UNIVERSIDAD NACIONAL “SANTIAGO ANTÚNEZ DE MAYOLO”
FACULTAD DE CIENCIAS
TEMA: “Proyecto de Auditoría Informática en la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT 4.1”
DOCENTE: Ing. Fabian M. Espinoza Barreto
ALUMNO: Ramírez Huamán, Luis Angello SEMESTRE / CICLO: 2011-II / IX Huaraz-Ancash-Perú
DEDICATORIA Dedico este presente trabajo a Dios en primer lugar por brindarme la vida, a mis Padres, y a mis Hermanos quienes con sus sabios consejos me orientan en el presente en busca de un mañana mejor. Sencillamente, ustedes son la base de mi vida profesional y toda la vida les estaré agradecido.
II
AGRADECIMIENTO Al Ing. Fabian M. Espinoza Barreto por toda su dedicación brindada en este proceso de asesoramiento brindado ya que sin él no tendría los resultados obtenidos, muchas gracias.
III
ÍNDICE Nº Pág
INTRODUCCIÓN……………………………………………………………………….VII
CAPÍTULO I PLANTEAMIENTO DEL PROBLEMA 1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9 1.1.1. NATURALEZA DE LA EMPRESA……………………………….9 1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9 1.1.3. VISIÓN…………………………………………………………………11 1.1.4. MISIÓN………………………………………………………………..11 1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11 1.1.5.1. ANÁLISIS FODA……………………………………………….11 1.1.5.2. METAS ORGANIZACIONALES…………………………..12 1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12 1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13 1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………14 1.2. METODOLOGÍA COBIT…………………………………………………..15 1.2.1. MODELOS DE MADUREZ……………………………………..15 1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17 1.2.2.1. ÁREA A AUDITAR…………………………………………….17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17 1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA………………………………………………..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE INFORMÁTICA……………………………………………..…18 1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMÁTICA…………………………………………….….18 1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)…………………………………………………………...19
IV
CAPÍTULO II EJECUCIÓN DE LA AUDITORIA 2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22 2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24 2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN………………………26 2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28 2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS……………………….…29 2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29 2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..29 2.2. REALIZACIÓN DE LA AUDITORIA……………………………………30 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO……………………….……55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN………………………………58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN………………………………60
CAPÍTULO III ANÁLISIS DE LOS RESULTADOS 3.1. INFORME TÉCNICO……………………………………………..…………62 3.2. INFORME EJECUTIVO…………………………………………….………70
CAPÍTULO IV CONCLUSIONES Y RECOMENDACIONES 4.1. CONCLUSIONES……………………………………………….……………74 4.2. RECOMENDACIONES…………………………………………….………75 V
GLOSARIO…………………………………………………………………………..…76 BIOGRAFÍA………………………………………………………………………….…77 ANEXOS………………………………………………………………………………..78
VI
INTRODUCCIÓN A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización. Por lo ello se realiza una auditoria informática en la Organización “DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio.
VII
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.1. CARACTERIZACIÓN DE LA EMPRESA 1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro. Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes. Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora. 1.1.2. UBICACIÓN GEOGRÁFICA La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.
Auditor: Ramírez Huamán, Luis Angello
Página 9
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Código de Ubicación Geográfica (UBIGEO):
Ubicación Exacta:
Auditor: Ramírez Huamán, Luis Angello
DATA CENTER E.I.R.L
Página 10
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.1.3. VISIÓN “Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros” 1.1.4. MISIÓN “La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente” 1.1.5. OBJETIVOS ESTRATÉGICOS 1.1.5.1. Análisis FODA ANÁLISIS INTERNO
FORTALEZAS DEBILIDADES Tratamiento personalizado a Control de Almacén. clientes, orientación y Realizar grandes proyectos en el asesoramiento. sector privado y público. Integración de productos y Dependencia de los servicios servicios buscando sinergias entre subcontratados. ellos. Sistema de Información Innovación Constante. Integrado (Compras, ventas, Personal debidamente Capacitado Almacén y Kárdex). y comprometido con la visión de la Organización. ANÁLISIS EXTERNO OPORTUNIDADES AMENAZAS Valoración positiva de las TIC en Oferta de productos a menor la Organización. precio por parte de la competencia. Costos cada vez menores para las Organizaciones para la aplicación La inestabilidad económica de de las TIC. los pobladores de la cuidad de Huaraz. Lealtad de los clientes hacia la Organización. Cambios repentinos de los Sistemas Informáticos. Ubicación Céntrica del Local. Incremento de la Competencia.
Auditor: Ramírez Huamán, Luis Angello
Página 11
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.1.5.2. Metas Organizacionales a. Corto Plazo Abastecimiento de las Áreas de la Organización según sus necesidades primarias. b. Mediano Plazo Realizar la capacitación a todo el personal, la renovación tecnológica, humana y la infraestructura de la Organización. c. Largo Plazo Lograr la expansión demográfica en el rubro, con innovaciones tecnológicas y el desarrollo de un sistema de información integrado. 1.1.5.3. Objetivos Estratégicos Desarrollar estrategias para llamar la atención de nuevos clientes. Aprovechar la Tecnología para Desarrolla un Sistema de Información Integral de Calidad. Aprovechar el buen clima para capacitar al personal de la Organización. Desarrollar servicios nuevos que mejoren el nivel del servicio. Explotar el potencial humano y tecnológico para una óptima productividad de los mismos.
Auditor: Ramírez Huamán, Luis Angello
Página 12
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.1.6. ORGANIGRAMA DE LA EMPRESA
Gerencia General
Área de Comercio
Almacén
Compras
Área de Informática
Área de Administración
Ventas
Auditor: Ramírez Huamán, Luis Angello
Contabilidad
Recursos Humanos
Logística
Servicio Técnico
Redes
Diseño Web
Página 13
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.1.6.1 Descripción de la Gerencia y Áreas a. Gerencia General.- Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización. b. Área de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros. c. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General. d. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.
Auditor: Ramírez Huamán, Luis Angello
Página 14
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.2. METODOLOGÍA COBIT Marco de Trabajo Completo de COBIT
1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de la Tecnologías de la Información. Auditor: Ramírez Huamán, Luis Angello
Página 15
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administración podrá identificar: El desempeño real de la Organización: Donde se encuentra la Organización hoy. El Status actual de la industria: La comparación EL objetivo de la mejora de la Organización: Donde desea estar la Organización. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría: 0 NO EXISTENTE
1 INICIAL
2 REPETIBLE
Carencia completa de cualquier proceso reconocible. La Organización no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
Auditor: Ramírez Huamán, Luis Angello
Página 16
Universidad Nacional “Santiago Antúnez de Mayolo”
3 DEFINIDO
4 ADMINISTRADO
5 OPTIMIZADA
Ing. de Sistemas e Informática
Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
1.2.2. AUDITORIA DE TICS CON COBIT 1.2.2.1. Área a Auditar La Auditoría realizada por Ramírez Huamán, Luis Angello, será en el Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”. 1.2.2.2. Reclutamiento de la Información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más especifico. (Anexo A, B, C) 1.2.2.3. Documentos de Gestión del Área de Informática Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son: Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias. Auditor: Ramírez Huamán, Luis Angello
Página 17
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la Auditoria en el Área de Informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones: Nº ACTIVIDADES 1 Observación General del Área de Informática. 2 Entrevistas a los trabajadores del Área de Informática. 3 Analizar con que documentos de Gestión y Técnicos cuentas. Verificar si que los equipos de los que se cuenta en la 4 actualidad concuerdan con su inventario. Análisis de las claves de acceso, control, seguridad, 5 confiabilidad y respaldos. Evaluar las tecnologías de información (TI), tanto en 6 hardware como en software. 7 Evaluación de la seguridad física, lógica y de redes. 1.2.2.5. Herramientas y Técnicas HERRAMIENTAS TECNICAS Cuaderno de Apuntes, Papel, Observación, entrevistas Lapicero, Antivirus Eset Smart y cuestionarios. Security 4.0, Microsoft Office 2010 y otros. 1.2.2.6. Motivo o necesidad de una Auditoria Informática Síntomas de mala imagen e insatisfacción de los usuarios. Síntomas de debilidad económico financiero. Síntomas de Inseguridad. Síntomas de descoordinación y desorganización.
Auditor: Ramírez Huamán, Luis Angello
Página 18
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos.
PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de la información PO3 Definir la dirección tecnológica. Definir los procesos, organización y PO4 relaciones de TI. PO5 Administrar la inversión en TI. Comunicar las metas y la dirección de la PO6 gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar la calidad. PO9 Evaluar y administrar los riegos de TI. PO10 Administrar los proyectos. ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. AI2 Adquirir y mantener software aplicativo. Adquirir y mantener la infraestructura AI3 tecnológica. AI4 Facilitar la operación y el uso. AI5 Procurar recursos de TI. AI6 Administrar los cambios. AI7 Instalar y acreditar soluciones y cambios.
Auditor: Ramírez Huamán, Luis Angello
X
X X
X X X X X X P
P
P P
S P
S P S P P
P P P P S
X X
S
S S
S S
P S
P S
S S
S S
X X X X
INFRAESTRUCTURA
X X X
X
X
X
X X
X X
X
X
X X
X
X
X
X
S
APLICACIÓN
INFORMACIÓN
RECURSOS DE TI DE COBIT
PERSONAS
CONFIABILIDAD
CUMPLIMIENTO
DISPONIBILIDAD
INTEGRIDAD
CONFIDENCIALIDAD
EFICIENCIA
CRITERIOS DE INFORMACIÓN DE COBIT
EFECTIVIDAD
OBJETIVOS DE CONTROL DE COBIT
X X X
X X X X
X X X X X
Página 19
Universidad Nacional “Santiago Antúnez de Mayolo” ENTREGAR Y DAR SOPORTE Definir y administrar los niveles de DS1 servicio. DS2 Administrar los servicios de terceros. DS3 Administrar el desempeño y capacidad. DS4 Asegurar el servicio continuo. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. Administrar la mesa de servicio y los DS8 incidentes. DS9 Administrar la configuración. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente físico. DS13 Administrar las operaciones. MONITOREAR Y EVALUAR Monitorear y evaluar el desempeño de ME1 TI. ME2 Monitorear y evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.
Ing. de Sistemas e Informática
P P P P
P P P S
P
P S
P P P
P S P
S S
S S
P
P
S S S P S
S S
S S
X X
X X
S
S P
X X X X
X X X
X S S P P S
P S
S
P
P P
P P
S S
S S
S S
P
P
S
S
S
S S P S
S S S S
X X X X X X
X X X
X X
X
X X X
X
X
X
X X
X X X X
X X X X
X X X X
X X X X
P
P
X X X X X X
Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla. CALIFICACION 15% 50% 51% 75% 76% 95%
IMPACTO PROMEDIO BAJO 32 MEDIO 63 ALTO 86
Promedio de Impactos, fuente COBIT 4.1
Auditor: Ramírez Huamán, Luis Angello
Página 20
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS a. Ubicación: El Área de Informática se ubica al lado del Área de Negocios, teniendo la responsabilidad de gestionar los procesos técnicos de informática.
Ubicación Física del Área de Informática b. Cargos Funcionales y Operativos: Apellidos y Nombres (Trabajadores)
Cargos Operativos
Cargos Funcionales
Gerente General
Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal
Ing. Lázaro Montañez, Heyner
Romero Castillo, José Carlos
Ramírez Huamán, Luis Angello
Montañez Araujo, Sarita Eva
Técnico en Informática y Redes Asistente Técnico en Informática y Redes Vendedora
Auditor: Ramírez Huamán, Luis Angello
Realiza el Soporte Técnico de Computadoras y Redes Realiza el Soporte Técnico de Computadoras y Redes Realiza las ventas de equipos Informáticos
Página 22
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1.1. OBJETIVOS DEL DEPARTAMENTO Recomendar la adquisición de hardware, software básico y de aplicaciones conveniente y necesario. Estructurar, ejecutar y actualizar el plan estratégico del Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General. Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”. Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo. Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta. Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo. Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes. Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”. Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.
Auditor: Ramírez Huamán, Luis Angello
Página 23
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO
ÁREA DE INFORMÁTICA SERVICIO TÉCNICO
REDES
DISEÑO WEB
SOFTWARE
MICROSOFT
WEB CORPORATIVO
HARDWARE
LINUX
WEB PERSONAL
SATELITAL 2.1.3. SEGURIDAD DEL DEPARTAMENTO a. Seguridad Física: Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos. Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia. Contar con un espacio adecuado para el alojamiento de los servidores.
Auditor: Ramírez Huamán, Luis Angello
Página 24
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
b. Seguridad Legal: Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseño de páginas web. Contar con las licencias de los sistemas operativos (Microsoft) en uso. Realizar una auditoria de la tecnologías de la información externa a “DATA CENTER E.I.R.L” c. Seguridad de Datos: Realizar periódicamente backups de la base de datos del sistema de información. Procesar los datos más importantes de la Organización en las aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información. Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada. d. Seguridad de Personas: Renovar los implementos de seguridad de los técnicos de informática. Realizar las señalizaciones sísmicas pertinentes en el establecimiento ante un desastre sísmico. Establecer políticas de integridad física y mental para el personal que labora, dentro de sus horas de trabajo.
Auditor: Ramírez Huamán, Luis Angello
Página 25
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN a. Recursos Humanos: GERENCIA/ÁREA LABORAL
APELLIDOS Y NOMBRES (TRABAJADORES)
Gerencia General
Ing. Lázaro Montañez, Heyner
Área de Informática Área de Informática Área de Comercio
CARGOS
TITULO
FUNCIÓN
TIEMPO DE SERVICIO
Gerente General
Ing. de Informática y Sistemas
Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal
Estable
Técnico
Realiza el Soporte Técnico de Computadoras y Redes
7 meses
Técnico
Realiza el Soporte Técnico de Computadoras y Redes
3 meses
Técnico en Informática y Redes Asistente Ramírez Huamán, Técnico en Luis Angello Informática y Redes Romero Castillo, José Carlos
Montañez Araujo, Sarita Eva
Auditor: Ramírez Huamán, Luis Angello
Vendedora
Secretariado Realiza las ventas de equipos Ejecutivo Informáticos Computarizado
2 años
Página 26
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
b. Hardware: NOMBRE DEL EQUIPO PC 01
PC 02
PC 03
CARACTERÍSTICAS I5 CPU 1.8 GHz Memoria RAM 4 GB Disco Duro 1 TB Corel 2 duo CPU 2.0 GHz Memoria RAM 4 GB S-ATA 7200 Disco Duro 500 GB D-Link DFE-530 PCI Tarjeta de Red Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series Corel 2 duo CPU 2.8 GHz Memoria RAM 2 GB S-ATA 7200 Disco Duro 300 GB D-Link DFE-530 PCI Tarjeta de Red Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series
UTILIDAD Servidor Proxy
PC para el Sistema de Información
PC para Soporte Técnico
c. Software: NOMBRE DEL EQUIPO
SISTEMA OPERATIVO
PC 01
Linux-CentOS Ver. 5.0
PC 02
Microsoft Windows Seven Ultimate con Service Pack 2
PC 03
Microsoft Windows Seven Ultimate con Service Pack 2
Auditor: Ramírez Huamán, Luis Angello
APLICACIONES MySQL 5.1 Server Open Office 3.5 Apache 6.0 FileZilla Server 3.5.2 DBMS SQL Server 2005 NetBeans 6.7.1 Suite Office 2010 Utilitarios Básicos Suite Office 2010 Utilitarios Básicos
Página 27
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1.5. TOPOLOGÍA DE LA EMPRESA La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topología de red estrella.
Auditor: Ramírez Huamán, Luis Angello
Página 28
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.1.6. CARACTERIZACIÓN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte técnico y PC para el funcionamiento de Sistema de Información, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeñen dentro de la Organización. Las actividades que se realizan en la empresa son de lunes a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseño de pagina web y otros, como también a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS 2.1.7.1. Posibles Problemas Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información. Falta de una planificación informática. Disminución considerable e injustificable del presupuesto del Área de Comercio. Falta de documentación del sistema de información y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos. Organización que no funciona correctamente por la falta de políticas, normas, metodología, asignación de tareas, debidamente establecida por la Gerencia General. 2.1.7.2. Formulación de Hipótesis No se cuenta con la seguridad en general de los recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo como
Auditor: Ramírez Huamán, Luis Angello
Página 29
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
consecuencia problemas económicos y de tecnología de información (Hardware y Software). 2.2. REALIZACIÓN DE LA AUDITORIA 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organización que a su vez califica el nivel en dicho objetivo.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las
Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información
√
√
√
OBSERVACIONES
GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no existe un plan estratégico de TI y estrategias de recursos de la Organización. No se realizar planes a largo plazo de TI, haciendo solo actualizaciones debido a los avances tecnológicos.
√
√
Página 30
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
operaciones de los sistemas. Se desarrollan planes realistas a largo plazo de TI y se actualizan de Nivel manera constante para reflejar los √ 5 cambiantes avances tecnológicos y el progreso relacionado al negocio. RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control: Planes a largo plazo de TI. Tomar decisiones estratégicas. Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “DATA CENTER E.I.R.L” En el Largo Plazo: Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
El conocimiento, la experiencia y las necesarias para arquitectura no existen en la organización. La gerencia reconoce la necesidad de una arquitectura de información. El Nivel desarrollo de algunos componentes 1 de una arquitectura de información ocurre de manera ad hoc. Las personas obtienen sus habilidades al construir la Nivel arquitectura de información por 2 medio de experiencia práctica y la aplicación repetida de técnicas. Existe una función de administración de datos definida formalmente, que Nivel establece estándares para toda la organización, y empieza a reportar 3 sobre la aplicación y uso de la arquitectura de la información.
Nivel responsabilidades desarrollar esta 0
Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información
√
√
√
OBSERVACIONES
GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información. Aprovechar las habilidades personales para la construcción de la arquitectura de la información.
√
Página 31
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
El proceso de definición de la
Nivel arquitectura de información es proactivo y se enfoca en resolver 4
√
necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar Nivel mantenimiento a una arquitectura de 5 información robusta y sensible que refleje todos los requerimientos del negocio.
√
RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: Desarrollar y mantener la arquitectura de la información. Tener en claro la definición del proceso de la arquitectura de la información. Ser participe de la construcción de la arquitectura de la información para incrementar sus habilidades. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital. En el Largo Plazo: Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.
No existe conciencia sobre la Nivel importancia de la planeación de la 0 infraestructura tecnológica para la entidad. La gerencia reconoce la necesidad de planear la infraestructura Nivel tecnológica. El desarrollo de 1 componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. La evaluación de los cambios Nivel tecnológicos se delega a individuos 2 que siguen procesos intuitivos, aunque similares. Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Dirección Tecnología
OBSERVACIONES
GRADO DE MADUREZ El proceso de Determinar la Dirección Tecnología esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Desarrollar las habilidades para la elaboración del plan de la infraestructura tecnológica. Realizar un plan de infraestructura tecnológica.
√
√
√
Página 32
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Existe un plan de infraestructura tecnológica definido, Nivel documentado y bien difundido, √ 3 aunque se aplica de forma inconsistente. El área de informática cuenta con Nivel la experiencia y las habilidades √ 4 necesarias para desarrollar un plan de infraestructura tecnológica. La dirección del plan de infraestructura tecnológica está impulsada por los estándares y Nivel avances industriales e √ 5 internacionales, en lugar de estar orientada por los proveedores de tecnología. RECOMENDACIONES Para el proceso PO3 de COBIT estable los siguientes objetivos de control: Elaborar un plan de infraestructura tecnológica. Impulsar la orientación de la infraestructura tecnológica hacia los proveedores. No delegar los cambios tecnológicos a personas que no tienen la debida experiencia. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. En el Largo Plazo: Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un foro tecnológico, para de esta forma brindar directrices tecnológicas.
La organización de TI no está Nivel establecida de forma efectiva para 0 enfocarse en el logro de los objetivos del negocio. La función de TI se considera como Nivel una función de soporte, sin una 1 perspectiva organizacional general. La necesidad de contar con una Nivel organización estructurada, pero las 2 decisiones todavía depende del Auditor: Ramírez Huamán, Luis Angello
√
√
√
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR PO4: Definir los Procesos, la Organización y las Relaciones de TI OBSERVACIONES GRADO DE MADUREZ El proceso de Definir los Procesos, la Organización y las Relaciones de TI esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Formular las relaciones con terceros para la TI. No satisfacer los requerimientos del negocio.
Página 33
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
conocimiento y habilidades de individuos clave. Se formulan las relaciones con Nivel terceros, incluyendo los comités de √ 3 dirección, auditoría interna y administración de proveedores. La organización de TI responde de forma pro activa al cambio e Nivel incluye todos los roles necesarios √ 4 para satisfacer los requerimientos del negocio. Nivel La estructura organizacional de TI √ 5 es flexible y adaptable. RECOMENDACIONES Para el proceso PO4 de COBIT estable los siguientes objetivos de control: Ser flexible y adaptable a la estructura organizacional de TI. Responder de forma pro actica a los requerimientos del negocio. Formular relaciones con terceros como auditoria interna. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una evaluación permanente de personal, para así asegurar que el personal involucrado en las TI sea el pertinente para la función asignada. En el Largo Plazo: Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente.
No existe conciencia de la importancia de la selección y Nivel presupuesto de las inversiones en 0 TI. No existe seguimiento o monitoreo de las inversiones y gastos de TI. La organización reconoce la necesidad de administrar la Nivel inversión en TI, aunque esta 1 necesidad se comunica de manera inconsistente. Existe un entendimiento implícito Nivel de la necesidad de seleccionar y 2 presupuestar las inversiones en TI. Auditor: Ramírez Huamán, Luis Angello
√
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversión de TI OBSERVACIONES GRADO DE MADUREZ El proceso de Administrar la Inversión de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS Formular las relaciones con terceros para la TI.
√
√
Página 34
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los Nivel procesos de selección de √ 3 inversiones en TI y de presupuestos están formalizados, documentados y comunicados. La responsabilidad y la rendición de cuentas por la selección y Nivel presupuestos de inversiones se √ 4 asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven. Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la Nivel efectividad de las inversiones. Se √ 5 utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones. RECOMENDACIONES Para el proceso PO5 de COBIT estable los siguientes objetivos de control: Reconocer la necesidad de administrar la inversión en TI. Utilizar las mejores prácticas para la evaluación de costos de inversión. Documentar y formalizar el presupuesto en TI. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. En el Largo Plazo: Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
La organización no requiere de la identificación de los Nivel requerimientos funcionales y 0 operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas, Auditor: Ramírez Huamán, Luis Angello
√
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas OBSERVACIONES GRADO DE MADUREZ El proceso de Identificar Soluciones Automatizadas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Página 35
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
servicios, infraestructura y datos. Determinar el proceso para la Existe una investigación o análisis solución de TI, según el Nivel estructurado mínimo de la √ requerimiento del negocio. 1 tecnología disponible. Documentación de los proyectos El éxito de cada proyecto depende realizados. de la experiencia de unos cuantos Nivel individuos clave. La calidad de la √ 2 documentación y de la toma de decisiones varía de forma considerable. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones Nivel tomadas por el personal √ 3 involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original. La documentación de los proyectos Nivel es de buena calidad y cada etapa √ 4 se aprueba adecuadamente. La metodología está soportada en bases de datos de conocimiento Nivel internas y externas que contienen √ 5 material de referencia sobre soluciones tecnológicas. RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control: Soportar la metodología de TI en base de datos. Determinar los procesos para las soluciones de TI. Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación. En el Largo Plazo: Que exista el alineamiento con las estrategias de la Organización y de TI.
Auditor: Ramírez Huamán, Luis Angello
Página 36
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Típicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal de TI con productos específicos, considerando poco o nada los requerimientos actuales. Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI. Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación. El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del
Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir y Mantener Software Aplicativo esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones. Determinar la metodología formal para la documentación del software en uso.
√
√
√
√
√
√
Página 37
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
negocio. RECOMENDACIONES Para el proceso AI2 de COBIT estable los siguientes objetivos de control: Asegurar que el software diseñado sea de calidad. Realizar un diseño detallado, y los requerimientos técnicos del software. Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo: Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4 Nivel
No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto. Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo. La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo. El proceso de adquisición y
Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnológica OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnológica esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Definir una estrategia para la adquisición y mantenimiento de la infraestructura. Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura.
√
√
√
√
√ √ Página 38
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
5
mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología. RECOMENDACIONES Para el proceso AI3 de COBIT estable los siguientes objetivos de control: Crear un plan de adquisición de infraestructura tecnológica. Garantizar la disponibilidad de la infraestructura tecnológica. Identificar que necesidades se tiene para adquisición de infraestructura tecnológica. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Crear un plan de adquisición de infraestructura tecnológica. En el Largo Plazo: Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
Nivel 0
Nivel 1
Nivel 2
Nivel 3 Nivel 4
No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento. Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable. Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran. Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella. Existen controles para garantizar que se adhieren los estándares y
Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operación y el Uso OBSERVACIONES GRADO DE MADUREZ El proceso de Facilitar la Operación y el Uso esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Falta generar los materiales de entretenimiento buscando su calidad. Garantizar la compañía de estándares para el desarrollo del proceso.
√
√
√
√
√
Página 39
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
que se desarrollan y mantienen procedimientos para todos los procesos. Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que se Nivel mantiene en forma electrónica, √ 5 con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener. RECOMENDACIONES Para el proceso AI4 de COBIT estable los siguientes objetivos de control: Control para garantizar adherir los estándares para el mantenimiento de los procesos. Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos. En el Largo Plazo: Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización.
Nivel No existe un proceso definido de 0 adquisición de recursos de TI. Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de Nivel proyecto y otras personas que 1 ejercen su juicio profesional más que seguir resultados de procedimientos y políticas formales. Nivel Se determinan responsabilidades y 2 rendición de cuentas para la Auditor: Ramírez Huamán, Luis Angello
√
√
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir Recursos de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS Falta de buenas relaciones con algunos proveedores de forma estratégica.
√
Página 40
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato. La adquisición de TI se integra en Nivel gran parte con los sistemas √ 3 generales de adquisición del negocio. La adquisición de TI se integra en gran parte con los sistemas Nivel generales de adquisición del √ 4 negocio. Existen estándares de TI para la adquisición de recursos de TI. Se establecen buenas relaciones con el tiempo con la mayoría de los Nivel proveedores y socios, y se mide y √ 5 vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégica. RECOMENDACIONES Para el proceso AI5 de COBIT estable los siguientes objetivos de control: Tomar medidas en la administración de contratos y adquisiciones. Establecer buenas relaciones con la mayoría de proveedores y socios. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir los recursos de TI. En el Largo Plazo: Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales.
La gerencia no reconoce la Nivel necesidad de un proceso para 0 definir los niveles de servicio. La responsabilidad y la rendición Nivel de cuentas sobre para la definición 1 y la administración de servicios no está definida. Nivel Los reportes de los niveles de 2 servicio están incompletos y Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio
√
√
√
OBSERVACIONES GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS No ordenar los procesos de desarrollo por niveles de servicio. Realizar reportes de servicio de
Página 41
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
pueden ser irrelevantes o forma completa y relevante. engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. El proceso de desarrollo del acuerdo de niveles de servicio esta Nivel en orden y cuenta con puntos de √ 3 control para revalorar los niveles de servicio y la satisfacción de cliente. La satisfacción del cliente es medida y valorada de forma Nivel rutinaria. Las medidas de √ 4 desempeño reflejan las necesidades del cliente, en lugar de las metas de TI. Todos los procesos de administración de niveles de servicio están sujetos a mejora Nivel continua. Los niveles de √ 5 satisfacción del cliente son administrados y monitoreados de manera continua. RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control: Realizar un portafolio de servicios. Realizar acuerdos de niveles de servicio. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio. En el Largo Plazo: Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
Auditor: Ramírez Huamán, Luis Angello
Página 42
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros OBSERVACIONES
Los servicios de terceros no son ni GRADO DE MADUREZ aprobados ni revisados por la El proceso de Administrar los Servicios de Nivel gerencia. No hay actividades de √ Terceros esta en el nivel de madurez 3. 0 medición y los terceros no OBJETIVOS NO CUMPLIDOS reportan. Verificar de forma continua las No hay condiciones estandarizadas capacidades del proveedor. Nivel para los convenios con los √ Monitorear e implementar 1 prestadores de servicios. acciones correctivas. Se utiliza un contrato pro forma con términos y condiciones Nivel estándares del proveedor (por √ 2 ejemplo, la descripción de servicios que se prestarán). Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente Nivel contractual. La naturaleza de los √ 3 servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Las aptitudes, capacidades y Nivel riesgos del proveedor son √ 4 verificadas de forma continua. Se monitorea el cumplimiento de Nivel las condiciones operacionales, √ 5 legales y de control y se implantan acciones correctivas. RECOMENDACIONES Para el proceso DS2 de COBIT estable los siguientes objetivos de control: Monitorear e implementar acciones correctivas. Verificar de forma continua las capacidades del proveedor. Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo. En el Largo Plazo: Mantener acuerdos de confidencialidad con los proveedores.
Auditor: Ramírez Huamán, Luis Angello
Página 43
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeño y la Capacidad OBSERVACIONES
La gerencia no reconoce que los GRADO DE MADUREZ procesos clave del negocio pueden El proceso de Administrar el Desempeño y requerir altos niveles de la Capacidad esta en el nivel de madurez 1. Nivel desempeño de TI o que el total de √ OBJETIVOS NO CUMPLIDOS 0 los requerimientos de servicios de Realizar evaluaciones de la TI del negocio pueden exceder la infraestructura de TI logrando una capacidad. capacidad optima. Los responsables de los procesos Establecer métodos de desempeño del negocio valoran poco la y evaluación. necesidad de llevar a cabo una Nivel planeación de la capacidad y del √ 1 desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas. Las necesidades de desempeño se logran por lo general con base en Nivel evaluaciones de sistemas √ 2 individuales y el conocimiento y soporte de equipos de proyecto. Los pronósticos de la capacidad y el desempeño se modelan por Nivel medio de un proceso definido. Los √ 3 reportes se generan con estadísticas de desempeño. Hay información actualizada disponible, brindando estadísticas Nivel de desempeño estandarizadas y √ 4 alertando sobre incidentes causados por falta de desempeño o de capacidad. La infraestructura de TI y la demanda del negocio están sujetas Nivel a revisiones regulares para √ 5 asegurar que se logre una capacidad óptima con el menor costo posible. RECOMENDACIONES Para el proceso DS3 de COBIT estable los siguientes objetivos de control: Establecer métricas de desempeño y evaluación de la capacidad. Auditor: Ramírez Huamán, Luis Angello
Página 44
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Realizar revisiones de forma periódica la demanda del negocio con menor costo. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares. En el Largo Plazo: Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE DS4: Garantizar la Continuidad del Servicio OBSERVACIONES
No hay entendimiento de los GRADO DE MADUREZ Nivel riesgos, vulnerabilidades y √ El proceso de Garantizar la Continuidad del 0 amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Las responsabilidades sobre la continuidad de los servicios son Mantener un plan de servicios. Nivel informales y la autoridad para √ Integrar los procesos de servicios 1 ejecutar responsabilidades es para mejores prácticas externas. limitada. Los reportes sobre la disponibilidad son esporádicos, Nivel pueden estar incompletos y no √ 2 toman en cuenta el impacto en el negocio. Las responsabilidades de la Nivel planeación y de las pruebas de la √ 3 continuidad de los servicios están claramente asignadas y definidas. Se asigna la responsabilidad de Nivel mantener un plan de continuidad √ 4 de servicios. Los procesos integrados de servicio Nivel continuo toman en cuenta √ 5 referencias de la industria y las mejores prácticas externas. RECOMENDACIONES Para el proceso DS4 de COBIT estable los siguientes objetivos de control: Desarrollar y tomar muy en cuenta planes de continuidad. Realizar un marco de trabajo de continuidad. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. Auditor: Ramírez Huamán, Luis Angello
Página 45
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
En el Largo Plazo: Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Las medidas para soportar la administrar la seguridad de TI no están implementadas. No hay √ reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones √ personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios está estandarizada. Los usuarios y los clientes se responsabilizan cada vez más de Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE DS5: Garantizar la Seguridad de los Sistemas OBSERVACIONES GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Concientizar el valor de la seguridad de la información. Elaborar un plan de seguridad de TI.
√
√
√
√ Página 46
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño. RECOMENDACIONES Para el proceso DS5 de COBIT estable los siguientes objetivos de control: Se debe administrar la seguridad TI. Realizar un plan de seguridad de TI. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad, detección de intrusos, etc.) En el Largo Plazo: Realizar pruebas a la implementación de la seguridad, de igual forma monitorear esta.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y √ precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce. No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos. La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave. Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales. Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR ME1: Monitorear y Evaluar el Desempeño de TI OBSERVACIONES GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Poder identificar los procesos estándares de evaluación. Integrar todos los procesos y proyectos de TI. √
√
√
Página 47
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Hay una integración de métricas a lo largo de todos los proyectos y Nivel procesos de TI. Los sistemas de √ 4 reporte de la administración de TI están formalizados. Las métricas impulsadas por el negocio se usan de forma rutinaria Nivel para medir el desempeño, y están √ 5 integradas en los marcos de trabajo estratégicos, tales como el Balanced Scorecard. RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control: Definir un método de monitoreo como Balance Scorecard. Evaluar el desempeño comparándolo periódicamente con las metas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo: Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Los métodos de reporte de control interno gerenciales no existen. Nivel Existe una falta generalizada de √ 0 conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI. La gerencia de TI no ha asignado de manera formal las Nivel responsabilidades para monitorear 1 la efectividad de los controles internos. La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo Nivel que considera controles internos 2 críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR ME2: Monitorear y Evaluar el Control Interno
√
OBSERVACIONES GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Establecer los procesos para la evaluación y aseguramiento del control interno. Utilizar herramientas integradas para la detección del control interno de TI.
√
Página 48
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
un plan. Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso Nivel para auto evaluaciones y √ 3 revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una Nivel función formal para el control √ 4 interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección. La organización utiliza herramientas integradas y actualizadas, donde es apropiado, Nivel que permiten una evaluación √ 5 efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI. RECOMENDACIONES Para el proceso ME2 de COBIT estable los siguientes objetivos de control: Monitorear el marco de trabajo de control interno de forma continua. Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI. En el Largo Plazo: Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Auditor: Ramírez Huamán, Luis Angello
Página 49
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR ME3: Garantizar el Cumplimiento Regulatorio OBSERVACIONES
Existe poca conciencia respecto a GRADO DE MADUREZ los requerimientos externos que El proceso de Garantizar el Cumplimiento Nivel afectan a TI, sin procesos Regulatorio esta en el nivel de madurez 1. √ 0 referentes al cumplimiento de OBJETIVOS NO CUMPLIDOS requisitos regulatorios, legales y Brindar capacitación sobre contractuales. requisitos legales y regulatorios Se siguen procesos informales para externos. mantener el cumplimiento, pero Conocer los requerimientos Nivel solo si la necesidad surge en √ aplicables, como la solución de 1 nuevos proyectos o como nuevas necesidades. respuesta a auditorías o revisiones. No existe, sin embargo, un enfoque estándar. Hay mucha Nivel confianza en el conocimiento y √ 2 responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento sobre requisitos legales y regulatorios Nivel externos que afectan a la √ 3 organización y se instruye respecto a los procesos de cumplimiento definidos. Las responsabilidades son claras y el empoderamiento de los Nivel procesos es entendido. El proceso √ 4 incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. Hay un amplio conocimiento de los requerimientos externos Nivel aplicables, incluyendo sus √ 5 tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones. RECOMENDACIONES Para el proceso ME3 de COBIT estable los siguientes objetivos de control: Integrar los reporte de TI sobre el cumplimiento regulatorio. Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de políticas, y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: Auditor: Ramírez Huamán, Luis Angello
Página 50
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
En el Corto Plazo: Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. En el Largo Plazo: Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe √ un problema a resolver; por lo tanto, no existe comunicación respecto al tema. El enfoque de la gerencia es reactivo y solamente existe una comunicación esporádica e inconsistente sobre los temas y los enfoques para resolverlos. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organización. La gerencia ha comunicado los procedimientos estandarizados y el entrenamiento está establecido. Se han identificado herramientas para apoyar a la supervisión del gobierno de TI. Los procesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos. Auditor: Ramírez Huamán, Luis Angello
NO CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR ME4: Proporcionar Gobierno de TI OBSERVACIONES GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Comunicar por parte de la Gerencia los procedimientos estandarizados.
√
√
√
√
Página 51
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
La implantación de las políticas de TI ha resultado en una organización, personas y procesos que se adaptan rápidamente, y que dan soporte completo a los Nivel requisitos de gobierno de TI. Todos √ 5 los problemas y desviaciones se analizan por medio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida. RECOMENDACIONES Para el proceso ME4 de COBIT estable los siguientes objetivos de control: Administrar los riesgos de forma eficiente. Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles y responsabilidades. En el Largo Plazo: Conformar un comité de auditoría para asegurar el cumplimiento de TI.
ADQUIRIR E IMPLEMENTAR
PLANIFICAR Y ORGANIZAR
PROCESO
NIVEL DE MADUREZ
DOMINIO
2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ
PO1 Definir el Plan Estratégico de Tecnología de la Información
1
PO2 Definir la Arquitectura de la Información
1
PO3 Determinar la Dirección Tecnología
1
PO4 Definir los Procesos, la Organización y las Relaciones de TI
2
PO5 Administrar la Inversión de TI
4
AI1 Identificar Soluciones Automatizadas
1
AI2 Adquirir y Mantener Software Aplicativo
2
AI3 Adquirir y Mantener Infraestructura Tecnológica
1
AI4 Facilitar la Operación y el Uso
1
AI5 Adquirir Recursos de TI
4
Auditor: Ramírez Huamán, Luis Angello
Página 52
MONITOREAR Y ENTREGAR Y DAR EVALUAR SOPORTE
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
DS1 Definir y Administrar los Niveles de Servicio
1
DS2 Administrar los Servicios de Terceros
3
DS3 Administrar el Desempeño y la Capacidad
1
DS4 Garantizar la Continuidad del Servicio
1
DS5 Garantizar la Seguridad de los Sistemas
1
ME1 Monitorear y Evaluar el Desempeño de TI
0
ME2 Monitorear y Evaluar el Control Interno
0
ME3 Garantizar el Cumplimiento Regulatorio
1
ME4 Proporcionar Gobierno de TI
0
Resumen de Análisis por Dominios: Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del negocio. “DATA CENTER E.I.R.L” no está alcanzando el uso optimo de los recursos ya que estos no son aprovechados al máximo o de también no se cuenta con los recursos necesarios para el desempeño de ciertas tareas. No todo el personal de “DATA CENTER E.I.R.L” entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia de estos para el cumplimiento de las metas de “DATA CENTER E.I.R.L”. Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, así como la implementación e integración en los procesos del negocio. Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de continuidad no es implementada la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la Auditor: Ramírez Huamán, Luis Angello
Página 53
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
confidencialidad no se encuentran implementadas de forma óptima. Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evalúa el control interno en “DATA CENTER E.I.R.L”. Existe un poco vinculación en el desempeño de TI con las metas del negocio. No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento, desempeño y control.
Auditor: Ramírez Huamán, Luis Angello
Página 54
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO Nivel de Madurez
Instalaciones
Sistemas de Aplicación
Recursos Humanos
Confiabilidad
Cumplimiento
Disponibilidad
0.61
Total real (impacto*Nivel real)
0.83
0.61
0.00 0.00 0.00
0.00
0.00
1
Total ideal (impacto*Nivel ideal)
4.15
3.05
0.00 0.00 0.00
0.00
0.00
5
PO2 Definir la Arquitectura de la Información
0.61
0.83
0.61 0.83
Total real (impacto*Nivel real)
0.61
0.83
0.61 0.83 0.00
0.00
0.00
1
Total ideal (impacto*Nivel ideal)
3.05
4.15
3.05 4.15 0.00
0.00
0.00
5
PO3 Determinar la Dirección Tecnológica
0.83
0.83
Total real (impacto*Nivel real)
0.83
0.83
0.00 0.00 0.00
0.00
0.00
1
Total ideal (impacto*Nivel ideal)
4.15
4.15
0.00 0.00 0.00
0.00
0.00
5
PO4 Definir los Procesos, la Organización y las Relaciones de TI
1.69
1.69
Total real (impacto*Nivel real)
3.38
3.38
Auditor: Ramírez Huamán, Luis Angello
x
x
x
x 0.00 0.00 0.00
0.00
x
x
x
x
Datos
0.83
Tecnologia
PO1 Definir el Plan Estratégico de Tecnología de la Información
PROCESOS
Integridad
Eficiencia
Confidencialidad
RECUROS TI
Efectividad
PLANIFICAR Y ORGANIZAR
DOMINIO
CRITERIOS DE INFORMACION
x
x
x
x
x
0.00
2
Página 55
ADQUIRIR E IMPLEMENTAR
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Total ideal (impacto*Nivel ideal)
8.45
8.45
PO5 Administrar la Inversión de TI
3.41
3.41
Total real (impacto*Nivel real)
13.64 13.64 0.00 0.00 0.00
0.00
9.96
4
Total ideal (impacto*Nivel ideal)
17.05 17.05 0.00 0.00 0.00
0.00
12.45
5
AI1 Identificar Soluciones Automatizadas
0.83
0.61
Total real (impacto*Nivel real)
0.83
0.61
0.00 0.00 0.00
0.00
0.00
1
Total ideal (impacto*Nivel ideal)
4.15
3.05
0.00 0.00 0.00
0.00
0.00
5
AI2 Adquirir y Mantener Software Aplicativo
1.69
1.69
1.23
Total real (impacto*Nivel real)
3.38
3.38
0.00 2.46 0.00
0.00
2.46
2
Total ideal (impacto*Nivel ideal)
8.45
8.45
0.00 6.15 0.00
0.00
6.15
5
AI3 Adquirir y Mantener Infraestructura Tecnológica
0.61
0.83
0.61 0.61
Total real (impacto*Nivel real)
0.61
0.83
0.00 0.61 0.61
0.00
0.00
1
Total ideal (impacto*Nivel ideal)
3.05
4.15
0.00 3.05 3.05
0.00
0.00
5
AI4 Facilitar la Operación y el Uso
0.83
0.83
0.61 0.61
0.61
0.61
Total real (impacto*Nivel real)
0.83
0.83
0.00 0.61 0.61
0.61
0.61
1
Total ideal (impacto*Nivel ideal)
4.15
4.15
0.00 3.05 3.05
3.05
3.05
5
AI5 Adquirir Recursos de TI
2.49
3.41
2.49
Total real(impacto*Nivel real)
9.96
13.64 0.00 0.00 0.00
9.96
0.00
4
Total ideal(impacto*Nivel ideal)
12.45 17.05 0.00 0.00 0.00 12.45
0.00
5
Auditor: Ramírez Huamán, Luis Angello
0.00 0.00 0.00
0.00
0.00 2.49
5 x
x
1.23
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Página 56
ENTREGAR Y DAR SOPORTE
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
DS1 Definir y Administrar los Niveles de Servicio
0.83
0.83
0.61 0.61 0.61
0.61
0.61
Total real(impacto*Nivel real)
0.83
0.83
0.61 0.61 0.61
0.61
0.61
1
Total ideal(impacto*Nivel ideal)
4.15
4.15
3.05 3.05 3.05
3.05
3.05
5
DS2 Administrar los Servicios de Terceros
2.55
2.55
1.86 1.86 1.86
1.86
1.86
Total real(impacto*Nivel real)
7.65
7.65
5.58 5.58 5.58
5.58
5.58
3
Total ideal(impacto*Nivel ideal)
12.75 12.75 9.30 9.30 9.30
9.30
9.30
5
DS3 Administrar el Desempeño y la Capacidad
0.83
0.83
0.61
Total real(impacto*Nivel real)
0.83
0.83
0.00 0.00 0.61
0.00
0.00
1
Total ideal(impacto*Nivel ideal)
4.15
4.15
0.00 0.00 3.05
0.00
0.00
5
DS4 Garantizar la Continuidad del Servicio
0.83
0.61
0.83
Total real(impacto*Nivel real)
0.83
0.61
0.00 0.00 0.83
0.00
0.00
1
Total ideal(impacto*Nivel ideal)
4.15
3.05
0.00 0.00 4.15
0.00
0.00
5
0.83 0.83 0.61
0.61
0.61
MONITOREA R Y EVALUAR
DS5 Garantizar la Seguridad de los Sistemas
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Total real(impacto*Nivel real)
0.00
0.00
0.83 0.83 0.61
0.61
0.61
1
Total ideal(impacto*Nivel ideal)
0.00
0.00
4.15 4.15 3.05
3.05
3.05
5
ME1 Monitorear y Evaluar el Desempeño de TI
x
x
x
x
Total real(impacto*Nivel real)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
0
Total ideal(impacto*Nivel ideal)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
5
Auditor: Ramírez Huamán, Luis Angello
Página 57
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
ME2 Monitorear y Evaluar el Control Interno
x
x
x
x
Total real(impacto*Nivel real)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
0
Total ideal(impacto*Nivel ideal)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
5
0.83
0.61
ME3 Garantizar el Cumplimiento Regulatorio
x
x
Total real(impacto*Nivel real)
0.00
0.00
0.00 0.00 0.00
0.83
0.61
1
Total ideal(impacto*Nivel ideal)
0.00
0.00
0.00 0.00 0.00
4.15
3.05
5
ME4 Proporcionar Gobierno de TI
x
x
x
Total real(impacto*Nivel real)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
0
Total ideal(impacto*Nivel ideal)
0.00
0.00
0.00 0.00 0.00
0.00
0.00
5
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) Porcentaje Alcanzado
Auditor: Ramírez Huamán, Luis Angello
45.04 48.50
7.63 11.53
9.46 18.20 20.44
94.30 97.80 19.55 32.90 28.70 35.05 40.10 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90
Página 58
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
A continuación analizamos cada uno de los criterios de la información: EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%. EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%. CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%. INTEGRIDAD.- Para este criterio de información se obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%. DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a
Auditor: Ramírez Huamán, Luis Angello
Página 59
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%. CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%. CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%. 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN 60.00 50.00 40.00
47.76
51.93
49.59 39.03
50.97 43.90
35.05
32.96
30.00 20.00 10.00 0.00
Auditor: Ramírez Huamán, Luis Angello
Página 60
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
3.1. INFORME TÉCNICO ALCANCE Mediante esta auditoría se pretende evaluar el estado actual del Departamento Informático “DATA CENTER E.I.R.L”, mediante este proceso se podrá brindar al “DATA CENTER E.I.R.L” sus respectivas conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 4.1. OBJETIVOS OBJETIVO GENERAL • Realizar la auditoría de las tecnologías de la información d e “DATA CENTER E.I.R.L” de Huaraz, utilizando como modelo de referencia COBIT 4.1. OBJETIVOS ESPECIFICOS • Identificar problemas técnicos en las TI y dar posibles soluciones. • Definir controles que permitan disminuir riesgos. • Realizar un informe técnico y ejecutivo. A continuación se detalla los resultados de la evaluación de cada uno de los 34 procesos divididos en sus respectivos dominios (Planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), basándonos en los niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo 5 (administrado). DOMINIO PLANEAR Y ORGANIZAR PO1. DEFINIR UNPLAN ESTARTEGICO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que no se cuenta con un plan estratégico definido. RECOMENDACIONES COBIT • Alinear las TI con el negocio, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el
Auditor: Ramírez Huamán, Luis Angello
Página 62
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias. • Crear planes tácticos de TI, que se resulten del plan estratégico de TI, estos servirán para describir las iniciativas y los requerimientos de recursos que necesitados por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados. PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora. RECOMENDACIONES COBIT • Establecer un diseño de clasificación de datos que aplique a todo “DATA CENTER E.I.R.L”, basado en la información crítica y sensible. • Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. PO3. DETERMINAR LA DIRECCIÓN TECNOLÓGICA CONCLUSIÓN.-Este proceso se encuentra en el nivel de madurez 1, puesto que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. RECOMENDACIONES COBIT • Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. • Crear y mantener un plan de infraestructura tecnológica que este emparejado con los planes estratégicos y tácticos de TI.
Auditor: Ramírez Huamán, Luis Angello
Página 63
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
PO4. DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 puesto que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente. RECOMENDACIONES COBIT • Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI. • Establecer un comité estratégico de TI a nivel del consejo directivo, para garantizar que el gobierno de TI se maneje de forma efectiva. PO5. ADMINISTRAR LA INVERSIÓN DE TI CONCLUSIÓN.- Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero. RECOMENDACIONES COBIT • Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones. • Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. DOMINIO ADQUIRIR E IMPLEMENTAR AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos. RECOMENDACIONES COBIT • Resaltar, priorizar, especificar los requerimientos funcionales y técnicos de “DATA CENTER E.I.R.L”, priorizando el Auditor: Ramírez Huamán, Luis Angello
Página 64
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de “DATA CENTER E.I.R.L”. • Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos. AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático. RECOMENDACIONES COBIT • Realizar un diseño detallado, y los requerimientos técnicos del software. • Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría. AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica. RECOMENDACIONES COBIT • Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica. • Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta. AI4. FACILITAR LA OPERACIÓN Y EL USO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la
Auditor: Ramírez Huamán, Luis Angello
Página 65
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
documentación y procedimientos ya se encuentran caducados o desactualizados. RECOMENDACIONES COBIT • Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos. • Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de “DATA CENTER E.I.R.L”. AI5. ADQUIRIR RECURSOS DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI. RECOMENDACIONES COBIT • Establecer buenas relaciones con la mayoría de proveedores y socios. • Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales. DOMINIO ESTREGAR Y DAR SOPORTE DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente. RECOMENDACIONES COBIT • Se debe definir un marco de trabajo para la administración de los niveles de servicio. • Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados. DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados Auditor: Ramírez Huamán, Luis Angello
Página 66
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores. RECOMENDACIONES COBIT • Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo. • Asignar responsables para la administración del contrato y del proveedor. DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para aplacar las limitaciones de desempeño y capacidad. RECOMENDACIONES COBIT • Establecer métricas de desempeño y evaluación de la capacidad. • Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI. DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios. RECOMENDACIONES COBIT • Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. • Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras. RECOMENDACIONES COBIT
Auditor: Ramírez Huamán, Luis Angello
Página 67
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
• Realizar pruebas a la implementación de la seguridad, de igual forma monitorear esta. • Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna. DOMINIO MONITOREAR Y EVALUAR ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño. RECOMENDACIONES COBIT • Definir y recolectar los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño. • Evaluar el desempeño comparándolo periódicamente con las metas. ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos. RECOMENDACIONES COBIT • Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI. • Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de los controles internos. • Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales. ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.
Auditor: Ramírez Huamán, Luis Angello
Página 68
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
RECOMENDACIONES COBIT • Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. • Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI. ME4. PROPORCIONAR GOBIERNO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 por cuanto no existe procesos de gobierno de TI. RECOMENDACIONES COBIT • Contribuir al entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI. • Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas. IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN CRITERIOS DE LA INFORMACIÓN
PORCENTAJE
Efectividad
47.76%
Eficiencia
49.59%
Confidencialidad
39.03%
Integridad
35.05%
Disponibilidad
32.96%
Cumplimiento
51.93%
Confiabilidad
50.97%
OBSERVACIONES El objetivo es alcanzar el 100%, para esto la información en “DATA CENTER E.I.R.L” debe ser entregada de forma oportuna, correcta, consistente y utilizable. El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos. El objetivo es alcanzar el 100%, para lo cual se debe proteger la información sensitiva contra revelación no autorizada. El objetivo es alcanzar el 100%, para lo cual la información debe ser precisa, completa y valida. El objetivo es alcanzar el 100%, para la cual la información debe estar disponible cuando esta se requiera por parte de las áreas del negocio en cualquier momento. El objetivo es alcanzar el 100%, para lo cual se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como políticas internas. El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad.
Auditor: Ramírez Huamán, Luis Angello
Página 69
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
3.2. INFORME EJECUTIVO En el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz. Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.
Criterio de Informacion: Efectividad
52.24%
47.76%
Efectividad Déficit
La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%.
Criterio de Información: Eficiencia
50.41%
49.59%
Eficiencia Déficit
La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.
Auditor: Ramírez Huamán, Luis Angello
Página 70
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Criterio de Información: Confidencialidad
60.97%
39.03%
Confidencialidad Déficit
La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio del 39.03%.
Criterio de Información: Integridad
64.95%
35.05%
Integridad
Déficit
La integridad consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio del 35.05%.
Criterio de Información: Disponibilidad
67.04%
32.96%
Disponibilidad Déficit
La disponibilidad consiste en que la información este disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%. Auditor: Ramírez Huamán, Luis Angello
Página 71
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
Criterio de Información: Cumplimiento
48.07%
51.93%
Cumplimiento Déficit
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como políticas internas, este criterio tiene un promedio del 51.93%.
Criterio de Información: Confiabilidad
49.03%
50.97%
Confiabilidad Déficit
La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.
Auditor: Ramírez Huamán, Luis Angello
Página 72
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
CONCLUSIONES Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”. Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Auditor: Ramírez Huamán, Luis Angello
Página 74
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
RECOMENDACIONES Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crítico. Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo. Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes. Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.
Auditor: Ramírez Huamán, Luis Angello
Página 75
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
GLOSARIO Auditoría Informática.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informático o estructura informática protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologías de la información así como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. Arquitectura de la información.- Es la disciplina y arte encargada del estudio, análisis, organización, disposición y estructuración de la información en espacios de información, y de la selección y presentación de los datos en los sistemas de información interactivos y no interactivos. COSO.- (Committee Of Sponsoring Organizations), es un modelo de control de negocios, que proporciona un estándar a partir del cual las organizaciones (grandes o pequeñas, en el sector público o privado, con fines de lucro o sin él) pueden evaluar sus procesos de control y determinar cómo mejorar su desempeño. TI.- Tecnologías de la Información. Plan Estratégico.- Es un plan a largo plazo aprobado por una empresa. Problema.- Es la causa desconocida de uno o varios incidentes.
Auditor: Ramírez Huamán, Luis Angello
Página 76
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
BIOGRAFÍA Direcciones Electrónicas: ISACA ORG. Obtain Cobit http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008. WIKIPEDIA, Objetivos de control para la información y tecnologías relacionadas. http://es.wikipedia.org/wiki/COBIT WIKIPEDIA, Auditoria Informática http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3 %A1tica Textos: Escuela Politécnica Nacional, Auditoria de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0. COBIT 4.1 Marco Referencial, Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2007.
Auditor: Ramírez Huamán, Luis Angello
Página 77
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
ANEXOS A. Cuestionario de Auditoría correspondiente funcionamiento del Área de Informática:
al
¿Se tiene restringida la operación del sistema de cómputo a los usuarios? SI ( ) NO ( ) ¿Son funcionales los muebles asignados para los equipos de cómputo? SI ( ) NO ( ) B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿“DATA CENTER E.I.R.L” cuenta con extintores de fuego? SI ( ) NO ( ) ¿Existe salida de emergencia? SI ( ) NO ( ) ¿Existe alarma para detectar fuego (calor o humo) en forma automática? SI ( ) NO ( ) ¿Existen una persona responsable de la seguridad? SI ( ) NO ( )
Auditor: Ramírez Huamán, Luis Angello
Página 78
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
El lugar donde se encuentra “DATA CENTER E.I.R.L” está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( ) C. Cuestionario de Auditoria en Comunicaciones y Redes: ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados?
¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?
Auditor: Ramírez Huamán, Luis Angello
Página 79
Universidad Nacional “Santiago Antúnez de Mayolo”
Ing. de Sistemas e Informática
¿Existen protocolos de comunicaron establecida?
¿Existe un plan de infraestructura de redes?
¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?
Auditor: Ramírez Huamán, Luis Angello
Página 80