Informe Final-Final

UNIVERSIDAD CENTRAL DEL ECUADOR
Facultad de Ciencias Administrativas

Carrera de Contabilidad y auditoria
TRABAJO GRUPAL “Auditoría Informática- M & M Travel”
DOCENTE:
ING. PATRICIA JIMBO
ASIGNATURA
AUDITORIA DE SISTEMAS INFORMÁTICOS II
PARALELO
CA 10 – 3
INTEGRANTES
 ALMEIDA VERGARA DANIEL ADRIAN
 CHIPANTASI TUFIÑO JUAN CARLOS
 PAREDES JARRÍN EDWIN STEVE
 PAZ BASTIDAS MARCELA JACIEL
 QUINGATUÑA MASABANDA DIEGO ELIAS
PERIODO LECTIVO
ABRIL 2018 – AGOSTO 2018
M&M TRAVEL GROUP
INFORME DE AUDITORÍA FINAL
Al 31 de diciembre del 2018

INFORME DE AUDITORÍA FINAL .............................................................................. 2
Al 31 de diciembre del 2018 ................................................................................... 2
INTRODUCCIÓN ............................................................................................................ 1
OBJETIVOS ..................................................................................................................... 1
GENERAL ................................................................................................................... 1
ESPECÍFICOS ............................................................................................................. 1
ALCANCE DE LA AUDITORIA ................................................................................... 1
METODOLOGÍA DE COBIT ......................................................................................... 1
NATURALEZA DE LA EMPRESA ............................................................................... 2
VISIÓN ............................................................................................................................. 3
MISIÓN ............................................................................................................................ 3
Políticas M&M TRAVEL ................................................................................................ 3
ESTRUCTURA ................................................................................................................ 5
MAPA DE PROCESOS ............................................................................................... 9
FUNCIONES DE LOS DEPARTAMENTOS ............................................................... 10
OBJETIVOS ESTRATÉGICOS ................................................................................ 12
DEPARTAMENTO DE TI ........................................................................................ 12
RESPONSABLES ...................................................................................................... 12
FUNCIONES TI ......................................................................................................... 13
OBJETIVOS ESTRATÉGICOS DE TI ..................................................................... 17
EVALUACIÓN DE ACTIVIDADES ............................................................................ 18
1. CARACTERIZACIÓN DE LA EMPRESA .......................................................... 18
2. VERIFICACIÓN INVENTARIO INFORMÁTICO.............................................. 18
3. VERIFICACIÓN DEL PLAN DE SEGURIDAD ................................................. 19
4. VERIFICACIÓN DE LOS PROCESOS PRIORITARIOS DEL DEPARTAMENTO
DE TI .......................................................................................................................... 19
5. VERIFICACIÓN METODOLOGÍA DE DESARROLLO .................................... 20
6. VERIFICACIÓN DEL PLAN DE CONTINGENCIA .......................................... 20
7. MEDICIÓN DE SATISFACCIÓN AL CLIENTE ................................................ 21
8. MATRIZ DE CONTROL INTERNO .................................................................... 38
EVALUACIÓN COBIT ................................................................................................. 41
RELACIÓN OBJETIVOS ESTRATÉGICOS CON OBJETIVOS DE TI ................ 41
LEVANTAMIENTO DE PROCESOS ...................................................................... 42
MAPEO METAS TI COBIT- OBJETIVOS TI EMPRESA ...................................... 45
MAPEO METAS TI COBIT- PROCESOS EMPRESA ............................................ 47
MATRIZ DE RIESGO ............................................................................................... 48
MAPEO PROCESOS COBIT- PROCESOS ORGANIZACIÓN .............................. 54
1
MEDICIÓN DE LOS PROCESOS CRÍTICOS ......................................................... 57
MEDICIÓN DE LOS PROCESOS CRÍTICOS .......... Error! Bookmark not defined.
Dominio: Evaluar, Orientar y Supervisar ............................................................... 57
EDM05 Asegurar la Transparencia hacia las Partes Interesadas ........................... 57
MÉTRICAS ............................................................................................................ 57
ACTIVIDADES ..................................................................................................... 59
MATRIZ RACI ...................................................................................................... 60
FLUJOGRAMA ..................................................................................................... 61
NIVEL DE MADUREZ ......................................................................................... 62
OBSERVACIONES ............................................................................................... 62
RECOMENDACIONES ........................................................................................ 62
Dominio: Alinear, Planificar y Organizar .............................................................. 63
APO 09 GESTIONAR LOS ACUERDOS DE SERVICIO .................................. 63
MÉTRICAS ............................................................................................................ 63
ACTIVIDADES ..................................................................................................... 65
MATRIZ RACI ...................................................................................................... 66
FLUJOGRAMA ..................................................................................................... 68
NIVEL DE MADUREZ ......................................................................................... 69
OBSERVACIONES ............................................................................................... 69
APO 10 GESTIONAR LOS PROVEEDORES .................................................... 70
MÉTRICAS ............................................................................................................ 70
ACTIVIDADES ..................................................................................................... 72
MATRIZ RACI ...................................................................................................... 73
FLUJOGRAMA ..................................................................................................... 75
NIVEL DE MADUREZ ......................................................................................... 75
OBSERVACIONES ............................................................................................... 76
APO 12 GESTIONAR LOS RIESGOS ................................................................ 78
MÉTRICAS ............................................................................................................ 78
ACTIVIDADES ..................................................................................................... 80
MATRIZ RACI ...................................................................................................... 81
FLUJOGRAMA ..................................................................................................... 82
NIVEL DE MADUREZ ......................................................................................... 84
OBSERVACIONES ............................................................................................... 84
ACTIVIDADES ..................................................................................................... 87
2
MATRIZ RACI ...................................................................................................... 87
FLUJOGRAMA ..................................................................................................... 89
NIVEL DE MADUREZ ......................................................................................... 90
OBSERVACIONES ............................................................................................... 90
Dominio: Construcción, Adquisición e Implementación ....................................... 91
BAI 06 GESTIONAR LOS RIESGOS ................................................................. 91
MÉTRICAS ............................................................................................................ 91
ACTIVIDADES ..................................................................................................... 92
MATRIZ RACI ...................................................................................................... 93
FLUJOGRAMA ..................................................................................................... 94
NIVEL DE MADUREZ ......................................................................................... 95
OBSERVACIONES ............................................................................................... 95
Dominio: Entregar, dar Servicio y Soporte ............................................................ 96
DSS 04 GESTIONAR LA CONTINUIDAD ........................................................ 96
MÉTRICAS ............................................................................................................ 96
ACTIVIDADES ..................................................................................................... 98
MATRIZ RACI .................................................................................................... 101
FLUJOGRAMA ................................................................................................... 103
NIVEL DE MADUREZ ....................................................................................... 104
OBSERVACIONES ............................................................................................. 104
RECOMENDACIONES ...................................................................................... 104
Dominio: Entregar, dar Servicio y Soporte .......................................................... 104
DSS 05 GESTIONAR LOS SERVICIOS DE SEGURIDAD ............................ 104
MÉTRICAS .......................................................................................................... 104
ACTIVIDADES ................................................................................................... 106
MATRIZ RACI .................................................................................................... 107
FLUJOGRAMA ................................................................................................... 108
NIVEL DE MADUREZ ....................................................................................... 109
OBSERVACIONES ............................................................................................. 109
RECOMENDACIONES ...................................................................................... 110
CONCLUSIÓN DEL INFORME ................................................................................. 111
3
INTRODUCCIÓN
Las Tecnologías de la Información y Comunicación constituyen actualmente una

herramienta estrategia para el desarrollo de una compañía, y es precisamente de la
importancia de su adecuada gestión y desempeño, de donde surge la necesidad de
verificar que las políticas y procedimientos establecidos para su desarrollo, se lleven a
cabo de manera oportuna, eficiente, permitiendo un mejoramiento continuo. M&M
TRAVEL, consecuente con sus objetivos estratégicos se encuentra en la búsqueda
continua, de fortalecimiento tecnológico, que brinde soporte efectivo a sus operaciones
para contribuir al desarrollo del país.
La presente auditoría informática busca contribuir a mejorar la aportación de las TIC ´s,
mediante recomendaciones y planes de acción para mitigar los riesgos. Además, tiene por
objeto realizar una Auditoría de Tecnologías de la Información a la empresa M&M
TRAVEL y establecer el Nivel de Madurez en que se encuentra, para lo cual se utiliza el
modelo de capacidad de COBIT 5.O planteado por ISACA.
OBJETIVOS
GENERAL
Evaluar la situación actual del Departamento de TI de M&M TRAVEL utilizando COBIT

5 como marco de referencia, y presentar un informe con conclusiones y recomendaciones
a la alta gerencia en base a la auditoría realizada, para minimizar los riesgos informáticos
y conseguir incrementar la satisfacción de los usuarios de los sistemas de información.
ESPECÍFICOS
 Aplicación del marco de Referencia COBIT 5 para realizar la auditoría.

 Uso de los modelos de capacidad; una metodología propuesta por COBIT 5 para
modelar el impacto de los objetivos de control sobre los recursos y criterios de TI.
 Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
 Determinar los riesgos de TI.
 Incrementar la satisfacción de los usuarios de los sistemas computarizados.
 Minimizar existencias de riesgos en el uso de Tecnología de información
ALCANCE DE LA AUDITORIA
La presente auditoría permitirá evaluar los riesgos de TI, y medir la capacidad de los
procesos críticos del departamento de TI en M&M Travel.
METODOLOGÍA DE COBIT
COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a

la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos
y riesgos de negocio, y comunicar ese nivel de control a los participantes. COBIT permite
1
el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las
empresas. COBIT constantemente se actualiza y armoniza con otros estándares, por lo
que COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de
referencia general para el gobierno de TI que ayuda a comprender y administrar los
riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque
que se encuentra orientado al negocio brindan una visión completa de TI y de las
decisiones a tomar acerca de TI.
Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI
incluyen:
 Mejor alineación, con base en su enfoque de negocios
 Una visión, entendible para la gerencia, de lo que hace TI
 Propiedad y responsabilidades claras, con base en su orientación a procesos
 Aceptación general de terceros y reguladores
 Entendimiento compartido entre todos los participantes, con base en un lenguaje
común
 Cumplimiento de los requerimientos COSO para el ambiente de control de TI.
NATURALEZA DE LA EMPRESA
M&M TRAVEL nació en el año 2006 como un proyecto de desarrollo turístico en el

Ecuador, pero fue hasta el año 2007 en que de la mano de su fundador el Sr. Galo Eduardo
Paladinez Bustamante, el proyecto se hizo realidad y la empresa se fundó en abril del
2007, abriendo sus puertas al público el 1 de mayo del mismo año.
Desde entonces nuestro propósito ha sido brindar a nuestros clientes un servicio de alta
gama, ofreciéndoles asesoría integral para el desarrollo y asesoría de viajes turísticos,
vacacionales, de negocios o de solución, a las necesidades del público viajero.
La Empresa M&M TRAVEL, cuenta con un marco legal que sustenta su gestión
enmarcado en base a la Ordenanza No. 309, publicada en el Registro oficial No. 186 de
5 de mayo de 2010, mediante la cual se determina se creación y se establece su objeto
principal:
a) “Desarrollar la actividad turística del Distrito Metropolitano de Quito, tal como la
generación y reconversión de nuevos productos turísticos, adecuación de la
infraestructura turística, capacitación, formación y profesionalización en el sector
turístico, entre otras;
b) Promocionar el Distrito Metropolitano de Quito como destino turístico nacional e
internacional;
c) Coordinar las actividades del Fondo de Promoción y Desarrollo Turístico;
d) Fomentar la inversión en el sector turístico, a través de cualquier instrumento o
sistema;
2
e) Realizar investigaciones y estudios de la oferta y demanda turística y la
producción de instrumentos de planificación y gestión en el sector turístico;
f) Desarrollar, en el marco de la legislación vigente, rubros de negocios
relacionados, directa o indirectamente, con las actividades turísticas previstas en
la legislación ecuatoriana, en coordinación con otras empresas;
g) Prestar servicios públicos, a través de la infraestructura a su cargo, como participe
o integrador de la actividad de ferias, eventos y convenciones;
h) Prestar servicios públicos, relacionados con la gestión de Quito como destino
turístico en todos los ámbitos de la actividad turística
VISIÓN
M&M TRAVEL; Convertirnos en el referente turístico con una plataforma integral

ofreciendo a nuestros clientes información automatizada en línea agilizando procesos
administrativos y brindando un servicio de calidad que satisfaga las necesidades de
nuestros clientes.
MISIÓN
M&M TRAVEL; Somos la única plataforma turística en el mercado nacional que ofrece
servicios integrales de consolidación, mayoreo, turismo receptivo y tenemos la capacidad
del manejo tanto de pasajeros individuales como grupos. Nuestra tecnología de punta nos
permite estar a la vanguardia en entrega de reportes, pagos a clientes y proveedores y el
fiel cumplimiento de las leyes apegadas a nuestro negocio.
Políticas M&M TRAVEL
M&M TRAVEL GROUP única y exclusivamente es la empresa intermediaria entre el

usuario de los paquete y las entidades o personas que intervienen en brindar los servicios
incluidos en el mismo, como son: hoteles, restaurantes, transportación terrestre, línea
aérea, etc. no se hace responsable por daños causados al usuario de este servicio, tales
como accidentes, robos, así como cualquier daño, perjuicio o incidente que se le ocasione
en la contratación de este paquete.
El usuario deberá expresamente acatar los reglamentos y condiciones establecidas por los
prestadores de servicios contratados, eximiendo a M&M TRAVEL GROUP de cualquier
responsabilidad derivada de su incumplimiento.
Las empresas participantes de este paquete y M&M TRAVEL GROUP se responsabilizan
en forma independiente cada una de ellas, y esta última solo intervendrá como
intermediaria para gestionar el reembolso del importe que haya pagado o anticipado el
usuario.
Cualquier servicio no utilizado voluntariamente no dará derecho a reclamación o
reembolso alguno.
Si por causas de fuerza mayor o casos fortuitos, los prestadores de los servicios
contratados no pudieran proporcionarlos parcial o totalmente, la empresa organizadora
sólo gestionará por cuenta del usuario el reembolso del importe que proceda con exclusión
de cualquier otro compromiso.
3
Cuando M&M TRAVEL GROUP sea quién cancele, un Viaje o Excursión de cualquier
naturaleza, por causas ajenas al turista, estará obligada a reembolsarle la totalidad de los
anticipos o pagos que haya efectuado.
El hecho de que el cliente entregue un anticipo y/o el pago por el programa que haya
elegido, implica su aceptación de las condiciones y responsabilidades contenidas en esta
publicación.
M&M TRAVEL GROUP tendrá el derecho para cancelar cualquier salida si así lo cree
conveniente por causas ajenas a la agencia, y se compromete a rembolsar los anticipos o
el pago total.
Las entradas a los hoteles deberán ser invariablemente el día de llegada de llegada de los
pasajeros a su destino. La hora de entrada de los hoteles será prevista a partir de las 15:00
horas y la salida a las 13:00 horas; en caso de que la llegada de los pasajeros sea antes de
las 15:00 horas, puede darse el caso de que las habitaciones no sean facilitadas hasta este
momento
Los precios publicados son en Dólares de los Estados Unidos de América.
Los precios publicados están sujetos a cambio sin previo aviso.
Las reservaciones deberán ser acompañadas por el pago de un depósito del 50% del
importe del viaje, liquidándose el saldo como mínimo 7 días antes de la fecha de salida.
Las inscripciones serán válidas sólo cuando sean confirmadas en firme por la agencia
organizadora y haya sido liquidado el importe total del viaje. La inscripción en cualquiera
de los viajes incluidos en esta publicación, implica la total conformidad a todas y cada
una de las condiciones estipuladas.
Cuando el pasajero desista voluntariamente del viaje contratado para una fecha específica,
la cancelación estará libre de gastos si se efectúa antes de los 25 días de la iniciación del
viaje.
Para la salida de los paquetes podrán viajar como mínimo 2 personas. En los tours
convencionales no hay mínimos de personas.
Los paquetes son reembolsables siempre y cuando sean cancelados antes de 25 días de la
fecha de salida.
4
ESTRUCTURA
5
6
7
Departamento de TI
8
MAPA DE PROCESOS
9
FUNCIONES DE LOS DEPARTAMENTOS
EMPRESA M&M TRAVEL

ATRIBUCIONES Y RESPONSABILIDADES
UNIDAD ATRIBUCIÓN Y
ADMINISTRATIVA RESPONSABILIDAD
NIVEL DIRECTIVO
a) Planifica, organiza, dirige y evalúa los servicios
Directorio prestados a las diferentes agencias de viajes.
b) Conducir la elaboración, ejecución y evaluación
del Plan Estratégico de la empresa M&M Travel
Cía. Ltda.
c) Establecer nuevos productos en coordinación
con las Gerencias Generales de Guayaquil y
Quito.
a) Planificar los objetivos generales y específicos

Director Administrativo- de la empresa a corto y largo plazo.
financiero b) Organizar la estructura de la empresa actual y a
futuro; como también de las funciones y los
cargos.
c) Dirigir la empresa, tomar decisiones, supervisar
y ser un líder dentro de ésta.
d) Dirigir la empresa, tomar decisiones, supervisar
y ser un líder dentro de ésta.
Gerente Administrativo 1. Diseñar el Plan Estratégico de Ventas de manera

financiero conjunta con el Director Administrativo
financiero.
2. Elaborar el presupuesto de gastos del
departamento de ventas, en coordinación con el
Gerente General.
3. Mantenerse informado respecto a precios,
servicios, comisiones, estrategias, entre otros de
la competencia.
4. Verificar el cumplimiento de metas y objetivos
establecidos en la planeación estratégica de la
organización.
NIVEL OPERATIVO / TÉCNICO / GESTIÓN

1. Registro de los usuarios en el sistema de
OPERATIVOS ventas y emisión el Boleto de Viaje.
10
2. Recepción de los cobros por ventas de
acuerdo a los comprobantes de pago.
3. Impresión de los manifiestos de pasajeros.
4. Realizar la liquidación de ventas del día
(cuadre de caja) Realizar las reservas de
asiento cuidando de solicitar todos los datos
necesarios.
5. Realizar los cambios, endosos,
postergaciones, devoluciones y/o cualquier
otro servicio que le solicite al cliente.
Realizar los reportes estadísticos que le
solicite la administración.
Departamento de TI
1. Asegurar la operación eficiente de la

plataforma de sistemas de información ERP
que soportan los procesos de negocio,
generando una ejecución eficiente, precisa,
integral y confiable de la data e información
que manejan y comparten.
2. Apoyar los requerimientos de las Gerencias,
que son usuarias de la información del
sistema ERP, aplicando un concepto de
servicio al cliente, basado en las
necesidades y los problemas del negocio.
3. Apoyar al control de gestión, a través de la
generación de información que permita
realizar una evaluación permanente del
desempeño del negocio.
4. Generar propuestas de modernización de la
plataforma informática de la Empresa, para
asegurar su actualización permanente y
captar las oportunidades que plantea la
innovación en materias informáticas.
5. Participar en la evaluación técnica de los
proyectos de inversión en tecnologías de la
información y comunicaciones, aportando
antecedentes para su evaluación económica.
6. Asegurar el perfeccionamiento continuo del
personal en todas las áreas del conocimiento
asociadas al trabajo en tecnologías de
información y comunicaciones.
11
7. Apoyar directamente al Gerente de
Planificación y Desarrollo en la gestión del
Comité Informático.
8. Velar por la correcta utilización de los
sistemas de información con que cuenta la
empresa.
OBJETIVOS ESTRATÉGICOS
DEPARTAMENTO DE TI
PERSPECTI OBJETIVOS
VAS ESTRATÉGICOS
Mejorar la posición en
VAL Incrementar el índice de Incrementar el el ranking de ciudades
OR satisfacción y experiencia impacto económico sedes en
PÚBLI del turista en el destino del turismo en ecuador
Latinoamérica.
CO
Incrementar el índice de Optimizar el uso de los recursos

FINANCIER autonomía financiera financieros de la empresa
A
Incrementar la percepción positiva de Incrementar la eficiencia

PROCESOS la imagen corporativa de M&M organizacional
Travel
APRENDIZ
AJE Y Mejorar el clima laboral
CRECIMIE
NTO
RESPONSABLES
La Dirección de Gestión de la Información y Procesos ha establecido su misión, visión y

estrategias para garantizar el buen uso de sus recursos y la entrega oportuna y eficaz de
las tecnologías de la información. El área está conformada por:
Ing. Danilo Criollo
Gerente de Tecnologías de la Información danilo.criollo@mymtravel.com
12
Ing. Khaterine Collaguazo
Subgerente de Tecnologías de la Información khaterine.collaguazo@mymtravel.com
Ing. Luis Vaca
Telecomunicaciones luis.vaca@mymtravel.com
Ing. Marcelo Narváez
Programador marcelo.narvaez@mymtravel.com
Ing. Luis Soza
Soporte área Procesos y Proyectos informáticos UIO luis.soza@mymtravel.com
Ing. Christian Campoverde
Soporte área Procesos y Proyectos informáticos GYE christian.campoverde@mymtravel.com
FUNCIONES TI
Gerente TI: Danilo Criollo
 Planificar, diseñar, ejecutar y monitorear la estrategia de tecnologías de
información.
 Supervisar y evaluar el alineamiento de los sistemas de información a los procesos
corporativos.
 Participar en la elaboración de las estrategias de negocios.
 Definir políticas y normas de seguridad de la información así como
procedimientos generales de seguridad física y lógica, tanto en lo que se refiere a
las tecnologías informáticas como a las comunicaciones.
 Mantener la operatividad y disponibilidad de los sistemas de información y
servicios basados en Tecnologías de Información y Comunicaciones.
 Emitir opinión técnica especializada en temas vinculados a la tecnología de la
información y comunicaciones.
 Formular los Términos de Referencia para la adquisición de equipos, accesorios,
repuestos, insumos y demás elementos necesarios relacionados con el uso de
tecnologías de la información, así como la contratación de servicios conexos,
siendo responsable de emitir la conformidad técnica respectiva definiendo los
niveles de servicio (Service Level Agreement) acordes con las necesidades.
 Asesorar y recomendar a la Alta Dirección en las soluciones tecnológicas,
propiciando la innovación de procesos y servicios.
 Evaluar y proponer la infraestructura de hardware y software (identificación de
necesidades) más adecuada para atender las necesidades de la empresa.
 Definir los Términos de Referencia para la contratación de personal
especializados en tecnologías de información y comunicaciones, así como
participar en su evaluación.
 Propiciar la investigación, desarrollo y aplicación de nuevas tecnologías asociadas
con la mejora de capacidades y generación de ventajas competitivas para M&M
TRAVEL GROUP.
13
 Elaborar y proponer acciones de capacitación orientadas al mejoramiento
continuo de las capacidades del personal de la empresa.
 Elabora el Presupuesto anual de TI.
 Proveer asistencia técnica a todas las áreas de la empresa.
 Establecer planes de contingencia para las funciones críticas verificando
 constantemente su buen funcionamiento.
 Mantener un inventario actualizado de los recursos informáticos información
(ERP, Intranet, etc.)
 Responsable de la Implementación de la mesa de servicios para centralizar y
controlar las solicitudes de requerimientos tecnológicos, seguimiento oportuno
para una óptima atención al usuario (definición de horarios de atención, criterios
de prioridades y medidores de desempeño).
 Mantener las medidas necesarias para la continuidad del negocio, así como para
los procesos y procedimientos de recuperación de desastres.
Sub Gerente TI: Khatherine Collaguazo
 Diseñar, planificar, formular, programar, dirigir, controlar y supervisar el

cumplimiento de las funciones, planes operativos y actividades que se
implementen y desarrollen en el área.
 Proponer la Estrategia de Gobierno Electrónico, así como coordinar y supervisar
su implementación.
 Coordinar y supervisar la integración funcional de los sistemas informáticos
de M&M TRAVEL GROUP y promover el desarrollo de sistemas y aplicaciones
de uso común en las unidades orgánicas que la conforman.
 Administrar, coordinar y supervisar el desarrollo del portal institucional, para
facilitar la interrelación sistema – colaborador, con el fin de establecer un mejor
servicio a M&M TRAVEL GROUP.
 Brindar asistencia técnica a M&M TRAVEL GROUP y a sus 3 Direcciones
Técnicas.
 Formular propuestas para impulsar el proceso de desarrollo e innovación
tecnológica para la mejora de la gestión y modernización administrativa y de
servicios de M&M TRAVEL GROUP.
 Proponer, formular, organizar, dirigir e implementar las políticas y planes de
aplicación y de uso de tecnologías de la información y de las comunicaciones, de
manera que estos provean soporte a la operación de la entidad y sean motores para
el desarrollo organizacional.
 Formular, proponer y dirigir el desarrollo y aplicación de políticas,
prácticas, procedimientos y funciones que aseguren los niveles adecuados de
confidencialidad, integridad y disponibilidad de los sistemas de información,
de los datos y de las comunicaciones de la Municipalidad.
14
 Coordinar con la Gerencia TI, la implementación de proyectos, así la como la
aplicación y uso de las Tecnologías de la Información y Comunicaciones, y otros
de interés institucional.
 Administrar, diseñar y supervisar las bases de datos de M&M TRAVEL GROUP,
asegurando la integridad física y lógica de éstas, a través de la generación
periódica de copias de respaldo (Back Up).
 Implementar las políticas de seguridad, respaldo de datos y para lograr la
seguridad informática de M&M TRAVEL GROUP.
 Formular el Plan Anual de Mantenimiento y Desarrollo de los Sistemas de
Información y comunicaciones.
Telecomunicaciones: Luis Vaca

 Atender casos diarios de mesa de ayuda relacionados con las tareas de redes y
servicios.
 Implementar la infraestructura de Red en nuevas agencias y/o ampliación de las
existencias.
 Configurar equipos de conectividad (switches, access point, etc.).
 Instalar switches y proyectores.
 Revisión de red física en Quito como en Guayaquil.
 Verificación de cables disponibles en Inventario.
 Compra de material para telecomunicaciones mensualmente. Z|
 Administrar y monitorear la red de voz, datos, videos con equipos.
 Realizar mantenimiento de gabinetes y equipos de comunicación en Quito como
en Guayaquil.
Programación: Marcelo Narváez

 Analiza programas de baja y mediana complejidad.
 Diseña programas de baja y mediana complejidad.
 Elabora programas de baja y mediana complejidad.
 Mantiene programas de baja y mediana complejidad Firesoft.
 Implanta programas de baja y mediana complejidad Chekeando.
 Documenta los programas de computación de acuerdo con las normas establecidas
en M&M TRAVEL GROUP.
 Recolecta información del usuario sobre sus necesidades de los 3 Direcciones.
 Asiste a usuarios finales en el uso de los programas.
 Diseña pruebas de validación para los programas.
 Ejecuta pruebas de validación para los programas.
 Realiza respaldo de la información bajo su responsabilidad.
 Documenta los trabajos realizados.
 Participa en reuniones técnicas.
15
 Cumple con las normas, lineamientos y estándares establecidos por la unidad para
el desarrollo de programas de computación.
 Mantiene en orden equipo y sitio de trabajo, reportando cualquier anomalía.
 Elabora informes periódicos de las actividades realizadas.
 Realiza cualquier otra tarea afín que le sea asignada por parte de Gerente TI
Danilo Criollo.
Soporte Quito: Luis Sosa

• Realizar el mantenimiento de los equipos informáticos del Servicio (hardware y
software) en cuanto a ordenadores personales y periféricos asociados.
• Instalar, configurar y actualizar hardware y software.
• Diagnosticar fallas y errores, reparar o informar sobre la necesidad de una
reparación externa.
• Acondicionar los equipos, para su correcto uso en la organización y cuando se
realicen las reparaciones externas, verificar la calidad de las mismas al reingresar
el equipo.
• Asesorar a los funcionarios del Servicio en el uso correcto de computadores.
• Mantener y supervisar las defensas anti-virus del sistema informático.
• Inspeccionar la instalación de redes y asistir a los usuarios en la operación de las
mismas.
• Respaldar información y programas.
• Ampliar o cambiar memorias y realizar actualizaciones.
• Realizar otras tareas relacionadas que le se asignada por parte de Gerente TI
Danilo Criollo.
Soporte Guayaquil: Christian Campoverde

• Realizar el mantenimiento de los equipos informáticos del Servicio (hardware y
software) en cuanto a ordenadores personales y periféricos asociados.
• Instalar, configurar y actualizar hardware y software.
• Diagnosticar fallas y errores, reparar o informar sobre la necesidad de una
reparación externa.
• Acondicionar los equipos, para su correcto uso en la organización y cuando se
realicen las reparaciones externas, verificar la calidad de las mismas al reingresar
el equipo.
• Asesorar a los funcionarios del Servicio en el uso correcto de computadores.
• Mantener y supervisar las defensas anti-virus del sistema informático.
• Inspeccionar la instalación de redes y asistir a los usuarios en la operación de las
mismas.
• Respaldar información y programas.
• Ampliar o cambiar memorias y realizar actualizaciones.
• Realizar otras tareas relacionadas que le se asignada por parte de Gerente TI
Danilo Criollo.
16
OBJETIVOS ESTRATÉGICOS DE TI
 Diseñar, implementar y administrar soluciones de innovación tecnológica que

permitan apoyar las actividades logísticas, administrativas, de investigación y
relación con el medio externo de la compañía, a fin de cumplir los objetivos
estratégicos institucionales.
 Gestionar la información Institucional para la generación de datos duros que
aporten a la toma de decisiones.
17
EVALUACIÓN DE ACTIVIDADES
1. CARACTERIZACIÓN DE LA EMPRESA
Se solicitó los documentos donde se encuentre los objetivos, metas, y procesos de la

empresa y su departamento de TI con lo cual verificó:
N.- ITEM COMPONENTE SI/NO OBSERVACIÓN
1 PEDI Antecedentes de la SI La empresa no
empresa proporciono el
Estructura SI documento de
Funciones de los SI información de procesos
departamentos
Objetivos Estratégicos SI
Indicadores de SI
desempeño
Procesos NO
Filosofía corporativa SI
2 Portafolio de Presentación Histórica NO El departamento de TI no
Servicios de TI entrego el documento de
Objetivos TI SI información de procesos.
Servicios SI
Procesos de TI NO
Descripción de Equipos SI
Clientes SI
Responsables SI
2. VERIFICACIÓN INVENTARIO INFORMÁTICO

Se solicitó los documentos donde consten los inventarios de equipos informáticos que
tiene la organización, el cual al realizar su verificación se encontró:
1 INV. EQUIPO SI EL detalle de software se
SOFTWARE da de manera general no
NUMERO DE SERIE NO se tiene registro de
LICENCIAS SI software asociado a los
NUMERO DE SI equipos ni las fechas de
LICENCIA instalación.
TOTAL LICENCIAS NO
POR DEPARTAMENTO
ESTADO NO
FECHA DE COMPRA NO
UBICACIÓN NO
2 INV. EQUIPO SI No se conoce las
HARDWARE características que estos
MARCA SI poseen, ni las fechas de
MODELO SI ingreso.
NUMERO DE SERIE SI
CARACTERÍSTICAS NO
18
RESPONSABLES SI
UBICACIÓN SI
ESTADO SI
FECHAS DE INGRESO NO
TOTAL EQUIPOS POR SI
DEPARTAMENTOS
3. VERIFICACIÓN DEL PLAN DE SEGURIDAD

1 Plan de Políticas de seguridad SI
seguridad informática de los
usuarios que hacen uso de Para que una persona
las TI externa tenga acceso a las
Sistema se seguridad SI tecnologías informáticas
informática y de comunicaciones será́
Apertura y cierre de los SI necesario la autorización
locales previa del responsable de
seguridad informática y
Control de Acceso a las NO no se hará́ sin la presencia
Tecnologías Informáticas de un trabajador del área
que se trate.
Identificación de usuario SI
4. VERIFICACIÓN DE LOS PROCESOS PRIORITARIOS DEL

DEPARTAMENTO DE TI
Para la verificación del cumplimiento de los procesos seleccionados se realizó la
verificación de sus actividades y se solicitó la documentación respectiva al departamento
de TI en la cual se presenta:
1 Procesos APO 009 GESTIONAR NO
Prioritarios LOS ACUERDOS DE La empresa no facilito
SERVICIOS por cuestiones de
APO 10 GESTIONAR SI confidencialidad los
LOS PROVEEDORES acuerdos de servicios con
APO 12 GESTIONAR NO proveedores externos y
EL RIESGO sus términos de
APO 13 GESTIONAR SI negociación, sin embargo
LA SEGURIDAD en las evidencias
BAI 06 GESTIONAR NO obtenidas se muestran
LOS CAMBIOS indicios de alto riesgo en
DSS 05 - GESTIONAR SI seguridad de la
SERVICIOS DE información.
SEGURIDAD
19
DSS04 GESTIONAR LA SI
CONTINUIDAD
EDM05 ASEGURAR LA SI
TRANSPARENCIA
HACIA LAS PARTES
INTERESADAS
5. VERIFICACIÓN METODOLOGÍA DE DESARROLLO

Para verificar la Metodología se solicitó la documentación correspondiente al desarrollo
de proyectos en la cual se observó:
1 Metodología Nombre NO La empresa no cuenta con
de Desarrollo planes de Desarrollo, por
Fases NO lo cual su mejora
Artefactos NO continua se realiza en
Estándares de NO función de sus
Programación necesidades.
Estándares de Base de NO
Datos
6. VERIFICACIÓN DEL PLAN DE CONTINGENCIA
Para verificar la Metodología se solicitó la documentación correspondiente al desarrollo

de este plan de contingencia.
1 Plan de Encargados SI La empresa cuenta con
Contingencia encargados.
Flujogramas SI
Inventario de Plan de NO La empresa solo cuenta
contingencia con un plan de
contingencia de
telecomunicaciones.
Flujograma NO No cuenta con plan de
departamentalizado contingencia
departamentalizado.
Funciones del plan de SI
contingencia
20
7. MEDICIÓN DE SATISFACCIÓN AL CLIENTE
Para medir la satisfacción de las necesidades del cliente se determinó la siguiente muestra
para la aplicación del cuestionario, teniendo en cuenta que los 109 empleados que
conforman la empresa:
𝑷∗𝑸
𝒏=
𝒆𝟐 𝑷∗𝑸
𝟐 + 𝑵
𝒛
𝟐𝟓 ∗ 𝟕𝟓
𝒏=
𝟓𝟐 𝟐𝟓 ∗ 𝟕𝟓
+ 𝟏𝟎𝟗
𝟏. 𝟗𝟔𝟐
𝒏 = 𝟖𝟒
Análisis: Debemos aplicar nuestra encuesta a 84 personas para obtener resultados en

cuanto a conocer la percepción que tiene el personal de la empresa M&M TRAVEL CIA.
LTDA. Respecto a los procesos de TI.
TABULACIÓN DE RESULTADOS
1. ¿Dentro de su departamento, existe creación de valor mediante el uso de

TIC’s?
SI 26
NO 58
TOTAL 84
70
60
50
40
30
20
10
21
0
SI NO
Conclusión:
Se puede observar que no existe creación de valor dentro de la organización para el uso de las
TIC's, por lo cual se debe realizar monitoreo y aplicaciones para fomentar el cambio.
2. ¿Está el usuario final satisfecho con la calidad de servicio de TI?
SI 34
NO 50
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Los procesos que se están llevando a cabo por el departamento de TI, no están cumpliendo las
expectativas ni cubriendo las necesidades de la organización.
3. ¿El personal recibe capacitaciones constantes para el uso de dispositivos?
SI 25
22
NO 59
TOTAL 84
70
60
50
40
30
20
10
0
SI NO
Conclusión:
La empresa está dedicando tiempo a la formación del personal en un 30%, lo cual no es bueno, ya
que todos manejan este tipo de información.
4. ¿Cómo se gestiona el rendimiento de TIC?
PRUEBAS 43
PROYECTOS 23
PROGRAMAS 18
TOTAL 84
50
45
40
35
30
25
20
15
10
23
5
0
PRUEBAS PROYECTOS PROGRAMAS
Conclusión:
Por lo obtenido, la gestión para comprobar el rendimiento del departamento de

TIC se da en mayor porcentaje a PRUEBAS, seguido de los proyectos y por último
programas realizados en el sistema.
5. ¿Cómo se puede explotar mejor la tecnología para conseguir nuevas oportunidades

estratégicas?
INNOVACIÓN 44
SOPORTE Y MANTENIMIENTO 40
TOTAL 84
45
44
43
42
41
40
39
38
INNOVACIÓN SOPORTE Y MANTENIMIENTO
Conclusión:
En los resultados obtenidos, se determina que, mediante la innovación, y de la mano el soporte y

mantenimiento se puede conseguir nuevas oportunidades estratégicas para establecer una mejor
posición en el mercado laboral.
24
6. De las siguientes opciones, ¿cómo puede construir y estructurar mejor el departamento
de TI?
PERSONAL ESPECIALIZADO 48
CAMBIO DE HARDWARE 12
ASISTENCIA DE SOFTWARE 24
TOTAL 84
60
50
40
30
20
10
0
PERSONAL ESPECIALIZADO CAMBIO DE HARDWARE ASISTENCIA DE SOFTWARE
Conclusión:
Para una mejor estructura del departamento de TI se establece mediante las encuestas que es
realmente necesario la capacitación constante del personal, para que así el departamento brinde
mejores resultados.
7. En una escala del 1 al 10, ¿cuánto depende el departamento de TI de sus

proveedores externos?
1-3 5
4-6 13
7 - 10 66
TOTAL 84
70
60
50
25
40
30
Conclusión:
El departamento de TI depende en un alto porcentaje del proveedor del sistema contable

para cualquier inconveniente presentado.
8. ¿Qué tan bien están siendo gestionados los acuerdos de tercerización de TI?
MUY BIEN 17
REGULAR 23
MALO 44
TOTAL 84
50
40
30
20
10
0
MUY BIEN REGULAR MALO
Conclusión:
26
Los acuerdos de tercerización del departamento no están gestionándose de manera
adecuada, puesto que existen inconformidades entre ambas partes, para lo cual se deberá
determinar soluciones.
9. ¿Cuáles son los requisitos de control para la información?
ACCESOS RESTRINGIDOS 34
ACEESOS SEGÚN PERFILES Y ROLES 50
TOTAL 84
60
50
40
30
20
10
0
ACCESOS RESTRINGIDOS ACEESOS SEGÚN PERFILES Y ROLES
Conclusión:
Para el control de la información, se han puesto como medidas los accesos restringidos para
el personal; y también que se habiliten al uso del sistema en cuantos accesos según perfiles
y roles.
10. ¿Se realiza con frecuencia evaluaciones de perfil al proveedor del software?
SI 21
NO 63
TOTAL 84
70
60
27
50
40
Conclusión:
Como cláusula dentro del contrato a la adquisición de software se detalla que se debe realizar 4
evaluaciones de perfil al proveedor, de las cuales como se puede observar se ha realizado
únicamente una evaluación, quedando como resultado que el 25% de este proceso se ha
cumplido de manera eficiente; esto se considera un riesgo para la organización.
11. ¿El departamento de sistemas genera estrategias de prevención para evitar

descomposiciones de los equipos?
SI 46
NO 38
TOTAL 84
70
60
50
40
30
20
10
0
SI NO
28
Conclusión:
No se están llevando a cabo planes de prevención para la descomposición de los equipos
dentro del departamento de TI.
12. ¿Cómo se controla el coste de TI?
PRESUPUESTOS 76
PROFORMAS 8
TOTAL 84
80
70
60
50
40
30
20
10
0
PRESUPUESTOS PROFORMAS
Conclusión:
Se elaborar los presupuestos para un necesario coste del departamento de TI, por último, las
proformas no son tan utilizadas.
13. ¿Cómo se usan los recursos de TI en la manera más efectiva y eficiente?
GESTIÓN DE CALIDAD DE PROCESOS 44

ESTRUCTURAR PLANES A TRAVÉS DE LA DGIT 40
TOTAL 84
29
45
44
43
42
41
40
39
38
GESTIÓN DE CALIDAD DE PROCESOS ESTRUCTURAR PLANES A TRAVÉS DE LA
DGIT
Conclusión:
Los recursos del departamento de TI van destinados estrictamente a la gestión de calidad de procesos
para así mejorar y continuar con la innovación de los procesos y brindar un mejor servicio.
14. ¿Cuáles son las opciones de aprovisionamiento más efectivas y

eficientes?
PLANES DE CONTINGENCIA 75
PROTOCOLO DE EMERGENCIA 9
TOTAL 84
80
70
60
50
40
30
20
10
0
PLANES DE CONTINGENCIA PROTOCOLO DE EMERGENCIA
30
Conclusión:
Como una estrategia de aprovisionamiento se utiliza los planes de

contingencia dentro de la empresa, para cualquier problema presentado.
15. ¿Se han presentado problemas dentro del sistema?
SI 36
NO 48
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Se determina que han existido 36 reclamos en el sistema dentro del periodo. Lo cual es un porcentaje
considerable para una completa revisión al sistema.
Si su respuesta es sí, ¿han sido solucionados de manera inmediata?
SI 14
NO 36
TOTAL 50
31
40
35
30
25
20
15
10
0
SI NO
Conclusión:
Se solucionan 14 de los 36 problemas presentados en el sistema, dando un porcentaje de

cumplimiento de 39%, lo cual no es un punto positivo para la organización, ya que se pueden
considerar errores dentro del sistema que pueden dejarlo inactivo.
16. ¿Cómo puedo desarrollar y mantener sus habilidades y, ¿cómo gestiono su

rendimiento?
EVALUACIÓN DE HABILIDADES Y COMPETENCIAS 69

APLICACIÓN DE ESTANDARES DE RENDIMIENTO Y PRODUCTIVIDAD 15
TOTAL 84
80
70
60
50
40
30
32
20
10
0
Conclusión:
Para tener personal competente y capacitado dentro del departamento de TI, es necesario llevar
a cabo evaluaciones de habilidades y competencias; y, también conveniente realizar aplicaciones
de estándares de rendimiento y productividad.
17. ¿Está bien asegurada la información que se está procesando?
SI 35
NO 49
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Según datos obtenidos, la información no se encuentra asegurada completamente, por lo cual

se convierte en riesgo para la organización, puesto que se podría perder información.
18. ¿Los proveedores de TI solucionan a tiempo los inconvenientes presentados?
33
SI 28
NO 56
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
De acuerdo a los resultados de la encuesta realizada, se determina que no se cumple ni el 50% de

soluciones a los problemas presentados, dando un riesgo alto y para un detallado análisis.
19. ¿Cuán crítica es el departamento de TI para la sostenibilidad de la empresa?
MUY CRÍTICA 78
POCO CRÍTICO 6
TOTAL 84
90
80
70
60
50
40
34
30
20
10
Conclusión:
Se determina que la sostenibilidad de la empresa requiere estrictamente de los servicios

del departamento de TI para la función de sus operaciones.
20. ¿Se realiza reparaciones en los cortafuegos que tienen alguna deformidad?
SI 50
NO 34
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
Se reparan los cortafuegos en un 60%, los cuales serán de beneficio para la organización; sin esto, no se
va a poder continuar con las operaciones.
35
21. ¿Cuáles son los requerimientos de los procesos del negocio?
DE USUARIO 34
DE SISTEMA 23
FUNCIONALES 18
NO FUNCIONALES 9
TOTAL 84
40
35
30
25
20
15
10
0
DE USUARIO DE SISTEMA FUNCIONALES NO FUNCIONALES
Conclusión:
Dentro de la organización existen 4 tipos de requerimientos para los procesos que se manejan
dentro de la organización, los cuales son manejados en mayor porcentaje, los de usuario, seguido
de los de sistema y por último los No Funcionales.
22. ¿Son suficientes los recursos y la infraestructura de TI disponibles para

conseguir los objetivos estratégicos de la empresa requeridos?
SI 28
NO 56
TOTAL 84
60
50 36
40
Conclusión:
No existen recursos suficientes dentro del departamento de TI para alcanzar los

objetivos de la organización; es necesario para ello, una reestructuración.
23. ¿Respalda el departamento de TI a la empresa en el cumplimiento de la

normativa y los niveles de servicio?
SI 28
NO 56
TOTAL 84
60
50
40
30
20
10
0
SI NO
Conclusión:
37
No se obtiene suficiente respaldo del departamento de TI para el cumplimiento
de la normativa dentro de la organización.
8. MATRIZ DE CONTROL INTERNO
M&M TRAVEL CIA. LTDA.

CUESTIONARIO DE CONTROL INTERNO
DEPARTAMENTO DE TI
RESPUEST PONDERACIÓ
Nª Pregunta A N OBSERVACIÓN
SI NO N/A P C
¿La empresa
cuenta con un
1 x 10 9
Departamento
de Informática?
¿Se efectúan
2 respaldos de la x 10 7
información?
¿Se ejerce
No existe persona que
control de
3 x 7 3 realice controles de
Sistema
regularidad
Informático?
¿Cuenta el
sistema con
4 x 10 8
claves de
seguridad?
No hay el personal en
la empresa para
¿Se realiza un
realizar el
adecuado
mantenimiento, según
5 mantenimiento x 10 2
lo informado se debe
al Sistema
llamar a la empresa
Informático?
que proporcionó el
sistema contable
¿El sistema
puede ser
actualizado de
6 x 10 8
acuerdo a los
avances que se
producen?
¿El sistema
Cuenta con el personal
7 cuenta con x 10 7
de la empresa que
personal técnico
38
que ayude proporciona el sistema
cuando se contable
produzcan
inconvenientes?
¿Existe un No se tiene
instructivo para conocimiento de algún
8 el uso del x 8 5 instructivo por parte
Software del personal que
Informático? maneja el sistema
¿Existen
políticas para la
9 seguridad del x 10 7
Sistema
Informático?
¿El sistema El sistema y la licencia
informático fueron proporcionados
10 x 10 10
cuenta con por la empresa que la
licencia? creó
¿Existe un
organigrama con
11 la estructura del x 7 7
área de
Informática?
TOTAL EVALUACIÓN 102 73
NIVEL DE CONFIANZA
(Calificación Total *100)
NC=
Ponderación Total
73 * 100
NC=
102
NC= 71,57% - MODERADA
RIESGO DE CONTROL
RC= Nivel óptimo - Nivel de Confianza
39
RC= 100 - 71,57
RC= 28,43 – BAJO
40
EVALUACIÓN COBIT
RELACIÓN OBJETIVOS ESTRATÉGICOS CON OBJETIVOS DE TI
OBJETIVOS
OBJETIVOS DE LA EMPRESA ESTRATÉGICOS OBJETIVOS DE TI
Incrementar el índice de
autonomía financiera
Nuestro objetivo general para nuestra
agencia es diseñar, organizar y distribuir los Incrementar el impacto Gestionar la información
servicios turísticos y encontrar una económico del turismo en institucional para la generación
respuesta adecuada para las necesidades de ecuador de datos duros que aporten a la
los clientes y proponer unos servicios de Mejorar el clima laboral toma de decisiones
mayor calidad, efectividad y flexibilidad
Incrementar la eficiencia
organizacional
Canalizar estas grandes Mejorar la posición en el ranking
corrientes turísticas hacia los destinos más de ciudades sedes en
solicitados del momento. Latinoamérica
Contribuir notablemente al desarrollo de

Diseñar implementar y
espacios turísticos a través del lanzamiento
administrar soluciones de
de viajes combinadas como paquetes Incrementar la percepción innovación tecnológica que
vacacionales y otros productos. positiva de la imagen corporativa permitan apoyar las actividades
Para nuestro objetivo específico ofrecer un de M&M Travel logísticas, administrativas, de
mejor desplazamiento más cómodo para investigación y relación con el
nuestros viajeros. medio externo de la compañía, a
fin de cumplir los objetivos
Optimizar el uso de los recursos estratégicos institucionales.
Constituye una valiosa fuente de financieros de la empresa
información acerca de las distintas técnicas
y necesidades del mercado para los agentes Incrementar el índice de
y proveedores turísticos. satisfacción y experiencia del
turista en el destino
41
LEVANTAMIENTO DE PROCESOS
PROCESOS DE NEGOCIOS
PROCESOS DE TI
# SERVICIO DESCRIPCIÓN USUARIO

1 INVESTIGACION M&M Sistema Web que automatiza los procesos de registro, Investigadores M&M
TRAVEL aprobación y seguimiento de los proyectos de investigación TRAVEL, Dirección de
que realizan los docentes de la M&M TRAVEL. Investigación.
2 FACTURACIÓN Sistema Web de Facturación Institucional, que permite el
registro de las recaudaciones que se efectúan en la Tesorería
Recaudadores de
de la Institución, por motivo de venta de paquetes turísticos,
Tesorería
42
así como la emisión de reportes para el registro contable de Tesorería
los ingresos. Dirección Financiera
3 OTORGAMIENTO DE Verifica las condiciones de los clientes previo la concesión de Autoridades Personal
CRÉDITOS créditos Administrativo M&M
TRAVEL
4 COTIZACIÓN Elaboración y envíos de propuestas de servicios Comunidad en General
5 TALENTO M&M TRAVEL Hoja de Vida, Re categorización, Jubilados, Contratación, Dirección de Talento
Plan de Trabajo. Humano
Investigadores
Administrativos
Autoridades
6 REEMBOLSOS Gestiona devoluciones y compensaciones a los clientes Personal Administrativo
M&M TRAVEL
7 CONVENIOS M&M Sistema Web para el Registro y Control de Convenios Dirección de Relaciones
TRAVEL agrupados por convenios marco y específicos. Permite el Institucionales
seguimiento y emite reportes.
8 ESPACIOS M&M TRAVEL Sistema Web que gestiona los espacios físicos de la Dirección de Relaciones
institución, alquiler, disponibilidad, asignación de horarios y Institucionales
entrega de reportes de actividades en las diferentes fechas
que se ocuparon las instalaciones.
8 ESPACIOS M&M TRAVEL Sistema Web que gestiona los espacios físicos de la Dirección de Relaciones
institución, alquiler, disponibilidad, asignación de horarios y Institucionales
entrega de reportes de actividades en las diferentes fechas
que se ocuparon las instalaciones.
9 PORTAL M&M TRAVEL Y Es un servicio del sitio oficial de la M&M TRAVEL. Portal para Comunidad en General
SITIOS WEB publicación y difusión de información oficial de la institución.
Cuenta con los siguientes servicios: publicación de noticias,
eventos, documentación oficial, estructura institucional,
servicios internos y externos. Los sitios WEB brindan un
servicio de hospedaje y publicación WEB para unidades,
departamentos facultades y gremios miembros de la
comunidad politécnica.
10 GENERACIÓN DE Este servicio consiste en atender los requerimientos de los Comunidad en General
INFORMACIÓN usuarios internos y de los organismos externos respecto de
la información estadística para apoyo a la toma de
GERENCIAL decisiones, así como información requerida por organismos
externos.
11 SOPORTE A EQUIPOS Este servicio está orientado a la ejecución de: Personal Administrativo
INFORMÁTICOS Mantenimientos preventivo y correctivo de equipos M&M TRAVEL
informáticos, configuración y la instalación de equipos
informáticos.
12 DESBLOQUEO DE UN Habilita las funciones y actividades de un usuario Personal M&M TRAVEL
USUARIO
13 GESTIÓN DE Consiste en mantener el buen funcionamiento y Personal Administrativo
SOFTWARE operatividad del software que posee la institución. M&M TRAVEL
14 DESVINCULACIÓN Deshabilitación y salida del sistema a ex Personal Administrativo

PERSONAL funcionarios de la organización M&M TRAVEL
15 PLAN DE Es una solución universal para proteger las Personal Administrativo

CONTINGENCIA computadoras de los ataques de virus, malware, M&M TRAVEL
etc.
43
16 CREACIÓN DE Consiste en la asignación de usuarios a los sistemas Personal Administrativo
USUARIO de TI M&M TRAVEL
17 CREACION DE Consiste en la apertura de un punto o Personal Administrativo

AGENCIA establecimiento de funcionamiento de la entidad M&M TRAVEL
18 CORREO Este servicio permite que el usuario final posea un Comunidad en General
ELECTRÓNICO buzón de correo electrónico para el envío y
recepción de comunicación institucional e inter-
institucional.
Comprende la creación de las cuentas de correo,
restablecimiento de credenciales y configuración
de la cuenta de correo.
19 ACCESO A INTERNET Este servicio permitirá tener acceso a la red de Comunidad en General
datos institucional, acceso a los recursos y servicios
informáticos basados en red y acceso a navegación
de Internet.
20 VIDEOCONFERENCIA Facilita la comunicación virtual entre los Personal Administrativo
funcionarios de la M&M TRAVEL con medios M&M TRAVEL
externos.
21 TELEFONÍA FIJA Cubre la asistencia en requerimientos de: instalación de nueva Personal Administrativo
terminal telefónica, revisión de terminal defectuosa, acceso y M&M TRAVEL
recepción de llamadas. *Dependiendo de la
disponibilidad
22 CABLEADO Suministra el tendido de cables de par trenzado Asociaciones y
Personal Administrativo
ESTRUCTURADO con el propósito de implantar una red de área M&M TRAVEL
CERTIFICADO local; comprende la instalación de cableado
estructurado, readecuación de puntos de red,
peinado de cables, certificación de puntos de red,
reparación de puntos de red, instalación de
equipos de comunicación.
23 APOYO Son servicios adicionales que presta la DGIP, entre Personal Administrativo
TECNOLÓGICO los cuales anotamos; Elaboración, verificación y M&M TRAVEL
convalidación de especificaciones técnicas
informáticas, informes técnicos, aplicaciones
M&M TRAVEL.
24 AUTOMATIZACIÓN Servicio orientado a gestionar la automatización Unidades
DE PROCESOS de los procesos mejorados y autorizados por la Administrativas
máxima autoridad en una herramienta informática
o herramienta BPMS.
25 OPTIMIZACIÓN DE Servicio orientado a: Unidades
PROCESOS Realizar el levantamiento y diseño de procesos, el Administrativas
análisis, mejoramiento y estandarización de
procesos, diagramación, validación y
documentación de procesos mejorados.
26 ALOJAMIENTO DE Este servicio permite que el usuario Institucional Comunidad en General
APLICACIONES tenga acceso a la infraestructura de TI, para alojar
aplicativos institucionales como sistemas
informáticos, portales web, etc.
44
27 DIRECCIONAMIENTO Este servicio permite que equipos de la red Comunidad en General
IP, DOMINIO Y Institucional, puedan contar con nombre de
PUERTOS dominio para brindar servicios de TI internos (Ip
privada) o externos (Ip pública).
Para esto el usuario deberá solicitar la apertura de
los puertos requeridos para brinda el servicio de TI,
o consumir servicios de un tercero.
28 SEGURIDAD Mantener el impacto y ocurrencia de los incidentes Unidades
INFORMÁTICA de la seguridad de la información dentro de los Administrativas
niveles de apetito de riesgo de la empresa
MAPEO METAS TI COBIT- OBJETIVOS TI EMPRESA
EMPRESA M&M TRAVEL GROUP
METAS DE TI DE COBIT 5
Gestionar la Diseñar implementar y
Objetivos de TI información administrar soluciones de
institucional innovación tecnológica que
para la permitan apoyar las actividades
generación de logísticas, administrativas, de
datos duros que investigación y relación con el
Dimensiones
Meta relacionada con las TI aporten a la medio externo de la compañía,
del CMI toma de a fin de cumplir los objetivos
decisiones estratégicos institucionales.
Alineamiento de TI y la
1 S S
estrategia de negocio
Cumplimiento y soporte de la
TI al cumplimiento del
2 S S
negocio de las leyes y
regulaciones externas
Compromiso de la dirección
3 ejecutiva para tomar P P
Financiera
decisiones relacionadas con TI
Riesgos de negocio
4 relacionados con las TI S S
gestionados
Realización de beneficios del
portafolio de Inversiones y
5 P P
Servicios relacionados con las
TI
45
Transparencia de los costes,
6 P P
beneficios y riesgos de las TI
Entrega de servicios de TI de
7 acuerdo a los requisitos P S
del negocio
Cliente
Uso adecuado de aplicaciones,
8 información y soluciones S S
tecnológicas
9 Agilidad de las TI S P
Seguridad de la información,
10 infraestructura de S S
procesamiento y aplicaciones
Optimización de activos,
11 P S
recursos y capacidades de las TI
Capacitación y soporte de
procesos de negocio integrando
12 P P
aplicaciones y tecnología en
Interna procesos de negocio
Entrega de Programas que
proporcionen beneficios
13 a tiempo, dentro del S S
presupuesto y satisfaciendo los
requisitos y normas de calidad.
Disponibilidad de información
14 útil y relevante para la S S
toma de decisiones
Cumplimiento de las políticas

15 P S
internas por parte de las TI
Personal del negocio y de las TI

16 P P
competente y motivado
Aprendizaje y
Crecimiento
Conocimiento, experiencia e
17 iniciativas para la P S
innovación de negocio
46
MAPEO METAS TI COBIT- PROCESOS EMPRESA
47
MATRIZ DE RIESGO

MATRIZ DE PROBABILIDAD E IMPACTO DEL RIESGO
CALIFICACIÓN DEL RIESGO
PROBABILIDAD
PONDERACIÓN
P CRÍTICOS
PRIORIDAD
IMPACTO
Resultado
N° PROCESO DESCRIPCIÓN RIESGO
Sistema Web de Facturación

Institucional, que permite el
registro de las recaudaciones que Mal ingreso de datos
se efectúan en la Tesorería de la en cantidades para las
1 FACTURACIÓN 3 3 9 MODERADO MEDIA
Institución, por motivo de venta de transacciones
paquetes turísticos, así como la registradas
emisión de reportes para el
registro contable de los ingresos.
Verifica las condiciones de los
OTORGAMIENTO DE clientes previo la concesión de incorrecta asignación
2 3 4 12 MODERADO MEDIA
CRÉDITOS créditos de créditos
Elaboración y envíos de
propuestas de servicios incorrecta asignación
3 COTIZACIÓN 1 5 5 MENOR BAJA
de precios y servicios
Hoja de Vida, Re categorización, asignación errónea

4 TALENTO M&M TRAVEL Jubilados, Contratación, Plan de de datos a los 3 3 9 MODERADO MEDIA
Trabajo. empleados
48
Errores en la
Gestiona devoluciones y
5 REEMBOLSOS asignación de 2 5 10 MODERADO MEDIA
compensaciones a los clientes
compensaciones
Sistema Web para el Registro y

Control de Convenios agrupados
Error en los datos de
6 CONVENIOS M&M TRAVEL por convenios marco y 2 3 6 MENOR BAJA
los convenios
específicos. Permite el
seguimiento y emite reportes.
Sistema Web que gestiona los
espacios físicos de la institución,
alquiler, disponibilidad, asignación Ubicación
7 ESPACIOS M&M TRAVEL de horarios y entrega de reportes inadecuada de 2 5 10 MODERADO MEDIA
de actividades en las diferentes equipos electrónicos
fechas que se ocuparon las
instalaciones.
Es un servicio del sitio oficial de
la M&M TRAVEL. Portal para
publicación y difusión de
información oficial de la
institución. Cuenta con los
PORTAL M&M TRAVEL Y Falla de la plataforma
8 siguientes servicios: publicación 2 2 4 MENOR BAJA
SITIOS WEB digital.
de noticias, eventos,
documentación oficial, estructura
institucional, admisiones, oferta
académica, servicios internos y
externos.
Este servicio consiste en atender
los requerimientos de los usuarios
GENERACIÓN DE internos y de los organismos Atraso en la emisión
externos respecto de la de reportes, o errores
9 INFORMACIÓN información estadística para apoyo en la emisión del
2 4 8 MODERADO MEDIA
GERENCIAL a la toma de decisiones, así como mismo
información requerida por
organismos externos.
49
Este servicio está orientado a la SOPORTE A EQUIPOS
ejecución de: Mantenimientos INFORMÁTICOS
Soporte técnico
SOPORTE A EQUIPOS preventivo y correctivo de equipos
10 incompleto, o mal 4 5 20 MAYOR ALTA
INFORMÁTICOS informáticos, configuración y la
enfocado al problema
instalación de equipos
informáticos.
Errores en
DESBLOQUEO DE UN Habilita las funciones y
11 habilitación de 1 2 2 MENOR BAJA
USUARIO actividades de un usuario
usuarios
Consiste en mantener el buen Caducidad del GESTIÓN DE

12 GESTIÓN DE SOFTWARE funcionamiento y operatividad del programa 3 5 15 MAYOR ALTA SOFTWARE
software que posee la institución. informático
DESVINCULACIÓN Deshabilitación y salida del Omisión de salida de

13 sistema a ex funcionarios de la usuarios 1 5 5 MENOR BAJA
PERSONAL
organización
Es una solución universal para
Caducidad de la
14 PLAN DE CONTINGENCIA proteger las computadoras de los licencia de antivirus
5 4 20 MAYOR ALTA
ataques de virus, malware, etc. ANTIVIRUS
falla en la asignación
15 CREACIÓN DE USUARIO Consiste en la asignación de 2 5 10 MODERADO MEDIA
de roles
usuarios a los sistemas de TI
Consiste en la apertura de un Falla de creación de
16 CREACION DE AGENCIA punto o establecimiento de establecimiento
funcionamiento de la entidad
50
Este servicio permite que el
usuario final posea un buzón de
falla en el envío de
17 CORREO ELECTRÓNICO correo electrónico para el envío y
mails
recepción de comunicación
institucional e inter- institucional.
Este servicio permitirá tener ACCESO A INTERNET
acceso a la red de datos
falla en la
institucional, acceso a los recursos
18 ACCESO A INTERNET y servicios informáticos basados
conectividad de la 3 5 15 MAYOR BAJA
red
en red y acceso a navegación de
Internet.
Facilita la comunicación virtual
Fallas de imagen en
19 VIDEOCONFERENCIA entre los funcionarios de la M&M
la videoconferencia
TRAVEL con medios externos.
Cubre la asistencia en
requerimientos de: instalación de Errores en las
20 TELEFONÍA FIJA nueva terminal telefónica, revisión terminales 3 3 9 MENOR BAJA
de terminal defectuosa, acceso y defectuosas
recepción de llamadas.
Suministra el tendido de cables de CABLEADO

par trenzado con el propósito de ESTRUCTURADO
CABLEADO implantar una red de área local; CERTIFICADO
21 ESTRUCTURADO comprende la instalación de Daños en los cables 4 5 20 MAYOR ALTA
CERTIFICADO cableado estructurado,
readecuación de puntos de red,
peinado de cables.
Son servicios adicionales que
presta la DGIP, entre los cuales
anotamos; Elaboración, Falla en validación
22 APOYO TECNOLÓGICO verificación y convalidación de de información
especificaciones
técnicas informáticas, informes
51
técnicos, aplicaciones M&M
TRAVEL.
Servicio orientado a gestionar la AUTOMATIZACIÓN DE

automatización de los procesos Fallas en los PROCESOS
AUTOMATIZACIÓN DE
23 mejorados y autorizados por la procesadores de 4 4 16 MAYOR ALTA
PROCESOS máxima autoridad en una información
herramienta informática.
Servicio orientado a: DISEÑO Y
Realizar el levantamiento y diseño OPTIMIZACION DE
de procesos, el análisis, Errores en la PROCESOS
OPTIMIZACIÓN DE
24 mejoramiento y estandarización de validación de 4 4 16 MAYOR ALTA
PROCESOS procesos, diagramación, procesos
validación y documentación de
procesos mejorados.
ALOJAMIENTO DE
Este servicio permite que el APLICACIONES
usuario Institucional tenga acceso
Poca capacidad de
ALOJAMIENTO DE a la infraestructura de TI, para
25 almacenamiento de 5 4 20 MAYOR ALTA
APLICACIONES alojar aplicativos institucionales
información
como sistemas
informáticos, portales web, etc.
Este servicio permite que equipos DIRECCIONAMIEN TO

de la red Institucional, puedan IP, DOMINIO Y
Fallas en la PUERTOS
DIRECCIONAMIENTO IP, contar con nombre de dominio
26 configuración de 4 5 20 MAYOR ALTA
DOMINIO Y PUERTOS para brindar servicios de TI
direcciones IP
internos (Ip privada) o externos (Ip
pública).
52
Este servicio permite reducir las
amenazas y vulnerabilidades de
los bienes y servicios informáticos
de la M&M TRAVEL, a través de
SEGURIDAD SEGURIDAD
27 escaneos de seguridad para Fuga de información 4 5 20 MAYOR ALTA
INFORMÁTICA detectar vulnerabilidades y INFORMÁTICA
sugerencias de cómo corregir
potenciales riesgos presentados en
los servicios informáticos.
SCORE DE RIESGOS
IMPACTO
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO
PROBABILIDAD
1 2 3 4 5
5 CASI CERTEZA 81% A 100% 5 10 15 20 25
4 PROBABLE 61% A 80% 4 8 12 16 20
3 POSIBLE 41% A 60% 3 6 9 12 15
2 IMPROBABLE 21% A 40% 2 4 6 8 10
1 RARO 0% A 20% 1 2 3 4 5
53
Evaluar, Orientar y
Supervisar
EDM04
EDM03
EDM02
EDM01
Asegurar
del riesgo
Beneficios
de Gobierno
de los recursos
Establecimiento
Procesos de COBIT 5
Asegurar la Entrega de
el
Asegurar la optimización
Asegurar la optimización
y
Mantenimiento del Marco
S
S
S
S
1 FACTURACIÓN
2 OTORGAMIENTO DE CRÉDITO
3 COTIZACIÓN
4 TALENTO M&M TRAVEL
MAPEO PROCESOS COBIT- PROCESOS ORGANIZACIÓN
5 REEMBOLSOS
6 CONVENIOS M&M TRAVEL
7 ESPACIOS M&M TRAVEL
PORTAL M&M TRAVEL Y SITIOS
8
WEB
9 GENERACIÓN DE INFORMACIÓN
GERENCIAL
10 SOPORTE A EQUIPOS
INFORMÁTICOS
11 DESBLOQUEO DE UN USUARIO
12 GESTIÓN DE SOFTWARE
13 DESVINCULACIÓN DE PERSONAL
14 PLAN DE CONTINGENCIA
15 CREACIÓN DE USUARIO
16 CREACIÓN DE AGENCIA
17 CORREO ELECTRÓNICO
18 ACCESO A INTERNET
19 VIDEOCONFERENCIA
20 TELEFONÍA FIJA
21 CABLEADO ESTRUCTURADO
CERTIFICADO
22 APOYO TECNOLÓGICO
23 AUTOMATIZACIÓN DE PROCESOS
MAPEO ENTRE LOS PROCESOS DE COBIT 5 Y LOS PROCESOS DE LA ORGANIZACIÓN
24 DISEÑO Y OPTIMIZACION DE
PROCESOS
25 ALOJAMIENTO DE APLICACIONES
26 DIRECCIONAMIENTO IP, DOMINIO

54
Y PUERTOS
27 SEGURIDAD INFORMÁTICA
Asegurar la transparencia
EDM05 hacia las partes S P P P P P P P P P
autorizadas
Gestionar el marco de
APO01 S S S S S S S S S
gestión de TI
AP002 Gestionar la estrategia S S S S S S S S S
Gestionar la arquitectura
AP003 S S S S S S S S S
Alinear, Planificar, Organizar
empresarial
AP004 Gestionar la innovación S S S S S S S S S
AP005 Gestionar portafolio S S S S S S S S S
Gestionar el presupuesto
y costes
Gestionar los recursos
humanos
AP008 Gestionar las relaciones S S S S S S S S S
Gestionar los acuerdos de
AP009 S P P P P P P S P P S
servicios
AP010 Gestionar los proveedores P P P P P P P P P P P P P P P PP P S S S S S S S S
AP011 Gestionar la calidad S S S S S S S S S
AP012 Gestionar el riesgo S S S S S S S S S P S S S S S S S S S S S S S S S S P
AP013 Gestionar la seguridad S P P S S S S S S S S P
Construcción, Adquisición
Gestionar los programas

BAI01 S S S S S S S S S S
y proyectos
e Implementación
Gestionar la definición de
requisitos
Gestionar la
identificación y
construcción de
soluciones
Gestionar la
BAI04 disponibilidad y S S S S S S S S S S
capacidad
55
Gestionar la introducción
de cambios organizativos
BAI06 Gestionar los cambios S P P P P S S S S P S S P
Gestionar la aceptación
BAI07 S S S S S S S S S
del cambio y la transición
Gestionar el
conocimiento
BAI09 Gestionar los activos S S S S S S S S S
Gestionar la
configuración
Supervisión, Evaluación Entregar, dar Servicio y
DSS01 Gestionar las operaciones S S S S S S S S S

Gestionar las peticiones y
DSS02 S S S S S S S S S
los incidentes del servicio
Soporte
DSS03 Gestionar los problemas S S S S S S S S S

DSS04 Gestionar la continuidad S S S S S S S S S S S S S P S S S S S S S S S S S S S
Gestionar los servicios de
DSS05 S P S S S S S S S S
seguridad
Gestionar los controles de
DSS06 S S S S S S S S S
los procesos del negocio
Supervisar, evaluar y
MEA01 valorar rendimiento y S S S S S S S S S
y Verificación
conformidad
MEA02 valorar el sistema de S S S S S S S S S
control interno
valorar la conformidad
MEA03 S S S S S S S S S
con los requerimientos
externos
56
MEDICIÓN DE LOS PROCESOS CRÍTICOS
Dominio: Evaluar, Orientar y Supervisar

EDM05 Asegurar la Transparencia hacia las Partes Interesadas
MÉTRICAS
CABLEADO
ESTRUCTURADO
CERTIFICADO
EDM05 Asegurar la Transparencia hacia las Partes

Interesadas Área: Gestión
Dominio: Evaluar, Orientar y

Supervisar
Descripción del proceso
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de TI de

la empresa son transparentes, con aprobación
por parte de las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.
Declaración del propósito del proceso
Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y que se ha establecido
una base para la elaboración de informes con
el fin de aumentar el desempeño, identificar áreas susceptibles de mejora y confirmar que las estrategias
y los objetivos relacionados con TI concuerdan
con la estrategia corporativa.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Métricas relacionadas
Fuente
Meta TI Aplicaci Result de
Métrica Fórmula Conclusión
ón ado Inform
ación
Se ha reportado
03 Compromiso de Reuniones del
Frecuencia de las que existen 3 Entrevi
la dirección comité TI /
reuniones del reuniones de un sta al
ejecutiva para Total de 3/8 38%
comité (ejecutivo) total de 8 que se Gerent
tomar decisiones reuniones del
de estrategia de TI realizarán en el e de TI
relacionadas con TI. comité de TI
año.
57
Porcentaje de
inversión en casos Inversiones Se ha podido
de negocio con en el año para evidenciar que
06 Transparencia de Entrevi
costes y beneficios TI / Total ha existido un
los costes, sta al
esperados Inversiones 3/8 38% 38% Inversiones
beneficios y riesgos Gerent
relativos a TI en el año en TI con
de las TI e de TI
claramente anterior para relación al año
definidos y TI anterior.
aprobados.
Encues
Porcentaje de
07 Entrega de Número de En la compañía ta de
usuarios
servicios de TI de Usuarios existe un total satisfa
satisfechos con la
acuerdo a los satisfechos / 34/84 40% de 40% de cción
calidad de los
requisitos del Total de usuarios partes
servicios de TI
negocio ususarios satisfechos interes
entregados
adas
Objetivos y
métricas del
proceso
Fuente
Meta del proceso Aplicaci Result de
ón ado Inform
ación
Número de
Porcentaje de Se ha podido
1. Los informes para Interesados
interesados evidenciar que Entrevi
las partes en
incluidos en los existe un 33% de sta al
interesadas se elaboración 2/6 33%
requisitos de interesados en Gerent
ajustan a sus de Informes /
elaboración de la elaboración e de TI
requisitos. Total
informes de Informes.
Interesados
Existe un
informe no
presentado a
tiempo, la
Informes no
compañía
presentados a
2. La elaboración de Porcentaje de realiza 2 tipos de Entrevi
tiempo / Total
informes es informes no informes uno a sta al
número de 1/2 50%
completa, oportuna presentados a mitad de año y Gerent
Informes
y precisa. tiempo el otro a fin de e de TI
emitidos en el
año, para
año
verificar el
cumplimiento y
los objetivos de
TI.
1/2 50%
58
Número de veces La compañía no
Veces que no
que no se han ha cumplido los
se ha
3. La comunicación cumplido los requisitos que Entrevi
cumplido los
es eficaz y las partes requisitos ha exigido los sta al
requisitos en
interesadas están obligatorios en informes de Gerent
los Informes /
satisfechas. cuanto a cumplimiento e de TI
Total
elaboración de del personal de
Informes
informes TI
RESULTADO DE
EVALUACION DE capacidad
CAPACIDAD: 40%
de proceso
ACTIVIDADES
EDM05 Asegurar la Transparencia hacia las Partes

Interesadas Área: Gestión
Dominio: Evaluar, Orientar y Supervisar
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de TI de la empresa

son transparentes, con aprobación por parte de las partes interesadas de las metas, las métricas y las acciones
correctivas necesarias.
Asegurar que la comunicación con las partes interesadas sea efectiva y oportuna y que se ha establecido una
base para la elaboración de informes con el fin de aumentar el desempeño, identificar áreas susceptibles de
mejora y confirmar que las estrategias y los objetivos relacionados con TI concuerdan con la estrategia
corporativa.
ENTRADAS SALIDAS
Práctica de Gestión
DE DESCRIPCION DESCRIPCION A
EDM05.01 Evaluar los requisitos de

elaboración de informes de las partes
interesadas. Retroalimentación
Examinar y juzgar continuamente los sobre
Principios de
requisitos actuales y futuros de la asignación y la
elaboración
comunicación con las partes interesadas y de EDM04.03 eficacia MEA01.01
de informes y de
la elaboración de informes, incluyendo tanto de los recursos y
comunicación
los requisitos obligatorios (p. ej. de las
regulación) de elaboración de informes como capacidades
la comunicación a otros interesados.
Establecer los principios de la comunicación.
59
EDM05.02 Orientar la comunicación con las
partes interesadas y la elaboración de
Informes de
informes.
análisis de Reglas de
Garantizar el establecimiento de una
riesgos y de perfil validación y
comunicación y una elaboración de informes MEA01.01
APO12.04 de aprobación de
eficaces, incluyendo mecanismos para MEA03.04
riesgos para las informes
asegurar la calidad y la completitud de la
partes obligatorios
información, vigilar la elaboración obligatoria
interesadas
de informes y crear una estrategia de
comunicación con las partes interesadas.
EDM05.03 Supervisar la comunicación con las

partes interesadas.
Evaluación de la
Supervisar la eficacia de la comunicación con
Resultados de la eficacia
las partes interesadas. Evaluar los MEA01.01
MEA02.08 revisión de la elaboración
mecanismos para asegurar la precisión, la MEA03.04
de aseguramiento de
fiabilidad y la eficacia y determinar si se están
informes
cumpliendo los requisitos de los diferentes
interesados.
MATRIZ RACI
MATRIZ RACI EDM05 Asegurar la Transparencia hacia las Partes Interesadas COBIT 5.0
Consejo de administración
Director General Ejecutivo
Jefe de administración de
Director de Operaciones
Director de informática
Dueños del proceso de
Ejecutivos de negocio
Financiero (CFO)
Director General
Arquitecto jefe
Conformidad
Auditoría
PRACTICA CLAVE DEL

negocio
(COO)
(CEO)
(CIO)
TI
GOBIERNO
EDM05.01 Evaluar los

requisitos de elaboración de
A R C C C I C C R I I
informes de las partes
interesadas.
EDM05.02 Orientar la
comunicación con las partes
A R C C C I C C R I I
interesadas y la elaboración
de informes.
EDM05.03 Supervisar la
comunicación con las partes A R I
interesadas. C C C I C C R I
60
FLUJOGRAMA
61
NIVEL DE MADUREZ
OBSERVACIONES
1. La compañía no cuenta con un cableado estructurado lo que dificulta lo conectividad

de los usuarios de los ordenadores con los clientes de la compañía, ya que al momento
de entrevistarse a dar a ofertar sus servicios se va el programa. Riesgo algo por el
motivo que no hay satisfacción por las partes interesadas
RECOMENDACIONES
1 .Implementar un sistema de cableado instalado con un estándar determinado empleando
un método definido por el estándar para medir dicho rendimiento. Lo que evitará
problemas de pérdida de datos en la red o fallos en la comunicación.
62
Dominio: Alinear, Planificar y Organizar
APO 09 GESTIONAR LOS ACUERDOS DE SERVICIO
MÉTRICAS
APO 09 GESTIONAR LOS

ACUERDOS DE SERVICIO Área: Gestión
Dominio: Alinear, Planificar y

Organizar
Descripción del Proceso Alinear los servicios basados en TI y los niveles de servicio con las
necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño,
publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de
la empresa.
Meta TI Fuente de
Aplicaci Resulta
Métrica Fórmula Conclusión Informaci
ón do
ón
Porcentaje
El 48% del
de partes
total de
interesadas Numero de
usuarios de
satisfechas personas
TI de la
con el satisfechas Encuesta
organizació
cumplimien con los de
07 Entrega de servicios de n están
to del servicios de satisfacció
TI de acuerdo a los 40/84 48% satisfechos
servicio de TI/ Numero n partes
requisitos del negocio con los
TI total de interesada
servicios de
entregado personas s
que brinda
respecto a encuestada
TI a las
los niveles s
diferentes
de servicio
áreas.
acordados
63
El 31% de los
Número de
Número de incidentes
incidentes
incidentes reportados
causados
en los al área de TI
por
procesos de en el Reportes
14 Disponibilidad de indisponibili
negocio periodo de
información útil y dad de
causados 4/13 31% auditado incidentes
relevante para la toma de informació
por la fue causado relacionad
decisiones n/ Total de
indisponibili por os a Ti
incidentes
dad de la indisponibili
reportados
información dad de la
en el
. informació
periodo
n.
Objetivos y métricas del

proceso
Meta del proceso Fuente de

Aplicaci Resulta
Métrica Fórmula Conclusión Informaci
ón do
ón
En el último
año se
Número de
tuvieron 2
Número de acuerdos Encuesta
1. La empresa puede usar incidentes
procesos de de sin de
de modo efectivo los significativo
negocio con firmar/ satisfacció
servicios TI tal como se 3/9 33% s
acuerdos de Número de n partes
han definido en el relacionado
servicio sin acuerdos interesada
catálogo. s a TI, de un
definir. previstos a s
total de 8
firmar
incidentes
reportados.
La empresa
Numero de
tiene un 31%
servicios
de servicios
que Encuesta
Porcentaje que
alcanzan su de
3. Los servicios TI rinden de servicios funcionan
objetivo satisfacció
como está estipulado en que 4/13 31% eficienteme
/ Total de n partes
los acuerdos de servicio. alcanzan su nte del
servicios interesada
objetivo total
que tiene la s
servicios
Organizació
que posee
n
la empresa.
RESULTA
DO DE capacid
EVALUACI 36
ad de
ON DE %
proces
o
64
CAPACIDA
D:
ACTIVIDADES
APO 09 GESTIONAR LOS

ACUERDOS DE SERVICIO
Área: Gestión
Descripción del Proceso Alinear los servicios basados en TI y los niveles de servicio con las
necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño,
publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de
la empresa.
ENTRADAS SALIDAS
Práctica de Gestión DESCRIPCIO
DE DESCRIPCION A
N
APO09.01 Identificar servicios TI.

Analizar los requisitos del negocio y el
modo en que los servicios TI y los
niveles de servicio soportan los
procesos de negocio. Discutir y acordar Definición de
APO05.01
servicios potenciales y niveles de servicios estándar
servicio con el negocio y compararlos
con la cartera actual para identificar
servicios nuevos o modificados, u
opciones de nivel de servicio.
APO09.02 Catalogar servicios basados

en TI. Definir y mantener uno o más Plan de
Catálogos de
catálogos de servicios para grupos de EDM04.01 recursos APO08.05
servicio
clientes objetivo relevantes. Publicar y aprobado
65
mantener los servicios TI activos en los
catálogos.
APO09.03 Definir y preparar acuerdos APO05.03

de servicio. Definir y preparar los APO08.0
acuerdos de servicio basándose en las Requisitos 4
opciones de los catálogos de servicio. del cliente DSS01.02
Acuerdos de nivel
Incluir acuerdos de nivel de APO11.03 para la DSS02.01
de servicio (ANSs).
operaciones interno. gestión de la DSS02.02
calidad. DSS04.01
DSS05.02
DSS05.03
APO09.04 Supervisar e informar de los

niveles de servicio. Supervisar los Informes de
niveles de servicio, informar de las rendimiento Planes de acción
APO02.02
mejoras e identificar tendencias. APO05.04 de la cartera de mejora y
APO08.02
Proporcionar información de gestión de remedio
adecuada para ayudar a la gestión del inversiones
rendimiento.
APO09.05 Revisar acuerdos de servicio Opinión

y contratos. Llevar a cabo revisiones sobre la
periódicas de los acuerdos de servicio y EDM04.0 ubicación y
revisarlos cuando sea necesario. ANS actualizados Interno
3 efectividad
de recursos y
capacidades
MATRIZ RACI
MATRIZ RACI AP009 Gestionar los acuerdos de servicio COBIT 5.0

Informática/Sistema
Jefe de Operaciones
de Riesgos
negociode los
de Desarrollo
de Gestión
de Desarrollo
TI
Ejecutivo
Director General
del
0 (CEO)
Cumplimiento
Jefe deCIO
(Compliance)
Ejecutivos de
de Proyectos
Administración
de
Estratégico
de
Director de
Normativo
Auditoría
Arquitectura
Negocio
Negocio
PRACTICA CLAVE
Jefe de
s (CIO)
(CRO)
Procesos
Propietarios
Director
sistemas/
Ejecutivo
TI
DEL GOBIERNO
Comité
Director
Oficina
Jefe
Jefe
APO09.01 Identificar
C R R R C I I I R I C C C A I I
servicios TI.
APO09.02 Catalogar
I I I R I C A I I
servicios basados en TI. I I
66
APO09.03 Definir y
preparar acuerdos de C C C R R A
servicio. R C C C C
APO09.04 Supervisar e
informar de los niveles de I I I
servicio. I R C
APO09.05 Revisar acuerdos

C C R C R R C C
de servicio y contratos. A C C C
67
GERENCIA DE INFORMÁTICA USUARIO
INICIO
PROCESO:
FLUJOGRAMA
Identificar necesidades
de software
GESTION DEL SOFTWARE
Establecer una terna de Detallar un informe ¿Se ajusta a

tres osoftwares tecnico de los NO los
preseleccionadas. requesitos de software requerimiento
¿Se requiere
NO llenado de la
solicitud?
SI
SI
Notifica al usuario y lo
Cotizar el software que
asesora en el llenado de la
seleccionado.
solicitud
Recibe solicitud y determina

acciones a seguir
¿Implica
B SI servicios de
telefonía?
NO
¿Implica
s ervi cios de
C SI SI
equipo de
cómputo?
NO
¿Implica
s ervi cios de
D SI
l a RED
FIFOMI?
NO
¿Se puede
¿El s ervicio
res olver con
A s e encuentra N
otra s
res uelto?
a cci ones?
NO
SI Notifica al usuario los Recibe notificación

motivos y posibles de aprobacion de
acciones a seguir solicitud
Archiva solicitud
FIN
68
NIVEL DE MADUREZ
AP009 Gestionar los acuerdos de servicio
ATRIBUTOS GENÉRICOS DE CAPACIDAD DE PROCESOS
Atributo de
rendimient PA 2.1 PA 2.2. PA 5.2
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
o (PA) 1.1. Gestión del Gestión del Optimizació
Definición Despliegue Gestión de Control de Innovación
Rendimient Rendimient resultado n de
de Procesos de procesos procesos Procesos de Procesos
o del o de trabajo Procesos
Procesos
Proceso Proceso
Proceso Gestionado Proceso Establecido Proceso Predecible Proceso Optimizado
Incompleto Ejecutado
0 1 2 3 4 5
RESULTADO: Nivel de Madurez 2 36%
OBSERVACIONES
1. Menos del 50% del personal que labora M&M Travel Group no se sienten satisfechos
con los servicios que brinda TI lo cual es causado por los problemas presentados con
indisponibilidad de la información para la ejecución de sus actividades y requerimientos
que tenga la gerencia.
2. El 31% del total de los incidentes reportados a TI se debe a indisponibilidad de la

información lo cual implica que los proveedores de servicios de información no están
dando las garantías necesarias para la prestación de dichos servicios y por ende
incumpliendo los acuerdos firmados con el ente auditado.
RECOMENDACIONES
1. Al gerente de TI se recomienda gestionar las diversas problemáticas que presenta el
personal de M&M Travel Group a fin de reducir las inconformidades haciendo cumplir
de forma efectiva las garantías firmadas por los proveedores en la suscripción de los
69
convenios de prestación de servicios.
2. Al gerente de TI se recomienda revisar las condiciones para la ejecución de garantías

y considerar el hecho de precautelar la seguridad de los servicios de información
buscando opciones que optimicen el uso de recursos y minimicen el riesgo de ocurrencia
de siniestros que afecten la disponibilidad de la información.
APO 10 GESTIONAR LOS PROVEEDORES

MÉTRICAS
AP010 Área: Gestión

GESTIONAR LOS
PROVEEDORES Dominio: Alinear, Planificar y Organizar
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del
negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la
revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos.
Meta TI Result Fuente de
Métrica Fórmula Aplicación Conclusión
ado Información
Frecuencia de Número de Se realizó una

04 Riesgos de actualización del evaluaciones 1/4 25% evaluación de Encuesta de
negocio perfil de riesgo de perfil perfil al satisfacción
realizadas / proveedor de
70
relacionados con Número software dentro partes
las TI gestionados evaluaciones del primer año, interesadas
de perfil sin cumplir lo
planificadas acordado
dentro del
contrato.
Los procesos
Usuarios que se están
satisfechos llevando a cabo
07 Entrega de Porcentaje de con la calidad por el
Encuesta de
servicios TI de usuarios satisfechos del servicio departamento
satisfacción
acuerdo a los con la calidad de los entregado / 34 / 84 40% de TI, no están
partes
requisitos del servicios de TI Total de cumpliendo las
interesadas
negocio entregados usuarios que expectativas ni
reciben el cubriendo las
servicio necesidades de
la organización.
Objetivos y
métricas del
proceso
Meta del proceso Result Fuente de
Métrica Fórmula Aplicación Conclusión
ado Información
Se determina
que se han
Reclamos
Número de solucionado 14 Encuesta de
1. Los proveedores resueltos en
infracciones de reclamos satisfacción
rinden según lo el periodo / 14 / 36 39%
servicio causadas dentro del partes
acordado. Total
por los proveedores periodo, de los interesadas
Reclamos
36 que hubieron
enlistados.
De acuerdo a los
resultados de la
encuesta
Número de realizada, se
Porcentaje de
reclamos determina que
disputas con
3. Las relaciones solucionados no se cumple ni Encuesta de
proveedores
con los por el 50% de satisfacción
resueltas 2/6 33%
proveedores son proveedores / soluciones a los partes
adecuadamente y
eficaces. Total de problemas interesadas
en un tiempo
reclamos presentados,
razonable
reportados dando un riesgo
alto y para un
detallado
análisis.
71
RESULTADO DE
capacidad
EVALUACION DE 34%
de proceso
CAPACIDAD:
ACTIVIDADES
AP010 GESTIONAR LOS

Área: Gestión
PROVEEDORES
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del
negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión
y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos.
ENTRADAS SALIDAS
APO10.01 Identificar y evaluar las

relaciones y contratos con
proveedores.
Identificar proveedores y contratos
asociados y categorizarlos por tipo, Contratos con Revisiones potenciales de los
Interno
relevancia y criticidad. Establecer un los proveedores contratos con los proveedores
criterio de evaluación de contratos y
proveedores y evaluar la cartera
general de proveedores y contratos
actuales y alternativos.
APO10.02 Seleccionar proveedores.

Seleccionar proveedores de acuerdo
a prácticas justas y formales que Plan de
aseguren la selección del que mejor adquisiciones/ Resultados decididos tras las EDM04.01
BAI02.02
se adapte a los requisitos. desarrollos de evaluaciones de proveedores BAI02.02
Los requisitos deberían estar alto nivel
optimizados con las aportaciones de
nuevos proveedores potenciales.
APO12.03 Mantener un perfil de Planes de

Roles y responsabilidades de los
riesgo. Mantener un inventario del BAI03.04 adquisiciones
proveedores
Interno
riesgo conocido y atributos de riesgo aprobados
72
(incluyendo frecuencia esperada,
impacto potencial y respuestas) y de
otros recursos, capacidades y
actividades de control actuales
relacionados.
APO10.04. Gestionar el riesgo en el

suministro.
Identificar y gestionar los riesgos Resultados de la
APO12.01
relacionados con evaluación de Identificar el riesgo de entrega
APO12.04 APO12.03
la capacidad de los proveedores de riesgos de del proveedor
BAI01.01
proporcionar de manera continua terceros.
una entrega del servicio segura,
eficaz y eficiente.
APO10.05 Supervisar el cumplimiento

y el rendimiento del proveedor.
Revisar periódicamente el
Criterios de supervisión del
rendimiento general de los
cumplimiento de los Interno
proveedores, el cumplimiento con los
proveedores
requisitos contractuales y el valor de
lo pagado y tratar las incidencias
identificadas.
MATRIZ RACI
DOMINIO:
ALINEAR,
PLANIFICAR
Y
ORGANIZAR
MATRIZ RACI AP010 Gestionar los proveedores COBIT 5.0
73
Gestor de Continuidad
informática/sistemas
Procesos de Negocio
Gestor de Privacidad
Gestor de Seguridad
arquitectura
Director de Riesgos
Propietarios de los
(Service Manager)
Gestor de Servicio
Administración TI
de la Información
de la información
Financiero (CFO)
Director General
Jefe de recursos
PRACTIC
Director de
de Negocio
de negocio
A CLAVE
Auditoría
humanos
Jefe de
(CRO)
Jefe de (CIO)
DEL
GOBIER
NO
APO 10.01
Identificar y
evaluar las
relaciones y C C C C A C R C C C
contratos
con
proveedores
APO 10.02
Seleccionar C C C C A C R C C C
proveedores
APO 10.03
Gestionar
contratos y
I C A C R C C C
relaciones
con
proveedores C
APO 10.04
Gestionar el
C C A C C C C
riesgo en el
suministro R C C
APO 10.05
Supervisar el
cumplimient
o y el I C C C A C C C C
rendimiento
del
proveedor C C
R Responsible
A Accountable
C Consultant
I Informed
74
GERENCIA DE INFORMÁTICA SOPORTE TECNICO
INICIO
PROCESO:
FLUJOGRAMA
Definir puertos IP
ESTRUCTURAR PUERTOS IP
¿Se tiene
Establecer caracteristicas Orden de requisicion
NO materiales
tecnicas de los materiales. de materiales. completos?
¿Se requiere
NO llenado de la
solicitud?
SI
SI
Notifica al usuario y lo Cotizar los materiales

asesora en el llenado de la requeridos para establecer
solicitud los puertos IP.
Recibe solicitud y determina

acciones a seguir
¿Implica
B SI servicios de
telefonía?
NO
¿Implica
s ervi cios de
C SI SI
equipo de
cómputo?
NO
¿Implica
s ervi cios de
D SI
l a RED
FIFOMI?
NO
¿Se puede
¿El s ervicio
res olver con
A s e encuentra N
otra s
res uelto?
a cci ones?
NO
SI Notifica al usuario los

motivos y posibles Recibe notificación
acciones a seguir
Archiva solicitud
FIN
75
NIVEL DE MADUREZ
OBSERVACIONES
* No existe el estricto cumplimiento para realizar las evaluaciones de perfil al proveedor que se
establecen dentro de los plazos acordados.
* Existe un bajo porcentaje (40%) para determinar los usuarios satisfechos por la calidad del
servicio, es decir, no se refleja en la organización una buena calidad del servicio prestado.
* Dentro del periodo existieron varias infracciones en los servicios debido a la falta de
mantenimiento en el sistema por parte de los proveedores, los cuales no son solucionados a
tiempo, deteniendo los procesos.
* Existen varias disputas con proveedores por problemas que existen dentro del sistema, los
cuales no son solucionados a tiempo.
RECOMENDACIONES
* Establecer acuerdos más rígidos con los proveedores para que se cumplan las cláusulas que se
definen dentro de ellos como resolver los problemas en el tiempo establecido.
76
* Elaborar manuales de procedimientos de selección, evaluación de perfil; acorde a las
necesidades de la organización.
* Mejorar la calidad de los servicios, para que el usuario final, se encuentre plenamente
satisfecho en cuanto a los resultados obtenidos del sistema.
77
APO 12 GESTIONAR LOS RIESGOS
MÉTRICAS
AP012 GESTIONAR EL
RIESGO Área: Gestión
Dominio: Alinear, Planificar y

Organizar
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial
(ERM) y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI
Meta TI Aplicac Resul Fuente de
ión tado Información
Número de Se han
evaluacione realizado
s de solamente 12
Cobertu cumpliment evaluaciones
02 Cumplimiento y
ra de la o de Encuesta de
soporte de las TI al
evaluaci efectuadas cumplimiento satisfacción
cumplimiento del negocio 12/24 50%
ón del / Número de TI de las 24 partes
de las leyes y regulaciones
cumplim evaluacione evaluaciones interesadas
externas.
iento s de de
cumplimien cumplimiento
to planificadas
planificadas en el año.
04 Riesgos de negocio Frecuen Actualizaci Se evidenció Reportes

relacionados con las TI cia de ones de 2/4 50% que de las 4 sobre
gestionados actualiza Sistema de actualizacione actualizacion
ción de seguridad s planteadas es
78
perfil del efectuadas por TI para efectuadas al
riesgo en el año/ realizarlas en Sistema de
Número el año seguridad
total de unicamente se
actualizacio efectuaron 2.
nes
planificadas
por TI
Frecuen
cia de
Evaluacione Se han
evaluaci
s de realizado Reportes
10 Seguridad de la ón de
seguridad solamente 5 sobre
información, segurida
ejecutadas/ evaluaciones evaluaciones
infraestructura de d frente 5/12 42%
Evaluacione de seguridad efectuadas al
procesamiento y a los
s de de las 12 sistema de
aplicaciones últimos
seguridad planificadas seguridad.
estándar
planificadas para un año.
es y
guías
Objetivos y
métricas del
proceso
Meta del proceso Aplicac Resul Fuente de
ión tado Información
Relación
de
incident
es
significa
tivos En el último
Número de
que no año se
incidentes
fueron tuvieron 2
no
identific incidentes Encuesta de
3. Riesgos de negocio identificado
ados en significativos satisfacción
gestionados (salvaguarda s en el año / 2/8 25%
las relacionados a partes
de activos) Número de
evaluaci TI, de un total interesadas
total de
ones de de 8
incidentes
riesgo incidentes
reportados
respecto reportados.
al
número
total de
incident
es.
Coste de Perdidas 19870/ La empresa ha Encuesta de

25%
negocio económicas 80240 tenido que satisfacción
79
de los por asumir partes
incident incidentes perdidas de interesadas
es que 19870,00 $ por
impiden incidentes que
servicio al han impedido
cliente/ atender a
7. Continuidad y
Estimacion clientes, lo
disponibilidad del servicio
de ingresos cual
de negocio
totales representa un
diarios 25% de los
ingresos
proyectados a
recibir en su
flujo de caja.
Según
informes de la
Frecuen Gerencia de TI
cia de se conoce que
las Evaluacione se han Diagnosticos
evaluaci s de realizado 4 de
ones de Capacidad evaluaciones evaluaciones
11. Optimización de la
madurez efectuadas/ de capacidad a a los
funcionalidad de los 4/12 33%
de la Evaluacione sus procesos procesos de
procesos de negocio
capacida s de de un total de negocio en
d de los Capacidad 12 planificadas los que
proceso planificadas para el año lo interviene TI.
s de cual
negocio representa un
33% de lo
planificada.
RESULTAD
O DE capaci
EVALUACI dad
ON DE 37%
de
CAPACIDA
proce
D:
so
ACTIVIDADES
AP012 GESTIONAR EL RIESGO Área: Gestión
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
80
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial
(ERM) y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI
ENTRADAS SALIDAS
APO12.01 Recopilar datos. Identificar y EDM03.01 Evaluación de Datos en el

recopilar datos relevantes para actividades de entorno de
catalizar una identificación, análisis y gestión de operación Interno
notificación efectiva de riesgos riesgos relacionados con
relacionados con TI. el riesgo
APO12.02 Analizar el riesgo. DSS04.02

Desarrollar información útil para
soportar las decisiones relacionadas Alcance de los
con el riesgo que tomen en cuenta la Análisis de esfuerzos de
relevancia para el negocio de los impacto en el análisis de
factores de riesgo. negocio riesgos Interno
APO12.03 Mantener un perfil de

Perfil de riesgo
riesgo. Mantener un inventario del
agregado,
riesgo conocido y atributos de riesgo Riesgo de
incluyendo el
(incluyendo frecuencia esperada, entrega de
APO10.04 estado de las Interno
impacto potencial y respuestas) y de proveedores
acciones de
otros recursos, capacidades y identificado
gestión del
actividades de control actuales
riesgo
relacionados.
APO12.05 Definir un portafolio de

acciones para la gestión de riesgos.
Gestionar las oportunidades para
reducir el riesgo a un nivel aceptable APO02.02
Propuestas de
como un portafolio. proyecto para
reducir el riesgo
APO12.06 Responder al riesgo. Acciones

Responder de una forma oportuna correctoras para
con medidas efectivas que limiten la tratar las
magnitud de pérdida por eventos EDM03.03 desviaciones de Comunicaciones APO01.04
relacionados con TI. gestión de del impacto del APO08.04
riesgos riesgo DSS04.02
MATRIZ RACI
MATRIZ RACI AP012 Gestionar el riesgo COBIT 5.0
81
Datos
Datos
Datos
Riesgo
Riesgo
Riesgo
FLUJOGRAMA
PRACTICA
CLAVE DEL
GOBIERNO
APO 12.02 Analizar el

APO 12.05 Recopilar
APO 12.01 Recopilar

APO 12.03 Recopilar
I
I
I
I
I
I
Director General
R
R
R
R
R
R
Ejecutivo (CEO)
Propietarios de los
C
C
C
C
R
R
Procesos
Oficina de
de Gestión
C
C
C
C
R
R
deNegocio
Proyectos
Director de Riesgos
R
R
R
R
A
A
(CRO)
Director de Riesgos
I
I
I
I
I
I
(CRO)
Director de
C
C
C
C
R
R
Seguridad de la
Cumplimiento
Información (CISO)
C
C
R
R
A
A
Normativo
Auditoría
(Compliance)
R
R
R
R
A
A
Director de
C
C
C
C
R
R
Informática/Sistema
Jefe de Arquitectura
s (CIO)
C
C
C
C
R
R
Jefedel
deNegocio
Desarrollo
C
C
C
C
R
R
Jefe de Operaciones
C
C
C
C
R
R
Jefe
TI de
C
C
C
C
R
R
Administración
Gestor TI
de Servicio
C
C
C
C
R
R
(Service
Gestor deManager)
Seguridad
C
C
C
C
R
R
Información
de laGestor de
C
C
C
C
R
R
Continuidad
Gestor de
de Privacidad
82
de laNegocio
información
83
NIVEL DE MADUREZ
NIVEL DE MADUREZ
AP012 GESTIONAR EL RIESGO
Atributo de
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
Procesos
Proceso Proceso
0 1 2 3 4 5
OBSERVACIONES
1. Existen desfases en la planificación del departamento de TI al momento de efectuar las

evaluaciones a sus procesos propios debido a la falta de coordinación con el resto de áreas
para poder correr las pruebas que arrojen resultados sobre el rendimiento de los procesos
antes mencionados, lo cual provoca que no se cumplan las metas establecidas en dicho
documento, de forma que se alcanza únicamente un 50% de eficacia en la aplicación de
dicha meta de TI.
2. La observación anterior se identifica como un hecho desencadenante para que

perjudique en los plazos establecidos para efectuar las actualizaciones que corresponden
al sistema de seguridad que protege la información de todas las operaciones y actividades
de la empresa.
3. Otra consecuencia del retraso en la ejecución de la planificación del departamento de

TI es que no se evalúen mensualmente al sistema de seguridad, dicha disminución en la
cantidad de evaluaciones aumenta el riesgo de que el sistema exponga la información de
la empresa ya que no hay diagnósticos actualizados de cuál es su condición de
funcionamiento.
84
RECOMENDACIONES
1. Al gerente de TI se le recomienda comunicar oportunamente a todas las áreas de la

empresa sobre las fechas y horas exactas en las que se van a correr las pruebas para
evaluar los procesos de TI de forma que no afecte a las actividades del resto de áreas y
tenga toda la apertura para correr dichas evaluaciones.
2. Al gerente de TI se recomienda la elaboración de un cronograma al inicio de cada

trimestre en el cual se indique la aplicación de las 4 actualizaciones programadas para el
año con lo que tanto el gerente de operaciones como del resto de áreas podrán organizar
de forma más precisa cada una de sus actividades.
3. Al gerente de TI se recomienda la ejecución mensual de evaluaciones al sistema de

seguridad de la empresa con el fin de identificar amenazas de modo más rápido y
disminuir su riesgo de ocurrencia afectando la seguridad de la información de la empresa.
85
APO 13 GESTIONAR LA SEGURIDAD
APO13 Gestionar la Seguridad Área: Gestión

Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la
empresa

Meta TI
Métrica Fórmula AplicaciónResultado Conclusión Fuente de Información
Numero de
procesos de Se han realizado 26
02 Cumplimiento y soporte de TI al Cobertura de las
seguridad procesos de seguridad Encuesta
cumplimiento del negocio de las leyes y evaluaciones de 26/84 31%
implementados / de un total de 84 Pregunta N°1
regulaciones externas conformidad
Total procesos procesos.
planificados
Nùmero de Se evidenció que de las

Actualizaciones 3 actualizaciones
Frecuencia de
04 Riesgos de negocio relacionados con las realizadas planteadas por TI para Encuesta
actualización de 1/3 33%
TI gestionados /Nùmero de realizarlas en el año Pregunta N°2
perfil del riesgo
actualizaciones unicamente se
planificadas. efectuaròn 1.
Porcentaje de
Análisis de
casos de
proyectos de Se evidencio que del
inversiòn de
inversiòn total de 4 proyectos
06 Transparencia de los costes, beneficios negocio, que Encuesta
estudiados y 1/4 25% planteado para su
y riesgo de las TI tienen Pregunta N°3
aceptados/ Total aprovaciòn solo se ha
claramente
proyectos revisado 1
definidos y
revisados.
aprobados los
Nùmero de
incidentes de Numero de
seguridad interrupciones
Se evidencio que de las
10 Seguridad de la información, causantes de del sistema
8 intervesiones Encuesta
infraestructura de procesamiento y pèrdidas resueltas/ Total 2/8 25%
planificadas solo se Pregunta N°4
aplicaciones financieras, intervesiones
resolvio 2.
interrupciones planificadas
del negocio o resueltas.
pèrdida de
Relación o Número de
cantidad de negociaciones
deciciones de con la Se evidenció que de las
14 Disponibilidad de información útil y negocio erróneas informaciòn 6 negociaciones
Encuesta
relevante para la toma de en las que la falta necesaria/ Total 2/6 33% planificadas solo 2
Pregunta N°5
decisiones de información o negociaciones tenìan las informaciòn
la información planificadas con necesaria.
errónea ha sido la informaciòn
principal causa. necesaria
Objetivos y métricas del proceso
Meta del proceso
Métrica Fórmula AplicaciónResultado Conclusión Fuente de Información
Número de
incidentes no En el último año se
1. Està en marcha un sistema que considera
Nùmero de identificados en tuvo i incidente
y trata efectivamente los requerimientos
incidentes el año con la significativo Entrevista al
de seguridad de la información de la 1/5 20%
relacionados con seguridad / relacionados a TI, de Gerente de TI
empresa.
la seguridad. Número de total un total de 5 incidentes
de incidentes de reportados.
seguridad.
Nivel de
satisfacción de las
Directores De los 3 directores
2. Se ha establecido, aceptado y partes
satisfechos/ que se encuentran en Entrevista a
comunicado por toda la empresa un plan interesadas con el 1/3 33%
Total Directores la empresa solo uno se Directores
de seguridad. plan de seguridad
satisfecho encuentra satisfecho.
de toda la
empresa
Nùmero de Servicios
3.Las soluciones de seguridad de la
servicios con resueltos con el De 8 incidentes solo 3
información están implementadas y Entrevista al
alineamiento plan de 3/8 38% fueron resueltos con el
operadas de forma consistente en toda la Gerente de TI
confirmado al seguridad/ Total plan de seguridad
empresa.
plan de seguridad de incidentes
RESULTADO
capacidad de
DE 30%
proceso
EVALUACION
86
ACTIVIDADES
APO13 Gestionar la Seguridad Área: Gestión
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la
empresa.
ENTRADAS SALIDAS
APO13.01 Establecer y mantener un SGSI. Fuera del Enfoque de seguridad de Polìtica de SGI Interno
Establecer y mantener un SGI que proporcione un Ámbito de la empresa
enfoque estándar, formal y continuo a la gestión COBIT
de seguridad para la información, tecnología y
procesos de negocio que esté alineados con los
requerimientos de negocio y la gestión de
seguridad en la empresa.
APO13.02 Definir y gestionar un plan de APO02.04 Diferencias y cambios Plan de tratamiento de Todo EDM
tratamiento necesarios para alcanzar riesgos de seguridad de la Todo APO
del riesgo de la seguridad de la información. la capacidad objetivo información Todo BAI
Mantener un plan de seguridad de información Todo DSS
que Todo MEA
describa cómo se gestionan y alinean los riesgos
de seguridad de información con la estrategia
y la arquitectura de empresa. Asegurar que las
recomendaciones para implementar las mejoras en
seguridad se basan en casos de negocio
aprobados,
se implementan como parte integral del desarrollo
de
soluciones y servicios y se operan, después, como
parte
integral de las operaciones del negocio.
DSS02.02 Incidentes clasificados Informes de auditoría del MEA02.01
y priorizados y SGI
requerimientos de
APO13.03 Supervisar y revisar el SGSI. Mantener y servicios
comunicar regularmente la necesidad y
los beneficios de la mejora continua de la seguridad
de información. Recolectar y analizar datos sobre
el SGI y la mejora de de su efectividad. Corregir las
no
conformidades para prevenir recurrencias.
Promover
una cultura de seguridad y de mejora continua.
MATRIZ RACI
87
información.
APO13 Gestionar la Seguridad
APO 13.03 Supervisar y revisar el SGSI

APO 13.02 Definir y gestionar un plan de
APO 13.01 Establecer y mantener un SGSI
tratamiento del riesgo de la seguridad de la

PRACTICA CLAVE DEL GOBIERNO
DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR
I
C
C
C
R
A
Director General
Ejecutivo (CEO)
R
Propietarios de los
Procesos de
Negocio
I
I
R
Oficina de Gestión
Informed
Consultant
Responsible
Accountable
de Proyectos
C
C
Director de Riesgos
(CRO)
A
A
A
Director de
Seguridad de la
Información (CISO)
C
C
C
Cumplimiento
Normativo
(Compliance)
C
C
C
Auditoría
R
R
R
Director de
Informática/Sistem
as (CIO)
I
R Jefe de
Arquitectura del
Negocio
I
Jefe de Desarrollo
I
Jefe de
Operaciones TI
R
R
R
Jefe de
Administración TI
I
Gestor de Servicio
(Service Manager)
R
R
R
Gestor de
Seguridad de la
Información
C
C
Gestor de
Continuidad de
88
Negocio
C
C
Gestor de
Privacidad de la
información
FLUJOGRAMA
Flujograma
Proceso: OPTIMIZACIÓN DE PROCESOS

Fecha: 01/05/2018
Usuario Departamento TI Direcciòn Financieras
Recepciòn Solicitud 3
INICIO
1 DANILO CRIOLLO
Recepciòn Informe tècnico
y costos.
Identificar proceso
a automatizar Envio
comunicaciòn 2
¿Es viable
la Revisiòn Presupuesto
Recolecciòn de ssNO
Solicitud? FREDDY SANTANDER
Datos.
Se archiva
Elaboraciòn solicitud para
enviar a Departamento TI.
1
ssSI ¿Es posible
ssNO realizar la
automatizaci
Envio Informe tècnico y òn?
2
costos. 3
Recepciòn
comunicaciòn ssSI
4
Envio Autorizaciòn de
4 automatizaciòn para
5 proceso.
Recepciòn Autorizaciòn de
automatizaciòn para
proceso.
Inducciòn de
automatizaciòn. a
usuario
Direccionamiento de
automatizaciòn a
Programador
FIN MARCELO NARVAEZ
Elaboraciòn de
5 automatizaciòn.
89
NIVEL DE MADUREZ
NIVEL DE MADUREZ
APO13 Gestionar la Seguridad
Atributo de
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
Procesos
Proceso Proceso
0 1 2 3 4 5
OBSERVACIONES
-Vemos que la organización cumple un bajo rendimiento de procesos de seguridad pues

no se realizan procesos que gestionen la seguridad.
-No se realizan actualizaciones frecuentemente creemos que tiene un bajo promedio de
actualizaciones.
-Observamos un bajo rendimiento de intervenciones solucionadas.
-Observamos que no existe el seguimiento para poder entregar o recibir información para
negociaciones con información necesaria.
-Observamos que el proceso se encuentra en un proceso gestionado con el 30% de
cumplimiento.
RECOMENDACIONES
- Recomendamos incrementar procesos de control de seguimiento para gestionar la
seguridad.
- Incrementar una planificación por periodos de actualizaciones.
- Recomendamos asignar responsables para el seguimiento de las intervensiones no
solucionados.
90
Dominio: Construcción, Adquisición e Implementación
BAI 06 GESTIONAR LOS RIESGOS
MÉTRICAS
BAI06 Gestionar los Cambios Área: Gestión

Dominio:Construir, Adquirir e Implementar
Gestiono todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencía en relación con los procesos de
negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de
emergencia, seguimiento, reporte, cierre y documentación.
Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la
estabilidad e integridad del entorno en que se aplica el cambio.

Meta TI
Métrica Fórmula Aplicación Resultado Conclusión Fuente de Información
Nùmero de
Actualizaciones de Se evidenció que de las 9
perfil con actualizaciones planteadas
Frecuencia de
04 Riesgos de negocio relacionados dificultades de por TI para realizarlas en el
actualización de perfil 2/9 22% ENCUESTA N° 1
con las TI gestionados creación de usuario/ año en creación de
del riesgo
Nùmero de usuarios unicamente se
actualizaciones efectuaròn 2.
planificadas.
Porcentaje de
Se evidencio que del total
07 Entrega de servicios de TI de Usuarios satisfechos Usuarios
de 109 colaboradores solo
acuerdo a los con la calidad de los satisfechos/ Total 43/98 44% ENCUESTA N° 2
48 colaboradores se
requisitos del negocio servicios de TI usuarios.
encuentran satisfechos.
entregados.
N° de ordenes para
Tiempo para para
eliminar priviligios
otorgar, modificar y
10 Seguridad de la información, de acceso/ Total Se evidencio que de las 5
eliminar los privilegios
infraestructura de procesamiento y ordenes planeados 1/5 20% intervesiones planificadas ENCUESTA N° 3
de acceso, comparado
aplicaciones en eliminar solo se resolvio 1.
con los niveles de
privilegios de
servicios acordados.
acceso
Objetivos y métricas del proceso
Meta del proceso
Métrica Fórmula Aplicación Resultado Conclusión Fuente de Información
N° ordenes
resueltas por error
1.Los cambios autorizados son En el último año se resolvio
Cantidad de trabajo en creación de
realizados de acuerdo a sus 45 errores por creación de
rehecho debido a usuarios/ Total de 45/100 45% ENCUESTA N° 4
cronogramas respectivos y con usuarios del total de 100
cambios fallidos. ordenes
errores mínimos. ordenes planificadas.
planificadas para
resolver
Evaluaciones
2. Las evaluaciones de impacto
Porcentaje de cambios realizadas de Se evaluaron 6 ordenes de
revelan el efecto de los cambios
sin éxito debidos a cambios/ Total de 6/20 30% cambio del total de 20 ENCUESTA N° 5
sobre todos los componentes
evaluaciones evaluaciones evaluaciones planificadas.
afectados.
planificadas
Cambios de
Número de cambios de De 75 cambios
3. Todos los cambios de emergencia emergencias
emergencias no implementados por
son revisados y autorizados una vez exitosos/ Total de 25/75 33% ENCUESTA N° 6
autorizados una vez emergencias/ 25 cambios
hecho el cambio cambios realizados
hecho el cambio. han sido exitosos
planificados
Ratios de satisfacción Se evidencio que del total

Personal que
4. Las principales partes interesadas de las partes de 109 colaboradores solo
conoce cambios
están informadas sobre todos los interesadas con las 41/109 38% 41colaboradores conocen ENCUESTA N° 7
implementados/
aspectos del cambio. comunicaciones de los los cambios
Total de usuarios
cambios. implementados.
RESULTADO DE
EVALUACION DE 33% capacidad
CAPACIDAD: de
91
ACTIVIDADES
BAI06 Gestionar los Cambios Área: Gestión
Dominio:Construir, Adquirir e Implementar
Gestiono todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencía en relación
con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto,
priorización y autorización, cambios de
emergencia, seguimiento, reporte, cierre y documentación.

Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte
negativamente en la
estabilidad e integridad del entorno en que se aplica el cambio.
ENTRADAS SALIDAS
BAI06.01 Evaluar, priorizar y autorizar peticiones BAI03.05 Componentes de la Evaluaciones de impacto Internal
de solución integrados y
cambio. Evaluar todas las peticiones de cambio configurados
para determinar
su impacto en los procesos de negocio y los
servicios
TI, y analizar si el cambio afectará negativamente al
entorno operativo e introducirá un riesgo
inaceptable.
BAI06.02 Gestionar cambios de emergencia. Revisión de cambios Interno
Gestionar cuidadosamente los cambios de de emergencia tras su
emergencia implementación
para minimizar futuras incidencias y asegurar que
el
cambio está controlado y se realiza de forma
segura.
Verificar que los cambios de emergencia son
evaluados debidamente y autorizados una vez
hecho el cambio
BAI06.03 Hacer seguimiento e informar de BAI03.09 Registro de todas las Reporte del estado de BAI01.06
cambios peticiones de cambio cambio de una petición BAI10.03
de estado. aprobadas, y aplicadas
Mantener un sistema de seguimiento e informe
que documente los cambios rechazados,
comunique el
estado de cambios aprobados y en proceso y de
cambios completados. Asegurar que los cambios
BAI06.04 Cerrar y documentar los cambios. Documentación del Interno
Siempre que el cambio haya sido complementado, cambio
actualizar, de manera consecuente, la
documentación de
la solución y del usuario, así como los
procedimientos a
los que afecta el cambio.
92
MATRIZ RACI
Construir, Adquirir e Implementar
Matriz RACI BAI06
Director de Riesgos
Informática/Sistem
Propietarios de los
(Service Manager)
Jefe de Desarrollo
Gestor de Servicio
Oficina de Gestión
Administración TI
Arquitectura del
Seguridad de la
Operaciones TI
Cumplimiento
(Compliance)
Ejecutivos de
de Proyectos
Información
Procesos de
Director de
Normativo
Gestor de
Auditoría
Negocio
Negocio
negocio
as (CIO)
Jefe de
Jefe de
Jefe de
(CRO)
BAI06.01
Evaluar, priorizar y autorizar A R C C C C R C R R C R C
peticiones de cambio.
A I C C C R I R R I C
BAI06.02 Gestionar cambios de emergencias

BAI06.03
Hacer seguimiento e informar C R R R R
de cambios de estado. C A
BAI06.04 R R C R R I I
Cerrar y documentar los cambios. R C C C R
R Responsible
A Accountable
C Consultant
I Informed
93
FLUJOGRAMA
Flujograma
Proceso: SEGURIDAD INFORMATICA

Fecha: 01/05/2018
DEPARTAMENTO TI Usuario
INICIO
Preparaciòn
Determinaciòn de las
necesidades de
protecciòn.
- Hardware
- Software
Caracterización del - Datos
sistema informático - Personas
- Documentaciòn
Identificaciòn de las
amenazas sobre el Recepciòn del Plan de
sistema informatico. Seguridad Informàtica
Estimaciòn del riesgo

sobre los bienes Elaboraciòn del Plan de
informàticos Asignaciòn de Seguridad Informàtica 1
Responsabilidades
Inducciòn a usuario
Evaluaciòn del estado

actual de la Seguridad Polìtica de Seguridad
Informàtica Informàtica FIN
Establecimiento de
los requisitos de Seleccion de los
Seguridad controles de
Informàtica. Seguridad Informàtica
94
NIVEL DE MADUREZ

NIVEL DE MADUREZ
BAI06 Gestionar los Cambios
Atributo de
PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1
Procesos
Proceso Proceso
0 1 2 3 4 5
OBSERVACIONES
Observamos que existe un bajo indice de actualizaciones.

Observamos un bajo nivel de aceptación por parte de los colaboradores
Observamos que se encuentra en proceso gestionado con el 33%
RECOMENDACIONES
Recomendamos realizar un plan de trabajo para futuras actualizaciones de los

diferentes procesos informáticos.
Recomendamos trabajar más con las quejas de los usuarios para disminuir los problemas
reconociendo los errores informáticos.
Recomendamos realizar un plan piloto a las soluciones planteadas.
95
Dominio: Entregar, dar Servicio y Soporte
DSS 04 GESTIONAR LA CONTINUIDAD
MÉTRICAS
PLAN DE
CONTINGENCIA
DSS04 Gestionar la Área: Gestión

continuidad Dominio: Entregar, Dar Servicio y Soporte
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio
para la operación continua de los
procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un
nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel aceptable
para la empresa ante el evento de
una interrupción significativa.
Meta TI Fuente de
Métrica Fórmula Aplicación Resultado Conclusión
Información
Número de
incidentes En el año 2018
Incidentes
significativos se ha
relacionados
relacionados reportado
04 Riesgos de con TI en el
con las TI que solo un
negocio relacionados año / Número Papel de
no 1/3 33% incidente
con las TI total de Trabajo
fueron relacionado
gestionados. incidentes TI
identificados con TI, 2
en el año
en la menos que el
pasado
evaluación de anterior
riesgos
Número de Interrupciones Se evidenció

07 Entrega de Papel de
interrupciones del negocio 1/4 25% que hubo una
servicios TI de Trabajo
del negocio debidas a interrupción,
acuerdo a los
debidas a incidentes en que refleja un
96
requisitos del incidentes en el TI/ Número 25% del total
negocio servicio total de permitido en
de TI interrupciones la compañía.
en el negocio
debido a TI
Número de Incidentes en
Se ha
incidentes en los procesos
14 Disponibilidad de evidenciado 1
los procesos de de negocio / Encuesta de
información útil y incidente en
negocio Evaluaciones satisfacción
relevante para la 1/4 25% procesos del
causados por la de incidentes partes
toma de negocio, lo
indisponibilidad en los interesadas
decisiones que refleja un
de la procesos de
25% en el año.
información negocio
Objetivos y métricas
del proceso
Meta del proceso Fuente de
Métrica Fórmula Aplicación Resultado Conclusión
Información
Medios de
}1. La información respaldo La compañía
Porcentaje de
crítica para el almacenados no ha
medios de
negocio está de forma almacendado
respaldo Encuesta a las
disponible para el segura / y y no ha
transferidos y 35/84 42% partes
negocio en Número total respaldado de
almacenados Interesadas
línea con los niveles de respaldos forma segura
de forma
de servicio mínimos almacenados su
segura
requeridos. de forma información.
segura
Sistemas La empresa ha
críticos cubierto en un
Número de
cubiertos por 43% los
sistemas
2. Los servicios el negocio / sistemas Encuesta a las
críticos para el
críticos tienen Total de 36/84 43% crítcos partes
negocio no
suficiente resiliencia. sistemas obtenidos por Interesadas
cubiertos por el
críticos el
plan
cubiertos por departamento
el negocio de TI.
Número de Pruebas
3. Las pruebas de realizadas La empresa ha
ejercicios y
continuidad del para objetivos realizado
pruebas que Encuesta a las
servicio han de ejercicios de
han 35/84 42% partes
verificado la recuperación / objetivos de
conseguido los Interesadas
efectividad del Total pruebas recuperación
objetivos de
plan. realizadas en un 42%.
recuperación
para objetivos
97
de
recuperación.
Según
informes en la
4. Un plan de Porcentaje de Mejoras
encuesta de
continuidad mejoras efectuadas en
partes Encuesta a las
actualizado refleja acordadas que el año / Total
28/84 33% interesadas se partes
los requisitos de han sido mejoras
conoce que no Interesadas
negocio reflejadas en el efectuadas en
existe mejoras
actuales. plan el año
efectuadas en
el año.
La compañía
Interesados ha reflejado
que han un 40% de
Porcentaje de
5. Las partes recibido información
interesados Encuesta de
interesadas internas información / reveleda a las
internos y satisfacción
y externas han sido Total de 34/84 40% partes
externos que partes
formadas en el plan interesados interesadas,
han recibido interesadas
de continuidad. que han según
formación
recibido encuesta
información realizada a los
mismos.
ACTIVIDADES
DSS04 Gestionar la continuidad Área: Gestión
Dominio: Entregar, Dar Servicio y Soporte
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de

servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y
mantener la disponibilidad de la información a un nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel
aceptable para la empresa ante el evento de
una interrupción significativa.
ENTRADAS SALIDAS
DSS04.01 Definir la política de continuidad APO09.03

Valoraciones de las
de
capacidades
negocio, objetivos y alcance. ANSs Interno
actuales y
Definir la política y alcance de continuidad
lagunas de
de negocio
continuidad
alineada con los objetivos de negocio y de
98
las partes
interesadas.
alineada con los objetivos de negocio y de
las partes
interesadas.
DSS04.02 Mantener una estrategia de APO12.06

continuidad.
Evaluar las opciones de gestión de la
continuidad de
Comunicaciones
negocio y escoger una estrategia de
del
continuidad viable
impacto de los
y efectiva en coste, que pueda asegurar la
riesgos
continuidad y
recuperación de la empresa frente a un Análisis de impacto
desastre u otro en el
incidente mayor o disrupción. negocio APO12.02
DSS04.03 Desarrollar e implementar una

respuesta
a la continuidad del negocio.
Desarrollar un plan de continuidad de
negocio
Plan de Continuidad
(BCP) basado en la estrategia que Acuerdos de Nivel
APO09.03 de Interno
documente los Operativo (OLAs)
Negocio (BCP)
procedimientos y la información lista para
el uso en un
incidente para facilitar que la empresa
continúe con sus
actividades críticas
DSS04.04 Ejercitar, probar y revisar el BCP.

Probar los acuerdos de continuidad
regularmente para
ejercitar los planes de recuperación
respecto a unos
Pruebas de
resultados predeterminados, para permitir Interno
objetivos
el desarrollo
de soluciones innovadoras y para ayudar a
verificar que
el plan funcionará, en el tiempo, como se
espera.
DSS04.05 Revisar, mantener y mejorar el

plan de Cambios
continuidad. recomendados a Interno
Realizar una revisión por la Dirección de la los planes
capacidad
99
de continuidad a intervalos regulares para
asegurar su
continua idoneidad, adecuación y
efectividad. Gestionar
los cambios en el plan de acuerdo al
proceso de control
de cambios para asegurar que el plan de
continuidad
se mantiene actualizado y refleja
continuamente los
requerimientos actuales del negocio.
DSS04.05 Revisar, mantener y mejorar el

plan de
continuidad.
Realizar una revisión por la Dirección de la
capacidad
de continuidad a intervalos regulares para
asegurar su
Cambios
continua idoneidad, adecuación y
recomendados a Interno
efectividad. Gestionar
los planes
los cambios en el plan de acuerdo al
proceso de control
de cambios para asegurar que el plan de
continuidad
se mantiene actualizado y refleja
continuamente los
requerimientos actuales del negocio.
DSS04.06 Proporcionar formación en el

plan de
continuidad.
Proporcionar a todas las partes implicadas, Lista del personal Resultados de la
internas que supervisión de
RR.HH. APO07.03
y externas, de sesiones formativas requiere habilidades
regulares formación y competencias
que contemplen los procedimientos y sus
roles y
responsabilidades en caso de disrupción.
DSS04.07 Gestionar acuerdos de respaldo.

Mantener la disponibilidad de la Probar los
información crítica del resultados de
negocio. las copias de Interno
seguridad de
los datos
DSS04.08 Ejectuar revisiones post-

reanudación.
Evaluar la adecuación del Plan de Cambios
Continuidad de aprobados a los BAI06.01
Negocio (BCP) después de la reanudación planes
exitosa de
los procesos de negocio y servicios
100
después de una
disrupción.
MATRIZ RACI
EMPRESA M& M
TRAVEL
DOMINIO: ENTREGAR,
DAR SERVICIO Y
SOPORTE
MATRIZ RACI DSS04 Gestionar la continuidad COBIT 5.0
Jefe de Operaciones TI
Gestor de Continuidad
Ejecutivos de negocio
Informática/Sistemas
Procesos de Negocio
Jefe de Arquitectura
Director de Riesgos
Operaciones (COO)
Propietarios de los
(Service Manager)
Gestor de Servicio
Jefe de Desarrollo
Administración TI
Recursos
Cumplimiento
(Compliance)
del Negocio
Director de
Director de
de Negocio
Normativo
Humanos
Auditoría
Jefe de
PRACTICA CLAVE DEL
(CRO)
(CIO)
GOBIERNO
Jefe de
DSS04.01 Definir la
política de continuidad
A C R C C C R R C R R
del negocio, objetivos y
alcance.
DSS04.02 Mantener una

estrategia de A C I C C R R C R R
continuidad. R
DSS04.03
Desarrollar e
implementar una
I R A
respuesta a la
continuidad del
negocio. R I C C R C C
DSS04.04
Ejercitar, probar y revisar
I R A
el plan
de continuidad. R I R R C
101
DSS04.05
Revisar, mantener y
A I I R R
mejorar el
plan de continuidad. R R C
DSS04.06
Proporcionar formación
I R R R A
en el
plan de continuidad. R R
DSS04.07
Gestionar acuerdos C A R
derespaldo.
DSS04.08
Ejecutar revisiones C I C R R A
postreanudación. R R C
R Responsible
A Accountable
C Consultant
I Informed
102
FLUJOGRAMA
103
NIVEL DE MADUREZ
OBSERVACIONES
1. En la compañía no existe un plan de contingencia adecuado para amenzas que pueda
tener el departamento de TI y por ende la empresa, se ha podido establecer que la
compañía no cuenta con antivirus legales, lo que aumenta el nivel de riesgo por el
motiv o de que si llegase un virus a cualquier ordenador, puede infectar no solo a el
de un usuario sino a toda la red, dejando parada las actividades de la compañía.
RECOMENDACIONES
1. Definir un plan de contingencia adecuada para la compañía, establecer métricas
entre el departamento de TI y los usuarios de los ordenadores.
2. Poder restringuir páginas que no sean de uso productivo para la compañía, las
mismas que pueden desencadenar una descarga de virus.
Dominio: Entregar, dar Servicio y Soporte

DSS 05 GESTIONAR LOS SERVICIOS DE SEGURIDAD
MÉTRICAS
104
DSS 05 Área: Gestión

GESTIONAR
SERVICIOS DE Dominio: Entrega, Servicio y
SEGURIDAD Soporte
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la

información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios
de acceso de la información y realizar la supervisión de la seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos

de seguridad en la información.
Me Métricas relacionadas
ta Conclusi Fuente de
TI Métrica Fórmula Aplicación Resultado
ón Información
Número
Se han
de
10 realizad
pruebas
Seguridad o el 27%
de
de la de las
Frecuencia de la seguridad
información pruebas
evaluación de la realizadas Encuesta de
, para
seguridad frente a los / Total de 43 / 106 27% satisfacción partes
infraestruct manten
últimos estándares y pruebas interesadas
ura de er el
guías de
procesamie cuidado
seguridad
nto y de la
reportad
aplicaciones segurida
as en el
d.
periodo
Objetivos y métricas del

proceso
Fue
Meta del nte
proceso Aplica Resultad de
ción o Info
rma
ción
105
Enc
Se reparan los
uest
cortafuegos en
1. La seguridad a de
Número de un 60%, los
de las redes y sati
cortafuegos cuales serán de
las Número de rupturas sfac
reparados / Total beneficio para
comunicacione (breaches) de 3/5 60% ción
de cortafuegos la organización;
s cumple con cortafuegos part
con daños en la sin esto, no se
las necesidades es
organización va a poder
del negocio. inte
continuar con
resa
las operaciones
das
Personas que La empresa está Enc

reciben dedicando uest
2. La
capacitación al tiempo a la a de
información
Porcentaje de individuos que uso de formación del sati
procesada,
reciben formación de dispositivos / personal en un sfac
almacenada y 25 /
concienciación relativa al uso Total de 30% 30%, lo cual no ción
transmitida en 84
de dispositivos de usuario personal que es bueno, ya part
los dispositivos
final requieren que todos es
de usuario final
formación de manejan este inte
está protegida.
uso de tipo de resa
dispositivos información. das
RESULTADO
DE
capacidad
EVALUACION 39%
de proceso
DE
CAPACIDAD:
ACTIVIDADES
DSS 05 GESTIONAR SERVICIOS DE
Área: Gestión
SEGURIDAD
Dominio: Entrega, Servicio y Soporte
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la

información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios
de acceso de la información y realizar la supervisión de la seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la

información.
ENTRADAS SALIDAS
106
DSS05.01 Proteger contra software
malicioso (malware).
Implementar y mantener efectivas
medidas, preventivas, de detección y
correctivas (especialmente parches de Política de
seguridad actualizados y control de prevención de APO01.04
virus) a lo largo de la empresa para software malicioso
proteger los sistemas de información
y tecnología del software malicioso
(por ejemplo, virus, gusanos, software
espía –spyware- y correo basura).
DSS05.02 Gestionar la seguridad de la

red y las conexiones.
Utilizar medidas de seguridad y Guías de
Política de seguridad
procedimientos de gestión APO01.06 clasificación de la APO01.04
en la conectividad
relacionados para proteger la información
información en todos los modos de
conexión.
DSS05.03 Gestionar la seguridad de los

puestos de usuario final.
Asegurar que los puestos de usuario
final (es decir, portátil, equipo
Políticas de
sobremesa, servidor y otros Modelo de
seguridad para
dispositivos y software móviles y de APO03.02 arquitectura de la APO01.04
dispositivos de
red) están asegurados a un nivel que es información
usuario final
igual o mayor al definido en los
requerimientos de seguridad de la
información procesada, almacenada o
transmitida.
DSS05.04 Gestionar la identidad del

usuario y el acceso lógico.
Asegurar que todos los usuarios Definición de roles
tengan derechos y Derechos de acceso
de acceso a la información de acuerdo APO01.02 responsabilidades de los usuarios Interno
con los requerimientos de negocio y relacionadas con aprobados
coordinar con las unidades de negocio TI
que gestionan sus propios derechos de
acceso con los procesos de negocio.
MATRIZ RACI
107
DOMINIO: ALINEAR, PLANIFICAR Y
ORGANIZAR
MATRIZ RACI DSS 05 Gestionar servicios de Seguridad COBIT 5.0
informática/sistemas
Procesos de Negocio
Gestor de Privacidad
Gestor de Seguridad
Jefe de Operaciones
Jefe de arquitectura
Director de Riesgos
Propietarios de los
(Service Manager)
Gestor de Servicio
de la Información
de la información
Jefe de recursos
Director de
de negocio
Auditoría
humanos
(CRO)
(CIO)
de TI
DSS 05.01 Proteger contra Software

R C R C A I R I R
malocioso
DSS05.02
Gestionar la seguridad de la red y las I C C A I R I R
conexiones.
DSS05.03
Gestionar la seguridad de los puestos de I C A I R I R
usuario final. C
DSS05.04
Gestionar la identidad del usuario y el R C A I R I R
acceso lógico. C I C
DSS05.05
Gestionar el acceso físico a los activos de I C C A I R I R
TI.
R Responsible
A Accountable
C Consultant
I Informed
FLUJOGRAMA
108
NIVEL DE MADUREZ
OBSERVACIONES
109
1. Se determina que la empresa no está realizando pruebas para salvaguardar la
información, por lo que esto convierte en un riesgo alto para el activo más valioso que
es la información.
2. No se toma en cuenta los cortafuegos, sin imaginarse que sin ellos no habría solución
alguna de los problemas existentes.
3. No se está dando la capacitación necesaria a los usuarios de toda la organización, es

por ello que no se van a cumplir con las tareas previstas
RECOMENDACIONES
1. Establecer cláusulas estrictas con las cuales se cumplan las directrices para
salvaguardar la información
2. Reparar los cortafuegos que no están en funcionamiento, para así aprovechar el uso
de los equipos en todo el tiempo determinado.
3. Capacitar de manera continua y profesional a todas las personas que utilicen el

sistema dentro de la organización.
110
CONCLUSIÓN DEL INFORME
Hemos auditado los procesos críticos que se adjuntan de M&M TRAVEL, que comprenden
toda la estructura y sus recursos relacionados con TI correspondiente al periodo marzo -
julio 2018.
En el ejercicio de nuestra auditoría encontramos que los proveedores de servicios de

información no están dando las garantías necesarias para la prestación de dichos servicios
y por ende incumpliendo los acuerdos firmados con el ente auditado, esto incrementa
considerablemente el riesgo de la información lo que lo vuelve crítico para la empresa.
En nuestra opinión, los procesos auditados se encuentran en un nivel de capacidad

GESTIONADO según COBIT 5; por lo que la empresa debería tomar ciertas fases y
elementos, con el objeto de ir documentando las actividades de los procesos y mejorando
la realización de los mismos.
El número de incidentes reportados a TI se debe a la indisponibilidad de la información,

lo cual implica que los proveedores de servicios de información no están dando las
garantías necesarias para la presentación de dichos servicios y por ende, incumpliendo
los acuerdos firmados con el ente auditado.
De acuerdo con el análisis y verificación de la documentación de la empresa nos queda

como resultado la inexistencia de características, fechas de ingreso de los equipo y
además se evidenció una utilización de licencias inadecuadas, debido a que existen
únicamente 10 licencias para toda la organización.
En el desarrollo de nuestra auditoría no se recibe información de los procesos ni el registro

de proveedores que prestan los servicios; por lo que se realizó un levantamiento de
procesos y no se cuenta con los acuerdos de los mismos, lo cual se considera un riesgo
alto en la empresa, debido al alto grado de dependencia de terceros.
111

Informe Final-Final

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informe Final-Final

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD CENTRAL DEL ECUADOR

Facultad de Ciencias Administrativas

TRABAJO GRUPAL “Auditoría Informática- M & M Travel”

 CHIPANTASI TUFIÑO JUAN CARLOS

 PAREDES JARRÍN EDWIN STEVE

 PAZ BASTIDAS MARCELA JACIEL

 QUINGATUÑA MASABANDA DIEGO ELIAS

INFORME DE AUDITORÍA FINAL

Al 31 de diciembre del 2018

Las Tecnologías de la Información y Comunicación constituyen actualmente una

Evaluar la situación actual del Departamento de TI de M&M TRAVEL utilizando COBIT

 Aplicación del marco de Referencia COBIT 5 para realizar la auditoría.

COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a

M&M TRAVEL nació en el año 2006 como un proyecto de desarrollo turístico en el

M&M TRAVEL; Convertirnos en el referente turístico con una plataforma integral

Políticas M&M TRAVEL

M&M TRAVEL GROUP única y exclusivamente es la empresa intermediaria entre el

EMPRESA M&M TRAVEL

a) Planificar los objetivos generales y específicos

Gerente Administrativo 1. Diseñar el Plan Estratégico de Ventas de manera

NIVEL OPERATIVO / TÉCNICO / GESTIÓN

1. Asegurar la operación eficiente de la

Incrementar el índice de Optimizar el uso de los recursos

Incrementar la percepción positiva de Incrementar la eficiencia

La Dirección de Gestión de la Información y Procesos ha establecido su misión, visión y

Gerente de Tecnologías de la Información danilo.criollo@mymtravel.com

Subgerente de Tecnologías de la Información khaterine.collaguazo@mymtravel.com

Ing. Luis Vaca

Ing. Marcelo Narváez

Ing. Luis Soza

Soporte área Procesos y Proyectos informáticos UIO luis.soza@mymtravel.com

Ing. Christian Campoverde

Soporte área Procesos y Proyectos informáticos GYE christian.campoverde@mymtravel.com

Sub Gerente TI: Khatherine Collaguazo

 Diseñar, planificar, formular, programar, dirigir, controlar y supervisar el

Telecomunicaciones: Luis Vaca

Programación: Marcelo Narváez

Soporte Quito: Luis Sosa

Soporte Guayaquil: Christian Campoverde

 Diseñar, implementar y administrar soluciones de innovación tecnológica que

Se solicitó los documentos donde se encuentre los objetivos, metas, y procesos de la

2. VERIFICACIÓN INVENTARIO INFORMÁTICO

3. VERIFICACIÓN DEL PLAN DE SEGURIDAD

N.- ITEM COMPONENTE SI/NO OBSERVACIÓN

4. VERIFICACIÓN DE LOS PROCESOS PRIORITARIOS DEL

5. VERIFICACIÓN METODOLOGÍA DE DESARROLLO

6. VERIFICACIÓN DEL PLAN DE CONTINGENCIA

Para verificar la Metodología se solicitó la documentación correspondiente al desarrollo

Análisis: Debemos aplicar nuestra encuesta a 84 personas para obtener resultados en

1. ¿Dentro de su departamento, existe creación de valor mediante el uso de

2. ¿Está el usuario final satisfecho con la calidad de servicio de TI?

3. ¿El personal recibe capacitaciones constantes para el uso de dispositivos?

4. ¿Cómo se gestiona el rendimiento de TIC?

Por lo obtenido, la gestión para comprobar el rendimiento del departamento de

5. ¿Cómo se puede explotar mejor la tecnología para conseguir nuevas oportunidades

En los resultados obtenidos, se determina que, mediante la innovación, y de la mano el soporte y

7. En una escala del 1 al 10, ¿cuánto depende el departamento de TI de sus

El departamento de TI depende en un alto porcentaje del proveedor del sistema contable

9. ¿Cuáles son los requisitos de control para la información?

11. ¿El departamento de sistemas genera estrategias de prevención para evitar

12. ¿Cómo se controla el coste de TI?

13. ¿Cómo se usan los recursos de TI en la manera más efectiva y eficiente?

GESTIÓN DE CALIDAD DE PROCESOS 44