Académique Documents
Professionnel Documents
Culture Documents
INTEGRANTES:
KARINA MORALES
ESPINOZA
EDWIN CRUZ PERALTA
EDUARDO RODRIGUEZ
GUTIERREZ
FECHA DE ENTREGA:
20 DE ENERO 2015
Contenido
I. Introduccin.................................................................................................. 3
1.1 origen del estudio............................................................................... 3
1.2 alcance del estudio.............................................................................3
1.3 Generalidades...................................................................................... 3
1.4 Limitaciones......................................................................................... 3
II. Objetivos...................................................................................................... 4
a. Objetivo General:................................................................................... 4
b. Objetivos especficos............................................................................. 4
III. Marco Terico Cobit................................................................................... 5
a. Concepto.................................................................................................. 5
b. Importancia............................................................................................. 5
c. Principios................................................................................................. 5
d. Estructura................................................................................................ 6
e. Modelo de madurez............................................................................... 7
f. MODELO GENERICO DE MADUREZ.......................................................8
IV. DEFINICION DE CONTROLES PARA AUDITORIA DE APLICACIONES......9
1. Controles Administrativos.:..................................................................9
a. Planificacin informtica:..................................................................9
b. Polticas, estndares y procedimientos:.........................................9
c. Organizacin y personal de informtica:........................................9
2. Controles en la entrada de datos......................................................10
a. Procedimiento de control de entrada de datos:..........................10
3. Controles de procesamiento..............................................................10
4. Controles de salida.............................................................................. 11
5. Control de Calidad............................................................................... 11
6. Controles de operacin de sistemas de informacin.....................11
a. Operacin de computadores:..........................................................11
b. Operacin del software del sistema..............................................11
c. Seguridad fsica y lgica..................................................................11
d. Planes de contingencia....................................................................11
7. Controles de archivos..........................................................................12
V. Mtodo para la determinacin del modelo de madurez.....................12
VI. Matriz de seleccin.................................................................................. 15
1
VII. ESTUDIO DE APLICACIONES DE ESCRITORIO A SER AUDITADAS.....16
a. Definicin de los objetivos de control..............................................16
VIII. NIVEL DE MADUREZ.............................................................................. 17
VIII.1 NIVEL DE MADUREZ POR PROCESOS.............................................17
PO7. Administracin de Recursos Humanos.......................................17
PO9. Evaluacin y gestin de riesgos..................................................23
AI3. Adquisicin y mantenimiento de arquitectura TI......................27
AI6. Administrar cambios.......................................................................32
DS3. Administracin de la capacidad Y del Desempeo del Sistema
................................................................................................................... 37
DS5. Garantizar la seguridad de sistema............................................42
DS9. Administracin de la Configuracin............................................47
DS10. Administracin de problemas e incidentes.............................52
DS11. Administracin de datos.............................................................56
VIII.2 NIVEL DE MADUREZ DE LA EMPRESA............................................61
IX. CONCLUSIONES........................................................................................ 64
X. ANEXOS...................................................................................................... 65
X.1 EVIDENCIAS.......................................................................................... 81
I. Introduccin
2
1.1 origen del estudio
1.3 Generalidades
1.4 Limitaciones
3
II. Objetivos
a. Objetivo General:
b. Objetivos especficos
4
III. Marco Terico Cobit
a. Concepto
b. Importancia
c. Principios
5
superior que los estndares de tecnologa para la administracin de sistemas
de informacin. Por lo tanto, Cobit es el modelo para el gobierno de TI.
d. Estructura
6
En esta matriz se toma en cuenta los 4 dominios de COBIT, con sus respectivos
34 procesos con criterios de informacin a cumplir, catalogados en primarios y
secundarios; teniendo que verificar los Recursos de TI disponibles.
e. Modelo de madurez
7
Contra estos niveles se desarroll para cada uno de los 34 objetivos de
procesos de Cobit la administracin puede mapear:
8
Figura 3.3: Modelo de Madurez
La grafica anterior muestra las escalas del modelo de madurez, las cuales
permiten que los profesionales de la auditora puedan explicar a la
administracin dnde se encuentran los defectos en la administracin de
controles en los procesos de tecnologa informtica y puedan establecer
objetivos de control donde sean requeridos. Especficamente, el nivel de
madurez en la administracin se basar en el grado de dependencia de la
empresa en la tecnologa informtica, en lo sofisticado de su tecnolgica y,
ms importante, en el valor de su informacin.
1. Controles Administrativos.:
a. Planificacin informtica:
9
forma de ingresar los datos de los pacientes, el anlisis realizado por la
aplicacin y la obtencin de los resultados, etc.
10
los datos a ser llenados: ID, el nombre del paciente, la fecha, direccin,
telfono, fecha de nacimiento, peso, altura, e-mail.
3. Controles de procesamiento
4. Controles de salida
5. Control de Calidad
La clnica no posee personal informtico para la evaluacin del control de
calidad en las aplicaciones del rea de cardiologa.
a. Operacin de computadores:
11
La clnica no posee un estudio costo beneficio en la adquisicin del
software, la aplicacin fue comprada y adquirida junto con su licencia. No
mantienen por escrito los problemas ocasionados en uno de los softwares.
d. Planes de contingencia
No cuentan con planes de contingencia escritos en caso de cualquier
interrupcin o dao del servicio de sus aplicaciones. Aunque si poseen
respaldos de informacin en caso de prdidas de informacin valiosa de sus
aplicaciones.
7. Controles de archivos
o Nada = 0
o Un poco = 0.33
o Bastante = 0.66
o Totalmente = 1.00
SI = 1.00
NO = 0
12
Ecuacin para determinar el grado de madurez:
RC
NM
TC X 100
Por medio del siguiente cuadro se determinan los clculos necesarios para
obtener el Nivel de madurez; el punto A del cuadro indica los niveles de
madurez aplicados (0-5), el punto B es el resultado de la calificacin,
obtenindose a partir de la suma de los resultados de cada nivel (0-5),
indicando as que valores se obtuvieron del nivel 0, 1, 2, 3, 4 y 5,
posteriormente sumando todos los niveles para obtener el RC general. El
punto C es el nmero de declaraciones (preguntas) que contiene en cada
nivel, sumndose luego para obtener el Total de Calificacin ideal. El punto
D se calcula por medio de la divisin de los puntos B y C. finalmente el
inciso E consiste en conocer el % por cada nivel de madurez (0-5),
multiplicando los resultados del punto D de cada nivel por cien, DX100.
13
PROCESO
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES
MADUREZ DE LA DECLARACION CUMPLIMIENT MADUREZ
CALIFICACION ES O POR
NIVELES DE
MADUREZ
(B/C)
0
1
2
3
4
5
RC TC
% RC %
NM = X 100
TC
Figura 5.1
Valores de cumplimiento de nivel de Madurez
Plantilla Recomendaciones:
14
madurez obtenido (No existente, Inicial, Repetible, Administrado,
Optimizado). A partir de los puntos anteriores en el cuadro se realizan las
recomendaciones generales.
DOMINIO
PROCESO
Nivel de madurez % Observaciones
Cumplimiento
Nivel 0 Grado de madurez:
Nivel 1
Debilidades:
Nivel 2 Fortaleza:
Nivel 3
Nivel 4
Nivel 5
Recomendaciones:
Figura 5.2
Plantilla de Recomendaciones.
Eficiencia
Confidencialidad
Integridad
Confiabilidad
Recursos humanos
datos
Instalaciones
Sistema de
Disponibilidad
15
aplicacin
DOMINIO ITEM PROCESOS
Administraci
n del
PO7
Planeacin Recurso
y Humano P P V
organizaci Evaluacin y
n Administraci
PO9
n de
Riesgos S S P P P S S V V V V V
Adquisicin y
mantenimien
Adquirir e AI3 to de
Implement arquitectura
ar TI P P S V
Administrar
AI6
Cambios P P P S V V V V V
Administraci
n de la
DS3 capacidad y
el
desempeo P P S V V V
Garantizar la
DS5 seguridad del
sistema P P S S S V V V V V
Entrega de
servicios Administraci
DS9 n de la
configuracin P S S V V V
Administraci
n de
DS10
problemas e
incidentes P P S V V V V V
Administraci
DS11
n de datos P P V
Figura 6.1: Matriz de Seleccin
16
Con la seleccin de los procesos a evaluar se representar de los objetivos
de control a evaluar con el propsito de auditar el estado actual de las
aplicaciones, hardware e infraestructura de la clnica plaza Espaa:
Objetivos de Control
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin
18
Nivel # Declaracin Nada Un Bastant Completame Valor de
poco e nte cumplimiento
X 0.66
Nivel de conocimiento del uso de
2 11
extintores
19
2 12 Existe reemplazos del operador si 1
se ausenta?
X
3 13 El operador tiene al alcance el 1
manual de instruccin del uso del
software?
X
3 14 Existe normas o polticas 1
documentadas ante el uso del
hardware
X
3 15 Existe o existi capacitaciones para 0.00
el uso del software y hardware
TOTA 9.61
L
20
PROCESO: Administracin de Recursos Humanos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE MADUREZ
A B C D E
NIVEL DE RESUTADO DE NUMERO DE VALOR DE % POR NIVELES
MADUREZ LA DECLARACIONES CUMPLIMIENTO DE MADUREZ
CALIFICACION POR NIVEL
(B/C)
0 1.00 4 0.25 25%
1 2.97 4 0.742 74%
2 2.98 4 0.745 74%
3 2.00 3 0.67 67%
4 0.33 1 0.33 33%
5 0.33 1 0.33 33%
Total RC=9.61 TC=17
% 9.61 56.52%
NM = X 100
17
No existente repetible
administrado
-0% 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
21
El nivel actual del proceso Administracin de recursos humanos es del
56.52%, estando en la escala Definido, en donde los procedimientos han
sido comunicados a travs de capacitacin. Los procedimientos no son
terminados pero formalizan las prcticas existentes.
RECOMENDACIONES
Nivel 3 La comunicacin y el
desempeo se fundamentan
en una estrategia formal, la
67%
informacin se comunica
oportunamente
22
Nivel 5 Los sistemas de informacin
permiten una gestin de la
informacin interna y externa
con niveles ptimos de
seguridad haciendo la
comunicacin en el personal 33%
de manera gil y oportuna,
permitiendo que los mismos
propongan mtodos
innovadoras para la gestin.
Recomendaciones:
Para el proceso PO7 se requiere:
La administracin y los empleados aceptan el proceso de competencia del puesto.
Capacitacin constante ante el cambio de aplicaciones o recursos si llegase a suceder
Creacin de polticas y normas para futuros empleados, incluyendo un documento disciplinario
como una gua para el desempeo
Figura A.
23
Planeacin
PO9. Evaluacin y gestin de riesgos y
organizaci
n
Misin: Asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisin de servicios de TI
Objetivos de control
PO9.1 Evaluacin del Riesgo del
Negocio
PO9.2 Enfoque de Evaluacin de
Riesgos
PO9.3 Identificacin de Riesgos
PO9.4 Medicin de Riesgos
PO9.5 Plan de Accin contra Riesgos
PO9.6 Aceptacin de Riesgos
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin
24
PROCESO: PO9 Evaluacin y gestin de riesgos
Fecha: 09/12/2014 Nivel de acuerdos TPM-02
Nive # Declaracin Nad Un poco Bastante Totalmente Valor de
l a cumplimien
to
0 1 Documentan o tienen registros de los incidentes, X 0.00
problemas, fallos?
25
aceptacin de riesgos?
13.33
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES
MADUREZ DE LA DECLARACION CUMPLIMIENT MADUREZ
CALIFICACION ES O POR
NIVELES DE
MADUREZ
(B/C)
0 0.66 3 0.22 22%
1 2.66 4 0.665 66.5%
2 3.66 4 0.915 91.5%
3 2.32 3 0.773 77.3%
4 2.00 3 0.666 66.6.%
5 2.00 2 1.00 100%
RC=13.3 TC=19
% 13.3 70%
NM = X 100
19
26
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
Figura 8.10: Escalas Modelo de Madurez.
RECOMENDACIONES
27
Categorizacin de los riesgos e impactos
Seguimientos de planes de contingencias
Figura B.
Adquirir
e
AI3. Adquisicin y mantenimiento de arquitectura impleme
TI
Objetivos de control
AI3.1 Evaluacin de Nuevo Hardware y
Software
AI3.2 Mantenimiento Preventivo para
Hardware
AI3.3 Seguridad del Software del
Sistema
AI3.4 Instalacin del Software del
Sistema
AI3.5 Mantenimiento del Software del
Sistema
AI3.6 Controles para Cambios del
Software del Sistema
Disponibilidad
Cumplimiento
Efectividad
Confidencialid
Integridad
Confiabilidad
Tecnologa
datos
Instalaciones
Sistema de
Recursos
28
aplicaci
ad
humanos
DOMINIO ITEM PROCESOS
Adquisicin y
Adquirir e mantenimien
Implement AI3 to de
ar arquitectura
TI P P S V
29
5 13 Se cuenta con software de base especializado en X 0.33
seguridad
5 14 Se supervisa constantemente el funcionamiento X 0.66
del hardware, verificando al mismo tiempo su
situacin contractual en lo relativo a si est en el
perodo de garanta o bajo contrato de
mantenimiento o sin cobertura de este ltimo?
5 15 Se incluyen revisiones peridicas en relacin a X 0.00
las necesidades del negocio, la gestin de
correcciones y las estrategias de mejora, los
riesgos, las evaluaciones de vulnerabilidades y los
requerimientos de seguridad?
TOTA 6.29
L
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
MADUREZ DE LA DECLARACIO CUMPLIMIENTO MADUREZ
CALIFICACIO NES DE CADA NIVEL
N DE MADUREZ
(B/C)
0 1 3 0.333 33.3%
1 1.66 2 0.83 83%
2 0.33 1 0.33 33%
3 1.32 3 0.44 44%
4 0.99 3 0.33 33%
5 0.99 3 0.33 33%
Total 6.29 15
% 6.29 41.33%
NM = X 100
15
30
No existente repetible administrado
-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
RECOMENDACIONES
31
entendido proceso para
adquirir y dar mantenimiento
de la infraestructura,
aplicaciones de TI, el proceso
respalda a las necesidades de
las aplicaciones crticas del
negocio y concuerda a las
estrategias de negocio
Nivel 4 Se desarrolla el proceso de 33%
adquisicin y mantenimiento a
tal punto que funciona bien
para la mayora de las
situaciones
Nivel 5 El proceso de adquisicin y 33%
mantenimiento es preventivo, y
est estrechamente en lnea a
las aplicaciones crticas del
negocio, siguiendo buenas
practicas respecto a las
soluciones de tecnologas, se
mejora el desempeo a nivel
de personal constantemente
Recomendaciones:
Para el proceso AI3 se requiere:
Documentacin detallando la formalidad de los cambios de aplicaciones y equipos
Desarrollo o compra de aplicaciones para el control inventarios, recursos humanos, expedientes
mdicos
Mejora de la seguridad ante software maliciosos, protegiendo la informacin
Figura C.
32
Adquirir e
implementar
Objetivos de Control
33
Criterios de Informacin Recursos de TI
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Matriz de Seleccin
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
DOMINIO ITEM PROCESOS
Adquirir e
Administrar
Implement AI6
Cambios
ar P P P S V V V V V
Figura 8.17: Matriz de Seleccin AI6.
X
1 3 La organizacin tiene conocimientos 0.00
de los planes y/o ejecuciones de
cambios
34
PROCESO: Administrar Cambios
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
MADUREZ
Existe un proceso o procedimiento
A B C D E
3 6 para asegurar que los sistemas de X 0.00
NIVEL DE RESULTADO NUMERO DE
aplicacin son revisados y testados VALOR DE % POR NIVELES DE
MADUREZ DE de
despus LAun cambio
DECLARACIO
en el sistema CUMPLIMIE MADUREZ
CALIFICACIO
operativo? NES NTO POR
N NIVELES DE
Est establecido un proceso de MADUREZ
4 7 revisin para garantizar la X(B/C) 0.00
0 0.66
implementacin total de los2cambios? 0.33 33%
1 0.00 1 0.00 0%
2 0.99 2 0.495 49.5%
4 3 8 Monitorean el funcionamiento del X 0.00
0.00 1
nuevo hardware y software si llegase
0%
4 0.00 2 0.00 0% 0.00
a ocurrir
5 0.00 2 0.00 0%
Total RC=1.65 TC=10
5 9 Est establecido un proceso para la
definicin, evaluacin y autorizacin
1.65 X 16.5 %
% NM =de emergencia
de los cambios X 100 que no 0.00
sigan el proceso 10
establecido para los
mismos?
TOTA 1.65
L
Figura 8.18: Valor de cumplimiento AI6.
35
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
Figura 8.20: Escalas Modelo de Madurez.
RECOMENDACIONES
DOMINIO: Adquirir e implementar
PROCESO: Administrar cambios
Nivel de madurez % Observaciones
Cumplimiento
Nivel 0 No hay conciencia de que el 33% Grado de madurez: Inicial
cambio puede causar una
interrupcin de TI.
Debilidades:
Nivel 1 Hay documentacin de cambio 0% No existe
pobre o no existente y la documentacin referido
documentacin de ante cambios
configuracin es incompleta y repentinos.
no confiable.
36
manuales de procedimientos y
controles considerables para
garantizar el logro de la
calidad.
Recomendaciones:
Para el proceso AI6 se requiere:
Es necesario una documentacin definiendo clausulas, condiciones, impacto econmico ante un repentino
cambio como gua para el personal
Figura D.
37
Entrega
Recursos de TI de
aplicacinSistema de
Servicios
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Matriz de Seleccin
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
DOMINI ITE
O M PROCESOS
Administr
acin de
Entrega la
DS
de capacidad
3
servicios y el
desempe
o P P S V V V
DS3. Administracin de la capacidad Y del Desempeo
del Sistema
Misin:
Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.
OBJETIVOS DECONTROL
1 Requerimientos de Disponibilidad y Desempeo
2 Plan de Disponibilidad
3 Monitoreo y Reporte
4 Herramientas de Modelado
5 Manejo de Desempeo Proactivo
6 Pronstico de Carga de Trabajo
7 Manejo de Capacidad de Recursos
8 Disponibilidad de Recursos
9 Calendarizacin de Recurso
38
Figura 8.22: Matriz de Seleccin DS3.
Se realizan proyecciones de la
2 4 capacidad y desempeo de los X 0.33
recursos de TI de forma peridica a
fin de minimizar el riesgo de
interrupcin del servicio debido a
falta de capacidad o deterioro del
desempeo?
39
PROCESO: Administracin de la capacidad y del Desempeo del
alcanzan el nivel necesario, como ser
la priorizacin de tareas Sistema
o la
COMPUTO DE LOS de
implementacin VALORES
mecanismos DE deCUMPLIMIENTO DEL NIVEL DE
tolerancia de fallas y prcticas de
asignacin de recursos?
MADUREZ
A B C D E
NIVEL DE RESULTADO
Se NUMERO DE la
monitorea continuamente VALOR DE % POR NIVEL DE
MADUREZ
4 6 capacidad
DE LAy el desempeo
DECLARACIOde los CUMPLIMIENTO MADUREZ 0.00
recursos de TI?
CALIFICACI NES POR NIVEL DE
ON MADUREZ
La demanda de capacidad es (B/C)
4 0 7 supervisada
1 y se hacen proyecciones
1 1 100% 0.00
1 de requisitos
1.66 futuros? 2 0.83 83%
2 0.33 1 0.33 0%
3 0.00 1
Existe un responsable asignado que 0.00 0%
4 8
4 0.00
verifique 3
o pronostique, mediante un 0.00 0%
0.00
5 conjunto0.00
de indicadores de1 medicin 0.00 0%
Total de 2.99
fallas y/o 10
funcionamientos 2.16
irregulares del sistema, problemas de
% desempeo de hardware o software? 29.9%
2.99
NM = X 100
5 9 10tendencias de las
Se identifican las X 0.00
cargas de trabajo y se elaboran
proyecciones a fin de considerar
ambas en los planes de desempeo y
capacidad?
TOTA 2.99
L
Figura 8.23: Valor de cumplimiento DS3.
Inicial definido
optimizado
40
Figura 8.25: Escalas Modelo de Madurez.
41
disponibles para medir el uso
del sistema, el desempeo y la
capacidad, y los resultados se
comparan
con metas definidas.
Recomendaciones:
Para el proceso AI6 se requiere:
Documentacin formal sobre los requisitos de los equipos, aplicaciones como gua al personal
Evaluacin constante de los equipos y aplicaciones
Uso de aplicaciones extra para el mantenimiento de los equipos(desfragmentador de HDD, antivirus
actualizado peridicamente )
Figura E.
42
Entrega de
Servicios
DS5. Garantizar la seguridad de sistema
Cumpl
Tecnol
Dispo
Confid
datos
Confia
Efecti
Recur
Instal
Eficie
Siste
43
oga
imiento
vidad
ncia
encialidad
idad
nibilidad
bilidad
sos humanos
aciones
ma de aplicacin
ITE
DOMINIO M PROCESOS
Entrega Garantizar
de DS5 la seguridad
servicios del sistema P P S S S V V V V V
44
PROCESO: DS5 Garantizar la seguridad de sistema
Fecha: 09/12/2014 Nivel de acuerdos TPM-06
Nivel # Declaracin Na Un Basta Totalme Valor de
da poco nte nte cumplimiento
0 1 El operador tiene al alcance el X 1.00
manual de instruccin del uso del
software?
0 2 Existe normas o polticas X 1.00
documentadas ante el uso del
hardware?
2 1 Cul es la 1
2 acreditacin/calificacin/posicin
de las personas a terceras para
contratacin para el
mantenimiento de los equipos?
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVEL DE
MADUREZ DE LA DECLARACIO CUMPLIMIENTO MADUREZ
CALIFICACI NES POR NIVEL DE
ON MADUREZ
(B/C)
0 3 4 0.75 75%
1 4.64 7 0.662 66.2%
2 1.99 3 0.663 66.3%
3 3.98 8 0.497 49.7%
4 4.31 6 0.718 71.8%
5 2 5 0.4 40%
Total RC=19.92 TC=33
% 19.92 60.33%
NM = X 100
33
No
existen
te Repetible
0 % - 31%- administrado
10% 50% 71%-90%
46
Figura 8.30: Escalas Modelo de Madurez.
RECOMENDACIONES
DOMINIO: Entrega de Servicio
PROCESO: garantizar la Seguridad del Sistema
Recomendaciones:
Para el proceso DS5 se requiere:
47
Documentacin sobre la categorizacin de los riesgo y el impacto
Seguimiento de la actualizaciones de las aplicaciones
Asignacin de responsabilidades al personal para la resolucin de problemas
FIGURA F
Entrega de
DS9. Administracin de la Configuracin Servicios
Objetivos de Control
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin
48
configuracin
X
Existe un mapa que muestre el
1 2 cableado de la red e identifique los 1.00
dispositivos significativos de la misma,
el mismo es consultado antes de
hacer tareas de electricidad o
albailera, de modo de evitar
rupturas accidentales de la lnea?
X
2 3 Existen controles para la instalacin
de software en sistemas 1.00
operacionales?
49
se realiz la instalacin del software 1.00
desde cero?
X
Existe un inventario de hardware
debidamente actualizado y 1.00
registrados en documentacin?
4 10
X
Se revisa y verifica peridicamente
el estado de los elementos de 0.00
configuracin mediante las
4 11
herramientas que sean necesarias
para confirmar la integridad de los
datos de configuracin actuales y
pasados, as como para comparar con
la situacin real?
TOTA 8.66
L
50
PROCESO: Administracin de la Configuracin
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVEL DE
MADUREZ DE LA DECLARACIO CUMPLIMIENTO MADUREZ
CALIFICACI NES POR NIVEL DE
ON MADUREZ
(B/C)
0 0.00 1 0.00 0%
1 1.00 1 1.00 100%
2 3.00 3 1.00 100%
3 3.00 4 0.75 75%
4 1.00 3 0.33 33%
5 0.66 1 0.66 66%
Total RC=8.66 TC=13 3.74
% 8.66 66.6%
NM = X 100
13
51
No existente repetible administrado
-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
RECOMENDACIONES
DOMINIO: Entrega de Servicio
PROCESO: administracin de la Configuracin
52
individuo.
Recomendaciones:
Para el proceso DS9 se requiere:
Documentacin detallada de las configuraciones sobre el entorno (infraestructura, equipos, aplicaciones
involucradas)
Creacin de una documentacin sobre configuracin de las aplicaciones como gua de restauracin del
sistema. FIGURA G. Entrega de
Servicios
OBJETIVOS DE CONTROL
2 Escalamiento de Problemas
Misin: Asegurar que los problemas e incidentes sean resueltos y que sus
causas sean investigadas para prevenir cualquier recurrencia.
Rec
Inte
Sist
dato
Disp
Efec
Con
Cum
Con
Tecn
Inst
53
encia
plimiento
tividad
fidencialidad
gridad
onibilidad
alaciones
ologa
fiabilidad
ursos humanos
aplicacinema de
DOMINIO ITEM PROCESOS
Administraci
Entrega de n de
DS10
servicios problemas e
incidentes P P S V V V V V
Figura 8.37: Matriz de Seleccin DS10.
54
PROCESO: Administracin de problemas e incidentes
ocurridos en los aplicativos? X 1
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
Se categorizan adecuadamente los
2 6problemas dentro de grupos o MADUREZ 0.00
dominios (por ej. hardware, software,
A software deBapoyo)? C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVEL DE
MADUREZLas fallasDEenLA
los aplicativos son
DECLARACIO CUMPLIMIE MADUREZ
3 7 reportadas y manejadas de forma 0.00
CALIFICACI
adecuada? NES
Esto incluye la accin NTO POR
correctiva ON
que es tomada, revisin de NIVEL DE
los registros de fallas y chequear las MADUREZ
acciones tomadas. (B/C)
0 0.66 3
Se monitorea el impacto continuo de
0.22 22%
4 8
1 1.33y errores conocidos
los problemas 2 en 0.665 66.5%
X 0.00
2 0.00
los servicios 1
de las aplicaciones? 0 0%
3 0.00 1 0 0%
4 49 Se monitorea
0.00 el progreso en la
3 0 0%
5 resolucin0.00
de problemas? 1 X 0 0%
Total 1.99 11 0.00
55
Inicial definido
optimizado
56
Creacin de documentacin de riesgos e impactos.
Seguimiento continuo de los incidentes.
Asignacin de responsabilidades al personal ante incidentes para la resolucin.
FIGURA H.
Entrega de
Servicios
DS11. Administracin de datos
OBJETIVOS DECONTROL
1 Procedimientos de Preparacin de Datos
2 Procedimientos de Autorizacin de Documentos Fuente
3 Recopilacin de Datos de Documentos Fuente
4 Manejo de Errores de Documentos Fuente
5 Retencin de Documentos Fuente
6 Procedimientos de Autorizacin de Entrada de Datos
7 Revisiones de Precisin, Suficiencia y Autorizacin
8 Manejo de Errores en la Entrada de Datos
9 Integridad de Procesamiento de Datos
10 Validacin y Edicin de Procesamiento de Datos
11 Manejo de Errores en el Procesamiento de Datos
12 Manejo y Retencin de Salida de Datos
13 Distribucin de Salida de Datos
14 Balanceo y Conciliacin de Datos de Salida
15 Revisin de Salida de Datos y Manejo de Errores
16 Provisiones de Seguridad para Reportes de Salida
17 Proteccin de Informacin Sensible
18 Proteccin de Informacin Sensible Desechada
19 Administracin de Almacenamiento
20 Perodos de Retencin y Trminos de Almacenamiento
21 Sistema de Administracin de la Librera de Medios
22 Responsabilidades de la Administracin de la Librera de
Medios
23 Respaldo y Restauracin
24 Funciones de Respaldo
25 Almacenamiento de Respaldo
26 Archivo
27 Proteccin de mensajes sensibles
28 Autenticacin e Integridad
29 Integridad de Transacciones Electrnicas
30 Integridad continua de Datos Almacenados
57
Figura 8.41: Objetivos de Control DS11.
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin
Se establecen planes de
0 2 almacenamiento y vigencia X 0.00
administrativa para satisfacer los
requerimientos legales, regulatorios y
de negocio para todos los
documentos, datos, archivos,
programas, informes y mensajes
(entrantes y salientes) as como para
los datos (claves, certificados) usados
para la encriptacin y autenticacin
de los mismos?
58
0 3 Existe documentacin que indica las
fuentes de las diversas formas de X 0.00
input para cada sistema, los medios
magnticos involucrados y la fecha en
el mes en que ese input debe estar
disponible?
3 9 Se definen e implementan
procedimientos para evitar el acceso X 0.00
a los datos y software sensible
alojados en los soportes o equipos
cuando se eliminan los mismos o se
reubican para otro uso?
59
PROCESO: Administracin de Datos
COMPUTO
error, DE de
procedimientos LOS VALORES
respuesta a DE CUMPLIMIENTO
X DEL NIVEL DE 0.33
errores de validacin, definicin de las
responsabilidades de todo el personal
MADUREZ
involucrado en el proceso de entrada
de A
datos, etc.? B C D E
4 14 NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
Los
MADUREZ respaldos DE son
LA testeados
DECLARACIO CUMPLIMIE MADUREZ
regularmente para asegurar que
CALIFICACI
podrn ser restaurados dentro del
NES NTO POR X 0.66
ON
marco de tiempo asignado en el plan NIVELES DE
operacional de recuperacin? MADUREZ
(B/C)
5 15 La actualizacin de los datos se X 0.00 0.33
0 0.00 3 0%
realiza en la secuencia correcta y en
el momento oportuno, segn las 2
1 1.32 0.66 66%
2
caractersticas 2.33uno de ellos? 3
de cada 0.77 77%
3 1.99 5 0.398 39.8%
TOTA 4 0.66 1 0.66 66% 6.63
L 5 0.33 1 0.33 33%
Total RC=6.63 TC=15
% 6.63 44.2%
NM = X 100
15
Inicial definido
optimizado
60
-11%-30% -51%-70% -91%-100%
RECOMENDACIONES
61
MADUREZ DE LA EMPRESA
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
MADUREZ DE LA DECLARACIO CUMPLIMIENTO MADUREZ
CALIFICACI NES POR NIVELES
ON DE MADUREZ
(B/C)
0 8.31 24 0.346 34.6%
1 16.25 29 0.560 56%
2 15.61 22 0.709 70.9%
3 14.62 29 0.54 54%
4 9.29 22 0.422 42.2%
5 6.31 17 0.371 37.1%
TOTAL 69.07 138
% 69.4 50.28%
NM = X 100
138
FIGURA I.
Inicial definido
optimizado
-11%-30% -51%-70% -91%-100%
62
El nivel actual de la Empresa es del 50.28%, estando en la escala
Repetible, en donde no existe comunicacin de procedimientos estndares y
la responsabilidad recae en el individuo. Hay un alto grado de confianza en los
conocimientos individuales y por lo tanto, los errores son probables.
RECOMENDACIONES
63
en el individuo.
Nivel 3 Los procedimientos 54%
han sido Fortaleza:
estandarizados y Personal con buena
documentados y comunicacin
comunicados a travs Capacitacin para el uso
de capacitacin. Sin
de los aplicativos
embargo, los
individuos dejan de El personal conoce los
cumplir los procesos requerimientos detallados
y es improbable que de las aplicaciones y
las desviaciones sean hardware
detectadas. Contacto con los
Nivel 4 Es posible monitorear 42.2% proveedores de los
y medir el equipos cardiolgicos y
cumplimiento con los aplicaciones
procedimientos y Uso de extintores.
tomar acciones
cuando stos no
estn trabajando
efectivamente.
FIGURA J.
64
IX. CONCLUSIONES
65
X. ANEXOS
66
67
Encuestas realizadas a Ivania Cruz, secretaria del rea de Cardiologa
de CLINICA PLAZA ESPAA, con el sello de consentimiento de la
Clinica.
68
69
70
X.1 EVIDENCIAS
71
72
73
74