Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Revisión de Infraestructura
CAPREMINFRA
Agosto, 2017
Hoja de Firmas y Revisión
Registro de Cambios
Revisiones
Versión
Nombre Aprobada Cargo Firma Fecha
Dulce León
José Narvaez
Propiedades de Documento
Punto Detalles
Título del Documento Revisión de Infraestructura CAPREMINFRA
Autor Abel García
2
INDICE
CAPREMINFRA ....................................................................................................................................... 1
Revisiones ........................................................................................................................................................................ 2
INTRODUCCIÓN...................................................................................................................................... 6
FIREWALL ................................................................................................................................................ 8
3
DS4.2 PLANES DE CONTINUIDAD DE TI. ...................................................................................... 12
DATOS..................................................................................................................................................... 14
4
ME1.2 DEFINICIÓN Y RECOLECCIÓN DE DATOS DE MONITOREO. ..................................... 15
LICENCIAMIENTO. ............................................................................................................................... 15
VERSIONAMIENTO .............................................................................................................................. 15
MODELO COBIT.................................................................................................................................... 52
5
INTRODUCCIÓN
El siguiente informe refleja el resultado de las actividades ejecutadas en la plataforma tecnológica,
Servidor y Estaciones de trabajo de CAPREMINFRA.
Todas estas actividades se basaron en los estándares generalmente aceptados para la toma de
información, ejecución de pruebas de seguridad y mejores prácticas para el área de Infraestructura
TI.
Se utilizó software no invasivo para ejecutar las revisiones correspondientes, así como
herramientas distribuidas y recomendadas por Microsoft para la revisión de infraestructuras TI.
Inicialmente se realizó un chequeo físico de la infraestructura de red, cableado, cuarto de datos y
servidores, para verificar el estado físico y seguridad física de los equipos y periféricos,
licenciamiento, seguridad lógica, políticas, errores y advertencias, para posteriormente realizar las
verificaciones por software, recolección de datos y proceder a la recomendación de las mejores
prácticas para una infraestructura con características similares.
Igualmente, se realizó la revisión de una muestra suficiente de estaciones de trabajo de forma
remota, a fin verificar su configuración, el estado del licenciamiento, seguridad, y aplicación de las
mejores prácticas recomendadas.
Se anexan recomendaciones a fin de solucionar los puntos de observación destacados en este
informe.
6
SERVIDOR PRINCIPAL
Imagen 1 Información de Servidor de Active Directory
▪ Marca: DEll
▪ Modelo: Power Edge 1900
▪ Procesador XEON E5345 8 CPu
▪ Memoria RAM: 4 Gb
▪ Sistema Operativo: Windows Server 2003
7
Firewall
Imagen 2 Firewall
▪ Marca: ZyXEL
▪ Modelo: USG 300
▪ Antivirus
▪ DNS
▪ Control de Contenidos.
8
EQUIPOS DE TRABAJO
Imagen 3 Unidades Administrativas
9
INFRAESTRUCTURA FÍSICA
CAPREMINFRA posee en la actualidad:
• 4 Servidores Windows Server 3
• 1 Central de TELEFONÍA para 200 Teléfonos Panasonic Modelo KXTDA
• Estaciones de Trabajo (102 declaradas en el Active Directory) Varias marcas y modelos
• SwTIch de Red (8) modelos TpLink (No administrables)
• Cableado categoría 6
• Interconnect CANTV ABA –WIFI
• Impresoras – Multifuncional Lan
10
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura.
• El Datacenter se encuentra ubicado en el piso asignado a TI en un espacio aparte asignado
para este fin, en el mismo se encuentran el core principal de servidores e
Interconectividad. El mismo no está climatizado ni posee sensores de temperatura.
Tampoco se observa sistema de incendios especial para datacenter ni sistema de seguridad
que garantice la auditoría de entrada y salida.
• Se observa el espacio limpio y ordenado.
• No se observa identificación en todos los equipos.
• Se observan periféricos como Teclado y Mouse conectados a los servidores que permiten
el acceso local a los mismos.
11
DS4.2 Planes de Continuidad de TI.
• No está implementado.
12
DS5.10 Seguridad de la Red.
• Se detectó vulnerabilidad y brecha de seguridad por dispositivos Inalámbricos (routers wifi)
conectados directamente a la red que no poseen estándares de seguridad implementados
ni administración centralizada. Los mismos pueden ser objeto de ataques y penetración
desde el exterior del edificio por medio de un dispositivo inalámbrico.
• Se detectaron 28 dispositivos con sistema operativo ANDROID (Telefonos o Tablet) dentro
de la red sin ningun tipo de seguridad. Estos dispositivos pueden poner en riesgo la
seguridad de la infraestructura.
13
DS11.6 Requerimientos de Seguridad para la Administración de
Datos.
• No se posee una infraestructura eficiente para el resguardo de los datos de usuario, los
datos se guardan y comparten en carpetas compartidas.
14
ME1.2 Definición y Recolección de Datos de Monitoreo.
• No está implementado.
Licenciamiento.
• Los servidores principales no tienen licencia original.
• Las estaciones de trabajo no tienen licencia original.
• La licencia de antivirus no se encuentra activa,
Versionamiento
• Las versiones de los sistemas operativos de servidores se encuentran fuera de soporte por
el fabricante.
15
Corrida de configuración:
Domain Controller Diagnosis
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
16
Performing initial setup:
Done gathering initial info.
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
17
Doing initial required tests
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
(CN=e231ed8f-93fe-4436-9665-1615357acc20,
CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... TAPI3Directory failed test CrossRefValidation
(DC=ForestDnsZones,DC=cprem,DC=capreminfra,DC=net) we encountered
18
the following error retrieving the cross-ref's
(CN=838d5f69-b392-46f5-bd5d-
833be40930bb,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... ForestDnsZones failed test CrossRefValidation
(DC=DomainDnsZones,DC=cprem,DC=capreminfra,DC=net) we encountered
(CN=c94904fd-a5a7-4592-9d96-
b8fb5782aa78,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... DomainDnsZones failed test CrossRefValidation
(CN=Schema,CN=Configuration,DC=cprem,DC=capreminfra,DC=net) we
(CN=Enterprise
Schema,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... Schema failed test CrossRefValidation
19
(CN=Enterprise
Configuration,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... Configuration failed test CrossRefValidation
(CN=CPREM,CN=Partitions,CN=Configuration,DC=cprem,DC=capreminfra,DC=net)
information:
LDAP Error 0x3a (58).
......................... cprem failed test CrossRefValidation
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
20
Testing server: Default-First-Site\CAPREMINFRA
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
21
Running partition tests on: TAPI3Directory
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
22
Running partition tests on: DomainDnsZones
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
23
Running partition tests on: Schema
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
24
Running partition tests on: Configuration
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
25
Running partition tests on: Configuration
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
26
Running enterprise tests on: cprem.capreminfra.net
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
27
Domain Controller Diagnosis
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
28
Done gathering initial info.
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
29
Testing server: Default-First-Site\CAPREMINFRA
Starting test: Connectivity
The host 440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
30
The host 440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
31
Doing initial required tests
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
32
Doing initial required tests
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
33
Starting test: Connectivity
The host 440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
34
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
35
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
36
couldn't be resolved, the server name
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
37
(capreminfra.cprem.capreminfra.net) resolved to the IP address
(440435c0-96ec-4cf7-98d4-b03bba148d11._msdcs.cprem.capreminfra.net)
38
(192.168.32.20) and was pingable. Check that the IP address is
Diagrama Lógico:
Imagen 5 Modelo de Infraestructura actual
39
Cuestionario de chequeo
ELABORADO POR: DULCE LEÓN / 06/09/2017
1. SEGURIDAD FÍSICA
o ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible?
o De cuatro equipos solo uno
o ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas
extremas de frío / calor?
o Plenamente a salvo de luz solar excesiva, vientos y temperaturas extremas, polvo al
normal en una oficina y agua por la presencia de un A/A tipo Split.
o ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco
tráfico humano?
o Si
o ¿Está la sala / edificio en el que se encuentra el sistema securizado con una cerradura o
sistema de alarma para que sólo personal autorizado acceda? ¿Están las puertas cerradas con
llave y las alarmas activadas fuera de horario de oficina?
o No posee sistema de alarma, solo puerta con cerradura
o ¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el
sistema y lo use (aunque sólo sea por unos segundos)? ¿Están todos los usuarios desconectados
del terminal?
o Si, bloqueado con contraseña en todo momento o ¿Están los interruptores del
terminal bloqueados o protegidos? o No
o ¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de
disco bloqueadas / deshabilitadas? ¿Están los puertos paralelos / serie / infrarrojo / USB /
SCSI asegurados o deshabilitados? ¿Existen discos duros conectados físicamente al sistema sin
bloquear? o No
2. SEGURIDAD DE REDES
o Red Física: ¿está la red segura sin peligro de conexión no autorizada? ¿Tiene sólo el
personal autorizado acceso a la red física a la que está conectado el sistema? ¿Conoce y
confía en todos los diversos puntos donde se gestiona la conexión de red física /
administrados por otra persona o entidad? o Si
o ¿Están los otros sistemas de la misma red física y electrónicamente securizados? Si
el sistema es razonablemente seguro, pero otro sistema de la red no lo es, la vulnerabilidad
de su sistema se aumenta en gran medida.
o Tráfico de red aprobado:
o ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del
software en su sistema que participa en cualquier actividad de la red? ¿Ha comprobado
que no existan parches de seguridad del software y recibe regularmente las actualizaciones
de seguridad / vulnerabilidades del software que utiliza en la red?
o No tenemos software con licencias por eso se evita la instalación de actualizaciones
o ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que
por defecto no proporcionan a algún usuario no autorizado información de seguridad que
se podría utilizar para atacar el sistema?
o No
o ¿Se limitan las capacidades de los usuarios para que la información sensible sobre
el sistema no esté disponible en la red?
40
o Si (roles/grupos de trabajo)
o ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a
usuarios autorizados?
o No
o ¿Es consciente de los agujeros de seguridad creados por cierto software que
interactúa con otros? o Si o ¿Mantiene suficientes registros (logs) de la actividad de
red aprobada? o No
o ¿Conoce todo el software que puede interactuar con la red, los números de puerto
que utilizan, el tamaño y la ubicación de los ejecutables, etc.? o No o ¿Se cambian
las contraseñas de las cuentas de usuario de la red con regularidad?
o Solo por demanda o ¿Se cifran los datos confidenciales que se transfieren a través
de la red? o No o Tráfico de red no aprobado:
o ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su
sistema a través de una red? ¿Mantiene registros suficientes de toda la actividad de red
relacionada con su sistema? o No
o ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema que
potencialmente podría permitir a un usuario conectarse a través de la red?
o No (solo bionómina)
o ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su
sistema? o Si
3. SEGURIDAD DE USUARIO
o Existe un método estándar para la creación y mantenimiento de cuentas de usuario.
o Si
o Existen políticas aceptables de uso claras y concisas y comunicadas a los usuarios acerca
de su responsabilidad en la red y el uso de sus usuarios y contraseñas. o Si
o Existen límites de la cantidad de recursos que un usuario puede consumir, desde el número
de inicios de sesión a la cantidad de espacio en disco,
o No
o Mantiene registros detallados de la actividad del usuario, en concreto, la hora de conexión,
la duración y el lugar desde donde ha entrado en el. o No
4. SEGURIDAD DE DATOS
o Conoce el esquema de propiedad de los archivos que el sistema implementa: ¿está basado
en grupos, usuarios, roles o alguna combinación de estos? Conoce los diferentes niveles de
protección que se pueden aplicar a los archivos y directorios.
o Si
o Conoce la estructura general de los sistemas de archivo, cuánto se almacena dónde y quién
accede normalmente a qué partes de ellos.
o No
o Mantiene registros de actividad de disco (por ejemplo, cambios significativos en el espacio
de disco utilizado) y de los problemas de disco.
o No
o Los usuarios pueden tener acceso a más recursos de disco de lo previsto; controla
estableciendo cuotas de disco.
o No o Mantiene siempre copias de seguridad de los sistemas.
o Si o Como controla el acceso al hardware de BD.
41
o No (Organización)
o Como controla el acceso al software de BD o Con contraseñas
5. CONTRASEÑAS
o Requiere contraseñas únicas y complejas de todas las cuentas de usuario en el sistema. o
Si
o Tiene habilitado cuentas de “invitados” u tipo Anonymus o No
o Las contraseñas contienen al menos 8 caracteres y una combinación de letras y números,
mayúsculas y minúsculas.
o Si o Se obligar la rotación (distinta a las anteriores) y caducidad de contraseñas. o No
o Las contraseñas del sistema se cambian al menos una vez al año o Por demanda y a usuarios
específicos
Las respuestas fueron por basadas en el método de encuesta cerrada, sin embargo, en algunos
aspectos pudiese extenderse una justificación.
LISTA DE CHEQUEO 1
42
¿La bitácora es llenada por personal especializado? *
¿Señala fecha de detección de la falla? *
¿Señala fecha de corrección de la falla y revisión de que el *
equipo funcione correctamente? *
¿Se poseen registros individuales de los equipos? *
¿La bitácora hace referencia a hojas de servicio, en donde se
detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que, a la *
finalización de ésta, se integren a algún programa de
mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los *
equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los Semestral / por
equipos? demanda
¿Se cuenta con procedimientos definidos para la adquisición *
de nuevos equipos?
¿Se tienen criterios de evaluación para determinar el *
rendimiento de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
1.- Control de Solicitudes 2017
2.- Estadística de solicitudes 2016
3.- Formato de punto de cuenta solicitando compra de
equipos, partes y piezas
4.- Formato de control de inventario
LISTA DE CHEQUEO 2
43
¿Se tienen criterios de evaluación para determinar el *
rendimiento de los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
LISTA DE CHEQUEO 3
CAPREMINFRA R/PT
Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de
Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones DE INFRAESTRUCTURA fueron diseñadas o *
adaptadas específicamente para funcionar como un centro de
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal *
que facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma *
que permita una circulación fluida?
¿Existen lugares de acceso restringido? *
¿Se cuenta con sistemas de seguridad para impedir el paso a *
lugares de acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores *
de humo, alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de *
emergencia y se tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el *
centro de cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de *
emergencia en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga *
equipo de las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de *
trabajo?
¿Son funcionales los muebles instalados dentro del centro de *
cómputo: ¿cintoteca, discoteca, archiveros, mesas de
trabajo, etc.?
¿Existen prohibiciones para fumar, consumir alimentos y *
bebidas?
44
¿Se cuenta con suficientes carteles en lugares visibles que *
recuerdan estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones? 2 veces por
semana
¿Con cuanta frecuencia se limpian los ductos de aire y la Se ajusta al plan
cámara de aire que existe debajo del piso falso (si existe)? de mantenimiento
del Dpto. de
Servicios
Generales
Documentos probatorios presentados:
LISTA DECHEQUEO 4
CAPREMINFRA R/PT
Lista de chequeo LC4
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores
Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de *
refrigeración?
45
¿Se tiene plan de contingencia en caso de que fallen los *
controles ambientales?
Documentos probatorios presentados:
LISTA DE CHEQUEO 5
CAPREMINFRA R/PT
Lista de chequeo LC5
Dominio Entrega de Servicios y Soportes
Proceso DS12 Administración de
Instalaciones.
Objetivo de Control Suministro Ininterrumpido de
Energía
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física para todos los *
equipos?
¿La instalación eléctrica se realizó específicamente para el *
centro de cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, *
diferente de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución? *
¿El tablero de distribución está en la sala, visible y accesible? *
¿El tablero considera espacio para futuras ampliaciones de *
hasta de un 30 % (Considerando que se dispone de espacio
físico para la instalación de más equipos)?
¿La Instalación es independiente para el centro de cómputo? *
¿La misma instalación con tierra física se ocupa en otras *
partes del edificio?
¿La iluminación está alimentada de la misma acometida que *
los equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas *
dentro de la sala?
¿Los ventiladores y aire acondicionado están conectados en la *
misma instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la *
misma instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales? *
¿Se cuenta con interruptores de emergencia en serie al *
interruptor general?
¿Se cuenta con interruptores por secciones o aulas? *
¿Se tienen los interruptores rotulados adecuadamente? *
¿Se tienen protecciones contra corto circuito? *
46
¿Se tiene implementado algún tipo de equipo de energía *
auxiliar?
¿Se cuenta con Planta de emergencia? *
¿Se tienen conectadas algunas lámparas del centro de *
cómputo a la planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta *
de emergencia (¿recomendable el 25 %)?
Documentos probatorios presentados:
LISTA DE CHEQUEO 6
47
Conclusiones y Recomendaciones.
A. Actualmente el equipo de Infraestructra de CAPREMINFRA está enfocado en sostener la
operatividad de la plataforma. No obstante se puede observar que la misma carece de un
plan de Tecnología que incluya la planificación, control, mantenimiento y optimización de
la infraestructura, que garantice su optimo funcionamiento a través del tiempo y la no
dependencia del personal que actualmente se encuentra asignado a los roles
correspondientes del departamento.
48
C. CAPREMINFRA cuenta con un dispositivo FIREWALL modelo Zyxel USG300 con un gran
potencial para el manejo de servicios de red tales como Antivirus, Control de Contenido y
Firewal de Internet. Actualmente se encuentra sin licencia lo que no permite su utilización.
D. Se evidenció que en todos los pisos los puntos de red a nivel de Switche y Fatplay no se
encuentran identificados.
49
F. La infraestructura requiere ajustes en cuanto a su arquitectura para garantizar su
continuidad operativa y mejorar la eficiencia en sus procesos de atención a los servicios
de la institución.
Recomendación:
Atentamente,
Abel García Benito
Microsoft Certified Professional
Microsoft Certification ID: F092-0818
http://www.mycertprofile.com/Profile/5636422700/12/1519
50
COBIT (Objetivos de Control para la información y
Tecnologías relacionadas)
Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías; a continuación, se explica
detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que
lo conforman; esta metodología comprende 4 Dominios y 34 procesos que cubren 210 objetivos de
control (específicos o detallados) Para el caso de CAPEMINFRA se seleccionadon 2 Dominios - 9
procesos – 31 Objetivos De acuerdo al tamaño de la Infraestructura de la Institución.
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
Confidencialidad. Se refiere a la protección de información sensible contra divulgación no
autorizada.
Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el
proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información. Se refiere a la provisión de información apropiada para la
administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y
programados.
Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son agrupaciones de
procesos que corresponden a una responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y objetivos de control o actividades
requeridas para lograr un resultado medible.
51
Alcance Assessment Infraestructura Tecnológica CAPREMINFRA
Modelo COBIT
A Continuación, se detalla los puntos de alcance del Assesment:
2 Dominios - 9 procesos – 31 Objetivos
52