cobit transmotar.docx

8/12/2019 cobit transmotar.docx

1/26

AUDITORIA DE SISTEMAS

Barrantes Aquino Sergio

Choque Yana WilliamChoquehuanca Araca Julio

----------------

Empresa de Transportes

TRANSMOTAR S.A.C.

Empresa de Transpor

TRANSMOTA

EJECUCION COBIT


2/26

Tabla de contenido

1. JUSTIFICACIN DEL USO DE COBIT ......................................................................................... 5

1.1. Criterios de informacin de COBIT .......................................................................................... 5

1.2. Recursos de TI ............................................................................................................................. 5

1.3. Modelo de Madurez..................................................................................................................... 7

2. APLICACIN DE COBIT ................................................................................................................. 8

Entidad Auditada .................................................................................................................................... 8

Alcance de la Auditora ........................................................................................................................... 8

Norma Aplicada....................................................................................................................................... 8

3. DIAGNOSTICO GENERAL A LA EMPRESA .............................................................................. 8

Descripcin de la Institucin .............................................................................................................. 8

Servicios................................................................................................................................................ 8Misin y Objetivos de TRANSMOTAR ................................................................................................ 9

Misin ................................................................................................................................................... 9

Visin .................................................................................................................................................... 9

Valores .................................................................................................................................................. 9

4. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA AUDITORIAAPLICANDO METODOLOGIA COBIT ................................................................................................ 9

5. EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBIT.......... 11

6. MODELO DE MADUREZ DE LOS PROCESOS............................................................................. 12

7. RESUMEN DE OBSERVACIONES Y RECOMENDACIONES DE LA AUDITORIA ENINFORMATICA ....................................................................................................................................... 24

8. CONCLUSIONES ................................................................................................................................. 26


3/26

Empresa de Transportes

TRANSMOTAR

COBIT


4/26


5/26

1. JUSTIFICACIN DEL USO DE COBITCOBIT es un marco de referencia y un juego de herramientas que permite a la gerencia tener un mejorvisin respecto a temas tcnicos, requerimientos de control y riesgos de negocio, y comunicar esto a losparticipantes. COBIT permite el desarrollo de polticas claras y de buenas prcticas para control de TI a

travs de las empresas. A su vez COBIT se actualiza constantemente y armoniza con otros estndares. Porlo tanto, COBIT se ha convertido en el mejor integrador de las mejores prcticas de TI que ayuda acomprender y administrar los riesgos y beneficios asociados con las TI.

Los beneficios de implementar COBIT son:

Mejor alineacin, con base en su enfoque de negocios. Una visin, entendible para la gerencia, de lo que hace TI. Entendimiento compartido entre todos los participantes, con base en un lenguaje comn. Propiedad y responsabilidades claras, con base en su orientacin a procesos.1.1. Criterios de informacin de COBITPara satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios decontrol, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Dichoscriterios son 7:

-Efectividad: Tiene que ver con que la informacin sea relevante y pertinente a los procesos denegocios y proporcione de una manera oportuna, correcta, consistente y utilizable.

-Eficiencia: consiste en que la informacin sea generada optimizando los recursos.

-Confidencialidad: se refiere a la proteccin de informacin sensitiva contra revelacin noautorizada.

-Integridad: est relacionada con la precisin y completitud de la informacin. As como su validez

de acuerdo a los valores y expectativas del negocio.

-Disponibilidad: Se refiere a que la informacin est disponible cuando sea requerida por losprocesos del negocio en cualquier momento.

-Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a loscuales est sujeto el proceso de negocios.

-Confiabilidad: significa proporcionar la informacin apropiada para que la gerencia administre laentidad y ejercite sus responsabilidades correspondientes.

1.2. Recursos de TILos recursos de TI identificados en COBIT se pueden definir como sigue:

-Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales queprocesan informacin.

-Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemasde informacin.


6/26

-Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas deadministracin de base de datos, redes, etc., as como el sitio donde se encuentran) que permiten elprocesamiento de las aplicaciones.

-Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar,soportar, monitorear y evaluar los sistemas y los servicios de informacin. stos pueden ser internas o

contratados (outsourcing).En la siguiente tabla, se muestra el impacto de los procesos COBIT sobre los recursos y criterios deTI. En los recursos de TI una X significa que ese objetivo de control tiene impacto sobre el recurso yun espacio en blanco que no tiene impacto. En los criterios de informacin se identifica el grado deimpacto; Primario (P), que significa un impacto directo sobre esa informacin, Secundario (S)impacto indirecto o en menor medida.


7/26

1.3. Modelo de MadurezSe puede notar 3 necesidades que toda empresa u organizacin debe fijarse a cumplirlas:

1. Una medicin relativa de dnde se encuentra la empresa.2. Una manera de decidir hacia dnde ir de forma eficiente.3. Una herramienta para medir el avance contra la meta.Es as que COBIT toma como base los modelos de madurez que el SoftwareEngineeringInstitutedefini, y los aplic para cada uno de los 34 procesos existentes. A continuacin las 5 fases en quepuede estar un proceso analizado:

Modelo de Madurez

0 No existente: Carencia completa de cualquier proceso reconocible. La empresa n ha reconocidosiquiera que existe un problema a resolver.

1 Inicial: Existe evidencia que la empresa ha reconocido que los problemas existen y requieren serresueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden

a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin esdesorganizado.

2 Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientossimilares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacinformal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto gradode confianza en el conocimiento de los individuos y, por la tanto, los errores son muy probables.

3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a travs deentrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es pocoprobable que se detecten desviaciones, los procedimientos en s no son sofisticados pero formalizanlas prcticas existentes.

4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomarmedidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajoconstante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de unamanera limitada o fragmentada.

5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se basan en losresultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de formaintegrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y laefectividad, haciendo que la empresa se adapte de manera rpida.


8/26

2. APLICACIN DE COBITEntidad Auditada

Se presentar la aplicacin de las Normas COBIT a travs del anlisis de la situacin actual delDepartamento de Informtica de la Empresa de Transportes Transmotar.

Alcance de la Auditora

La auditora se enfocar al Departamento de Informtica de la Empresa de Transportes Transmotar,haciendo nfasis en una de las reas ms crticas detectadas en una auditora previa, el rea de SoporteTcnico, que implica la seguridad y mantenimiento tanto de hardware como de software y cableado deredes.

Polticas y procedimientos de seguridadRespecto a la seguridad cada equipo de cmputo es asignado patrimonialmente a cada trabajadorque lo usar, haciendo responsable a cada usuario en caso de prdida o deterioro forzado del equipoeste es el caso para funciones especficas dentro de la Empresa Transmotar como contabilidad y

cobranzas.

Respecto a la seguridad de la informacin, se tiene un control de ingreso a los sistemas mediante Idde Usuario y claves de acceso que aseguran que no cualquiera pueda entrar a manejar el sistema yhace el acceso restringido de acuerdo al tipo de personal o rea de la Empresa.

Norma Aplicada

COBIT, especficamente el proceso de TI DS5 Garantizar la Seguridad de los Sistemas. En dichoproceso se da importancia a los controles que aseguren que los datos y programas son accedidos porquienes deben, de esta manera se logra mantener la integridad de la informacin y de la infraestructura de

procesamiento minimizando el impacto de vulnerabilidades e incidentes.

3. DIAGNOSTICO GENERAL A LA EMPRESADescripcin de la Institucin

Es una empresa con ms de 25 aos en el rubro del transporte de carga por carretera, especialistas en eltransporte de carga en general.

TRANSMOTAR brinda a sus clientes un buen servicio de Carga y logstica, Mudanzas, Servicios

Express, Almacenaje, Sobres y Paquetera.

ServiciosServicio Expreso: Transportamos su mercadera de oficina a oficina.Servicio Puerta a Puerta: Recogemos su mercadera en el domicilio que nos indique y lo dejamos en ladireccin que desee.Mudanzas: Nuestra amplia experiencia y especializacin en el servicio de transporte de carga ymudanzas, nos permite que su mudanza sea un servicio sin preocupacin. La satisfaccin final del clientees nuestro objetivo primordial, por ello es que nuestro personal experimentado desarrolla un servicio de


9/26

calidad con el manipuleo y traslado de la carga. Nuestro compromiso con la carga ha dejado a nuestrosclientes tranquilos y confiados, llmenos y as estar seguro que lo atenderemos de la mejor manera.Logstica Integral: Solucionamos todas sus necesidades de logstica y distribucin.

Misin y Objetivos de TRANSMOTAR

MisinNuestro compromiso es satisfacer las necesidades de servicio de nuestros clientes, a travs de un servicioeficiente; mediante la integracin a nivel nacional de un equipo de trabajo competente y capacitado;proporcionando servicios de calidad.

VisinLlegar a todos los lugares del Per, siendo capaces de satisfacer todas las necesidades de nuestros clientes,con un servicio de entrega en el mismo da, respaldados con el ms eficiente servicio y la mayor garanta anivel nacional.

Valores"Puntualidad, Experiencia y Compromiso" "P.E.C" son valores fundamentales en nuestro personal, estosvalores son los pilares del trabajo en la obtencin de la excelencia, y completar la expectativa de nuestraclientela.

4. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LAAUDITORIA APLICANDO METODOLOGIA COBIT

Siguiendo, este plan de trabajo propuesto por COBIT, se lograrn beneficios respecto a la administracinde las TI. En el presente trabajo, se realiz la auditora para el rea de hardware y redes locales, por lotanto se elegirn slo los procesos pertinentes y sern tomados en cuenta como una pequea introduccin,ya que COBIT se aplica a toda una empresa que cuenta con sus diferentes reas.

A continuacin se muestra los 4 Dominios propuestos por COBIT, con sus respectivos procesos, loscuales fueron elegidos para el presento proyecto:

PLANEAR Y ORGANIZAR

PO1 Definir un Plan Estratgico de TI

PO3 Determinar la Direccin Tecnolgica

PO4 Definir los Procesos, Organizacin y Relaciones de TI

PO5 Administrar la Inversin en TI

PO9 Evaluar y administrar los riesgos de TIADQUIRIR E IMPLEMENTAR

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software aplicativo

AI3 Adquirir y mantener infraestructura tecnolgica

AI4 Facilitar la operacin y el uso

AI5 Adquirir recursos de TI


10/26

ENTREGAR Y DAR SOPORTE

DS2 Administrar los servicios de terceros

DS3 Administrar el desempeo y la capacidad

DS10 Administrar los problemas

DS12 Administrar el ambiente fsico

MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeo de TI

ME2 Monitorear y Evaluar el Control Interno

ME3 Garantizar el Cumplimiento Regulatorio


11/26

5.EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBITOBJETIVOS DE CONTROL COBIT

Recursos TI de

COBIT Criterios de Informacin de COBIT

PLANEAR Y ORGANIZARP

ersonas

I

nfor

acin

A

plicacin

I

nfraestructura

E

fectividad

E

ficiencia

Confidencialida

I

ntegridad

D

isponibilidad

C

u

pli

iento

C

onfiabilidad

PO1 Definir un Plan Estratgico de TI X X X X P S

PO3 Determinar la Direccin Tecnolgica X X P P

PO4 Definir los Procesos, Organizacin y Relaciones de TI X P P

PO5 Administrar la Inversin en TI X X X P P S

PO9 Evaluar y Administrar los Riesgos de TI X X X X S S P P P S S

ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluciones automatizadas X X P S

AI2 Adquirir y mantener software aplicativo X P P S S

AI3 Adquirir y mantener infraestructura tecnolgica X S P S S

AI4 Facilitar la operacin y el uso X X X P P S S S S

AI5 Adquirir recursos de TI X X X X S P S

ENTREGAR Y DAR SOPORTE

DS2 Administrar los servicios de terceros X X X X P P S S S S S

DS3 Administrar el desempeo y la capacidad X X P P S

DS10 Administrar los problemas X X X X P P SDS12 Administrar el ambiente fsico X P P

MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeo de TI X X X X P P S S S S S

ME2 Monitorear y Evaluar el Control Interno X X X X P P S S S S S

ME3 Garantizar el Cumplimiento Regulatorio X X X X P S


12/26

6. MODELO DE MADUREZ DE LOS PROCESOS

Al terminar la fase de recaudacin de informacin, la cual se hizo en la auditora previa. Se procede a

analizar el rea determinada que es: el rea de Soporte Tcnico, que implica la seguridad ymantenimiento tanto de hardware como de software y cableado de redes. A continuacin, se mostrar losniveles de madurez en los cuales se encuentra dicha rea en los diferentes procesos de la metodologaCOBIT:


13/26

DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: DEFINIR UN PLAN ESTRATGICO DE TI

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0No existe conciencia por parte de la gerencia de que la planeacin estratgica de TI esrequerida para dar soporte a las metas del negocio X

Grado de madurez:

El proceso definir un plan estratgico de TI se encuentra en el nivel 1.

Objetivos no cumplidos No existe un plan estratgico de TI (lo que respecta al rea de

Soporte Tcnico) ni estrategias de recursos de laOrganizacin.

No existen planes de innovacin a largo plazo de las TI, solose dan actualizaciones debido a los avances tecnolgicos, locual est limitado por el presupuesto que se necesite.

NIVEL 1La planeacin estratgica de TI se discute de forma ocasional en las reuniones degerencia. X

NIVEL 2 Las decisiones estratgicas se toman proyecto por proyecto, sin ser consistentes conuna estrategia global de la organizacin. X

NIVEL 3

La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documentay se da a conocer a todo el equipo. Las estrategias de recursos humanos, tcnicos yfinancieros de TI influencian cada vez ms la adquisicin de nuevos productos ytecnologas. X

NIVEL 4Existen procesos bien definidos para determinar el uso de recursos internos yexternos requeridos en el desarrollo y las operaciones de los sistemas. X

NIVEL 5

Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constantepara reflejar los cambiantes avances tecnolgicos y el progreso relacionado alnegocio.

XRECOMENDACIONES COBITPara el proceso P01 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:

Planes a largo plazo de TI. Tomar decisiones estratgicas Definir los recursos internos y externos necesarios.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Elaborar el plan estratgico de TI con la intervencin de las gerencias y teniendo en cuenta las necesidades actuales y futuras del rea de Sistemas (Soporte tcnico) Analizar y entender las capacidades actuales del rea encargada de administrar las TI. Aplicar un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos dados por el rea de sistemas (Soporte tcnico)


14/26


PO3: DETERMINAR LA DIRECCIN TECNOLGICA

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0No existe conciencia sobre la importancia de la planeacin de la infraestructuratecnolgica para la entidad X

Grado de madurez:

El proceso determinar la direccin tecnolgica se encuentra en el nivel

1.Objetivos no cumplidos

No existe un plan estratgico de TI (lo que respecta a Soportetcnico) ni estrategias de recursos de la Organizacin.

No existen planes de innovacin a largo plazo de las TI, solose dan actualizaciones debido a los avances tecnolgicos, locual est limitado por el presupuesto que se necesite.

NIVEL 1

La gerencia reconoce la necesidad de planear la infraestructura tecnolgica. El

desarrollo de componentes tecnolgicos y la implantacin de tecnologas emergentesson ad hoc y aisladas X

NIVEL 2La evaluacin de los cambios tecnolgicos se delega a individuos que siguen procesosintuitivos, aunque similares X

NIVEL 3Existe un plan de infraestructura tecnolgica definido, documentado y bien difundido,aunque se aplica de forma inconsistente.

NIVEL 4El rea de informtica cuenta con la experiencia y las habilidades necesarias paradesarrollar un plan de infraestructura tecnolgica.

NIVEL 5

La direccin del plan de infraestructura tecnolgica est impulsada por los estndaresy avances industriales e internacionales, en lugar de estar orientada por losproveedores de tecnologa.

RECOMENDACIONES COBITPara el proceso P03 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:

Elaborar un plan de infraestructura tecnolgica. Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.


Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr cumplir conlas estrategias de TI.

Realizar un proceso de monitoreo de tendencias tecnolgicas.


15/26


PO4: DEFINIR LOS PROCESOS, LA ORGANIZACIN Y LAS RELACIONES DE TI

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0La organizacin de TI no est establecida de forma efectiva para enfocarse en el logrode los objetivos del negocio X

Grado de madurez:

El proceso definir los procesos, la organizacin y las relaciones de TIse encuentran en el nivel 1.

Objetivos no cumplidos Formular las relaciones con terceros (esto es comits de

direccin, auditora interna y administracin de proveedores) La organizacin de TI (Soporte tcnico) no est

funcionalmente completa. La divisin de roles y responsabilidades no est bien definida

e implantada.

NIVEL 1La funcin de TI se considera como una funcin de soporte, sin una perspectivaorganizacional general. X

NIVEL 2 La necesidad de contar con una organizacin estructurada, pero las decisiones todavadepende del conocimiento y habilidades de individuos clave. X

NIVEL 3Se formulan las relaciones con terceros, incluyendo los comits de direccin, auditorainterna y administracin de proveedores.

NIVEL 4La organizacin de TI responde de forma pro activa al cambio e incluye todos losroles necesarios para satisfacer los requerimientos del negocio

NIVEL 5

La estructura organizacional de TI es flexible y adaptable.

RECOMENDACIONES COBITPara el proceso P04 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:

Ser flexible y adaptable a la estructura organizacional de TI Responder de forma proactiva a los requerimientos del negocio Formular relaciones con terceros como auditora interna.


Establecer los procesos de TI y de la empresa en general y establecer roles y responsabilidades de las personas que intervienen o intervendrn en la ejecucin de dichospropsitos.

Establecer una estructura organizacional apropiada colocando al rea de Sistemas en el nivel que le corresponde por las actividades que realiza, que es nivel asesora. De stamanera para que as tenga poder de decisin dentro de la institucin.


16/26


PO5: ADMINISTRAR LA INVERSIN DE TI

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0No existe conciencia de la importancia de la seleccin y presupuesto de lasinversiones en TI. No existe seguimiento o monitoreo de las inversiones y gastos deTI. X

Grado de madurez:

El proceso administrar la inversin de TI se encuentra en el nivel 1.

Objetivos no cumplidos La institucin no reconoce en su totalidad la necesidad de

administrar la inversin en TI, y lo poco que reconoce secomunica de manera inconsistente.

Existen solo implantaciones aisladas de seleccin ypresupuesto de inversiones en TI, pero la documentacindesarrollada carece de formalidad.

Decisiones presupuestales, son realizadas de manera reactivay operativa.

NIVEL 1La organizacin reconoce la necesidad de administrar la inversin en TI, aunque estanecesidad se comunica de manera inconsistente. X

NIVEL 2Existe un entendimiento implcito de la necesidad de seleccionar y presupuestar lasinversiones en TI. X

NIVEL 3El presupuesto de TI est alineado con los planes estratgicos de TI y con los planesdel negocio. Los procesos de seleccin de inversiones en TI y de presupuestos estnformalizados, documentados y comunicados. X

NIVEL 4La responsabilidad y la rendicin de cuentas por la seleccin y presupuestos deinversiones se asignan a un individuo especfico. Las diferencias en el presupuesto seidentifican y se resuelven X

NIVEL 5

Se utilizan las mejores prcticas de la industria para evaluar los costos porcomparacin e identificar la efectividad de las inversiones. Se utiliza el anlisis de losavances tecnolgicos en el proceso de seleccin y presupuesto de inversiones.

XRECOMENDACIONES COBIT

Para el proceso PO5 de COBIT estable los siguientes objetivos de control:

Reconocer la necesidad de administrar la inversin en TI. Utilizar las mejores prcticas para la evaluacin de costos de inversin.

Documentar y formalizar el presupuesto en TI


Tomar conciencia de que la informacin o datos del rea de Sistemas (Soporte tcnico), son un activo ms, para la adecuada asignacin de presupuesto. Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. De sta manera la administracin de Hardware y redes

locales podran implementar una topologa mejor estructura, ya que contarn con nuevos dispositivos.


17/26


PO9: EVALUAR Y ADMINISTRAR RIESGOS DE TI

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0 La evaluacin de riesgos para los procesos y las decisiones de negocio no ocurre. X Grado de madurez:

El proceso evaluar y administrar riesgos de TI se encuentra en el nivel1.

Objetivos no cumplidos No existe un enfoque de evaluacin de riesgos maduro, del

cual se pueda confiar plenamente. La administracin de riesgos se da por lo general a altos

niveles y se aplica de manera tpica solo a proyectos grandeso como respuesta a problemas.

Los procesos de mitigacin de riesgos estn enimplementacin, ya que tienen una forma reactiva frente a unproblema.

NIVEL 1

Los riesgos especficos relacionados con TI tales como seguridad, disponibilidad eintegridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgosrelativos a TI que afectan las operaciones del da a da, son rara vez discutidareuniones gerenciales. X

NIVEL 2 La administracin de riesgos se da por lo general a altos niveles y se aplica de maneratpica solo a proyectos grandes o como respuesta a problemas. Los procesos demitigacin de riesgos estn en implantacin donde se identifican riesgos. X

NIVEL 3La administracin de riesgos sigue un proceso definido el cual est documentado. Elentrenamiento sobre administracin de riesgos est disponible para todo el personal. X

NIVEL 4

Los riesgos se evalan y se mitigan a nivel de proyecto individual y tambin por loregular se hace con respecto a la operacin global de TI. Todos los riesgosidentificados tienen un dueo nombrado, y la alta direccin, as como la gerencia deTI han determinado los niveles de riesgo que la organizacin est dispuesta a tolerar. X

NIVEL 5

La administracin de riesgos ha evolucionado al nivel en que un proceso estructuraest implantado en toda la organizacin y es bien administrado

XRECOMENDACIONES COBITPara el proceso PO9 de COBIT estable los siguientes objetivos de control:

Al momento de detectar un riesgo, se debe tener establecida una planificacin que nos indicara el contexto del riesgo mencionado. Evaluar de forma permanente los riesgos detectados. Desarrollar y mantener un proceso de respuesta a riesgos detectados.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Elaborar de forma especfica un Plan de Seguridad teniendo en cuenta todas las reas de la empresa tanto interna como externamente. Aplicar los planes de seguridad de forma consciente en el rea de Soporte tcnico. Realizar permanentes evaluaciones de riesgos Recomendar y comunicar planes de accin para mitigar riesgos a todo el personal de la empresa.


18/26

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1: Identificar Soluciones Automatizadas

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0La organizacin no requiere de la identificacin de losrequerimientos funcionales y operativos para el desarrollo, implantacin omodificacin de soluciones, tales como sistemas, servicios, infraestructura y datos. X

Grado de madurez:

El proceso de Identificar Soluciones Automatizadas esta en elnivel de madurez 1.

Objetivos no cumplidos

Definir enfoques claros para determinar los requerimientos eidentificar las soluciones de TI.

Definir una poltica que defina como y cuando realizar laplaneacin estratgica de TI.

La adquisicin de nuevos equipos y tecnologa no soninfluenciados por los recursos humanos.

NIVEL 1Existe una investigacin o anlisis estructurado mnimo de la tecnologadisponible. X

NIVEL 2El xito de cada proyecto depende de la experiencia de unos cuantos individuosclave. La calidad de la documentacin y de la toma de decisiones vara deforma considerable. X

NIVEL 3

El proceso para determinar las soluciones de TI se aplica paraalgunos proyectos con base en factores tales como las decisionestomadas por el personal involucrado, la cantidad de tiempo administrativodedicado, y el tamao y prioridad del requerimiento de negocio original. X

NIVEL 4La documentacin de los proyectos es de buena calidad y cada etapa se apruebaadecuadamente. X

NIVEL 5

La metodologa est soportada en bases de datos de conocimiento internas yexternas que contienen material de referencia sobre soluciones tecnolgicas.

XRECOMENDACIONES COBITPara el proceso AI1 de COBIT estable los siguientes objetivos de control:

Definir requerimientos tcnicos y de Negocio considerando a los recursos humanos. Determinar procesos para las soluciones de TI Considerar la experiencia de los trabajadores en la toma de decisiones. Realizar estudios de factibilidad econmica, oportunidades tecnolgicas para escoger las mejores decisiones

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Definir requerimientos tcnicos y de negocio especificando los requerimientos funcionales y tcnicos, priorizando el desempeo, el costo, la confiabilidad, la compatibilidad, la

auditora, la seguridad, la disponibilidad, continuidad, etc. Llevar a cabo estudios de factibilidad econmica, oportunidades tecnolgicas para optar por las mejores soluciones


19/26


AI2: Adquirir y mantener el software aplicativo

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0Tpicamente, las aplicaciones se obtienen con base en ofertas de proveedores, enel reconocimiento de la marca o en la familiaridad del personal de TI con productosespecficos, considerando poco o nada los requerimientos actuales. X

Grado de madurez:



Definir y dar a conocer el proceso de adquisicin ymantenimientos de los dispositivos de Hardware

Definir una documentacin formal para la documentacindel hardware en uso.

NIVEL 1Es probable que se hayan adquirido en forma independienteuna variedad de soluciones individuales para requerimientos particulares delnegocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. X

NIVEL 2Existen procesos de adquisicin y mantenimiento de aplicaciones,con diferencias pero similares, en base a la experiencia dentro de la operacinde TI. X

NIVEL 3Existe un proceso claro, definido y de comprensin general para la adquisiciny mantenimiento de software aplicativo. Este proceso va de acuerdo con laestrategia de TI y del negocio X

NIVEL 4Existe una metodologa formal y bien comprendida que incluye un proceso dediseo y especificacin, un criterio de adquisicin, un proceso de prueba yrequerimientos para la documentacin. X

NIVEL 5

El enfoque se extiende para toda la empresa. La metodologa deadquisicin y mantenimiento presenta un buen avance y permite unposicionamiento estratgico rpido, que permite unalto grado de reaccin y flexibilidad para responder a requerimientos cambiantesdel negocio. X

RECOMENDACIONES COBITPara el proceso AI1 de COBIT estable los siguientes objetivos de control:

Identificar los requerimientos de hardware y tecnologa.

Llevar a cabo un diseo detallado de los requerimientos de hardware y tecnologas del negocio. Elaborar un plan de adquisicin e mantenimientos de hardware que garantice la toma de decisiones futuras como al adquisicin de nuevos equipos y tecnologa.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Llevar a cabo un plan estratgico de mantenimiento. Llevar a cabo de manera separada las actividades de adquisicin de equipos y prueba de estos.


20/26


AI3: Adquirir y mantener la infraestructura Tecnolgica

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0No se reconoce la administracin de la infraestructura de tecnologa como unasunto importante al cual deba ser resuelto. X

Grado de madurez:



Definir estrategias para la adquisicin y mantenimiento dehardware.

Organizar el proceso de adquisicin y mantenimiento de lainfraestructura de hardware.

NIVEL 1Se realizan cambios a la infraestructura para cada nueva aplicacin, sin ningnplan en conjunto. La actividad de mantenimiento reacciona a necesidades de cortoplazo. X

NIVEL 2La adquisicin y mantenimiento de la infraestructura de TI no se basa en unaestrategia definida y no considera las necesidades de las aplicaciones delnegocio que se deben respaldar. X

NIVEL 3El proceso respalda las necesidades de las aplicacionescrticas del negocio y concuerda con la estrategia de negocio de TI, pero no seaplica en forma consistente. X

NIVEL 4La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. Elproceso est bien organizado y es preventivo. X

NIVEL 5

El proceso de adquisicin y mantenimiento de la infraestructura de tecnologa espreventivo y est estrechamente en lnea con las aplicaciones crticas delnegocio y con la arquitectura de la tecnologa. alto grado de reaccin yflexibilidad para responder a requerimientos cambiantes del negocio. X

RECOMENDACIONES COBITPara el proceso AI1 de COBIT estable los siguientes objetivos de control:

Crear un plan de adquisicin de infraestructura de Hardware que vaya de acuerdo a las necesidades del negocio. Identificar las necesidades que se tienen de la adquisicin de infraestructura tecnolgica.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Establecer medidas de control estratgico interno y de seguridad para la proteccin del hardware.


21/26


AI4: Facilitar la operacin y el uso

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0No existe el proceso con respecto a la produccin de documentacin de usuario,manuales de operacin y material de entrenamiento. X

Grado de madurez:



No generacin de materiales que garanticen la calidad. Garantizar la compaa de estndares para el desarrollo del

proceso. Enfoque en el cumplimiento de estndares No hay planeamiento de entrenamiento ni para usuarios ni

para el negocio lo que hace que el personal se involucre demanera informal.

NIVEL 1Mucha de la documentacin y muchos de los procedimientos ya caducaron. Losmateriales de entrenamiento tienden a ser esquemas nicos con calidad variable. X

NIVEL 2Individuos o equipos de proyecto generan los materiales de entrenamiento, yla calidad depende de los individuos que se involucran. X

NIVEL 3Se guardan y se mantienen los procedimientos en una biblioteca formal ycualquiera que necesite saber tiene acceso a ella. X

NIVEL 4Existen controles para garantizar que se adhieren los estndares y que sedesarrollan y mantienen procedimientos para todos los procesos. X

NIVEL 5

Los materiales de procedimiento y de entrenamiento se tratan como una base deconocimiento en evolucin constante que semantiene en forma electrnica, con el uso de administracin de conocimientoactualizada, workflow y tecnologas de distribucin, que los hacen accesibles yfciles de mantener.


Implantar documentacin de tareas a cada empleado para llevar a cabo los procesos de evaluacin y control. Entrenar a los usuarios Elaborar un plan de para realizar solucin de operaciones

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Dar capacitaciones a la alta gerencia lo que permitir que estos tomen posesin del sistema y los datos Mediante la capacitacin de los usuarios finales se lograra que estos usen de manera adecuada y eficientemente los equipos de Hardware.


22/26


AI5: Adquirir Recursos de TI

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0 No existe un proceso definido de adquisicin de recursos de TI. X Grado de madurez:



No tener en cuenta la importancia de un plan deadquisiciones como un proceso general de adquisiciones de laorganizacin.

No tener buena relacin con los proveedores

NIVEL 1

Los contratos para la adquisicin de recursos de TI son elaborados yadministrados por gerentes de proyecto y otras personas queejercen su juicio profesional ms que seguir resultados de procedimientos ypolticas formales. X

NIVEL 2 Se determinan responsabilidades y rendicin de cuentas para la administracin deadquisicin y contrato de TI segn la experiencia particular del gerente de contrato. X

NIVEL 3La adquisicin de TI se integra en gran parte con los sistemas generales deadquisicin del negocio. X

NIVEL 4La adquisicin de TI se integra en gran parte con los sistemas generales deadquisicin del negocio. Existen estndares de TI para la adquisicin de recursosde TI. X

NIVEL 5

Se establecen buenas relaciones con el tiempo con la mayora de los proveedores ysocios, y se mide y vigila la calidad de estas relaciones. Se manejan las relacionesen forma estratgica.


Asesora para los procedimientos de adquisicin de equipos. Establecer buenas relaciones con los proveedores.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual. Manejo de estndares, polticas y procedimientos para adquirir recursos. Cumplimiento de los derechos y obligaciones de cada una de las partes en la firma de contratos de adquisicin de equipos.


23/26

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los niveles de servicio

NIVEL DE MADUREZ

CUMPLE

NOCUMPLE

OBSERVACIONES

NIVEL 0La gerencia no reconoce la necesidad de un proceso para definir los niveles deservicio. X

Grado de madurez:



No mantener procedimientos documentados para controlarlos servicios de los proveedores.

Evaluar el nivel de riesgo del negocio con terceros ya queestos no se estn reportando

Realizar reportes de manera superficial e incompleta.

NIVEL 1La responsabilidad y la rendicin de cuentas sobre para la definicin y laadministracin de servicios no est definida. X

NIVEL 2

Los reportes de los niveles de servicio estn incompletos y pueden serirrelevantes o engaosos para los clientes. Losreportes de los niveles de servicio dependen, en forma individual, de lashabilidades y la iniciativa de los administradores. X

NIVEL 3El proceso de desarrollo del acuerdo de niveles de servicio estaen orden y cuenta con puntos de control para revalorar los niveles de servicio yla satisfaccin de cliente. X

NIVEL 4La satisfaccin del cliente es medida y valorada de forma rutinaria. Las medidasde desempeo reflejan las necesidades del cliente, en lugar de las metas de TI. X

NIVEL 5

Todos los procesos de administracin de niveles de servicio estn sujetos amejora continua. Los niveles de satisfaccin del cliente son administrados ymonitoreados de manera continua.


Establecer procedimientos de contratos con los proveedores de modo que nos garanticen que estos cumplir con lo que se requiere en una orden de compra.Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Llevar a cabo la revisin de los acuerdos y niveles de servicio de los proveedores. Mediante monitoreo y reportes verificar los niveles de servicio de los proveedores.


24/26

7. RESUMEN DE OBSERVACIONES Y RECOMENDACIONES DE LAAUDITORIA EN INFORMATICArea Soporte Tcnico

Observacin Recomendacin Solucin Funcinresponsable de lasolucinA

ICP

MP

LP

No se cuenta con unadistribucin adecuada de losdispositivos de red.

Hacer una reorganizacin delos elementos de la red para unmejor funcionamiento. Serecomienda seguir el estndarde cableado estructurado.

X Alta Direccin yrea de Informtica.

Falta actualizacin de planos

de distribucin de loscomponentes de ladistribucin de la Red local.

Actualizacin del plano de red

local en la empresa, con larespectiva distribucin de loselementos de la Red.

X rea de Informtica

No cuenta con unainstalacin de cableadoseguro, en algunos sectores.

Hacer una inspeccin a todaslas reas sobre el cableado, ycorregir los erroresencontrados.


Existen reas dentro de laempresa donde los cables dela red se encuentran sueltos

Aplicar normas de cableadoestructurado y canaletear loscables que permanecen libres.


No se cuenta con unmantenimiento preventivosolo con un mantenimientocorrectivo del hardware,software, y Sistemas deInformacin.

Es recomendable la realizar unplan para el mantenimientopreventivo.


La cantidad de equipos amantener, es bastante enrelacin a la cantidad de

personal encargado delmantenimiento.

Solicitar mayor personalespecializado en elmantenimiento de equipos decmputo.



25/26

Debido a que el rea deinformtica no desarrollo elsistema de informacin, notienen acceso a los mdulosde los diferentes sistemas

para poder realizar

mantenimiento inmediato oexpansin de requisitos enlos sistemas.

Desarrollar sistemas, solicitarel cdigo fuente de lasaplicaciones o solicitaractualizaciones de los

proveedores. Seran accionesinmediatas para un mejor

funcionamiento.

X rea de Informtica

Tanto el software,instalaciones de hardware ycomunicaciones han sidodescuidado por al punto talque solo se les damantenimiento cuando

presenten alguna falla.

Creacin de un plan demantenimiento de lasinstalaciones de hardware,comunicaciones y del softwareinstalado.

X rea de Informtica

No se hace ningn tipo demantenimiento a las redes,debido a que no se cuentacon personal suficiente pararealizar dicha labor.

Llevar a cabo capacitacin delpersonal en cuanto a laadministracin de redes decomputadoras.


Atencin no inmediata aproblemas relacionados coninformacin y desperfectode los equipos.

Aumento de Personal en parapoder realizar mantenimientode manera ms rpida.


AI = Accin inmediata MP = Mediano Plazo

CP = Corto Plazo LP = Largo Plazo


26/26

8. CONCLUSIONES

Con este estudio se ha dado un pequeo conjunto de directrices, las cuales pueden ayudar a alinearel rea de Soporte Tcnico con el negocio, en este caso con los objetivos del rea de Sistemas yde la Empresa de Transporte Transmotar. Es decir, identificar riesgos, gestionar recursos y medir

el desempeo, as como el nivel de madurez de cada uno de los procesos de la institucin. El jefe de rea de sistemas y los integrantes del mismo se beneficiarn con el desarrollo de

COBIT, ya que este marco de referencia ayudar a stas personas a tener un mejor control sobre elrea de Soporte Tcnico, es decir tendrn un mejor control ya sea en seguridad, planeacin,organizacin, administracin.

Documents

cobit transmotar.docx