Proyecto de auditoría informática aplicando la metodología cobit 4.1

UNIVERSIDAD NACIONAL
“SANTIAGO ANTÚNEZ DE MAYOLO”

FACULTAD DE CIENCIAS

TEMA:
“Proyecto de Auditoría Informática en la
Organización DATA CENTER E.I.R.L
aplicando la Metodología COBIT 4.1”

DOCENTE:
Ing. Fabian M. Espinoza Barreto

ALUMNO:
Ramírez Huamán, Luis Angello
SEMESTRE / CICLO:
2011-II / IX

Huaraz-Ancash-Perú

DEDICATORIA
Dedico este presente trabajo a
Dios en primer lugar por
brindarme la vida, a mis Padres, y
a mis Hermanos quienes con sus
sabios consejos me orientan en el
presente en busca de un mañana
mejor. Sencillamente, ustedes son
la base de mi vida profesional y
toda la vida les estaré agradecido.

II

AGRADECIMIENTO
Al Ing. Fabian M. Espinoza Barreto
por toda su dedicación brindada
en este proceso de
asesoramiento brindado ya que
sin él no tendría los resultados
obtenidos, muchas gracias.

III

ÍNDICE
Nº Pág

INTRODUCCIÓN……………………………………………………………………….VII

CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9
1.1.1. NATURALEZA DE LA EMPRESA……………………………….9
1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9
1.1.3. VISIÓN…………………………………………………………………11
1.1.4. MISIÓN………………………………………………………………..11
1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11
1.1.5.1. ANÁLISIS FODA……………………………………………….11
1.1.5.2. METAS ORGANIZACIONALES…………………………..12
1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12
1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13
1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………14
1.2. METODOLOGÍA COBIT…………………………………………………..15
1.2.1. MODELOS DE MADUREZ……………………………………..15
1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17
1.2.2.1. ÁREA A AUDITAR…………………………………………….17
1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17
1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE
INFORMÁTICA………………………………………………..17
1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE
INFORMÁTICA……………………………………………..…18
1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18
1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA
INFORMÁTICA…………………………………………….….18
1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO
(COSO)…………………………………………………………...19

IV

CAPÍTULO II
EJECUCIÓN DE LA AUDITORIA
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22
2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24
2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24
2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN………………………26
2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28
2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29
2.1.7. DETERMINACIÓN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPÓTESIS……………………….…29
2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29
2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..29
2.2. REALIZACIÓN DE LA AUDITORIA……………………………………30
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30
2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE
INFORMACIÓN POR IMPACTO……………………….……55
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS
CRITERIOS DE INFORMACIÓN………………………………58
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS
CRITERIOS DE INFORMACIÓN………………………………60

CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. INFORME TÉCNICO……………………………………………..…………62
3.2. INFORME EJECUTIVO…………………………………………….………70

CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES……………………………………………….……………74
4.2. RECOMENDACIONES…………………………………………….………75

V

GLOSARIO…………………………………………………………………………..…76
BIOGRAFÍA………………………………………………………………………….…77
ANEXOS………………………………………………………………………………..78

VI

INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se han
constituido en las herramientas más poderosas para materializar
uno de los conceptos más vitales y necesarios para cualquier
Organización Empresarial, los Sistemas de Información de la
Organización. Donde los Sistemas Informáticos hoy en día
constituyen una herramienta bastante poderosa para la mejora
de rendimiento de toda la Organización.
Por lo ello se realiza una auditoria informática en la Organización
“DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia
critica de muchos procesos de negocios sobre las Tecnologías de
la Información, con el objetivo de cumplir con los requerimientos
existentes y los beneficios de administrar los riesgos
efectivamente, utilizando como modelo de referencia COBIT 4.1,
mediante la evaluación de 34 procesos que define esta
metodología, agrupados en 4 dominios (Planear y Organizar,
Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y
Evaluar), estos procesos son ubicados en los niveles de madurez
en los cuales se encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1, mediante
este trabajo se pretende solucionar varios problemas como el
servicio eficiente a los clientes y el aprovechamiento eficaz y
eficiente de los recursos tecnológicos y humanos que cuenta la
Organización en estudio.

VII

Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática

1.1. CARACTERIZACIÓN DE LA EMPRESA

1.1.1. NATURALEZA DE LA EMPRESA
El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en
Huaraz “Paraíso Natural” capital del Departamento de
Ancash, para brindar un servicio de calidad y excelencia al
pueblo de Huaraz, la región de Ancash y al País, de acuerdo
a la necesidad existente en cada uno de estos entes,
buscando lograr la competitividad, reconocimiento e
innovación en dicho rubro.
Uno de los hechos más resaltantes de su historia es el
haber apostado por el negocio de venta de computadoras y
accesorios, soporte técnico, diseño de página webs y redes.
Siendo sus inicios el soporte técnico de computadoras,
logrando así con el tiempo ser reconocida en el mercado
local, para posteriormente realizar venta de computadoras
y accesorio, conjuntamente con los demás servicios que
brinda. El valor agregado que “DATA CENTER E.I.R.L” es
transmitir a sus clientes la seguridad en la compra de
computadoras y accesorios, sabiendo que cuenta con una
sólida garantía, respaldo y servicio de post-venta.
Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia
y fue reconocida claramente por sus clientes como una
Organización netamente integradora.

1.1.2. UBICACIÓN GEOGRÁFICA
La Organización “DATA CENTER E.I.R.L” se encuentra
ubicado en el Jr. San Martin 561 en el Distrito de Huaraz,
Provincia de Huaraz, Departamento de Ancash.

Auditor: Ramírez Huamán, Luis Angello Página 9


Código de Ubicación Geográfica (UBIGEO):

Ubicación Exacta: DATA CENTER E.I.R.L



1.1.3. VISIÓN
“Ser la Organización Líder en Gestión de Tecnologías de la
Información de nuestra localidad, región y país, reconocida
por la excelencia de sus servicios, y por la calidad
profesional y ética de sus miembros”

1.1.4. MISIÓN
“La Organización DATA CENTER E.I.R.L es una compañía
dedicada a la prestación de servicios informáticos, así como
al completo suministros de equipos de cómputo, localizada
en el sector de las PYMES y particulares, llevando a cabo su
función con criterios de una alta calidad, profesionalismo y
rigor, utilizando para ello las más modernas tecnologías y
orientada a la plena satisfacción del cliente”

1.1.5. OBJETIVOS ESTRATÉGICOS
1.1.5.1. Análisis FODA
ANÁLISIS INTERNO
FORTALEZAS DEBILIDADES
 Tratamiento personalizado a  Control de Almacén.
clientes, orientación y  Realizar grandes proyectos en el
asesoramiento. sector privado y público.
 Integración de productos y  Dependencia de los servicios
servicios buscando sinergias entre subcontratados.
ellos.  Sistema de Información
 Innovación Constante. Integrado (Compras, ventas,
 Personal debidamente Capacitado Almacén y Kárdex).
y comprometido con la visión de
la Organización.
ANÁLISIS EXTERNO
OPORTUNIDADES AMENAZAS
 Valoración positiva de las TIC en  Oferta de productos a menor
la Organización. precio por parte de la
 Costos cada vez menores para las competencia.
Organizaciones para la aplicación  La inestabilidad económica de
de las TIC. los pobladores de la cuidad de
 Lealtad de los clientes hacia la Huaraz.
Organización.  Cambios repentinos de los
 Ubicación Céntrica del Local. Sistemas Informáticos.
 Incremento de la Competencia.



1.1.5.2. Metas Organizacionales
a. Corto Plazo
 Abastecimiento de las Áreas de la
Organización según sus necesidades
primarias.
b. Mediano Plazo
 Realizar la capacitación a todo el
personal, la renovación tecnológica,
humana y la infraestructura de la
Organización.
c. Largo Plazo
 Lograr la expansión demográfica en el
rubro, con innovaciones tecnológicas y
el desarrollo de un sistema de
información integrado.
1.1.5.3. Objetivos Estratégicos
 Desarrollar estrategias para llamar la
atención de nuevos clientes.
 Aprovechar la Tecnología para Desarrolla
un Sistema de Información Integral de
Calidad.
 Aprovechar el buen clima para capacitar
al personal de la Organización.
 Desarrollar servicios nuevos que mejoren
el nivel del servicio.
 Explotar el potencial humano y
tecnológico para una óptima
productividad de los mismos.



1.1.6. ORGANIGRAMA DE LA EMPRESA

Gerencia
General

Área de Área de Área de
Comercio Administración Informática

Recursos Servicio Diseño
Almacén Compras Ventas Contabilidad Logística Redes
Humanos Técnico Web



1.1.6.1 Descripción de la Gerencia y Áreas
a. Gerencia General.- Tiene como propósito,
organizar, dirigir y coordinar el
funcionamiento y desarrollo de los
procesos y actividades diarias, de acuerdo
a las políticas de la Organización.
b. Área de Negocios.- Se encarga de
planificar, controlar y verificar los procesos
de compra y venta; como también la
recepción y clasificación en almacén, de los
equipos de cómputo, accesorios y otros.
c. Área de Administración.- Se encarga de
velar por una adecuada organización,
soporte logístico, administración eficiente
en el uso de los bienes, muebles e
inmuebles, y el recurso humano de la
Organización en General.
d. Área de Informática.- Se encarga de
integrar y coordinar los servicios
informáticos, la misma que tiene que estar
subdividida a su vez por tres unidades
internas (hardware, software y redes), con
el fin de ser más específicos al
equipamiento, comunicaciones y
aplicaciones, para brindar un servicio de
calidad.



1.2. METODOLOGÍA COBIT
Marco de Trabajo Completo de COBIT

1.2.1. MODELOS DE MADUREZ
En la actualidad se pide a los directivos y ejecutivos de la
Organización que tomen muy en cuenta una correcta
administración de las TI. Para esto se debe realizar un plan
de negocio para alcanzar un nivel óptimo de administración
y control de la Tecnologías de la Información.



Estos modelos de madurez están diseñados como perfiles
de procesos de TI que una Organización los reconocería
como estados posiblemente actuales y futuros, estos
modelos no están diseñados para ser limitantes, donde no
se puede pasar a los niveles superiores sin haber cumplido
antes los niveles antecesores, al usar los modelos de
madurez para los 34 procesos de TI de COBIT, la
administración podrá identificar:
 El desempeño real de la Organización: Donde se
encuentra la Organización hoy.
 El Status actual de la industria: La comparación
 EL objetivo de la mejora de la Organización: Donde
desea estar la Organización.
Se ha definido un modelo de madurez para cada uno de
los 34 procesos de TI, con una escala de medición
creciente a partir de 0, no existente, hasta 5,
optimizado, la ventaja es que es relativamente fácil para la
dirección ubicarse a sí misma en una escala y de esta
forma evaluar que se debe hacer si se requiere una
mejora.
A continuación se presenta el modelo de madurez
genérico a usarse en esta auditoría:

Carencia completa de cualquier proceso reconocible.
0
La Organización no ha reconocido siquiera que existe un
NO EXISTENTE
problema a resolver.
Existe evidencia que la empresa ha reconocido que
los problemas existen y requieren ser resueltos. Sin
1 embargo; no existen procesos estándar en su lugar
INICIAL existen enfoques ad hoc que tienden a ser aplicados de
forma individual o caso por caso. El enfoque general
hacia la administración es desorganizado.
Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes áreas
que realizan la misma tarea. No hay entrenamiento o
2
comunicación formal de los procedimientos estándar, y
REPETIBLE
se deja la responsabilidad al individuo. Existe un alto
grado de confianza en el conocimiento de los individuos y,
por lo tanto, los errores son muy probables.



Los procedimientos se han estandarizado y
documentado, y se han difundido a través de
3 entrenamiento. Sin embargo, se deja que el individuo
DEFINIDO decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en sí no son
sofisticados pero formalizan las prácticas existentes.
Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos
4 no estén trabajando de forma efectiva. Los procesos están
ADMINISTRADO bajo constante mejora y proporcionan buenas prácticas.
Se usa la automatización y herramientas de una manera
limitada o fragmentada.
Los procesos se han refinado hasta el nivel de mejor práctica,
se basan en los resultados de mejoras continuas y en un
5 modelo de madurez con otras empresas. TI se usa de forma
OPTIMIZADA integrada para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.

1.2.2. AUDITORIA DE TICS CON COBIT
1.2.2.1. Área a Auditar
La Auditoría realizada por Ramírez Huamán, Luis Angello,
será en el Área de Informática de “DATA CENTER
E.I.R.L”, debido a que allí se encuentran ubicados gran
parte de los equipos de cómputo con los que cuenta la
Organización “DATA CENTER E.I.R.L”.
1.2.2.2. Reclutamiento de la Información
Por medio de la observación realizada se procedió a la
realización de entrevistas y cuestionarios con el Gerente
General de “DATA CENTER E.I.R.L”; y así poder
determinar con más precisión cuales son los problemas
presentados y poder dar un dictamen más especifico.
(Anexo A, B, C)
1.2.2.3. Documentos de Gestión del Área de Informática
Actualmente “DATA CENTER E.I.R.L” no cuenta con el
manual de procedimientos administrativos informáticos,
ni tampoco cuenta con la documentación requerida las
cuales son:
 Mantenimiento de Equipos de Cómputo.
 Un Plan de Contingencias.


 Seguridad de datos y equipos de Cómputo.
1.2.2.4. Plan de la Auditoria en el Área de Informática
Para el Plan de desarrollo de la Auditoria, se cuenta con
el apoyo de la alta gerencia de la Organización,
solicitando la participación de los principales
trabajadores de la Organización y en donde se realizaran
las siguientes acciones:
Nº ACTIVIDADES
1 Observación General del Área de Informática.
2 Entrevistas a los trabajadores del Área de Informática.
3 Analizar con que documentos de Gestión y Técnicos cuentas.
Verificar si que los equipos de los que se cuenta en la
4
actualidad concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad,
5
confiabilidad y respaldos.
Evaluar las tecnologías de información (TI), tanto en
6
hardware como en software.
7 Evaluación de la seguridad física, lógica y de redes.

1.2.2.5. Herramientas y Técnicas
HERRAMIENTAS TECNICAS
 Cuaderno de Apuntes, Papel,  Observación, entrevistas
Lapicero, Antivirus Eset Smart y cuestionarios.
Security 4.0, Microsoft Office
2010 y otros.
1.2.2.6. Motivo o necesidad de una Auditoria Informática
 Síntomas de mala imagen e insatisfacción de los
usuarios.
 Síntomas de debilidad económico financiero.
 Síntomas de Inseguridad.
 Síntomas de descoordinación y desorganización.



1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO)
A continuación se representa en una tabla el impacto
de los objetivos de control de COBIT 4.1 sobre los
criterios y recursos de TI.
La nomenclatura utilizada en los criterios de
información para esta tabla es la siguiente (P), cuando
el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene
un impacto indirecto es decir no completo sobre el
requerimiento, y finalmente ( ) vacío, cuando el objetivo
de control no ejerce ningún impacto sobre el
requerimiento, en cambio cuando se encuentra con (X)
significa que los objetivos de control tienen impacto en
los recursos, y cuando se encuentra en blanco ( ), es que
los objetivos de control no tienen ningún impacto con los
recursos.
CRITERIOS DE INFORMACIÓN DE RECURSOS DE TI
OBJETIVOS DE CONTROL DE COBIT COBIT DE COBIT
CONFIDENCIALIDAD

INFRAESTRUCTURA
DISPONIBILIDAD

CUMPLIMIENTO

CONFIABILIDAD

INFORMACIÓN
EFECTIVIDAD

INTEGRIDAD

APLICACIÓN
EFICIENCIA

PERSONAS

PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico de TI. X X X X
PO2 Definir la arquitectura de la información X X
PO3 Definir la dirección tecnológica. X X
Definir los procesos, organización y
PO4 relaciones de TI. X
PO5 Administrar la inversión en TI. X X X
Comunicar las metas y la dirección de la
PO6 gerencia. X X
PO7 Administrar los recursos humanos de TI. X
PO8 Administrar la calidad. X X X X
PO9 Evaluar y administrar los riegos de TI. X X X X
PO10 Administrar los proyectos. P P X X X
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas. P S X X
AI2 Adquirir y mantener software aplicativo. P P S S X
Adquirir y mantener la infraestructura
AI3 tecnológica. S P S S X
AI4 Facilitar la operación y el uso. P P S S S S X X X
AI5 Procurar recursos de TI. S P S X X X X
AI6 Administrar los cambios. P P P P S X X X X
AI7 Instalar y acreditar soluciones y cambios. P S S S X X X X



ENTREGAR Y DAR SOPORTE
Definir y administrar los niveles de
DS1 servicio. P P S S S S S X X X X
DS2 Administrar los servicios de terceros. P P S S S S S X X X X
DS3 Administrar el desempeño y capacidad. P P S X X
DS4 Asegurar el servicio continuo. P S P X X X X
DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X
DS6 Identificar y asignar costos. P P X X X X
DS7 Educar y entrenar a los usuarios. P S X
Administrar la mesa de servicio y los
DS8 incidentes. P P X X
DS9 Administrar la configuración. P S S S X X X
DS10 Administrar los problemas. P P S X X X X
DS11 Administrar los datos. P P X
DS12 Administrar el ambiente físico. P P X
DS13 Administrar las operaciones. P P S S X X X X
MONITOREAR Y EVALUAR
Monitorear y evaluar el desempeño de
ME1 TI. P P S S S S S X X X X
ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X
ME3 Garantizar el cumplimiento regulatorio. P S X X X X
ME4 Proporcionar gobierno de TI. P P S S S S S X X X X

Para tener un porcentaje de los criterios de la información,
asignamos un valor para el impacto primario, de igual forma
tendremos un valor para el impacto secundario.
Este porcentaje lo estableceremos en base a la propuesta
metodológica para el manejo de riesgos COSO (Sponsoring
Organizations of the Treadway), como se muestra en la tabla.
CALIFICACION IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86
Promedio de Impactos, fuente COBIT 4.1



2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS

a. Ubicación:
El Área de Informática se ubica al lado del Área de
Negocios, teniendo la responsabilidad de gestionar los
procesos técnicos de informática.

Ubicación Física del Área de Informática

b. Cargos Funcionales y Operativos:

Apellidos y Nombres Cargos
Cargos Funcionales
(Trabajadores) Operativos
Realiza la compra y venta de
Gerente los productos, organiza y
Ing. Lázaro Montañez, Heyner
General coordina las actividades, y
delega funciones al personal
Técnico en
Realiza el Soporte Técnico de
Romero Castillo, José Carlos Informática y
Computadoras y Redes
Redes
Asistente
Técnico en Realiza el Soporte Técnico de
Ramírez Huamán, Luis Angello
Informática y Computadoras y Redes
Redes
Realiza las ventas de equipos
Montañez Araujo, Sarita Eva Vendedora
Informáticos



2.1.1. OBJETIVOS DEL DEPARTAMENTO
 Recomendar la adquisición de hardware, software
básico y de aplicaciones conveniente y necesario.
 Estructurar, ejecutar y actualizar el plan estratégico del
Sistema de Información, según los requerimientos de las
áreas y la coordinación con la Gerencia General.
 Proporcionar mecanismos de seguridad tanto lógica y
física del hardware, software y redes de “DATA CENTER
E.I.R.L”.
 Aprovechar de las Redes Sociales (Facebook, MySpace y
otros) para publicitar a la Organización, ya que no
incurre ningún costo.
 Mantener actualizado el inventario del parque
informático y los precios de los productos de la base de
datos, para la cotización correcta.
 Planificar y mantener actividades de Backups (copias de
respaldo) de forma periódica en medios físicos de
almacenamiento masivo.
 Aprovechar la tecnología existente para rediseñar el
Website actual, convirtiéndolo en portal dinámico,
donde puedan realizarse las operaciones
transaccionales de la Organización y consultas comunes
para los usuarios y clientes.
 Asesorar, administrar y proporcionar el soporte
tecnológico al personal de todas las áreas de “DATA
CENTER E.I.R.L”.
 Proponer a la alta gerencia de poder involucrarnos en
proyectos corporativos y sociales.



2.1.2. ORGANIGRAMA DEL DEPARTAMENTO

ÁREA DE
INFORMÁTICA

SERVICIO
REDES DISEÑO WEB
TÉCNICO

WEB
SOFTWARE MICROSOFT
CORPORATIVO

WEB
HARDWARE LINUX
PERSONAL

SATELITAL

2.1.3. SEGURIDAD DEL DEPARTAMENTO
a. Seguridad Física:
 Establecer un sistema contra incendios y la
capacitación adecuada para el manejo de
estos.
 Contar con agentes de seguridad para el
resguardo del establecimiento, principalmente
en las noches, debido a la creciente
delincuencia.
 Contar con un espacio adecuado para el
alojamiento de los servidores.



b. Seguridad Legal:
 Hacer uso de estándares y metodologías de
calidad (IEEE, ISO y otros) al brindar los
servicios de redes y diseño de páginas web.
 Contar con las licencias de los sistemas
operativos (Microsoft) en uso.
 Realizar una auditoria de la tecnologías de la
información externa a “DATA CENTER E.I.R.L”
c. Seguridad de Datos:
 Realizar periódicamente backups de la base de
datos del sistema de información.
 Procesar los datos más importantes de la
Organización en las aplicaciones tecnológicas
(hojas de cálculo, procesadores de texto y
otros) y al sistema de información.
 Restringir al acceso al sistema de información
y al servidor para que la data no sea
adulterada.
d. Seguridad de Personas:
 Renovar los implementos de seguridad de los
técnicos de informática.
 Realizar las señalizaciones sísmicas
pertinentes en el establecimiento ante un
desastre sísmico.
 Establecer políticas de integridad física y
mental para el personal que labora, dentro de
sus horas de trabajo.



2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

a. Recursos Humanos:

APELLIDOS Y
GERENCIA/ÁREA TIEMPO DE
NOMBRES CARGOS TITULO FUNCIÓN
LABORAL SERVICIO
(TRABAJADORES)
Realiza la compra y venta de
Ing. Lázaro Ing. de
Gerencia Gerente los productos, organiza y
Montañez, Informática y Estable
General General coordina las actividades, y
Heyner Sistemas
delega funciones al personal
Técnico en
Área de Romero Castillo, Realiza el Soporte Técnico de
Informática Técnico 7 meses
Informática José Carlos Computadoras y Redes
y Redes
Asistente
Área de Ramírez Huamán, Técnico en Realiza el Soporte Técnico de
Técnico 3 meses
Informática Luis Angello Informática Computadoras y Redes
y Redes
Secretariado
Área de Montañez Realiza las ventas de equipos
Vendedora Ejecutivo 2 años
Comercio Araujo, Sarita Eva Informáticos
Computarizado



b. Hardware:
NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD
I5
CPU
1.8 GHz
PC 01 Servidor Proxy
Memoria RAM 4 GB
Disco Duro 1 TB
Corel 2 duo
CPU
2.0 GHz
Memoria RAM 4 GB
S-ATA 7200
Disco Duro PC para el
500 GB
PC 02 Sistema de
D-Link DFE-530 PCI
Tarjeta de Red Información
Fast Ethernet Adapter
Monitor Samsumg 17 "
Hp Laserjet
Impresora
1200 series
Corel 2 duo
CPU
2.8 GHz
Memoria RAM 2 GB
S-ATA 7200
Disco Duro PC para
300 GB
PC 03 Soporte
D-Link DFE-530 PCI
Tarjeta de Red Técnico
Fast Ethernet Adapter
Monitor Samsumg 17 "
Hp Laserjet
Impresora
1200 series

c. Software:
NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES
MySQL 5.1 Server
Open Office 3.5
PC 01 Linux-CentOS Ver. 5.0
Apache 6.0
FileZilla Server 3.5.2
DBMS SQL Server
2005
Microsoft Windows Seven Ultimate con
PC 02 NetBeans 6.7.1
Service Pack 2
Suite Office 2010
Utilitarios Básicos
Microsoft Windows Seven Ultimate con Suite Office 2010
PC 03
Service Pack 2 Utilitarios Básicos



2.1.5. TOPOLOGÍA DE LA EMPRESA
La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con
el tipo de servicio a internet ADSL, con una topología de red estrella.



2.1.6. CARACTERIZACIÓN DE LA CARGA
"DATA CENTER E.I.R.L" cuenta con 3 computadoras que son
las siguientes: Servidor Proxy, PC para soporte técnico y PC
para el funcionamiento de Sistema de Información, donde
cada trabajador ingresa a los mismos dependiendo de la
actividad que desempeñen dentro de la Organización.
Las actividades que se realizan en la empresa son de lunes
a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los
servicios de mantenimiento de PC, diseño de pagina web y
otros, como también a la venta de equipos y accesorios de
computo.

2.1.7. DETERMINACIÓN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPÓTESIS
2.1.7.1. Posibles Problemas
 Falta total o parcial de seguridades lógicas y físicas
que garanticen la integridad del personal, equipos
e información.
 Falta de una planificación informática.
 Disminución considerable e injustificable del
presupuesto del Área de Comercio.
 Falta de documentación del sistema de
información y del servidor en uso, lo que dificulta
efectuar el mantenimiento de estos.
 Organización que no funciona correctamente por
la falta de políticas, normas, metodología,
asignación de tareas, debidamente establecida por
la Gerencia General.
2.1.7.2. Formulación de Hipótesis
 No se cuenta con la seguridad en general de los
recursos informáticos y humanos de la
Organización, debido a que no existen políticas de
negocio bien definidas, como también una
planificación informática, teniendo como



consecuencia problemas económicos y de
tecnología de información (Hardware y Software).

2.2. REALIZACIÓN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS
Se mostrara a continuación una ficha por cada uno de los
objetivos haciendo un análisis de los modelos de madurez
de COBIT 4.1, para determinar el nivel mínimo que no
cumple la Organización que a su vez califica el nivel en
dicho objetivo.

DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnología de la Información
CUMPLE

CUMPLE
NO

NIVEL DE MADUREZ OBSERVACIONES

No existe conciencia por parte de GRADO DE MADUREZ
la gerencia de que la planeación El proceso de Definir el Plan Estratégico
Nivel
estratégica de TI es requerida para √ de Tecnología Información esta en el
0
dar soporte a las metas del nivel de madurez 1.
negocio. OBJETIVOS NO CUMPLIDOS
La planeación estratégica de TI se  Que no existe un plan estratégico
Nivel
discute de forma ocasional en las √ de TI y estrategias de recursos de
1
reuniones de la gerencia. la Organización.
Las decisiones estratégicas se  No se realizar planes a largo plazo
toman proyecto por proyecto, de TI, haciendo solo
Nivel
sin ser consistentes con una √ actualizaciones debido a los
2
estrategia global de la avances tecnológicos.
organización.
La planeación estratégica de TI
sigue un enfoque estructurado, el
cual se documenta y se da a
conocer a todo el equipo. Las
Nivel
estrategias de recursos humanos, √
3
técnicos y financieros de TI
influencian cada vez más la
adquisición de nuevos productos
y tecnologías.
Existen procesos bien definidos
Nivel para determinar e uso de
√
4 recursos internos y externos
requeridos en el desarrollo y las



operaciones de los sistemas.
Se desarrollan planes realistas a
largo plazo de TI y se actualizan de
Nivel manera constante para reflejar los
√
5 cambiantes avances tecnológicos
y el progreso relacionado al
negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
 Planes a largo plazo de TI.
 Tomar decisiones estratégicas.
 Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
 Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así
como de los sistemas de información y su impacto de los objetivos de “DATA CENTER
E.I.R.L”
En el Largo Plazo:
 Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes
deben ser bien detallados para poder realizar la definición de planes proyectados.

PO2: Definir la Arquitectura de la Información
CUMPLE

CUMPLE
NO


El conocimiento, la experiencia y las GRADO DE MADUREZ
Nivel responsabilidades necesarias para El proceso de Definir la Arquitectura de
√
0 desarrollar esta arquitectura no la Información esta en el nivel de
existen en la organización. madurez 1.
La gerencia reconoce la necesidad de OBJETIVOS NO CUMPLIDOS
una arquitectura de información. El
Nivel  Que no se resolvió necesidades
desarrollo de algunos componentes √
1 de una arquitectura de información futuras del negocio realizando el
ocurre de manera ad hoc. proceso de la arquitectura de la
Las personas obtienen sus información.
habilidades al construir la  Aprovechar las habilidades
Nivel
arquitectura de información por √ personales para la construcción
2 medio de experiencia práctica y la de la arquitectura de la
aplicación repetida de técnicas. información.
Existe una función de administración
de datos definida formalmente, que
Nivel establece estándares para toda la
√
3 organización, y empieza a reportar
sobre la aplicación y uso de la
arquitectura de la información.



El proceso de definición de la
Nivel arquitectura de información es pro-
√
4 activo y se enfoca en resolver
necesidades futuras del negocio.
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y dar
Nivel
mantenimiento a una arquitectura de √
5 información robusta y sensible que
refleje todos los requerimientos del
negocio.
RECOMENDACIONES
 Desarrollar y mantener la arquitectura de la información.
 Tener en claro la definición del proceso de la arquitectura de la información.
 Ser participe de la construcción de la arquitectura de la información para incrementar sus
habilidades.
En el Corto Plazo:
 Establecer y mantener un modelo de arquitectura de la información para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
será útil para la creación, uso y compartición óptimas de la información vital.
En el Largo Plazo:
 Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrónico, como bases de datos,
almacenamiento de datos y archivos.

PO3: Determinar la Dirección Tecnología
CUMPLE

CUMPLE
NO


No existe conciencia sobre la GRADO DE MADUREZ
Nivel importancia de la planeación de la El proceso de Determinar la Dirección
√
0 infraestructura tecnológica para la Tecnología esta en el nivel de madurez 1.
entidad. OBJETIVOS NO CUMPLIDOS
La gerencia reconoce la necesidad  Desarrollar las habilidades para la
de planear la infraestructura elaboración del plan de la
Nivel tecnológica. El desarrollo de infraestructura tecnológica.
√
1 componentes tecnológicos y la  Realizar un plan de
implantación de tecnologías infraestructura tecnológica.
emergentes son ad hoc y aisladas.
La evaluación de los cambios
Nivel tecnológicos se delega a individuos
√
2 que siguen procesos intuitivos,
aunque similares.



Existe un plan de infraestructura
tecnológica definido,
Nivel
documentado y bien difundido, √
3
aunque se aplica de forma
inconsistente.
El área de informática cuenta con
Nivel la experiencia y las habilidades
√
4 necesarias para desarrollar un plan
de infraestructura tecnológica.
La dirección del plan de
infraestructura tecnológica está
impulsada por los estándares y
Nivel
avances industriales e √
5
internacionales, en lugar de estar
orientada por los proveedores de
tecnología.
RECOMENDACIONES
 Elaborar un plan de infraestructura tecnológica.
 Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.
 No delegar los cambios tecnológicos a personas que no tienen la debida experiencia.
En el Corto Plazo:
 Planear la dirección tecnológica, es decir analizar las tecnologías existentes y
emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
 Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer
un foro tecnológico, para de esta forma brindar directrices tecnológicas.

PO4: Definir los Procesos, la Organización y las Relaciones de TI
CUMPLE

CUMPLE
NO


La organización de TI no está GRADO DE MADUREZ
Nivel establecida de forma efectiva para El proceso de Definir los Procesos, la
√
0 enfocarse en el logro de los Organización y las Relaciones de TI esta
objetivos del negocio. en el nivel de madurez 2.
La función de TI se considera como OBJETIVOS NO CUMPLIDOS
Nivel
una función de soporte, sin una √  Formular las relaciones con
1
perspectiva organizacional general. terceros para la TI.
La necesidad de contar con una  No satisfacer los requerimientos
Nivel
organización estructurada, pero las √ del negocio.
2
decisiones todavía depende del



conocimiento y habilidades de
individuos clave.
Se formulan las relaciones con
Nivel terceros, incluyendo los comités de
√
3 dirección, auditoría interna y
administración de proveedores.
La organización de TI responde de
forma pro activa al cambio e
Nivel
incluye todos los roles necesarios √
4
para satisfacer los requerimientos
del negocio.
Nivel La estructura organizacional de TI
√
5 es flexible y adaptable.
RECOMENDACIONES
 Ser flexible y adaptable a la estructura organizacional de TI.
 Responder de forma pro actica a los requerimientos del negocio.
 Formular relaciones con terceros como auditoria interna.
En el Corto Plazo:
 Realizar una evaluación permanente de personal, para así asegurar que el personal
involucrado en las TI sea el pertinente para la función asignada.
En el Largo Plazo:
 Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.

PO5: Administrar la Inversión de TI
CUMPLE

CUMPLE
NO


No existe conciencia de la GRADO DE MADUREZ
importancia de la selección y El proceso de Administrar la Inversión de
Nivel presupuesto de las inversiones en TI esta en el nivel de madurez 4.
√
0 TI. No existe seguimiento o OBJETIVOS NO CUMPLIDOS
monitoreo de las inversiones y  Formular las relaciones con
gastos de TI. terceros para la TI.
La organización reconoce la
necesidad de administrar la
Nivel
inversión en TI, aunque esta √
1
necesidad se comunica de manera
inconsistente.
Existe un entendimiento implícito
Nivel
de la necesidad de seleccionar y √
2
presupuestar las inversiones en TI.



El presupuesto de TI está alineado
con los planes estratégicos de TI y
con los planes del negocio. Los
Nivel
procesos de selección de √
3
inversiones en TI y de
presupuestos están formalizados,
documentados y comunicados.
La responsabilidad y la rendición
de cuentas por la selección y
Nivel presupuestos de inversiones se
√
4 asignan a un individuo específico.
Las diferencias en el presupuesto
se identifican y se resuelven.
Se utilizan las mejores prácticas de
la industria para evaluar los costos
por comparación e identificar la
Nivel efectividad de las inversiones. Se
√
5 utiliza el análisis de los avances
tecnológicos en el proceso de
selección y presupuesto de
inversiones.
RECOMENDACIONES
 Reconocer la necesidad de administrar la inversión en TI.
 Utilizar las mejores prácticas para la evaluación de costos de inversión.
 Documentar y formalizar el presupuesto en TI.
En el Corto Plazo:
 Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
 Mejorar de forma continua la administración de inversiones en base a las lecciones
aprendidas del análisis del desempeño real de las inversiones.

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
CUMPLE

CUMPLE
NO


La organización no requiere de la GRADO DE MADUREZ
identificación de los El proceso de Identificar Soluciones
Nivel requerimientos funcionales y Automatizadas esta en el nivel de
√
0 operativos para el desarrollo, madurez 1.
implantación o modificación de OBJETIVOS NO CUMPLIDOS
soluciones, tales como sistemas,



servicios, infraestructura y datos.  Determinar el proceso para la
Existe una investigación o análisis solución de TI, según el
Nivel
estructurado mínimo de la √ requerimiento del negocio.
1
tecnología disponible.  Documentación de los proyectos
El éxito de cada proyecto depende realizados.
de la experiencia de unos cuantos
Nivel individuos clave. La calidad de la
√
2 documentación y de la toma de
decisiones varía de forma
considerable.
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
Nivel
tomadas por el personal √
3
involucrado, la cantidad de tiempo
administrativo dedicado, y el
tamaño y prioridad del
requerimiento de negocio original.
La documentación de los proyectos
Nivel
es de buena calidad y cada etapa √
4
se aprueba adecuadamente.
La metodología está soportada en
bases de datos de conocimiento
Nivel
internas y externas que contienen √
5
material de referencia sobre
soluciones tecnológicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
 Soportar la metodología de TI en base de datos.
 Determinar los procesos para las soluciones de TI.
 Explotar la experiencia de los trabajadores para la buena toma de decisiones.
En el Corto Plazo:
 Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el
desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la
disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.
En el Largo Plazo:
 Que exista el alineamiento con las estrategias de la Organización y de TI.



AI2: Adquirir y Mantener Software Aplicativo

CUMPLE

CUMPLE
NO

Típicamente, las aplicaciones se GRADO DE MADUREZ
obtienen con base en ofertas de El proceso de Adquirir y Mantener
proveedores, en el reconocimiento Software Aplicativo esta en el nivel de
Nivel
de la marca o en la familiaridad del √ madurez 2.
0
personal de TI con productos OBJETIVOS NO CUMPLIDOS
específicos, considerando poco o  Dar a conocer el proceso de
nada los requerimientos actuales. adquisición y mantenimiento del
Es probable que se hayan Sistema de Información
adquirido en forma independiente (software) y aplicaciones.
una variedad de soluciones  Determinar la metodología
Nivel
individuales para requerimientos √ formal para la documentación del
1
particulares del negocio, teniendo software en uso.
como resultado ineficiencias en el
mantenimiento y soporte.
Existen procesos de adquisición y
mantenimiento de aplicaciones,
Nivel
con diferencias pero similares, en √
2
base a la experiencia dentro de la
operación de TI.
Existe un proceso claro, definido y
de comprensión general para la
Nivel adquisición y mantenimiento de
√
3 software aplicativo. Este proceso
va de acuerdo con la estrategia de
TI y del negocio.
Existe una metodología formal y
bien comprendida que incluye un
proceso de diseño y especificación,
Nivel
un criterio de adquisición, un √
4
proceso de prueba y
requerimientos para la
documentación.
El enfoque se extiende para toda la
empresa. La metodología de
adquisición y mantenimiento
presenta un buen avance y
Nivel
permite un posicionamiento √
5
estratégico rápido, que permite un
alto grado de reacción y
flexibilidad para responder a
requerimientos cambiantes del



negocio.
RECOMENDACIONES
 Asegurar que el software diseñado sea de calidad.
 Realizar un diseño detallado, y los requerimientos técnicos del software.
 Identificar los requerimientos del negocio para el desarrollo del software.
En el Corto Plazo:
 Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
 Garantizar integridad de la información, control de acceso, respaldo y pistas de
auditoría.

AI3: Adquirir y Mantener Infraestructura Tecnológica
CUMPLE

CUMPLE
NO

No se reconoce la administración GRADO DE MADUREZ
Nivel de la infraestructura de tecnología El proceso de Adquirir y Mantener
√
0 como un asunto importante al cual Infraestructura Tecnológica esta en el
deba ser resuelto. nivel de madurez 1.
Se realizan cambios a la OBJETIVOS NO CUMPLIDOS
infraestructura para cada nueva  Definir una estrategia para la
Nivel aplicación, sin ningún plan en adquisición y mantenimiento de
√
1 conjunto. La actividad de la infraestructura.
mantenimiento reacciona a  Organizar y prevenir el proceso
necesidades de corto plazo. de adquisición y mantenimiento
La adquisición y mantenimiento de de la infraestructura.
la infraestructura de TI no se basa
Nivel en una estrategia definida y no
√
2 considera las necesidades de las
aplicaciones del negocio que se
deben respaldar.
El proceso respalda las
necesidades de las aplicaciones
Nivel críticas del negocio y concuerda
√
3 con la estrategia de negocio de TI,
pero no se aplica en forma
consistente.
La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones
√
4 del negocio. El proceso está bien
organizado y es preventivo.
Nivel El proceso de adquisición y √



5 mantenimiento de la
infraestructura de tecnología es
preventivo y está estrechamente
en línea con las aplicaciones
críticas del negocio y con la
arquitectura de la tecnología.
RECOMENDACIONES
 Crear un plan de adquisición de infraestructura tecnológica.
 Garantizar la disponibilidad de la infraestructura tecnológica.
 Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.
En el Corto Plazo:
 Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
 Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.

AI4: Facilitar la Operación y el Uso
CUMPLE

CUMPLE
NO


No existe el proceso con respecto GRADO DE MADUREZ
Nivel a la producción de documentación El proceso de Facilitar la Operación y el
√
0 de usuario, manuales de operación Uso esta en el nivel de madurez 1.
y material de entrenamiento. OBJETIVOS NO CUMPLIDOS
Mucha de la documentación y  Falta generar los materiales de
muchos de los procedimientos ya entretenimiento buscando su
Nivel caducaron. Los materiales de calidad.
√
1 entrenamiento tienden a ser  Garantizar la compañía de
esquemas únicos con calidad estándares para el desarrollo del
variable. proceso.
Individuos o equipos de proyecto
generan los materiales de
Nivel
entrenamiento, y la calidad √
2
depende de los individuos que se
involucran.
Se guardan y se mantienen los
Nivel procedimientos en una biblioteca
√
3 formal y cualquiera que necesite
saber tiene acceso a ella.
Nivel Existen controles para garantizar
√
4 que se adhieren los estándares y



que se desarrollan y mantienen
procedimientos para todos los
procesos.
Los materiales de procedimiento y
de entrenamiento se tratan como
una base de conocimiento en
evolución constante que se
Nivel mantiene en forma electrónica,
√
5 con el uso de administración de
conocimiento actualizada,
workflow y tecnologías de
distribución, que los hacen
accesibles y fáciles de mantener.
RECOMENDACIONES
 Control para garantizar adherir los estándares para el mantenimiento de los procesos.
 Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y
documentar todos los aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos.
En el Corto Plazo:
 Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que
estos tomen posesión del sistema y los datos.
En el Largo Plazo:
 Mediante la transferencia de conocimientos a los usuarios finales se lograra que
estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la
Organización.

AI5: Adquirir Recursos de TI
CUMPLE

CUMPLE
NO


Nivel No existe un proceso definido de GRADO DE MADUREZ
√
0 adquisición de recursos de TI. El proceso de Adquirir Recursos de TI
Los contratos para la adquisición esta en el nivel de madurez 4.
de recursos de TI son elaborados y OBJETIVOS NO CUMPLIDOS
administrados por gerentes de  Falta de buenas relaciones con
Nivel proyecto y otras personas que algunos proveedores de forma
√
1 ejercen su juicio profesional más estratégica.
que seguir resultados de
procedimientos y políticas
formales.
Nivel Se determinan responsabilidades y
√
2 rendición de cuentas para la



administración de adquisición y
contrato de TI según la experiencia
particular del gerente de contrato.
La adquisición de TI se integra en
Nivel gran parte con los sistemas
√
3 generales de adquisición del
negocio.
La adquisición de TI se integra en
gran parte con los sistemas
Nivel generales de adquisición del
√
4 negocio. Existen estándares de TI
para la adquisición de recursos de
TI.
Se establecen buenas relaciones
con el tiempo con la mayoría de los
Nivel proveedores y socios, y se mide y
√
5 vigila la calidad de estas relaciones.
Se manejan las relaciones en forma
estratégica.
RECOMENDACIONES
 Tomar medidas en la administración de contratos y adquisiciones.
 Establecer buenas relaciones con la mayoría de proveedores y socios.
En el Corto Plazo:
 Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir
los recursos de TI.
En el Largo Plazo:
 Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos
contractuales.

DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
CUMPLE

CUMPLE
NO


La gerencia no reconoce la GRADO DE MADUREZ
Nivel
necesidad de un proceso para √ El proceso de Definir y Administrar los
0
definir los niveles de servicio. Niveles de Servicio esta en el nivel de
La responsabilidad y la rendición madurez 1.
Nivel de cuentas sobre para la definición OBJETIVOS NO CUMPLIDOS
√
1 y la administración de servicios no  No ordenar los procesos de
está definida. desarrollo por niveles de servicio.
Nivel Los reportes de los niveles de  Realizar reportes de servicio de
√
2 servicio están incompletos y



pueden ser irrelevantes o forma completa y relevante.
engañosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de
las habilidades y la iniciativa de los
administradores.
El proceso de desarrollo del
acuerdo de niveles de servicio esta
Nivel en orden y cuenta con puntos de
√
3 control para revalorar los niveles
de servicio y la satisfacción de
cliente.
La satisfacción del cliente es
medida y valorada de forma
Nivel rutinaria. Las medidas de
√
4 desempeño reflejan las
necesidades del cliente, en lugar
de las metas de TI.
Todos los procesos de
administración de niveles de
servicio están sujetos a mejora
Nivel
continua. Los niveles de √
5
satisfacción del cliente son
administrados y monitoreados de
manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
 Realizar un portafolio de servicios.
 Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
 Realizar a menudo una revisión con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
 Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.



DS2: Administrar los Servicios de Terceros

CUMPLE

CUMPLE
NO

Los servicios de terceros no son ni GRADO DE MADUREZ
aprobados ni revisados por la El proceso de Administrar los Servicios de
Nivel
gerencia. No hay actividades de √ Terceros esta en el nivel de madurez 3.
0
medición y los terceros no OBJETIVOS NO CUMPLIDOS
reportan.  Verificar de forma continua las
No hay condiciones estandarizadas capacidades del proveedor.
Nivel
para los convenios con los √  Monitorear e implementar
1
prestadores de servicios. acciones correctivas.
Se utiliza un contrato pro forma
con términos y condiciones
Nivel
estándares del proveedor (por √
2
ejemplo, la descripción de servicios
que se prestarán).
Cuando se hace un acuerdo de
prestación de servicios, la relación
con el tercero es meramente
Nivel
contractual. La naturaleza de los √
3
servicios a prestar se detalla en el
contrato e incluye requerimientos
legales, operacionales y de control.
Las aptitudes, capacidades y
Nivel
riesgos del proveedor son √
4
verificadas de forma continua.
Se monitorea el cumplimiento de
Nivel las condiciones operacionales,
√
5 legales y de control y se implantan
acciones correctivas.
RECOMENDACIONES
 Monitorear e implementar acciones correctivas.
 Verificar de forma continua las capacidades del proveedor.
En el Corto Plazo:
 Establecer criterios formales y estandarizados para realizar la definición de los términos
del acuerdo.
En el Largo Plazo:
 Mantener acuerdos de confidencialidad con los proveedores.



DS3: Administrar el Desempeño y la Capacidad

CUMPLE

CUMPLE
NO

La gerencia no reconoce que los GRADO DE MADUREZ
procesos clave del negocio pueden El proceso de Administrar el Desempeño y
requerir altos niveles de la Capacidad esta en el nivel de madurez 1.
Nivel
desempeño de TI o que el total de √ OBJETIVOS NO CUMPLIDOS
0
los requerimientos de servicios de  Realizar evaluaciones de la
TI del negocio pueden exceder la infraestructura de TI logrando una
capacidad. capacidad optima.
Los responsables de los procesos  Establecer métodos de desempeño
del negocio valoran poco la y evaluación.
necesidad de llevar a cabo una
Nivel planeación de la capacidad y del
√
1 desempeño. Las acciones para
administrar el desempeño y la
capacidad son típicamente
reactivas.
Las necesidades de desempeño se
logran por lo general con base en
Nivel
evaluaciones de sistemas √
2
individuales y el conocimiento y
soporte de equipos de proyecto.
Los pronósticos de la capacidad y
el desempeño se modelan por
Nivel
medio de un proceso definido. Los √
3
reportes se generan con
estadísticas de desempeño.
Hay información actualizada
disponible, brindando estadísticas
Nivel de desempeño estandarizadas y
√
4 alertando sobre incidentes
causados por falta de desempeño
o de capacidad.
La infraestructura de TI y la
demanda del negocio están sujetas
Nivel a revisiones regulares para
√
5 asegurar que se logre una
capacidad óptima con el menor
costo posible.
RECOMENDACIONES
 Establecer métricas de desempeño y evaluación de la capacidad.


 Realizar revisiones de forma periódica la demanda del negocio con menor costo.
En el Corto Plazo:
 Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
 Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.

DS4: Garantizar la Continuidad del Servicio

CUMPLE

CUMPLE
NO

No hay entendimiento de los GRADO DE MADUREZ
Nivel
riesgos, vulnerabilidades y √ El proceso de Garantizar la Continuidad del
0
amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1.
Las responsabilidades sobre la OBJETIVOS NO CUMPLIDOS
continuidad de los servicios son  Mantener un plan de servicios.
Nivel
informales y la autoridad para √  Integrar los procesos de servicios
1
ejecutar responsabilidades es para mejores prácticas externas.
limitada.
Los reportes sobre la
disponibilidad son esporádicos,
Nivel
pueden estar incompletos y no √
2
toman en cuenta el impacto en el
negocio.
Las responsabilidades de la
Nivel planeación y de las pruebas de la
√
3 continuidad de los servicios están
claramente asignadas y definidas.
Se asigna la responsabilidad de
Nivel
mantener un plan de continuidad √
4
de servicios.
Los procesos integrados de servicio
Nivel continuo toman en cuenta
√
5 referencias de la industria y las
mejores prácticas externas.
RECOMENDACIONES
 Desarrollar y tomar muy en cuenta planes de continuidad.
 Realizar un marco de trabajo de continuidad.
En el Corto Plazo:
 Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.



En el Largo Plazo:
 Una vez realizada la reanudación exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este según amerite.

DS5: Garantizar la Seguridad de los Sistemas

CUMPLE

CUMPLE
NO

Las medidas para soportar la GRADO DE MADUREZ
administrar la seguridad de TI no El proceso de Garantizar la Seguridad de
Nivel están implementadas. No hay los Sistemas esta en el nivel de madurez 1.
√
0 reportes de seguridad de TI ni un OBJETIVOS NO CUMPLIDOS
proceso de respuesta para resolver  Concientizar el valor de la
brechas de seguridad de TI. seguridad de la información.
La seguridad de TI se lleva a cabo  Elaborar un plan de seguridad de
de forma reactiva. No se mide la TI.
seguridad de TI. Las brechas de
seguridad de TI ocasionan
Nivel
respuestas con acusaciones √
1
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son impredecibles.
La conciencia sobre la necesidad
de la seguridad esta fraccionada y
Nivel limitada. Aunque los sistemas
√
2 producen información relevante
respecto a la seguridad, ésta no se
analiza.
Las responsabilidades de la
seguridad de TI están asignadas y
entendidas, pero no
Nivel continuamente implementadas.
√
3 Existe un plan de seguridad de TI y
existen soluciones de seguridad
motivadas por un análisis de
riesgo.
El contacto con métodos para
promover la conciencia de la
Nivel seguridad es obligatorio. La
√
4 identificación, autenticación y
autorización de los usuarios está
estandarizada.
Nivel Los usuarios y los clientes se
√
5 responsabilizan cada vez más de

Proyecto de auditoría informática aplicando la metodología cobit 4.1

Proyecto de auditoría informática aplicando la metodología cobit 4.1

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Proyecto de auditoría informática aplicando la metodología cobit 4.1

Similar a Proyecto de auditoría informática aplicando la metodología cobit 4.1 (20)

Proyecto de auditoría informática aplicando la metodología cobit 4.1