SlideShare uma empresa Scribd logo

Auditoría TI Ekipa C.A usando COBIT

Moises Peña
Moises Peña

Este documento presenta una propuesta para realizar una auditoría informática en la empresa Ekipa C.A. utilizando la metodología COBIT. Describe la empresa, su misión, visión y objetivos. Explica la metodología COBIT y su modelo de madurez. Presenta el plan de auditoría que incluye la recolección de información a través de entrevistas y cuestionarios. Evalúa la situación actual del área de sistemas e implementa la auditoría utilizando el modelo de madurez COBIT para evaluar los procesos.

Tecnologia
1 de 36
Baixar para ler offline
REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN – PORLAMAR PROYECTO: APLICACIÓN DE UNA AUDITORIA INFORMATICA EN LA EMPRESA EKIPA C.A Autores: Br. Moisés Peña. C.I: 18.399.949 Br. Ricardo Paruta. C.I: 19.116.452 Br. Néstor Casas. C.I: 22.998.167 Porlamar, Julio 2013
INTRODUCCIÓN Los sistemas de información en la actualidad constituyen para las organizaciones y empresas, un campo esencial, por esta razón es que todo el recurso humano que se desempeña en una organización debe comprender los sistemas de información, desde un entendimiento básico algunas personas hasta un entendimiento profundo, ya que esto permitirá el buen desarrollo de la organización. Los sistemas de información representan un área principal para las actividades de contabilidad, administración, mercadeo. Igualmente representan un gran apoyo en la productividad, la presentación del servicio y la satisfacción del cliente. Lo que permite una ventaja estratégica en el mercado en el cual se desenvuelve la empresa. Considerando la importancia de los sistemas de informática, se estima pertinente la realización de una auditoria informática en la empresa Ekipa C.A, con el propósito de cumplir con los requerimientos presentes y estipular los beneficios para administrar los riesgos eficientemente. Utilizando como modelo de referencia la metodología COBIT 4.1, a través de la evaluación de 34 procesos definido por esta metodología, agrupados en 4 dominios que son: planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar, estos procesos son ubicados en los procesos de madurez para luego exponer las recomendaciones dadas por COBIT 4.1. Con la realización de esta investigación se busca la solución de problemas y alcanzar la máxima satisfacción de los clientes, con el uso adecuado de los recursos tecnológicos y humanos que posee que posee la empresa Ekipa C.A.
CAPITULO I GENERALIDADES DE LA EMPRESA 1.1. Caracterización de la empresa 1.1.1 Naturaleza de la empresa El 17 de Mayo del 2005 nace EKIPA C.A en el estado Nueva Esparta para brindar un servicio de calidad y excelencia al estado que de acuerdo a la necesidad existente dentro del ente buscando lograr la competitividad y reconocimiento. Lo más resaltante es haber apostado por el negocio de venta de artículos de remodelaciones para el hogar, camping, ferretería entre otros logrando así su reconocimiento en el mercado. 1.1.2. Ubicación de Ekipa C.A: Av. Aldonza Manrique Entrada Playa el Ángel CC Rattan Plaza Pampatar Estado Nueva Esparta Zona Postal 6316 1.1.3. Misión Ofrecer la mejor variedad, calidad y productos en soluciones para la construcción y el hogar, bajo el concepto de autoservicio en un ambiente confortable. 1.1.4. Visión Ser reconocidos en nuestro ramo como la mejor solución a nuestros clientes en la región. 1.1.5. Objetivos estratégicos Agilizar el proceso de registro de artículos nuevos. Disminuir el tiempo invertido en la búsqueda de artículos creados, ya sea para actualizarlos. Mejora la calidad del trabajo que se realiza, porque el personal tendrá más facilidad para realizar sus labores. Evita el riesgo de pérdida de los datos.
Se pueden eliminar la gran cantidad de datos que se presenta en el entorno. Se puede almacenar una gran cantidad de datos. 1.1.5.1. Análisis foda OPORTUNIDADES AMENAZAS • Nivel de tecnología de punta. • Instalaciones para la formación Profesional. • Capacitación y desarrollo del personal. • Rotación del personal. • Bajo presupuesto de gastos asignados. • Inestabilidad gerencial dentro de la empresa. FORTALEZAS DEBILIDADES • Dominio del programa por parte del personal. • Experiencia en el desarrollo del trabajo. • Disponibilidad de fondos internos. • Capacidad de adaptación al trabajo bajo presión. • Falta de planeación de los trabajos. • Bajo nivel de remuneración. • Inefectiva preparación del personal. • Escaso nivel profesional en el personal. 1.1.5.2. Metas organizacionales Abastecimiento de las aéreas de la organización según sus necesidades. Realizar la capacitación a todo el personal que labora dentro de la organización para así tener atención de calidad. 1.1.6. Organigrama de la empresa Ver anexo A
1.1.6.1. Descripción de la gerencia y áreas. Gerencia general: tiene como propósito dirigir, organizar y coordinar el desarrollo de los procesos y actividades diarias de acuerdo con sus políticas. Área de negocios: encargada de planificar y verificar los procesos de compra venta como también la recepción en el área de almacén. Área administrativa: se encarga de velar por una adecuada organización que la administración sea eficiente en el uso de bienes y el recurso humano de la organización en general. Área de informática: encargada de coordinar los servicios informáticos, tiene que estar subdividida para así ser más específicos al momento de las comunicaciones. 1.2. Metodología Cobit: Ver anexo B 1.2.1 Modelo de madurez El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es evaluar el nivel de adherencia a los objetivos de control. Los niveles de madurez están diseñados como perfiles de procesos de TI que una organización reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de COBIT, a
diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud. La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a través de: Modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad. Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado. Metas de actividades para facilitar el desempeño efectivo de los procesos. Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información. Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas: ¿Qué está haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? ¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas? Con base en estas comparaciones, ¿se puede decir que estamos haciendo lo suficiente? Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido, como se muestra en el ejemplo gráfico siguiente:
1.2.2. Auditoria de tics aplicando COBIT 1.2.2.1 Área a auditar La Auditoría realizada por el equipo, será en el Área de Informática de “EKIPA C.A”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “EKIPA C.A”. 1.2.2.2. Proceso de recolección de información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “EKIPA C.A”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más específico. 1.2.2.3. Documentos de gestión en el área de informática Actualmente “EKIPA C.A” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son: Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la auditoria en el área de informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:
N° ACTIVIDADES 1 Observación General del Área de Informática. 2 Entrevistas a los trabajadores del Área de Informática. 3 Analizar con que documentos de Gestión y Técnicos cuentas 4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario. 5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. 6 Evaluar las tecnologías de información (TI), tanto en hardware como en software. 7 Evaluación de la seguridad física, lógica y de redes. 1.2.2.5 Herramientas y técnicas Herramientas Técnicas Cuaderno, lapicero, laptop, Microsoft office 2010, entre otros Observación, entrevistas y cuestionarios 1.2.2.6. Motivo o necesidad de la auditoria • Síntomas de mala imagen e insatisfacción de los usuarios. • Síntomas de Inseguridad. • Síntomas de descoordinación y desorganización 1.2.2.7 Modelos de madurez a nivel cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto
en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos. Ver anexo C Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla. Promedio de Impactos, fuente COBIT 4.1 Capítulo II: EJECUCION DE LA AUDITORIA 2.1. Situación actual del área de sistemas • Recomendar la adquisición de hardware, software básico y de aplicación conveniente y necesaria. • Ejecutar y actualizar el plan estratégico del sistema de información, según los requerimientos del área conjunto con la gerencia general. • Proporcionar seguridad tanto lógica y física del hardware y redes. • Mantener el inventario del área actualizado para así tener buen control del departamento. CALIFICACIÓN IMPACTO PROMEDIO 15% 50% BAJO 32 51% 75% MEDIO 63 76% 95% ALTO 86
2.1.2. Organigrama del departamento 2.1.3. Seguridad del departamento • Tener sistema contra incendios y la capacitación adecuada para el manejo de los mismos. • Contar con buen espacio para la ubicación de los servidores y con seguridad. • Contar con las licencias de los sistemas operativos para que todo sea legal. • Tener programado el respaldo que trae el sistema operativo con respecto a la base de datos. • Restringir el acceso al sistema de información y al servidor para que la data no sea adulterada
2.2. Aplicación de la auditoria 2.2.1. Modelo de madurez de los procesos DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información NIVEL DE MADUREZ CUMPLE NOCUMPLE OBSERVACIONES Nivel 0 No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. X GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología de la Información está en el nivel de madurez 4. Nivel 1 La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia. X Nivel 2 Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. X Nivel 3 La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. X Nivel 4 Existen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas X Nivel 5 Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio. X RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control: • Planes a largo plazo de TI. • Tomar decisiones estratégicas. • Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “EKIPA C.A” En el Largo Plazo: • Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 El conocimiento, la experiencia y las responsabilidades necesarias para el desarrollo de esta arquitectura no existen en la organización. X GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información. • Aprovechar las habilidades personales para la construcción de la arquitectura de la información. Nivel 1 La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre de manera ad hoc. X Nivel 2 Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. X Nivel 3 Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. X Nivel 4 El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio. X Nivel 5 El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio. X RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: • Desarrollar y mantener la arquitectura de la información. • Tener en claro la definición del proceso de la arquitectura de la información. • Ser partícipe de la construcción de la arquitectura de la información para incrementar sus habilidades. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital. En el Largo Plazo: • Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.
DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversión de TI NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 No existe conciencia de la importancia de la selección y presupuesto de las inversiones en TI. X GRADO DE MADUREZ El proceso de Administrar la Inversión de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS • Utilizar las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Nivel 1 La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente. X Nivel 2 Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. X Nivel 3 El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados. X Nivel 4 La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven. X Nivel 5 Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones. X RECOMENDACIONES Para el proceso PO5 de COBIT estable los siguientes objetivos de control: • Reconocer la necesidad de administrar la inversión en TI. • Utilizar las mejores prácticas para la evaluación de costos de inversión. • Documentar y formalizar el presupuesto en TI. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. En el Largo Plazo: • Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas NIVEL DE MADUREZ CUMPLE NO OBSERVACIONES Nivel 0 La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas, servicios, infraestructura y datos. X GRADO DE MADUREZ El proceso de identificar Soluciones Automatizadas está en nivel1. OBJETIVOS NO CUMPLIDOS • Determinar el proceso para la solución de TI, según la exigencia del negocio. • Documentación de los proyectos realizados. Nivel 1 Existe una investigación o análisis estructurado mínimo de la tecnología disponible X Nivel 2 El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable. X Nivel 3 El proceso para determinar soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio X Nivel 4 La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. X Nivel 5 La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas. X RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control: • Soportar la metodología de TI en base de datos. • Determinar los procesos para las soluciones de TI. • Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.
DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Típicamente, las aplicaciones se logran con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal deTI cn productos específicos, considerando poco o nada los requerimientos actuales. X GRADO DE MADUREZ El proceso de Adquirir y Mantener Software Aplicativo está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones. • Determinar la metodología formal para la documentación del software en uso. Nivel 1 Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento. X Nivel 2 Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI. X Nivel 3 Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. X Nivel 4 Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación. X Nivel 5 El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiante del negocio. X RECOMENDACIONES Para el proceso AI2 de COBIT estable los siguientes objetivos de control: • Asegurar que el software diseñado sea de calidad. • Realizar un diseño detallado, y los requerimientos técnicos del software. • Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo: • Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.
DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnológica NIVEL DE MADUREZ CUMPLE NO OBSERVACIONES Nivel 0 No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto. X GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnológica está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Definir una estrategia para la adquisición y mantenimiento de la infraestructura. • Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura. Nivel 1 Se realizan cambios a la infraestructura para cada nueva aplicación sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo. X Nivel 2 La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. X Nivel 3 El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. X Nivel 4 La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo. X Nivel 5 El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con la aplicaciones críticas del negocio y con la arquitectura de la tecnología X RECOMENDACIONES Para el proceso AI3 de COBIT estable los siguientes objetivos de control: • Crear un plan de adquisición de infraestructura tecnológica. • Identificar que necesidades se tiene para adquisición de infraestructura tecnológica. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Crear un plan de adquisición de infraestructura tecnológica. En el Largo Plazo: • Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio X GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • No ordenar los procesos de desarrollo por niveles de servicio. • Realizar reportes de servicio de forma completa y relevante Nivel 1 La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicio no está definida. X Nivel 2 Los reportes de los niveles de servicio están incompletos y pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. X Nivel 3 El proceso de desarrollo del acuerdo de niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente. X Nivel 4 La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI. X Nivel 5 Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua. X RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control: • Realizar un portafolio de servicios. • Realizar acuerdos de niveles de servicio. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: •Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio. En el Largo Plazo: • Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan. X GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Verificar de forma continua las capacidades del proveedor. • Monitorear e implementar acciones correctivas. Nivel 1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios. X Nivel 2 Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor. X Nivel 3 Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es solo contractual. La naturaleza de los servicios a prestar se detalla en el contrato, incluye requerimientos legales, operacionales y de control. X Nivel 4 Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua. X Nivel 5 Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas. X RECOMENDACIONES Para el proceso DS2 de COBIT estable los siguientes objetivos de control: • Monitorear e implementar acciones correctivas. • Verificar de forma continua las capacidades del proveedor. Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo. En el Largo Plazo: • Mantener acuerdos de confidencialidad con los proveedores.
DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeño y la Capacidad NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI del negocio pueden exceder la capacidad. X GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima. • Pronosticar la capacidad de desempeño y evaluación. Nivel 1 Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas. X Nivel 2 Las necesidades de desempeño se logran por lo general con base en evaluacionesde sistemas individuales y el conocimiento y soporte de equipos de proyecto. X Nivel 3 Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño. X Nivel 4 Hay información actualizada disponible, brindando estadísticas de desempeño y alertando sobre incidentes causados por falta de desempeño o de capacidad. X Nivel 5 La infraestructura de TI y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible. X RECOMENDACIONES Para el proceso DS3 de COBIT estable los siguientes objetivos de control: • Establecer métricas de desempeño y evaluación de la capacidad. • Realizar revisiones de forma periódica la demanda del negocio con menor costo. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares. En el Largo Plazo: • Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI
DOMINIO: MONITOREAR Y EVALUAR ME1: Monitorear y Evaluar el Desempeño de TI NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce. X GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel 2. OBJETIVOS NO CUMPLIDOS • Poder identificar los procesos estándares de evaluación. • Integrar todos los procesos y proyectos de TI. Nivel 1 No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos. X Nivel 2 La interpretación de los resultados de monitoreo se basa en la experiencia de individuos clave. X Nivel 3 Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales. X Nivel 4 Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados. X Nivel 5 Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño y están integrados en los marcos de trabajo estratégicos, tales como el Balanced Scorecard. X RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control: • Definir un método de monitoreo como Balance Scorecard. • Evaluar el desempeño comparándolo periódicamente con las metas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo: • Identificar e iniciar medidas correctivas sobre el desempeño de TI.
DOMINIO: MONITOREAR Y EVALUAR ME2: Monitorear y Evaluar el Control Interno NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel0 Los métodos de reporte de control interno gerenciales no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI. X GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Establecer los procesos para la evaluación y aseguramiento del control interno. • Utilizar herramientas integradas para la detección del control interno de TI. Nivel 1 La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos. X Nivel 2 La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad delo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en un plan. X Nivel 3 Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. X Nivel 4 Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección. X Nivel 5 La organización utiliza herramientas integradas y actualizadas, donde es apropiado que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI. X RECOMENDACIONES Para el proceso ME2 de COBIT estable los siguientes objetivos de control: • Monitorear el marco de trabajo de control interno de forma continua. • Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI. En el Largo Plazo: • Identificar e iniciar medidas correctivas sobre el desempeño de TI.
DOMINIO: MONITOREAR Y EVALUAR ME3: Garantizar el Cumplimiento Regulatorio NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales. X GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Brindar capacitación sobre requisitos legales y regulatorios externos. • Conocer los requerimientos aplicables, como la solución de nuevas necesidades. Nivel 1 Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones. X Nivel 2 Existe un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. X Nivel 3 Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos. X Nivel 4 Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. X Nivel 5 Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones. X RECOMENDACIONES Para el proceso ME3 de COBIT estable los siguientes objetivos de control: • Integrar los reporte de TI sobre el cumplimiento regulatorio. • Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de políticas, y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. En el Largo Plazo: • Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
2.2.2. Reporte general de los grados de madurez DOMINIO PROCESO NIVEL Planificar y organizar Definir el Plan Estratégico de tecnología de la información 4 Definir la Arquitectura de la Información. 3 Determinar la Dirección Tecnológica 1 Definir los Procesos, la Organización y las Relaciones TI 2 Administrar la inversión de TI 4 Adquirir e Implementar Identificar Soluciones Automatizadas 1 Adquirir y Mantener Software Aplicativo 2 Adquirir y Mantener Infraestructura Tecnológica 1 Entregar y dar Soporte Definir y Administrar los Niveles de Servicio 2 Administrar los Servicios de Terceros 3 Administrar el Desempeño y la Capacidad 2 Monitorear y Evaluar Monitorear y Evaluar el Desempeño de TI 2 Monitorear y Evaluar el Control Interno 3 Garantizar el Cumplimiento Regulatorio 1 CAPITULO III ANALISIS DE LOS RESULTADOS 3.2. Informe Ejecutivo Se detallaran los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1, siendo evaluados en la empresa Ekipa, C.A Los criterios de información se encuentran en el siguiente porcentaje, todos sobre 100% EFECTIVIDAD DEFICIENCIA
Efectividad La efectividad consiste en que la información relevante sea entregada en forma oportuna, correcta y utilizable, este criterio tiene un promedio 47.66% EFICIENCIA DEFICIENCIA Eficiencia La eficiencia consiste en que la información debe ser generada utilizando los recursos, este criterio tiene un promedio de 51.59% CONFIDENCIALIDAD DEFICIENCIA Confidencialidad Consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio de 35,06% INTEGRIDAD DEFICIENCIA
Integridad Consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio de 35% DISPONIBILIDAD DEFICIENCIA Disponibilidad Consiste en que la información requerida esté disponible por parte de las aéreas del negocio en cualquier momento este criterio tiene un promedio de 32,96% CUMPLIMIENTO DEFICIENCIA Cumplimiento El cumplimiento consiste en que se deben respetar las leyes, reglamentos y acuerdos contractuales, a lo que está sujeto el proceso del negocio, como políticas in ternas, este criterio tiene un promedio de 52,05% CONFIABILIDAD DEFICIENCIA Confiabilidad Consiste en que se debe respetar proporcionar información, con el fin de que la gerencia general administre la entidad, este criterio tiene un promedio del 47,50%
A continuación analizamos cada unos de los criterios de la información • Efectividad: para este criterio de información se obtuvo un porcentaje de 47.76% sobre 100%, es decir que la información que es importante para la empresa Ekipa, C.A, tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente y veraz • Eficiencia: para este criterio de información se obtuvo un porcentaje de 49,59% sobre 100%, es decir que la información que debe generar el uso optimo de los recursos de Ekipa, C.A, tiene un porcentaje de 49,59% • Confidencialidad: para este criterio de información se obtuvo un porcentaje de 39.03%% sobre 100%, es decir que la protección de la información de Ekipa, C.A, para que esta no sea divulgada a personas o sectores extraños tiene un porcentaje • Integridad: para este criterio de información se obtuvo un porcentaje de 35.05% sobre 100%, es decir que la distribución de la información exacta y correcta, así como su validez con las expectativas de Ekipa, C.A • Disponibilidad: para este criterio de información se obtuvo un porcentaje de 32.96% sobre 100%, es decir que la accesibilidad de la información cuando esta sea requerida en los procesos del negocio, y la salvaguarda de los recursos y capacidades asociadas a la misma Ekipa, C.A, • Cumplimiento: para este criterio de información se obtuvo un porcentaje de 51.93% sobre 100%, es decir que el cumplimiento de las leyes, regulaciones y compromisos contractuales con los cuales está comprometido Ekipa, C.A. • Confiabilidad: para este criterio de información se obtuvo un porcentaje de 50.97% sobre 100%, es decir proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa.
CAPITULO IV CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES Como resultado del trabajo presentado, se concluye que la metodología COBIT 4.1, nos permite adaptarla a cualquier empresa, sin importar su actividad o tamaño, permitiendo realizar una implementación gradual y progresiva acorde a los recursos disponibles y acoplado a la estrategia empresarial. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI, en Ekipa, C.A. Adicionalmente se ha dado un conjunto de normas que pueden ayudar a alinear TI con la empresa, identificando riesgos, gestionando recursos y midiendo el desempeño, así como el nivel de madurez de cada uno de los procesos de la empresa EKIPA, CA. Tanto los gerentes como los usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia favorece a todos los empleados a entender su sistema de TI, de igual forma a decidir el sistema de seguridad y control para proteger los activos como: información, hardware, software, entre otros de Ekipa, C.A, mediante un modelo de desarrollo. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
RECOMENDACIONES • Se deben realizar manuales de funciones, para todos los puestos de trabajo y sus determinadas funciones. • Realizar manuales de procedimientos, para que todos los empleados puedan identificar cuáles son las actividades que deben realizar de acuerdo a su puesto y funciones. • Realizar evaluaciones de desempeño para evitar problemas con el personal y así corregir las fallas existentes. • Se debe adecuar las instalaciones del área de informática para poder tener los respaldos y la seguridad al momento de cualquier amenaza. • Proporcionar un entrenamiento al personal de respaldo con la finalidad de solucionar posibles ausencias.
GLOSARIO Auditoría Informática: Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. COBIT: (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologías de la información así como su control. Madurez: Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa.
REFERENCIAS BIBLIOGRAFIAS • Auditoria informática. Disponible en: http://es.wikipedia.org/wiki/Auditor% C3%ADa_inform%C3%A1tica Fecha de Consulta: 27/07/2013 • Cobit. Disponible en: http://www.slideshare.net/mausinho/resumen-de-cobit- 41trabajo-de-grupo-8994946 Fecha de Consulta: 27/07/2013 • Madurez. Disponible en: http://auditordesistemas.blogspot.com/ • Fecha de Consulta: 27/07/2013
ANEXOS
Metodología Cobit Anexo B
Anexo A
Cuestionario Cuestionario de Auditoría correspondiente al funcionamiento del Área de Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios? SI ( ) NO ( ) ¿Son funcionales los muebles asignados para los equipos de cómputo? SI ( ) NO ( ) B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿La empresa Ekipa C.A, cuenta con extintores de fuego? SI ( ) NO ( ) ¿Existe salida de emergencia? SI ( ) NO ( ) ¿Existe alarma para detectar fuego (calor o humo) en forma automática? SI ( ) NO ( ) ¿Existen una persona responsable de la seguridad? SI ( ) NO ( ) El lugar donde se encuentra la empresa Ekipa C.A, está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( ) Cuestionario de Auditoria en Comunicaciones y Redes: 1. ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? 2. ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 3. ¿Existen protocolos de comunicaron establecida?
4. ¿Existe un plan de infraestructura de redes? 5. ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?

Recomendados

Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 
COBIT 4 - Me2
COBIT 4 - Me2COBIT 4 - Me2
COBIT 4 - Me2gladysroxana
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaALBERTH_ABREU
 
Trabajo final auditoría
Trabajo final auditoríaTrabajo final auditoría
Trabajo final auditoríamitcheljrn
 
Final De Auditoria
Final De AuditoriaFinal De Auditoria
Final De Auditoriabrenda carolina
 
Metodologia y fases de auditoria
Metodologia y fases de auditoriaMetodologia y fases de auditoria
Metodologia y fases de auditoriaaslinag
 
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemascarlos
 

Recomendados

Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 
COBIT 4 - Me2
COBIT 4 - Me2COBIT 4 - Me2
COBIT 4 - Me2gladysroxana
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaALBERTH_ABREU
 
Trabajo final auditoría
Trabajo final auditoríaTrabajo final auditoría
Trabajo final auditoríamitcheljrn
 
Final De Auditoria
Final De AuditoriaFinal De Auditoria
Final De Auditoriabrenda carolina
 
Metodologia y fases de auditoria
Metodologia y fases de auditoriaMetodologia y fases de auditoria
Metodologia y fases de auditoriaaslinag
 
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemascarlos
 
Auditoria de Sistema de Notas
Auditoria de Sistema de NotasAuditoria de Sistema de Notas
Auditoria de Sistema de NotasElmer Alexander Granados Maradiaga
 
Presentacion pasantias
Presentacion pasantiasPresentacion pasantias
Presentacion pasantiasluis_6_diaz
 
Centro computo
Centro computo Centro computo
Centro computo kmiloguitar
 
018134 cap5
018134 cap5018134 cap5
018134 cap5Jorgito Sumba
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesToli Rozas Cordova
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAddin Palencia Morales
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informaticaLeonel Ibarra
 
Presentacion pasantias final ingenie
Presentacion pasantias final ingeniePresentacion pasantias final ingenie
Presentacion pasantias final ingenieIngeniero Jairo Segura
 
informe de pasantias
informe de pasantiasinforme de pasantias
informe de pasantiasnatachameza22
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05rennycastillo
 
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)arkangel8801
 
Presentación tesis
Presentación tesisPresentación tesis
Presentación tesisangelbecerra56
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
Pasantia
PasantiaPasantia
PasantiaJuan David Ceron
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
06 caracterizacion talento humano
06 caracterizacion talento humano06 caracterizacion talento humano
06 caracterizacion talento humanobuenasnuevascbi
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionJUNJI - Junta Nacional de Jardines Infantiles
 
Proyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliberProyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliberPati Razo
 
Proyecto Auditoria De Sistemas
Proyecto Auditoria De SistemasProyecto Auditoria De Sistemas
Proyecto Auditoria De Sistemaskaren figueroa hrderera
 
Proyecto auditoria JM-RA
Proyecto auditoria JM-RAProyecto auditoria JM-RA
Proyecto auditoria JM-RAjuankm91
 
Presentación de proyecto hugo prado
Presentación de proyecto hugo pradoPresentación de proyecto hugo prado
Presentación de proyecto hugo pradopradohu
 

Mais conteúdo relacionado

Mais procurados

Presentacion pasantias
Presentacion pasantiasPresentacion pasantias
Presentacion pasantiasluis_6_diaz
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesToli Rozas Cordova
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAddin Palencia Morales
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informaticaLeonel Ibarra
 
informe de pasantias
informe de pasantiasinforme de pasantias
informe de pasantiasnatachameza22
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05rennycastillo
 
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)arkangel8801
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
06 caracterizacion talento humano
06 caracterizacion talento humano06 caracterizacion talento humano
06 caracterizacion talento humanobuenasnuevascbi
 

Mais procurados (17)

Auditoria de Sistema de Notas
Auditoria de Sistema de NotasAuditoria de Sistema de Notas
Auditoria de Sistema de Notas
 
Presentacion pasantias
Presentacion pasantiasPresentacion pasantias
Presentacion pasantias
 
Centro computo
Centro computo Centro computo
Centro computo
 
018134 cap5
018134 cap5018134 cap5
018134 cap5
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redes
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moquegua
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)
 
Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informatica
 
Presentacion pasantias final ingenie
Presentacion pasantias final ingeniePresentacion pasantias final ingenie
Presentacion pasantias final ingenie
 
informe de pasantias
informe de pasantiasinforme de pasantias
informe de pasantias
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05
 
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
Ejemplo Caso Pratico Ati (Falta Lo De Auditoria Tec. No Esta Traducido)
 
Presentación tesis
Presentación tesisPresentación tesis
Presentación tesis
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria Informatica
 
Pasantia
PasantiaPasantia
Pasantia
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
06 caracterizacion talento humano
06 caracterizacion talento humano06 caracterizacion talento humano
06 caracterizacion talento humano
 

Destaque

Proyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliberProyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliberPati Razo
 
Proyecto auditoria JM-RA
Proyecto auditoria JM-RAProyecto auditoria JM-RA
Proyecto auditoria JM-RAjuankm91
 
Presentación de proyecto hugo prado
Presentación de proyecto hugo pradoPresentación de proyecto hugo prado
Presentación de proyecto hugo pradopradohu
 
Evitar cortocircuitos y sobrecargas
Evitar cortocircuitos y sobrecargasEvitar cortocircuitos y sobrecargas
Evitar cortocircuitos y sobrecargasjzgeorge
 
Manual de Orientação ao Expositor Hortifruti 2014
Manual de Orientação ao Expositor Hortifruti 2014Manual de Orientação ao Expositor Hortifruti 2014
Manual de Orientação ao Expositor Hortifruti 2014WebPJ
 
Memoria electricas cusco
Memoria electricas cuscoMemoria electricas cusco
Memoria electricas cuscoRaul Bernardo
 
4 indices y marcas de auditoria
4 indices y marcas de auditoria4 indices y marcas de auditoria
4 indices y marcas de auditoria600582
 
Contenido del modelo informe de pasantias IUTAJS
Contenido del modelo informe de pasantias IUTAJSContenido del modelo informe de pasantias IUTAJS
Contenido del modelo informe de pasantias IUTAJSMabel Apa
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosVidal Oved
 
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas en
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas enNom 029-stps-2011, mantenimiento de las instalaciones eléctricas en
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas enÍiamyy EzCkiivel
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
 
EJEMPLO DE Peritaje contable judicial
EJEMPLO DE Peritaje contable judicialEJEMPLO DE Peritaje contable judicial
EJEMPLO DE Peritaje contable judicial80521
 

Destaque (20)

Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
Proyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliberProyecto final a icastillo de la garza aliber
Proyecto final a icastillo de la garza aliber
 
Proyecto Auditoria De Sistemas
Proyecto Auditoria De SistemasProyecto Auditoria De Sistemas
Proyecto Auditoria De Sistemas
 
Proyecto auditoria JM-RA
Proyecto auditoria JM-RAProyecto auditoria JM-RA
Proyecto auditoria JM-RA
 
Presentación de proyecto hugo prado
Presentación de proyecto hugo pradoPresentación de proyecto hugo prado
Presentación de proyecto hugo prado
 
Instalaciones electricas
Instalaciones electricasInstalaciones electricas
Instalaciones electricas
 
Evitar cortocircuitos y sobrecargas
Evitar cortocircuitos y sobrecargasEvitar cortocircuitos y sobrecargas
Evitar cortocircuitos y sobrecargas
 
INSTALACIONES ELÉCTRICAS
INSTALACIONES ELÉCTRICASINSTALACIONES ELÉCTRICAS
INSTALACIONES ELÉCTRICAS
 
Manual de Orientação ao Expositor Hortifruti 2014
Manual de Orientação ao Expositor Hortifruti 2014Manual de Orientação ao Expositor Hortifruti 2014
Manual de Orientação ao Expositor Hortifruti 2014
 
Md inst electricas
Md inst electricasMd inst electricas
Md inst electricas
 
Memoria electricas cusco
Memoria electricas cuscoMemoria electricas cusco
Memoria electricas cusco
 
4 indices y marcas de auditoria
4 indices y marcas de auditoria4 indices y marcas de auditoria
4 indices y marcas de auditoria
 
Prevención de incendios de origen eléctrico en centros de trabajo (Webinar IC...
Prevención de incendios de origen eléctrico en centros de trabajo (Webinar IC...Prevención de incendios de origen eléctrico en centros de trabajo (Webinar IC...
Prevención de incendios de origen eléctrico en centros de trabajo (Webinar IC...
 
Contenido del modelo informe de pasantias IUTAJS
Contenido del modelo informe de pasantias IUTAJSContenido del modelo informe de pasantias IUTAJS
Contenido del modelo informe de pasantias IUTAJS
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas Informaticos
 
Expediente individual del trabajador
Expediente individual del trabajadorExpediente individual del trabajador
Expediente individual del trabajador
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas en
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas enNom 029-stps-2011, mantenimiento de las instalaciones eléctricas en
Nom 029-stps-2011, mantenimiento de las instalaciones eléctricas en
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
 
EJEMPLO DE Peritaje contable judicial
EJEMPLO DE Peritaje contable judicialEJEMPLO DE Peritaje contable judicial
EJEMPLO DE Peritaje contable judicial
 

Semelhante a Auditoría TI Ekipa C.A usando COBIT

F2.Ruiz.Najera.Estefania.Balanced Scorecard
F2.Ruiz.Najera.Estefania.Balanced ScorecardF2.Ruiz.Najera.Estefania.Balanced Scorecard
F2.Ruiz.Najera.Estefania.Balanced Scorecardsebasyestefy2016
 
Capacitacion personal
Capacitacion personalCapacitacion personal
Capacitacion personalVeruska28
 
179993766 calidad-en-la-construccion (1)
179993766 calidad-en-la-construccion (1)179993766 calidad-en-la-construccion (1)
179993766 calidad-en-la-construccion (1)Lovera Paola
 
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA Jose Antonio Peña Seminario
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foodsdaylisyfran
 
Proyecto Integrador Nivel I
Proyecto Integrador Nivel IProyecto Integrador Nivel I
Proyecto Integrador Nivel Iguest4ac5a34
 
Sige u3-plan-estrategico-ti-si final
Sige u3-plan-estrategico-ti-si finalSige u3-plan-estrategico-ti-si final
Sige u3-plan-estrategico-ti-si finalMinase Ataordo
 
Planeación-Cuestionario por Leslie Karelia Rodríguez Sibaja
Planeación-Cuestionario por Leslie Karelia Rodríguez SibajaPlaneación-Cuestionario por Leslie Karelia Rodríguez Sibaja
Planeación-Cuestionario por Leslie Karelia Rodríguez SibajaLeslie Karelia Rodriguez Sibaja
 
REPORTE DE DIAGNOSTICO DE NECESIDADES
REPORTE DE DIAGNOSTICO DE NECESIDADESREPORTE DE DIAGNOSTICO DE NECESIDADES
REPORTE DE DIAGNOSTICO DE NECESIDADESvalinis
 
Importancia sistemas informacion en las organizaciones
Importancia sistemas informacion en las organizacionesImportancia sistemas informacion en las organizaciones
Importancia sistemas informacion en las organizacionesLeonardo Salgado Gonzalez
 
Diapos de informatik terminado
Diapos de informatik terminadoDiapos de informatik terminado
Diapos de informatik terminadoGUIMY2015
 
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERAS
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERASBUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERAS
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERASTBL The Bottom Line
 
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...dannyjrme
 
Presentación tesis final pdf
Presentación tesis final pdfPresentación tesis final pdf
Presentación tesis final pdfAleafrank5
 

Semelhante a Auditoría TI Ekipa C.A usando COBIT (20)

F2.Ruiz.Najera.Estefania.Balanced Scorecard
F2.Ruiz.Najera.Estefania.Balanced ScorecardF2.Ruiz.Najera.Estefania.Balanced Scorecard
F2.Ruiz.Najera.Estefania.Balanced Scorecard
 
Plan Estratégico
Plan EstratégicoPlan Estratégico
Plan Estratégico
 
Clase IX - BSC (Financiera y Cliente).pdf
Clase IX - BSC (Financiera y Cliente).pdfClase IX - BSC (Financiera y Cliente).pdf
Clase IX - BSC (Financiera y Cliente).pdf
 
Capacitacion personal
Capacitacion personalCapacitacion personal
Capacitacion personal
 
Universidad la salle presentacion examen de grado
Universidad la salle presentacion examen de gradoUniversidad la salle presentacion examen de grado
Universidad la salle presentacion examen de grado
 
179993766 calidad-en-la-construccion (1)
179993766 calidad-en-la-construccion (1)179993766 calidad-en-la-construccion (1)
179993766 calidad-en-la-construccion (1)
 
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA
MEJORA DE PROCESOS DE NEGOCIOS CON UN GOBIERNO DE TECNOLOGIA INFORMATICA
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foods
 
Proyecto Integrador Nivel I
Proyecto Integrador Nivel IProyecto Integrador Nivel I
Proyecto Integrador Nivel I
 
Sige u3-plan-estrategico-ti-si final
Sige u3-plan-estrategico-ti-si finalSige u3-plan-estrategico-ti-si final
Sige u3-plan-estrategico-ti-si final
 
Lectura 3
Lectura 3Lectura 3
Lectura 3
 
2020 Retos del CFO
2020 Retos del CFO2020 Retos del CFO
2020 Retos del CFO
 
Planeación-Cuestionario por Leslie Karelia Rodríguez Sibaja
Planeación-Cuestionario por Leslie Karelia Rodríguez SibajaPlaneación-Cuestionario por Leslie Karelia Rodríguez Sibaja
Planeación-Cuestionario por Leslie Karelia Rodríguez Sibaja
 
Sistemas de información ii parte
Sistemas de información ii parteSistemas de información ii parte
Sistemas de información ii parte
 
REPORTE DE DIAGNOSTICO DE NECESIDADES
REPORTE DE DIAGNOSTICO DE NECESIDADESREPORTE DE DIAGNOSTICO DE NECESIDADES
REPORTE DE DIAGNOSTICO DE NECESIDADES
 
Importancia sistemas informacion en las organizaciones
Importancia sistemas informacion en las organizacionesImportancia sistemas informacion en las organizaciones
Importancia sistemas informacion en las organizaciones
 
Diapos de informatik terminado
Diapos de informatik terminadoDiapos de informatik terminado
Diapos de informatik terminado
 
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERAS
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERASBUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERAS
BUSINESS INTELLIGENCE APLICADO A LA TOMA DE DECISIONES FINANCIERAS
 
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...
POLÍTICAS DE CONTROL INTERNO PARA SU APLICACIÓN EN EL REGISTRO DE LAS COMPRAS...
 
Presentación tesis final pdf
Presentación tesis final pdfPresentación tesis final pdf
Presentación tesis final pdf
 

Último

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Último (13)

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Auditoría TI Ekipa C.A usando COBIT

  • 1. REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN – PORLAMAR PROYECTO: APLICACIÓN DE UNA AUDITORIA INFORMATICA EN LA EMPRESA EKIPA C.A Autores: Br. Moisés Peña. C.I: 18.399.949 Br. Ricardo Paruta. C.I: 19.116.452 Br. Néstor Casas. C.I: 22.998.167 Porlamar, Julio 2013
  • 2. INTRODUCCIÓN Los sistemas de información en la actualidad constituyen para las organizaciones y empresas, un campo esencial, por esta razón es que todo el recurso humano que se desempeña en una organización debe comprender los sistemas de información, desde un entendimiento básico algunas personas hasta un entendimiento profundo, ya que esto permitirá el buen desarrollo de la organización. Los sistemas de información representan un área principal para las actividades de contabilidad, administración, mercadeo. Igualmente representan un gran apoyo en la productividad, la presentación del servicio y la satisfacción del cliente. Lo que permite una ventaja estratégica en el mercado en el cual se desenvuelve la empresa. Considerando la importancia de los sistemas de informática, se estima pertinente la realización de una auditoria informática en la empresa Ekipa C.A, con el propósito de cumplir con los requerimientos presentes y estipular los beneficios para administrar los riesgos eficientemente. Utilizando como modelo de referencia la metodología COBIT 4.1, a través de la evaluación de 34 procesos definido por esta metodología, agrupados en 4 dominios que son: planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar, estos procesos son ubicados en los procesos de madurez para luego exponer las recomendaciones dadas por COBIT 4.1. Con la realización de esta investigación se busca la solución de problemas y alcanzar la máxima satisfacción de los clientes, con el uso adecuado de los recursos tecnológicos y humanos que posee que posee la empresa Ekipa C.A.
  • 3. CAPITULO I GENERALIDADES DE LA EMPRESA 1.1. Caracterización de la empresa 1.1.1 Naturaleza de la empresa El 17 de Mayo del 2005 nace EKIPA C.A en el estado Nueva Esparta para brindar un servicio de calidad y excelencia al estado que de acuerdo a la necesidad existente dentro del ente buscando lograr la competitividad y reconocimiento. Lo más resaltante es haber apostado por el negocio de venta de artículos de remodelaciones para el hogar, camping, ferretería entre otros logrando así su reconocimiento en el mercado. 1.1.2. Ubicación de Ekipa C.A: Av. Aldonza Manrique Entrada Playa el Ángel CC Rattan Plaza Pampatar Estado Nueva Esparta Zona Postal 6316 1.1.3. Misión Ofrecer la mejor variedad, calidad y productos en soluciones para la construcción y el hogar, bajo el concepto de autoservicio en un ambiente confortable. 1.1.4. Visión Ser reconocidos en nuestro ramo como la mejor solución a nuestros clientes en la región. 1.1.5. Objetivos estratégicos Agilizar el proceso de registro de artículos nuevos. Disminuir el tiempo invertido en la búsqueda de artículos creados, ya sea para actualizarlos. Mejora la calidad del trabajo que se realiza, porque el personal tendrá más facilidad para realizar sus labores. Evita el riesgo de pérdida de los datos.
  • 4. Se pueden eliminar la gran cantidad de datos que se presenta en el entorno. Se puede almacenar una gran cantidad de datos. 1.1.5.1. Análisis foda OPORTUNIDADES AMENAZAS • Nivel de tecnología de punta. • Instalaciones para la formación Profesional. • Capacitación y desarrollo del personal. • Rotación del personal. • Bajo presupuesto de gastos asignados. • Inestabilidad gerencial dentro de la empresa. FORTALEZAS DEBILIDADES • Dominio del programa por parte del personal. • Experiencia en el desarrollo del trabajo. • Disponibilidad de fondos internos. • Capacidad de adaptación al trabajo bajo presión. • Falta de planeación de los trabajos. • Bajo nivel de remuneración. • Inefectiva preparación del personal. • Escaso nivel profesional en el personal. 1.1.5.2. Metas organizacionales Abastecimiento de las aéreas de la organización según sus necesidades. Realizar la capacitación a todo el personal que labora dentro de la organización para así tener atención de calidad. 1.1.6. Organigrama de la empresa Ver anexo A
  • 5. 1.1.6.1. Descripción de la gerencia y áreas. Gerencia general: tiene como propósito dirigir, organizar y coordinar el desarrollo de los procesos y actividades diarias de acuerdo con sus políticas. Área de negocios: encargada de planificar y verificar los procesos de compra venta como también la recepción en el área de almacén. Área administrativa: se encarga de velar por una adecuada organización que la administración sea eficiente en el uso de bienes y el recurso humano de la organización en general. Área de informática: encargada de coordinar los servicios informáticos, tiene que estar subdividida para así ser más específicos al momento de las comunicaciones. 1.2. Metodología Cobit: Ver anexo B 1.2.1 Modelo de madurez El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es evaluar el nivel de adherencia a los objetivos de control. Los niveles de madurez están diseñados como perfiles de procesos de TI que una organización reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de COBIT, a
  • 6. diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud. La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y cómo? Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a través de: Modelos de madurez que facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad. Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado. Metas de actividades para facilitar el desempeño efectivo de los procesos. Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información. Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas: ¿Qué está haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? ¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas? Con base en estas comparaciones, ¿se puede decir que estamos haciendo lo suficiente? Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido, como se muestra en el ejemplo gráfico siguiente:
  • 7. 1.2.2. Auditoria de tics aplicando COBIT 1.2.2.1 Área a auditar La Auditoría realizada por el equipo, será en el Área de Informática de “EKIPA C.A”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “EKIPA C.A”. 1.2.2.2. Proceso de recolección de información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “EKIPA C.A”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más específico. 1.2.2.3. Documentos de gestión en el área de informática Actualmente “EKIPA C.A” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son: Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la auditoria en el área de informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:
  • 8. N° ACTIVIDADES 1 Observación General del Área de Informática. 2 Entrevistas a los trabajadores del Área de Informática. 3 Analizar con que documentos de Gestión y Técnicos cuentas 4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario. 5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. 6 Evaluar las tecnologías de información (TI), tanto en hardware como en software. 7 Evaluación de la seguridad física, lógica y de redes. 1.2.2.5 Herramientas y técnicas Herramientas Técnicas Cuaderno, lapicero, laptop, Microsoft office 2010, entre otros Observación, entrevistas y cuestionarios 1.2.2.6. Motivo o necesidad de la auditoria • Síntomas de mala imagen e insatisfacción de los usuarios. • Síntomas de Inseguridad. • Síntomas de descoordinación y desorganización 1.2.2.7 Modelos de madurez a nivel cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto
  • 9. en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos. Ver anexo C Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla. Promedio de Impactos, fuente COBIT 4.1 Capítulo II: EJECUCION DE LA AUDITORIA 2.1. Situación actual del área de sistemas • Recomendar la adquisición de hardware, software básico y de aplicación conveniente y necesaria. • Ejecutar y actualizar el plan estratégico del sistema de información, según los requerimientos del área conjunto con la gerencia general. • Proporcionar seguridad tanto lógica y física del hardware y redes. • Mantener el inventario del área actualizado para así tener buen control del departamento. CALIFICACIÓN IMPACTO PROMEDIO 15% 50% BAJO 32 51% 75% MEDIO 63 76% 95% ALTO 86
  • 10. 2.1.2. Organigrama del departamento 2.1.3. Seguridad del departamento • Tener sistema contra incendios y la capacitación adecuada para el manejo de los mismos. • Contar con buen espacio para la ubicación de los servidores y con seguridad. • Contar con las licencias de los sistemas operativos para que todo sea legal. • Tener programado el respaldo que trae el sistema operativo con respecto a la base de datos. • Restringir el acceso al sistema de información y al servidor para que la data no sea adulterada
  • 11. 2.2. Aplicación de la auditoria 2.2.1. Modelo de madurez de los procesos DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información NIVEL DE MADUREZ CUMPLE NOCUMPLE OBSERVACIONES Nivel 0 No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. X GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología de la Información está en el nivel de madurez 4. Nivel 1 La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia. X Nivel 2 Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. X Nivel 3 La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. X Nivel 4 Existen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas X Nivel 5 Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio. X RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control: • Planes a largo plazo de TI. • Tomar decisiones estratégicas. • Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “EKIPA C.A” En el Largo Plazo: • Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
  • 12. DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 El conocimiento, la experiencia y las responsabilidades necesarias para el desarrollo de esta arquitectura no existen en la organización. X GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información. • Aprovechar las habilidades personales para la construcción de la arquitectura de la información. Nivel 1 La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre de manera ad hoc. X Nivel 2 Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. X Nivel 3 Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. X Nivel 4 El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio. X Nivel 5 El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio. X RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: • Desarrollar y mantener la arquitectura de la información. • Tener en claro la definición del proceso de la arquitectura de la información. • Ser partícipe de la construcción de la arquitectura de la información para incrementar sus habilidades. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital. En el Largo Plazo: • Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.
  • 13. DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversión de TI NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 No existe conciencia de la importancia de la selección y presupuesto de las inversiones en TI. X GRADO DE MADUREZ El proceso de Administrar la Inversión de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS • Utilizar las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Nivel 1 La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente. X Nivel 2 Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. X Nivel 3 El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados. X Nivel 4 La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven. X Nivel 5 Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones. X RECOMENDACIONES Para el proceso PO5 de COBIT estable los siguientes objetivos de control: • Reconocer la necesidad de administrar la inversión en TI. • Utilizar las mejores prácticas para la evaluación de costos de inversión. • Documentar y formalizar el presupuesto en TI. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. En el Largo Plazo: • Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
  • 14. DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas NIVEL DE MADUREZ CUMPLE NO OBSERVACIONES Nivel 0 La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas, servicios, infraestructura y datos. X GRADO DE MADUREZ El proceso de identificar Soluciones Automatizadas está en nivel1. OBJETIVOS NO CUMPLIDOS • Determinar el proceso para la solución de TI, según la exigencia del negocio. • Documentación de los proyectos realizados. Nivel 1 Existe una investigación o análisis estructurado mínimo de la tecnología disponible X Nivel 2 El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable. X Nivel 3 El proceso para determinar soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio X Nivel 4 La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. X Nivel 5 La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas. X RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control: • Soportar la metodología de TI en base de datos. • Determinar los procesos para las soluciones de TI. • Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.
  • 15. DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Típicamente, las aplicaciones se logran con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal deTI cn productos específicos, considerando poco o nada los requerimientos actuales. X GRADO DE MADUREZ El proceso de Adquirir y Mantener Software Aplicativo está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones. • Determinar la metodología formal para la documentación del software en uso. Nivel 1 Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento. X Nivel 2 Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI. X Nivel 3 Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. X Nivel 4 Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación. X Nivel 5 El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiante del negocio. X RECOMENDACIONES Para el proceso AI2 de COBIT estable los siguientes objetivos de control: • Asegurar que el software diseñado sea de calidad. • Realizar un diseño detallado, y los requerimientos técnicos del software. • Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo: • Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.
  • 16. DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnológica NIVEL DE MADUREZ CUMPLE NO OBSERVACIONES Nivel 0 No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto. X GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnológica está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Definir una estrategia para la adquisición y mantenimiento de la infraestructura. • Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura. Nivel 1 Se realizan cambios a la infraestructura para cada nueva aplicación sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo. X Nivel 2 La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. X Nivel 3 El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. X Nivel 4 La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo. X Nivel 5 El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con la aplicaciones críticas del negocio y con la arquitectura de la tecnología X RECOMENDACIONES Para el proceso AI3 de COBIT estable los siguientes objetivos de control: • Crear un plan de adquisición de infraestructura tecnológica. • Identificar que necesidades se tiene para adquisición de infraestructura tecnológica. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Crear un plan de adquisición de infraestructura tecnológica. En el Largo Plazo: • Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
  • 17. DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio X GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • No ordenar los procesos de desarrollo por niveles de servicio. • Realizar reportes de servicio de forma completa y relevante Nivel 1 La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicio no está definida. X Nivel 2 Los reportes de los niveles de servicio están incompletos y pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. X Nivel 3 El proceso de desarrollo del acuerdo de niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente. X Nivel 4 La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI. X Nivel 5 Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua. X RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control: • Realizar un portafolio de servicios. • Realizar acuerdos de niveles de servicio. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: •Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio. En el Largo Plazo: • Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
  • 18. DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan. X GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Verificar de forma continua las capacidades del proveedor. • Monitorear e implementar acciones correctivas. Nivel 1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios. X Nivel 2 Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor. X Nivel 3 Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es solo contractual. La naturaleza de los servicios a prestar se detalla en el contrato, incluye requerimientos legales, operacionales y de control. X Nivel 4 Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua. X Nivel 5 Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas. X RECOMENDACIONES Para el proceso DS2 de COBIT estable los siguientes objetivos de control: • Monitorear e implementar acciones correctivas. • Verificar de forma continua las capacidades del proveedor. Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo. En el Largo Plazo: • Mantener acuerdos de confidencialidad con los proveedores.
  • 19. DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeño y la Capacidad NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI del negocio pueden exceder la capacidad. X GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS • Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima. • Pronosticar la capacidad de desempeño y evaluación. Nivel 1 Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas. X Nivel 2 Las necesidades de desempeño se logran por lo general con base en evaluacionesde sistemas individuales y el conocimiento y soporte de equipos de proyecto. X Nivel 3 Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño. X Nivel 4 Hay información actualizada disponible, brindando estadísticas de desempeño y alertando sobre incidentes causados por falta de desempeño o de capacidad. X Nivel 5 La infraestructura de TI y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible. X RECOMENDACIONES Para el proceso DS3 de COBIT estable los siguientes objetivos de control: • Establecer métricas de desempeño y evaluación de la capacidad. • Realizar revisiones de forma periódica la demanda del negocio con menor costo. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares. En el Largo Plazo: • Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI
  • 20. DOMINIO: MONITOREAR Y EVALUAR ME1: Monitorear y Evaluar el Desempeño de TI NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce. X GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel 2. OBJETIVOS NO CUMPLIDOS • Poder identificar los procesos estándares de evaluación. • Integrar todos los procesos y proyectos de TI. Nivel 1 No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos. X Nivel 2 La interpretación de los resultados de monitoreo se basa en la experiencia de individuos clave. X Nivel 3 Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales. X Nivel 4 Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados. X Nivel 5 Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño y están integrados en los marcos de trabajo estratégicos, tales como el Balanced Scorecard. X RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control: • Definir un método de monitoreo como Balance Scorecard. • Evaluar el desempeño comparándolo periódicamente con las metas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo: • Identificar e iniciar medidas correctivas sobre el desempeño de TI.
  • 21. DOMINIO: MONITOREAR Y EVALUAR ME2: Monitorear y Evaluar el Control Interno NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel0 Los métodos de reporte de control interno gerenciales no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI. X GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS • Establecer los procesos para la evaluación y aseguramiento del control interno. • Utilizar herramientas integradas para la detección del control interno de TI. Nivel 1 La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos. X Nivel 2 La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad delo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en un plan. X Nivel 3 Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. X Nivel 4 Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección. X Nivel 5 La organización utiliza herramientas integradas y actualizadas, donde es apropiado que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI. X RECOMENDACIONES Para el proceso ME2 de COBIT estable los siguientes objetivos de control: • Monitorear el marco de trabajo de control interno de forma continua. • Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI. En el Largo Plazo: • Identificar e iniciar medidas correctivas sobre el desempeño de TI.
  • 22. DOMINIO: MONITOREAR Y EVALUAR ME3: Garantizar el Cumplimiento Regulatorio NIVEL DE MADUREZ CUMPLE NO CUMPLE OBSERVACIONES Nivel 0 Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales. X GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Brindar capacitación sobre requisitos legales y regulatorios externos. • Conocer los requerimientos aplicables, como la solución de nuevas necesidades. Nivel 1 Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones. X Nivel 2 Existe un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. X Nivel 3 Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos. X Nivel 4 Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. X Nivel 5 Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones. X RECOMENDACIONES Para el proceso ME3 de COBIT estable los siguientes objetivos de control: • Integrar los reporte de TI sobre el cumplimiento regulatorio. • Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de políticas, y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. En el Largo Plazo: • Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
  • 23. 2.2.2. Reporte general de los grados de madurez DOMINIO PROCESO NIVEL Planificar y organizar Definir el Plan Estratégico de tecnología de la información 4 Definir la Arquitectura de la Información. 3 Determinar la Dirección Tecnológica 1 Definir los Procesos, la Organización y las Relaciones TI 2 Administrar la inversión de TI 4 Adquirir e Implementar Identificar Soluciones Automatizadas 1 Adquirir y Mantener Software Aplicativo 2 Adquirir y Mantener Infraestructura Tecnológica 1 Entregar y dar Soporte Definir y Administrar los Niveles de Servicio 2 Administrar los Servicios de Terceros 3 Administrar el Desempeño y la Capacidad 2 Monitorear y Evaluar Monitorear y Evaluar el Desempeño de TI 2 Monitorear y Evaluar el Control Interno 3 Garantizar el Cumplimiento Regulatorio 1 CAPITULO III ANALISIS DE LOS RESULTADOS 3.2. Informe Ejecutivo Se detallaran los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1, siendo evaluados en la empresa Ekipa, C.A Los criterios de información se encuentran en el siguiente porcentaje, todos sobre 100% EFECTIVIDAD DEFICIENCIA
  • 24. Efectividad La efectividad consiste en que la información relevante sea entregada en forma oportuna, correcta y utilizable, este criterio tiene un promedio 47.66% EFICIENCIA DEFICIENCIA Eficiencia La eficiencia consiste en que la información debe ser generada utilizando los recursos, este criterio tiene un promedio de 51.59% CONFIDENCIALIDAD DEFICIENCIA Confidencialidad Consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio de 35,06% INTEGRIDAD DEFICIENCIA
  • 25. Integridad Consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio de 35% DISPONIBILIDAD DEFICIENCIA Disponibilidad Consiste en que la información requerida esté disponible por parte de las aéreas del negocio en cualquier momento este criterio tiene un promedio de 32,96% CUMPLIMIENTO DEFICIENCIA Cumplimiento El cumplimiento consiste en que se deben respetar las leyes, reglamentos y acuerdos contractuales, a lo que está sujeto el proceso del negocio, como políticas in ternas, este criterio tiene un promedio de 52,05% CONFIABILIDAD DEFICIENCIA Confiabilidad Consiste en que se debe respetar proporcionar información, con el fin de que la gerencia general administre la entidad, este criterio tiene un promedio del 47,50%
  • 26. A continuación analizamos cada unos de los criterios de la información • Efectividad: para este criterio de información se obtuvo un porcentaje de 47.76% sobre 100%, es decir que la información que es importante para la empresa Ekipa, C.A, tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente y veraz • Eficiencia: para este criterio de información se obtuvo un porcentaje de 49,59% sobre 100%, es decir que la información que debe generar el uso optimo de los recursos de Ekipa, C.A, tiene un porcentaje de 49,59% • Confidencialidad: para este criterio de información se obtuvo un porcentaje de 39.03%% sobre 100%, es decir que la protección de la información de Ekipa, C.A, para que esta no sea divulgada a personas o sectores extraños tiene un porcentaje • Integridad: para este criterio de información se obtuvo un porcentaje de 35.05% sobre 100%, es decir que la distribución de la información exacta y correcta, así como su validez con las expectativas de Ekipa, C.A • Disponibilidad: para este criterio de información se obtuvo un porcentaje de 32.96% sobre 100%, es decir que la accesibilidad de la información cuando esta sea requerida en los procesos del negocio, y la salvaguarda de los recursos y capacidades asociadas a la misma Ekipa, C.A, • Cumplimiento: para este criterio de información se obtuvo un porcentaje de 51.93% sobre 100%, es decir que el cumplimiento de las leyes, regulaciones y compromisos contractuales con los cuales está comprometido Ekipa, C.A. • Confiabilidad: para este criterio de información se obtuvo un porcentaje de 50.97% sobre 100%, es decir proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa.
  • 27. CAPITULO IV CONCLUSIONES Y RECOMENDACIONES
  • 28. CONCLUSIONES Como resultado del trabajo presentado, se concluye que la metodología COBIT 4.1, nos permite adaptarla a cualquier empresa, sin importar su actividad o tamaño, permitiendo realizar una implementación gradual y progresiva acorde a los recursos disponibles y acoplado a la estrategia empresarial. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI, en Ekipa, C.A. Adicionalmente se ha dado un conjunto de normas que pueden ayudar a alinear TI con la empresa, identificando riesgos, gestionando recursos y midiendo el desempeño, así como el nivel de madurez de cada uno de los procesos de la empresa EKIPA, CA. Tanto los gerentes como los usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia favorece a todos los empleados a entender su sistema de TI, de igual forma a decidir el sistema de seguridad y control para proteger los activos como: información, hardware, software, entre otros de Ekipa, C.A, mediante un modelo de desarrollo. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
  • 29. RECOMENDACIONES • Se deben realizar manuales de funciones, para todos los puestos de trabajo y sus determinadas funciones. • Realizar manuales de procedimientos, para que todos los empleados puedan identificar cuáles son las actividades que deben realizar de acuerdo a su puesto y funciones. • Realizar evaluaciones de desempeño para evitar problemas con el personal y así corregir las fallas existentes. • Se debe adecuar las instalaciones del área de informática para poder tener los respaldos y la seguridad al momento de cualquier amenaza. • Proporcionar un entrenamiento al personal de respaldo con la finalidad de solucionar posibles ausencias.
  • 30. GLOSARIO Auditoría Informática: Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. COBIT: (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologías de la información así como su control. Madurez: Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa.
  • 31. REFERENCIAS BIBLIOGRAFIAS • Auditoria informática. Disponible en: http://es.wikipedia.org/wiki/Auditor% C3%ADa_inform%C3%A1tica Fecha de Consulta: 27/07/2013 • Cobit. Disponible en: http://www.slideshare.net/mausinho/resumen-de-cobit- 41trabajo-de-grupo-8994946 Fecha de Consulta: 27/07/2013 • Madurez. Disponible en: http://auditordesistemas.blogspot.com/ • Fecha de Consulta: 27/07/2013
  • 35. Cuestionario Cuestionario de Auditoría correspondiente al funcionamiento del Área de Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios? SI ( ) NO ( ) ¿Son funcionales los muebles asignados para los equipos de cómputo? SI ( ) NO ( ) B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿La empresa Ekipa C.A, cuenta con extintores de fuego? SI ( ) NO ( ) ¿Existe salida de emergencia? SI ( ) NO ( ) ¿Existe alarma para detectar fuego (calor o humo) en forma automática? SI ( ) NO ( ) ¿Existen una persona responsable de la seguridad? SI ( ) NO ( ) El lugar donde se encuentra la empresa Ekipa C.A, está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( ) Cuestionario de Auditoria en Comunicaciones y Redes: 1. ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? 2. ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 3. ¿Existen protocolos de comunicaron establecida?
  • 36. 4. ¿Existe un plan de infraestructura de redes? 5. ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?