Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DOCENTE:
ING. PATRICIA JIMBO
ASIGNATURA
AUDITORIA DE SISTEMAS INFORMÁTICOS II
PARALELO
CA 10 – 3
INTEGRANTES
ALMEIDA VERGARA DANIEL ADRIAN
PERIODO LECTIVO
ABRIL 2018 – AGOSTO 2018
M&M TRAVEL GROUP
1
MEDICIÓN DE LOS PROCESOS CRÍTICOS ......................................................... 57
MEDICIÓN DE LOS PROCESOS CRÍTICOS .......... Error! Bookmark not defined.
Dominio: Evaluar, Orientar y Supervisar ............................................................... 57
EDM05 Asegurar la Transparencia hacia las Partes Interesadas ........................... 57
MÉTRICAS ............................................................................................................ 57
ACTIVIDADES ..................................................................................................... 59
MATRIZ RACI ...................................................................................................... 60
FLUJOGRAMA ..................................................................................................... 61
NIVEL DE MADUREZ ......................................................................................... 62
OBSERVACIONES ............................................................................................... 62
RECOMENDACIONES ........................................................................................ 62
Dominio: Alinear, Planificar y Organizar .............................................................. 63
APO 09 GESTIONAR LOS ACUERDOS DE SERVICIO .................................. 63
MÉTRICAS ............................................................................................................ 63
ACTIVIDADES ..................................................................................................... 65
MATRIZ RACI ...................................................................................................... 66
FLUJOGRAMA ..................................................................................................... 68
NIVEL DE MADUREZ ......................................................................................... 69
OBSERVACIONES ............................................................................................... 69
RECOMENDACIONES ........................................................................................ 69
APO 10 GESTIONAR LOS PROVEEDORES .................................................... 70
MÉTRICAS ............................................................................................................ 70
ACTIVIDADES ..................................................................................................... 72
MATRIZ RACI ...................................................................................................... 73
FLUJOGRAMA ..................................................................................................... 75
NIVEL DE MADUREZ ......................................................................................... 75
OBSERVACIONES ............................................................................................... 76
RECOMENDACIONES ........................................................................................ 76
APO 12 GESTIONAR LOS RIESGOS ................................................................ 78
MÉTRICAS ............................................................................................................ 78
ACTIVIDADES ..................................................................................................... 80
MATRIZ RACI ...................................................................................................... 81
FLUJOGRAMA ..................................................................................................... 82
NIVEL DE MADUREZ ......................................................................................... 84
OBSERVACIONES ............................................................................................... 84
RECOMENDACIONES ........................................................................................ 85
ACTIVIDADES ..................................................................................................... 87
2
MATRIZ RACI ...................................................................................................... 87
FLUJOGRAMA ..................................................................................................... 89
NIVEL DE MADUREZ ......................................................................................... 90
OBSERVACIONES ............................................................................................... 90
RECOMENDACIONES ........................................................................................ 90
Dominio: Construcción, Adquisición e Implementación ....................................... 91
BAI 06 GESTIONAR LOS RIESGOS ................................................................. 91
MÉTRICAS ............................................................................................................ 91
ACTIVIDADES ..................................................................................................... 92
MATRIZ RACI ...................................................................................................... 93
FLUJOGRAMA ..................................................................................................... 94
NIVEL DE MADUREZ ......................................................................................... 95
OBSERVACIONES ............................................................................................... 95
RECOMENDACIONES ........................................................................................ 95
Dominio: Entregar, dar Servicio y Soporte ............................................................ 96
DSS 04 GESTIONAR LA CONTINUIDAD ........................................................ 96
MÉTRICAS ............................................................................................................ 96
ACTIVIDADES ..................................................................................................... 98
MATRIZ RACI .................................................................................................... 101
FLUJOGRAMA ................................................................................................... 103
NIVEL DE MADUREZ ....................................................................................... 104
OBSERVACIONES ............................................................................................. 104
RECOMENDACIONES ...................................................................................... 104
Dominio: Entregar, dar Servicio y Soporte .......................................................... 104
DSS 05 GESTIONAR LOS SERVICIOS DE SEGURIDAD ............................ 104
MÉTRICAS .......................................................................................................... 104
ACTIVIDADES ................................................................................................... 106
MATRIZ RACI .................................................................................................... 107
FLUJOGRAMA ................................................................................................... 108
NIVEL DE MADUREZ ....................................................................................... 109
OBSERVACIONES ............................................................................................. 109
RECOMENDACIONES ...................................................................................... 110
CONCLUSIÓN DEL INFORME ................................................................................. 111
3
INTRODUCCIÓN
La presente auditoría informática busca contribuir a mejorar la aportación de las TIC ´s,
mediante recomendaciones y planes de acción para mitigar los riesgos. Además, tiene por
objeto realizar una Auditoría de Tecnologías de la Información a la empresa M&M
TRAVEL y establecer el Nivel de Madurez en que se encuentra, para lo cual se utiliza el
modelo de capacidad de COBIT 5.O planteado por ISACA.
OBJETIVOS
GENERAL
ALCANCE DE LA AUDITORIA
La presente auditoría permitirá evaluar los riesgos de TI, y medir la capacidad de los
procesos críticos del departamento de TI en M&M Travel.
METODOLOGÍA DE COBIT
1
el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las
empresas. COBIT constantemente se actualiza y armoniza con otros estándares, por lo
que COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de
referencia general para el gobierno de TI que ayuda a comprender y administrar los
riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque
que se encuentra orientado al negocio brindan una visión completa de TI y de las
decisiones a tomar acerca de TI.
Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI
incluyen:
Mejor alineación, con base en su enfoque de negocios
Una visión, entendible para la gerencia, de lo que hace TI
Propiedad y responsabilidades claras, con base en su orientación a procesos
Aceptación general de terceros y reguladores
Entendimiento compartido entre todos los participantes, con base en un lenguaje
común
Cumplimiento de los requerimientos COSO para el ambiente de control de TI.
NATURALEZA DE LA EMPRESA
Desde entonces nuestro propósito ha sido brindar a nuestros clientes un servicio de alta
gama, ofreciéndoles asesoría integral para el desarrollo y asesoría de viajes turísticos,
vacacionales, de negocios o de solución, a las necesidades del público viajero.
La Empresa M&M TRAVEL, cuenta con un marco legal que sustenta su gestión
enmarcado en base a la Ordenanza No. 309, publicada en el Registro oficial No. 186 de
5 de mayo de 2010, mediante la cual se determina se creación y se establece su objeto
principal:
a) “Desarrollar la actividad turística del Distrito Metropolitano de Quito, tal como la
generación y reconversión de nuevos productos turísticos, adecuación de la
infraestructura turística, capacitación, formación y profesionalización en el sector
turístico, entre otras;
b) Promocionar el Distrito Metropolitano de Quito como destino turístico nacional e
internacional;
c) Coordinar las actividades del Fondo de Promoción y Desarrollo Turístico;
d) Fomentar la inversión en el sector turístico, a través de cualquier instrumento o
sistema;
2
e) Realizar investigaciones y estudios de la oferta y demanda turística y la
producción de instrumentos de planificación y gestión en el sector turístico;
f) Desarrollar, en el marco de la legislación vigente, rubros de negocios
relacionados, directa o indirectamente, con las actividades turísticas previstas en
la legislación ecuatoriana, en coordinación con otras empresas;
g) Prestar servicios públicos, a través de la infraestructura a su cargo, como participe
o integrador de la actividad de ferias, eventos y convenciones;
h) Prestar servicios públicos, relacionados con la gestión de Quito como destino
turístico en todos los ámbitos de la actividad turística
VISIÓN
MISIÓN
M&M TRAVEL; Somos la única plataforma turística en el mercado nacional que ofrece
servicios integrales de consolidación, mayoreo, turismo receptivo y tenemos la capacidad
del manejo tanto de pasajeros individuales como grupos. Nuestra tecnología de punta nos
permite estar a la vanguardia en entrega de reportes, pagos a clientes y proveedores y el
fiel cumplimiento de las leyes apegadas a nuestro negocio.
4
ESTRUCTURA
5
6
7
Departamento de TI
8
MAPA DE PROCESOS
9
FUNCIONES DE LOS DEPARTAMENTOS
10
2. Recepción de los cobros por ventas de
acuerdo a los comprobantes de pago.
3. Impresión de los manifiestos de pasajeros.
4. Realizar la liquidación de ventas del día
(cuadre de caja) Realizar las reservas de
asiento cuidando de solicitar todos los datos
necesarios.
5. Realizar los cambios, endosos,
postergaciones, devoluciones y/o cualquier
otro servicio que le solicite al cliente.
Realizar los reportes estadísticos que le
solicite la administración.
Departamento de TI
11
7. Apoyar directamente al Gerente de
Planificación y Desarrollo en la gestión del
Comité Informático.
8. Velar por la correcta utilización de los
sistemas de información con que cuenta la
empresa.
OBJETIVOS ESTRATÉGICOS
DEPARTAMENTO DE TI
PERSPECTI OBJETIVOS
VAS ESTRATÉGICOS
Mejorar la posición en
VAL Incrementar el índice de Incrementar el el ranking de ciudades
OR satisfacción y experiencia impacto económico sedes en
PÚBLI del turista en el destino del turismo en ecuador
Latinoamérica.
CO
APRENDIZ
AJE Y Mejorar el clima laboral
CRECIMIE
NTO
RESPONSABLES
12
Ing. Khaterine Collaguazo
Telecomunicaciones luis.vaca@mymtravel.com
Programador marcelo.narvaez@mymtravel.com
FUNCIONES TI
Gerente TI: Danilo Criollo
Planificar, diseñar, ejecutar y monitorear la estrategia de tecnologías de
información.
Supervisar y evaluar el alineamiento de los sistemas de información a los procesos
corporativos.
Participar en la elaboración de las estrategias de negocios.
Definir políticas y normas de seguridad de la información así como
procedimientos generales de seguridad física y lógica, tanto en lo que se refiere a
las tecnologías informáticas como a las comunicaciones.
Mantener la operatividad y disponibilidad de los sistemas de información y
servicios basados en Tecnologías de Información y Comunicaciones.
Emitir opinión técnica especializada en temas vinculados a la tecnología de la
información y comunicaciones.
Formular los Términos de Referencia para la adquisición de equipos, accesorios,
repuestos, insumos y demás elementos necesarios relacionados con el uso de
tecnologías de la información, así como la contratación de servicios conexos,
siendo responsable de emitir la conformidad técnica respectiva definiendo los
niveles de servicio (Service Level Agreement) acordes con las necesidades.
Asesorar y recomendar a la Alta Dirección en las soluciones tecnológicas,
propiciando la innovación de procesos y servicios.
Evaluar y proponer la infraestructura de hardware y software (identificación de
necesidades) más adecuada para atender las necesidades de la empresa.
Definir los Términos de Referencia para la contratación de personal
especializados en tecnologías de información y comunicaciones, así como
participar en su evaluación.
Propiciar la investigación, desarrollo y aplicación de nuevas tecnologías asociadas
con la mejora de capacidades y generación de ventajas competitivas para M&M
TRAVEL GROUP.
13
Elaborar y proponer acciones de capacitación orientadas al mejoramiento
continuo de las capacidades del personal de la empresa.
Elabora el Presupuesto anual de TI.
Proveer asistencia técnica a todas las áreas de la empresa.
Establecer planes de contingencia para las funciones críticas verificando
constantemente su buen funcionamiento.
Mantener un inventario actualizado de los recursos informáticos información
(ERP, Intranet, etc.)
Responsable de la Implementación de la mesa de servicios para centralizar y
controlar las solicitudes de requerimientos tecnológicos, seguimiento oportuno
para una óptima atención al usuario (definición de horarios de atención, criterios
de prioridades y medidores de desempeño).
Mantener las medidas necesarias para la continuidad del negocio, así como para
los procesos y procedimientos de recuperación de desastres.
14
Coordinar con la Gerencia TI, la implementación de proyectos, así la como la
aplicación y uso de las Tecnologías de la Información y Comunicaciones, y otros
de interés institucional.
Administrar, diseñar y supervisar las bases de datos de M&M TRAVEL GROUP,
asegurando la integridad física y lógica de éstas, a través de la generación
periódica de copias de respaldo (Back Up).
Implementar las políticas de seguridad, respaldo de datos y para lograr la
seguridad informática de M&M TRAVEL GROUP.
Formular el Plan Anual de Mantenimiento y Desarrollo de los Sistemas de
Información y comunicaciones.
15
Cumple con las normas, lineamientos y estándares establecidos por la unidad para
el desarrollo de programas de computación.
Mantiene en orden equipo y sitio de trabajo, reportando cualquier anomalía.
Elabora informes periódicos de las actividades realizadas.
Realiza cualquier otra tarea afín que le sea asignada por parte de Gerente TI
Danilo Criollo.
16
OBJETIVOS ESTRATÉGICOS DE TI
17
EVALUACIÓN DE ACTIVIDADES
1. CARACTERIZACIÓN DE LA EMPRESA
18
RESPONSABLES SI
UBICACIÓN SI
ESTADO SI
FECHAS DE INGRESO NO
TOTAL EQUIPOS POR SI
DEPARTAMENTOS
20
7. MEDICIÓN DE SATISFACCIÓN AL CLIENTE
Para medir la satisfacción de las necesidades del cliente se determinó la siguiente muestra
para la aplicación del cuestionario, teniendo en cuenta que los 109 empleados que
conforman la empresa:
𝑷∗𝑸
𝒏=
𝒆𝟐 𝑷∗𝑸
𝟐 + 𝑵
𝒛
𝟐𝟓 ∗ 𝟕𝟓
𝒏=
𝟓𝟐 𝟐𝟓 ∗ 𝟕𝟓
+ 𝟏𝟎𝟗
𝟏. 𝟗𝟔𝟐
𝒏 = 𝟖𝟒
TABULACIÓN DE RESULTADOS
SI 26
NO 58
TOTAL 84
70
60
50
40
30
20
10
21
0
SI NO
Conclusión:
Se puede observar que no existe creación de valor dentro de la organización para el uso de las
TIC's, por lo cual se debe realizar monitoreo y aplicaciones para fomentar el cambio.
SI 34
NO 50
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Los procesos que se están llevando a cabo por el departamento de TI, no están cumpliendo las
expectativas ni cubriendo las necesidades de la organización.
SI 25
22
NO 59
TOTAL 84
70
60
50
40
30
20
10
0
SI NO
Conclusión:
La empresa está dedicando tiempo a la formación del personal en un 30%, lo cual no es bueno, ya
que todos manejan este tipo de información.
PRUEBAS 43
PROYECTOS 23
PROGRAMAS 18
TOTAL 84
50
45
40
35
30
25
20
15
10
23
5
0
PRUEBAS PROYECTOS PROGRAMAS
Conclusión:
INNOVACIÓN 44
SOPORTE Y MANTENIMIENTO 40
TOTAL 84
45
44
43
42
41
40
39
38
INNOVACIÓN SOPORTE Y MANTENIMIENTO
Conclusión:
24
6. De las siguientes opciones, ¿cómo puede construir y estructurar mejor el departamento
de TI?
PERSONAL ESPECIALIZADO 48
CAMBIO DE HARDWARE 12
ASISTENCIA DE SOFTWARE 24
TOTAL 84
60
50
40
30
20
10
0
PERSONAL ESPECIALIZADO CAMBIO DE HARDWARE ASISTENCIA DE SOFTWARE
Conclusión:
Para una mejor estructura del departamento de TI se establece mediante las encuestas que es
realmente necesario la capacitación constante del personal, para que así el departamento brinde
mejores resultados.
1-3 5
4-6 13
7 - 10 66
TOTAL 84
70
60
50
25
40
30
Conclusión:
8. ¿Qué tan bien están siendo gestionados los acuerdos de tercerización de TI?
MUY BIEN 17
REGULAR 23
MALO 44
TOTAL 84
50
40
30
20
10
0
MUY BIEN REGULAR MALO
Conclusión:
26
Los acuerdos de tercerización del departamento no están gestionándose de manera
adecuada, puesto que existen inconformidades entre ambas partes, para lo cual se deberá
determinar soluciones.
ACCESOS RESTRINGIDOS 34
ACEESOS SEGÚN PERFILES Y ROLES 50
TOTAL 84
60
50
40
30
20
10
0
ACCESOS RESTRINGIDOS ACEESOS SEGÚN PERFILES Y ROLES
Conclusión:
Para el control de la información, se han puesto como medidas los accesos restringidos para
el personal; y también que se habiliten al uso del sistema en cuantos accesos según perfiles
y roles.
10. ¿Se realiza con frecuencia evaluaciones de perfil al proveedor del software?
SI 21
NO 63
TOTAL 84
70
60
27
50
40
Conclusión:
Como cláusula dentro del contrato a la adquisición de software se detalla que se debe realizar 4
evaluaciones de perfil al proveedor, de las cuales como se puede observar se ha realizado
únicamente una evaluación, quedando como resultado que el 25% de este proceso se ha
cumplido de manera eficiente; esto se considera un riesgo para la organización.
SI 46
NO 38
TOTAL 84
70
60
50
40
30
20
10
0
SI NO
28
Conclusión:
No se están llevando a cabo planes de prevención para la descomposición de los equipos
dentro del departamento de TI.
PRESUPUESTOS 76
PROFORMAS 8
TOTAL 84
80
70
60
50
40
30
20
10
0
PRESUPUESTOS PROFORMAS
Conclusión:
Se elaborar los presupuestos para un necesario coste del departamento de TI, por último, las
proformas no son tan utilizadas.
29
45
44
43
42
41
40
39
38
GESTIÓN DE CALIDAD DE PROCESOS ESTRUCTURAR PLANES A TRAVÉS DE LA
DGIT
Conclusión:
Los recursos del departamento de TI van destinados estrictamente a la gestión de calidad de procesos
para así mejorar y continuar con la innovación de los procesos y brindar un mejor servicio.
PLANES DE CONTINGENCIA 75
PROTOCOLO DE EMERGENCIA 9
TOTAL 84
80
70
60
50
40
30
20
10
0
PLANES DE CONTINGENCIA PROTOCOLO DE EMERGENCIA
30
Conclusión:
SI 36
NO 48
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Se determina que han existido 36 reclamos en el sistema dentro del periodo. Lo cual es un porcentaje
considerable para una completa revisión al sistema.
SI 14
NO 36
TOTAL 50
31
40
35
30
25
20
15
10
0
SI NO
Conclusión:
80
70
60
50
40
30
32
20
10
0
Conclusión:
Para tener personal competente y capacitado dentro del departamento de TI, es necesario llevar
a cabo evaluaciones de habilidades y competencias; y, también conveniente realizar aplicaciones
de estándares de rendimiento y productividad.
SI 35
NO 49
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
33
SI 28
NO 56
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
MUY CRÍTICA 78
POCO CRÍTICO 6
TOTAL 84
90
80
70
60
50
40
34
30
20
10
Conclusión:
20. ¿Se realiza reparaciones en los cortafuegos que tienen alguna deformidad?
SI 50
NO 34
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Se reparan los cortafuegos en un 60%, los cuales serán de beneficio para la organización; sin esto, no se
va a poder continuar con las operaciones.
35
21. ¿Cuáles son los requerimientos de los procesos del negocio?
DE USUARIO 34
DE SISTEMA 23
FUNCIONALES 18
NO FUNCIONALES 9
TOTAL 84
40
35
30
25
20
15
10
0
DE USUARIO DE SISTEMA FUNCIONALES NO FUNCIONALES
Conclusión:
Dentro de la organización existen 4 tipos de requerimientos para los procesos que se manejan
dentro de la organización, los cuales son manejados en mayor porcentaje, los de usuario, seguido
de los de sistema y por último los No Funcionales.
SI 28
NO 56
TOTAL 84
60
50 36
40
Conclusión:
SI 28
NO 56
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
37
No se obtiene suficiente respaldo del departamento de TI para el cumplimiento
de la normativa dentro de la organización.
RESPUEST PONDERACIÓ
Nª Pregunta A N OBSERVACIÓN
SI NO N/A P C
¿La empresa
cuenta con un
1 x 10 9
Departamento
de Informática?
¿Se efectúan
2 respaldos de la x 10 7
información?
¿Se ejerce
No existe persona que
control de
3 x 7 3 realice controles de
Sistema
regularidad
Informático?
¿Cuenta el
sistema con
4 x 10 8
claves de
seguridad?
No hay el personal en
la empresa para
¿Se realiza un
realizar el
adecuado
mantenimiento, según
5 mantenimiento x 10 2
lo informado se debe
al Sistema
llamar a la empresa
Informático?
que proporcionó el
sistema contable
¿El sistema
puede ser
actualizado de
6 x 10 8
acuerdo a los
avances que se
producen?
¿El sistema
Cuenta con el personal
7 cuenta con x 10 7
de la empresa que
personal técnico
38
que ayude proporciona el sistema
cuando se contable
produzcan
inconvenientes?
¿Existe un No se tiene
instructivo para conocimiento de algún
8 el uso del x 8 5 instructivo por parte
Software del personal que
Informático? maneja el sistema
¿Existen
políticas para la
9 seguridad del x 10 7
Sistema
Informático?
¿El sistema El sistema y la licencia
informático fueron proporcionados
10 x 10 10
cuenta con por la empresa que la
licencia? creó
¿Existe un
organigrama con
11 la estructura del x 7 7
área de
Informática?
TOTAL EVALUACIÓN 102 73
NIVEL DE CONFIANZA
(Calificación Total *100)
NC=
Ponderación Total
73 * 100
NC=
102
RIESGO DE CONTROL
39
RC= 100 - 71,57
40
EVALUACIÓN COBIT
OBJETIVOS
OBJETIVOS DE LA EMPRESA ESTRATÉGICOS OBJETIVOS DE TI
Incrementar el índice de
autonomía financiera
Nuestro objetivo general para nuestra
agencia es diseñar, organizar y distribuir los Incrementar el impacto Gestionar la información
servicios turísticos y encontrar una económico del turismo en institucional para la generación
respuesta adecuada para las necesidades de ecuador de datos duros que aporten a la
los clientes y proponer unos servicios de Mejorar el clima laboral toma de decisiones
mayor calidad, efectividad y flexibilidad
Incrementar la eficiencia
organizacional
Canalizar estas grandes Mejorar la posición en el ranking
corrientes turísticas hacia los destinos más de ciudades sedes en
solicitados del momento. Latinoamérica
41
LEVANTAMIENTO DE PROCESOS
PROCESOS DE NEGOCIOS
PROCESOS DE TI
42
así como la emisión de reportes para el registro contable de Tesorería
los ingresos. Dirección Financiera
3 OTORGAMIENTO DE Verifica las condiciones de los clientes previo la concesión de Autoridades Personal
CRÉDITOS créditos Administrativo M&M
TRAVEL
4 COTIZACIÓN Elaboración y envíos de propuestas de servicios Comunidad en General
5 TALENTO M&M TRAVEL Hoja de Vida, Re categorización, Jubilados, Contratación, Dirección de Talento
Plan de Trabajo. Humano
Investigadores
Administrativos
Autoridades
6 REEMBOLSOS Gestiona devoluciones y compensaciones a los clientes Personal Administrativo
M&M TRAVEL
7 CONVENIOS M&M Sistema Web para el Registro y Control de Convenios Dirección de Relaciones
TRAVEL agrupados por convenios marco y específicos. Permite el Institucionales
seguimiento y emite reportes.
8 ESPACIOS M&M TRAVEL Sistema Web que gestiona los espacios físicos de la Dirección de Relaciones
institución, alquiler, disponibilidad, asignación de horarios y Institucionales
entrega de reportes de actividades en las diferentes fechas
que se ocuparon las instalaciones.
8 ESPACIOS M&M TRAVEL Sistema Web que gestiona los espacios físicos de la Dirección de Relaciones
institución, alquiler, disponibilidad, asignación de horarios y Institucionales
entrega de reportes de actividades en las diferentes fechas
que se ocuparon las instalaciones.
9 PORTAL M&M TRAVEL Y Es un servicio del sitio oficial de la M&M TRAVEL. Portal para Comunidad en General
SITIOS WEB publicación y difusión de información oficial de la institución.
Cuenta con los siguientes servicios: publicación de noticias,
eventos, documentación oficial, estructura institucional,
servicios internos y externos. Los sitios WEB brindan un
servicio de hospedaje y publicación WEB para unidades,
departamentos facultades y gremios miembros de la
comunidad politécnica.
10 GENERACIÓN DE Este servicio consiste en atender los requerimientos de los Comunidad en General
INFORMACIÓN usuarios internos y de los organismos externos respecto de
la información estadística para apoyo a la toma de
GERENCIAL decisiones, así como información requerida por organismos
externos.
11 SOPORTE A EQUIPOS Este servicio está orientado a la ejecución de: Personal Administrativo
INFORMÁTICOS Mantenimientos preventivo y correctivo de equipos M&M TRAVEL
informáticos, configuración y la instalación de equipos
informáticos.
12 DESBLOQUEO DE UN Habilita las funciones y actividades de un usuario Personal M&M TRAVEL
USUARIO
13 GESTIÓN DE Consiste en mantener el buen funcionamiento y Personal Administrativo
SOFTWARE operatividad del software que posee la institución. M&M TRAVEL
43
16 CREACIÓN DE Consiste en la asignación de usuarios a los sistemas Personal Administrativo
USUARIO de TI M&M TRAVEL
18 CORREO Este servicio permite que el usuario final posea un Comunidad en General
ELECTRÓNICO buzón de correo electrónico para el envío y
recepción de comunicación institucional e inter-
institucional.
Comprende la creación de las cuentas de correo,
restablecimiento de credenciales y configuración
de la cuenta de correo.
19 ACCESO A INTERNET Este servicio permitirá tener acceso a la red de Comunidad en General
datos institucional, acceso a los recursos y servicios
informáticos basados en red y acceso a navegación
de Internet.
20 VIDEOCONFERENCIA Facilita la comunicación virtual entre los Personal Administrativo
funcionarios de la M&M TRAVEL con medios M&M TRAVEL
externos.
21 TELEFONÍA FIJA Cubre la asistencia en requerimientos de: instalación de nueva Personal Administrativo
terminal telefónica, revisión de terminal defectuosa, acceso y M&M TRAVEL
recepción de llamadas. *Dependiendo de la
disponibilidad
22 CABLEADO Suministra el tendido de cables de par trenzado Asociaciones y
Personal Administrativo
ESTRUCTURADO con el propósito de implantar una red de área M&M TRAVEL
CERTIFICADO local; comprende la instalación de cableado
estructurado, readecuación de puntos de red,
peinado de cables, certificación de puntos de red,
reparación de puntos de red, instalación de
equipos de comunicación.
23 APOYO Son servicios adicionales que presta la DGIP, entre Personal Administrativo
TECNOLÓGICO los cuales anotamos; Elaboración, verificación y M&M TRAVEL
convalidación de especificaciones técnicas
informáticas, informes técnicos, aplicaciones
M&M TRAVEL.
24 AUTOMATIZACIÓN Servicio orientado a gestionar la automatización Unidades
DE PROCESOS de los procesos mejorados y autorizados por la Administrativas
máxima autoridad en una herramienta informática
o herramienta BPMS.
25 OPTIMIZACIÓN DE Servicio orientado a: Unidades
PROCESOS Realizar el levantamiento y diseño de procesos, el Administrativas
análisis, mejoramiento y estandarización de
procesos, diagramación, validación y
documentación de procesos mejorados.
26 ALOJAMIENTO DE Este servicio permite que el usuario Institucional Comunidad en General
APLICACIONES tenga acceso a la infraestructura de TI, para alojar
aplicativos institucionales como sistemas
informáticos, portales web, etc.
44
27 DIRECCIONAMIENTO Este servicio permite que equipos de la red Comunidad en General
IP, DOMINIO Y Institucional, puedan contar con nombre de
PUERTOS dominio para brindar servicios de TI internos (Ip
privada) o externos (Ip pública).
Para esto el usuario deberá solicitar la apertura de
los puertos requeridos para brinda el servicio de TI,
o consumir servicios de un tercero.
28 SEGURIDAD Mantener el impacto y ocurrencia de los incidentes Unidades
INFORMÁTICA de la seguridad de la información dentro de los Administrativas
niveles de apetito de riesgo de la empresa
METAS DE TI DE COBIT 5
Gestionar la Diseñar implementar y
Objetivos de TI información administrar soluciones de
institucional innovación tecnológica que
para la permitan apoyar las actividades
generación de logísticas, administrativas, de
datos duros que investigación y relación con el
Dimensiones
Meta relacionada con las TI aporten a la medio externo de la compañía,
del CMI toma de a fin de cumplir los objetivos
decisiones estratégicos institucionales.
Alineamiento de TI y la
1 S S
estrategia de negocio
Cumplimiento y soporte de la
TI al cumplimiento del
2 S S
negocio de las leyes y
regulaciones externas
Compromiso de la dirección
3 ejecutiva para tomar P P
Financiera
decisiones relacionadas con TI
Riesgos de negocio
4 relacionados con las TI S S
gestionados
Realización de beneficios del
portafolio de Inversiones y
5 P P
Servicios relacionados con las
TI
45
Transparencia de los costes,
6 P P
beneficios y riesgos de las TI
Entrega de servicios de TI de
7 acuerdo a los requisitos P S
del negocio
Cliente
Uso adecuado de aplicaciones,
8 información y soluciones S S
tecnológicas
9 Agilidad de las TI S P
Seguridad de la información,
10 infraestructura de S S
procesamiento y aplicaciones
Optimización de activos,
11 P S
recursos y capacidades de las TI
Capacitación y soporte de
procesos de negocio integrando
12 P P
aplicaciones y tecnología en
Interna procesos de negocio
Entrega de Programas que
proporcionen beneficios
13 a tiempo, dentro del S S
presupuesto y satisfaciendo los
requisitos y normas de calidad.
Disponibilidad de información
14 útil y relevante para la S S
toma de decisiones
46
MAPEO METAS TI COBIT- PROCESOS EMPRESA
47
MATRIZ DE RIESGO
PROBABILIDAD
PONDERACIÓN
P CRÍTICOS
PRIORIDAD
IMPACTO
Resultado
N° PROCESO DESCRIPCIÓN RIESGO
Elaboración y envíos de
propuestas de servicios incorrecta asignación
3 COTIZACIÓN 1 5 5 MENOR BAJA
de precios y servicios
48
Errores en la
Gestiona devoluciones y
5 REEMBOLSOS asignación de 2 5 10 MODERADO MEDIA
compensaciones a los clientes
compensaciones
49
Este servicio está orientado a la SOPORTE A EQUIPOS
ejecución de: Mantenimientos INFORMÁTICOS
Soporte técnico
SOPORTE A EQUIPOS preventivo y correctivo de equipos
10 incompleto, o mal 4 5 20 MAYOR ALTA
INFORMÁTICOS informáticos, configuración y la
enfocado al problema
instalación de equipos
informáticos.
Errores en
DESBLOQUEO DE UN Habilita las funciones y
11 habilitación de 1 2 2 MENOR BAJA
USUARIO actividades de un usuario
usuarios
50
Este servicio permite que el
usuario final posea un buzón de
falla en el envío de
17 CORREO ELECTRÓNICO correo electrónico para el envío y
mails
3 4 12 MODERADO MEDIA
recepción de comunicación
institucional e inter- institucional.
Este servicio permitirá tener ACCESO A INTERNET
acceso a la red de datos
falla en la
institucional, acceso a los recursos
18 ACCESO A INTERNET y servicios informáticos basados
conectividad de la 3 5 15 MAYOR BAJA
red
en red y acceso a navegación de
Internet.
Facilita la comunicación virtual
Fallas de imagen en
19 VIDEOCONFERENCIA entre los funcionarios de la M&M
la videoconferencia
3 4 12 MODERADO MEDIA
TRAVEL con medios externos.
Cubre la asistencia en
requerimientos de: instalación de Errores en las
20 TELEFONÍA FIJA nueva terminal telefónica, revisión terminales 3 3 9 MENOR BAJA
de terminal defectuosa, acceso y defectuosas
recepción de llamadas.
51
técnicos, aplicaciones M&M
TRAVEL.
52
Este servicio permite reducir las
amenazas y vulnerabilidades de
los bienes y servicios informáticos
de la M&M TRAVEL, a través de
SEGURIDAD SEGURIDAD
27 escaneos de seguridad para Fuga de información 4 5 20 MAYOR ALTA
INFORMÁTICA detectar vulnerabilidades y INFORMÁTICA
sugerencias de cómo corregir
potenciales riesgos presentados en
los servicios informáticos.
SCORE DE RIESGOS
IMPACTO
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO
PROBABILIDAD
1 2 3 4 5
1 RARO 0% A 20% 1 2 3 4 5
53
Evaluar, Orientar y
Supervisar
EDM04
EDM03
EDM02
EDM01
Asegurar
del riesgo
Beneficios
de Gobierno
de los recursos
Establecimiento
Procesos de COBIT 5
Asegurar la Entrega de
el
Asegurar la optimización
Asegurar la optimización
y
Mantenimiento del Marco
S
S
S
S
1 FACTURACIÓN
2 OTORGAMIENTO DE CRÉDITO
3 COTIZACIÓN
4 TALENTO M&M TRAVEL
MAPEO PROCESOS COBIT- PROCESOS ORGANIZACIÓN
5 REEMBOLSOS
6 CONVENIOS M&M TRAVEL
7 ESPACIOS M&M TRAVEL
PORTAL M&M TRAVEL Y SITIOS
8
WEB
9 GENERACIÓN DE INFORMACIÓN
GERENCIAL
10 SOPORTE A EQUIPOS
INFORMÁTICOS
11 DESBLOQUEO DE UN USUARIO
12 GESTIÓN DE SOFTWARE
13 DESVINCULACIÓN DE PERSONAL
14 PLAN DE CONTINGENCIA
15 CREACIÓN DE USUARIO
16 CREACIÓN DE AGENCIA
17 CORREO ELECTRÓNICO
18 ACCESO A INTERNET
19 VIDEOCONFERENCIA
20 TELEFONÍA FIJA
21 CABLEADO ESTRUCTURADO
CERTIFICADO
22 APOYO TECNOLÓGICO
23 AUTOMATIZACIÓN DE PROCESOS
MAPEO ENTRE LOS PROCESOS DE COBIT 5 Y LOS PROCESOS DE LA ORGANIZACIÓN
24 DISEÑO Y OPTIMIZACION DE
PROCESOS
25 ALOJAMIENTO DE APLICACIONES
Y PUERTOS
27 SEGURIDAD INFORMÁTICA
Asegurar la transparencia
EDM05 hacia las partes S P P P P P P P P P
autorizadas
Gestionar el marco de
APO01 S S S S S S S S S
gestión de TI
AP002 Gestionar la estrategia S S S S S S S S S
Gestionar la arquitectura
AP003 S S S S S S S S S
Alinear, Planificar, Organizar
empresarial
AP004 Gestionar la innovación S S S S S S S S S
AP005 Gestionar portafolio S S S S S S S S S
Gestionar el presupuesto
AP006 S S S S S S S S S
y costes
Gestionar los recursos
AP007 S S S S S S S S S
humanos
AP008 Gestionar las relaciones S S S S S S S S S
Gestionar los acuerdos de
AP009 S P P P P P P S P P S
servicios
AP010 Gestionar los proveedores P P P P P P P P P P P P P P P PP P S S S S S S S S
AP011 Gestionar la calidad S S S S S S S S S
AP012 Gestionar el riesgo S S S S S S S S S P S S S S S S S S S S S S S S S S P
AP013 Gestionar la seguridad S P P S S S S S S S S P
Construcción, Adquisición
Gestionar la definición de
BAI02 S S S S S S S S S S
requisitos
Gestionar la
identificación y
BAI03 S S S S S S S S S S
construcción de
soluciones
Gestionar la
BAI04 disponibilidad y S S S S S S S S S S
capacidad
55
Gestionar la introducción
BAI05 S S S S S S S S S S
de cambios organizativos
BAI06 Gestionar los cambios S P P P P S S S S P S S P
Gestionar la aceptación
BAI07 S S S S S S S S S
del cambio y la transición
Gestionar el
BAI08 S S S S S S S S S
conocimiento
BAI09 Gestionar los activos S S S S S S S S S
Gestionar la
BAI10 S S S S S S S S S
configuración
Supervisión, Evaluación Entregar, dar Servicio y
conformidad
Supervisar, evaluar y
MEA02 valorar el sistema de S S S S S S S S S
control interno
Supervisar, evaluar y
valorar la conformidad
MEA03 S S S S S S S S S
con los requerimientos
externos
56
MEDICIÓN DE LOS PROCESOS CRÍTICOS
CABLEADO
ESTRUCTURADO
CERTIFICADO
Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y que se ha establecido
una base para la elaboración de informes con
el fin de aumentar el desempeño, identificar áreas susceptibles de mejora y confirmar que las estrategias
y los objetivos relacionados con TI concuerdan
con la estrategia corporativa.
Métricas relacionadas
Fuente
Meta TI Aplicaci Result de
Métrica Fórmula Conclusión
ón ado Inform
ación
Se ha reportado
03 Compromiso de Reuniones del
Frecuencia de las que existen 3 Entrevi
la dirección comité TI /
reuniones del reuniones de un sta al
ejecutiva para Total de 3/8 38%
comité (ejecutivo) total de 8 que se Gerent
tomar decisiones reuniones del
de estrategia de TI realizarán en el e de TI
relacionadas con TI. comité de TI
año.
57
Porcentaje de
inversión en casos Inversiones Se ha podido
de negocio con en el año para evidenciar que
06 Transparencia de Entrevi
costes y beneficios TI / Total ha existido un
los costes, sta al
esperados Inversiones 3/8 38% 38% Inversiones
beneficios y riesgos Gerent
relativos a TI en el año en TI con
de las TI e de TI
claramente anterior para relación al año
definidos y TI anterior.
aprobados.
Encues
Porcentaje de
07 Entrega de Número de En la compañía ta de
usuarios
servicios de TI de Usuarios existe un total satisfa
satisfechos con la
acuerdo a los satisfechos / 34/84 40% de 40% de cción
calidad de los
requisitos del Total de usuarios partes
servicios de TI
negocio ususarios satisfechos interes
entregados
adas
Objetivos y
métricas del
proceso
Métricas relacionadas
Fuente
Meta del proceso Aplicaci Result de
Métrica Fórmula Conclusión
ón ado Inform
ación
Número de
Porcentaje de Se ha podido
1. Los informes para Interesados
interesados evidenciar que Entrevi
las partes en
incluidos en los existe un 33% de sta al
interesadas se elaboración 2/6 33%
requisitos de interesados en Gerent
ajustan a sus de Informes /
elaboración de la elaboración e de TI
requisitos. Total
informes de Informes.
Interesados
Existe un
informe no
presentado a
tiempo, la
Informes no
compañía
presentados a
2. La elaboración de Porcentaje de realiza 2 tipos de Entrevi
tiempo / Total
informes es informes no informes uno a sta al
número de 1/2 50%
completa, oportuna presentados a mitad de año y Gerent
Informes
y precisa. tiempo el otro a fin de e de TI
emitidos en el
año, para
año
verificar el
cumplimiento y
los objetivos de
TI.
1/2 50%
58
Número de veces La compañía no
Veces que no
que no se han ha cumplido los
se ha
3. La comunicación cumplido los requisitos que Entrevi
cumplido los
es eficaz y las partes requisitos ha exigido los sta al
requisitos en
interesadas están obligatorios en informes de Gerent
los Informes /
satisfechas. cuanto a cumplimiento e de TI
Total
elaboración de del personal de
Informes
informes TI
RESULTADO DE
EVALUACION DE capacidad
CAPACIDAD: 40%
de proceso
ACTIVIDADES
Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y que se ha establecido una
base para la elaboración de informes con el fin de aumentar el desempeño, identificar áreas susceptibles de
mejora y confirmar que las estrategias y los objetivos relacionados con TI concuerdan con la estrategia
corporativa.
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
59
EDM05.02 Orientar la comunicación con las
partes interesadas y la elaboración de
Informes de
informes.
análisis de Reglas de
Garantizar el establecimiento de una
riesgos y de perfil validación y
comunicación y una elaboración de informes MEA01.01
APO12.04 de aprobación de
eficaces, incluyendo mecanismos para MEA03.04
riesgos para las informes
asegurar la calidad y la completitud de la
partes obligatorios
información, vigilar la elaboración obligatoria
interesadas
de informes y crear una estrategia de
comunicación con las partes interesadas.
MATRIZ RACI
MATRIZ RACI EDM05 Asegurar la Transparencia hacia las Partes Interesadas COBIT 5.0
Consejo de administración
Jefe de administración de
Director de Operaciones
Director de informática
Dueños del proceso de
Ejecutivos de negocio
Financiero (CFO)
Director General
Arquitecto jefe
Conformidad
Auditoría
(CIO)
TI
GOBIERNO
EDM05.02 Orientar la
comunicación con las partes
A R C C C I C C R I I
interesadas y la elaboración
de informes.
EDM05.03 Supervisar la
comunicación con las partes A R I
interesadas. C C C I C C R I
60
FLUJOGRAMA
61
NIVEL DE MADUREZ
OBSERVACIONES
RECOMENDACIONES
1 .Implementar un sistema de cableado instalado con un estándar determinado empleando
un método definido por el estándar para medir dicho rendimiento. Lo que evitará
problemas de pérdida de datos en la red o fallos en la comunicación.
62
Dominio: Alinear, Planificar y Organizar
APO 09 GESTIONAR LOS ACUERDOS DE SERVICIO
MÉTRICAS
Descripción del Proceso Alinear los servicios basados en TI y los niveles de servicio con las
necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño,
publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de
la empresa.
Métricas relacionadas
Meta TI Fuente de
Aplicaci Resulta
Métrica Fórmula Conclusión Informaci
ón do
ón
Porcentaje
El 48% del
de partes
total de
interesadas Numero de
usuarios de
satisfechas personas
TI de la
con el satisfechas Encuesta
organizació
cumplimien con los de
07 Entrega de servicios de n están
to del servicios de satisfacció
TI de acuerdo a los 40/84 48% satisfechos
servicio de TI/ Numero n partes
requisitos del negocio con los
TI total de interesada
servicios de
entregado personas s
que brinda
respecto a encuestada
TI a las
los niveles s
diferentes
de servicio
áreas.
acordados
63
El 31% de los
Número de
Número de incidentes
incidentes
incidentes reportados
causados
en los al área de TI
por
procesos de en el Reportes
14 Disponibilidad de indisponibili
negocio periodo de
información útil y dad de
causados 4/13 31% auditado incidentes
relevante para la toma de informació
por la fue causado relacionad
decisiones n/ Total de
indisponibili por os a Ti
incidentes
dad de la indisponibili
reportados
información dad de la
en el
. informació
periodo
n.
Métricas relacionadas
En el último
año se
Número de
tuvieron 2
Número de acuerdos Encuesta
1. La empresa puede usar incidentes
procesos de de sin de
de modo efectivo los significativo
negocio con firmar/ satisfacció
servicios TI tal como se 3/9 33% s
acuerdos de Número de n partes
han definido en el relacionado
servicio sin acuerdos interesada
catálogo. s a TI, de un
definir. previstos a s
total de 8
firmar
incidentes
reportados.
La empresa
Numero de
tiene un 31%
servicios
de servicios
que Encuesta
Porcentaje que
alcanzan su de
3. Los servicios TI rinden de servicios funcionan
objetivo satisfacció
como está estipulado en que 4/13 31% eficienteme
/ Total de n partes
los acuerdos de servicio. alcanzan su nte del
servicios interesada
objetivo total
que tiene la s
servicios
Organizació
que posee
n
la empresa.
RESULTA
DO DE capacid
EVALUACI 36
ad de
ON DE %
proces
o
64
CAPACIDA
D:
ACTIVIDADES
Área: Gestión
Descripción del Proceso Alinear los servicios basados en TI y los niveles de servicio con las
necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño,
publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de
la empresa.
ENTRADAS SALIDAS
Práctica de Gestión DESCRIPCIO
DE DESCRIPCION A
N
65
mantener los servicios TI activos en los
catálogos.
MATRIZ RACI
Jefe de Operaciones
de Riesgos
negociode los
de Desarrollo
de Gestión
de Desarrollo
TI
Ejecutivo
Director General
del
0 (CEO)
Cumplimiento
Jefe deCIO
(Compliance)
Ejecutivos de
de Proyectos
Administración
de
Estratégico
de
Director de
Normativo
Auditoría
Arquitectura
Negocio
Negocio
PRACTICA CLAVE
Jefe de
s (CIO)
(CRO)
Procesos
Propietarios
Director
sistemas/
Ejecutivo
TI
DEL GOBIERNO
Comité
Director
Oficina
Jefe
Jefe
APO09.01 Identificar
C R R R C I I I R I C C C A I I
servicios TI.
APO09.02 Catalogar
I I I R I C A I I
servicios basados en TI. I I
66
APO09.03 Definir y
preparar acuerdos de C C C R R A
servicio. R C C C C
APO09.04 Supervisar e
informar de los niveles de I I I
servicio. I R C
67
GERENCIA DE INFORMÁTICA USUARIO
INICIO
PROCESO:
FLUJOGRAMA
Identificar necesidades
de software
GESTION DEL SOFTWARE
¿Se requiere
NO llenado de la
solicitud?
SI
SI
Notifica al usuario y lo
Cotizar el software que
asesora en el llenado de la
seleccionado.
solicitud
¿Implica
B SI servicios de
telefonía?
NO
¿Implica
s ervi cios de
C SI SI
equipo de
cómputo?
NO
¿Implica
s ervi cios de
D SI
l a RED
FIFOMI?
NO
¿Se puede
¿El s ervicio
res olver con
A s e encuentra N
otra s
res uelto?
a cci ones?
NO
Archiva solicitud
FIN
68
NIVEL DE MADUREZ
Atributo de
rendimient PA 2.1 PA 2.2. PA 5.2
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
o (PA) 1.1. Gestión del Gestión del Optimizació
Definición Despliegue Gestión de Control de Innovación
Rendimient Rendimient resultado n de
de Procesos de procesos procesos Procesos de Procesos
o del o de trabajo Procesos
Procesos
Proceso Proceso
Proceso Gestionado Proceso Establecido Proceso Predecible Proceso Optimizado
Incompleto Ejecutado
0 1 2 3 4 5
OBSERVACIONES
1. Menos del 50% del personal que labora M&M Travel Group no se sienten satisfechos
con los servicios que brinda TI lo cual es causado por los problemas presentados con
indisponibilidad de la información para la ejecución de sus actividades y requerimientos
que tenga la gerencia.
RECOMENDACIONES
1. Al gerente de TI se recomienda gestionar las diversas problemáticas que presenta el
personal de M&M Travel Group a fin de reducir las inconformidades haciendo cumplir
de forma efectiva las garantías firmadas por los proveedores en la suscripción de los
69
convenios de prestación de servicios.
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del
negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la
revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Métricas relacionadas
Meta TI Result Fuente de
Métrica Fórmula Aplicación Conclusión
ado Información
70
relacionados con Número software dentro partes
las TI gestionados evaluaciones del primer año, interesadas
de perfil sin cumplir lo
planificadas acordado
dentro del
contrato.
Los procesos
Usuarios que se están
satisfechos llevando a cabo
07 Entrega de Porcentaje de con la calidad por el
Encuesta de
servicios TI de usuarios satisfechos del servicio departamento
satisfacción
acuerdo a los con la calidad de los entregado / 34 / 84 40% de TI, no están
partes
requisitos del servicios de TI Total de cumpliendo las
interesadas
negocio entregados usuarios que expectativas ni
reciben el cubriendo las
servicio necesidades de
la organización.
Objetivos y
métricas del
proceso
Métricas relacionadas
Meta del proceso Result Fuente de
Métrica Fórmula Aplicación Conclusión
ado Información
Se determina
que se han
Reclamos
Número de solucionado 14 Encuesta de
1. Los proveedores resueltos en
infracciones de reclamos satisfacción
rinden según lo el periodo / 14 / 36 39%
servicio causadas dentro del partes
acordado. Total
por los proveedores periodo, de los interesadas
Reclamos
36 que hubieron
enlistados.
De acuerdo a los
resultados de la
encuesta
Número de realizada, se
Porcentaje de
reclamos determina que
disputas con
3. Las relaciones solucionados no se cumple ni Encuesta de
proveedores
con los por el 50% de satisfacción
resueltas 2/6 33%
proveedores son proveedores / soluciones a los partes
adecuadamente y
eficaces. Total de problemas interesadas
en un tiempo
reclamos presentados,
razonable
reportados dando un riesgo
alto y para un
detallado
análisis.
71
RESULTADO DE
capacidad
EVALUACION DE 34%
de proceso
CAPACIDAD:
ACTIVIDADES
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del
negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión
y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
72
(incluyendo frecuencia esperada,
impacto potencial y respuestas) y de
otros recursos, capacidades y
actividades de control actuales
relacionados.
MATRIZ RACI
DOMINIO:
ALINEAR,
PLANIFICAR
Y
ORGANIZAR
73
Gestor de Continuidad
informática/sistemas
Procesos de Negocio
Gestor de Privacidad
Gestor de Seguridad
arquitectura
Director de Riesgos
Propietarios de los
(Service Manager)
Gestor de Servicio
Administración TI
de la Información
de la información
Financiero (CFO)
Director General
Jefe de recursos
PRACTIC
Director de
de Negocio
de negocio
A CLAVE
Auditoría
humanos
Jefe de
(CRO)
Jefe de (CIO)
DEL
GOBIER
NO
APO 10.01
Identificar y
evaluar las
relaciones y C C C C A C R C C C
contratos
con
proveedores
APO 10.02
Seleccionar C C C C A C R C C C
proveedores
APO 10.03
Gestionar
contratos y
I C A C R C C C
relaciones
con
proveedores C
APO 10.04
Gestionar el
C C A C C C C
riesgo en el
suministro R C C
APO 10.05
Supervisar el
cumplimient
o y el I C C C A C C C C
rendimiento
del
proveedor C C
R Responsible
A Accountable
C Consultant
I Informed
74
GERENCIA DE INFORMÁTICA SOPORTE TECNICO
INICIO
PROCESO:
FLUJOGRAMA
Definir puertos IP
ESTRUCTURAR PUERTOS IP
¿Se tiene
Establecer caracteristicas Orden de requisicion
NO materiales
tecnicas de los materiales. de materiales. completos?
¿Se requiere
NO llenado de la
solicitud?
SI
SI
¿Implica
B SI servicios de
telefonía?
NO
¿Implica
s ervi cios de
C SI SI
equipo de
cómputo?
NO
¿Implica
s ervi cios de
D SI
l a RED
FIFOMI?
NO
¿Se puede
¿El s ervicio
res olver con
A s e encuentra N
otra s
res uelto?
a cci ones?
NO
Archiva solicitud
FIN
75
NIVEL DE MADUREZ
OBSERVACIONES
* No existe el estricto cumplimiento para realizar las evaluaciones de perfil al proveedor que se
establecen dentro de los plazos acordados.
* Existe un bajo porcentaje (40%) para determinar los usuarios satisfechos por la calidad del
servicio, es decir, no se refleja en la organización una buena calidad del servicio prestado.
* Dentro del periodo existieron varias infracciones en los servicios debido a la falta de
mantenimiento en el sistema por parte de los proveedores, los cuales no son solucionados a
tiempo, deteniendo los procesos.
* Existen varias disputas con proveedores por problemas que existen dentro del sistema, los
cuales no son solucionados a tiempo.
RECOMENDACIONES
* Establecer acuerdos más rígidos con los proveedores para que se cumplan las cláusulas que se
definen dentro de ellos como resolver los problemas en el tiempo establecido.
76
* Elaborar manuales de procedimientos de selección, evaluación de perfil; acorde a las
necesidades de la organización.
* Mejorar la calidad de los servicios, para que el usuario final, se encuentre plenamente
satisfecho en cuanto a los resultados obtenidos del sistema.
77
APO 12 GESTIONAR LOS RIESGOS
MÉTRICAS
AP012 GESTIONAR EL
RIESGO Área: Gestión
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial
(ERM) y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI
Métricas relacionadas
Meta TI Aplicac Resul Fuente de
Métrica Fórmula Conclusión
ión tado Información
Número de Se han
evaluacione realizado
s de solamente 12
Cobertu cumpliment evaluaciones
02 Cumplimiento y
ra de la o de Encuesta de
soporte de las TI al
evaluaci efectuadas cumplimiento satisfacción
cumplimiento del negocio 12/24 50%
ón del / Número de TI de las 24 partes
de las leyes y regulaciones
cumplim evaluacione evaluaciones interesadas
externas.
iento s de de
cumplimien cumplimiento
to planificadas
planificadas en el año.
78
perfil del efectuadas por TI para efectuadas al
riesgo en el año/ realizarlas en Sistema de
Número el año seguridad
total de unicamente se
actualizacio efectuaron 2.
nes
planificadas
por TI
Frecuen
cia de
Evaluacione Se han
evaluaci
s de realizado Reportes
10 Seguridad de la ón de
seguridad solamente 5 sobre
información, segurida
ejecutadas/ evaluaciones evaluaciones
infraestructura de d frente 5/12 42%
Evaluacione de seguridad efectuadas al
procesamiento y a los
s de de las 12 sistema de
aplicaciones últimos
seguridad planificadas seguridad.
estándar
planificadas para un año.
es y
guías
Objetivos y
métricas del
proceso
Métricas relacionadas
Meta del proceso Aplicac Resul Fuente de
Métrica Fórmula Conclusión
ión tado Información
Relación
de
incident
es
significa
tivos En el último
Número de
que no año se
incidentes
fueron tuvieron 2
no
identific incidentes Encuesta de
3. Riesgos de negocio identificado
ados en significativos satisfacción
gestionados (salvaguarda s en el año / 2/8 25%
las relacionados a partes
de activos) Número de
evaluaci TI, de un total interesadas
total de
ones de de 8
incidentes
riesgo incidentes
reportados
respecto reportados.
al
número
total de
incident
es.
79
de los por asumir partes
incident incidentes perdidas de interesadas
es que 19870,00 $ por
impiden incidentes que
servicio al han impedido
cliente/ atender a
7. Continuidad y
Estimacion clientes, lo
disponibilidad del servicio
de ingresos cual
de negocio
totales representa un
diarios 25% de los
ingresos
proyectados a
recibir en su
flujo de caja.
Según
informes de la
Frecuen Gerencia de TI
cia de se conoce que
las Evaluacione se han Diagnosticos
evaluaci s de realizado 4 de
ones de Capacidad evaluaciones evaluaciones
11. Optimización de la
madurez efectuadas/ de capacidad a a los
funcionalidad de los 4/12 33%
de la Evaluacione sus procesos procesos de
procesos de negocio
capacida s de de un total de negocio en
d de los Capacidad 12 planificadas los que
proceso planificadas para el año lo interviene TI.
s de cual
negocio representa un
33% de lo
planificada.
RESULTAD
O DE capaci
EVALUACI dad
ON DE 37%
de
CAPACIDA
proce
D:
so
ACTIVIDADES
AP012 GESTIONAR EL RIESGO Área: Gestión
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
80
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial
(ERM) y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
MATRIZ RACI
81
Datos
Datos
Datos
Riesgo
Riesgo
Riesgo
FLUJOGRAMA
PRACTICA
CLAVE DEL
GOBIERNO
I
I
I
I
I
I
Director General
R
R
R
R
R
R
Ejecutivo (CEO)
Propietarios de los
C
C
C
C
R
R
Procesos
Oficina de
de Gestión
C
C
C
C
R
R
deNegocio
Proyectos
Director de Riesgos
R
R
R
R
A
A
(CRO)
Director de Riesgos
I
I
I
I
I
I
(CRO)
Director de
C
C
C
C
R
R
Seguridad de la
Cumplimiento
Información (CISO)
C
C
R
R
A
A
Normativo
Auditoría
(Compliance)
R
R
R
R
A
A
Director de
C
C
C
C
R
R
Informática/Sistema
Jefe de Arquitectura
s (CIO)
C
C
C
C
R
R
Jefedel
deNegocio
Desarrollo
C
C
C
C
R
R
Jefe de Operaciones
C
C
C
C
R
R
Jefe
TI de
C
C
C
C
R
R
Administración
Gestor TI
de Servicio
C
C
C
C
R
R
(Service
Gestor deManager)
Seguridad
C
C
C
C
R
R
Información
de laGestor de
C
C
C
C
R
R
Continuidad
Gestor de
de Privacidad
82
de laNegocio
información
83
NIVEL DE MADUREZ
EMPRESA M&M TRAVEL GROUP
NIVEL DE MADUREZ
Atributo de
rendimient PA 2.1 PA 2.2. PA 5.2
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
o (PA) 1.1. Gestión del Gestión del Optimizació
Definición Despliegue Gestión de Control de Innovación
Rendimient Rendimient resultado n de
de Procesos de procesos procesos Procesos de Procesos
o del o de trabajo Procesos
Procesos
Proceso Proceso
Proceso Gestionado Proceso Establecido Proceso Predecible Proceso Optimizado
Incompleto Ejecutado
0 1 2 3 4 5
OBSERVACIONES
84
RECOMENDACIONES
85
APO 13 GESTIONAR LA SEGURIDAD
EMPRESA M&M TRAVEL GROUP
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la
empresa
Numero de
procesos de Se han realizado 26
02 Cumplimiento y soporte de TI al Cobertura de las
seguridad procesos de seguridad Encuesta
cumplimiento del negocio de las leyes y evaluaciones de 26/84 31%
implementados / de un total de 84 Pregunta N°1
regulaciones externas conformidad
Total procesos procesos.
planificados
Porcentaje de
Análisis de
casos de
proyectos de Se evidencio que del
inversiòn de
inversiòn total de 4 proyectos
06 Transparencia de los costes, beneficios negocio, que Encuesta
estudiados y 1/4 25% planteado para su
y riesgo de las TI tienen Pregunta N°3
aceptados/ Total aprovaciòn solo se ha
claramente
proyectos revisado 1
definidos y
revisados.
aprobados los
Nùmero de
incidentes de Numero de
seguridad interrupciones
Se evidencio que de las
10 Seguridad de la información, causantes de del sistema
8 intervesiones Encuesta
infraestructura de procesamiento y pèrdidas resueltas/ Total 2/8 25%
planificadas solo se Pregunta N°4
aplicaciones financieras, intervesiones
resolvio 2.
interrupciones planificadas
del negocio o resueltas.
pèrdida de
Relación o Número de
cantidad de negociaciones
deciciones de con la Se evidenció que de las
14 Disponibilidad de información útil y negocio erróneas informaciòn 6 negociaciones
Encuesta
relevante para la toma de en las que la falta necesaria/ Total 2/6 33% planificadas solo 2
Pregunta N°5
decisiones de información o negociaciones tenìan las informaciòn
la información planificadas con necesaria.
errónea ha sido la informaciòn
principal causa. necesaria
Objetivos y métricas del proceso
Métricas relacionadas
Meta del proceso
Métrica Fórmula AplicaciónResultado Conclusión Fuente de Información
Número de
incidentes no En el último año se
1. Està en marcha un sistema que considera
Nùmero de identificados en tuvo i incidente
y trata efectivamente los requerimientos
incidentes el año con la significativo Entrevista al
de seguridad de la información de la 1/5 20%
relacionados con seguridad / relacionados a TI, de Gerente de TI
empresa.
la seguridad. Número de total un total de 5 incidentes
de incidentes de reportados.
seguridad.
Nivel de
satisfacción de las
Directores De los 3 directores
2. Se ha establecido, aceptado y partes
satisfechos/ que se encuentran en Entrevista a
comunicado por toda la empresa un plan interesadas con el 1/3 33%
Total Directores la empresa solo uno se Directores
de seguridad. plan de seguridad
satisfecho encuentra satisfecho.
de toda la
empresa
Nùmero de Servicios
3.Las soluciones de seguridad de la
servicios con resueltos con el De 8 incidentes solo 3
información están implementadas y Entrevista al
alineamiento plan de 3/8 38% fueron resueltos con el
operadas de forma consistente en toda la Gerente de TI
confirmado al seguridad/ Total plan de seguridad
empresa.
plan de seguridad de incidentes
RESULTADO
capacidad de
DE 30%
proceso
EVALUACION
86
ACTIVIDADES
APO13 Gestionar la Seguridad Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Declaración del propósito del proceso
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la
empresa.
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
APO13.01 Establecer y mantener un SGSI. Fuera del Enfoque de seguridad de Polìtica de SGI Interno
Establecer y mantener un SGI que proporcione un Ámbito de la empresa
enfoque estándar, formal y continuo a la gestión COBIT
de seguridad para la información, tecnología y
procesos de negocio que esté alineados con los
requerimientos de negocio y la gestión de
seguridad en la empresa.
APO13.02 Definir y gestionar un plan de APO02.04 Diferencias y cambios Plan de tratamiento de Todo EDM
tratamiento necesarios para alcanzar riesgos de seguridad de la Todo APO
del riesgo de la seguridad de la información. la capacidad objetivo información Todo BAI
Mantener un plan de seguridad de información Todo DSS
que Todo MEA
describa cómo se gestionan y alinean los riesgos
de seguridad de información con la estrategia
y la arquitectura de empresa. Asegurar que las
recomendaciones para implementar las mejoras en
seguridad se basan en casos de negocio
aprobados,
se implementan como parte integral del desarrollo
de
soluciones y servicios y se operan, después, como
parte
integral de las operaciones del negocio.
DSS02.02 Incidentes clasificados Informes de auditoría del MEA02.01
y priorizados y SGI
requerimientos de
APO13.03 Supervisar y revisar el SGSI. Mantener y servicios
comunicar regularmente la necesidad y
los beneficios de la mejora continua de la seguridad
de información. Recolectar y analizar datos sobre
el SGI y la mejora de de su efectividad. Corregir las
no
conformidades para prevenir recurrencias.
Promover
una cultura de seguridad y de mejora continua.
MATRIZ RACI
87
información.
APO13 Gestionar la Seguridad
I
C
C
C
R
A
Director General
Ejecutivo (CEO)
R
Propietarios de los
Procesos de
Negocio
I
I
R
Oficina de Gestión
Informed
Consultant
Responsible
Accountable
de Proyectos
C
C
Director de Riesgos
(CRO)
A
A
A
Director de
Seguridad de la
Información (CISO)
C
C
C
Cumplimiento
Normativo
(Compliance)
C
C
C
Auditoría
EMPRESA M&M TRAVEL GROUP
R
R
R
Director de
Informática/Sistem
as (CIO)
I
R Jefe de
Arquitectura del
Negocio
I
Jefe de Desarrollo
I
Jefe de
Operaciones TI
R
R
R
Jefe de
Administración TI
I
Gestor de Servicio
(Service Manager)
R
R
R
Gestor de
Seguridad de la
Información
C
C
Gestor de
Continuidad de
88
Negocio
C
C
Gestor de
Privacidad de la
información
FLUJOGRAMA
Flujograma
Recepciòn Solicitud 3
INICIO
1 DANILO CRIOLLO
Recepciòn Informe tècnico
y costos.
Identificar proceso
a automatizar Envio
comunicaciòn 2
¿Es viable
la Revisiòn Presupuesto
Recolecciòn de ssNO
Solicitud? FREDDY SANTANDER
Datos.
Se archiva
Elaboraciòn solicitud para
enviar a Departamento TI.
1
ssSI ¿Es posible
ssNO realizar la
automatizaci
Envio Informe tècnico y òn?
2
costos. 3
Recepciòn
comunicaciòn ssSI
4
Envio Autorizaciòn de
4 automatizaciòn para
5 proceso.
Recepciòn Autorizaciòn de
automatizaciòn para
proceso.
Inducciòn de
automatizaciòn. a
usuario
Direccionamiento de
automatizaciòn a
Programador
FIN MARCELO NARVAEZ
Elaboraciòn de
5 automatizaciòn.
89
NIVEL DE MADUREZ
EMPRESA M&M TRAVEL GROUP
NIVEL DE MADUREZ
Atributo de
rendimient PA 2.1 PA 2.2. PA 5.2
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
o (PA) 1.1. Gestión del Gestión del Optimizació
Definición Despliegue Gestión de Control de Innovación
Rendimient Rendimient resultado n de
de Procesos de procesos procesos Procesos de Procesos
o del o de trabajo Procesos
Procesos
Proceso Proceso
Proceso Gestionado Proceso Establecido Proceso Predecible Proceso Optimizado
Incompleto Ejecutado
0 1 2 3 4 5
OBSERVACIONES
RECOMENDACIONES
- Recomendamos incrementar procesos de control de seguimiento para gestionar la
seguridad.
- Incrementar una planificación por periodos de actualizaciones.
- Recomendamos asignar responsables para el seguimiento de las intervensiones no
solucionados.
90
Dominio: Construcción, Adquisición e Implementación
BAI 06 GESTIONAR LOS RIESGOS
MÉTRICAS
EMPRESA M&M TRAVEL GROUP
Gestiono todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencía en relación con los procesos de
negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de
emergencia, seguimiento, reporte, cierre y documentación.
Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la
estabilidad e integridad del entorno en que se aplica el cambio.
Porcentaje de
Se evidencio que del total
07 Entrega de servicios de TI de Usuarios satisfechos Usuarios
de 109 colaboradores solo
acuerdo a los con la calidad de los satisfechos/ Total 43/98 44% ENCUESTA N° 2
48 colaboradores se
requisitos del negocio servicios de TI usuarios.
encuentran satisfechos.
entregados.
N° de ordenes para
Tiempo para para
eliminar priviligios
otorgar, modificar y
10 Seguridad de la información, de acceso/ Total Se evidencio que de las 5
eliminar los privilegios
infraestructura de procesamiento y ordenes planeados 1/5 20% intervesiones planificadas ENCUESTA N° 3
de acceso, comparado
aplicaciones en eliminar solo se resolvio 1.
con los niveles de
privilegios de
servicios acordados.
acceso
Métricas relacionadas
Meta del proceso
Métrica Fórmula Aplicación Resultado Conclusión Fuente de Información
N° ordenes
resueltas por error
1.Los cambios autorizados son En el último año se resolvio
Cantidad de trabajo en creación de
realizados de acuerdo a sus 45 errores por creación de
rehecho debido a usuarios/ Total de 45/100 45% ENCUESTA N° 4
cronogramas respectivos y con usuarios del total de 100
cambios fallidos. ordenes
errores mínimos. ordenes planificadas.
planificadas para
resolver
Evaluaciones
2. Las evaluaciones de impacto
Porcentaje de cambios realizadas de Se evaluaron 6 ordenes de
revelan el efecto de los cambios
sin éxito debidos a cambios/ Total de 6/20 30% cambio del total de 20 ENCUESTA N° 5
sobre todos los componentes
evaluaciones evaluaciones evaluaciones planificadas.
afectados.
planificadas
Cambios de
Número de cambios de De 75 cambios
3. Todos los cambios de emergencia emergencias
emergencias no implementados por
son revisados y autorizados una vez exitosos/ Total de 25/75 33% ENCUESTA N° 6
autorizados una vez emergencias/ 25 cambios
hecho el cambio cambios realizados
hecho el cambio. han sido exitosos
planificados
RESULTADO DE
EVALUACION DE 33% capacidad
CAPACIDAD: de
91
ACTIVIDADES
BAI06 Gestionar los Cambios Área: Gestión
Dominio:Construir, Adquirir e Implementar
Descripción del proceso
Gestiono todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencía en relación
con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto,
priorización y autorización, cambios de
emergencia, seguimiento, reporte, cierre y documentación.
92
MATRIZ RACI
EMPRESA M&M TRAVEL GROUP
Director de Riesgos
Informática/Sistem
Propietarios de los
(Service Manager)
Jefe de Desarrollo
Gestor de Servicio
Oficina de Gestión
Administración TI
Arquitectura del
Seguridad de la
Operaciones TI
Cumplimiento
(Compliance)
Ejecutivos de
de Proyectos
Información
Procesos de
Director de
Normativo
Gestor de
Auditoría
Negocio
Negocio
negocio
as (CIO)
Jefe de
Jefe de
Jefe de
(CRO)
PRACTICA CLAVE DEL GOBIERNO
BAI06.01
Evaluar, priorizar y autorizar A R C C C C R C R R C R C
peticiones de cambio.
A I C C C R I R R I C
BAI06.04 R R C R R I I
Cerrar y documentar los cambios. R C C C R
R Responsible
A Accountable
C Consultant
I Informed
93
FLUJOGRAMA
Flujograma
DEPARTAMENTO TI Usuario
INICIO
Preparaciòn
Determinaciòn de las
necesidades de
protecciòn.
- Hardware
- Software
Caracterización del - Datos
sistema informático - Personas
- Documentaciòn
Identificaciòn de las
amenazas sobre el Recepciòn del Plan de
sistema informatico. Seguridad Informàtica
Establecimiento de
los requisitos de Seleccion de los
Seguridad controles de
Informàtica. Seguridad Informàtica
94
NIVEL DE MADUREZ
Atributo de
rendimient PA 2.1 PA 2.2. PA 5.2
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
o (PA) 1.1. Gestión del Gestión del Optimizació
Definición Despliegue Gestión de Control de Innovación
Rendimient Rendimient resultado n de
de Procesos de procesos procesos Procesos de Procesos
o del o de trabajo Procesos
Procesos
Proceso Proceso
Proceso Gestionado Proceso Establecido Proceso Predecible Proceso Optimizado
Incompleto Ejecutado
0 1 2 3 4 5
OBSERVACIONES
95
Dominio: Entregar, dar Servicio y Soporte
DSS 04 GESTIONAR LA CONTINUIDAD
MÉTRICAS
PLAN DE
CONTINGENCIA
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio
para la operación continua de los
procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un
nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel aceptable
para la empresa ante el evento de
una interrupción significativa.
Métricas relacionadas
Meta TI Fuente de
Métrica Fórmula Aplicación Resultado Conclusión
Información
Número de
incidentes En el año 2018
Incidentes
significativos se ha
relacionados
relacionados reportado
04 Riesgos de con TI en el
con las TI que solo un
negocio relacionados año / Número Papel de
no 1/3 33% incidente
con las TI total de Trabajo
fueron relacionado
gestionados. incidentes TI
identificados con TI, 2
en el año
en la menos que el
pasado
evaluación de anterior
riesgos
96
requisitos del incidentes en el TI/ Número 25% del total
negocio servicio total de permitido en
de TI interrupciones la compañía.
en el negocio
debido a TI
Número de Incidentes en
Se ha
incidentes en los procesos
14 Disponibilidad de evidenciado 1
los procesos de de negocio / Encuesta de
información útil y incidente en
negocio Evaluaciones satisfacción
relevante para la 1/4 25% procesos del
causados por la de incidentes partes
toma de negocio, lo
indisponibilidad en los interesadas
decisiones que refleja un
de la procesos de
25% en el año.
información negocio
Objetivos y métricas
del proceso
Métricas relacionadas
Meta del proceso Fuente de
Métrica Fórmula Aplicación Resultado Conclusión
Información
Medios de
}1. La información respaldo La compañía
Porcentaje de
crítica para el almacenados no ha
medios de
negocio está de forma almacendado
respaldo Encuesta a las
disponible para el segura / y y no ha
transferidos y 35/84 42% partes
negocio en Número total respaldado de
almacenados Interesadas
línea con los niveles de respaldos forma segura
de forma
de servicio mínimos almacenados su
segura
requeridos. de forma información.
segura
Sistemas La empresa ha
críticos cubierto en un
Número de
cubiertos por 43% los
sistemas
2. Los servicios el negocio / sistemas Encuesta a las
críticos para el
críticos tienen Total de 36/84 43% crítcos partes
negocio no
suficiente resiliencia. sistemas obtenidos por Interesadas
cubiertos por el
críticos el
plan
cubiertos por departamento
el negocio de TI.
Número de Pruebas
3. Las pruebas de realizadas La empresa ha
ejercicios y
continuidad del para objetivos realizado
pruebas que Encuesta a las
servicio han de ejercicios de
han 35/84 42% partes
verificado la recuperación / objetivos de
conseguido los Interesadas
efectividad del Total pruebas recuperación
objetivos de
plan. realizadas en un 42%.
recuperación
para objetivos
97
de
recuperación.
Según
informes en la
4. Un plan de Porcentaje de Mejoras
encuesta de
continuidad mejoras efectuadas en
partes Encuesta a las
actualizado refleja acordadas que el año / Total
28/84 33% interesadas se partes
los requisitos de han sido mejoras
conoce que no Interesadas
negocio reflejadas en el efectuadas en
existe mejoras
actuales. plan el año
efectuadas en
el año.
La compañía
Interesados ha reflejado
que han un 40% de
Porcentaje de
5. Las partes recibido información
interesados Encuesta de
interesadas internas información / reveleda a las
internos y satisfacción
y externas han sido Total de 34/84 40% partes
externos que partes
formadas en el plan interesados interesadas,
han recibido interesadas
de continuidad. que han según
formación
recibido encuesta
información realizada a los
mismos.
ACTIVIDADES
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel
aceptable para la empresa ante el evento de
una interrupción significativa.
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
98
las partes
interesadas.
alineada con los objetivos de negocio y de
las partes
interesadas.
99
de continuidad a intervalos regulares para
asegurar su
continua idoneidad, adecuación y
efectividad. Gestionar
los cambios en el plan de acuerdo al
proceso de control
de cambios para asegurar que el plan de
continuidad
se mantiene actualizado y refleja
continuamente los
requerimientos actuales del negocio.
100
después de una
disrupción.
MATRIZ RACI
EMPRESA M& M
TRAVEL
DOMINIO: ENTREGAR,
DAR SERVICIO Y
SOPORTE
Jefe de Operaciones TI
Gestor de Continuidad
Ejecutivos de negocio
Informática/Sistemas
Procesos de Negocio
Jefe de Arquitectura
Director de Riesgos
Operaciones (COO)
Propietarios de los
(Service Manager)
Gestor de Servicio
Jefe de Desarrollo
Administración TI
Recursos
Cumplimiento
(Compliance)
del Negocio
Director de
Director de
de Negocio
Normativo
Humanos
Auditoría
Jefe de
PRACTICA CLAVE DEL
(CRO)
(CIO)
GOBIERNO
Jefe de
DSS04.01 Definir la
política de continuidad
A C R C C C R R C R R
del negocio, objetivos y
alcance.
DSS04.03
Desarrollar e
implementar una
I R A
respuesta a la
continuidad del
negocio. R I C C R C C
DSS04.04
Ejercitar, probar y revisar
I R A
el plan
de continuidad. R I R R C
101
DSS04.05
Revisar, mantener y
A I I R R
mejorar el
plan de continuidad. R R C
DSS04.06
Proporcionar formación
I R R R A
en el
plan de continuidad. R R
DSS04.07
Gestionar acuerdos C A R
derespaldo.
DSS04.08
Ejecutar revisiones C I C R R A
postreanudación. R R C
R Responsible
A Accountable
C Consultant
I Informed
102
FLUJOGRAMA
103
NIVEL DE MADUREZ
OBSERVACIONES
1. En la compañía no existe un plan de contingencia adecuado para amenzas que pueda
tener el departamento de TI y por ende la empresa, se ha podido establecer que la
compañía no cuenta con antivirus legales, lo que aumenta el nivel de riesgo por el
motiv o de que si llegase un virus a cualquier ordenador, puede infectar no solo a el
de un usuario sino a toda la red, dejando parada las actividades de la compañía.
RECOMENDACIONES
1. Definir un plan de contingencia adecuada para la compañía, establecer métricas
entre el departamento de TI y los usuarios de los ordenadores.
2. Poder restringuir páginas que no sean de uso productivo para la compañía, las
mismas que pueden desencadenar una descarga de virus.
104
EMPRESA M&M TRAVEL GROUP
Me Métricas relacionadas
ta Conclusi Fuente de
TI Métrica Fórmula Aplicación Resultado
ón Información
Número
Se han
de
10 realizad
pruebas
Seguridad o el 27%
de
de la de las
Frecuencia de la seguridad
información pruebas
evaluación de la realizadas Encuesta de
, para
seguridad frente a los / Total de 43 / 106 27% satisfacción partes
infraestruct manten
últimos estándares y pruebas interesadas
ura de er el
guías de
procesamie cuidado
seguridad
nto y de la
reportad
aplicaciones segurida
as en el
d.
periodo
Métricas relacionadas
Fue
Meta del nte
proceso Aplica Resultad de
Métrica Fórmula Conclusión
ción o Info
rma
ción
105
Enc
Se reparan los
uest
cortafuegos en
1. La seguridad a de
Número de un 60%, los
de las redes y sati
cortafuegos cuales serán de
las Número de rupturas sfac
reparados / Total beneficio para
comunicacione (breaches) de 3/5 60% ción
de cortafuegos la organización;
s cumple con cortafuegos part
con daños en la sin esto, no se
las necesidades es
organización va a poder
del negocio. inte
continuar con
resa
las operaciones
das
RESULTADO
DE
capacidad
EVALUACION 39%
de proceso
DE
CAPACIDAD:
ACTIVIDADES
DSS 05 GESTIONAR SERVICIOS DE
Área: Gestión
SEGURIDAD
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
106
DSS05.01 Proteger contra software
malicioso (malware).
Implementar y mantener efectivas
medidas, preventivas, de detección y
correctivas (especialmente parches de Política de
seguridad actualizados y control de prevención de APO01.04
virus) a lo largo de la empresa para software malicioso
proteger los sistemas de información
y tecnología del software malicioso
(por ejemplo, virus, gusanos, software
espía –spyware- y correo basura).
MATRIZ RACI
107
DOMINIO: ALINEAR, PLANIFICAR Y
ORGANIZAR
informática/sistemas
Procesos de Negocio
Gestor de Privacidad
Gestor de Seguridad
Jefe de Operaciones
Jefe de arquitectura
Director de Riesgos
Propietarios de los
(Service Manager)
Gestor de Servicio
de la Información
de la información
Jefe de recursos
Director de
de negocio
Auditoría
humanos
(CRO)
(CIO)
de TI
PRACTICA CLAVE DEL GOBIERNO
DSS05.02
Gestionar la seguridad de la red y las I C C A I R I R
conexiones.
DSS05.03
Gestionar la seguridad de los puestos de I C A I R I R
usuario final. C
DSS05.04
Gestionar la identidad del usuario y el R C A I R I R
acceso lógico. C I C
DSS05.05
Gestionar el acceso físico a los activos de I C C A I R I R
TI.
R Responsible
A Accountable
C Consultant
I Informed
FLUJOGRAMA
108
NIVEL DE MADUREZ
OBSERVACIONES
109
1. Se determina que la empresa no está realizando pruebas para salvaguardar la
información, por lo que esto convierte en un riesgo alto para el activo más valioso que
es la información.
2. No se toma en cuenta los cortafuegos, sin imaginarse que sin ellos no habría solución
alguna de los problemas existentes.
RECOMENDACIONES
1. Establecer cláusulas estrictas con las cuales se cumplan las directrices para
salvaguardar la información
2. Reparar los cortafuegos que no están en funcionamiento, para así aprovechar el uso
de los equipos en todo el tiempo determinado.
110
CONCLUSIÓN DEL INFORME
Hemos auditado los procesos críticos que se adjuntan de M&M TRAVEL, que comprenden
toda la estructura y sus recursos relacionados con TI correspondiente al periodo marzo -
julio 2018.
111