen y soporte.
2.- Se establece el ambiente de pruebas de las aplicaciones?
Si se cumple.
3.- Se considera la funcionalidad de las aplicaciones en el ambiente de Si se considera cuando hay cambios lo hacen
adquisicin y desarrollo?
en un solo repositorio y es fcil porque toda
la empresa se actualiza, en los cambios de
versiones es igual.
Establecer el ambiente de desarrollo y pruebas para soportar 4.- Se considera la integracin de las aplicaciones en el ambiente de Si.
la efectividad y eficiencia de las pruebas de factibilidad e
adquisicin y desarrollo?
integracin de aplicaciones e infraestructura, en las primeras 5.- Se considera el desempeo de las aplicaciones en el ambiente de Si.
fases del proceso de adquisicin y desarrollo. Hay que
adquisicin y desarrollo?
considerar la funcionalidad, la configuracin de hardware y 6.- Se considera la migracin entre ambientes de las aplicaciones en el Si.
software, pruebas de integracin y desempeo, migracin
ambiente de adquisicin y desarrollo?
entre ambientes, control de la versiones, datos y
7.- Se considera el control de la versiones de las aplicaciones en el Si.
herramientas de prueba y seguridad.
ambiente de adquisicin y desarrollo?
8.- Se considera los datos y herramientas de prueba de las aplicaciones Si.
en el ambiente de adquisicin y desarrollo?
9.- Se considera la seguridad de las aplicaciones en el ambiente de Si.
adquisicin y desarrollo?
10.- Se considera la configuracin de hardware y software de la Si se considera Cuando hay cambios lo hacen
infraestructura en el ambiente de adquisicin y desarrollo?
en un solo repositorio y es facil porque toda
la empresa se actualiza, en los cambios de
versiones es igual.
105
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
1,00
1,00
0,50
0,50
0,00
1,00
1,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
Desarrollar polticas y
procedimientos de
adquisicin de TI de
acuerdo con las politicas
de adquisiciones a nivel
corporativo.
PREGUNTAS
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
AI4.1 - Plan para Soluciones de Operacin.
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
AI4.3 - Transferencia de
Conocimiento a Usuarios
Finales.
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte.
I
M
P
L
E
M
E
N
T
A
R
AI5.1 - Control de
Adquisicin.
ACTIVIDADES DEL
PROCESO
Desarrollar metodologa de transferencia de conocimiento.
Desarrollar manuales de
procedimiento del usuario
final. * Evaluar los
resultados del entrenamiento
y ampliar la documentacin
como se requiera.
Desarrollar documentacin de soporte tcnica para
operaciones y personal de soporte. * Desarrollar y dar
entrenamiento.
PROCESOS
DOMINIO
A
D
Q
U
I
R
I
R
COBIT
1.- Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos
tcnicos, la capacidad de operacin y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico,
en las aplicaciones?
se esta trabajando en una base de
conocimiento en un servidor para en caso de 0,50
ausencia todos tengan acceso y puedan
Desarrollar un plan para identificar y documentar todos los
solucionar cualquier inconveniente que
aspectos tcnicos, la capacidad de operacin y los niveles de
normalmente lo hara la persona ausente.
servicio requeridos, de manera que todos los interesados
puedan tomar la responsabilidad oportunamente por la
2.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
produccin de procedimientos de administracin, de usuario tcnicos, la capacidad de operacin y los niveles de servicio requeridos
0,50
y operativos, como resultado de la introduccin o
en las aplicaciones?
actualizacin de sistemas automatizados o de
3.- Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior.
infraestructura.
tcnicos, la capacidad de operacin y los niveles de servicio requeridos
0,50
en la infraestructura?
4.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
tcnicos, la capacidad de operacin y los niveles de servicio requeridos
en la infraestructura?
1.- Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo
empresa?
que es beneficio. Si se entrega, el plan
estrategico de sistemas est hecho en base al
plan estratgico de la empresa.
2.- Se transfiere el conocimiento de los datos de la aplicacin a la Si.
gerencia de la empresa?
3.- Se incluye en la transferencia del conocimiento la aprobacin de Siguen la linea de Holding Dine pero basadas
Transferir el conocimiento a la gerencia de la empresa para acceso de las aplicaciones e infraestructura?
en las necesidades de Empresa. Cada 15 das,
permitirles tomar posesin del sistema y los datos y ejercer
se le informa a la GG sobre equipos, permisos
la responsabilidad por la entrega y calidad del servicio, del
para inversin. proyectos, permisos para
control interno, y de los procesos administrativos de la
ciertos privilegios.
aplicacin. La transferencia de conocimiento incluye la
4.- Se incluye en la transferencia del conocimiento la administracin de Si.
aprobacin de acceso, administracin de privilegios,
privilegios de las aplicaciones e infraestructura?
segregacin de tareas, controles automatizados del negocio, 5.- Se incluye en la transferencia del conocimiento la segregacin de Si.
respaldo/recuperacin, seguridad fsica y archivo de la
tareas de las aplicaciones e infraestructura?
documentacin fuente.
6.- Se incluye en la transferencia del conocimiento los controles Si.
automatizados del negocio de las aplicaciones e infraestructura?
7.- Se incluye
en la transferencia del
conocimiento el Si.
respaldo/recuperacin de las aplicaciones e infraestructura?
8.- Se incluye en la transferencia del conocimiento la seguridad fsica de Si.
las aplicaciones e infraestructura?
9.- Se incluye en la transferencia del conocimiento el archivo de la Si.
documentacin fuente de las aplicaciones e infraestructura?
Transferencia de conocimiento y habilidades para permitir
1.- Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe
que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal.
el sistema de aplicacin como apoyo a los procesos del
aplicacin como apoyo a los procesos del negocio?
2.- Se mejora las habilidades para permitir que los usuarios finales Si.
negocio. La transferencia de conocimiento incluye el
utilicen con efectividad y eficiencia el sistema de aplicacin como apoyo
desarrollo de un plan de entrenamiento que aborde al
entrenamiento inicial y al continuo, as como el desarrollo de a los procesos del negocio.?
3.- Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual
habilidades, materiales de entrenamiento, manuales de
plan de entrenamiento?
network
conection
,
manuales
de
usuario, manuales de procedimiento, ayuda en lnea,
usuario,procedimiento no, asistencia a
asistencia a usuarios, identificacin del usuario clave, y
usuarios y son dadas por el personal de TI.
evaluacin.
1.- Se capacita al personal de operaciones en relacin a las aplicaciones Se lo hace de forma verbal, no hay
e infraestructura atendiendo a los requerimientos de los usuarios de procedimientos. Estan retomando o queriendo
manera efectiva y eficiente?
formalizar el proceso estableciendo el
procedimiento.
2.- Se capacita al personal tcnico en relacin a las aplicaciones e Si, en parte.
infraestructura atendiendo a los requerimientos de los usuarios de
Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente?
personal de soporte tcnico y de operaciones que entregue,
3.- Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si.
apoyen y mantenga la aplicacin y la infraestructura
habilidades del personal de soporte tcnico y de operaciones?
asociada de manera efectiva y eficiente de acuerdo a los
4.- Se incluye en el entrenamiento inicial y continuo, los materiales de Si.
niveles de servicio requeridos. La transferencia del
entrenamiento en el desarrollo de las habilidades del personal de soporte
conocimiento debe incluir al entrenamiento inicial y
tcnico y de operaciones?
continuo, el desarrollo de las habilidades, los materiales de 5.- Se incluye en el entrenamiento inicial y continuo, los manuales de No.
entrenamiento, los manuales de operacin, los manuales de operacin en el desarrollo de las habilidades del personal de soporte
procedimientos y escenarios de atencin al usuario.
tcnico y de operaciones?
5.- Se incluye en el entrenamiento inicial y continuo, los manuales de No hay procedimiento.
procedimientos en el desarrollo de las habilidades del personal de
soporte tcnico y de operaciones?
7.- Se incluye en el entrenamiento inicial y continuo, los escenarios de Si.
atencin al usuario en el desarrollo de las habilidades del personal de
soporte tcnico y de operaciones?
1.- Se adquiere instalaciones para el rea de TI?
Si, (presupuesto)
Desarrollar y seguir un conjunto de procedimientos y
estndares consistente con el proceso general de
adquisiciones de la organizacin y con la estrategia de
adquisicin para adquirir infraestructura relacionada con TI,
instalaciones, hardware, software y servicios necesarios por
el negocio.
0,50
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,50
0,50
1,00
1,00
0,00
0,00
1,00
1,00
Si.
1,00
Si.
1,00
Si.
1,00
No
No
0,00
0,00
2.- Se formula un procedimiento para modificar contratos para todos los Si.
1,00
proveedores?
3.- Se formula un procedimiento para concluir contratos para todos los Si.
1,00
proveedores?
4.- El procedimiento cubre las responsabilidades y obligaciones legales? Si cumplen con todos los parametros piden
una poliza de anticipacion el 10% del valor 1,00
del contrato.
5.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
financieras?
6.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
organizacionales?
7.- El procedimiento cubre las responsabilidades y obligaciones Si.
1,00
documentales?
8.- El procedimiento cubre las responsabilidades y obligaciones de Si.
1,00
desempeo?
9.- El procedimiento cubre las responsabilidades y obligaciones de Si.
1,00
seguridad?
10.- El procedimiento cubre las responsabilidades y obligaciones de
Si.
1,00
propiedad intelectual?
11.- El procedimiento cubre las responsabilidades de conclusin?
Si.
1,00
12.- Los contratos las revisan los asesores legales?
Si pero lo hacen soportando con los tecnicos
1,00
usuario o supervisores del contrato.
13.- Las modificaciones a contratos las revisan los asesores legales?
Si.
1,00
106
PREGUNTAS
Si.
1,00
Si.
1,00
AI7.3 - Plan de
Implantacin.
AI7.5 Conversin
AI7.4 - Ambiente
de
de Prueba.
Sistemas y
Datos.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
No hay procedimientos.
Si se evalan.
Si.
Si.
0,00
1,00
1,00
1,00
Si.
1,00
Si. Si ellos no firman, TI no procede a realizar
1,00
los cambios.
No hay procedimiento para emergencias.
0,00
No.
No.
No.
Si.
Si.
0,00
0,00
0,00
1,00
1,00
1,00
0,50
Si. Se hace una revisin presencial en la
prueba y una vez aprobado por el usuario, se
1,00
efectua el cambio y se lo envia a produccion
por medio del especialista de infraestructura.
1.- Se entrena al personal de los departamentos de usuario afectados de No hay plan y no se los entrena pero se dan
acuerdo con el plan definido de entrenamiento e implantacin de casa indicaciones bsicas de acuerdo al 0,30
requerimiento.
proyecto de sistemas?
AI7.6 - Pruebas
de Cambios.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
AI5.3 Seleccin de
Proveedores.
AI6.1 - Estndares y Procedimientos para
Cambios.
AI6.2 - Evaluacin de
Impacto, Priorizacin y
Autorizacin.
AI6.4 Seguimiento y
Reporte del
Estatus de
Cambio.
AI7.2 - Plan de Prueba.
AI7.1 Entrenamiento.
AI6.5 - Cierre y
Documentacin
del Cambio.
Construir y
revisar planes de
investigacin.
I
M
P
L
E
M
E
N
T
A
R
ACTIVIDADES DEL
PROCESO
PROCESOS
Evaluar y
seleccionar
proveedores
a travs de
un proceso
de solicitud
de propuesta
(RFP).
Ejecutar la
conversaci
n del
sistema y
las
pruebas de
integraci
n en
ambiente
DOMINIO
A
D
Q
U
I
R
I
R
COBIT
No.
0,30
No cuentan con un plan pero si se realizan
0,50
pruebas.
No hay estandares.
0,00
No.
0,00
No.
Si se aprueban por las partes.
0,00
1,00
107
Si.
Si.
1.- Se establece procedimientos en lnea con los estndares de gestin de No cuentan con un software. Cuando el
cambios organizacionales?
usuario presenta inconvenientes y lo reporta,
lo atienden.
2.- Se requiere una revisin posterior a la implantacin como conjunto Si se hace.
de salida en el plan de implementacin?
1.- El marco de trabajo brinda un proceso formal de administracin de Si existen pero no es formal. Se tiene pensado
niveles de servicio entre el cliente y el prestador de servicio?
implementar ITIL para realizar procesos de
mejora, ya que las reas no estan conformes
con el resultado.
2.- El marco de trabajo mantiene una alineacin continua con los No cuentan con un marco de trabajo.
requerimientos y las prioridades de negocio?
3.- El marco de trabajo facilita el entendimiento comn entre el cliente y No cuentan con un marco de trabajo.
el(los) prestador(es) de servicio?
4.- El marco de trabajo incluye procesos para la creacin de No cuentan con marco de trabajo pero si con
requerimientos de servicio?
SLAs.
5.- El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo.
acuerdos de niveles de operacin (OLAs) y las fuentes de financiamiento?
0,50
0,50
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,50
1,00
0,50
0,00
0,00
0,50
0,25
DS1.5 - Monitoreo y
Reporte del
Cumplimento de los
Niveles de Servicio.
DS1.6 - Revisin de
los Acuerdos de
Niveles de Servicio
y de los Contratos.
DS2.1 - Identificacin de
Todas las Relaciones con
Proveedores.
2.- Se asegura que los interesados de TI evalan los resultados de los Si se lo realiza empiricamente.
procesos de pruebas como determina el plan de pruebas?
3.- Se remedia los errores significativos identificados en el proceso de Si.
pruebas?
4.- Se monitorea la evaluacin de los procesos de prueba?
Si.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
AI7.7 - Prueba de
Aceptacin Final.
AI7.9 Revisin
Posterior a la
Implantacin.
DS1.2 Definicin de
Servicios.
AI7.8 - Promocin a
Produccin.
ACTIVIDADES DEL
PROCESO
Establecer ambiente de
prueba y conducir
pruebas de aceptacin
finales.
Recomendar la
liberacin a
produccin con base
en los criterios de
acreditacin
convenidos.
PREGUNTAS
Definir los
convenios de
niveles de
operacin (OLAs)
para soportar las
SLAs.
Construir un
catlogo de
servicios de TI.
Establecer
ambiente de
prueba y
conducir
pruebas de
aceptacin
finales.
Monitorear y reportar
el desempeo del
servicio de punta a
punta. *Revisar y
actualizar el catlago
de servicios de TI.
PROCESOS
1.- Se asegura que el dueo de proceso de negocio evala los resultados No hay plan pero si lo hacen
de los procesos de pruebas como determina el plan de pruebas?
S
O
P
O
R
T
E
D
A
R
E
N
T
R
E
G
A
R
DOMINIO
A
D
Q
U
I
R
I
R
I
M
P
L
E
M
E
N
T
A
R
COBIT
0,50
0,50
0,00
0,00
0,00
108
PREGUNTAS
1.- Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar
proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si est
segura sobre una base de continuidad?
estipulado cuando se califica al proveedor,
pero cuando hay urgencias el plazo de
entrega es de 2 dias. Cuando es importacin
Identificar y mitigar los riesgos relacionados con la
depende del producto.
habilidad de los proveedores para mantener un efectivo
2.- Se aseguran que los contratos estn de acuerdo con los Si porque existe un proceso para la
servicio de entrega de forma segura y eficiente sobre una
requerimientos legales de los estndares universales del negocio?
elaboracin de contratos donde interviene el
base de continuidad. Asegurar que los contratos estn de
departamento Legal y TI.
acuerdo con los requerimientos legales y regulatorios de los
3.- La administracin del riesgo considera acuerdos de confidencialidad No.
estndares universales del negocio. La administracin del
(NDAs)?
riesgo debe considerar adems acuerdos de confidencialidad
4.- La administracin del riesgo considera los contratos de garanta?
Si.
(NDAs), contratos de garanta, viabilidad de la continuidad
5.- La administracin del riesgo considera la viabilidad de la Si.
del proveedor, conformidad con los requerimientos de
continuidad
del
proveedor?
seguridad, proveedores alternativos, penalizaciones e
6.- La administracin del riesgo considera la conformidad con los Si.
incentivos, etc.
requerimientos de seguridad?
7.- La administracin del riesgo considera a los proveedores En el plan de contingencia no se ha hecho
alternativos?
mucho incapi con los proveedores.
8.- La administracin del riesgo considera las penalizaciones e Si.
incentivos?
Establecer un proceso para monitorear la prestacin del
1.- Se establece un proceso para monitorear la prestacin del servicio del No.
servicio para asegurar que el proveedor est cumpliendo con proveedor?
2.- Se aseguran que el proveedor est cumpliendo con los requerimientos Si.
los requerimientos del negocio actuales y que se adhiere
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- Se establece un proceso de planeacin para la revisin del Si se establece. (Especialista en Soporte).
Establecer un proceso de planeacin para la revisin del
desempeo?
desempeo y la capacidad de los recursos de TI, para
2.- Se establece un proceso de planeacin para la revisin de la
Si. Se esta haciendo diagnstico de redes,
asegurar la disponibilidad de la capacidad y del desempeo, capacidad de los recursos de TI?
Base de Datos, Sistema Operativo.
con costos justificables, para procesar las cargas de trabajo 3.- Los planes de capacidad y desempeo hacen uso de tcnicas de Indirectamente si aprovechan los recursos y
acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeo, de capacidad metodologias de los proveedores, se basan en
capacidad y desempeo deben hacer uso de tcnicas de
de los recursos de TI, tanto actual como pronosticado?
tcnicas apropiadas. Cada especialista de la
modelo apropiadas para producir un modelo de desempeo,
Empresa de Produccin interacta con los
de capacidad y de desempeo de los recursos de TI, tanto
expertos del mercado para integrar a los
actual como pronosticado.
procesos normales las mejores tecnicas
vigentes.
Revisar la capacidad y desempeo actual de los recursos de 1.- Se revisa el desempeo actual de los recursos de TI en intervalos Se los revisa pero no hay formato o
documento, solo se lo hace como una funcin
TI en intervalos regulares para determinar si existe suficiente regulares?
de la persona a cargo.
capacidad y desempeo para prestar los servicios con base
en los niveles de servicio acordados.
1.- Se lleva a cabo un pronstico de desempeo de los recursos de TI en No se hace,
intervalos regulares para minimizar el riesgo de interrupciones?
2.- Se identifican tambin el exceso de capacidad para una posible No.
redistribucin?
3.- Se identifican las tendencias de las cargas de trabajo?
No. Se adquiere el equipo de acuerdo al
anlisis de lo que va a hacer el usuario y sus
necesidades de operacin.
4.- Se determina los pronsticos que sern parte de los planes de No.
capacidad de desempeo?
1.- Se toman en cuenta, planes de contingencias, en los ciclos de vida de Si.
Brindar la capacidad y desempeo requeridos tomando en
los recursos de TI?
cuenta aspectos como cargas de trabajo normales,
contingencias, requerimientos de almacenamiento y ciclos de 2.- La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementacin, solo est escrito. Falta
inversin que permita la implementacin.
desempeo y la capacidad no estn en el nivel requerido,
tales como dar prioridad a las tareas, mecanismos de
tolerancia de fallas y prcticas de asignacin de recursos. La
gerencia debe garantizar que los planes de contingencia
consideran de forma apropiada la disponibilidad, capacidad
y desempeo de los recursos individuales de TI.
DS4.2 - Planes de
Continuidad de TI.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
DS2.3 - Administracin de Riesgos del Proveedor.
DS3.1 - Planeacin del
Desempeo y la Capacidad.
DS3.4 - Disponibilidad de
Recursos de TI.
DS4.3 - Recursos
Crticos de TI.
DS3.3 - Capacidad y
Desempeo Futuros.
DS3.2 Capacidad y
Desempeo
Actual.
DS2.4 Monitoreo
del
Desempe
o del
Proveedor.
ACTIVIDADES DEL
PROCESO
Establecer un proceso de
Planeacin para la revisin del
desempeo y la capacidad de
los recursos de TI.
Revisar el
desempeo
y la
capacidad
actiual de
los recursos
de TI.
Realizar pronsticos de
desempeo y capacidad
de los recursos de TI.
Desarrollar y mantener
planes de continuidad de
TI.
Realizar un
anlisis de
impacto al
negocio y
valoracin de
riesgo.
Monitorear y reportar
continuamente la disponibilidad, el
desempeo y la capacidad de los
recursos de TI.
S
O
P
O
R
T
E
Realizar un plan de
contingencia respecto a una
falta potencial de
disponibilidad de recursos de
TI.
PROCESOS
DS2 Administrar los servicios de terceros
D
A
R
Identificar,
valorar y
mitigar los
Establecer polticas y procedimientos de evaluacin y
riesgos del
suspensin de proveedores. *Evaluar las metas de largo
proveedor.
*Monitore plazo de la relacin del servicio para todos los interesados.
ar la
prestacin
del
DOMINIO
E
N
T
R
E
G
A
R
COBIT
0,00
1,00
0,00
1,00
1,00
1,00
0,50
1,00
0,00
1,00
1,00
1,00
0,50
0,00
0,00
0,00
0,00
0,00
1,00
0,00
0,50
1,00
109
PREGUNTAS
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
DS4.4 - Mantenimiento
del Plan de
Continuidad de TI.
DS4.5 - Pruebas del Plan de
Continuidad de TI.
DS4.8 Recuperaci
DS4.7 - Distribucin
n y
del Plan de
Reanudaci
n de los Continuidad de TI.
Servicios
de TI.
DS4.9 - Almacenamiento de Respaldos Fuera de
las Instalaciones.
DS4.10 DS5.2 - Plan
DS5.1 Revisin
de Seguridad Administracin de
Post
de TI.
la Seguridad de TI. Reanudaci
n.
ACTIVIDADES DEL
PROCESO
Probar regularmente el plan de
continuidad de TI.
Monitorear incidentes de seguridad, reales y
potenciales.
S
O
P
O
R
T
E
D
A
R
Planear y
llevar a
Desarrollar un plan
cabo
de accin a seguir
capacitaci
con base en los
n sobre
resultados de las
planes de
pruebas.
continuida
d de TI.
Planear e
Definir, establecer implement
Definir y
y operar un
ar el
Planear la recuperacin y reanudacin de los
mantener un
proces de
almacena
servicios de TI. *Establecer los procedimientos
plan de
administracin de miento y la
para llevar a cabo revisiones post reanudacin.
seguridad de
identidad
proteccin
TI.
(cuentas).
de
respaldos.
Definir y ejecutar
procedimientos de control de
cambios para asegurar que el
plan de continuidad sea vigente.
Identificar y
categorizar los
recursos de TI con
base a los objetivos de
recuperacin.
PROCESOS
DOMINIO
E
N
T
R
E
G
A
R
COBIT
1.- Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding.
Exhortar a la gerencia de TI a definir y ejecutar
procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado?
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.
1,00
No.
0,00
No.
0,00
Si, cada encargado sabe de sus
responsabilidades.
No se hacen pruebas de contingencia.
No.
1,00
0,00
0,00
1.- El nivel apropiado de seguridad de TI dentro de la organizacin esta No, falta implementar bastante. Se cambi
en linea sobre los requerimientos del negocio?
todas las configuraciones de los ruteadores,
se lleva registro de todos los que se estn
0,30
conectando, hicieron un estudio (Sliced cord,
Deloitte, proporcionaron una matriz para
implementar las seguridades. y controles).
1.- Los requerimientos del negocio dentro de un plan de seguridad de TI Si.
se trasladan teniendo en consideracion la infraestructura de TI en cuanto
a la seguridad?
2.- El plan de seguridad de TI esta implementado en las polticas de No hay plan.
procedimientos de seguridad?
1.- Los usuarios y su actividad en TI son identificados de manera unica? Si.
*El usuario se identifica a travs de mecanismos de autenticacin?
2.- Se confirma que los permisos de acceso del usuario al sistema estn Si.
en lnea con las necesidades del negocio?
3.- Se asegura que los derechos de acceso del usuario se solicitan por la Si.
gerencia del usuario para ser aprobados por el responsable del sistema?
1,00
0,00
1,00
1,00
1,00
4.- Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El
administrador del aplicativo maneja las
un repositorio central?
seguridades, el adminstrador de Base de
1,00
Datos las seguridades a nivel de BD., y el
Administrador de comunicaciones el acceso a
la red.
5.- Se despliegan tcnicas efectivas en procedimientos rentables, que se No lo tienen.
mantienen actualizados para establecer la identificacin del usuario?
0,00
110
PREGUNTAS
1,00
1.- Se define claramente las caractersticas de incidentes de seguridad No. Se est trabajando en el plan de
para que puedan ser clasificados propiamente por el proceso de gestin contingencia. Si hay mal uso en la red, lo
Definir claramente y comunicar las caractersticas de
de incidentes?
primero que se hace es bloquear el problema
incidentes de seguridad potenciales para que puedan ser
0,00
y comunicar al jefe y se toman medidas
clasificados propiamente y tratados por el proceso de gestin
correctivas.
No
hay
procedimiento
de incidentes y problemas.
establecido.
1.- Se garantiza que la tecnologa relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de
Garantizar que la tecnologa relacionada con la seguridad
resistente al sabotaje?
que no hay sotfware que revise cada
sea resistente al sabotaje y no revele documentacin de
documento o correo, no tienen ese tipo de 0,50
seguridad innecesaria.
seguridad solo lo que es interno. Est en
proyecto.
1.Se
determinan
politicas
de
procedimientos
para
garantizar
la
Trabajan
con seguridad de encriptacin WPA.
Determinar que las polticas y procedimientos para organizar
la generacin, cambio, revocacin, destruccin, distribucin, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la
autorizadas?
informacin.
certificacin, almacenamiento, captura, uso y archivo de
1,00
llaves criptogrficas estn implantadas, para garantizar la
proteccin de las llaves contra modificaciones y divulgacin
no autorizadas.
1.- La empresa cuenta con medidas preventivas en toda la organizacin Utilizan Kapersky y a travs de la consola
para proteger los sistemas de la informacin de TI?
controlan como va el tema de los virus. El
sistema es bastante completo. Es una consola
1,00
de las mejores y mas costosas que da informe
en tiempo real de cmo est la proteccin de
la red.
Si.
1,00
Construir un
programa de
capacitacin.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
DS5.5 - Pruebas, Vigilancia y
Monitoreo de la Seguridad.
DS5.8 DS5.10 DS5.9 - Prevencin, Deteccin
Administracin de
Seguridad de
y Correccin de Software
Llaves
la Red.
Malicioso.
Criptogrficas.
DS5.11 - Intercambio de
Datos Sensitivos.
DS6.1 Definicin de
Servicios.
DS6.2 Contabilizacin
de TI.
ACTIVIDADES DEL
PROCESO
Establecer y mantener
procedimientos para mantener y
salvaguardar las llaves
criptogrficas.
Implementar y
mantener
controles
tcnicos y de
procedimientos
para proteger el
flujo de
informacin a
travs de la red
PROCESOS
DS7 Educar y entrenar a usuarios
S
O
P
O
R
T
E
D
A
R
Implementar y
Realizar
mantener controles
evaluaciones
tcnicos y de
de
procedimientos
vulnerabilida
para proteger el
d de menera
flujo de
regular.
informacin a
travs de la red.
Identificar todos
Mapear la
los costos de TI
infraestructura
(personas,
tecnologa, etc) y con los servicios
mapearlos a los brindados/proce
sos de negocio
servicios de TI
soportados.
con bases en
costos unitarios.
DOMINIO
E
N
T
R
E
G
A
R
COBIT
Si,
En parte.
En parte.
En parte.
Se identifican los costos en trminos globales
por departamento pero no est detallado o
clasificado.
0,50
0,50
0,50
0,50
Si se lo registra.
1,00
Si.
Si.
Si.
Si.
1,00
1,00
1,00
1,00
Si.
1,00
Si puede, pero necesitan un sistema de costeo.
Si puede, pero necesitan un sistema de costeo.
0,50
0,50
Si.
1,00
Si.
1,00
Se lo est realizando pero no existe un
0,00
programa de entrenamiento.
Ver respuesta anterior.
0,00
Si.
Si.
Si incluye. (BAAN).
1,00
1,00
1,00
Con base en las necesidades de entrenamiento identificadas, 1.- Se designa instructores de entrenamiento a los grupos objetivo?
identificar: a los grupos objetivo y a sus miembros, a los 2.- Se organiza el entrenamiento de los grupos objetivo con tiempo Si.
mecanismos de imparticin eficientes, a maestros, suficiente?
instructores y consejeros. Designar instructores y organizar
el entrenamiento con tiempo suficiente. Debe tomarse nota
del registro (incluyendo los prerrequisitos), la asistencia, y
de las evaluaciones de desempeo.
111
1,00
1,00
RESPUESTAS
1.- Se evala el contenido del entrenamiento al finalizar la capacitacin Se est armando el plan de capacitacin y se
respecto a la relevancia?
va a seleccionar por cada gerencia usuarios
claves para capacitarlos.
2.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la calidad?
3.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la efectividad?
4.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto a la percepcin y retencin del conocimiento?
5.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
respecto al costo y valor?
1.- Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos.
servicio acordados en los SLAs?
2.- Los procedimientos de monitoreo permiten clasificar cualquier No,
problema?
3.- Los procedimientos de monitoreo permiten priorizar cualquier No.
problema?
4.- Existen procedimientos de escalamiento basados en los niveles de No.
servicio acordados en los SLAs, que permitan clasificar y priorizar
cualquier problema?
5.- Los procedimientos de escalamiento permiten clasificar cualquier No.
problema?
6.- Los procedimientos de escalamiento permiten priorizar cualquier No.
problema?
7.- Se mide la satisfaccin del usuario final respecto a la calidad de la No lo hacen porque no les conviene.
mesa de servicios de TI?
8.- Se mide la satisfaccin del usuario final respecto a la calidad de los No lo hacen porque no les conviene.
servicios de TI?
1.- Se cuenta con un sistema que permita el registro y rastreo de Si, se lo implement recientemente. (Hace dos
llamadas, incidentes, solicitudes de servicio y necesidades de meses).
informacin?
2.- El sistema trabaja estrechamente con los procesos de administracin Si.
de incidentes?
3.- El sistema trabaja estrechamente con los procesos de administracin Si.
de problemas?
4.- El sistema trabaja estrechamente con los procesos de administracin Si.
de cambios?
5.- El sistema trabaja estrechamente con los procesos de administracin Si.
de capacidad?
6.- El sistema trabaja estrechamente con los procesos de administracin Si.
de disponibilidad?
7.- Se mantiene informado a los clientes sobre el estatus de sus Si.
consultas?
1.- Existen procedimientos de mesa de servicios?
No existen procedimientos bien elaborados.
2.- Se escalan apropiadamente los incidentes que no pueden resolverse No.
de forma inmediata de acuerdo con los lmites acordados en el SLA?
3.- Se garantiza que la asignacin de incidentes permanece en la mesa de No.
servicios?
No.
No.
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
0,00
0,00
0,00
CALIFICACIN
OBJETIVOS DE
CONTROL
DS8.1 - Mesa de Servicios.
DS8.2 - Registro de Consultas de Clientes.
DS10.2 - Rastreo y
Resolucin de
Problemas.
DS10.1 - Identificacin y
Clasificacin de Problemas.
DS9.3 - Revisin de
Integridad de la
Configuracin.
DS9.2 - Identificacin y
Mantenimiento de
Elementos de
Configuracin.
DS8.5 Anlisis de
Tendencias.
DS8.4 - Cierre de
Incidentes.
DS8.3 - Escalamiento de
Incidentes.
ACTIVIDADES DEL
PROCESO
Realizar actividades de
capacitacin, intrusin y
concienciacin. *Llevar a cabo
evaluaciones de capacitacin.
*Identificar y evaluar los
mejores mtodos y herramientas
para impartir la capacitacin.
Crear procedimientos de clasificacin (severidad e
impacto) y de escalamiento (funcional y
jerrquicos).
S
O
P
O
R
T
E
Resolver,
recuperar y
cerrar
incidentes.
*Hacer reportes
para la gerencia.
D
A
R
PREGUNTAS
Clasificar, investigar y
diagnosticar consultas.
PROCESOS
DS8 Administrar la mesa de servicio y los incidentes
Desarrollar
procedimientos de
Informar a
planeacin de
usuarios (por
administracin de
ejemplo,
la configuracin.
actualizacione
*Actualizar el
s de estatus)
repositorio de
configuracin.
DOMINIO
E
N
T
R
E
G
A
R
COBIT
No.
No.
Solo se lo emite como informativo.
0,00
0,00
0,00
0,50
0,00
0,00
En parte.
0,50
En parte.
0,50
No.
0,00
No.
No.
No.
0,00
0,00
0,00
0,00
0,00
No.
0,00
No.
2.- El sistema mantiene pistas de auditora que pemita rastrear la causa No.
raz de todos los problemas reportados?
3.- El sistema mantiene pistas de auditora que pemita analizar la causa No.
raz de todos los problemas reportados?
4.- El sistema mantiene pistas de auditora que pemita determinar la No.
causa raz de todos los problemas reportados?
112
0,00
0,00
0,00
0,00
0,00
No.
0,00
No.
0,00
0,00
1.- Se verifica que todos los datos que se espera procesar se reciban Se cumple pero no en un 100%
completamente, de forma precisa y a tiempo?
2.- Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100%
completamente, de forma precisa y a tiempo?
3.- Las necesidades de reinicio estn soportadas?
No.
4.- Las necesidades de reproceso estn soportadas?
DS11.3 Sistema de
Administracin
de Libreras de
Medios.
0,50
0,00
No.
0,00
No. Esto se cumple en una pequea parte
cuando se hace mantenimiento se respalda lo
que el usuario indica. Pero en caso de
0,50
emergencia no tienen alcamacenada la
informacin
para
recuperarla
inmediatamente.
Ver respuesta anterior.
0,50
Ver respuesta anterior.
0,50
1.- Existen procedimientos para mantener un inventario de medios No. Se lo hace empricamente.
almacenados?
2.- Existen procedimientos para mantener un inventario de medios No.
archivados?
3.- Se aseguran de la usabilidad e integridad de los medios?
No.
0,00
0,00
0,00
No hay procedimientos.
0,00
No.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
Existen un procedimiento
documentado.
No hay procedimientos.
0,00
pero no est
pero no est
pero no est
pero no est
0,50
0,50
0,50
0,00
0,00
DS12.5 Administracin de
Instalaciones
Fsicas.
DS13.1 - Procedimientos e
Instrucciones de
Operacin.
Definir e
implementar
procesos para
mantenimiento y
autorizacin de
acceso fsico.
Crear/modificar
procedimientos de
operacin (incluyendo
manuales, planes de
cambios, procedimientos
de escalamiento, etc).
DS12.4 Proteccin
Contra
Factores
Ambientales.
No.
0,50
regulatorios
0,50
DS12.2 - Medidas de
Seguridad Fsica.
DS11.5 - Respaldo y
Restauracin.
No.
Seleccionar y comisionar el
sitio (centro de datos,
oficina, etc).
DS11.6 Requerimiento
s de Seguridad
para la
Administraci
n de Datos.
Definir, mantener e
implementar
procedimientos para
restauracin de datos.
No.
0,00
Definir,
mantener e
implementar
procedimiento
s para
restauracin
de datos.
RESPUESTAS
CALIFICACIN
OBJETIVOS DE
CONTROL
DS10.3 - Cierre
de Problemas.
DS11.4 Eliminaci
n.
DS11.2 - Acuerdos de
Almacenamiento y
Conservacin.
DS11.1 Requerimientos
del Negocio para
Administracin de
Datos.
DS10.4 - Integracin
de las
Administraciones de
Cambios,
Configuracin y
Problemas.
ACTIVIDADES DEL
PROCESO
Traducir los
Emitir
requerimientos de
recomendaciones
almacenamiento y para mejorar y crear
conservacin a
una solicitud de
procedimientos. cambio relacionada.
PREGUNTAS
Administrar el
ambiente
fsico
(mantenimient
o, monitoreo y
reportes
incluidos).
S
O
P
O
R
T
E
Implementar medidas de
ambiente fsico.
D
A
R
Resolver
problemas.
*Revisar el
estatus de
problemas.
*Mantener
registros de los
problemas
PROCESOS
DS11 Administrar los datos
Definir,
mantener e
Respaldar
Definir, mantener e
implementar
los datos
implementar
procedimientos
de acuerdo
procedimientos para
para desechar
al
administrar libreras de
de forma
esquema.
medios.
segura, medios
y equipo.
DOMINIO
E
N
T
R
E
G
A
R
COBIT
Si.
Disear e implementar medidas de proteccin contra factores 2.- Existen dispositivos especializados para monitorear y controlar el
ambientales. Deben instalarse dispositivos y equipo
ambiente?
especializado para monitorear y controlar el ambiente
3- Existen equipos especializado para monitorear y controlar el
ambiente?
1.- El equipo de comunicaciones est administrado de acuerdo con las
Administrar las instalaciones, incluyendo el equipo de
leyes y los reglamentos, los requerimientos tcnicos y del negocio, las
comunicaciones y de suministro de energa, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
las leyes y los reglamentos, los requerimientos tcnicos y del 2.- El equipo de suministro de energa, esta administrado de acuerdo con
negocio, las especificaciones del proveedor y los
las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las
lineamientos de seguridad y salud.
especificaciones del proveedor y los lineamientos de seguridad y salud?
Si.
1,00
Si.
1,00
Si.
1,00
Si.
Si.
1,00
1,00
113
1,00
0,00
1,00
1.- Existen resguardos fsicos sobre los activos de TI ms sensitivos tales No, solo en parte.
como formas, instrumentos negociables, impresoras de uso especial o
dispositivos de seguridad?
2.- Existen prcticas de registros sobre los activos de TI ms sensitivos No, solo en parte.
tales como formas, instrumentos negociables, impresoras de uso especial
o dispositivos de seguridad?
3.- Existe una administracin de inventarios adecuados sobre los activos No, solo en parte.
de TI ms sensitivos tales como formas, instrumentos negociables,
impresoras de uso especial o dispositivos de seguridad?
1.- Existen procedimientos para garantizar el mantenimiento oportuno de Si.
la infraestructura?
CALIFICACIN
OBJETIVOS DE
CONTROL
DS13.2 - Programacin de
Tareas.
DS13.3 - Monitoreo
de la Infraestructura
de TI.
DS13.4 - Documentos
Sensitivos y Dispositivos
de Salida.
1.- La programacion de trabajos est organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer,
eficiente, maximizando el desempeo y la utilizacion para cumplir con los Verificar y Actuar).
1,00
requerimientos del negocio?
1,00
1,00
0,00
0,00
0,50
0,50
0,50
1,00
1,00
1,00
0,00
0,00
0,00
ME1.3 Mtodo de
Monitoreo.
No hay.
ME1.4 Evaluacin
del
Desempeo.
ACTIVIDADES DEL
PROCESO
Pogramacin de cargas de
trabajo y de programas en
lote.
Monitorear la
infraestructura y
procesar y resolver
problemas.
Evaluar el
desempeo
Crear cuadro
de mandos.
Administrar y asegurar la
salida fsica de
informacin (reportes,
medios, etc).
PROCESOS
RESPUESTAS
E
V
A
L
U
A
R
PREGUNTAS
Reportar el desempeo.
M
O
N
I
T
O
R
E
A
R
S
O
P
O
R
T
E
D
A
R
DOMINIO
E
N
T
R
E
G
A
R
COBIT
0,00
1,00
1,00
1,00
Si.
1,00
Si por medio del Balanced Scorecard, se
1,00
registran los indicadores.
Si por medio del Balanced Scorecard, se
1,00
registran los indicadores.
Si.
Si.
Si.
1,00
1,00
1,00
114
ME3.5 - Reportes
Integrados.
RESPUESTAS
Si.
Si.
Si.
CALIFICACIN
OBJETIVOS DE
CONTROL
ME2.1 Monitorizacin del
Marco de Trabajo
de Control Interno.
ME2.2 ME2.3 - Excepciones de
Revisiones de
Control.
Auditora.
ME2.4 - Control de Auto
Evaluacin.
ME2.5 Aseguramiento del
Control
Interno.
ME2.6 - Control Interno
para Terceros.
ME2.7 - Acciones
Correctivas.
ME3.1 - Identificar los
Requerimientos de las
Leyes, Regulaciones y
Cumplimientos
Contractuales.
PREGUNTAS
ME3.4 - Aseguramiento
Positivo del
Cumplimiento.
ME3.2 - Optimizar la
Respuesta a
Requerimientos Externos.
ACTIVIDADES DEL
PROCESO
Monitorear el proceso
Monitorear y
Crear cuadro
para identificar y
controlar las
de mandos.
evaluar las
actividades de
excepciones de control.
control interno de TI
Monitorear el proceso de
auto evaluacin.
Monitorear el
proceso para
identificar y
evaluar y
remediar las
excepciones
de control.
Crear cuadro de
mandos.
Evaluar cumplimiento de
actividades de TI con
polticas, estndares y
procedimientos de TI.
Definir y ejecutar un
proceso para identificar
los requerimientos
legales, contractuales de
polticas y regulatorios.
Reportar a los
interesados clave.
Monitorear el proceso
para obtener
aseguramiento sobre
los controles operados
por terceros.
PROCESOS
ME2 Monitorear y Evaluar el Control Interno
ME4 Proporcionar Gobierno de
TI
E
V
A
L
U
A
R
Integrar los
Brindar retro
reportes e TI sobre
alimentacin para
los requerimientos
alinear las polticas,
regulatorios con
estndares y
similares
procedimientos de TI
provenientes e
con los requerimientos
otras funciones
de cumplimiento.
del negocio.
DOMINIO
M
O
N
I
T
O
R
E
A
R
COBIT
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
Si.
1,00
Si.
1,00
Si.
1,00
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
Si.
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
2.- Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal.
salidas similares provenientes de otras funciones del negocio?
1,00
3.- Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal.
las salidas similares provenientes de otras funciones del negocio?
1,00
115
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
PREGUNTAS
RESPUESTAS
1.- Se da a conocer al consejo directivo sobre temas estratgicos de TI? Solo en parte.
Facilitar el entendimiento del consejo directivo y de los
ejecutivos sobre temas estratgicos de TI tales como el rol de 2.- Se da a conocer a los ejecutivos sobre temas estratgicos de TI?
Solo en parte.
TI, caractersticas propias y capacidades de la tecnologa.
3.- Se garantiza que la contribucin potencial de TI cumple con la No, solo en parte.
Garantizar que existe un entendimiento compartido entre el
estrategia del negocio?
negocio y la funcin de TI sobre la contribucin potencial de
4.- Se trabaja con el consejo directivo para definir organismos de No.
TI a la estrategia del negocio. Trabajar con el consejo
gobierno (tales como un comit estratgico de TI)?
directivo para definir e implementar organismos de gobierno,
5.- Se trabaja con el consejo directivo para implementar organismos de No.
tales como un comit estratgico de TI, para brindar una
gobierno (tales como un comit estratgico de TI)?
orientacin estratgica a la gerencia respecto a TI,
6.- Se brinda una orientacin estratgica a la gerencia respecto a TI?
Si.
garantizando as que tanto la estrategia como los objetivos se
7.- Se facilita la alineacin de TI con el negocio en cuanto a estrategia y No, solo en parte.
distribuyan en cascada hacia las unidades de negocio y
hacia las unidades de TI y que se desarrolle certidumbre y operaciones?
confianza entre el negocio y TI. Facilitar la alineacin de TI 8.- Se fomenta la co-responsabilidad entre el negocio y TI en la toma de No, solo en parte.
decisiones estratgicas y en la obtencin de los beneficios provenientes
con el negocio en lo referente a estrategia y operaciones,
fomentando la co-responsabilidad entre el negocio y TI en la de las inversiones habilitadas con TI?
CALIFICACIN
OBJETIVOS DE
CONTROL
ME4.2 - Alineamiento Estratgico.
0,50
0,50
0,00
0,00
0,00
1,00
0,50
0,50
ME4.3 - Entrega de Va
1.- Se administra los programas de inversin habilitados con TI, as como Si.
otros activos y servicios de TI?
2.- Se implementa un enfoque disciplinado de la administracin del Si.
portafolio?
3.- El departamento de TI garantiza la optimizacin de los costos por la Si.
prestacin de servicios?
4.- El departamento garantiza las capacidades de TI?
Si.
Trabajar con el consejo directivo para definir el nivel de 1.- Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No.
riesgo de TI aceptable por la empresa y obtener garanta aceptable por la empresa?
razonable que las practicas de administracin de riesgos de 2.- Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No.
TI son apropiadas para asegurar que el riesgo actual de TI no direccin?
excede el riesgo aceptable de direccin. Introducir las 3.- Se introduce las responsabilidades de administracin de riesgos en la No.
responsabilidades de administracin de riesgos en la organizacin?
organizacin, asegurando que el negocio y TI regularmente 4.- Se evalan los riesgos relacionados con TI y su impacto?
No.
evalan y reportan riesgos relacionados con TI y su impacto y
que la posicin de los riesgos de TI de la empresa es
5.- Se reportan los riesgos relacionados con TI y su impacto?
No.
transparente a los interesados.
1.- Se verifica que los objetivos de TI cumple las expectativas de la Si.
empresa?
1,00
1,00
1,00
1,00
Si, por medio del presupuesto y el control
1,00
presupuestario.
ME4.5 - Administracin de
Riesgos.
ME4.4 Administracin de
Recursos.
ME4.7 Aseguramiento
Independiente.
ACTIVIDADES DEL
PROCESO
PROCESOS
E
V
A
L
U
A
R
DOMINIO
M
O
N
I
T
O
R
E
A
R
COBIT
1,00
1,00
0,00
0,00
0,00
0,00
0,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
2.
3.
117
62%
PROMEDIO NO CUMPLIMIENTO
38%
10
7
13
4
%
68%
69%
47%
86%
119
ANLISIS:
Acorde a los resultados obtenidos se verifica que el de menor cumplimiento es el
dominio Entregar y Dar Soporte con un porcentaje de 47% lo que indica que el
departamento de sistemas no cumple en su totalidad con la entrega de los servicios
requeridos, que incluyen: prestacin del servicio, administracin de la seguridad,
continuidad y administracin de los datos e instalaciones operativas.
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO
Para la evaluacin final de los procesos de cada dominio se desarroll la tabla
evaluacin por procesos (Ver anexo # 1) cuyo resultado nos permite establecer los de
menor cumplimiento para realizar su respectivo anlisis.
ANLISIS:
A continuacin se presenta un anlisis detallado de los procesos de menor
cumplimiento del dominio planear y organizar:
Definir la arquitectura de la informacin, con un 18% indica que el
departamento de sistemas carece de una infraestructura tecnolgica apropiada
para la implantacin de tecnologa eficiente en la comunicacin de las TI.
Determinar la direccin tecnolgica, con un 43% representa un nivel no
aceptable considerando los cambios tecnolgicos que se presentan y las
innovaciones que se dan en el tiempo lo que impide una buena gestin de los
sistemas de informacin.
Administrar la calidad, con un 33% implica que el departamento de
sistemas no est realiza monitoreos continuos y revisiones internas - externas
del desempeo contra los estndares y prcticas establecidos.
Evaluar y Administrar los riesgos de TI, con un 36% indica que no se
realiza una evaluacin de riesgos y vulnerabilidades que evite exponer el
logro de las metas de la empresa, se debe alinear los riesgos informticos y
los costos de la empresa para minimizar las inversiones, priorizar y planificar
opciones de mitigacin y realizar un clculo de los impactos comerciales.
121
122
123
124
125
126
127
ANLISIS:
Se verifica en el grfico presentado anteriormente que el objetivo de control de
menor cumplimiento es alineacin de TI con el negocio con un 50%, el departamento
no cuenta con la tecnologa adecuada que permita buscar una ventaja competitiva
minimizando los rubros de la empresa.
128
130
ANLISIS:
A continuacin detallaremos los objetivos de control:
131
132
133
del
negocio,
la
estructura
organizacional
para
la
136
138
139
140
147
LOS NIVELES DE
cumplimiento
de
los
niveles
de
servicio
mantener
monitoreado
149
152
Pruebas del Plan de Continuidad de TI, con un 50% revela que al no haber
plan de continuidad de TI tampoco se pueden realizar pruebas y que
garantizan la continuidad de TI basndose en la descripcin de funciones que
estn en el manual de procedimientos.
Distribucin del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
Recuperacin y Reanudacin de los Servicios de TI, con un 25% implica
que las acciones para recuperacin y reanudacin de los servicios de TI no
son planeadas y solo en el momento que ocurren los eventos se improvisan
las acciones a seguir.
Almacenamiento de Respaldos Fuera de las Instalaciones, con un 30% es
decir que la informacin es respaldada en el sistema, de la base de datos se lo
hace diariamente y cada usuario respalda su informacin semestralmente. No
existe almacenamiento fuera de las instalaciones.
Revisin Post Reanudacin, con un 50% representa que si hacen revisiones
luego de una interrupcin a pesar de no contar con un plan de continuidad de
TI.
154
156
157
159
160
ANLISIS:
El resultado de la evaluacin de los objetivos de control crticos de este proceso son:
Repositorio y Lnea Base de Configuracin, con un 25% indica que carecen
de una herramienta de soporte y un repositorio que contenga la informacin
relevante. Tampoco existen procedimientos para el monitoreo y cambios que
realizan en la configuracin.
Identificacin y Mantenimiento de Elementos de Configuracin, con un
0%, revela que no cuentan con procedimientos que soporten la gestin de
cambios.
Revisin de Integridad de la Configuracin, con un 33% demuestra que las
revisiones del software instalado que realizan cada seis meses no es suficiente
para alcanzar el cumplimiento de este objetivo ya que lo hacen de manera
informal, es decir que no se basan en un procedimiento bien definido y
establecido.
161
162
163
164
165
166
167
168
169
170
OBJETIVOS
DE
CONTROL
DE
MENOR
ANLISIS:
Mediante la evaluacin realizada a nivel de los 210 objetivos de control de COBIT se
obtiene el resultado de 96 objetivos de control de menor cumplimiento (<60) y 114
objetivos de control (>=60) lo que indica que se encuentran en un nivel aceptable de
acuerdo a lo que establece la metodologa.
ANLISIS:
En el grfico se puede verificar que solo estn detallados todos los objetivos crticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogi cinco de estos objetivos para que sean
desarrolladas las polticas.
EL
175
ANLISIS:
En la evaluacin realizada anteriormente verificamos que el objeto a analizar son los
programas debido a que presentan un mayor ndice de riesgo lo que implica que la
persona encargada de la seguridad debe controlar el manejo de la informacin
proporcionada a los diferentes usuarios de la empresa para evitar fraudes internos o
externos.
En la siguiente tabla se detalla la matriz resultado amenazas/objetos aplicados en el
departamento de sistemas para su posterior anlisis:
TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS
indica la repeticin de los valores que al final solo uno ser considerado, es decir el
repetido no ser tomado en cuenta para la definicin de los niveles
riesgo/sensibilidad de alto, medio y bajo riesgo.
Para obtener los resultados de los niveles de riesgo/sensibilidad se elabor la tabla #
12 Definicin de los niveles de riesgo/sensibilidad de TI.
TABLA 12: DEFINICIN DE LOS NIVELES DE RIESGO/SENSIBILIDAD
DE TI
178
ERRORES
ROBO
VIOLACIN DE
PRIVACIDAD
OBJETOS
ARCHIVOS DE
BASES DE DATOS
21
14
13
11
10
294
273
231
210
147
105
18
23
INFRAESTRUCTURA
266
247
209
190
133
95
19
COMPUTADORAS/
DISCOS
17
11
20
25
238
221
187
170
119
85
12
14
22
27
REPORTES
210
195
165
150
105
75
15
CIRCUITOS DE
COMUNICACIN
15
10
16
17
23
29
210
195
165
150
105
75
10
16
17
23
29
TERMINALES
182
169
143
130
91
65
13
TERMINAL DE
OPERACIN
7
13
15
19
21
26
31
98
91
77
70
49
35
24
26
28
30
34
35
PROGRAMAS
70
65
55
50
35
25
30
31
32
33
35
36
ALTO RIESGO
De 1 a 9 celdas
MEDIANO RIESGO
BAJO RIESGO
De 10 a 27 celdas
De 28 a 36 celdas
18
9
179
ANLISIS:
Se considera como nivel de alto riesgo, las amenazas/objetos que se encuentran en
las celdas numeradas del 1 al 9. Con el resultado del trabajo realizado, se recomienda
disear y documentar controles a nivel preventivo, detectivo y correctivo de acuerdo
con el rea seleccionada para minimizar sus efectos en el negocio. El anlisis con
respecto a COBIT identifica al objetivo de control PO4.8 (Responsabilidad sobre el
riesgo, la seguridad y el cumplimiento para implementar prcticas de supervisin)
como el objetivo con el que se pueda cerrar la brecha existente, ya que permite
evaluar si todo el personal del departamento de sistemas cuenta con los
conocimientos adecuados para llevar a cabo las responsabilidades de los servicios
brindados a la empresa.
4.1.4
A LOS
180
I.
OBJETIVO
Asegurar que los servicios de informacin mantengan un monitoreo continuo
de las tendencias futuras y condiciones regulatorias para que sean
considerados en el desarrollo y mantenimiento del plan de infraestructura
tecnolgica.
II.
ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.
III.
POLTICAS
a) Considerar en el plan de infraestructura tecnolgica las tendencias
ambientales y de la tecnologa presente y futura as como las legales y
regulatorias.
b) Establecer estndares de tecnologa que sean consistentes con el plan de
infraestructura tecnolgica.
c) Definir procedimientos para la evaluacin y monitoreo de las tendencias y
regulaciones futuras
d) Identificar las inconsistencias en el Modelo de Arquitectura de
Informacin y en el Modelo de Datos Corporativo con el fin de
precautelar la integridad de los datos.
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
181
I.
OBJETIVO
Asegurar la adecuada gobernabilidad de las tecnologas de informacin y
asesorar a la Gerencia General en la toma de decisiones.
II.
ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.
III.
POLTICAS
a) Establecer las prioridades de TI, comunicarlas en forma clara al personal
involucrado y cuidar que no existan desviaciones de estas prioridades para
que no se afecte negativamente el cumplimiento de los objetivos
estratgicos.
b) Dar seguimiento al plan estratgico de TI para su actualizacin y velar
que se cumpla.
c) Controlar en forma peridica el avance de los proyectos de TI para
proteger el valor de la inversin.
d) Estudiar el presupuesto anual de las TIC para asesorar sobre su
aprobacin.
e) Respaldar los procesos de TI fomentando programas de capacitacin para
los funcionarios.
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
182
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
183
I.
OBJETIVO
Evaluar mediante estudios la factibilidad para la implementacin de los
requerimientos de TI y determinar cursos de accin alternos para su
recomendacin.
II.
ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.
III.
POLTICAS
a) Elaborar estudios de: factibilidad econmica y de desempeo tecnolgico,
de arquitectura de informacin y de anlisis de riesgos.
b) Estudiar y analizar soluciones alternativas a los requerimientos de los
usuarios considerando su costo-beneficio y observando el modelo de
datos de la arquitectura de informacin de la empresa.
c) Definir procedimientos a cumplir e identificar estndares a seguir en la
adquisicin de hardware, software y servicios de tecnologa de
informacin.
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
184
POLTICA
PARA
CONTINUIDAD DE TI
PLANES
DE Cdigo:
XXX-GG-TI-P005
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pagina 1 de 2
I.
OBJETIVO
Reducir el impacto por la interrupcin de las funciones de TI y los procesos
claves del negocio.
II.
ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.
III.
POLTICAS
a) Desarrollar un plan de cotinuidad de TI que abarque los servicios de
informacin, as como los recursos dependientes del sistema de
informacin.
b) Establecer procedimientos emergentes que garanticen la seguridad del
personal afectado.
c) Desarrollar programas de entrenamiento para las personas que intervienen
en el plan de continuidad.
d) Realizar pruebas periodicas de los planes de contingencia para verificar si
los resultados son los esperados.
e) Documentar
los
procedimientos
manuales
alternos
mantener
actualizados los planes que forman parte del plan global y comunicar a
todo el personal involucrado verificando su total entendimiento.
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
185
POLTICA
PARA
CONTINUIDAD DE TI
DE Cdigo:
XXX-GG-TI-P005
Versin: 1
PLANES
TECNOLOGA DE LA INFORMACIN
Pagina 2 de 2
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
186
I.
OBJETIVO
Recuperar los puntos considerados como crticos y asegurar que corresponden
a las necesidades prioritarias del negocio.
II.
ALCANCE
Estas polticas deben ser cumplidas por todo el personal de TI.
III.
POLTICAS
a) Mantener una lista actualizada de los recursos y aplicaciones del sistema
priorizados de mayor a menor que incluya los tiempos de recuperacin
requeridos y las normas de desempeo esperados.
b) Determinar la recuperacin de los servicios para los diferentes niveles de
prioridad, considerando los costos y cumplimiento de regulaciones.
c) Evaluar los riesgos y considerar el aseguramiento de los recursos tanto de
infraestructura como de personas.
d) Mantener un programa detallado paso a paso de las respuestas para
situaciones emergentes tanto para prdidas mnimas como totales.
Elaborado por:
Aprobado por:
Jefe de Sistemas
Gerente General
187
CONCLUSIONES y RECOMENDACIONES
CONCLUSIONES
Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
as como tambin para detectar debilidades y riesgos potenciales de cada proceso del
departamento.
188
RECOMENDACIONES
189
ANEXOS
ANEXO 1: EVALUACIN POR PROCESOS
PROCESOS
#
OBJETIVOS
6
4
5
89%
18%
43%
15
67%
73%
85%
8
6
6
14
4
10
77%
33%
36%
98%
75%
70%
77%
4
4
5
9
77%
92%
60%
53%
53%
4
5
10
11
4
3
58%
37%
43%
56%
84%
52%
30%
3
4
6
5
5
6
7
5
7
19%
0%
21%
84%
60%
83%
86%
100%
77%
PROCESOS
OBJETIVOS DE CONTROL
PESO
0,17
90%
0,17
50%
0,17
100%
0,17
0,16
100%
100%
0,16
100%
0,25
47%
0,25
0%
0,25
0%
0,25
25%
0,20
67%
0,20
67%
0,20
0%
0,20
80%
0,20
0%
191
PROCESOS
OBJETIVOS DE CONTROL
PESO
0,07
100%
0,07
0%
0,07
0%
0,07
100%
0,07
100%
0,07
100%
0,07
0%
0,07
14%
0,07
33%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
50%
192
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,20
100%
0,20
33%
0,20
100%
0,20
100%
0,20
33%
0,20
100%
0,20
75%
0,20
100%
0,20
100%
0,20
50%
0,13
75%
0,13
100%
0,13
100%
0,13
0%
0,12
50%
PO7.6 - Procedimientos de
Investigacin del Personal.
0,12
100%
0,12
92%
0,12
100%
193
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,17
50%
0,17
50%
0,17
13%
0,17
83%
0,16
0%
0,16
0%
0,17
50%
0,17
0%
0,17
50%
0,17
50%
0,16
17%
0,16
50%
0,07
100%
0,07
100%
PO10.3 - Enfoque de
Administracin de Proyectos.
0,07
100%
0,07
100%
194
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,07
100%
0,08
100%
0,08
67%
0,25
100%
0,25
100%
0,25
0%
0,25
100%
0,10
38%
0,10
92%
0,10
100%
0,10
67%
0,10
100%
0,10
100%
0,10
90%
0,10
0%
0,10
67%
0,10
50%
195
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,25
71%
0,25
86%
0,25
50%
0,25
100%
0,25
50%
0,25
100%
0,25
100%
0,25
57%
0,25
67%
0,25
100%
0,25
100%
0,25
100%
AI6.1 - Estndares y
Procedimientos para Cambios.
0,20
83%
0,20
100%
0,20
33%
0,20
0%
0,20
83%
Autorizar cambios.
Administrar y diseminar la informacin
relevante referente a cambios.
196
OBJETIVOS DE CONTROL
0,11
30%
0,11
30%
0,11
75%
0,11
50%
0,11
0%
0,11
33%
0,11
80%
0,11
100%
0,12
75%
0,17
21%
0,17
100%
0,17
50%
0,17
50%
0,16
50%
0,16
50%
0,25
13%
0,25
100%
0,25
69%
0,25
50%
0,20
83%
0,20
0%
0,20
0%
0,20
50%
0,20
50%
AI7.1 - Entrenamiento.
PES O
197
OBJETIVOS DE CONTROL
PES O
0,10
100%
0,10
0%
0,10
0%
0,10
100%
0,10
50%
0,10
20%
0,10
50%
DS4.8 - Recuperacin y
Reanudacin de los Servicios de TI.
0,10
25%
DS4.9 - Almacenamiento de
Respaldos Fuera de las
Instalaciones.
0,10
30%
0,10
50%
0,09
30%
0,09
50%
DS5.3 - Administracin de
Identidad.
0,09
80%
0,09
0%
0,09
60%
0,09
0%
0,09
50%
0,09
100%
0,09
100%
0,09
100%
0,10
50%
DS5.1 - Administracin de la
Seguridad de TI.
198
DS9 Administrar la
configuracin
PROCESOS
OBJETIVOS DE CONTROL
PESO
0,25
50%
0,25
100%
0,25
86%
0,25
100%
0,33
57%
0,33
100%
0,34
0%
0,20
0%
0,20
100%
0,20
0%
0,20
0%
0,20
50%
199
25%
0%
33%
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,25
0%
0,25
0%
0,25
0%
0,25
0%
0,17
25%
DS11.2 - Acuerdos de
Almacenamiento y Conservacin.
0,17
50%
0,17
0%
DS11.4 - Eliminacin.
0,17
0%
0,16
50%
0,16
0%
0,20
83%
0,20
88%
0,20
100%
0,20
100%
0,20
50%
0,20
50%
0,20
100%
0,20
0%
0,20
50%
0,20
100%
DS10.1 - Identificacin y
Clasificacin de Problemas
DS10.2 - Rastreo y Resolucin de
Problemas
DS11.6 - Requerimientos de
Seguridad para la Administracin de
Datos.
DS12.1 - Seleccin y Diseo del
Definir el nivel requerido de proteccin fsica.
Centro de Datos.
Seleccionar y comisionar el sitio (centro de
DS12.2 - Medidas de Seguridad
datos, oficina, etc).
Fsica.
Implementar medidas de ambiente fsico.
DS12.3 - Acceso Fsico.
200
PROCES OS
OBJETIVOS DE CONTROL
PES O
0,17
0%
0,17
100%
0,17
100%
0,17
100%
0,16
100%
0,16
100%
0,14
100%
0,14
100%
0,14
100%
0,14
0%
0,14
100%
0,15
100%
0,15
100%
0,20
100%
0,20
100%
0,20
100%
0,20
100%
0,20
100%
ME4.1 - Establecimiento de un
Marco de Gobierno de TI.
0,14
100%
0,14
38%
0,14
100%
ME4.4 - Administracin de
Recursos.
0,14
100%
0,14
0%
0,15
100%
ME4.7 - Aseguramiento
Independiente.
0,15
100%
202
%
50%
47%
0%
0%
25%
0%
0%
0%
0%
0%
14%
33%
50%
33%
33%
50%
0%
50%
50%
50%
13%
0%
0%
50%
0%
50%
50%
17%
50%
0%
38%
0%
50%
50%
50%
57%
33%
0%
30%
30%
50%
0%
33%
%
21%
50%
50%
50%
50%
13%
50%
0%
0%
50%
50%
0%
0%
50%
20%
50%
25%
30%
50%
30%
50%
0%
0%
50%
50%
50%
57%
0%
0%
0%
0%
50%
25%
0%
33%
0%
0%
0%
0%
25%
50%
0%
0%
50%
0%
50%
50%
0%
50%
0%
0%
38%
0%
%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, en el rea de TI y cuantificarlos para que la gerencia pueda tener informacin suficiente
al respecto y optar por el diseo e implantacin de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente
puntos de anlisis.
En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizar el mtodo matricial
Amenazas
Objetos
Prdida de datos
Archivos de base de datos
Desastre fsico
Computadoras/Discos
Robo
Programas
Errores
Terminal de operacin
Acceso ilegal
Reportes
Violacin de privacidad
Circuitos de comunicacin
Terminales
Infraestructura
Anlisis de Amenazas
Prdida de
datos
Desastre fsico
Robo
Prdida de
datos
Desastre
fsico
Robo
Errores
Errores
Acceso ilegal
Acceso ilegal
Violacin de
privacidad
Violacin de
privacidad
205
Computadoras
/Discos
Programas
Terminal de
operacin
Reportes
Reportes
Circuitos de
comunicacin
Circuitos de
comunicacin
Terminales
Terminales
Infraestructura
Infraestructura
Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el anlisis de riesgo y
aplicar la evaluacin
206
207
208
209
210
BIBLIOGRAFA
211
DEFINICIONES DE TRMINOS
AD HOC: Es una locucin latina que significa literalmente para esto. Se refiere a
una solucin elaborada especficamente para un problema o fin preciso.
212
HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.
214
QMS: Asegurar las funciones de una organizacin eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.
STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.
215