Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Quito Ecuador
2014
DEDICATORIA
A Dios, por permitirme llegar a este momento tan especial en mi vida. Por los triunfos y
momentos difciles que me han enseado a valorarlo cada da ms. A mi abuelita
Mamines que en paz descanse, gracias a ella me he convertido en la persona que soy
ahora, me enseo que la vida no es fcil hay que luchar, solo se lo logra con mucha
perseverancia y resistencia.
A mi madre, que me formo de buenos sentimientos, hbitos y valores, lo cual me ha
ayudado a salir adelante en los momentos ms difciles.
De igual forma, a mi padre me enseo los principios, mi carcter, mi empeo, mi
perseverancia, mi coraje para conseguir mis objetivos.
A Ana lucia, Mara Fernanda que estuvieron siempre presentes y a mis sobrinos Ethan y
Liam quienes ha sido una motivacin, inspiracin y felicidad.
A Gaby, quien me supo dar fuerzas en mis momentos de flaqueza, para no rendirme
dndome amor y comprensin.
A mis mejores amigos quienes me brindaron su apoyo incondicional y sincero.
JUAN PABLO
II
AGRADECIMIENTO
JUAN PABLO
III
IV
CERTIFICACIN
APROBACION DE TESIS
VI
VII
VIII
CONTENIDO
DEDICATORIA .................................................................................................................................II
AGRADECIMIENTO ........................................................................................................................III
AUTORIZACIN DE LA AUTORA INTELECTUAL ............................................................................ IV
CERTIFICACIN.............................................................................................................................. V
APROBACION DE TESIS................................................................................................................. VI
RESULTADO DEL TRABAJO DE GRADO ........................................................................................ VII
CONTENIDO ................................................................................................................................. IX
LISTA DE IMGENES .................................................................................................................... XII
LISTA DE TABLAS ........................................................................................................................ XIII
RESUMEN .................................................................................................................................... XV
ABSTRACT................................................................................................................................... XVI
CERTIFICADO DE TRADUCCIN ................................................................................................. XVII
TTULO DEL TRADUCTOR ......................................................................................................... XVIII
CAPTULO 1 ....................................................................................................................................1
1. PRESENTACIN DEL PROBLEMA ................................................................................................1
1.1
1.2
1.4.2.
Objetivos Especficos............................................................................................ 2
1.5
Justificacin .................................................................................................................. 2
CAPTULO 2 ....................................................................................................................................4
2. REVISIN BIBLIOGRAFICA ..........................................................................................................4
2.1 Antecedentes ....................................................................................................................... 4
IX
2.2
2.2.1.
2.2.2.
2.2.3.
2.2.4.
2.2.5.
2.2.6
CAPTULO 3 ..................................................................................................................................21
3. PROCEDIMIENTOS DE AUDITORIA ...........................................................................................21
3.1
3.1.1.
3.1.2.
Recursos de IT .................................................................................................... 21
3.2
3.3
3.4
3.5.
3.6.
3.7.
CAPTULO 4 ...............................................................................................................................53
4.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
CAPTULO 5 ...............................................................................................................................61
5.
CAPTULO 6 ...............................................................................................................................76
X
6.
6.2.
6.3.
6.4.
6.5.
6.6.
6.7.
CAPTULO 7 .............................................................................................................................140
7.
7.2.
BIBLIOGRAFA.............................................................................................................................142
ANEXOS ......................................................................................................................................144
Anexo A - GLORARIO ........................................................................................................ 144
Anexo B ................................................................................................................................ 145
Anexo C ................................................................................................................................ 147
XI
LISTA DE IMGENES
XII
LISTA DE TABLAS
XIII
XIV
RESUMEN
XV
ABSTRACT
The aim of present work is to inform and guide the reader into how align with
good practice frameworks of international standards such as COBIT, ITIL and ISO
27002.
In the first chapter we talk about the approach of some cases of the most common
problems encountered with the lack of standards and policies, and also of both general
and specific objectives that were taken into account in the development of this project.
The second chapter deepened more on the subject by publicizing the terminologies
and supporting each of the parts that make up this thesis in good practices.
The third chapter emphasizes business requirements and resources, and later
focuses on the appropriate processes to this topic, so you can make comparisons and
alignments of each of the processes to the standards set.
In the fourth and fifth chapter, according to the chosen processes, guidelines were
made based on the inputs, outputs and flow charts that expose the methods taken in this
research topic and then based on these guidelines, make the control questions.
So, in the last chapter the evaluation model is carried out based on maturity
levels to determine compliance with the guidelines in the organization.
XVI
CERTIFICADO DE TRADUCCIN
XVII
XVIII
CAPTULO 1
1. PRESENTACIN DEL PROBLEMA
1.1 Planteamiento del Problema.
En la actualidad muchas organizaciones se encuentran vulnerables a los ataques
informticos, la idea es mantener una red segura, o fiable, consiste bsicamente en
garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. La
confidencialidad, requiere que la informacin sea accesible nicamente por aquellos que
estn autorizados. La integridad, que la informacin se mantenga inalterada ante
accidentes o intentos maliciosos. La disponibilidad significa que los dispositivos de
defensa de la red se mantenga trabajando sin sufrir ninguna degradacin en cuanto a
accesos y ofrezca los recursos que requieran los usuarios autorizados cuando stos los
necesiten. Por ltimo, el no repudio garantiza al emisor que la informacin fue entregada
y ofrece una prueba al receptor del origen de la informacin recibida.
1.2 Formulacin del Problema.
Cules seran sus ventajas al realizar los procedimientos de auditora de los dispositivos
de defensa en una red?
1.3 Interrogantes de la Investigacin.
Se han planteado las siguientes interrogantes de acuerdo a las amenazas que se dan en la
actualidad:
Comprobar
que
los
procedimientos
se
encuentren
integrados
la
1.5 Justificacin
Actualmente, el aumento del conocimiento sobre el funcionamiento de los sistemas,
conlleva una mayor preparacin de los intrusos y un mayor acceso a herramientas con las
que determinar las debilidades de los sistemas y explotarlas para obtener los privilegios
necesarios para realizar cualquier accin daina. A todo esto hay que sumar los problemas
de configuracin, y la falta de recursos para instalar los parches de seguridad necesarios.
En definitiva, se hace patente la necesidad de concienciar y ensear en torno a la
seguridad informtica. Tambin hay que tener en cuenta la dificultad que conlleva la
creacin de software, ya que ste es cada vez ms complejo y el ciclo de vida del software
se est reduciendo significativamente debido al aumento de la competitividad del
mercado. Este hecho acarrea la consecuencia de realizar diseos pobres, traducindose
en errores en el software.
En este marco nos encontramos con el uso de procedimientos de seguridad, como las
tcnicas de encriptacin y los cortafuegos (firewalls). Si bien estos elementos aunque
proveen una primera lnea de defensa para asegurar los recursos de la red, deben ser
complementados con herramientas que permitan monitorizar el comportamiento del
trfico y las actividades de los usuarios de la red. En esta lnea, surgen los sistemas de
deteccin de intrusos, como uno de los campos ms investigados en los ltimos aos.
CAPTULO 2
2. REVISIN BIBLIOGRAFICA
2.1 Antecedentes
Por sondeos realizados algunas empresas, no se han realizado un proyecto de
investigacin sobre los procedimientos de auditoria para dispositivos de defensa de red,
y que cuenten con una Infraestructura Tecnolgica moderna TIC4, en donde se encuentran
instaladas diferentes aplicaciones informticas; y para su acceso o interaccin,
necesitamos de equipos y perifricos tangibles. Muchas de las actividades administrativas
son apoyadas en gran medida por las TIC, tecnologas que exigen recursos y medios de
comunicacin entre ellos tenemos: Computadoras personales, impresoras, scanner,
cmaras digitales, equipos de audio, telfonos IP, etc.
muestra adecuadamente la realidad que pretende plasmar y cumple con las medios que le
han sido prescritas.
Segn la NTP-ISO/IEC5 12207:2006 (INDECOPI6, 2006), el proceso de Auditoria sirve
para establecer el desempeo con los requerimientos, mtodos y el contrato, segn se lo
quiera aplicar. Se determina adems que este proceso puede ser utilizado por cualquiera
de las partes, donde una de ellas en este caso la auditoria, audita los productos software o
acciones de la otra parte seria la auditada. Segn ISACA 7 (2008), la auditora de los
sistemas de informacin se especifica como cualquier auditora que incluye la revisin y
evaluacin de todos los aspectos (o de cualquier parte de ellos) de los sistemas
automticos de procesamiento de la informacin.
Cuestionarios
Entrevistas
Encuestas
Levantamiento de inventario
Listas de chequeo
Logs
Matriz FODA9
Modelos de simulacin
Tcnicas de muestreo
Tcnicas de observacin
Trazas o Huellas
Entrega y Soporte
Monitorear y Evaluar
Planificar y Organizar
Adquirir e Implementar
Criterios de Informacin
Para cumplir las necesidades de los objetivos del negocio, la informacin requiere
acoplarse a ciertos criterios de control, los cuales son descritos en COBIT como
requerimientos de informacin del negocio. En base a estos requerimientos, en lo que
tiene que ver en la calidad y seguridad, se detallaron los siguientes siete criterios de
informacin (Figura 2.1):
Efectividad tiene que ver con que la informacin sea relevante y oportuna a los procesos
del negocio, y se proporcione de una manera pertinente, correcta y utilizable.12
Eficiencia se refiere a la informacin sea generada con el ptimo en el uso de los
recursos.13
Confidencialidad se refiere a salvaguardar de informacin vulnerable contra
manifestacin no autorizada.14
Integridad est involucrada con la completitud y precisin de la informacin, as como
su validez de acuerdo a las expectativas del negocio y valores.15
12
Cobit 5
El COBIT 5 es sucesor del modelo de proceso de COBIT 4.1. Una de las directivas en
COBIT es la distincin hecha entre gobierno y gestin, se espera que todas las empresas
implementen varios procesos de gobierno y varios procesos de gestin para proporcionar
un gobierno y una gestin del entorno IT profundos.
Al considerar los procesos para gobierno y gestin en el contexto de la empresa, los tipos
de procesos se diferencian por los objetivos:
Aunque las salidas de ambos tipos de procesos son diferentes y est destinada a distinta
audiencia, internamente, en el contexto del proceso, todos los procesos requieren
actividades de planificacin, construccin o implementacin, ejecucin y supervisin del
proceso.
Las empresas efectan un gobierno y una gestin de los procesos, de tal forma que las
reas clave se las tome en cuenta, en otros trminos una empresa puede ordenar sus
procesos como estime ventajosamente. En lo que tiene que ver a empresas pequeas a lo
mejor solo cumplan pocos procesos, caso contrario en las empresas ms grandes y
19
10
complejas posiblemente tengan ms procesos, al fin y al cabo todos van a cubrir los
mismos objetivos.
Gobierno: Este nuevo dominio incluye cinco procesos de gobierno; en cada uno
de los proceso, se han definido las prcticas EDM20.
Gestin: En estos cuatro dominios estn ligados con las reas de responsabilidad
de PBRM (una evolucin de los dominios COBIT 4.1), que proveen de cobertura
de TI extremo a extremo. Cada dominio contiene varios procesos, como en
COBIT 4.1 y en sus versiones anteriores.
20
11
12
ITIL brinda pautas para la gestin de los procesos de TI relacionados como en la Figura
2.5:
13
Figura 2.6 Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL
v3
(Fuente: Sitio Web oficial de ITIL http://itilv3.osiatis.es/)
14
Como lo expresamos con anterioridad el Estndar Internacional ISO 27002, est sujeta a
un nmero de categoras de seguridad principales, en donde se lo observa en la Figura 2.7
con los 11 dominios:21
21
Gestin de activos.
Control de acceso.
Poltica de seguridad.
Cumplimiento.
http://iso27002.es/
15
2.2.6
Seguridades en Firewall
17
Firewalls de filtrado de paquetes o a nivel de red: Trabaja a nivel de red (capa 3 del
modelo OSI y la capa 2 de los protocolos TCP/IP) como examinador de paquetes IP para
establecer si el paquete tiene permisos de ingresar a la red.
El firewall maneja la informacin almacenada en la cabecera del paquete para filtrar
campos de nivel de transporte, como el puerto origen y destino, o tambin a nivel de
enlace de datos como seria la direccin MAC. Para el perfecto funcionamiento del mismo,
debemos decir que informacin deseamos bloquear de los paquetes de direcciones de los
sitios de destino. En otras palabras, bloquear toda una red entera, pero no un solo usuario
o un dispositivo determinado de otra red. Segn como lo programemos en el archivo del
ruteado, para lograr identificar y realizara las acciones definidas para cada uno de los
tipos incluidos en l. Tambin para permisos a los usuarios como ingresos a Internet y la
transferir archivos a su servidor usando FTP22. Casi siempre se configurar para tomar en
cuenta lo siguiente:
22
18
Este Firewall trabaja a nivel 7 de trfico HTTP suele llamarse proxy, y permite que los
dispositivos de una empresa ingresen a Internet de forma controlada. Un proxy esconde
las direcciones de red de manera eficaz.
El servidor se comunica de una red a otra realizando una copia aislando a cada paquete
autorizado. Estos cortafuegos enmascaran el origen de la conexin inicial y protegen la
informacin de la red privada de usuarios que intenten acceder a la misma. Estos equipos
son genricos y reconocen todos los protocolos de red, y as configurar para controlar los
servicios que proporcione nuestra red.
Tomar en cuenta que nuestros usuarios de la red, pueden utilizar programas internos que
requieren trabajar con proxy. De esta forma mejorar el rendimiento de la red.
23
19
Firewalls a nivel de circuito: Parecido al anterior tipo, ya que estos dos ltimos son
proxies. Debemos tomar en cuenta que los firewalls a nivel de aplicacin siempre utilizar
de un software de proxy especficamente para cada servicio que lo requiera la red, tanto
para: FTP, HTTP26, etc. Al contrario este tipo de Cortafuegos crea un vnculo (circuito)
entre el cliente y el servidor, con la finalidad que la aplicacin desconozca del servicio.
No interfiere en la transaccin que est ejecutando y Protegiendo al inicio del mismo.
26
20
CAPTULO 3
3. PROCEDIMIENTOS DE AUDITORIA
3.1
Antes de continuar con la investigacin de este proyecto tenemos que definir los
requerimientos de negocio y los recursos de IT, para tener claro el panorama de la
clasificacin de procesos.
3.1.1. Requerimientos de Negocio
Segn el tema se ha determinado los criterios de informacin, para las seguridades de los
dispositivos de defensa de la red, como se los defini en la seccin 2.2.3 Metodologa de
COBIT, esta son los siguientes:
Confidencialidad
Integridad
Disponibilidad
3.1.2. Recursos de IT
27
28
21
3.2
Hemos escogido 21 procesos de los 34 de COBIT 4.1 que cumplen con los dos criterios
para los dispositivos de seguridad de la red para la organizacin.
A continuacin tenemos las siguientes inciales para la clasificacin de los procesos:
P= Facilitador Primario
PROCESO
P02 Definir la
Arquitectura
de la
Informacin
P08
Administrar la
Calidad
P09 Evaluar y
Administrar
los Riesgos de
TI
AI2 Adquirir y
Mantener
Software
Aplicativo
AI3 Adquirir y
Mantener
Infraestructura
Tecnolgica
AI4 Facilitar la
Operacin y el
Uso
AI6
Administrar
Cambios
AI7 Instalar y
Acreditar
Soluciones y
Cambios
DS1 Definir y
Administrar
los Niveles de
Servicio
DS2
Administrar
los Servicios
de Terceros
S= Facilitador Secundario
REQUERIMIENTOS DE NEGOCIO
Confidencialida
Integrida
Disponibilida
d
d
d
RECURSOS
Informaci
Infraestructur
n
a
22
DS3
Administrar el
Desempeo y
la Capacidad
DS4
Garantizar la
Continuidad
del Servicio
DS5
Garantizar la
Seguridad de
los Sistemas
DS9
Administrar la
Configuracin
DS10
Administraci
n de
Problemas
DS11
Administraci
n de Datos
DS12
Administraci
n del
Ambiente
Fsico
DS13
Administraci
n de
Operaciones
ME1
Monitorear y
Evaluar el
Desempeo de
TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME4
Proporcionar
Gobierno de
TI
23
Realizamos una seleccin puntual de los procesos del punto anterior, se han recalificado
7 determinando la importancia segn el criterio personal y de la investigacin de las
actividades que desempean cada una de ella.
PROCESO
P09 Evaluar y
Administrar los
Riesgos de TI
AI3 Adquirir y
Mantener
Infraestructura
Tecnolgica
AI6
Administrar
Cambios
DS4Garantizar
la Continuidad
del Servicio
DS5Garantizar
la Seguridad de
los Sistemas
DS9Administra
r la
Configuracin
DS10
Administracin
de Problemas
REQUERIMIENTOS DE NEGOCIO
Confidencialida
Integrida
Disponibilida
d
d
d
RECURSOS
Informaci Infraestructur
n
a
3.4
Procesos de COBIT 5
ADQUIRIR E IMPLEMENTAR
24
29
25
Antes de realizar el alineamiento entre COBIT 4.1, COBIT 5, ITIL e ISO, se debe realizar
un anlisis entre COBIT 4.1 y ITIL, como lo est explicado en la tabla 4 los objetos de
control que se estn utilizando en la comparacin de la tabla 5, que procesos y sus etapas
26
de vida del servicio estn cumpliendo, en este caso ocupa las 7 etapas, pero las etapas que
obtienen la mayor carga son las dos: Operacin del Servicio (SO) y Transicin del Servicio (ST).
Estrategia de Servicio(SS)
Conceptos bsicos
SS 8.2
Interfaces del servicio
SS 9.5
Gestin de riesgos
Diseo del Servicio(SD)
Principios del diseo SD 3
SD 3.2
Diseo balanceado
SD 3.7
Actividades subsiguientes del diseo
SD 3.6.3
Diseo de la arquitectura tecnolgica
SD Apndice K
Contenido tpico de un plan de recuperacin
Gestin de la seguridad de la informacin SD 4.6
SD 4.6.4
Polticas, principios y conceptos bsicos
SD 4.6.5.1
Controles de seguridad
SD 4.6.5.2
Gestin de brechas de seguridad e incidentes
Gestin de la continuidad del servicio de TI SD 4.5
SD 4.5.5.1
Inicio
SD 4.5.5.2
Requisitos y estrategia
SD 4.5.5.3
Implementacin
SD 4.5.5.4
Operacin continua
SD 8.1
Anlisis de impacto en el negocio
Gestin de la disponibilidad SD 4.4
SD 4.4.5.2
Actividades proactivas de la gestin de la
disponibilidad
Transicin del Servicio (ST)
Planeamiento de la transicin, principios, soporte y ejecucin ST 4.1
ST 3.2
Polticas para la transicin del servicio
ST 3.2.1
Definir e implementar una poltica formal para la
transicin del servicio
ST 3.2.13
Asegurar la calidad de un servicio nuevo o
modificado
ST 3.2.14
ST 3.2.2
ST 3.2.7
ST 4.1.4
ST 4.1.5.2
ST 4.1.5.3
ST 4.1.6
ST 5
ST 6
27
ST 6.3
28
SO 4.5.5.2
SO 4.5.5.3
SO 4.5.5.4
SO 4.5.5.5
SO 4.5.5.6
SO 4.6.1
SO 5.4
SO 5.5
SO 5.7
SO 5.8
SO 5.9
SO 5.10
SO 5.11
SO 5.13
Verificacin
Habilitar privilegios
Monitorear el estado de la identidad
Registro y seguimiento de accesos
Eliminar o restringir privilegios
Gestin de operaciones
Gestin de cambios (actividades operativas)
Soporte y gestin de servidores
Gestin de redes
Administracin de bases de datos
Gestin de servicios de directorio
Soporte de estaciones de trabajo
Gestin de middleware
Gestin Internet/web
Gestin de seguridad de la informacin y la
operacin del servicio
Atencin de peticiones
Seleccin por men
Aprobacin financiera
Otras aprobaciones
Cierre
SO 4.3.5.1
SO 4.3.5.2
SO 4.3.5.3
SO 4.3.5.5
Principios y ejecucin de la operacin del servicio
Consideraciones de tecnologa
SO 7
Mejora Continua del Servicio (CSI)
CSI 5 Mtodos y tcnicas de CSI
CSI 5.6.3
Gestin de continuidad de servicios de TI
SO Apndice C
Kepner y Tregoe
SO Apndice D
Diagramas de Ishikawa
29
30
31
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4 Operacin continua
SD 4.5.5.3 Etapa 3
DS4.6 Entrenamiento del Plan de
Continuidad de TI
Implementacin
SD 4.5.5.4 Etapa 4 Operacin continua
SD 4.5.5.3 Etapa 3
DS4.7 Distribucin del Plan de
Continuidad de TI
Implementacin
SD 4.5.5.4 Etapa 4 Operacin continua
SD 4.4.5.2 Actividades proactivas de la gestin
DS4.8 Recuperacin y Reanudacin de
de la disponibilidad
los Servicios de TI
SD 4.5.5.4 Etapa 4 Operacin continua
SD 4.5.5.2 Etapa 2 Requisitos y estrategia
DS4.9 Almacenamiento de Respaldos
Fuera de las Instalaciones
SO 5.2.3 Respaldo y restauracin
SD 4.5.5.3 Etapa 3
DS4.10 Revisin Post Reanudacin
Implementacin
SD 4.5.5.4 Etapa 4 Operacin continua
DS5 Garantizar la Seguridad de los Sistemas
SD 4.6 Gestin de seguridad de la informacin
DS5.1 Administracin de la Seguridad
de TI
SO 5.13 Gestin de seguridad de la informacin
y la operacin del servicio
SD 4.6.4 Polticas, principios y conceptos
DS5.2 Plan de Seguridad de TI
bsicos
SD 4.6.5.1 Controles de seguridad (cobertura a
alto nivel, sin detalle)
SO 4.5 Gestin de acceso
DS5.3 Administracin de Identidad
SO 4.5 Gestin de acceso
DS5.4 Administracin de Cuentas del
Usuario
SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificacin
SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos
SO 4.5.5.6 Eliminar o restringir privilegios
SO 4.5.5.6 Eliminar o restringir privilegios
DS5.5 Pruebas, Vigilancia y Monitoreo
de la Seguridad
SO 5.13 Gestin de seguridad de la informacin
y la operacin del servicio
SD 4.6.5.1 Controles de seguridad (cobertura de
DS5.6 Definicin de Incidente de
alto nivel, sin detalle)
Seguridad
SD 4.6.5.2 Gestin de brechas de seguridad e
incidentes
SO 5.4 Gestin y soporte de
DS5.7 Proteccin de la Tecnologa de
Seguridad
servidores
DS5.8 Administracin de Llaves
Criptogrficas
32
Poltica de seguridad
5.1.1 Documento de poltica de seguridad de la informacin
5.1.2 Revisin de la poltica de seguridad de la informacin
Aspectos organizativos de la seguridad de la informacin
6.1.1 Compromiso de la Direccin con la Seguridad de la Informacin
33
34
35
PLANEAR Y ORGANIZAR
PO9 Evaluar y Administrar los Riesgos de TI
14.1.1 Incluir la seguridad de informacin en el
PO9.1 Marco de trabajo de gestin de
proceso de gestin de continuidad del negocio
riesgos
14.1.2 Continuidad del negocio y evaluacin de
riesgos
14.1.1 Incluir la seguridad de informacin en el
PO9.2 Establecimiento del Contexto del
proceso de gestin de continuidad del negocio
Riesgo
14.1.2 Continuidad del negocio y evaluacin de
riesgos
13.1.1 Reporte de eventos de seguridad de
PO9.3 Identificacin de Eventos
informacin
13.1.2 Reporte de debilidades de seguridad
5.1.2 Revisin de la poltica de seguridad de la
PO9.4 Evaluacin de Riesgos de TI
informacin
14.1.2 Continuidad del negocio y evaluacin de
riesgos
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un
Plan de Accin de Riesgos
ADQUIRIR E IMPLEMENTAR
AI3 Adquirir y Mantener Infraestructura Tecnolgica
AI3.1 Plan de adquisicin de
infraestructura tecnolgica
12.1.1 Anlisis y especificacin de los requisitos de
AI3.2 Proteccin y disponibilidad de la
seguridad
infraestructura
9.1.5 Trabajo en reas seguras
9.2.4 Mantenimiento de equipos
12.4.2 Proteccin de los datos de prueba de sistema
12.5.2 Revisin tcnica de las aplicaciones luego de
cambios en el sistema operativo
12.6.1 Control de vulnerabilidades tcnicas
10.1.4 Separacin de los entornos de desarrollo,
AI3.4 Ambiente de prueba de factibilidad
pruebas y produccin
AI6 Administrar Cambios
10.1.2 Gestin de cambios
AI6.1 Estndares y Procedimientos para
Cambios
12.5.3 Restricciones en los cambios a los paquetes
de software
AI6.2 Evaluacin de Impacto, Priorizacin 10.1.2 Gestin de cambios
y Autorizacin
12.5.1 Procedimientos de control de cambios
12.5.3 Restricciones en los cambios a los paquetes
de software
12.6.1 Control de vulnerabilidades tcnicas
AI3.3 Mantenimiento de la infraestructura
36
37
38
39
40
COBIT 4.1
PO9.1 Marco de
trabajo de gestin
de riesgos
PLANEAR Y ORGANIZAR
PO9 Evaluar y Administrar los Riesgos de TI
COBIT 5.0
ITIL v3
APO01.03Mantener SS 9.5 Riesgos
los elementos
SD 4.5.5.1 Etapa 1 Inicio
catalizadores del
sistema de gestin
PO9.2
Establecimiento del
Contexto del
Riesgo
APO12.03
Mantener un perfil
de riesgo
SS 9.5 Riesgos
SD 4.5.5.1 Etapa 1 Inicio
SD 4.5.5.2 Etapa 2
Requisitos y estrategia
PO9.3
Identificacin de
Eventos
APO12.01
Recopilar datos
PO9.4 Evaluacin
de Riesgos de TI
APO12.02 Analizar
el riesgo
SS 9.5 Riesgos
SD 4.5.5.2 Etapa 2
Requisitos y estrategia
ST 9 Desafos, factores
crticos de xito y riesgos
CSI 5.6.3 Gestin de
continuidad de servicios de
TI
SS 9.5 Riesgos
SD 4.5.5.2 Etapa 2
Requisitos y estrategia
SD 8.1 Anlisis de impacto
en el negocio (sin detalle)
ST 4.6 Evaluacin
41
ISO 27002
14.1.1 Incluir la seguridad
de informacin en el
proceso de gestin de
continuidad del negocio
14.1.2 Continuidad del
negocio y evaluacin de
riesgos
14.1.1 Incluir la seguridad
de informacin en el
proceso de gestin de
continuidad del negocio
14.1.2 Continuidad del
negocio y evaluacin de
riesgos
13.1.1 Reporte de eventos
de seguridad de
informacin
13.1.2 Reporte de
debilidades de seguridad
5.1.2 Revisin de la
poltica de seguridad de la
informacin
14.1.2 Continuidad del
negocio y evaluacin de
riesgos
PO9.5 Respuesta a
los Riesgos
APO12.06
Responder al riesgo
PO9.6
Mantenimiento y
Monitoreo de un
Plan de Accin de
Riesgos
APO12.04 Expresar
el riesgo
AI3.1 Plan de
adquisicin de
infraestructura
tecnolgica
AI3.2 Proteccin y
disponibilidad de la
infraestructura
AI3.3
Mantenimiento de
la infraestructura
AI3.4 Ambiente de
prueba de
factibilidad
AI6.1 Estndares y
Procedimientos
para Cambios
SS 9.5 Riesgos
SD 4.5.5.3 Etapa 3Implementacin
ST 4.6 Evaluacin
SS 9.5 Riesgos
SD 4.5.5.4 Etapa 4
Operacin continua
ADQUIRIR E IMPLEMENTAR
AI3 Adquirir y Mantener Infraestructura Tecnolgica
BAI03.04Obtener
SD 3.6.3 Diseo de la
los componentes de arquitectura tecnolgica
la solucin
BAI03.03
Desarrollar los
componentes de la
solucin
DSS02.03Verificar,
aprobar y resolver
peticiones de
servicio
BAI03.10Mantener
soluciones
SD 4.6.5.1 Controles de
seguridad
SO 5.4 Gestin y soporte de
servidores
42
12.1.1 Anlisis y
especificacin de los
requisitos de seguridad
AI6.2 Evaluacin
de Impacto,
Priorizacin y
Autorizacin
BAI06.01 Evaluar,
priorizar y autorizar
peticiones de
cambio.
43
AI6.3 Cambios de
Emergencia
BAI06.02 Gestionar
cambios de
emergencia
AI6.4 Seguimiento
y Reporte del
Estado de los
Cambio
BAI06.03 Hacer
seguimiento e
informar de
cambios de estado
AI6.5 Cierre y
Documentacin del
Cambio
DS4.1 Marco de
Trabajo de
Continuidad de TI
SO 4.3.5.2 Aprobacin
financiera
SO 4.3.5.3 Otras
aprobaciones
ST 4.2.6.9 Cambios de
emergencia
ST 3.2.13 Asegurar la
calidad de un servicio nuevo
o modificado
ST 3.2.14 Mejora proactiva
de la calidad durante la
transicin del servicio
ST 4.1.5.3 Planificar y
coordinar la transicin del
servicio
ST 4.1.6 Brindar soporte al
proceso de transicin
BAI06.04 Cerrar y
ST 4.2.6.4 Valorar y evaluar
documentar los
el cambio
cambios
ST 4.2.6.7 Revisar y cerrar
el registro del cambio
ST 4.4.5.10 Revisar y cerrar
la transicin del servicio
ST 4.4.5.9 Revisar y cerrar
un despliegue
SO 4.3.5.5 Cierre
ENTREGAR Y DAR SOPORTE
DS4 Garantizar la Continuidad del Servicio
DSS04.01 Definir la SD 4.5 Gestin de
poltica de
continuidad de servicios de
continuidad de
TI
negocio, objetivos y SD 4.5.5.1 Etapa 1 Inicio
alcance
CSI 5.6.3 Gestin de
continuidad de servicios de
TI
44
DS4.2 Planes de
Continuidad de TI
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
SD 4.5.5.2 Etapa 2
Requisitos y estrategia
SD 4.5.5.3 Etapa 3
Implementacin
SD Apndice K Contenido
tpico de un plan de
recuperacin
DS4.3 Recursos
Crticos de TI
DSS04.04 Ejercitar,
probar y revisar el
plan de continuidad
SD 4.4.5.2 Actividades
proactivas de la gestin de
la disponibilidad
SD 4.5.5.4 Etapa 4
Operacin continua
DS4.4
Mantenimiento del
Plan de
Continuidad de TI
DS4.5 Pruebas del
Plan de
Continuidad de TI
DSS04.02 Mantener
una estrategia de
continuidad
SD 4.5.5.4 Etapa 4
Operacin continua
DSS04.04 Ejercitar,
probar y revisar el
plan de continuidad
DS4.6
Entrenamiento del
Plan de
Continuidad de TI
DSS04.06 Revisar,
mantener y mejorar
el plan de
continuidad
DS4.7 Distribucin
del Plan de
Continuidad de TI
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
DS4.8
Recuperacin y
Reanudacin de los
Servicios de TI
DS4.9
Almacenamiento
de Respaldos Fuera
de las Instalaciones
DS4.10 Revisin
Post Reanudacin
DS5.1
Administracin de
la Seguridad de TI
SD 4.4.5.2 Actividades
proactivas de la gestin de
la disponibilidad
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.2 Etapa 2
Requisitos y estrategia
SO 5.2.3 Respaldo y
restauracin
DSS04.08 Ejecutar
SD 4.5.5.3 Etapa 3
revisiones post
Implementacin
reanudacin
SD 4.5.5.4 Etapa 4
Operacin continua
DS5 Garantizar la Seguridad de los Sistemas
APO13.01
SD 4.6 Gestin de seguridad
Establecer y
de la informacin
mantener un SGSI
DSS04.07 Gestionar
acuerdos de
respaldo
45
14.1.1 Proceso de la
gestin de continuidad del
negocio
14.1.3 Redaccin e
implantacin de planes de
continuidad
10.5.1 Recuperacin de la
informacin
14.1.5 Prueba,
mantenimiento y
reevaluacin de planes de
continuidad
6.1.1 Compromiso de la
Direccin con la
Seguridad de la
Informacin
SO 5.13 Gestin de
seguridad de la informacin
y la operacin del servicio
DS5.2 Plan de
Seguridad de TI
APO13.02 Definir y
gestionar un plan de
tratamiento del
riesgo de la
seguridad de la
informacin
SD 4.6.4 Polticas,
principios y conceptos
bsicos
SD 4.6.5.1 Controles de
seguridad (cobertura a alto
nivel, sin detalle)
DS5.3
Administracin de
Identidad
DSS05.04 Gestionar
la identidad del
usuario y el acceso
lgico
DS5.4
Administracin de
Cuentas del
Usuario
DSS05.04 Gestionar
la identidad del
usuario y el acceso
lgico
46
6.1.2 Coordinacin de la
Seguridad de la
Informacin
6.2.3 Tratamiento de la
seguridad en contratos con
terceros.
8.2.2 Formacin y
capacitacin en seguridad
de la informacin
5.1.1 Documento de
poltica de seguridad de la
informacin
5.1.2 Revisin de la
poltica de seguridad de la
informacin
6.1.2 Coordinacin de la
Seguridad de la
Informacin
6.1.5 Acuerdos de
Confidencialidad
8.2.2 Formacin y
capacitacin en seguridad
de la informacin
11.1.1 Poltica de control
de accesos
11.7.1 Informtica mvil
11.7.2 Tele trabajo
5.1.1 Documento de
poltica de seguridad de la
informacin
5.1.2 Revisin de la
poltica de seguridad de la
informacin
6.1.2 Coordinacin de la
Seguridad de la
Informacin
6.1.5 Acuerdos de
Confidencialidad
8.2.2 Formacin y
capacitacin en seguridad
de la informacin
11.1.1 Poltica de control
de accesos
11.7.1 Informtica mvil
11.7.2 Tele trabajo
6.1.5 Acuerdos de
Confidencialidad
6.2.1. Identificacin de los
riesgos derivados del
acceso de terceros
SO 4.5.5.4 Monitorear el
estado de la identidad
SO 4.5.5.5 Registro y
seguimiento de accesos
SO 4.5.5.6 Eliminar o
restringir privilegios
DS5.5 Pruebas,
Vigilancia y
Monitoreo de la
Seguridad
DSS05.07
Supervisar la
infraestructura para
detectar eventos
relacionados con la
seguridad.
SO 4.5.5.6 Eliminar o
restringir privilegios
SO 5.13 Gestin de
seguridad de la informacin
y la operacin del servicio
DS5.6 Definicin
de Incidente de
Seguridad
DSS02.01 Definir
esquemas de
clasificacin de
incidentes y
SD 4.6.5.1 Controles de
seguridad (cobertura de alto
nivel, sin detalle)
47
6.2.2 Tratamiento de la
seguridad en la relacin
con los clientes
8.1.1 Inclusin de la
seguridad en las
responsabilidades
laborales
8.3.1 Cese de
responsabilidades
8.3.3 Cancelacin de
permisos de acceso
10.1.3 Segregacin de
tareas
11.1.1 Poltica de control
de accesos
11.2.1 Registro de usuario
11.2.2 Gestin de
privilegios
11.2.4 Revisin de los
derechos de acceso de los
usuarios
11.3.1 Uso de contrasea
11.5.1 Procedimientos de
conexin de terminales
11.5.3 Sistema de gestin
de contraseas
11.6.1 Restriccin de
acceso a la informacin
6.1.8 Revisin
Independiente de la
Seguridad de la
Informacin
10.10.2 Supervisin del
uso de los sistemas
10.10.3 Proteccin de los
registros de incidencias
10.10.4 Diarios de
operacin del
administrador y operador
12.6.1 Control de las
vulnerabilidades tcnicas.
13.1.2 Comunicacin de
debilidades en seguridad
15.2.2 Comprobacin de
la conformidad tcnica
15.3.1 Controles de
auditora de sistemas
8.2.3 Procedimiento
disciplinario
13.1.1 Comunicacin de
eventos en seguridad
DS5.7 Proteccin
de la Tecnologa de
Seguridad
peticiones de
servicio
SD 4.6.5.2 Gestin de
brechas de seguridad e
incidentes
DSS05.05 Gestionar
el acceso fsico a los
activos de TI
48
13.1.2 Comunicacin de
debilidades en seguridad
13.2.1 Identificacin de
responsabilidades y
procedimientos
13.2.3 Recogida de
pruebas
6.1.4 Proceso de
Autorizacin de Recursos
para el Tratamiento de la
Informacin
9.1.6 reas aisladas de
carga y descarga
9.2.1 Instalacin y
proteccin de equipos
9.2.3 Seguridad del
cableado
10.6.2 Seguridad en los
servicios de red
10.7.4 Seguridad de la
documentacin de
sistemas
10.10.1 Registro de
incidencias
10.10.3 Proteccin de los
registros de incidencias
10.10.4 Diarios de
operacin del
administrador y operador
10.10.5 Registro de fallos
10.10.6 Sincronizacin
del reloj
11.3.2 Equipo informtico
de usuario desatendido
11.3.3 Polticas para
escritorios y monitores sin
informacin
11.4.3 Autenticacin de
nodos de la red
11.4.4 Proteccin a
puertos de diagnstico
remoto
11.5.1 Procedimientos de
conexin de terminales
11.5.4 Uso de los
servicios del sistema
11.5.5 Desconexin
automtica de terminales
11.5.6 Limitacin del
tiempo de conexin
11.6.2 Aislamiento de
sistemas sensibles
DS5.8
Administracin de
Llaves
Criptogrficas
DSS05.03 Gestionar
la seguridad de los
puestos de usuario
final
DS5.9 Prevencin,
Deteccin y
Correccin de
Software Malicioso
DSS05.01 Proteger
contra software
malicioso
(malware)
DS5.10 Seguridad
de la Red
DSS05.02 Gestionar
la seguridad de la
red y las conexiones
49
DS5.11
Intercambio de
Datos Sensitivos
DS9.1 Repositorio
y lnea base
de configuracin
DS9.2
Identificacin y
11.4.7 Control de
encaminamiento en la red
11.6.2 Aislamiento de
sistemas sensibles
6.2.1 Identificacin de los
riesgos derivados del
acceso de terceros
10.6.1 Controles de red
10.6.2 Seguridad en los
servicios de red
11.4.1 Poltica de uso de
los servicios de red
11.4.2 Autenticacin de
usuario para conexiones
externas
11.4.3 Autenticacin de
nodos de la red
11.4.4 Proteccin a
puertos de diagnstico
remoto
11.4.5 Segregacin en las
redes
11.4.6 Control de
conexin a las redes
11.4.7 Control de
encaminamiento en la red
11.6.2 Aislamiento de
sistemas sensibles
DSS05.02 Gestionar
la seguridad de la
red y las conexiones
50
mantenimiento de
elementos de la
configuracin
DS9.3 Revisin de
integridad de la
configuracin
DS10.1
Identificacin y
clasificacin de
problemas
DS10.2
Seguimiento y
resolucin de
problemas
ST 4.3.5.4 Control de la
configuracin
ST 4.3.5.5 Contabilizacin y
registro de estados
BAI10.04 Generar
informes de estado
y configuracin
BAI10.05Verificar
y revisar la
integridad del
repositorio de
configuracin
DSS02.05 Resolver
y recuperarse de
incidentes
ST 4.3.5.6 Auditora y
verificacin
SO 5.4 Gestin y soporte de
servidores
SO 7 Consideraciones de
tecnologa (especialmente
para licenciamiento,
mencionado en SO 7.1.4)
DSS03.02Investigar
y diagnosticar
problemas
problemas
SO 4.4.5.4 Priorizacin de
problemas
SO Apndice C Kepner y
Tregoe
SO Apndice D Diagramas
de Ishikawa
SO 4.4.5.2 Log de
problemas
SO 4.4.5.5 Investigacin y
diagnstico de problemas
SO 4.4.5.6 Soluciones
provisionales
SO 4.4.5.7 Registro de
errores conocidos
SO 4.4.5.8 Resolucin de
51
DS10.3 Cierre de
problemas
DSS03.03Levantar
errores conocidos
DSS03.04Resolver
y cerrar problemas
DS10.4 Integracin
de la gestin de
configuracin,
incidentes y
problemas
DSS03.05 Realizar
una gestin de
problemas proactiva
problemas
SO 4.4.5.9 Cierre de
problemas
SO 4.4.5.10 Revisin de
problemas mayores
52
CAPTULO 4
53
54
55
56
57
58
59
60
CAPTULO 5
5. DETALLE DE CONTROL
En el actual captulo se desarrollaran las preguntas de control para ejecutar la auditoria
de los dispositivos de defensa en este caso el principal componentes seria el Firewall,
cada una de las preguntas estn ligadas con las entradas, las salidas y los diagramas de
flujo en cada uno de los 7 procesos analizados en el captulo 4, la casilla de Detalle de
Proceso contiene las estructuras de los procesos de salida, aclarando que no
necesariamente las estructuras de los documentos son estndares, cada estructura de
salida en la presente tesis fue analizada y estudiada de forma general, cada gua tiene
casillas de verificacin del procedimiento, esta verificacin puede ser Parcial, Total o No
cumple, en la casilla de Pruebas de la gua se detalla las evidencias que sean presentadas
como respaldo de los procedimientos auditados, la casilla de Observaciones permite
detallar todos los sucesos encontrados.
Cada pregunta fueron analizadas detenidamente y que tengan un sustento justificado para
los detalles de control con su debido proceso, estas preguntas tienen que tener relacin
con las guas del captulo anterior, caso contrario estaran mal planteadas las entradas,
salidas y el diagrama.
61
Preguntas de Control
Documento de anlisis de riesgos?
GESTIONAR EL RIESGO
Detalle de Control
Estimulacin de frecuencia e
impacto
Desarrollo del escenario del
riesgo
Identificacin de actores, tipo de
amenaza, acciones, recursos y
tiempo
Indicadores de riesgo
Definicin y priorizacin de
riesgos
Documento de estrategia de
riesgo y clasificacin de riesgo
Tolerancia de riesgos
Respuesta al riesgo
Evitar Riesgos
Reduccin de riesgos/mitigacin
Riesgos
compartidos/transferencia
Aceptacin de riesgo
Seleccin y priorizacin de
respuesta al riesgo
Plan de accin y plan de
contingencia
Riesgos genricos
Riesgos de tamao de
plantilla de personal y
su experiencia
Riesgos del negocio
Riesgos de la relacin
con el cliente
Riesgos especficos
Riesgo de tamao
Riesgo tecnolgico
Riesgo del proceso
Anlisis de impacto al negocio
Costo/beneficio
Tiempo
Incluye tipo de riesgo,
clasificacin, solucin y costo
Soluciones
62
Total
Parcial
No cumple
Pruebas
Observacin
ELABORADO POR:
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
63
FECHA
Preguntas de Control
Desarrollo de soluciones tecnolgicas de TIC?
Plan de pruebas?
Procedimiento de pruebas?
ELABORADO POR:
FIRMA:
FECHA
SUPERVISADO POR:
FIRMA:
64
No cumple
Pruebas
Observacin
FECHA
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
65
Preguntas de Control
Documento de RFC?
Tipos de Cambios?
ELABORADO POR:
FIRMA:
FECHA
SUPERVISADO POR:
FIRMA:
66
Parcial
No cumple
Pruebas
Observacin
FECHA
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
67
Preguntas de Control
Informe de revisin post-reanudacin?
Qu es el Anlisis de riesgos?
ELABORADO POR:
GESTIONAR LA CONTINUIDAD
Detalle de Control
Total
Determinar la gerencia de IT
Procedimientos valorados en el
plan
Actualizar el plan en
consecuencia
Establecer el alcance
Asignar los recursos
Establecer las bases para la
organizacin del proceso
Identificacin del peligro
Evaluacin del riesgo
Gestin del riesgo
Comunicacin del riesgo
La puesta en marcha de los
planes preestablecidos.
La supervisin de los mismos.
La coordinacin con la Gestin
de Continuidad del Negocio.
La asignacin de recursos
necesarios.
Proceso de la gestin de
continuidad del negocio.
Continuidad del negocio y
anlisis de impactos.
Redaccin e implantacin de
planes de continuidad.
Marco de planificacin para la
continuidad del negocio.
Prueba, mantenimiento y
reevaluacin de planes de
continuidad.
FECHA
SUPERVISADO POR:
68
Parcial
No cumple
Pruebas
Observacin
FECHA
FIRMA:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
69
Preguntas de Control
Asigna roles y responsabilidades?
70
Parcial
No cumple
Pruebas
Observacin
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
71
FECHA
Preguntas de Control
Informes de estado de configuracin?
Qu es la administracin de configuraciones?
GESTIONAR LA CONFIGURACIN
Detalle de Control
Total
Plan de seguridad y actualizacin
Informes y auditoria
Planificacin de configuraciones
Identificacin de configuraciones
Control de las configuraciones
Registro y creacin de informes
sobre el estado de las
configuraciones
Verificacin y auditora de las
configuraciones
Parcial
No cumple
Pruebas
Observacin
ELABORADO POR:
Servicios
Activos
Infraestructura
Hardware
Parmetros
Documentos
Procedimientos
Herramientas para el
funcionamiento
Servicios
Numero de versiones
Detalle de la licencia
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
72
FECHA
Preguntas de Control
Documento de registro y clasificacin de problemas?
Base de incidentes?
Cierre de problemas?
73
Parcial
No cumple
Pruebas
Observacin
Soporte de incidentes?
Resolucin de Incidentes?
ELABORADO POR:
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
74
FECHA
75
CAPTULO 6
6. NIVEL DE MADUREZ
Introduccin PAM
ISACA presenta el nuevo modelo de evaluacin de procesos de COBIT es un modelo
bidimensional de la capacidad del proceso. En una dimensin, la dimensin de proceso,
los procesos se definen y se clasifica en categoras de procesos. En la otra dimensin, la
dimensin de la capacidad, un conjunto de atributos de proceso se agrupan en niveles de
capacidad se define. Los atributos de proceso proporcionan las caractersticas medibles
de la capacidad del proceso. El modelo de evaluacin de proceso cumple con la norma
ISO / IEC 15504-2.
Caractersticas
76
II.
III.
IV.
V.
6.1.
Proceso de Autoevaluacin
Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
L
APO12
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
L
L
Nivel 3
PA
PA
3.1
3.2
F
L
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
F
P
No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)
y el
balance
de los
costos
y beneficios
de la
gestin de
Descripcin
APO12-BP1
Recopilar datos.
Identificar y recopilar los datos relevantes
que permitan la identificacin efectiva
relacionada con el riesgo, anlisis y
presentacin de informes.
APO12-BP2
78
APO12-BP4
Riesgo Articular.
Proporcionar informacin sobre el estado
actual de las exposiciones relacionadas
con la informtica y oportunidades en el
momento correcto a todos los
involucrados necesarios para una
respuesta adecuada
APO12-BP5
APO12-BP6
79
APO12
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
Nivel 1
PA 1.1 El proceso
Realizado implementado logra su
propsito proceso.
Integrar la gestin de riesgos de la empresa relacionadas con la TI sobre todo de ERM, y el balance de los costos y beneficios de la
gestin de Riesgos empresariales relacionados con la TI.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
No
Alcanzad
o
(0-15%)
b) Se organiz y se control el
rendimiento del proceso.
Mediante conocimiento de
riesgo
80
L
P
c)
Rendimiento del proceso se
ajusta para satisfacer planes.
d) Las responsabilidades y
autoridades para llevar a cabo el proceso
estn definidos, asignados y
comunicados.
e) Los recursos y la informacin
necesaria para llevar a cabo el proceso
son identificados, puestos a disposicin,
asignados y utilizados.
f)
Interfaces entre las partes
involucradas se gestionan para garantizar
tanto la comunicacin efectiva y clara
asignacin de responsabilidades.
PA 2.2 Administracin del
Producto de Trabajo - Una
medida en el grado en
que los productos de
trabajo producidos por el
proceso se gestionan
adecuadamente. Los
productos de trabajo (o
salidas del proceso) se
definen y controlan.
Mediante conocimiento de
riesgo
a)
Requisitos para los productos de
trabajo del proceso estn definidos.
b)
Requisitos para la
documentacin y el control de los
productos de trabajo estn definidos.
c)
Los productos de trabajo estn
debidamente identificados,
documentados y controlados.
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario
para cumplir con los requisitos.
81
el grado en que se
mantiene un proceso
estndar para apoyar el
despliegue del proceso
definido.
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
c)
Competencias y roles
necesarios para llevar a cabo un proceso
se identifican como parte del proceso
estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar
un proceso se identifican como parte del
proceso estndar.
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin
del proceso se determinan.
PA 3.2 Implementacin de
procesos - Una medida en
el grado en que el proceso
estndar se despliega con
eficacia como un proceso
definido para alcanzar sus
resultados del proceso.
a)
Un proceso definido se
implementa sobre la base de un proceso
estndar seleccionado apropiadamente y
/ o adaptado.
b)
Roles necesarios,
responsabilidades y autoridades para
llevar a cabo el proceso definido se
asignan y se comunican.
c)
El personal que realiza el
proceso definido son competentes sobre
la base de una educacin adecuada,
capacitacin y experiencia.
82
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se recogen
y se analizan como una base para
entender el comportamiento, y para
demostrar la idoneidad y la eficacia del
proceso, y para evaluar donde la mejora
continua del proceso se puede hacer.
Nivel 4
Predecible
a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.
b)
Objetivos de medicin de
procesos se derivan de las necesidades
de informacin de proceso.
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
desempeo del proceso.
83
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin
de vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo
del proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo
del proceso.
Como resultado de la completa
consecucin de este atributo:
PA 4.2 Control de
Procesos - Una medida en
el grado en que el proceso
a) Tcnicas de anlisis y de control
es gestionado
se determinan y aplican en su
cuantitativamente para
caso.
producir un proceso que
b)
Los lmites de control de la
es estable, capaz y
variacin se establecen para la ejecucin
predecible dentro de
normal del proceso.
lmites definidos.
c)
Los datos de medicin se
analizan las causas especiales de
variacin.
d) Se toman las acciones correctivas
para hacer frente a las causas especiales
de variacin.
84
enfoques innovadores
para la definicin e
implementacin del
proceso.
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
c)
En base a los resultados reales,
la eficacia del cambio de proceso se
evala con los requisitos de los
productos definidos y objetivos del
proceso para determinar si los resultados
se deben a causas comunes o especiales.
Mediante conocimiento de
riesgo
Mediante conocimiento de
riesgo
Mediante conocimiento de
riesgo
85
6.2.
Soluciones
Proceso de Autoevaluacin
Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
L
BAI03
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
P
P
Nivel 3
PA
PA
3.1
3.2
P
L
Nivel 4
PA
PA
4.1
4.2
N
P
Nivel 5
PA
PA
5.1
5.2
N
P
Parcialmente
Alcanzado
(15-50%)
preparacin
de
exmenes,
pruebas,
requisitos
Descripcin
BAI03-BP1
BAI03-BP3
Desarrollar componentes de la
solucin.
Desarrollar componentes de la solucin
progresivamente segn diseos detallados
siguiendo mtodos de desarrollo y los
estndares de documentacin, los
87
BAI03-BP5
Construir soluciones.
Instalacin y configuracin de soluciones
y la integracin con las actividades del
proceso de negocio. Implementar
medidas de control, seguridad y
capacidad de auditora durante la
configuracin, y durante la integracin de
hardware y software de infraestructura,
para proteger los recursos y garantizar la
disponibilidad y la integridad de los
88
BAI03-BP7
BAI03-BP8
BAI03-BP9
BAI03-BP11
90
BAI03
Establecer soluciones oportunas y rentables capaces de apoyar los objetivos estratgicos y operativos de la empresa.
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
propsito proceso.
Nivel 1
Realizado
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
91
Completam
ente
Alcanzado
(85-100%)
necesidades empresariales y
tecnolgicas.
PA 2.1 Gestin de
Rendimiento - Una
medida en el grado en
que se gestiona el
rendimiento del proceso.
Nivel 2
Gestionado
b) Se organiz y se control el
rendimiento del proceso.
c)
Rendimiento del proceso se
ajusta para satisfacer planes.
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
d) Las responsabilidades y
autoridades para llevar a cabo el
proceso estn definidos, asignados y
comunicados.
e) Los recursos y la informacin
necesaria para llevar a cabo el proceso
son identificados, puestos a disposicin,
asignados y utilizados.
f)
Interfaces entre las partes
involucradas se gestionan para
garantizar tanto la comunicacin
efectiva y clara asignacin de
responsabilidades.
PA 2.2 Administracin del Como resultado de la completa
Producto de Trabajo - Una consecucin de este atributo:
medida en el grado en
a)
Requisitos para los productos
que los productos de
de
trabajo
del proceso estn definidos.
trabajo producidos por el
proceso se gestionan
b)
Requisitos para la
adecuadamente. Los
documentacin y el control de los
productos de trabajo (o
productos de trabajo estn definidos.
92
Mediante procedimiento de
pruebas
Mediante procedimiento de
pruebas
Nivel 3
Establecido
c)
Los productos de trabajo estn
debidamente identificados,
documentados y controlados.
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario
para cumplir con los requisitos.
a)
Un proceso estndar,
incluyendo las guas de adaptacin
adecuadas, se define que describe los
elementos fundamentales que deben
ser incorporados en un proceso
definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
c)
Competencias y roles
necesarios para llevar a cabo un proceso
se identifican como parte del proceso
estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar
un proceso se identifican como parte del
proceso estndar.
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin
del proceso se determinan.
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante procedimiento de
pruebas
93
Nivel 4
Predecible
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
Mediante desarrollo de
soluciones tecnolgicas
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
Mediante desarrollo de
soluciones tecnolgicas
Mediante procedimiento de
pruebas
f)
Los datos apropiados se
recogen y se analizan como una base
para entender el comportamiento, y
para demostrar la idoneidad y la eficacia
del proceso, y para evaluar donde la
mejora continua del proceso se puede
hacer.
Como resultado de la completa
consecucin de este atributo:
a)
Establecer las necesidades de
los procesos de informacin en apoyo
de los objetivos de negocio
correspondientes.
94
No tiene
b)
Objetivos de medicin de
procesos se derivan de las necesidades
de informacin de proceso.
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen
de acuerdo con los objetivos de
medicin de procesos y objetivos
cuantitativos para el desempeo del
proceso.
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a
fin de vigilar el grado en que se cumplen
los objetivos cuantitativos de
desempeo del proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo
del proceso.
Como resultado de la completa
consecucin de este atributo:
PA 4.2 Control de
Procesos - Una medida en
el grado en que el proceso
a) Tcnicas de anlisis y de control
es gestionado
se determinan y aplican en su
cuantitativamente para
caso.
producir un proceso que
b)
Los lmites de control de la
es estable, capaz y
variacin se establecen para la ejecucin
predecible dentro de
normal del proceso.
lmites definidos.
c)
Los datos de medicin se
analizan las causas especiales de
variacin.
d) Se toman las acciones
correctivas para hacer frente a las
causas especiales de variacin.
No tiene
No tiene
No tiene
Mediante procedimiento de
pruebas
Mediante procedimiento de
pruebas
95
Mediante desarrollo de
soluciones tecnolgicas
No tiene
No tiene
Mediante desarrollo de
soluciones tecnolgicas
e)
Los lmites de control se
restablecen (cuando sea necesario)
despus de la accin correctiva.
PA 5.1 La innovacin de
procesos - Una medida en
el grado en que los
cambios en el proceso son
identificadas a partir del
anlisis de las causas
comunes de la variacin
en el rendimiento, ya
partir de las
investigaciones de
enfoques innovadores
para la definicin e
implementacin del
proceso.
Nivel 5
Optimizado
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
Mediante desarrollo de
soluciones tecnolgicas
No tiene
No tiene
No tiene
96
Mediante desarrollo de
soluciones tecnolgicas
Mediante desarrollo de
soluciones tecnolgicas
c)
En base a los resultados reales,
la eficacia del cambio de proceso se
evala con los requisitos de los
productos definidos y objetivos del
proceso para determinar si los
resultados se deben a causas comunes o
especiales.
Mediante procedimiento de
pruebas
97
6.3.
Nivel 0
Nivel 1
PA 1.1
F
BAI06
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
L
L
Nivel 4
PA
PA
4.1
4.2
L
L
Nivel 5
PA
PA
5.1
5.2
L
L
Parcialmente
Alcanzado
(15-50%)
Descripcin
BAI06-BP1
BAI06-BP3
BAI06-BP4
BAI06
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto propsito proceso.
PA 1.1 El proceso
implementado logra su
propsito proceso.
Nivel 1
Realizado
Habilitar la entrega rpida y fiable de los cambios en el negocio y la mitigacin de los riesgos de un impacto negativo en la
estabilidad o integridad de los cambios del entorno.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completame
nte
Alcanzado
(85-100%)
Mediante RFC
Mediante RFC
PA 2.1 Gestin de
Como resultado de la completa
Rendimiento - Una medida consecucin de este atributo:
Nivel 2
Gestionado en el grado en que se
a) Se identifican objetivos para el
desempeo del proceso.
F
L
100
gestiona el rendimiento
del proceso.
b) Se organiz y se control el
rendimiento del proceso.
Mediante RFC
c)
Rendimiento del proceso se
ajusta para satisfacer planes.
Mediante RFC
d) Las responsabilidades y
autoridades para llevar a cabo el
proceso estn definidos, asignados y
comunicados.
e) Los recursos y la informacin
necesaria para llevar a cabo el proceso
son identificados, puestos a
disposicin, asignados y utilizados.
f)
Interfaces entre las partes
involucradas se gestionan para
garantizar tanto la comunicacin
efectiva y clara asignacin de
responsabilidades.
Como resultado de la completa
consecucin de este atributo:
a)
Requisitos para los productos
de trabajo del proceso estn definidos.
b)
Requisitos para la
documentacin y el control de los
productos de trabajo estn definidos.
c)
Los productos de trabajo
estn debidamente identificados,
documentados y controlados.
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario
para cumplir con los requisitos.
101
el grado en que se
mantiene un proceso
estndar para apoyar el
despliegue del proceso
definido.
PA 3.2 Implementacin de
procesos - Una medida en
el grado en que el proceso
estndar se despliega con
eficacia como un proceso
definido para alcanzar sus
resultados del proceso.
a)
Un proceso estndar,
incluyendo las guas de adaptacin
adecuadas, se define que describe los
elementos fundamentales que deben
ser incorporados en un proceso
definido.
b)
La secuencia y la interaccin
del proceso estndar con otros
procesos se determina.
Mediante RFC
c)
Competencias y roles
necesarios para llevar a cabo un
proceso se identifican como parte del
proceso estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para
realizar un proceso se identifican como
parte del proceso estndar.
e)
Los mtodos adecuados para
el seguimiento de la eficacia y
adecuacin del proceso se determinan.
102
Nivel 4
Predecible
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar
a cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se
recogen y se analizan como una base
para entender el comportamiento, y
para demostrar la idoneidad y la
eficacia del proceso, y para evaluar
donde la mejora continua del proceso
se puede hacer.
Como resultado de la completa
consecucin de este atributo:
a)
Establecer las necesidades de
los procesos de informacin en apoyo
de los objetivos de negocio
correspondientes.
b)
Objetivos de medicin de
procesos se derivan de las necesidades
de informacin de proceso.
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen
de acuerdo con los objetivos de
medicin de procesos y objetivos
cuantitativos para el desempeo del
proceso.
No tiene
103
e)
Los resultados de la medicin
se recogen, se analizaron e informaron
a fin de vigilar el grado en que se
cumplen los objetivos cuantitativos de
desempeo del proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo
del proceso.
PA 5.1 La innovacin de
procesos - Una medida en
el grado en que los
Nivel 5
Optimizado cambios en el proceso son
identificadas a partir del
anlisis de las causas
104
comunes de la variacin
en el rendimiento, ya
partir de las
investigaciones de
enfoques innovadores
para la definicin e
implementacin del
proceso.
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
105
6.4.
Nivel 0
Nivel 1
PA 1.1
L
DSS04
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
L
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
P
L
Parcialmente
Alcanzado
(15-50%)
Descripcin
DSS04-BP1
DSS04-BP2
DSS04-BP3
DSS04-BP4
DSS04-BP5
DSS04-BP7
DSS04-BP8
108
DSS04
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
propsito proceso.
Nivel 1
Realizado
PA 2.1 Gestin de
Nivel 2
Gestionado Rendimiento - Una
Continuar las operaciones crticas del negocio y mantener la disponibilidad de la informacin a un nivel aceptable para la empresa
en caso de una interrupcin significativa.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Mediante gestin de
continuidad del negocio
Mediante gestin de
continuidad del negocio
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
Evaluacin general del proceso
109
L
L
L
medida en el grado en
que se gestiona el
rendimiento del proceso.
b) Se organiz y se control el
rendimiento del proceso.
c)
Rendimiento del proceso se
ajusta para satisfacer planes.
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
d) Las responsabilidades y
autoridades para llevar a cabo el proceso
estn definidos, asignados y
comunicados.
e) Los recursos y la informacin
necesaria para llevar a cabo el proceso
son identificados, puestos a disposicin,
asignados y utilizados.
f)
Interfaces entre las partes
involucradas se gestionan para garantizar
tanto la comunicacin efectiva y clara
asignacin de responsabilidades.
PA 2.2 Administracin del
Producto de Trabajo - Una
medida en el grado en
que los productos de
trabajo producidos por el
proceso se gestionan
adecuadamente. Los
productos de trabajo (o
salidas del proceso) se
definen y controlan.
a)
Requisitos para los productos de
trabajo del proceso estn definidos.
b)
Requisitos para la
documentacin y el control de los
productos de trabajo estn definidos.
c)
Los productos de trabajo estn
debidamente identificados,
documentados y controlados.
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario
para cumplir con los requisitos.
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
110
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
Mediante gestin de
continuidad del negocio
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
No tiene
Mediante gestin de
continuidad del negocio
c)
Competencias y roles necesarios
para llevar a cabo un proceso se
identifican como parte del proceso
estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar
un proceso se identifican como parte del
proceso estndar.
Nivel 3
Establecido
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin
del proceso se determinan.
PA 3.2 Implementacin de
procesos - Una medida en
el grado en que el proceso
estndar se despliega con
eficacia como un proceso
definido para alcanzar sus
resultados del proceso.
a)
Un proceso definido se
implementa sobre la base de un proceso
estndar seleccionado apropiadamente y
/ o adaptado.
Mediante gestin de
continuidad del negocio
b)
Roles necesarios,
responsabilidades y autoridades para
llevar a cabo el proceso definido se
asignan y se comunican.
111
c)
El personal que realiza el
proceso definido son competentes sobre
la base de una educacin adecuada,
capacitacin y experiencia.
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se recogen
y se analizan como una base para
entender el comportamiento, y para
demostrar la idoneidad y la eficacia del
proceso, y para evaluar donde la mejora
continua del proceso se puede hacer.
Nivel 4
Predecible
a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.
b)
Objetivos de medicin de
procesos se derivan de las necesidades
de informacin de proceso.
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
Mediante gestin de
continuidad del negocio
112
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
desempeo del proceso.
Mediante gestin de
continuidad del negocio
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin
de vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo
del proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo
del proceso.
Como resultado de la completa
consecucin de este atributo:
PA 4.2 Control de
Procesos - Una medida en
el grado en que el proceso
a) Tcnicas de anlisis y de control
es gestionado
se determinan y aplican en su
cuantitativamente para
caso.
producir un proceso que
b)
Los lmites de control de la
es estable, capaz y
variacin
se establecen para la ejecucin
predecible dentro de
normal
del
proceso.
lmites definidos.
c)
Los datos de medicin se
analizan las causas especiales de
variacin.
PA 5.1 La innovacin de
Nivel 5
Optimizado procesos - Una medida en
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
No tiene
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
No tiene
113
a)
Objetivos de mejora de procesos
para el proceso se definen de apoyo de
los objetivos de negocio relevantes.
b) Los datos apropiados son analizados
para identificar las causas comunes de
las variaciones en el rendimiento del
proceso.
c)
Los datos apropiados son
analizados para identificar las
oportunidades de mejores prcticas y la
innovacin.
d)
Se identifican oportunidades de
mejora, derivados de las nuevas
tecnologas y conceptos de proceso.
e)
Se ha establecido una estrategia
de implementacin para alcanzar los
objetivos de mejora de procesos.
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
Mediante gestin de
continuidad del negocio
Mediante gestin de
continuidad del negocio
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
Mediante gestin de
continuidad del negocio
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
114
6.5.
Nivel 0
Nivel 1
PA 1.1
F
DSS05
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
P
F
Nivel 4
PA
PA
4.1
4.2
P
L
Nivel 5
PA
PA
5.1
5.2
P
L
Parcialmente
Alcanzado
(15-50%)
Descripcin
DSS05-BP1
DSS05-BP3
DSS05-BP4
DSS05-BP5
DSS05-BP7
117
DSS05
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
propsito proceso.
Nivel 1
Realizado
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
118
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Mediante procedimientos
para auditar a los dispositivos
de defensa
PA 2.1 Gestin de
Rendimiento - Una
medida en el grado en
que se gestiona el
rendimiento del proceso.
b) Se organiz y se control el
rendimiento del proceso.
c)
Rendimiento del proceso se ajusta
para satisfacer planes.
119
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante poltica de gestin
de seguridad de la
informacin
Mediante procedimientos
para la notificacin de
incidentes
Mediante respaldo de la
informacin
Mediante respaldo de la
informacin
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario para
cumplir con los requisitos.
Como resultado de la completa consecucin
de este atributo:
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser incorporados
en un proceso definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
c)
Competencias y roles necesarios
para llevar a cabo un proceso se identifican
como parte del proceso estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar un
proceso se identifican como parte del
proceso estndar.
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin del
proceso se determinan.
Nivel 3
Establecido
PA 3.2 Implementacin
de procesos - Una
medida en el grado en
que el proceso estndar
se despliega con eficacia
como un proceso
definido para alcanzar
sus resultados del
proceso.
120
Mediante procedimientos
para auditar a los dispositivos
de defensa
No tiene
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante procedimientos
para auditar a los dispositivos
de defensa
c)
El personal que realiza el proceso
definido son competentes sobre la base de
una educacin adecuada, capacitacin y
experiencia.
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el medio
ambiente de trabajo para llevar a cabo el
proceso definido se ponen a disposicin,
archivarse y conservarse.
Nivel 4
Predecible
PA 4.1 Proceso de
medida - Una medida en
el grado en que se
utilizan los resultados de
las mediciones para
asegurar que el
rendimiento del proceso
es compatible con el
logro de los objetivos de
rendimiento de los
procesos pertinentes en
apoyo de los objetivos de
negocio definidos.
f)
Los datos apropiados se recogen y
se analizan como una base para entender el
comportamiento, y para demostrar la
idoneidad y la eficacia del proceso, y para
evaluar donde la mejora continua del
proceso se puede hacer.
Como resultado de la completa consecucin
de este atributo:
No tiene
No tiene
a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.
Mediante procedimientos
para auditar a los dispositivos
de defensa
b)
Objetivos de medicin de procesos
se derivan de las necesidades de
informacin de proceso.
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante procedimientos
para auditar a los dispositivos
de defensa
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
desempeo del proceso.
121
PA 4.2 Control de
Procesos - Una medida
en el grado en que el
proceso es gestionado
cuantitativamente para
producir un proceso que
es estable, capaz y
predecible dentro de
lmites definidos.
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin de
vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo del
proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo del
proceso.
Como resultado de la completa
consecucin de este atributo:
a)
b)
Los lmites de control de la
variacin se establecen para la ejecucin
normal del proceso.
c)
Los datos de medicin se analizan
las causas especiales de variacin.
d) Se toman las acciones correctivas
para hacer frente a las causas especiales de
variacin.
e) Los lmites de control se restablecen
(cuando sea necesario) despus de la accin
correctiva.
PA 5.1 La innovacin de
procesos - Una medida
en el grado en que los
cambios en el proceso
son identificadas a partir
del anlisis de las causas
Nivel 5
comunes de la variacin
Optimizado en el rendimiento, ya
partir de las
investigaciones de
enfoques innovadores
para la definicin e
Mediante procedimientos
para auditar a los dispositivos
de defensa
No tiene
No tiene
c)
Los datos apropiados son
analizados para identificar las
oportunidades de mejores prcticas y la
innovacin.
122
implementacin del
proceso.
PA 5.2 Optimizacin de
procesos - Una medida
en el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
d)
Se identifican oportunidades de
mejora, derivados de las nuevas tecnologas
y conceptos de proceso.
e)
Se ha establecido una estrategia de
implementacin para alcanzar los objetivos
de mejora de procesos.
No tiene
123
6.6.
Nivel 0
Nivel 1
PA 1.1
F
BAI10
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
L
P
Nivel 5
PA
PA
5.1
5.2
L
P
Parcialmente
Alcanzado
(15-50%)
Descripcin
BAI10-BP1
BAI10-BP3
BAI10-BP4
BAI10-BP5
125
BAI10
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
Nivel 1
propsito proceso.
Realizado
PA 2.1 Gestin de
Rendimiento - Una
medida en el grado en
que se gestiona el
rendimiento del proceso.
Nivel 2
Gestionado
Proporcionar informacin suficiente acerca de los activos de servicios para que el servicio pueda ser gestionado con eficacia, evaluar
el impacto de los cambios y hacer frente a las incidencias del servicio.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Mediante repositorio
126
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante modelo de
configuracin
f)
Interfaces entre las partes
involucradas se gestionan para garantizar
tanto la comunicacin efectiva y clara
asignacin de responsabilidades.
PA 2.2 Administracin del
Producto de Trabajo Una medida en el grado
en que los productos de
trabajo producidos por el
proceso se gestionan
adecuadamente. Los
productos de trabajo (o
salidas del proceso) se
definen y controlan.
Nivel 3
Establecido
Mediante administracin de
configuracin
a)
Requisitos para los productos de
trabajo del proceso estn definidos.
Mediante administracin de
configuracin
b)
Requisitos para la documentacin
y el control de los productos de trabajo
estn definidos.
Mediante administracin de
configuracin
c)
Los productos de trabajo estn
debidamente identificados, documentados
y controlados.
Mediante administracin de
configuracin
Mediante administracin de
configuracin
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario para
cumplir con los requisitos.
Como resultado de la completa
consecucin de este atributo:
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
c)
Competencias y roles necesarios
para llevar a cabo un proceso se
identifican como parte del proceso
estndar.
127
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante administracin de
configuracin
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar
un proceso se identifican como parte del
proceso estndar.
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin del
proceso se determinan.
PA 3.2 Implementacin
de procesos - Una medida
en el grado en que el
proceso estndar se
despliega con eficacia
como un proceso definido
para alcanzar sus
resultados del proceso.
Mediante modelo de
configuracin
Mediante administracin de
configuracin
a)
Un proceso definido se
implementa sobre la base de un proceso
estndar seleccionado apropiadamente y /
o adaptado.
b)
Roles necesarios,
responsabilidades y autoridades para
llevar a cabo el proceso definido se
asignan y se comunican.
c)
El personal que realiza el proceso
definido son competentes sobre la base de
una educacin adecuada, capacitacin y
experiencia.
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se recogen y
se analizan como una base para entender
el comportamiento, y para demostrar la
idoneidad y la eficacia del proceso, y para
evaluar donde la mejora continua del
proceso se puede hacer.
128
No tiene
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante modelo de
configuracin
Mediante modelo de
configuracin
Mediante estado de
configuracin
Nivel 4
Predecible
a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.
Mediante administracin de
configuracin
b)
Objetivos de medicin de
procesos se derivan de las necesidades de
informacin de proceso.
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante estado de
configuracin
Mediante estado de
configuracin
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
desempeo del proceso.
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin
de vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo del
proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo del
proceso.
PA 4.2 Control de
Como resultado de la completa
Procesos - Una medida en consecucin de este atributo:
el grado en que el
a) Tcnicas de anlisis y de control se
proceso es gestionado
determinan y aplican en su caso.
cuantitativamente para
b)
Los lmites de control de la
producir un proceso que
variacin se establecen para la ejecucin
es estable, capaz y
normal del proceso.
predecible dentro de
c)
Los datos de medicin se analizan
lmites definidos.
las causas especiales de variacin.
129
Mediante administracin de
configuracin
Mediante administracin de
configuracin
Mediante estado de
configuracin
PA 5.1 La innovacin de
procesos - Una medida en
el grado en que los
cambios en el proceso
son identificadas a partir
del anlisis de las causas
comunes de la variacin
en el rendimiento, ya
partir de las
investigaciones de
enfoques innovadores
para la definicin e
implementacin del
proceso.
Nivel 5
Optimizado
Mediante estado de
configuracin
Mediante administracin de
configuracin
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
Mediante administracin de
configuracin
Mediante estado de
configuracin
Mediante estado de
configuracin
Mediante administracin de
configuracin
Mediante administracin de
configuracin
b)
La aplicacin de todos los cambios
acordados se las arregl para asegurar que
cualquier interrupcin en el desempeo de
los procesos se entiende y se acte en
consecuencia.
130
Mediante administracin de
configuracin
Mediante administracin de
configuracin
c)
En base a los resultados reales, la
eficacia del cambio de proceso se evala
con los requisitos de los productos
definidos y objetivos del proceso para
determinar si los resultados se deben a
causas comunes o especiales.
Mediante estado de
configuracin
131
Nivel 0
Nivel 1
PA 1.1
F
DSS03
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
L
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
L
P
Parcialmente
Alcanzado
(15-50%)
Descripcin
DSS03-BP1
132
DSS03-BP2
DSS03-BP3
DSS03-BP4
DSS03-BP5
DSS03
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
Nivel 1
propsito proceso.
Realizado
PA 2.1 Gestin de
Rendimiento - Una
medida en el grado en
que se gestiona el
rendimiento del proceso.
Nivel 2
Gestionado
Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costos y mejorar la comodidad y satisfaccin del cliente
mediante la reduccin del nmero de problemas de funcionamiento.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Mediante resolucin de
incidentes
Mediante registro y
clasificacin de problemas
b) Se organiz y se control el
rendimiento del proceso.
Mediante resolucin de
incidentes
c)
Rendimiento del proceso se ajusta
para satisfacer planes.
Mediante registro y
clasificacin de problemas
d) Las responsabilidades y
autoridades para llevar a cabo el proceso
estn definidos, asignados y comunicados.
Mediante registro y
clasificacin de problemas
134
P
F
f)
Interfaces entre las partes
involucradas se gestionan para garantizar
tanto la comunicacin efectiva y clara
asignacin de responsabilidades.
PA 2.2 Administracin del
Producto de Trabajo Una medida en el grado
en que los productos de
trabajo producidos por el
proceso se gestionan
adecuadamente. Los
productos de trabajo (o
salidas del proceso) se
definen y controlan.
Mediante registro y
clasificacin de problemas
a)
Requisitos para los productos de
trabajo del proceso estn definidos.
Mediante registro y
clasificacin de problemas
b)
Requisitos para la documentacin
y el control de los productos de trabajo
estn definidos.
Mediante registro y
clasificacin de problemas
c)
Los productos de trabajo estn
debidamente identificados, documentados
y controlados.
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario para
cumplir con los requisitos.
Como resultado de la completa
consecucin de este atributo:
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.
c)
Competencias y roles necesarios
para llevar a cabo un proceso se identifican
como parte del proceso estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar un
proceso se identifican como parte del
proceso estndar.
135
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin del
proceso se determinan.
PA 3.2 Implementacin
de procesos - Una medida
en el grado en que el
proceso estndar se
despliega con eficacia
como un proceso definido
para alcanzar sus
resultados del proceso.
Nivel 4
Predecible
Mediante registro y
clasificacin de problemas
a)
Un proceso definido se
implementa sobre la base de un proceso
estndar seleccionado apropiadamente y /
o adaptado.
b)
Roles necesarios,
responsabilidades y autoridades para llevar
a cabo el proceso definido se asignan y se
comunican.
c)
El personal que realiza el proceso
definido son competentes sobre la base de
una educacin adecuada, capacitacin y
experiencia.
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
asignados y utilizados.
e)
Infraestructura necesaria y el
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se recogen y
se analizan como una base para entender
el comportamiento, y para demostrar la
idoneidad y la eficacia del proceso, y para
evaluar donde la mejora continua del
proceso se puede hacer.
PA 4.1 Proceso de medida Como resultado de la completa
- Una medida en el grado consecucin de este atributo:
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
136
a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.
b)
Objetivos de medicin de procesos
se derivan de las necesidades de
informacin de proceso.
Mediante acciones y
comunicaciones de respuesta
de incidentes
Mediante acciones y
comunicaciones de respuesta
de incidentes
Mediante resolucin de
incidentes
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
desempeo del proceso.
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin
de vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo del
proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo del
proceso.
PA 4.2 Control de
Como resultado de la completa
Procesos - Una medida en consecucin de este atributo:
el grado en que el
a)Tcnicas de anlisis y de control se
proceso es gestionado
determinan y aplican en su caso.
cuantitativamente para
b)
Los lmites de control de la
producir un proceso que
variacin se establecen para la ejecucin
es estable, capaz y
normal del proceso.
predecible dentro de
c)
Los datos de medicin se analizan
lmites definidos.
las causas especiales de variacin.
d) Se toman las acciones correctivas
para hacer frente a las causas especiales de
variacin.
137
Mediante registro y
clasificacin de problemas
No tiene
Mediante acciones y
comunicaciones de respuesta
de incidentes
L
N
PA 5.2 Optimizacin de
procesos - Una medida en
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.
No tiene
Mediante acciones y
comunicaciones de respuesta
de incidentes
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
Mediante registro y
clasificacin de problemas
Mediante acciones y
comunicaciones de respuesta
de incidentes
b)
La aplicacin de todos los cambios
acordados se las arregl para asegurar que
cualquier interrupcin en el desempeo de
los procesos se entiende y se acte en
consecuencia.
138
Mediante acciones y
comunicaciones de respuesta
de incidentes
Mediante acciones y
comunicaciones de respuesta
de incidentes
c)
En base a los resultados reales, la
eficacia del cambio de proceso se evala
con los requisitos de los productos
definidos y objetivos del proceso para
determinar si los resultados se deben a
causas comunes o especiales.
139
CAPTULO 7
7. CONCLUSIONES Y RECOMENDACIONES
7.1.
Conclusiones
De acuerdo a la priorizacin de COBIT el calificador global de procesos de
entregar y dar soporte es el ms alto, sobresale temas como administracin de la
continuidad, identificacin y clasificacin de problemas, establecer y mantener un
repositorio de configuracin completo y preciso, administracin de acceso y
control de flujo de la informacin desde y hacia las redes, en segundo plano seria
de los procesos de adquirir e implementar, posee planes y metodologas bastante
adecuados en la adquirir, implementar y mantener la infraestructura tecnolgica,
y con poca participacin la de planear y organizar con la administracin de
riesgos.
Con este estudio se alineado una serie de directrices las que nos permite ayudar
con el negocio de TI, es decir gestionar los riesgos, cambios, continuidad del
servicio, seguridad, configuraciones, problemas e identificar las soluciones, y as
poder evaluar a cada uno, travs del nivel de madurez.
Los stakeholders son beneficiados en el desarrollo del proyecto, ya que este marco
de referencia les brinda soporte a los individuos en los temas de nivel de seguridad
y control para proteger los recursos (infraestructura e informacin).
140
7.2.
Recomendaciones
Hacer uso de este presente trabajo para tomarlo de referencia en futuras mejoras
en TI.
Incluir varios marcos metodolgicos que permitan tener una visin ms amplia de
la estructura de una auditoria y los procesos a seguir, con lo cual se asegura un
resultado ptimo de la misma.
Guas con Procesos claros y con su debida estructura, con el fin de que todo quede
debidamente sustentado.
Evaluar peridicamente con el fin de medir el avance de cada uno de los procesos
estudiados en este trabajo.
141
BIBLIOGRAFA
143
ANEXOS
Anexo A - GLORARIO
TI.- Tecnologa de la Informacin.
COBIT.- Objetivos de Control para Informacin y Tecnologas Relacionadas.
ITIL.- Biblioteca de Infraestructura de Tecnologas de Informacin.
ISO.- Organizacin Internacional de Normalizacin.
Contrasea.- Palabra o clave privada utilizada para confirmar una identidad en un
sistema remoto que se utiliza para que una persona no pueda usurpar la identidad de otra.
Virus.- Es un pequeo programa escrito intencionalmente para instalarse en el
computador de un usuario sin el conocimiento o el permiso de este.
Malware.- Es un tipo de software que tiene como objetivo infiltrarse o daar una
computadora o sistema de informacin sin el consentimiento de su propietario.
Software.- Equipamiento lgico o soporte lgico de un sistema informtico, que
comprende el conjunto de los componentes lgicos necesarios que hacen posible la
realizacin de tareas especficas, en contraposicin a los componentes fsicos que son
llamados hardware.
Hardware.- Conjunto de dispositivos de los que consiste un sistema. Comprende
componentes tales como el teclado, el Mouse, las unidades de disco y el monitor.
Stakeholders.- Se los define como todos los actores sociales que, producto de las
decisiones y objetivos de una empresa se pueden ver afectados, ya sea de forma positiva
o negativa.
Red.- Es un grupo de computadoras que comparten informacin a travs de tecnologa de
cable o inalmbrica.
LAN.- Red de rea Local.
144
Anexo B
FACULTAD DE INGENIERIA, CIENCIAS FISICAS Y MATEMATICA
ESCUELA DE CIENCIAS
145
tem
N
Rubro
Cantidad
Valor Unitario
Valor Rubro
$
RECURSOS HUMANOS
0,00
0,00
0,00
0,00
0,00
0,00
0,00
RECURSOS MATERIALES
Material de Escritorio:
* Resma de papel
4,00
20,00
160,00
160,00
* Cartucho a Color
25,00
25,00
300
0,02
6,00
* Internet
400
0,60
240,00
* Fotocopias de Libros
* Copias
Material Bibliogrfico :
300
0,02
6,00
0,00
0,00
15,00
90,00
547,00
OTROS
3
* Gastos varios
120,00
120,00
SUBTOTAL OTROS
120,00
TOTAL
667,00
IMPREVISTOS (5%)
TOTAL PRESUPUESTO
33,35
700,35
RESUMEN FINANCIAMIENTO
UCE
(ITEM 1)
EMPRESA
ALUMNO (ITEM 2+3)
$ 0,00
$ 997,80
146
Anexo C
MES
MES 1
MES 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
ACTIVIDAD / FECHA
Revisin Bibliogrfica
Seleccin y Formulacin del
Tema
Aspectos Generales
Planeacin estratgica
Ejecucin
Informe de la auditoria
CONCLUSIONES Y
RECOMENDACIONES
Revisin del Trabajo Borrador
Correccin del Informe
Defensa del Trabajo de Grado
147
MES 3
MES 4
MES 5
MES 6