PROYECTO

UNIVERSIDAD NACIONAL DE INGENIERA
Proyecto de Auditora de Sistemas
RESUMEN
Se ha desarrollado una auditora de las TI a la empresa Plano Digital, una empresa de servicios especializados en Impresiones en diferentes Formatos, planos y Documentos, con el fin de aportar con posibles soluciones a inconvenientes que se encuentren en este estudio. Este trabajo cuenta con cinco captulos. En el primeo, se hace una descripcin detallada del negocio, su nombre, ubicacin, estructura organizativa, entrevistas previas con el propietario, informe financiero, inventario, etc. El segundo, comprende la definicin del problema, as como la justificacin de la metodologa utilizada, mostrando cada uno de los criterios de informacin que son vitales en una empresa. En el tercer captulo, se analiza la situacin actual del sistema, infraestructura tecnolgica, para luego proceder a la realizacin de la auditora, mediante los modelos de madurez y evaluando los procesos correspondientes. El captulo cuatro, presenta los resultados de la auditora realizadas a travs de un informe preliminar, un informe tcnico y uno ejecutivo. En el captulo cinco, se procede a realizar las conclusiones y recomendaciones respectivas de esta auditora.
INTRODUCCIN
El presente documento, se enfoca en aplicar una auditoria para las TI de la empresa Plano Digital, utilizando la Metodologa COBIT, para determinar a travs de los modelos de madurez el estado actual de la empresa. A travs de los resultados de las evaluaciones, aplicaciones de mtricas definidas y dichos modelos, se lograrn emitir conclusiones y recomendaciones que mejoren el desempeo del negocio y sus procesos garantizando la su productividad. La aplicacin de esta metodologa permite mejorar y evaluar los procesos de gestin, generar informes que le permitirn a la empresa tomar las mejores decisiones para crear una mejora continua, resolviendo por orden de prioridad las que la gerencia encuentre ms relevantes.
CAPTULO 1 GENERALIDADES DE LA EMPRESA

1.1 GENERALIDADES DE LA EMPRESA
1.1.1 Datos Empresariales Razn Social: Persona Natural Edwin Arnulfo Leiva Espinoza RUC: 160981- 4981 Direccin: Semforos de la UCA 100 mts. al lago, frente a la UNI. (Ver foto en Anexo No.1)
Fecha De Iniciacin De Operaciones De La Empresa: Abril del ao 2008
Fecha De Iniciacin De Operaciones Del Centro De Cmputos: No cuenta con rea de centro de cmputo pues se trata de una PYME.
Estructura Legal y Marco Jurdico: Es un negocio propio constituido como persona natural, bajo la clasificacin de cuota fija. Su Gerente Propietario es Edwin Leiva Espinoza.
Composicin Del Capital: El capital que maneja el negocio es propio del Gerente Propietario.
Giro Del Negocio: Su giro principal es el de Servicios de impresiones de documentos y planos en diferentes formatos. Cuenta con servicios secundarios como; Cyber Caf (Internet, Fotocopias, Llamadas Nacionales e Internacionales, librera, accesorios para celular etc.).
Objetivo De La Empresa: Facilitar a Estudiantes, Empresas Constructoras, Proyectos, Arquitectos etc. Servicios de calidad que contribuyan a que sus proyectos sean una realidad.

Objetivo Del Centro De Cmputo:
Como se mencion anteriormente la empresa no cuenta con Centro de Cmputos.
Objetivo Y Propsito Del Diagnstico Examinar en forma global y constructiva la estructura de la Empresa Plano Digital, enfocndose en las TI, aplicando aspectos como; planes y objetivos, mtodos y controles, formas de operacin y organizacin humana y jurdica. Brindar informacin valiosa para dar a conocer a la empresa auditada aquellas
conformidades o no conformidades encontradas en el proceso, para que el Gerente Propietario tome las mejores decisiones que le ayuden a obtener mayor productividad y rentabilidad para su negocio de acuerdo a las metas establecidas. Esta Auditora servir como estrategia para detectar, los hallazgos que se logren identificar en cuanto a la seguridad del sistema aplicando la metodologa COBIT a fin de ayudarle a la empresa a obtener una ventaja competitiva con respecto a los negocios aledaos cuyos giros principales son similares al de los servicios secundarios que ofrece Plano Digital.
reas A Revisar La empresa no se encuentra estructurada por reas debido a que su local es muy pequeo, sin embargo se evaluarn las TI que estn utilizando.
1.2 Estructura Organizacional y Direccionamiento de la Empresa
ORGANIGRAMA DE LA EMPRESA
Gerente
Asesor Gerencial
Responsable de Operaciones
Personal de Operaciones (2)
Atencin al cliente Produccin y ventas de bienes y servicios Operaciones Generales
MISIN Somos una empresa de servicios de plataforma de Internet e Impresin Digital de Planos y Documentos que ofrece a nuestros clientes servicios de calidad a travs de herramientas que contribuya al desarrollo tecnolgico y econmico del pas.
VISIN Ser una empresa que asume el reto de incorporar en la mente de la poblacin, el uso del INTERNET, como motor de desarrollo social, con un concepto de multiservicios, en la industria de cybercentros a nivel nacional, as como el de la tecnologa digital.

1.2 ENTREVISTAS PREVIAS 1.2.1 Formato de Entrevistas Previas (ver Anexo No. 2)
1.3 INFORME FINANCIERO En lo que respecta al informe financiero se trat de obtener todos los requerimientos, sin embargo solamente se logr adquirir la informacin de los siguientes: Inventario de Equipo (Ver anexo No. 3) Presupuesto de Mano de Obra (Anexo No. 4) Estado de Resultado (Anexo No. 5) Balance General (Anexo No. 6)
1.4 DETERMINACIN DEL REA A ESTUDIAR De acuerdo a las entrevistas realizadas e investigaciones preliminares, se ha decidido desarrollar una evaluacin del las TI de la empresa. Se pueden definir como problemas fundamentales los implicados en la parte informtica, los cuales se mencionan a continuacin: Administracin de sistemas: puesto que la empresa utiliza dos sistemas; El Handy Caf para el rea de cyber el cual se encarga de administrar las cuentas de usuario y los tiempos que compra cada cliente. El otro es el UNIFILE que funciona como control de inventario y facturacin. El problema surge porque los dos sistemas no trabajan juntos es decir, uno es independiente del otro. La independencia de los sistemas provoca que el responsable de operaciones (cajera) que es la encargada de operar los dos sistemas (factura los productos desde UNIFILE y de agregar tiempo a los usuarios desde el Handy Caf) olvide facturar las ventas de internet. Esto genera excedentes en los arqueos de caja, los cuales repercuten en la ineficiencia de los informes contables de la empresa que el sistema UNIFILE administra. En esta auditora pretende demostrar la necesidad de que los dos sistemas trabajen juntos a fin de alinear las metas de la empresa con las del sistema de informacin. Al alinear dichas metas, se tendr una efectividad entre los procesos del negocio y los sistemas de
informacin, lo cual contribuir a obtener mayor productividad, minimizar los tiempos de operacin que ayudan a la calidad y optimizacin del servicio al cliente, pues la cajera no tendr que manipular dos sistema, y de igual forma garantizar que la informacin que arroja el sistema sea efectiva para la toma de decisiones de la gerencia. Soporte Tcnico: al tratarse de una Microempresa, Plano digital no cuenta con un rea de Sporte tcnico o Informtica, por ende no posee planes estratgicos que aseguren el buen funcionamiento de los sistemas, as como de la infraestructura, seguridad tanto de Hardware como de Software. Los mantenimientos, reparaciones de Hardware y Administracin de los sistemas estn a cargo del Gerente propietario, quien posee conocimientos de Informtica y actualmente estudia Ingeniera en Sistemas. Recursos Humanos: Segn las entrevistas, encuestas y la nmina de la empresa (Anexo No. 4) los colaboradores no tienen seguro, planes de incentivo y motivacin al personal, capacitaciones etc. Por lo que se debe evaluar el porqu.
CAPTULO 2 METODOLOGA DE LA AUDITORA
2.1 ASIGNACION DEL RANGO DE LOS AUDITORES
Nombre del Auditor Jessenia Espinoza Mara de los ngeles Maradiaga Ruiz Martn Montenegro Valverde
Rango Auditor General Junior Junior
Salario C$ 12,000 C$8,000 C$8,000
Los costos de la auditora, se encuentran especificados en los anexos 2.2 ENFOQUE DE LA AUDITORA
El enfoque de sta auditora hace uso del modelo de referencia COBIT
Para la realizacin de esta auditora se ha tomado en cuenta la metodologa COBIT ya que es un conjunto de herramientas que nos ayudarn a evaluar la seguridad, eficacia, calidad y eficiencia de los sistemas de informacin que actualmente utiliza Plano Digital para optimizar sus operaciones.
Al utilizar esta metodologa nos permitir determinar los requerimientos de control, consideraciones tcnicas y riesgos de la empresa, al mismo tiempo nos permitir medir el desempeo y cumplimiento de las metas, nivel de madurez de los procesos de la organizacin.
De igual forma, los criterios de informacin de COBIT aseguran que la informacin obtenida en la auditora sea efectiva, consistente y utilizable, que sea generada de manera ptima a fin de que la gerencia la utilice correctamente para la buena administracin del negocio.
CAPTULO 3 AUDITORA DE LA GESTIN DE TI
3.1.1 SITUACIN ACTUAL DEL NEGOCIO
3.1.2 INFRAESTRUCTURA TECNOLGICA
HARDWARE Y SOFTWARE Se encuentran detallados en el Inventario. Ver Anexo No. 3
INTERCONECTIVIDAD El nico sistema que se encuentra en red, es el Handy Caf, que se utiliza para los servicios de Internet, ste cuenta con un servidor que es el que maneja la Cajera (encargada de agregar tiempo a los clientes), para su enlace se utilizan 3 Switch (ver Anexo No. 4). El UNIFILE, no se encuentra en red pero el gerente se conecta al
servidor va remota y de esta forma puede manipular los sistemas.
Los servicios de impresin estn basados en protocolo TCP/ IP, por lo que cualquier equipo puede enviar la orden directamente a la impresora segn el servicio proporcionado:
Los equipos clientes, el servidor y el equipo del gerente solamente pueden enviar las solicitudes de impresin a la impresora HP Laser Jet 4050 (ver Anexo No. 4).
Los Mostradores 1 y 2, utilizados para la atencin al cliente, no tienen accesos a internet y pueden enviar solicitudes de impresin a todos los equipos incluyendo los plotters y su escner (ver Anexo No. 4).
SEGURIDADES Para el anlisis de la seguridad, nos basamos en la norma ISO 2700. La informacin obtenida se fue soportada a travs de los cuestionarios de las entrevistas hechas.
Este estndar contiene controles de seguridad, los cuales fueron evaluados en la empresa. Dichos controles se mencionan a continuacin con sus respectivos hallazgos:
Poltica de Seguridad No cuenta con polticas de seguridad definidas, debido al tamao del negocio.
Organizacin de la Informacin de Seguridad Al tratarse de una microempresa, sta no posee una organizacin de la informacin, no realiza tareas bsicas como, elaboracin de cronogramas de actividades, coordinacin de responsabilidades a nivel interno. Es decir que como no cuenta con un rea informtica no realizan planes estratgicos para dichas coordinaciones y tareas que velen por la seguridad.
Administracin de los recursos La empresa cuenta con un inventario detallado de hardware, no as de software y configuraciones de red, los inventarios no tienen un formato en particular. Los equipos ocupados para la atencin al cliente se encuentran asignados por usuario (ver anexo No. 3).
Seguridad de los Recursos Humanos
Antes del empleo: Durante el proceso de contratacin, se definen las responsabilidades y roles as como trminos y condiciones de empleo.
Durante el Empleo: Como se ha venido mencionando desde el principio la empresa no cuenta con un rea informtica y que el soporte tcnico de los equipos es asistido por el gerente
propietario. Dicho esto es evidente que no se encuentran definidos los roles puesto que es solo una persona la encargada de llevar su administracin, por lo tanto las actividades se realizan de cuerdo a las necesidades que se presenten en el momento.
Seguridad fsica y del entorno Areas de seguridad: El negocio no cuenta con un guarda de seguridad que proteja los activos del negocio, y las pertenencias de los clientes.
Seguridad de elementos: No existen medidas de proteccin contra incendios No se tiene un correcto empleo del material informtico, como seguridad fsica de los equipos, conexiones elctricas. En cuanto a la seguridad de red, el cableado no se encuentra asegurado mediante canaletas.
Seguridad del Software Handy Caf: Existen ciertos clientes que desde las estaciones de trabajo logran manipular de alguna manera el sistema a fin de bloquear el tiempo que adquieren, de tal forma que el servidor del Handy Caf no siga administrando el tiempo del usuario en esa estacin de trabajo. Sin embargo desde el sistema se puede visualizar que esta estacin de trabajo est inactiva, detectando as que el usuario manipul con alevosa y ventaja dicho sistema. El problema es que el operario del sistema no siempre est observando el comportamiento del mismo, por lo que no existe una seguridad efectiva desde esa perspectiva.
Administracin de las comunicaciones y operaciones Procedimientos operacionales y responsabilidades: No se posee un plan de correcta manipulacin de la informacin, para documentar procedimientos del uso de la informacin por pate de los
colaboradores, solamente se les comunica de forma verbal el cuido de los equipos y la informacin.
Resguardo: Hasta el momento no se cuenta con una poltica de respaldos, se los realiza de acuerdo a la ocasin en caso extremo por ejemplo de formatear una mquina.
Administracin de las seguridades de las redes: El gerente propietario es el encargado de realizar monitoreo y proteccin de sta, sin embargo no se cuenta con controles documentados.
Control de acceso Administracin del acceso a usuario: Los sistemas son asegurados mediante login y password para prevenir el acceso no autorizado.
Responsabilidad del usuario El negocio no posee normativas que garanticen que los colaboradores se hagan responsables del cuido y manejo del Hardware y Software de los equipos.
Control de acceso a redes: El acceso a la red es administrada por el gerente propietario, no se implementan herramientas de administracin remota a nivel externo, por lo que si se presentase un problema, el administrador se acerca a cada equipo para localizar el problema y as solucionarlo, pero en s no existe una poltica de control de acceso.
Adquisicin de sistemas de informacin, desarrollo y mantenimiento Administracin tcnica de vulnerabilidades
En caso de que existe una vulnerabilidad en la aplicacin, el gerente propietario comunica al proveedor del UNIFILE dicha vulnerabilidad para que encuentre la solucin del problema.
Administracin de la continuidad del negocio Aspectos de la seguridad de la informacin en la continuidad del negocio: No se cuenta con un plan de la continuidad del negocio para prevenir que los sistemas sufran interrupciones sobre las actividades o tareas que se realizan. Por ejemplo; si el servidor le ocurre algn imprevisto y se detiene, no se cuenta con otro equipo que lo reemplace y las operaciones se tendran que detener.
Marco legal y buenas prcticas (legales, de estndares y auditoras)
No se cuenta con licencia de los sistemas operativos y utilitarios.
El antivirus y sistema UNIFILE, cuentan con sus licencias respectivas.
A pesar de que esta empresa es relativamente joven, nunca se ha realizado una auditora de las tecnologas de la informacin.
3.1 REALIZACIN DE LA AUDITORA 3.1.1 OBJETIVOS DE LA AUDITORA.
Realizar el anlisis y auditora en Plano Digital.
Utilizar como marco de referencia COBIT a fin de aportar a la mejora continua de las TI de esta empresa a travs de recomendaciones realizadas con los anlisis exhaustivos.
Presentar un informe tcnico y ejecutivo que muestre los puntos fuertes y dbiles de las TI de la empresa.
3.1.2 MODELOS DE MADUREZ
Como ya se sabe la aplicacin de los modelos de madurez para los 34 procesos de TI de COBIT, ayudarn a identificar a la administracin de Plano Digital:
Su desempeo real, es decir, dnde se encuentra en la actualidad la empresa. El estatus actual de la industria, La comparacin. El objetivo de la mejora de la empresa, Donde desea estar la empresa.
Estos modelos de madurez poseen una escala de medicin creciente a partir de 0, no existente, hasta 5, optimizado. Esto es til para la empresa, ya que podr autoevaluarse y de esta forma determinar qu se debe hacer si se requiere una mejora. A continuacin se presenta la tabla de modelo de madurez genrico a usarse en esta auditora:
0 NO EXISTE 1 INICIAL / AD HOC 2
Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha
reconocido que los problemas existen y requieren ser resueltos. El enfoque general hacia la administracin es desorganizado. No hay entendimiento o comunicacin formal de los procedimientos estndar, y se

REPETIBLE PERO INTUITIVO
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
conocimiento de los individuos y por tanto, los errores son muy probables. Los procedimientos se han estandarizado y 3 PROCESO DEFINIDO documentado, y se han difundido a travs de entendimiento. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Es 4 ADMINISTRADO Y MEDIBLE posible monitorear y medir el
cumplimiento de los procedimientos. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Los procesos se han refinado hasta el nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un 5 OPTIMIZADO modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapta de manera rpida.
3.2 PLANEAR Y ORGANIZAR Este dominio nos permitir analizar la planeacin y organizacin desde diferentes aspectos.
3.2.1 PO1 DEFINIR UN PLAN ESTRATGICO DE TI
De acuerdo a las respuestas de la encuesta y las entrevistas con el gerente, la empresa no cuenta con un plan estratgico de TI, es un proceso inexistente. Su nivel de madurez es 0 (cero) porque la gerencia no tiene conciencia a cerca de la importancia de la planeacin estratgica de TI que sirven para dar soporte a las metas del negocio.
3.2.2 PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIN Segn el gerente la definicin de la arquitectura de la informacin es un proceso inexistente, la empresa no posee un modelo de arquitectura que optimice el uso de su informacin. Este proceso tambin se ubica en el nivel 0 (cero).
3.2.3 PO3 DETERMINAR LA DIRECCIN TECNOLGICA La empresa no cuenta con personal tcnico especializado que posea el conocimiento y experiencia necesarios para desarrollar un buen plan que gue a la organizacin hacia un acertado cambio tecnolgico, por tanto se ubica en el nivel 0 (cero).
3.2.4 PO4 DEFINIR LOS PROCESOS ORGANIZACIN Y RELACIONES DE TI No existen procesos, organizacin ni relaciones de TI, no cuenta con personal para el desarrollo de un marco de trabajo de procesos de TI que aseguren la transparencia y el control. Se localiza en el nivel 0 (cero).
3.2.5 PO5 ADMINISTRAR LA INVERSIN EN TI No existe una administracin de inversin para TI, la inversin se da cuando se requiere una adquisicin. Su nivel de madurez es 0 (cero)
3.2.6 PO6 COMUNICAR LA ASPIRACIONES Y LA DIRECCIN DE LA GERENCIA Se localiza en el nivel 1 (uno) porque los mtodos de elaboracin y comunicacin de las aspiraciones son informales, las polticas y procedimientos de la direccin gerencial son desorganizados debido a que el nivel gerencial no ha realizado reuniones formales para poder crearlos.

3.2.7 PO7 ADMINISTRAR RECURSOS HUMANOS DE TI
La administracin de los recursos humanos de TI y en general no cuenta con un proceso previamente establecido que siga prcticas definidas y aprobadas, por lo que su nivel de madurez se ubica en el nivel 0 (cero) porque no existe una persona asignada formalmente, no existe conciencia de la necesidad del proceso en la organizacin. 3.2.8 PO8 ADMINISTRAR LA CALIDAD La administracin de la calidad en la empresa es un proceso inexistente, el personal administra la calidad de su trabajo y sin supervisin, por tanto este se encuentra en el nivel 0 (cero). Todo se realiza de manera intuitiva y desorganizada. 3.2.9 P09 PLANEAR Y ORGANIZAR LOS RIESGOS DE TI La evaluacin y administracin de los riesgos de TI es un proceso inexistente en la empresa porque no cuenta con un marco de trabajo que identifique, analice y evale cualquier impacto potencial sobre las metas de la organizacin causado por algn evento no planeado. La empresa no tiene conciencia de su importancia por tanto se ubica en el nivel 0 (cero) 3.2.10 PO10 ADMINISTRAR PROYECTOS Este tambin es un proceso inexistente dado el tamao de la empresa, no se evalan ni se llevan a cabo ningn proyecto. Su nivel de madurez es 0 (cero).

RESUMEN DEL DOMINIO PLANERAR Y ORGANIZAR TABLA No. 1 DOMINIO: PLANEAR Y ORGANIZAR
NIVEL DE MADUREZ ACTUAL CERO CERO CERO CERO CERO UNO CERO CERO CERO CERO
PROCESO
NIVELES DE MADUREZ
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10
Definir un plan estratgico de TI Definir la arquitectura de la Informacin Determinar la direccin tecnolgica Definir los procesos, organizacin y relacione de TI Administrar la inversin en TI Comunicar las aspiraciones y direccin de la gerencia Administrar recursos humanos de TI Administrar la calidad Evaluar y administrar los riesgos de TI Administrar proyectos
Como se muestra en la tabla No. 1, en este dominio lo mayora de los procesos tiene un grado de madurez de nivel CERO, estos deben se motivo de especial atencin por parte de la gerencia y su implantacin debe regirse a la prioridad de implementacin descrita para procesos primarios y secundarios segn sea el caso. De acuerdo con la metodologa COBIT, la empresa en este dominio carece completamente de algn proceso con metodologa especfica y definida. Plano Digital Ignora la necesidad de implementar estos procesos para solucionar sus problemas. Tambin se puede notar que su administracin es desorganizada y slo existe comunicacin eventual sobre los problemas. 3.3 ADQUIRIR E IMPLEMENTAR Este dominio trata sobre la adquisicin e implementacin de soluciones de TI que se integrarn con los procesos de Plano Digital.
NIVEL DE MADUREZ RECOMENDADO DOS DOS DOS DOS DOS DOS DOS DOS DOS UNO
3.3.1 AI1 IDETNTIFICAR SOLUCIONES AUTOMATIZADAS La identificacin de soluciones automatizadas es un proceso inexistente en la empresa porque no cuenta con una metodologa definida para analizar la compra o el desarrollo de una nueva aplicacin que garantice que los requisitos del negocio se cumplan de manera efectiva y eficiente. Su grado de madurez es de 0 (cero).
3.3.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO La adquisicin y mantenimiento de software aplicativo es un proceso inexistente en la empresa porque no cuentan con una metodologa que permita a la organizacin apoyar a la administracin del negocio de manera apropiada usando aplicaciones automatizadas correctas. Por lo tanto el nivel de madurez es 0 (cero) porque la empresa no cuenta con un procedimiento que disee las aplicaciones empresariales. 3.3.3 AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA La adquisicin y mantenimiento de infraestructura tecnolgica es un proceso inexistente en la empresa porque no cuentan con un enfoque planeado para adquirir, mantener y proteger la infraestructura, por eso se ubica en el nivel 0 (cero) de madurez. 3.3.4 AI4 FACILITAR LA OPERACIN Y EL USO El facilitar la operacin y el uso es un proceso inicial y desorganizado porque la empresa no cuenta con documentacin del sistema, manuales de usuarios, manuales de operacin y materiales de entrenamiento. Su nivel de madurez es 1 (uno). 3.3.5 AI5 ADQUIRIR RECURSOS DE TI La adquisicin de recursos de TI es un proceso inexistente en la empresa porque no cuenta con una correcta definicin y ejecucin de los procedimientos de adquisicin. Su nivel de madurez es 0 (cero). 3.3.6 AI6 ADMINISTRAR CAMBIOS
La administracin de cambios es un proceso inexistente en la empresa porque no cuenta con un procedimiento correcto de administracin formal y controlado, relacionado con la infraestructura y las aplicaciones dentro de la empresa. Por esto su nivel de madurez es de 0 (cero). 3.3.7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS La instalacin y acreditacin de soluciones y cambios es un proceso inexistente en el negocio porque no cuenta con un procedimiento correcto que administre la postimplantacin de sistemas en la empresa. Su nivel de madurez es 0 (cero). RESUMEN DEL DOMINIO ADQUIRIR E IMPLEMENTAR TABLA No. 2 DOMINIO: ADQUIRIR E IMPLEMENTAR NIVEL DE MADUREZ ACTUAL NIVEL DE MADUREZ RECOMENDADO UNO UNO UNO TRES DOS UNO UNO
PROCESO
NIVEL DE MADUREZ
AI1 AI2 AI3 AI4 AI5 AI6 AI7
Identificar soluciones automatizadas Adquirir y mantener software aplicativo Adquirir y mantener infraestructura tecnolgica Facilitar la operacin y el uso Adquirir recursos de TI Administrar cambios Instalar y acreditar soluciones y cambios
CERO CERO CERO UNO CERO CERO CERO
Como se muestra en la tabla No. 2, en este dominio la mayora de los procesos tienen un grado de madurez de nivel CERO, estos deben se motivo de especial atencin por parte de la gerencia y su implantacin debe regirse a la prioridad de implementacin descrita para procesos primarios y secundarios segn sea el caso. De acuerdo con la metodologa COBIT, la empresa en este dominio carece completamente de algn proceso con metodologa especfica y definida. Plano Digital Ignora la importancia de implementar estos procesos para solucionar sus problemas.

3.4 ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega y el soporte de los servicios requeridos por Plano Digital.
3.4.1 DSI DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO La definicin y administracin de los niveles de servicio es un proceso inexistente en la empresa porque no cuentan con una documentacin de acuerdos de niveles de servicio de TI con respecto a los servicios requeridos, que refuerce la comunicacin entre la gerencia de TI y el personal de la empresa. El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de los beneficios de tener un responsable que controle y documente la administracin de acuerdos de niveles de servicio en la empresa.
3.4.2 DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS En la administracin de los servicios de terceros es un proceso desorganizado en la empresa, porque no existe un ente que asegure que los servicios provistos por terceros cumplan con los requerimientos del negocio. El proceso para administrar los servicios de terceros se encuentra en el nivel de madurez 1 (uno) porque la empresa no cuenta con un procedimiento definido para este proceso, adems no tiene condiciones estndar para convenios con prestadores de servicios y todo se realiza de manera informal y desorganizada.
3.4.3 DS3 ADMINISTRAR EL EMPEO Y LA CAPACIDAD La administracin de desempeo y la capacidad de los recursos de TI es un proceso inexistente en la empresa, ya que no existe un procedimiento continuo que evalu la capacidad disponible para asegurar que se est alcanzando el desempeo deseado. Este proceso se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de la necesidad de llevar a cabo un proceso de planeacin de la capacidad y no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeo de TI.
3.4.4 DS4 GARANTIZAR LA CONTINUEDAD DEL SERVICIO
Se conoce que garantizar la continuidad del servicio de TI es un proceso inexistente en la empresa, porque no cuentan con un ente administrador que se encargue de desarrollar los planes de continuidad de TI, as como tampoco cuentan con un procedimiento para almacenar respaldos fuera de las instalaciones. Este proceso se encuentra en el nivel de madurez 0 (cero) porque no se tiene conciencia que es importante entender los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto del negocio por la prdida de los servicios de TI. 3.5.5 DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS La seguridad de los sistemas es un proceso nulo o inexistente en la empresa porque no cuentan con un procedimiento de administracin de la seguridad que incluya el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI, monitoreo de seguridad y pruebas peridicas a los sistemas y todos los activos de TI de la empresa. Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tiene conciencia de la necesidad de la seguridad de los sistemas, no estn asignadas las responsabilidades y rendicin de cuentas para garantizar la seguridad y las medidas para soportar y administrar la seguridad no estn implementadas. 3.5.6 DS6 IDENTIFICAR Y ASIGNAR COSTOS La identificacin y asignacin de costos es un proceso inexistente en la empresa porque no cuentan con un proceso de construccin y operacin de un sistema justo y equitativo para distribuir y reportar los costos de TI a los usuarios de los servicios en la empresa. El proceso de identificacin y asignacin de costos se localiza en el nivel de madurez 0 (cero) porque la gerencia no reconoce que hay un problema que debe atender respecto a la contabilizacin de costos y que no hay comunicacin respecto a este asunto. Hay una completa falta de cualquier proceso reconocible de identificacin y distribucin de costos en relacin a los servicios de informacin brindados.
3.5.7 DS7 EDUCAR Y ENTRENAR A LOS USUARIOS La educacin y el entrenamiento a los usuarios un proceso inicial y desorganizado en la empresa porque ni cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educacin efectiva de los usuarios que usan los sistemas de TI. Este proceso se localiza en el nivel de madurez 1 (uno) porque la organizacin no tiene un programa de entrenamiento y educacin con procedimientos estandarizados, sus
empleados reciben capacitacin individual e informal. A nivel gerencial hay comunicacin ocasional respecto a los problemas y enfoques para hacerse cargo del entrenamiento y la educacin.
3.5.8 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES Se conoce que la administracin de la mesa de servicio y .los incidentes es un proceso inexistente en la empresa porque no cuentan con una mesa de servicios (help desk) bien diseada y ejecutada que responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI. Este proceso se localiza en el nivel de madurez cero porque la gerencia no tiene conciencia que hay un problema que atender, no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para administracin de incidentes.
3.4. 9 DS9 ADMINISTRAR LA CONFIGURACIN Es un proceso inexistente porque no cuenta con un documento completo y preciso que gue las configuraciones de hardware y software que se realicen en la empresa. Su nivel de madurez es 0 (cero). 3.4.10 DS ADMINISTRAR LOS PROBLEMAS Es un proceso inexistente porque no cuenta con una efectiva administracin de problemas que requiere de identificacin y clasificacin de problemas, anlisis de la causa de su raz, resolucin de problemas. Su nivel de madurez es 0 (cero). 3.4.11 DS11 ADMINISTRAR LOS DATOS La administracin de los datos es un proceso inicial y desorganizado en la empresa porque no cuenta con un procedimiento definido que contemple metodologas efectivas para administrar los respaldos, la recuperacin de datos y la eliminacin apropiada de medios de almacenamiento, por esto se ubica en el nivel 1 (uno). 3.4.12 DS12 ADMINISTRAR EL AMBIENTE FSICO
Es un proceso inicial y desorganizado porque no cuenta con la debida proteccin del ambiente de cmputo ni del personal, as como tampoco disponen de instalaciones bien diseadas ni administradas que controlen el acceso fsico de personas no autorizadas a departamentos sensibles de la organizacin. Su nivel es 1 (uno). 3.4.13 DS13 ADMINISTRAR LAS OPERACIONES Es un proceso inexistente, no cuenta con procedimientos de informacin apropiados, efectiva administracin del mantenimiento del hardware que incluya definicin de polticas y procedimientos de operacin parta una administracin efectiva de las operaciones, monitoreo de infraestructura y mantenimiento preventivo. Su nivel de madurez es 0 (cero).
DOMINIO: ENTREGAR Y DAR SOPORTE NIVEL DE MADUREZ ACTUAL CERO UNO CERO CERO CERO CERO UNO CERO CERO CERO UNO UNO CERO NIVEL DE MADUREZ RECOMENDADO UNO DOS UNO UNO DSO UNO TRES DOS DOS DOS TRES TRES DOS
PROCESO
NIVEL DE MADUREZ
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir y administrar los niveles de servicio Administrar los servicios de terceros Administrar el desempeo y la capacidad Garantizar la continuidad del servicio Garantizar las seguridad de los sistemas Identificar y asignar costos Educar y entregar a los usuarios Administrar la mesa de servicio y los incidentes Administrar la configuracin Administrar los problemas Administrar los datos Administrar el ambiente fsico Administrar las operaciones

3.5 MONITOREAR Y EVALUAR
Los procesos de TI de Plano Digital, deben evaluarse regularmente en cuanto a la calidad y el cumplimiento de los requerimientos de control.
3.5.1 ME1 MONITOREAR Y EVALUAR EL DESEMPEO DE TI El monitoreo y la evaluacin del desempeo de TI es un proceso inexistente en la empresa porque no cuenta con ningn tipo de monitoreo ni sistema de soporte, que ayude al correcto financiamiento de los requerimientos de TI y que garantice que las cosas se hagan de una manera correcta y que estn de acuerdo con los estndares y polticas que necesita la empresa. El proceso para evaluar y monitorear el control interno se localiza en el nivel de madurez cero porque la empresa carece de procedimientos que le permita monitorear la efectividad de los controles internos, no existen mtodos de reporte de control interno gerencial, y adems la gerencia y el personal de la empresa no tiene conciencia sobre la seguridad operativa.
3.5.2 ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO En la empresa Plano Digital garantizar el cumplimiento regulatorio es un proceso inexistente, ya que no cuenta con un procedimiento independiente de revisin que de garanta al cumplimiento de las leyes y regulaciones e incluya la definicin de un estatuto de auditora, independencia de los auditores, tica y estndares profesionales, planeacin, desempeo del trabajo de auditora, reportes y seguimiento a las actividades que debe cumplir una auditoria. Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tienen conciencia de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.
3.5.3 ME4 PROPORCIONAR GOBIERNO DE TI Conocemos que el proporcionar un gobierno de TI es un proceso inexistente en la empresa porque no cuentan con un procedimiento efectivo que incluya la definicin de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para el rea de TI. Este proceso se localiza en un nivel de madurez 0 (cero) debido a que la gerencia no reconoce que existe un problema que debe ser solucionado porque no tiene conciencia de
la importancia de tener un procedimiento reconocible con relancion al gobierno de TI en la organizacin.
TABLA N 1 DOMINIO: MONITOREAR Y EVALUAR DE DE NIVEL MADUREZ RECOMENDADO UNO UNO DOS DOS
PROCESO
NIVEL DE MADUREZ
ME1 ME2 ME3 ME4
Monitorear y evaluar el desempeo de TI Monitorear y evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI
CERO CERO CERO CERO
Como se muestra en la tabla 3 en este dominio todos los procesos tienen un grado de madurez de nivel CERO, por ello la empresa debe dar especial atencin a los mismos y su implantacin debe regirse a la prioridad de implementacin descrita para procesos primarios y secundarios segn sea el caso. Segn COBIT este nivel establece que la organizacin carece completamente de algn proceso con metodologa especifica y definida, Plano Digital, no reconoce la importancia de implantar estos procesos para solucionar sus problemas, existe un alto riesgo de deficiencias e incidentes de control y estos se manejan conforme van surgiendo.
NIVEL MADUREZ ACTUAL
ANEXOS
Anexo No. 1 FOTOS DEL LOCAL
Anexo No. 2 FORMATO DE ENTREVISTAS PREVIAS FORMULARIO DE ENCUESTA
Lea detenidamente el siguiente cuestionario y marque con una X la respuesta que ms se ajuste a su realidad. Conteste con mucha sinceridad
A - Con respecto a la empresa. 1. Todos los miembros de la empresa conocen su misin?
SI
Parcialmente
NO
2. Se sigue un plan estratgico para lograr cumplir esa misin?
SI
Parcialmente
NO
3. La empresa cuenta con una poltica de seguridad de la informacin debidamente publicada y comunicada a todos los miembros del negocio?
SI
Parcialmente
NO
4. Se ejecutan controles en las diferentes reas de la organizacin para garantizar la seguridad de la informacin?
SI
Parcialmente
NO
5. Existen responsabilidades definidas para la proteccin de equipos y para el cumplimiento de procesos de seguridad?
SI
Parcialmente
NO
6. Un profesional en particular se encarga de asegurar la consistencia y proveer ayuda en la toma de decisiones que tenga que ver con la seguridad?
SI
NO
7. La empresa establece trminos y condiciones sobre la responsabilidad de sus empleados en la seguridad de la informacin?
SI
Parcialmente
NO
8. Existen controles para permitir la entrada nicamente del personal autorizado en las reas ms vulnerables de la organizacin?
SI
Parcialmente
NO
9. Las polticas de seguridad son revisadas y actualizadas peridicamente?
SI
Parcialmente
NO
10. Los planes de contingencia son revisados y actualizados peridicamente? SI Parcialmente NO
11. Existe alguna poltica para la definicin de perfiles de usuario del sistema de informacin?
SI
Parcialmente
NO
B - Con respecto a los sistemas informticos utilizados en la empresa
12. Utiliza los sistemas?
Siempre
Frecuentemente
Nunca
13. El sistema le ayuda. Cmo?
Almacenamiento
Toma de decisiones
Otros
Si su respuesta es Otros. Especifique la manera (as) ________________________________________________________ ________________________________________________________
14. Ha experimentado problemas con el sistema?
SI
NO
Si su respuesta es SI. Especifique que qu tan a menudo se presentan estos problemas.
Siempre
Frecuentemente
Poco
15. Estn implementados controles de seguridad apropiados sobre los sistemas de informacin para impedir el acceso a terceros?
SI
Parcialmente
NO
16. Los tipos de acceso al sistema estn debidamente identificados y clasificados en base a razones justificables?
SI
Parcialmente
NO
17. Los respaldos de su informacin los realiza personalmente? SI NO
Si su respuesta es SI. Explique dnde obtiene sus respaldos, dnde los almacena y cmo los usa. ____________________________________________________________ ____________________________________________________________ 18. Estn los equipos protegidos contra apagones usando la permanencia de las fuentes de alimentacin tales como UPSs o generadores de energa auxiliar?
SI
Parcialmente
NO
19. Existe un procedimiento de administracin de incidentes para manejar problemas de seguridad en el sistema de informacin?
SI
Parcialmente
NO
20. Todo el software instalado en los equipos de la organizacin cuenta con sus respectivas licencias?
SI
NO
21. El software antivirus actualizado est instalado en todos los equipos de la organizacin?

SI NO
22. Se realiza peridicamente copias de seguridad o respaldos de la informacin ms relevante del sistema de informacin?
SI
NO
23. Los respaldos de la informacin son almacenados en lugares seguros y alejados de la organizacin?
SI
Parcialmente
NO
24. Estn definidos procedimientos para monitorear el uso de la informacin y su procedimiento de manera que los usuarios realicen slo las actividades a las que estn autorizados?
SI
Parcialmente
NO
25. Se cuentan con polticas para el establecimiento de contraseas seguras?
SI
Parcialmente
NO
26. Existen planes de contingencia para la recuperacin del sistema de informacin frente a cualquier tipo de desastre o amenaza?
SI
Parcialmente
NO
27. Los sistemas de informacin son evaluados regularmente para verificar que cumplan con las polticas de seguridad establecidas por la organizacin?

SI NO
C- Con respecto a los Recursos Humanos
28. La empresa les brinda algn tipo de seguro? SI NO
Si su respuesta es SI
Explique
29. La empresa le ofrece algn tipo de capacitacin en el rea en la cual se desempea? SI NO
Si su respuesta es SI
Cada cuanto. Explique
D- Con respecto a la red

30- La empresa cuenta con una red? SI NO
31- Existen polticas y estrategias de seguridad en cuanto a las redes implementadas? SI NO
32- Quines fueron los encargados de implementar la red? _______________________________________________________________ _______________________________________________________________
33- Qu tipo de red tiene la empresa?
LAN
MAN
WAN
34- Qu tipo de cableado utiliz?
35- Se han hecho modificaciones a la red ltimamente? SI NO
36- Qu tipos de servicios brinda la red?
37- Cuntos servidores poseen?
38- Especifique la asignacin de los servicios por cada servidor
39- Qu tipos de medios de interconexin utilizan? Explique
40- Cul es el ancho de banda con que cuenta la empresa?
41- Poseen un control de los IP asignados?
42- Cuenta con una tabla de enrutamiento?
43- Especifique los nmeros IP asignados por rea, usuario, su clase y mascara de red
44- Especifique, cuenta con un servidor cortafuego?
45- Si su respuesta es si. Enumere los firewall que utiliza y el tipo
46- Qu tipos de medios de interconexin utiliza como punto de entrada a la red interna?
47- Quines son los encargados de realizar el mantenimiento de la red?
48- Existen planes de mantenimiento?
49- En qu consiste el plan de mantenimiento y con qu frecuencia se realiza
E. Con respecto al Mantenimiento de los Equipos 50- Los equipos reciben mantenimiento? SI NO
Si su respuesta es no. Qu equipos no reciben mantenimiento. Explique? ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ __________________________________________________________________
51- Qu tipo de mantenimiento reciben? ___________________________________________________________________ 52- Cada cuanto se le da mantenimiento?

Semanal Mensual Trimestral Otro_________________________
53- Quin realiza las operaciones de mantenimiento de todos los equipos? ____________________________________________________________ ____________________________________________________________ ____________________________________________________________
Anexo No. 3 INVENTARIO DE EQUIPAMIENTO INFORMATICO Nombre del Equipo Capacidad Disco Duro Sistema Operativo Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Respaldo de Energa
Usuario
Procesador
Memoria
Perifricos Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14''
01
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
UPS 550 VA CDP
02
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
UPS 550 VA CDP
03
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
UPS 550 VA CDP
04
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
UPS 550 VA CDP
05
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2 Microsoft Window Xp Profesional Service Pack 2
06
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
07
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
08
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
09
Cliente
Pentium IV 3 GHZ
1024 MB de RAM
80 GB
Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14'' Teclado, Mouse, CDROM, HEADSET, Webcam, CRT 14''
UPS 550 VA CDP
UPS 550 VA CDP
UPS 550 VA CDP
UPS 550 VA CDP
UPS 550 VA CDP
14
Servidor
Yeimi
Core 2 Duo, 3.0 GHZ Pentium IV 3 GHZ Pentium IV 3 GHZ
4GB RAM
1 TB
Windows Server 2008 R2 Windows 7 profesional Windows 7 profesional Windows 7 profesional
Teclado, Mouse, CDROM, CRT 17'' Teclado, Mouse, CDROM, CRT 17'' Teclado, Mouse, CDROM, CRT 17'' N/A
Tripp-lite
15
Mostrador 1
Jonathan
2GB RAM
160 GB
N/A
16 17
Mostrador 2 Gerencia
Freddy Edwin
2GB RAM
160 GB 500 GB
N/A Tripp-lite
Intel Core 2 2GB RAM Duo 1.8 GHZ
EQUIPOS DE IMPRESIN
Cant. 2 1 1 1 1 Nombre Plotter Scanner para planos Impresora B/N Impresora Color Fotocopiadora Marca XEROX XEROX HP HP CANON Modelo 7142 G600 Laser Jet 4050 Laser Jet IR550
Anexo No. 4 PRESUPUESTO MANO DE OBRA
Anexo No. 5 ESTADO DE RESULTADOS
Anexo No. 6 BALANCE GENERAL
PLANO DIGITAL Balance General

Cifras en Crdobas Al 24 de Mayo de 2011
Pgina No.: 1 Fecha de emisin: 24/05/2011 Hora: 09 : 55 AM
Nombre ACTIVOS CIRCULANTES CAJAS BANCOS CUENTAS POR COBRAR FONDOS A TRASLADAR INVENTARIOS MATERIAS PRIMAS TOTAL CIRCULANTES FIJOS INVENTARIO ACTIVOS FIJOS TOTAL FIJOS TOTAL ACTIVOS PASIVOS CIRCULANTES SUPLIDORES OBLIGACIONES CORTO PL PAGOS CP DE OBLIG. LP TOTAL CIRCULANTES FIJOS OBLIGACIONES L/P TOTAL FIJOS TOTAL PASIVOS CAPITAL APORTACIONES DE SOCIO UTIL/PERD PERIODO CORRIENTE TOTAL CAPITAL TOTAL PASIVOS CAPITAL
Valor
4195.51 168.72 4,799.50 357.74 27,131.77 22,484.36 59,137.60 1222,715.16 1222,715.16 1281,852.76
1,998.30 56,596.13 344,713.91 403,308.34 208,008.99 208,008.99 611,317.33 630,591.35 44,931.41 675,522.76 1286,840.09
Edwin Leiva Espinoza Gerente Propietario
Anexo No. 7 PLANO GENERAL DE PLANTA
Anexo No. 8 PLANO DE RED

PROYECTO

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PROYECTO

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

CAPTULO 1 GENERALIDADES DE LA EMPRESA

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

Como se mencion anteriormente la empresa no cuenta con Centro de Cmputos.

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

1.2 Estructura Organizacional y Direccionamiento de la Empresa

Personal de Operaciones (2)

Atencin al cliente Produccin y ventas de bienes y servicios Operaciones Generales

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

CAPTULO 2 METODOLOGA DE LA AUDITORA

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

2.1 ASIGNACION DEL RANGO DE LOS AUDITORES

Rango Auditor General Junior Junior

Salario C$ 12,000 C$8,000 C$8,000

El enfoque de sta auditora hace uso del modelo de referencia COBIT

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

CAPTULO 3 AUDITORA DE LA GESTIN DE TI

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

3.1.1 SITUACIN ACTUAL DEL NEGOCIO

3.1.2 INFRAESTRUCTURA TECNOLGICA

HARDWARE Y SOFTWARE Se encuentran detallados en el Inventario. Ver Anexo No. 3

servidor va remota y de esta forma puede manipular los sistemas.

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

Seguridad de los Recursos Humanos

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

Adquisicin de sistemas de informacin, desarrollo y mantenimiento Administracin tcnica de vulnerabilidades

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

Marco legal y buenas prcticas (legales, de estndares y auditoras)

No se cuenta con licencia de los sistemas operativos y utilitarios.

El antivirus y sistema UNIFILE, cuentan con sus licencias respectivas.

3.1 REALIZACIN DE LA AUDITORA 3.1.1 OBJETIVOS DE LA AUDITORA.

Realizar el anlisis y auditora en Plano Digital.

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

3.1.2 MODELOS DE MADUREZ

0 NO EXISTE 1 INICIAL / AD HOC 2

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

deja la responsabilidad al individuo. Existe un alto grado de confianza en el

3.2.1 PO1 DEFINIR UN PLAN ESTRATGICO DE TI

UNIVERSIDAD NACIONAL DE INGENIERA

Proyecto de Auditora de Sistemas

Si su respuesta es Otros. Especifique la manera (as)

32- Quines fueron los encargados de implementar la red? _ _