Este documento presenta una propuesta para realizar una auditoría informática en la empresa Ekipa C.A. utilizando la metodología COBIT. Describe la empresa, su misión, visión y objetivos. Explica la metodología COBIT y su modelo de madurez. Presenta el plan de auditoría que incluye la recolección de información a través de entrevistas y cuestionarios. Evalúa la situación actual del área de sistemas e implementa la auditoría utilizando el modelo de madurez COBIT para evaluar los procesos.
1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN – PORLAMAR
PROYECTO: APLICACIÓN DE UNA AUDITORIA
INFORMATICA EN LA EMPRESA EKIPA C.A
Autores: Br. Moisés Peña.
C.I: 18.399.949
Br. Ricardo Paruta.
C.I: 19.116.452
Br. Néstor Casas.
C.I: 22.998.167
Porlamar, Julio 2013
2. INTRODUCCIÓN
Los sistemas de información en la actualidad constituyen para las
organizaciones y empresas, un campo esencial, por esta razón es que todo el
recurso humano que se desempeña en una organización debe comprender los
sistemas de información, desde un entendimiento básico algunas personas hasta
un entendimiento profundo, ya que esto permitirá el buen desarrollo de la
organización.
Los sistemas de información representan un área principal para las
actividades de contabilidad, administración, mercadeo. Igualmente representan un
gran apoyo en la productividad, la presentación del servicio y la satisfacción del
cliente. Lo que permite una ventaja estratégica en el mercado en el cual se
desenvuelve la empresa.
Considerando la importancia de los sistemas de informática, se estima
pertinente la realización de una auditoria informática en la empresa Ekipa C.A,
con el propósito de cumplir con los requerimientos presentes y estipular los
beneficios para administrar los riesgos eficientemente. Utilizando como modelo
de referencia la metodología COBIT 4.1, a través de la evaluación de 34 procesos
definido por esta metodología, agrupados en 4 dominios que son: planear y
organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar,
estos procesos son ubicados en los procesos de madurez para luego exponer las
recomendaciones dadas por COBIT 4.1.
Con la realización de esta investigación se busca la solución de problemas y
alcanzar la máxima satisfacción de los clientes, con el uso adecuado de los
recursos tecnológicos y humanos que posee que posee la empresa Ekipa C.A.
3. CAPITULO I GENERALIDADES DE LA EMPRESA
1.1. Caracterización de la empresa
1.1.1 Naturaleza de la empresa
El 17 de Mayo del 2005 nace EKIPA C.A en el estado Nueva Esparta para brindar
un servicio de calidad y excelencia al estado que de acuerdo a la necesidad
existente dentro del ente buscando lograr la competitividad y reconocimiento.
Lo más resaltante es haber apostado por el negocio de venta de artículos de
remodelaciones para el hogar, camping, ferretería entre otros logrando así su
reconocimiento en el mercado.
1.1.2. Ubicación de Ekipa C.A: Av. Aldonza Manrique Entrada
Playa el Ángel CC Rattan Plaza Pampatar Estado Nueva Esparta Zona
Postal 6316
1.1.3. Misión
Ofrecer la mejor variedad, calidad y productos en soluciones para la construcción
y el hogar, bajo el concepto de autoservicio en un ambiente confortable.
1.1.4. Visión
Ser reconocidos en nuestro ramo como la mejor solución a nuestros clientes en la
región.
1.1.5. Objetivos estratégicos
Agilizar el proceso de registro de artículos nuevos.
Disminuir el tiempo invertido en la búsqueda de artículos creados, ya
sea para actualizarlos.
Mejora la calidad del trabajo que se realiza, porque el personal tendrá
más facilidad para realizar sus labores.
Evita el riesgo de pérdida de los datos.
4. Se pueden eliminar la gran cantidad de datos que se presenta en el
entorno.
Se puede almacenar una gran cantidad de datos.
1.1.5.1. Análisis foda
OPORTUNIDADES AMENAZAS
• Nivel de tecnología de punta.
• Instalaciones para la formación
Profesional.
• Capacitación y desarrollo del
personal.
• Rotación del personal.
• Bajo presupuesto de gastos
asignados.
• Inestabilidad gerencial dentro
de la empresa.
FORTALEZAS DEBILIDADES
• Dominio del programa por parte
del personal.
• Experiencia en el desarrollo del
trabajo.
• Disponibilidad de fondos
internos.
• Capacidad de adaptación al
trabajo bajo presión.
• Falta de planeación de los
trabajos.
• Bajo nivel de remuneración.
• Inefectiva preparación del
personal.
• Escaso nivel profesional en el
personal.
1.1.5.2. Metas organizacionales
Abastecimiento de las aéreas de la organización según sus necesidades.
Realizar la capacitación a todo el personal que labora dentro de la organización
para así tener atención de calidad.
1.1.6. Organigrama de la empresa
Ver anexo A
5. 1.1.6.1. Descripción de la gerencia y áreas.
Gerencia general: tiene como propósito dirigir, organizar y coordinar el desarrollo
de los procesos y actividades diarias de acuerdo con sus políticas.
Área de negocios: encargada de planificar y verificar los procesos de compra
venta como también la recepción en el área de almacén.
Área administrativa: se encarga de velar por una adecuada organización que la
administración sea eficiente en el uso de bienes y el recurso humano de la
organización en general.
Área de informática: encargada de coordinar los servicios informáticos, tiene que
estar subdividida para así ser más específicos al momento de las comunicaciones.
1.2. Metodología Cobit:
Ver anexo B
1.2.1 Modelo de madurez
El modelo de madurez para la administración y el control de los procesos de
TI se basa en un método de evaluación de la organización, de tal forma que se
pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de
optimizado (5). Este enfoque se deriva del modelo de madurez que el Software
Engineering Institute definió para la madurez de la capacidad del desarrollo de
software. Cualquiera que sea el modelo, las escalas no deben ser demasiado
granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una
precisión que no es justificable debido a que en general, el fin es identificar dónde
se encuentran los problemas y cómo fijar prioridades para las mejoras. El
propósito no es evaluar el nivel de adherencia a los objetivos de control.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una
organización reconocería como descripciones de estados posibles actuales y
futuros. No están diseñados para ser usados como un modelo limitante, donde no
se puede pasar al siguiente nivel superior sin haber cumplido todas las
condiciones del nivel inferior. Con los modelos de madurez de COBIT, a
6. diferencia de la aproximación del CMM original de SEI, no hay intención de
medir los niveles de forma precisa o probar a certificar que un nivel se ha
conseguido con exactitud.
La obtención de una visión objetiva del nivel de desempeño propio de una
empresa no es sencilla. ¿Qué se debe medir y cómo? Las empresas deben medir
dónde se encuentran y dónde se requieren mejoras, e implementar un juego de
herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas
a través de:
Modelos de madurez que facilitan la evaluación por medio de benchmarking y la
identificación de las mejoras necesarias en la capacidad.
Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo
los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para
medir el desempeño de los procesos internos basados en los principios de un
marcador de puntuación balanceado.
Metas de actividades para facilitar el desempeño efectivo de los procesos.
Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas
y públicas que consideren qué tan bien se está administrando TI. Como respuesta
a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel
apropiado de administración y control sobre la infraestructura de información.
Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el
equilibrio del costo beneficio y éstas preguntas relacionadas:
¿Qué está haciendo nuestra competencia en la industria, y cómo estamos
posicionados en relación a ellos?
¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos
posicionados con respecto a estas prácticas?
Con base en estas comparaciones, ¿se puede decir que estamos haciendo lo
suficiente?
Una evaluación de la madurez de COBIT resultara en un perfil donde las
condiciones relevantes a diferentes niveles de madurez se han conseguido, como
se muestra en el ejemplo gráfico siguiente:
7. 1.2.2. Auditoria de tics aplicando COBIT
1.2.2.1 Área a auditar
La Auditoría realizada por el equipo, será en el Área de Informática de “EKIPA
C.A”, debido a que allí se encuentran ubicados gran parte de los equipos de
cómputo con los que cuenta la Organización “EKIPA C.A”.
1.2.2.2. Proceso de recolección de información
Por medio de la observación realizada se procedió a la realización de entrevistas y
cuestionarios con el Gerente General de “EKIPA C.A”; y así poder determinar
con más precisión cuales son los problemas presentados y poder dar un dictamen
más específico.
1.2.2.3. Documentos de gestión en el área de informática
Actualmente “EKIPA C.A” no cuenta con el manual de procedimientos
administrativos informáticos, ni tampoco cuenta con la documentación requerida
las cuales son:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias
Seguridad de datos y equipos de Cómputo.
1.2.2.4. Plan de la auditoria en el área de informática
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta
gerencia de la Organización, solicitando la participación de los principales
trabajadores de la Organización y en donde se realizaran las siguientes acciones:
8. N° ACTIVIDADES
1 Observación General del Área de Informática.
2 Entrevistas a los trabajadores del Área de Informática.
3 Analizar con que documentos de Gestión y Técnicos cuentas
4
Verificar si que los equipos de los que se cuenta en la actualidad
concuerdan con su inventario.
5
Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
6
Evaluar las tecnologías de información (TI), tanto en hardware como
en software.
7 Evaluación de la seguridad física, lógica y de redes.
1.2.2.5 Herramientas y técnicas
Herramientas Técnicas
Cuaderno, lapicero, laptop, Microsoft office
2010, entre otros
Observación, entrevistas y
cuestionarios
1.2.2.6. Motivo o necesidad de la auditoria
• Síntomas de mala imagen e insatisfacción de los usuarios.
• Síntomas de Inseguridad.
• Síntomas de descoordinación y desorganización
1.2.2.7 Modelos de madurez a nivel cualitativo (COSO)
A continuación se representa en una tabla el impacto de los objetivos de control
de COBIT 4.1 sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para esta tabla es la
siguiente (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es
decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el
objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio
cuando se encuentra con (X) significa que los objetivos de control tienen impacto
9. en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de
control no tienen ningún impacto con los recursos.
Ver anexo C
Para tener un porcentaje de los criterios de la información, asignamos un valor
para el impacto primario, de igual forma tendremos un valor para el impacto
secundario.
Este porcentaje lo estableceremos en base a la propuesta metodológica para el
manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se
muestra en la tabla.
Promedio de Impactos, fuente COBIT 4.1
Capítulo II: EJECUCION DE LA AUDITORIA
2.1. Situación actual del área de sistemas
• Recomendar la adquisición de hardware, software básico y de aplicación
conveniente y necesaria.
• Ejecutar y actualizar el plan estratégico del sistema de información, según
los requerimientos del área conjunto con la gerencia general.
• Proporcionar seguridad tanto lógica y física del hardware y redes.
• Mantener el inventario del área actualizado para así tener buen control del
departamento.
CALIFICACIÓN IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86
10. 2.1.2. Organigrama del departamento
2.1.3. Seguridad del departamento
• Tener sistema contra incendios y la capacitación adecuada para el manejo
de los mismos.
• Contar con buen espacio para la ubicación de los servidores y con
seguridad.
• Contar con las licencias de los sistemas operativos para que todo sea legal.
• Tener programado el respaldo que trae el sistema operativo con respecto a
la base de datos.
• Restringir el acceso al sistema de información y al servidor para que la
data no sea adulterada
11. 2.2. Aplicación de la auditoria
2.2.1. Modelo de madurez de los procesos
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnología de la Información
NIVEL DE MADUREZ
CUMPLE
NOCUMPLE
OBSERVACIONES
Nivel
0
No existe conciencia por parte de la gerencia
de que la planeación estratégica de TI es
requerida para dar soporte a las metas del
negocio.
X
GRADO DE MADUREZ
El proceso de Definir el Plan Estratégico de
Tecnología de la Información está en el
nivel de madurez 4.
Nivel
1
La planeación estratégica de TI se discute de
forma ocasional en las reuniones de la
gerencia.
X
Nivel
2
Las decisiones estratégicas se toman
proyecto por proyecto, sin ser consistentes
con una estrategia global de la organización.
X
Nivel
3
La planeación estratégica de TI sigue un
enfoque estructurado, el cual se documenta y
se da a conocer a todo el equipo. Las
estrategias de recursos humanos, técnicos y
financieros de TI influencian cada vez más la
adquisición de nuevos productos y
tecnologías.
X
Nivel
4
Existen procesos bien definidos para
determinar el uso de recursos internos y
externos requeridos en el desarrollo y las
operaciones de los sistemas
X
Nivel
5
Se desarrollan planes realistas a largo plazo
de TI y se actualizan de manera constante
para reflejar los cambiantes avances
tecnológicos y el progreso relacionado al
negocio.
X
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
• Planes a largo plazo de TI.
• Tomar decisiones estratégicas.
• Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas
de información y su impacto de los objetivos de “EKIPA C.A”
En el Largo Plazo:
• Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien
detallados para poder realizar la definición de planes proyectados.
12. DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
El conocimiento, la experiencia y las
responsabilidades necesarias para el desarrollo
de esta arquitectura no existen en la organización.
X
GRADO DE MADUREZ
El proceso de Definir la
Arquitectura de la
Información está en el
nivel de madurez 3.
OBJETIVOS NO
CUMPLIDOS
• Que no se
resolvió
necesidades
futuras del
negocio
realizando el
proceso de la
arquitectura de la
información.
• Aprovechar las
habilidades
personales para
la construcción de
la arquitectura de
la información.
Nivel
1
La gerencia reconoce la necesidad de una
arquitectura de información. El
desarrollo de algunos componentes de
una arquitectura de información ocurre
de manera ad hoc.
X
Nivel
2
Las personas obtienen sus habilidades al construir
la arquitectura de información por
medio de experiencia práctica y la aplicación
repetida de técnicas.
X
Nivel
3
Existe una función de administración de datos
definida formalmente, que establece estándares
para toda la organización, y empieza a reportar
sobre la aplicación y uso de la arquitectura de
la información.
X
Nivel
4
El proceso de definición de la arquitectura de
información es proactivo y se enfoca en resolver
necesidades futuras del negocio.
X
Nivel
5
El personal de TI cuenta con la
experiencia y las habilidades necesarias para
desarrollar y dar mantenimiento a una
arquitectura de información robusta y sensible
que refleje todos los requerimientos del negocio.
X
RECOMENDACIONES
Para el proceso PO2 de COBIT estable los siguientes objetivos de control:
• Desarrollar y mantener la arquitectura de la información.
• Tener en claro la definición del proceso de la arquitectura de la información.
• Ser partícipe de la construcción de la arquitectura de la información para incrementar sus
habilidades.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes
estrategias:
En el Corto Plazo:
• Establecer y mantener un modelo de arquitectura de la información para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este
modelo será útil para la creación, uso y compartición óptimas de la información vital.
En el Largo Plazo:
• Definir e implementar procedimientos para brindar integridad y
consistencia de todos los datos que se encuentran almacenado en
formato electrónico, como bases de datos, almacenamiento de datos y
archivos.
13. DOMINIO: PLANIFICAR Y ORGANIZAR
PO5: Administrar la Inversión de TI
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
No existe conciencia de la importancia de la
selección y presupuesto de las inversiones en
TI.
X
GRADO DE MADUREZ
El proceso de Administrar la Inversión
de TI está en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
• Utilizar las mejores prácticas
de la industria para evaluar
los costos por comparación e
identificar la efectividad de
las inversiones.
Nivel
1
La organización reconoce la necesidad de
administrar la inversión en TI, aunque esta
necesidad se comunica de manera inconsistente.
X
Nivel
2
Existe un entendimiento implícito de la necesidad
de seleccionar y presupuestar las inversiones en
TI.
X
Nivel
3
El presupuesto de TI está alineado con los
planes estratégicos de TI y con los planes del
negocio.
Los procesos de selección de inversiones en TI y
de presupuestos están formalizados,
documentados y comunicados.
X
Nivel
4
La responsabilidad y la rendición de cuentas por
la selección y presupuestos de inversiones se
asignan a un individuo específico.
Las diferencias en el presupuesto se identifican
y se resuelven.
X
Nivel
5
Se utilizan las mejores prácticas de la industria
para evaluar los costos por comparación e
identificar la efectividad de las inversiones.
Se utiliza el análisis de los avances tecnológicos
en el proceso de selección y presupuesto de
inversiones.
X
RECOMENDACIONES
Para el proceso PO5 de COBIT estable los siguientes objetivos de control:
• Reconocer la necesidad de administrar la inversión en TI.
• Utilizar las mejores prácticas para la evaluación de costos de inversión.
• Documentar y formalizar el presupuesto en TI.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones
de inversiones.
En el Largo Plazo:
• Mejorar de forma continua la administración de inversiones en base a las lecciones
aprendidas del análisis del desempeño real de las inversiones.
14. DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE MADUREZ
CUMPLE
NO
OBSERVACIONES
Nivel
0
La organización no requiere de la identificación de
los requerimientos funcionales y operativos para el
desarrollo, implantación o modificación de soluciones,
tales como sistemas, servicios, infraestructura y
datos.
X
GRADO DE MADUREZ
El proceso de identificar Soluciones
Automatizadas está en nivel1.
OBJETIVOS NO CUMPLIDOS
• Determinar el proceso para la
solución de TI, según la exigencia del
negocio.
• Documentación de los proyectos
realizados.
Nivel
1
Existe una investigación o análisis estructurado
mínimo de la tecnología disponible
X
Nivel
2
El éxito de cada proyecto depende de la experiencia
de unos cuantos individuos clave.
La calidad de la documentación y de la toma de
decisiones varía de forma considerable.
X
Nivel
3
El proceso para determinar soluciones de TI se aplica
para algunos proyectos con base en factores tales
como las decisiones tomadas por el personal, la
cantidad de tiempo administrativo dedicado, y el
tamaño y prioridad del requerimiento de negocio
X
Nivel
4
La documentación de los proyectos es de buena
calidad y cada etapa se aprueba adecuadamente.
X
Nivel
5
La metodología está soportada en bases de datos de
conocimiento internas y externas que contienen
material de referencia sobre soluciones tecnológicas.
X
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
• Soportar la metodología de TI en base de datos.
• Determinar los procesos para las soluciones de TI.
• Explotar la experiencia de los trabajadores para la buena toma de decisiones.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el
costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la
ergonomía, funcionalidad y la legislación.
15. DOMINIO: ADQUIRIR E IMPLEMENTAR AI2:
Adquirir y Mantener Software Aplicativo
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
Típicamente, las aplicaciones se logran con base
en ofertas de proveedores, en el reconocimiento
de la marca o en la familiaridad del personal deTI
cn productos específicos, considerando poco o
nada los requerimientos actuales.
X
GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Software Aplicativo está en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS
• Dar a conocer el proceso de adquisición y
mantenimiento del Sistema de Información
(software) y aplicaciones.
• Determinar la metodología formal para la
documentación del software en uso.
Nivel
1
Es probable que se hayan adquirido en forma
independiente una variedad de soluciones
individuales para requerimientos particulares del
negocio, teniendo como resultado ineficiencias
en el mantenimiento.
X
Nivel
2
Existen procesos de adquisición y mantenimiento
de aplicaciones, con diferencias pero similares,
en base a la experiencia dentro de la operación
de TI.
X
Nivel
3
Existe un proceso claro, definido y de
comprensión general para la adquisición y
mantenimiento de software aplicativo. Este
proceso va de acuerdo con la estrategia de TI y
del negocio.
X
Nivel
4
Existe una metodología formal y bien
comprendida que incluye un proceso de diseño
y especificación, un criterio de adquisición, un
proceso de prueba y requerimientos para la
documentación.
X
Nivel
5
El enfoque se extiende para toda la empresa.
La metodología de adquisición y mantenimiento
presenta un buen avance y permite un
posicionamiento estratégico rápido, que permite
un alto grado de reacción y flexibilidad para
responder a requerimientos cambiante del
negocio.
X
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
• Asegurar que el software diseñado sea de calidad.
• Realizar un diseño detallado, y los requerimientos técnicos del software.
• Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
• Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.
16. DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y Mantener Infraestructura Tecnológica
NIVEL DE MADUREZ
CUMPLE
NO
OBSERVACIONES
Nivel
0
No se reconoce la administración de la infraestructura
de tecnología como un asunto importante al cual deba
ser resuelto.
X
GRADO DE MADUREZ
El proceso de Adquirir y
Mantener Infraestructura
Tecnológica está en el nivel
de madurez 1.
OBJETIVOS NO CUMPLIDOS
• Definir una estrategia para
la adquisición y
mantenimiento de la
infraestructura.
• Organizar y prevenir el
proceso de adquisición y
mantenimiento de la
infraestructura.
Nivel
1
Se realizan cambios a la infraestructura para cada nueva
aplicación sin ningún plan en conjunto. La actividad de
mantenimiento reacciona a necesidades de corto plazo. X
Nivel
2
La adquisición y mantenimiento de la infraestructura de
TI no se basa en una estrategia definida y no considera
las necesidades de las aplicaciones del negocio que se
deben respaldar.
X
Nivel
3
El proceso respalda las necesidades de las
aplicaciones críticas del negocio y concuerda con la
estrategia de negocio de TI, pero no se aplica en forma
consistente.
X
Nivel
4
La infraestructura de TI soporta adecuadamente las
aplicaciones del negocio. El proceso está bien organizado
y es preventivo.
X
Nivel
5
El proceso de adquisición y mantenimiento de la
infraestructura de tecnología es preventivo y está
estrechamente en línea con la aplicaciones críticas del
negocio y con la arquitectura de la tecnología
X
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
• Crear un plan de adquisición de infraestructura tecnológica.
• Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
• Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad
durante la configuración, integración y mantenimiento de hardware y software de la infraestructura
tecnológica.
17. DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
La gerencia no reconoce la necesidad de un
proceso para definir los niveles de servicio
X
GRADO DE MADUREZ
El proceso de Definir y Administrar los
Niveles de Servicio está en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS
• No ordenar los procesos de desarrollo
por niveles de servicio.
• Realizar reportes de servicio de forma
completa y relevante
Nivel
1
La responsabilidad y la rendición de
cuentas sobre para la definición y la
administración de servicio no está definida.
X
Nivel
2
Los reportes de los niveles de servicio están
incompletos y pueden ser irrelevantes o
engañosos para los clientes. Los reportes
de los niveles de servicio dependen, en
forma individual, de las habilidades y la
iniciativa de los administradores.
X
Nivel
3
El proceso de desarrollo del acuerdo de
niveles de servicio está en orden y cuenta
con puntos de control para revalorar los
niveles de servicio y la satisfacción de
cliente.
X
Nivel
4
La satisfacción del cliente es medida y
valorada de forma rutinaria.
Las medidas de desempeño reflejan las
necesidades del cliente, en lugar de las
metas de TI.
X
Nivel
5
Todos los procesos de administración de
niveles de servicio están sujetos a mejora
continua. Los niveles de satisfacción del
cliente son administrados y monitoreados de
manera continua.
X
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
• Realizar un portafolio de servicios.
• Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
•Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de
niveles de servicio.
En el Largo Plazo:
• Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
18. DOMINIO: ENTREGAR Y DAR SOPORTE
DS2: Administrar los Servicios de Terceros
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
Los servicios de terceros no son ni
aprobados ni revisados por la gerencia. No
hay actividades de medición y los terceros no
reportan.
X
GRADO DE MADUREZ
El proceso de Administrar los Servicios de
Terceros está en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS
• Verificar de forma continua las
capacidades del proveedor.
• Monitorear e implementar acciones
correctivas.
Nivel
1
No hay condiciones estandarizadas para los
convenios con los prestadores de servicios.
X
Nivel
2
Se utiliza un contrato pro forma con términos
y condiciones estándares del proveedor.
X
Nivel
3
Cuando se hace un acuerdo de prestación de
servicios, la relación con el tercero es solo
contractual.
La naturaleza de los servicios a prestar se
detalla en el contrato, incluye requerimientos
legales, operacionales y de control.
X
Nivel
4
Las aptitudes, capacidades y riesgos del
proveedor son verificadas de forma continua.
X
Nivel
5
Se monitorea el cumplimiento de las
condiciones operacionales, legales y de
control y se implantan acciones correctivas.
X
RECOMENDACIONES
Para el proceso DS2 de COBIT estable los siguientes objetivos de control:
• Monitorear e implementar acciones correctivas.
• Verificar de forma continua las capacidades del proveedor.
Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el
Corto Plazo:
• Establecer criterios formales y estandarizados para realizar la definición
de los términos del acuerdo.
En el Largo Plazo:
• Mantener acuerdos de confidencialidad con los proveedores.
19. DOMINIO: ENTREGAR Y DAR SOPORTE
DS3: Administrar el Desempeño y la Capacidad
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
La gerencia no reconoce que los
procesos clave del negocio pueden
requerir altos niveles de desempeño de TI
o que el total de los requerimientos de
servicios de TI del negocio pueden
exceder la capacidad.
X
GRADO DE MADUREZ
El proceso de Administrar el Desempeño y
la Capacidad está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
• Realizar evaluaciones de la
infraestructura de TI logrando una
capacidad óptima.
• Pronosticar la capacidad de
desempeño y evaluación.
Nivel
1
Los responsables de los procesos del
negocio valoran poco la necesidad de
llevar a cabo una planeación de la
capacidad y del desempeño.
Las acciones para administrar el
desempeño y la capacidad son
típicamente reactivas.
X
Nivel
2
Las necesidades de desempeño se
logran por lo general con base en
evaluacionesde sistemas individuales y
el conocimiento y soporte de equipos de
proyecto.
X
Nivel
3
Los pronósticos de la capacidad y el
desempeño se modelan por medio de un
proceso definido.
Los reportes se generan con estadísticas
de desempeño.
X
Nivel
4
Hay información actualizada disponible,
brindando estadísticas de desempeño y
alertando sobre incidentes causados por
falta de desempeño o de capacidad.
X
Nivel
5
La infraestructura de TI y la demanda del
negocio están sujetas a revisiones
regulares para asegurar que se logre
una capacidad óptima con el menor costo
posible.
X
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
• Establecer métricas de desempeño y evaluación de la capacidad.
• Realizar revisiones de forma periódica la demanda del negocio con menor costo.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
• Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI
20. DOMINIO: MONITOREAR Y EVALUAR
ME1: Monitorear y Evaluar el Desempeño de TI
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
TI no lleva a cabo monitoreo de
proyectos o procesos de forma
independiente.
No se cuenta con reportes útiles,
oportunos y precisos.
La necesidad de entender de forma
clara los objetivos de los procesos no
se reconoce.
X
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Desempeño de TI está en el nivel 2.
OBJETIVOS NO CUMPLIDOS
• Poder identificar los procesos estándares
de evaluación.
• Integrar todos los procesos y proyectos de
TI.
Nivel
1
No se han identificado procesos
estándar de recolección y evaluación.
El monitoreo se implanta y las métricas
se seleccionan de acuerdo a cada
caso, de acuerdo a las necesidades de
proyectos y procesos de TI específicos.
X
Nivel
2
La interpretación de los resultados de
monitoreo se basa en la experiencia
de individuos clave.
X
Nivel
3
Las mediciones de la contribución de
la función de servicios de información al
desempeño de la organización se han
definido, usando criterios financieros y
operativos tradicionales.
X
Nivel
4
Hay una integración de métricas a lo
largo de todos los proyectos y
procesos de TI. Los sistemas de
reporte de la administración de TI
están formalizados.
X
Nivel
5
Las métricas impulsadas por el
negocio se usan de forma rutinaria para
medir el desempeño y están integrados
en los marcos de trabajo estratégicos,
tales como el Balanced Scorecard.
X
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
• Definir un método de monitoreo como Balance Scorecard.
• Evaluar el desempeño comparándolo periódicamente con las metas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.
En el Largo Plazo:
• Identificar e iniciar medidas correctivas sobre el desempeño de TI.
21. DOMINIO: MONITOREAR Y EVALUAR
ME2: Monitorear y Evaluar el Control Interno
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel0
Los métodos de reporte de control interno
gerenciales no existen. Existe una falta
generalizada de conciencia sobre la seguridad
operativa y el aseguramiento del control interno de
TI.
X
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Control Interno está en el nivel de
madurez 3.
OBJETIVOS NO CUMPLIDOS
• Establecer los procesos para la
evaluación y aseguramiento del control
interno.
• Utilizar herramientas integradas para la
detección del control interno de TI.
Nivel
1
La gerencia de TI no ha asignado de manera
formal las responsabilidades para monitorear la
efectividad de los controles internos.
X
Nivel
2
La gerencia de servicios de información realiza
monitoreo periódico sobre la efectividad delo que
considera controles internos críticos. Se están
empezando a usar metodologías y herramientas
para monitorear los controles internos, aunque no
se basan en un plan.
X
Nivel
3
Se ha definido un programa de educación y
entrenamiento para el monitoreo del control
interno. Se ha definido también un proceso para
auto evaluaciones y revisiones de aseguramiento
del control interno, con roles definidos para los
responsables de la administración del negocio y
de TI.
X
Nivel
4
Se han implantado herramientas para
estandarizar evaluaciones y para detectar de
forma automática las excepciones de control. Se ha
establecido una función formal para el control
interno de TI, con profesionales especializados y
certificados que utilizan un marco de trabajo de
control formal avalado por la alta dirección.
X
Nivel
5
La organización utiliza herramientas integradas y
actualizadas, donde es apropiado que permiten
una evaluación efectiva de los controles críticos de
TI y una detección rápida de incidentes de control
de TI.
X
RECOMENDACIONES
Para el proceso ME2 de COBIT estable los siguientes objetivos de control:
• Monitorear el marco de trabajo de control interno de forma continua.
• Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de
TI.
En el Largo Plazo:
• Identificar e iniciar medidas correctivas sobre el desempeño de TI.
22. DOMINIO: MONITOREAR Y EVALUAR
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE MADUREZ
CUMPLE
NO
CUMPLE
OBSERVACIONES
Nivel
0
Existe poca conciencia respecto a
los requerimientos externos que
afectan a TI, sin procesos
referentes al cumplimiento de
requisitos regulatorios, legales y
contractuales.
X
GRADO DE MADUREZ
El proceso de Garantizar el Cumplimiento
Regulatorio está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
• Brindar capacitación sobre requisitos
legales y regulatorios externos.
• Conocer los requerimientos aplicables,
como la solución de nuevas
necesidades.
Nivel
1
Se siguen procesos informales para
mantener el cumplimiento, pero solo
si la necesidad surge en nuevos
proyectos o como respuesta a
auditorías o revisiones.
X
Nivel
2
Existe un enfoque estándar.
Hay mucha confianza en el
conocimiento y responsabilidad de los
individuos, y los errores son posibles.
X
Nivel
3
Se brinda entrenamiento sobre
requisitos legales y regulatorios
externos que afectan a la organización
y se instruye respecto a los procesos
de cumplimiento definidos.
X
Nivel
4
Las responsabilidades son claras y el
empoderamiento de los procesos es
entendido. El proceso incluye una
revisión del entorno para identificar
requerimientos externos y cambios
recurrentes.
X
Nivel
5
Hay un amplio conocimiento de los
requerimientos externos aplicables,
incluyendo sus tendencias futuras y
cambios anticipados, así como la
necesidad de nuevas soluciones.
X
RECOMENDACIONES
Para el proceso ME3 de COBIT estable los siguientes objetivos de control:
• Integrar los reporte de TI sobre el cumplimiento regulatorio.
• Garantizar la identificación de requerimientos locales e internacionales legales,
contractuales de políticas, y regulatorios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
• Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de
datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
23. 2.2.2. Reporte general de los grados de madurez
DOMINIO PROCESO NIVEL
Planificar y
organizar
Definir el Plan Estratégico de tecnología de la información 4
Definir la Arquitectura de la Información. 3
Determinar la Dirección Tecnológica 1
Definir los Procesos, la Organización y las Relaciones TI 2
Administrar la inversión de TI 4
Adquirir e
Implementar
Identificar Soluciones Automatizadas 1
Adquirir y Mantener Software Aplicativo 2
Adquirir y Mantener Infraestructura Tecnológica 1
Entregar y
dar Soporte
Definir y Administrar los Niveles de Servicio 2
Administrar los Servicios de Terceros 3
Administrar el Desempeño y la Capacidad 2
Monitorear y
Evaluar
Monitorear y Evaluar el Desempeño de TI 2
Monitorear y Evaluar el Control Interno 3
Garantizar el Cumplimiento Regulatorio 1
CAPITULO III ANALISIS DE LOS RESULTADOS
3.2. Informe Ejecutivo
Se detallaran los resultados de la evaluación a cada uno de los 34 procesos que
recomienda COBIT 4.1, siendo evaluados en la empresa Ekipa, C.A
Los criterios de información se encuentran en el siguiente porcentaje, todos
sobre 100%
EFECTIVIDAD
DEFICIENCIA
24. Efectividad
La efectividad consiste en que la información relevante sea entregada en
forma oportuna, correcta y utilizable, este criterio tiene un promedio 47.66%
EFICIENCIA
DEFICIENCIA
Eficiencia
La eficiencia consiste en que la información debe ser generada utilizando los
recursos, este criterio tiene un promedio de 51.59%
CONFIDENCIALIDAD
DEFICIENCIA
Confidencialidad
Consiste en que la información vital sea protegida contra la revelación no
autorizada, este criterio tiene un promedio de 35,06%
INTEGRIDAD
DEFICIENCIA
25. Integridad
Consiste en que la información debe ser precisa, completa y valida, este criterio
tiene un promedio de 35%
DISPONIBILIDAD
DEFICIENCIA
Disponibilidad
Consiste en que la información requerida esté disponible por parte de las aéreas
del negocio en cualquier momento este criterio tiene un promedio de 32,96%
CUMPLIMIENTO
DEFICIENCIA
Cumplimiento
El cumplimiento consiste en que se deben respetar las leyes, reglamentos y
acuerdos contractuales, a lo que está sujeto el proceso del negocio, como políticas
in ternas, este criterio tiene un promedio de 52,05%
CONFIABILIDAD
DEFICIENCIA
Confiabilidad
Consiste en que se debe respetar proporcionar información, con el fin de que la
gerencia general administre la entidad, este criterio tiene un promedio del 47,50%
26. A continuación analizamos cada unos de los criterios de la información
• Efectividad: para este criterio de información se obtuvo un porcentaje de
47.76% sobre 100%, es decir que la información que es importante para la
empresa Ekipa, C.A, tiene incidencia en los procesos del negocio y debe ser
entregada de forma oportuna, consistente y veraz
• Eficiencia: para este criterio de información se obtuvo un porcentaje de
49,59% sobre 100%, es decir que la información que debe generar el uso
optimo de los recursos de Ekipa, C.A, tiene un porcentaje de 49,59%
• Confidencialidad: para este criterio de información se obtuvo un porcentaje
de 39.03%% sobre 100%, es decir que la protección de la información de
Ekipa, C.A, para que esta no sea divulgada a personas o sectores extraños
tiene un porcentaje
• Integridad: para este criterio de información se obtuvo un porcentaje de
35.05% sobre 100%, es decir que la distribución de la información exacta y
correcta, así como su validez con las expectativas de Ekipa, C.A
• Disponibilidad: para este criterio de información se obtuvo un porcentaje de
32.96% sobre 100%, es decir que la accesibilidad de la información cuando
esta sea requerida en los procesos del negocio, y la salvaguarda de los
recursos y capacidades asociadas a la misma Ekipa, C.A,
• Cumplimiento: para este criterio de información se obtuvo un porcentaje de
51.93% sobre 100%, es decir que el cumplimiento de las leyes, regulaciones
y compromisos contractuales con los cuales está comprometido Ekipa, C.A.
• Confiabilidad: para este criterio de información se obtuvo un porcentaje de
50.97% sobre 100%, es decir proveer la información apropiada para que la
administración tome las decisiones adecuadas para manejar la empresa.
28. CONCLUSIONES
Como resultado del trabajo presentado, se concluye que la metodología
COBIT 4.1, nos permite adaptarla a cualquier empresa, sin importar su actividad o
tamaño, permitiendo realizar una implementación gradual y progresiva acorde a
los recursos disponibles y acoplado a la estrategia empresarial. Mediante el marco
de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI, en
Ekipa, C.A.
Adicionalmente se ha dado un conjunto de normas que pueden ayudar a
alinear TI con la empresa, identificando riesgos, gestionando recursos y midiendo
el desempeño, así como el nivel de madurez de cada uno de los procesos de la
empresa EKIPA, CA. Tanto los gerentes como los usuarios son beneficiados con
el desarrollo de COBIT 4.1, ya que este marco de referencia favorece a todos los
empleados a entender su sistema de TI, de igual forma a decidir el sistema de
seguridad y control para proteger los activos como: información, hardware,
software, entre otros de Ekipa, C.A, mediante un modelo de desarrollo.
También se ha diagnosticado cada uno de los criterios de la información, los
cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
29. RECOMENDACIONES
• Se deben realizar manuales de funciones, para todos los puestos de trabajo y
sus determinadas funciones.
• Realizar manuales de procedimientos, para que todos los empleados puedan
identificar cuáles son las actividades que deben realizar de acuerdo a su puesto y
funciones.
• Realizar evaluaciones de desempeño para evitar problemas con el personal y
así corregir las fallas existentes.
• Se debe adecuar las instalaciones del área de informática para poder tener los
respaldos y la seguridad al momento de cualquier amenaza.
• Proporcionar un entrenamiento al personal de respaldo con la finalidad de
solucionar posibles ausencias.
30. GLOSARIO
Auditoría Informática: Es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
COBIT: (Control Objetives Information Technologies), modelo de referencia utilizado en
el control de tecnologías de la información así como su control.
Madurez: Nos muestra en nivel de confiabilidad en los procesos que utiliza una
empresa.
31. REFERENCIAS BIBLIOGRAFIAS
• Auditoria informática. Disponible en: http://es.wikipedia.org/wiki/Auditor%
C3%ADa_inform%C3%A1tica
Fecha de Consulta: 27/07/2013
• Cobit. Disponible en: http://www.slideshare.net/mausinho/resumen-de-cobit-
41trabajo-de-grupo-8994946
Fecha de Consulta: 27/07/2013
• Madurez. Disponible en: http://auditordesistemas.blogspot.com/
• Fecha de Consulta: 27/07/2013
35. Cuestionario
Cuestionario de Auditoría correspondiente al funcionamiento del Área de
Informática:
¿Se tiene restringida la operación del sistema de cómputo a los usuarios?
SI ( ) NO ( )
¿Son funcionales los muebles asignados para los equipos de cómputo?
SI ( ) NO ( ) B.
Cuestionario de Auditoría correspondiente a la seguridad física:
¿La empresa Ekipa C.A, cuenta con extintores de fuego?
SI ( ) NO ( )
¿Existe salida de emergencia?
SI ( ) NO ( )
¿Existe alarma para detectar fuego (calor o humo) en forma automática?
SI ( ) NO ( )
¿Existen una persona responsable de la seguridad?
SI ( ) NO ( )
El lugar donde se encuentra la empresa Ekipa C.A, está situado a salvo de:
a) ¿Inundación? ( )
b) ¿Terremoto? ( )
c) ¿Fuego? ( )
d) ¿Sabotaje? ( )
Cuestionario de Auditoria en Comunicaciones y Redes:
1. ¿Están establecidos controles especiales para salvaguardar la confidencialidad
e integridad del procesamiento de los datos que pasan a través de redes públicas, y
para proteger los sistemas conectados?
2. ¿Existen controles especiales para mantener la disponibilidad de los servicios
de red y computadoras conectadas?
3. ¿Existen protocolos de comunicaron establecida?
36. 4. ¿Existe un plan de infraestructura de redes?
5. ¿Existen controles y procedimientos de gestión para proteger el acceso a las
conexiones y servicios de red?