Proyecto Final

PLICACIONES EN CLNICA PLA
INTEGRANTES:
KARINA MORALES
ESPINOZA
EDWIN CRUZ PERALTA
EDUARDO RODRIGUEZ
GUTIERREZ
FECHA DE ENTREGA:
20 DE ENERO 2015
Contenido
I. Introduccin.................................................................................................. 3
1.1 origen del estudio............................................................................... 3
1.2 alcance del estudio.............................................................................3
1.3 Generalidades...................................................................................... 3
1.4 Limitaciones......................................................................................... 3
II. Objetivos...................................................................................................... 4
a. Objetivo General:................................................................................... 4
b. Objetivos especficos............................................................................. 4
III. Marco Terico Cobit................................................................................... 5
a. Concepto.................................................................................................. 5
b. Importancia............................................................................................. 5
c. Principios................................................................................................. 5
d. Estructura................................................................................................ 6
e. Modelo de madurez............................................................................... 7
f. MODELO GENERICO DE MADUREZ.......................................................8
IV. DEFINICION DE CONTROLES PARA AUDITORIA DE APLICACIONES......9
1. Controles Administrativos.:..................................................................9
a. Planificacin informtica:..................................................................9
b. Polticas, estndares y procedimientos:.........................................9
c. Organizacin y personal de informtica:........................................9
2. Controles en la entrada de datos......................................................10
a. Procedimiento de control de entrada de datos:..........................10
3. Controles de procesamiento..............................................................10
4. Controles de salida.............................................................................. 11
5. Control de Calidad............................................................................... 11
6. Controles de operacin de sistemas de informacin.....................11
a. Operacin de computadores:..........................................................11
b. Operacin del software del sistema..............................................11
c. Seguridad fsica y lgica..................................................................11
d. Planes de contingencia....................................................................11
7. Controles de archivos..........................................................................12
V. Mtodo para la determinacin del modelo de madurez.....................12
VI. Matriz de seleccin.................................................................................. 15
1
VII. ESTUDIO DE APLICACIONES DE ESCRITORIO A SER AUDITADAS.....16
a. Definicin de los objetivos de control..............................................16
VIII. NIVEL DE MADUREZ.............................................................................. 17
VIII.1 NIVEL DE MADUREZ POR PROCESOS.............................................17
PO7. Administracin de Recursos Humanos.......................................17
PO9. Evaluacin y gestin de riesgos..................................................23
AI3. Adquisicin y mantenimiento de arquitectura TI......................27
AI6. Administrar cambios.......................................................................32
DS3. Administracin de la capacidad Y del Desempeo del Sistema
................................................................................................................... 37
DS5. Garantizar la seguridad de sistema............................................42
DS9. Administracin de la Configuracin............................................47
DS10. Administracin de problemas e incidentes.............................52
DS11. Administracin de datos.............................................................56
VIII.2 NIVEL DE MADUREZ DE LA EMPRESA............................................61
IX. CONCLUSIONES........................................................................................ 64
X. ANEXOS...................................................................................................... 65
X.1 EVIDENCIAS.......................................................................................... 81
I. Introduccin
2
1.1 origen del estudio
La verificacin del buen funcionamiento de las aplicaciones y el uso

adecuado por parte del personal indicado de la clnica es necesaria para
crear confianza en los clientes, y tener la fiabilidad de que dichas
aplicaciones cumplen con sus requerimientos.
En el caso de la clnica PLAZA ESPAA las aplicaciones en el rea de

cardiologa deben ser fiables, seguras, sin ningn tipo de errores para
verificar que se est apoyando las actividades realizadas, en especial al
tratarse de exmenes realizados a pacientes; los controles deben ser
transparentes.
1.2 alcance del estudio.
El programa de auditoria de aplicaciones desarrollado para clnica PLAZA

ESPAA se orienta a una evaluacin genrica de las aplicaciones del rea
que la compone, evaluando diversas caractersticas; apoyndose en
metodologas de Objetivos de control de COBIT, de los cuales se desglosan
los instrumentos necesarios para desarrollar dicha auditoria.
1.3 Generalidades
La funcin de la clnica PLAZA ESPAA es brindar atencin a pacientes con

enfermedades cardiolgicas, para ello hacen uso de tecnologas
informticas, apoyndose en 3 softwares diseados especficamente para
determinar padecimientos cardiolgicos, cada uno de ellos instalado en 2
computadoras.
Dichas aplicaciones satisfacen las necesidades del usuario y sus clientes,

brindando ayuda en el rea correspondiente, las aplicaciones son las
siguientes:
o Software MMS CLIENT-SERVER determina si el paciente es hipertenso o no.
o Prueba de esfuerzo a travs del software MM-CARDIO.
o Software HMS monitoreo de presin arterial.
1.4 Limitaciones
El apoyo por parte de Ivania Cruz, secretaria de Clnica PLAZA ESPAA

para la realizacin de la auditoria facilit la recoleccin de informacin
pertinente respecto a los softwares que utilizan.
Se destaca el factor de tiempo como el limitante mayor para lograr el

alcance planteado.
3
II. Objetivos
a. Objetivo General:
o Auditar las aplicaciones del rea mdica de cardiologa en clnica

PLAZA ESPAA para evaluar la calidad de los softwares.
b. Objetivos especficos
o Auditar los procesos actuales de las aplicaciones del rea de

cardiologa de clnica PLAZA ESPAA.
o Evaluar los conocimientos y habilidades de los usuarios de las

aplicaciones utilizadas en el rea de cardiologa de Clnica
PLAZA ESPAA.
o Realizar una evaluacin genrica de las aplicaciones en el rea

de cardiologa de Clnica PLAZA ESPAA.
4
III. Marco Terico Cobit
a. Concepto
COBIT (Control Objectives for Information and related Technology | Objetivos de

Control para tecnologa de la informacin y relacionada)
Cobit es un conjunto de objetivos de control aplicables a un ambiente de
tecnologa de informacin que lograron definirse gracias a un trabajo de
investigacin en bsqueda mejores conductas, prcticas y requerimientos de la
industria.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo
las computadoras personales, mini computadoras y ambientes distribuidos.
Est basado en la filosofa de que los recursos de TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para
proveer la informacin pertinente y confiable que requiere una organizacin
para lograr sus objetivos.
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados
en cuatro dominios: El plan y Organiza, Adquiere y Pone en prctica,
Entrega y Apoya, y Supervisa y Evala. Enfatiza el cumplimiento
normativo, ayuda a las organizaciones a incrementar el valor de TI. Apoya el
alineamiento con el negocio y simplifica la implantacin del COBIT.
b. Importancia
Con el uso apropiado de Cobit se logra que la informacin relevante sea

pertinente para el proceso de negocio, as como que su entrega sea oportuna,
correcta consistente y de manera utilizable. Para la alta direccin esto es de
suma importancia pues en la informacin se sustentan las decisiones que se
toman con miras a lograr los objetivos estratgicos del negocio.
Para la administracin, el ambiente de tecnologa de informacin,
frecuentemente es impredecible; el uso de Cobit les ayuda a lograr un balance
entre los riesgos y las inversiones que se requieren en controles
Para los usuarios, Cobit les permite obtener una garanta en cuanto a la
seguridad y controles de los servicios de tecnologa de informacin
proporcionados internamente o por terceras partes (proveedores).
A los Auditores de Sistemas de informacin, cuando en la empresa se trabaja
aplicando Cobit, esto les permite dar soporte a las opiniones mostradas a la
administracin sobre los controles internos.
c. Principios
Existen dos clases distintas de modelos de control disponibles actualmente,

aqullos de la clase del "modelo de control de negocios" (por ejemplo COSO) y
los "modelos ms enfocados a TI" (por ejemplo, DTI). Cobit intenta cubrir la
brecha que existe entre los dos. Debido a esto, Cobit se posiciona como una
herramienta ms completa para la Administracin y para operar a un nivel
5
superior que los estndares de tecnologa para la administracin de sistemas
de informacin. Por lo tanto, Cobit es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial Cobit se refiere a que el

enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin
como el resultado de la aplicacin combinada de recursos relacionados con la
Tecnologa de Informacin que deben ser administrados por procesos de TI.
d. Estructura
Figura 3.1: Estructura COBIT

Involucrando Recursos de TI, Procesos de Trabajo y Requerimientos de
negocio.
Figura 3.2: Matriz de Seleccin
6
En esta matriz se toma en cuenta los 4 dominios de COBIT, con sus respectivos
34 procesos con criterios de informacin a cumplir, catalogados en primarios y
secundarios; teniendo que verificar los Recursos de TI disponibles.
e. Modelo de madurez
Especficamente Cobit provee Modelos de Madurez para el control sobre los

procesos de TI, de tal forma que la administracin pueda ubicarse en el punto
donde la organizacin est hoy, donde est en relacin con los mejores de su
clase en su industria y con los estndares internacionales y as mismo
determinar a dnde quiere llegar.
Para el control sobre los procesos TI consisten en el desarrollo de un mtodo de
puntaje que una organizacin puede graduar desde un no existente a un
optimizado, es decir, de 0 a 5.
7
Contra estos niveles se desarroll para cada uno de los 34 objetivos de
procesos de Cobit la administracin puede mapear:
El estado actual de la organizacin es decir donde la organizacin

est hoy da.
El estado actual de (los mejores en su clase) la industria

comparacin
El estado actual de los estndares internacionales comparacin

adicional
Y la estrategia de la organizacin para mejorar es decir, donde la

organizacin desea estar.
f. MODELO GENERICO DE MADUREZ
0 No-Existente. Falta completa de cualquier proceso reconocible. La

organizacin no ha reconocido an que hay un elemento a ser dirigido.
1 Inicial. No hay procesos estndares y en su reemplazo hay aproximaciones

que tienden a ser aplicadas en forma individual o caso a caso. El enfoque
general es desorganizado.
2 Repetible. Los procesos se han desarrollados en la etapa donde

procedimientos similares son seguidos por diferentes personas que realizan la
misma tarea. No existe capacitacin formal o comunicacin de procedimientos
estndares y la responsabilidad recae en el individuo. Hay un alto grado de
confianza en los conocimientos individuales y por lo tanto, los errores son
probables.
3 Definido. Los procedimientos han sido estandarizados y documentados y

comunicados a travs de capacitacin. Sin embargo, los individuos dejan de
cumplir los procesos y es improbable que las desviaciones 0063sean
detectadas. Los procedimientos no son terminados pero formalizan las
prcticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento con los

procedimientos y tomar acciones cuando stos no estn trabajando
efectivamente. Los procesos estn bajo constante mejoramiento y proveen de
buenas prcticas. La automatizacin y herramientas son utilizadas en forma
limitada.
5 Optimizado. Los procesos se han refinado al nivel de mejores prcticas,

basado en el resultado de mejoramiento continuo y modelamiento de madurez.
La TI es usada como una forma integrada para automatizar los flujos de
trabajo, entregando herramientas para mejorar la calidad y la efectividad,
permitiendo a la empresa adaptarse.
8
Figura 3.3: Modelo de Madurez
La grafica anterior muestra las escalas del modelo de madurez, las cuales
permiten que los profesionales de la auditora puedan explicar a la
administracin dnde se encuentran los defectos en la administracin de
controles en los procesos de tecnologa informtica y puedan establecer
objetivos de control donde sean requeridos. Especficamente, el nivel de
madurez en la administracin se basar en el grado de dependencia de la
empresa en la tecnologa informtica, en lo sofisticado de su tecnolgica y,
ms importante, en el valor de su informacin.
IV. DEFINICION DE CONTROLES PARA AUDITORIA DE

APLICACIONES
1. Controles Administrativos.:
a. Planificacin informtica:
La clnica no posee planes para cambio de sus aplicaciones actualmente.
b. Polticas, estndares y procedimientos:
Clnica PLAZA ESPAA no posee estndares ni polticas documentadas en

cuanto al uso de sus aplicaciones. No cuentan con procedimientos
definidos, se guan a partir de manuales relativos al uso de los softwares, la
9
forma de ingresar los datos de los pacientes, el anlisis realizado por la
aplicacin y la obtencin de los resultados, etc.
c. Organizacin y personal de informtica:
La clnica no cuenta con personal de informtica para actualizaciones o

cambios en los softwares utilizados, en el momento de una falla imprevista
de sus aplicaciones recurren a contratacin de personal externo para la
resolucin de los problemas encontrados; en este caso han hecho dicha
contratacin una sola vez, puesto ocurri una falla en uno de sus
aplicativos. El acuerdo de contratacin externa se establece entre el mdico
y la persona contratada externamente.
2. Controles en la entrada de datos
a. Procedimiento de control de entrada de datos:
Se involucran controles de aplicacin siguientes, preparacin y autorizacin

de informacin fuente, recoleccin y entrada de informacin fuente y
chequeo de exactitud, integridad y autenticidad:
Clnica PLAZA ESPAA mantiene un control de acceso a los datos de sus

aplicaciones, mediante una llave que se mantiene conectada al
ordenador, con el fin de tener acceso solamente el personal calificado para
la entrada de los datos.
En trminos generales, cualquiera que sea el ambiente en que se procesan

los datos, se hace necesario efectuar el control de ingreso para asegurar
que cada proceso de las aplicaciones de la clnica cumpla con los siguientes
requisitos:
1- Se debe recibir y registrar con exactitud e ntegramente.

2- Se deben procesar solamente datos vlidos y autorizados.
Los controles en el ingreso de datos son preventivos, pues tratan de evitar

la produccin de errores exigiendo el ajuste de los datos introducidos a
patrones de formato y estructura (fecha valida, dato numrico, dato dentro
de un rango especfico, introduccin de dgitos de chequeo, etc.). Los 3
softwares mantienen integridad de sus datos.
En el caso de Clnica PLAZA ESPAA los datos que se ingresan en los 3

softwares son completos, correctos y vlidos, puesto que cada campo debe
ser llenado de manera obligatoria, de lo contrario no proceder a la
continuacin de su funcin, es un requerimiento indispensable para tener
validos todos sus resultados, generando a partir de ello reportes. La
aplicacin HMS consiste en el monitoreo de la presin arterial, la
administracin de la hipertensin de determinado paciente, se presentan
10
los datos a ser llenados: ID, el nombre del paciente, la fecha, direccin,
telfono, fecha de nacimiento, peso, altura, e-mail.
3. Controles de procesamiento
En este control se involucra los controles de aplicacin de integridad y

validez del procesamiento:
La clnica PLAZA ESPAA verifica que los datos ingresados a la aplicacin

sean de una manera ntegra y vlida, de manera que los pacientes
comprueben la validez de sus resultados; ingresando datos reales y aptos
para la aplicacin.
4. Controles de salida
Se involucran controles de aplicacin de revisin de salidas, reconciliacin y

manejo de errores:
La clnica almacena los resultados del anlisis de los pacientes

proporcionados por las aplicaciones en un lugar seguro, puesto son
registros sensibles que no deben estar en cualquier ubicacin. Adems de
esto realizan copias de seguridad en caso de cualquier prdida imprevista
en su informacin. Los reportes estn de acuerdo a los datos ingresados en
las aplicaciones y se distribuye de manera autorizada al paciente
correspondiente que le es realizado el exmen.
5. Control de Calidad
La clnica no posee personal informtico para la evaluacin del control de
calidad en las aplicaciones del rea de cardiologa.
6. Controles de operacin de sistemas de informacin
a. Operacin de computadores:
Existe un control de las computadoras presentes en la clnica PLAZA

ESPAA, evitando lo mayor posible cualquier tipo de problemas imprevistos
que cause daos en sus aplicaciones; es por ello no poseen internet en los
ordenadores por posibles virus. Respaldan su informacin vital de
resultados del uso de las aplicaciones; la debilidad que poseen es que no
tienen por escrito la secuencia de procedimientos ejecutados cada da
respecto a respaldos efectuados de informacin vital de las aplicaciones
utilizadas.
b. Operacin del software del sistema
11
La clnica no posee un estudio costo beneficio en la adquisicin del
software, la aplicacin fue comprada y adquirida junto con su licencia. No
mantienen por escrito los problemas ocasionados en uno de los softwares.
c. Seguridad fsica y lgica
Mantienen un control en el acceso a la clnica en el rea de cardiologa,

existen restricciones en el acceso a la oficina donde atienden a los
pacientes y donde se encuentran las aplicaciones en dos computadoras.
Solo pueden acceder pacientes con cita, verificados por la secretaria de la
Clnica. Solo el profesional en la materia (mdico) y su secretaria tienen
acceso total a las computadoras y sus aplicaciones.
d. Planes de contingencia
No cuentan con planes de contingencia escritos en caso de cualquier
interrupcin o dao del servicio de sus aplicaciones. Aunque si poseen
respaldos de informacin en caso de prdidas de informacin valiosa de sus
aplicaciones.
7. Controles de archivos
Los archivos pertenecientes a los resultados de funcionalidad de las

aplicaciones son controlados por personal autorizado.
V. Mtodo para la determinacin del modelo de madurez
El modelado de madurez para la administracin y control sobre los procesos

de tecnologa informtica est basado en un mtodo de evaluar donde se
encuentra la organizacin, por medio de la asignacin de un valor nominal
de madurez a cada proceso, iniciando en no existente (0) hasta optimizado
(5).
Los resultados del modelo de madurez son obtenidos en base a COBIT, el

cual contiene declaraciones concernientes a la auditoria de aplicaciones en
reas especficas de los procesos de COBIT. Se ha realizado la siguiente
valoracin con respecto a las herramientas de captura de informacin:
o Nada = 0
o Un poco = 0.33
o Bastante = 0.66
o Totalmente = 1.00
En otras encuestas las preguntas las opciones de respuesta aparecern

como:
SI = 1.00
NO = 0
12
Ecuacin para determinar el grado de madurez:
RC
NM
TC X 100
NM es el porcentaje del nivel de madurez, RC es el resultado de calificacin,

TC es el total de calificacin ideal.
Por medio del siguiente cuadro se determinan los clculos necesarios para
obtener el Nivel de madurez; el punto A del cuadro indica los niveles de
madurez aplicados (0-5), el punto B es el resultado de la calificacin,
obtenindose a partir de la suma de los resultados de cada nivel (0-5),
indicando as que valores se obtuvieron del nivel 0, 1, 2, 3, 4 y 5,
posteriormente sumando todos los niveles para obtener el RC general. El
punto C es el nmero de declaraciones (preguntas) que contiene en cada
nivel, sumndose luego para obtener el Total de Calificacin ideal. El punto
D se calcula por medio de la divisin de los puntos B y C. finalmente el
inciso E consiste en conocer el % por cada nivel de madurez (0-5),
multiplicando los resultados del punto D de cada nivel por cien, DX100.
13
PROCESO
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE
MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES
MADUREZ DE LA DECLARACION CUMPLIMIENT MADUREZ
CALIFICACION ES O POR
NIVELES DE
MADUREZ
(B/C)
0
1
2
3
4
5
RC TC
% RC %
NM = X 100
TC
Figura 5.1
Valores de cumplimiento de nivel de Madurez
Plantilla Recomendaciones:
La siguiente tabla representa la plantilla de recomendaciones a ser

aplicadas luego de determinar los clculos de niveles de madurez. El primer
punto Nivel de Madurez consiste en una breve descripcin de cada nivel
de madurez (0-5) conforme al proceso desarrollado. El % Cumplimiento
evidencia que porcentaje resulto en cada nivel de madurez (porcentaje por
niveles madurez).
Las Observaciones estn basadas en Debilidades y Fortalezas encontradas

luego del anlisis del proceso, adems de indicar cul es el grado de
14
madurez obtenido (No existente, Inicial, Repetible, Administrado,
Optimizado). A partir de los puntos anteriores en el cuadro se realizan las
recomendaciones generales.
DOMINIO
PROCESO
Nivel de madurez % Observaciones
Cumplimiento
Nivel 0 Grado de madurez:
Nivel 1
Debilidades:
Nivel 2 Fortaleza:
Nivel 3
Nivel 4
Nivel 5
Recomendaciones:
Figura 5.2
Plantilla de Recomendaciones.
VI. Matriz de seleccin

Matriz de Seleccin Criterios de Informacin Recursos de TI
Tecnologa
Cumplimiento
Efectividad
Eficiencia
Confidencialidad
Integridad
Confiabilidad
Recursos humanos
datos
Instalaciones
Sistema de
Disponibilidad
15
aplicacin
DOMINIO ITEM PROCESOS
Administraci
n del
PO7
Planeacin Recurso
y Humano P P V
organizaci Evaluacin y
n Administraci
PO9
n de
Riesgos S S P P P S S V V V V V
Adquisicin y
mantenimien
Adquirir e AI3 to de
Implement arquitectura
ar TI P P S V
Administrar
AI6
Cambios P P P S V V V V V
Administraci
n de la
DS3 capacidad y
el
desempeo P P S V V V
Garantizar la
DS5 seguridad del
sistema P P S S S V V V V V
Entrega de
servicios Administraci
DS9 n de la
configuracin P S S V V V
Administraci
n de
DS10
problemas e
incidentes P P S V V V V V
Administraci
DS11
n de datos P P V
Figura 6.1: Matriz de Seleccin
En esta grafica se representan 9 procesos que sern desarrollados en

Clnica PLAZA ESPAA.
VII. ESTUDIO DE APLICACIONES DE ESCRITORIO A SER AUDITADAS.
a. Definicin de los objetivos de control
16
Con la seleccin de los procesos a evaluar se representar de los objetivos
de control a evaluar con el propsito de auditar el estado actual de las
aplicaciones, hardware e infraestructura de la clnica plaza Espaa:
Administracin del 7 objetivos de control

Recurso Humano
Evaluacin y
Administracin de 6 objetivos de control
Riesgos
Adquisicin y
6 objetivos de control
mantenimiento de
arquitectura TI
Administrar 7 objetivos de control
Cambios
Administracin de la
capacidad y el
desempeo
Garantizar la
21 objetivos
seguridad del
sistema
Administracin de la 6 objetivos de control
configuracin
Administracin de
problemas e
incidentes
Administracin de 30 objetivos de control
datos
Figura 7.1: Objetivos de Control
Se representa cada proceso con sus objetivos de control a evaluar en el

desarrollo de la Auditora.
VIII. NIVEL DE MADUREZ
VIII.1 NIVEL DE MADUREZ POR PROCESOS

Planeacin
y
17
organizaci
n
PO7. Administracin de Recursos Humanos
Objetivos de Control
PO7.1 Reclutamiento y Promocin de Personal

PO7.2 Personal Calificado
PO7.3 Entrenamiento de Personal
PO7.4 Entrenamiento Cruzado o Personal de Respaldo
PO7.5 Procedimientos de Acreditacin de Personal
PO7.6 Evaluacin de Desempeo de los Empleados
PO7.7 Cambio de Puesto y Despido
Misin: maximizar las contribuciones del personal a los procesos de TI.
Figura 8.1: Objetivos de Control PO7.

Criterios de Informacin Recursos de TI
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin

Planeacin Administraci
y n del
PO7
organizaci Recurso
n Humano P P V
Figura 8.2: Matriz de Seleccin PO7.
PROCESO: PO7 ADMINISTRACION DE RECURSOS HUMANOS
Fecha: 09/12/2014 Nivel de acuerdo TPM-01
18
Nivel # Declaracin Nada Un Bastant Completame Valor de
poco e nte cumplimiento
La clnica cuenta con el personal

capacitado en informtica para el X 1.00
uso de las aplicaciones (en el caso
0 1
que no exista ignore los puntos
2,3,4)
Existe un proceso disciplinario

0 2 formal para los empleados que han X 0.00
violado polticas y procedimientos de
seguridad de la organizacin?
0 3 Existen polticas escritas en el

contrato de trabajo que provean X 0.00
pasos claramente definidos para
separar de la organizacin a un
empleado de forma tal de proteger
los bienes y datos involucrados?
Realizan capacitaciones para los X 0.00

0 4 nuevos empleados?
1 5 Es frecuente el uso del software y X 0.66

hardware en la clnica?
Es adecuada la calidad del trabajo 0.66

1 6 del operador del software y X
hardware?
El operador del software y hardware X 0.66

1 7 tiene conocimiento bsico de
mantenimiento de software y
hardware
1 8 El operador ha abandonado el rea

de trabajo en jornada laboral? X 1.00
2 9 El operador mantiene el rea de

trabajo en completo orden? X 0.66
El operador mantiene el rea de

trabajo en completo grado higinico X 0.66
y siguiendo las normas del uso del
2 10
computador
X 0.66
Nivel de conocimiento del uso de
2 11
extintores
19
2 12 Existe reemplazos del operador si 1
se ausenta?
X
3 13 El operador tiene al alcance el 1
manual de instruccin del uso del
software?
X
3 14 Existe normas o polticas 1
documentadas ante el uso del
hardware
X
3 15 Existe o existi capacitaciones para 0.00
el uso del software y hardware
4 16 Se registran incidentes, problemas o X 0.33

fallos del software y hardware de
manera documentada?
5 17 Existe mayoritariamente a nivel del X 0.33

personal una adecuada disposicin a
tomar conciencia e involucrarse en
actividades y acciones que
propendan al mejoramiento del
control interno y la seguridad
informtica de la organizacin?
TOTA 9.61
L
Figura 8.3: Valor de cumplimiento PO7.

La Tabla representa una de las encuestas realizadas en la Clnica, esta
categorizada en 5 niveles, evidenciando el valor de sus resultados de niveles
de acuerdo (Nada, Poco, Bastante, Completamente) en el valor de
cumplimiento de cada pregunta.
20
PROCESO: Administracin de Recursos Humanos
COMPUTO DE LOS VALORES DE CUMPLIMIENTO DEL NIVEL DE MADUREZ
A B C D E
NIVEL DE RESUTADO DE NUMERO DE VALOR DE % POR NIVELES
MADUREZ LA DECLARACIONES CUMPLIMIENTO DE MADUREZ
CALIFICACION POR NIVEL
(B/C)
0 1.00 4 0.25 25%
1 2.97 4 0.742 74%
2 2.98 4 0.745 74%
3 2.00 3 0.67 67%
4 0.33 1 0.33 33%
5 0.33 1 0.33 33%
Total RC=9.61 TC=17
% 9.61 56.52%
NM = X 100
17
Figura 8.4: Computo de Valores de Cumplimiento Nivel de Madurez.

Los clculos de la presente tabla se toman en base a lo explicado en el punto V
del documento, abordando el Mtodo para determinacin del Modelo de
Madurez. Se describe los resultados del nivel de madurez con su respectivo %
de nivel actual.
No existente repetible
administrado
-0% 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
Figura 8.5: Escalas Modelo de Madurez.
21
El nivel actual del proceso Administracin de recursos humanos es del
56.52%, estando en la escala Definido, en donde los procedimientos han
sido comunicados a travs de capacitacin. Los procedimientos no son
terminados pero formalizan las prcticas existentes.
RECOMENDACIONES
DOMINIO: Planeacin y organizacin

PROCESO: Administracin de Recursos Humanos
Cumplimient
o
Nivel 0 No existe comunicacin entre Grado de madurez: Definido
el personal, capacitaciones 25%
Debilidades:
Nivel 1 Parte del personal realiza No existe estrategias
esfuerzo aislado para el formales y documentadas
procesamiento, generacin y para la comunicacin
comunicacin de la
informacin y desempeo,
74%
relativa a las actividades de
cargo
Fortaleza:
El operador tiene
conocimiento de hardware
Nivel 2 Se ha establecido procesos y software gracias a
para la comunicacin y la estudios previos.
generacin de desempeo
Operador ordenado en el
correspondiente a las
necesidades de la clnica sin
74% rea de trabajo
alguna estrategia formal y
documentada
Nivel 3 La comunicacin y el
desempeo se fundamentan
en una estrategia formal, la
67%
informacin se comunica
oportunamente
Nivel 4 Los sistemas permite obtener,

procesar y recuperar la
informacin relevante para la
33%
comunicacin entre el
personal y el personal propone
mejoras necesarias
22
Nivel 5 Los sistemas de informacin
permiten una gestin de la
informacin interna y externa
con niveles ptimos de
seguridad haciendo la
comunicacin en el personal 33%
de manera gil y oportuna,
permitiendo que los mismos
propongan mtodos
innovadoras para la gestin.
Recomendaciones:
Para el proceso PO7 se requiere:
La administracin y los empleados aceptan el proceso de competencia del puesto.
Capacitacin constante ante el cambio de aplicaciones o recursos si llegase a suceder
Creacin de polticas y normas para futuros empleados, incluyendo un documento disciplinario
como una gua para el desempeo
Figura A.
23
Planeacin
PO9. Evaluacin y gestin de riesgos y
organizaci
n
Misin: Asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisin de servicios de TI
Objetivos de control
PO9.1 Evaluacin del Riesgo del
Negocio
PO9.2 Enfoque de Evaluacin de
Riesgos
PO9.3 Identificacin de Riesgos
PO9.4 Medicin de Riesgos
PO9.5 Plan de Accin contra Riesgos
PO9.6 Aceptacin de Riesgos
Figura 8.6: Objetivos de Control PO9.

aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin

Planeacin Evaluacin y
y Administraci
PO9
organizaci n de
n Riesgos S S P P P S S V V V V V
Figura 8.7: Matriz de Seleccin PO9.
24
PROCESO: PO9 Evaluacin y gestin de riesgos
Fecha: 09/12/2014 Nivel de acuerdos TPM-02
Nive # Declaracin Nad Un poco Bastante Totalmente Valor de
l a cumplimien
to
0 1 Documentan o tienen registros de los incidentes, X 0.00
problemas, fallos?
0 2 Cmo calificara al personal involucrado antes X 0.66

los incidentes?
0 3 Toman muy en cuenta los costos de los planes de X 0.00
prevencin y problemas (aunque no estn
documentados)?
1 4 El personal hace uso de medidas preventivas X 0.00
ante el uso del hardware y software?
1 5 Los operadores de los equipos informticos hacen X 0.66
uso de dispositivos extrables para enviar/recibir
informacin (memorias USB, dispositivos mvil
celular)
1 6 En el caso de falla de los equipos, cuanto es el X 1.00
tiempo que toma la direccion responsable
detectar las fallas?
1 7 Cuanto es el tiempo que tarda en localizar a X 1.00
terceras personas para el
mantenimiento/reparacin de los equipos? (si
sucede la falla en los equipos informticos)
2 8 Cul es la acreditacin/calificacin/posicin de las X 1.00

personas a terceras para contratacin para el
mantenimiento de los equipos?
2 9 El responsable est presente ante comprobacin X 1.00
de los tcnicos en caso de fallos?
2 10 Los tcnicos brindan informacin detallada sobre X 1.00
los malfuncionamientos de los equipos, software y
las soluciones?
2 11 Siguen las normas sobre el uso del computador X 0.66

en el rea del trabajo (Ingieren alimentos,
postura correcta)?
3 12 Qu tan flexible son antes el acceso a terceros a X 0.66
los equipos informticos?
3 13 La clnica ha tenido contacto con los proveedores X 0.66
de software y hardware?
3 14 Poseen aplicativos extra para mantenimientos X 1.00

preventivos?
4 15 Aseguran los equipos antes los ataques X 1.00

informticos?
4 16 Renuevan la licencia de los antivirus? X 1.00

4 17 Se monitorea la ejecucin de los planes, y se X 0.00
informa de cualquier desviacin a la Alta
Gerencia?
5 18 Al desarrollar la respuesta, se consideran los X 1.00

costos y beneficios y se eligen las respuestas que
limitan los riesgos a los niveles definidos de
25
aceptacin de riesgos?
5 19 Se realizan copias de seguridad de los archivos X 1.00

ms importantes del sistema, de modo de lograr
una eventual recuperacin del servidor en forma
fcil?
13.33
Figura 8.8: Valor de cumplimiento PO9.

PROCESO: Evaluacin y gestin de riesgos

MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES
MADUREZ DE LA DECLARACION CUMPLIMIENT MADUREZ
CALIFICACION ES O POR
NIVELES DE
MADUREZ
(B/C)
0 0.66 3 0.22 22%
1 2.66 4 0.665 66.5%
2 3.66 4 0.915 91.5%
3 2.32 3 0.773 77.3%
4 2.00 3 0.666 66.6.%
5 2.00 2 1.00 100%
RC=13.3 TC=19
% 13.3 70%
NM = X 100
19

de nivel actual.
No existente repetible administrado

-0 % - 10% -31%-50% -71%-90%
26
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
El nivel actual del proceso Evaluacin y gestin de riesgos es del 70 %,

estando en la escala Definido, en donde los procedimientos han sido
comunicados a travs de capacitacin. Los procedimientos no son terminados
pero formalizan las prcticas existentes.
RECOMENDACIONES
DOMINIO: Planeacin y organizacin

PROCESO: Evaluacin y gestin de riesgos
Nivel de madurez Observaciones
%Cumplimie
nto
Nivel 0 No existe evaluacin de riesgos 22% Grado de madurez:
Nivel 1 La clnica intenta considerar 66.5% Administrado
los riesgos, pero no logra
clasificarlos
Debilidades:
Nivel 2 La clnica procura seguir los 91.5%
riesgos con el fin de darle No existe categorizacin
importancia y la manera de de los riesgos
resolverlos
Nivel 3 Se considera las respuesta por 77.3% Fortaleza:
cada riesgo categorizado,
procesos documentados y alto
El personal esta consiente
conocimiento de riesgos de las consecuencias de
relevantes y de alta frecuencia las fallas del uso de
Nivel 4 La clnica, despus de 66.6% hardware y software
seleccionar las respuesta de Hay documentacin
cada riesgos, mide nuevamente
relevante para enfrentar
el riesgo para eliminar la base
residual los riesgos y sus
Nivel 5 Se propician documentacin 100% consecuencias
en base a costo-beneficios en
las respuesta de los riesgos, se
da seguimiento de la eficacia
de las medidas impuestas
Recomendaciones:
Para el proceso PO9 se requiere:
27
Categorizacin de los riesgos e impactos
Seguimientos de planes de contingencias
Figura B.
Adquirir
e
AI3. Adquisicin y mantenimiento de arquitectura impleme
TI
Misin: Proporcionar las plataformas apropiadas para soportar aplicaciones

de negocios
AI3.1 Evaluacin de Nuevo Hardware y
Software
AI3.2 Mantenimiento Preventivo para
Hardware
AI3.3 Seguridad del Software del
Sistema
AI3.4 Instalacin del Software del
Sistema
AI3.5 Mantenimiento del Software del
Sistema
AI3.6 Controles para Cambios del
Software del Sistema
Figura 8.11: Objetivos de Control AI3.

Eficiencia
Disponibilidad
Cumplimiento
Efectividad
Confidencialid
Integridad
Confiabilidad
Tecnologa
datos
Instalaciones
Sistema de
Recursos
28
aplicaci
ad
humanos
Adquisicin y
Adquirir e mantenimien
Implement AI3 to de
ar arquitectura
TI P P S V
Figura 8.12: Matriz de Seleccin AI3.
PROCESO: AI3 Adquisicin y mantenimiento de arquitectura tecnolgica

Nive # Declaracin Nad Un poco Bastante Totalmente Valor de
l a cumplimien
to
0 1 Se elabora un plan para la adquisicin, X 0.00
implementacin y mantenimiento de la
infraestructura tecnolgica que satisface los
requerimientos tcnicos y funcionales de negocio
establecidos?
0 2 El equipamiento, la informacin o el software X 1.00

pueden ser retirados de la organizacin sin la
autorizacin apropiada?
0 3 Se elabora planes de riesgos, impacto ante un X 0.00
nuevo software sobre el rendimiento de la
infraestructura, personal, procesos
1 4 Se toma en cuenta, en la seleccin del hardware X 0.66

y software
1 5 Hace uso de manuales de configuracin del X 1.00
software y hardware en el caso de fallos
2 6 Se implementan medidas de control interno, X 0.33

seguridad y auditabilidad durante la
configuracin, integracin y mantenimiento del
hardware y del software de infraestructura a fin
de proteger los recursos y garantizar la
disponibilidad e integridad?
3 7 Hacen uso de cuenta de usuarios o uso de X 0.33

herramientas de auditora del sistema tales como
el software o los archivos de datos son protegidos
para prevenir cualquier uso errneo o
compromiso posible?
3 8 Hacen uso de cuenta de usuarios de sistemas X 0.33

operativos para restringir el acceso a personal no
autorizado
3 9 Se evala y monitorea el uso de los X 0.66

componentes de redes, llaves de accesos?
4 10 El personal est al tanto de estos chequeos X 0.66

puntuales o auditoras?
4 11 Se realizan chequeos puntuales o auditoras X 0.00
peridicas con el fin de detectar traslados no
autorizados de propiedad?
4 12 La seguridad de los componentes informtico se X 0.33
realiza con el uso de Firewalls, reforzamiento del
sistema operativo, herramienta para la deteccin
de intrusos para supervisar el sistema, etc.?
29
5 13 Se cuenta con software de base especializado en X 0.33
seguridad
5 14 Se supervisa constantemente el funcionamiento X 0.66
del hardware, verificando al mismo tiempo su
situacin contractual en lo relativo a si est en el
perodo de garanta o bajo contrato de
mantenimiento o sin cobertura de este ltimo?
5 15 Se incluyen revisiones peridicas en relacin a X 0.00
las necesidades del negocio, la gestin de
correcciones y las estrategias de mejora, los
riesgos, las evaluaciones de vulnerabilidades y los
requerimientos de seguridad?
TOTA 6.29
L
Figura 8.13: Valor de cumplimiento AI3.

PROCESO: Adquisicin y mantenimiento de arquitectura tecnolgica

A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
MADUREZ DE LA DECLARACIO CUMPLIMIENTO MADUREZ
CALIFICACIO NES DE CADA NIVEL
N DE MADUREZ
(B/C)
0 1 3 0.333 33.3%
1 1.66 2 0.83 83%
2 0.33 1 0.33 33%
3 1.32 3 0.44 44%
4 0.99 3 0.33 33%
5 0.99 3 0.33 33%
Total 6.29 15
% 6.29 41.33%
NM = X 100
15

de nivel actual.
30
-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
El nivel actual del proceso Evaluacin y gestin de riesgos es del 41.33

%, estando en la escala Repetible, en donde n o existe comunicacin de
procedimientos estndares y la responsabilidad recae en el individuo. Hay un
alto grado de confianza en los conocimientos individuales y por lo tanto, los
errores son probables.
RECOMENDACIONES
DOMINIO: Adquirir e implementar

PROCESO: Adquisicin y mantenimiento de arquitectura
tecnolgica
Nivel de madurez %Cumplimie Observaciones
nto
Nivel 0 No se reconoce la 33% Grado de madurez : Repetible
administracin de la
infraestructura de la tecnologa
Debilidades:
como un asunto importante
Nivel 1 Se realizan cambio a la 83% No existe metodologas
infraestructura para cada para soluciones
aplicacin o viceversa, sin plan tecnolgicas
en conjunto, aunque se tiene la La documentacin como
percepcin que la
plan de contingencia ante
infraestructura de TI si es
importante fallo no existe
Nivel 2 No hay consistencia entre 33%
enfoques tcticos al adquirir y Fortaleza:
dar mantenimiento, la El personal tiene
adquisicin y mantenimiento experiencia con el uso del
no se basa en estrategia
aplicativo cardiolgico,
definidas, se basa en prcticas
formales uso del hardware
Nivel 3 Existe un claro, definido y 44%
31
entendido proceso para
adquirir y dar mantenimiento
de la infraestructura,
aplicaciones de TI, el proceso
respalda a las necesidades de
las aplicaciones crticas del
negocio y concuerda a las
estrategias de negocio
Nivel 4 Se desarrolla el proceso de 33%
adquisicin y mantenimiento a
tal punto que funciona bien
para la mayora de las
situaciones
Nivel 5 El proceso de adquisicin y 33%
mantenimiento es preventivo, y
est estrechamente en lnea a
las aplicaciones crticas del
negocio, siguiendo buenas
practicas respecto a las
soluciones de tecnologas, se
mejora el desempeo a nivel
de personal constantemente
Recomendaciones:
Para el proceso AI3 se requiere:
Documentacin detallando la formalidad de los cambios de aplicaciones y equipos
Desarrollo o compra de aplicaciones para el control inventarios, recursos humanos, expedientes
mdicos
Mejora de la seguridad ante software maliciosos, protegiendo la informacin
Figura C.
32
Adquirir e
implementar
AI6. Administrar cambios
Misin: Minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores.
AI6.1 Inicio y Control de Requisiciones de Cambio
AI6.2 Evaluacin del Impacto
AI6.3 Control de Cambios
AI6.4 Documentacin y Procedimientos
AI6.5 Mantenimiento Autorizado
AI6.6 Poltica de Liberacin de Software
AI6.7 Distribucin de Software
Figura 8.16: Objetivos de Control AI6.
33
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Matriz de Seleccin
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Adquirir e
Administrar
Implement AI6
Cambios
ar P P P S V V V V V
Figura 8.17: Matriz de Seleccin AI6.
Proceso: AI6 Administrar cambios

Fecha: 09/12/2014 Niveles de acuerdo TPM-04
Nivel # Declaracin Nad Un Bastant Completame Valor de

a poco e nte cumplimiento
Estn establecidos procedimientos

formales de control de cambios para
manejar de forma estndar todas las
0 1
solicitudes de cambio (incluyendo las
de mantenimiento y correccin) a las
X 0.00
aplicaciones, procedimientos,
procesos, parmetros de servicio y de
sistema, y a las plataformas
subyacentes?
Se documenta y se realizan pruebas,

0 2 posiblemente luego de la X 0.66
implementacin de los cambios de
emergencia?
X
1 3 La organizacin tiene conocimientos 0.00
de los planes y/o ejecuciones de
cambios
Se documenta y se realizan pruebas,

2 4 posiblemente luego de la X 0.33
implementacin de los cambios de
emergencia?
2 5 Ante un cambio, se ha brindado

capacitacin o entrenamiento al X 0.66
personal
34
PROCESO: Administrar Cambios
MADUREZ
Existe un proceso o procedimiento
A B C D E
3 6 para asegurar que los sistemas de X 0.00
NIVEL DE RESULTADO NUMERO DE
aplicacin son revisados y testados VALOR DE % POR NIVELES DE
MADUREZ DE de
despus LAun cambio
DECLARACIO
en el sistema CUMPLIMIE MADUREZ
CALIFICACIO
operativo? NES NTO POR
N NIVELES DE
Est establecido un proceso de MADUREZ
4 7 revisin para garantizar la X(B/C) 0.00
0 0.66
implementacin total de los2cambios? 0.33 33%
1 0.00 1 0.00 0%
2 0.99 2 0.495 49.5%
4 3 8 Monitorean el funcionamiento del X 0.00
0.00 1
nuevo hardware y software si llegase
0%
4 0.00 2 0.00 0% 0.00
a ocurrir
5 0.00 2 0.00 0%
Total RC=1.65 TC=10
5 9 Est establecido un proceso para la
definicin, evaluacin y autorizacin
1.65 X 16.5 %
% NM =de emergencia
de los cambios X 100 que no 0.00
sigan el proceso 10
establecido para los
mismos?
Est establecido un sistema de

seguimiento e informe para mantener
al da a los solicitantes de los cambios
5 10 X
y a las partes interesadas relevantes
acerca del estado de los cambios a las
0.00
aplicaciones, procedimientos,
procesos, parmetros de servicio y de
sistema, y a las plataformas
subyacentes?
TOTA 1.65
L
Figura 8.18: Valor de cumplimiento AI6.

de nivel actual.

-0 % - 10% -31%-50% -71%-90%
35
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
El nivel actual del proceso Administrar Cambios es del 16.5 %, estando

en la escala Inicial en donde no hay procesos estndares y en su reemplazo
hay aproximaciones que tienden a ser aplicadas en forma individual o caso a
caso. El enfoque general es desorganizado.
RECOMENDACIONES
DOMINIO: Adquirir e implementar
PROCESO: Administrar cambios
Cumplimiento
Nivel 0 No hay conciencia de que el 33% Grado de madurez: Inicial
cambio puede causar una
interrupcin de TI.
Debilidades:
Nivel 1 Hay documentacin de cambio 0% No existe
pobre o no existente y la documentacin referido
documentacin de ante cambios
configuracin es incompleta y repentinos.
no confiable.
Nivel 2 Existe un proceso de 49.5%

administracin de cambio
informal y la mayora de los Fortaleza:
cambios siguen este enfoque; Poseen conocimientos
sin embargo, el proceso no bsicos ante amenazas
est estructurado, es
en prdidas de un
rudimentario y propenso a
errores. dispositivos, por lo cual
cuidan sus
componentes
Nivel 3 Existe un proceso formal 0%
definido para la administracin
del cambio, que incluye la
categorizacin, asignacin de
prioridades, procedimientos de
emergencia, autorizacin del
cambio y administracin de
liberacin, y va surgiendo el
cumplimiento.
Nivel 4 El proceso es eficiente y 0%

efectivo, pero se basa en
36
manuales de procedimientos y
controles considerables para
garantizar el logro de la
calidad.
Nivel 5 El proceso de administracin 0%

de cambios se revisa con
regularidad y se actualiza para
permanecer en lnea con las
buenas prcticas.
Recomendaciones:
Es necesario una documentacin definiendo clausulas, condiciones, impacto econmico ante un repentino
cambio como gua para el personal
Figura D.
37
Entrega
Recursos de TI de
aplicacinSistema de
Servicios
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Matriz de Seleccin
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
DOMINI ITE
O M PROCESOS
Administr
acin de
Entrega la
DS
de capacidad
3
servicios y el
desempe
o P P S V V V
DS3. Administracin de la capacidad Y del Desempeo
del Sistema
Misin:
Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.
OBJETIVOS DECONTROL
1 Requerimientos de Disponibilidad y Desempeo
2 Plan de Disponibilidad
3 Monitoreo y Reporte
4 Herramientas de Modelado
5 Manejo de Desempeo Proactivo
6 Pronstico de Carga de Trabajo
7 Manejo de Capacidad de Recursos
8 Disponibilidad de Recursos
9 Calendarizacin de Recurso
Figura 8.21: Objetivos de Control DS3.
38
Figura 8.22: Matriz de Seleccin DS3.
PROCESO: DS3 Administracin de la capacidad y del Desempeo del Sistema
Fecha: 09/12/2014 Nivel De Acuerdo TPM-05
Nivel # Declaracin Nad Un Bastant Completame Valor de

a poco e nte cumplimiento
Est establecido un proceso de

planificacin para la revisin del
desempeo y la capacidad de los
0 1
recursos de TI para garantizar que
ambos se encuentran disponibles de
1
forma costo-justificada para procesar X
la carga de trabajo?
Se revisa la capacidad y desempeo

1 2 actual de los recursos de TI para X 1
determinar si los mismos son
suficientes para realizar el trabajo
1 3 Existen procedimientos escritos para

el operador en cuanto a fallas del 0.66
computador, demoras en el
X
procesamiento de los trabajos y
registro de las acciones correctivas a
emprender?
Se realizan proyecciones de la
2 4 capacidad y desempeo de los X 0.33
recursos de TI de forma peridica a
fin de minimizar el riesgo de
interrupcin del servicio debido a
falta de capacidad o deterioro del
desempeo?
3 5 Se toman recaudos cuando la

capacidad y el desempeo que no 0
39
PROCESO: Administracin de la capacidad y del Desempeo del
alcanzan el nivel necesario, como ser
la priorizacin de tareas Sistema
o la
COMPUTO DE LOS de
implementacin VALORES
mecanismos DE deCUMPLIMIENTO DEL NIVEL DE
tolerancia de fallas y prcticas de
asignacin de recursos?
MADUREZ
A B C D E
NIVEL DE RESULTADO
Se NUMERO DE la
monitorea continuamente VALOR DE % POR NIVEL DE
MADUREZ
4 6 capacidad
DE LAy el desempeo
DECLARACIOde los CUMPLIMIENTO MADUREZ 0.00
recursos de TI?
CALIFICACI NES POR NIVEL DE
ON MADUREZ
La demanda de capacidad es (B/C)
4 0 7 supervisada
1 y se hacen proyecciones
1 1 100% 0.00
1 de requisitos
1.66 futuros? 2 0.83 83%
2 0.33 1 0.33 0%
3 0.00 1
Existe un responsable asignado que 0.00 0%
4 8
4 0.00
verifique 3
o pronostique, mediante un 0.00 0%
0.00
5 conjunto0.00
de indicadores de1 medicin 0.00 0%
Total de 2.99
fallas y/o 10
funcionamientos 2.16
irregulares del sistema, problemas de
% desempeo de hardware o software? 29.9%
2.99
NM = X 100
5 9 10tendencias de las
Se identifican las X 0.00
cargas de trabajo y se elaboran
proyecciones a fin de considerar
ambas en los planes de desempeo y
capacidad?
TOTA 2.99
L
Figura 8.23: Valor de cumplimiento DS3.

de nivel actual.
-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-100%
40
El nivel actual del proceso Administracin de la capacidad y desempeo

del sistema es del 29.9 %, estando en la escala Inicial en donde no hay
procesos estndares y en su reemplazo hay aproximaciones que tienden a ser
aplicadas en forma individual o caso a caso. El enfoque general es
desorganizado.
RECOMENDACIONES
DOMINIO: Entrega de Servicio
PROCESO: Administracin de la capacidad Y del Desempeo del
Sistema

Cumplimient
o
Nivel 0 La gerencia no reconoce que 100% Grado de madurez: Inicial
los procesos clave del negocio
pueden requerir altos niveles
Debilidades:
de desempeo de TI o que el
total de los Revisin peridica ante y
Requerimientos de servicios de despus del uso de los
TI del negocio pueden exceder equipos escazas.
la capacidad. No se lleva cabo Medicin del desempeo
un proceso de la capacidad.
inexistente.
Nivel 1 Los usuarios con frecuencia 83%
tienen que llegar acabo
soluciones alternas para Fortaleza:
resolver las limitaciones de La clnica conoce los
desempeo y capacidad. requerimientos detallado
de las aplicaciones y
Nivel 2 Los problemas de 0%
disponibilidad
hardware
son susceptibles de ocurrir de
manera inesperada y aleatoria Contacto con los
y toma mucho tiempo proveedores de los
diagnosticarlos y corregirlos. equipos cardiolgicos y
Cualquier medicin de
aplicaciones
desempeo se basa
primordialmente en las
necesidades de TI y no en las
necesidades del cliente
Nivel 3 Los requerimientos de 0%
desempeo y capacidad estn
definidos a lo largo del ciclo de
vida del sistema. Hay mtricas
y requerimientos de niveles de
servicio bien definidos, que
pueden utilizarse para medir el
desempeo operacional.
Nivel 4 Hay procesos y herramientas 0%
41
disponibles para medir el uso
del sistema, el desempeo y la
capacidad, y los resultados se
comparan
con metas definidas.
Nivel 5 Los planes de desempeo y 0%

capacidad estn
completamente sincronizados
con las proyecciones de
demanda del negocio.
Recomendaciones:
Documentacin formal sobre los requisitos de los equipos, aplicaciones como gua al personal
Evaluacin constante de los equipos y aplicaciones
Uso de aplicaciones extra para el mantenimiento de los equipos(desfragmentador de HDD, antivirus
actualizado peridicamente )
Figura E.
42
Entrega de
Servicios
DS5. Garantizar la seguridad de sistema
Misin: Salvaguardar la informacin contra uso no autorizados,

divulgacin, modificacin, dao o prdida
DS5.1 Manejo de las Medidas de Seguridad
DS5.2 Identificacin, Autenticacin y Acceso
DS5.3 Seguridad de Acceso a Datos en Lnea
DS5.4 Administracin de Cuentas de Usuario
DS5.5 Revisin Gerencial de Cuentas de
Usuario
DS5.6 Control de Usuario de las Cuentas de
Usuario
DS5.7 Vigilancia de Seguridad
DS5.8 Clasificacin de Datos
DS5.9 Administracin Centralizada de
Identificacin y Derechos de Acceso
DS5.10 Reportes de Actividades de Violacin y
Seguridad
DS5.11 Manejo de Incidentes
DS5.12 Re-acreditacin
DS5.13 Confianza en el Colega
DS5.14 Autorizacin de Transaccin
DS5.15 No Rechazo
DS5.16 Ruta Confiable
DS5.17 Proteccin de las Funciones de
Seguridad
DS5.18 Administracin de Llaves
Criptogrficas
DS5.19 Prevencin, Deteccin y Correccin
del Software Daino
DS5.20 Proteccin del Valor Electrnico
DS5.21 Arquitectura de Firewalls y
Conexiones con las Redes Pblicas
Integr
Cumpl
Tecnol
Dispo
Confid
datos
Confia
Efecti
Recur
Instal
Eficie
Siste
43
oga
imiento
vidad
ncia
encialidad
idad
nibilidad
bilidad
sos humanos
aciones
ma de aplicacin
ITE
DOMINIO M PROCESOS
Entrega Garantizar
de DS5 la seguridad
servicios del sistema P P S S S V V V V V
44
PROCESO: DS5 Garantizar la seguridad de sistema
Nivel # Declaracin Na Un Basta Totalme Valor de
da poco nte nte cumplimiento
0 1 El operador tiene al alcance el X 1.00
manual de instruccin del uso del
software?
0 2 Existe normas o polticas X 1.00
documentadas ante el uso del
hardware?
0 3 Existe o existi capacitaciones X 1.00

para el uso del software y
hardware?
0 4 Se elabora planes de riesgos, X 0.00

impacto ante un nuevo software
sobre el rendimiento de la
infraestructura, personal,
procesos?
1 5 Es adecuada la calidad del trabajo X 0.66
del operador del software y
hardware?
1 6 El operador del software y X 0.66
hardware tiene conocimiento
bsico de mantenimiento de
software y hardware
1 7 El personal hace uso de medidas X 0.00

preventivas ante el uso del
hardware y software?
1 8 Los operadores de los equipos X 0.66

informticos hacen uso de
dispositivos extrables para
enviar/recibir informacin
(memorias USB, dispositivos mvil
celular)
1 9 Hace uso de manuales de X 1.00

configuracin del software y
hardware en el caso de fallos
1 1 Se revisa la capacidad y X 1.00
0 desempeo actual de los recursos
de TI para determinar si los
mismos son suficientes para
realizar el trabajo?
1 1 Existen procedimientos escritos X 0.66
1 para el operador en cuanto a fallas
del computador, demoras en el
procesamiento de los trabajos y
registro de las acciones
correctivas a emprender?
2 1 Cul es la 1
2 acreditacin/calificacin/posicin
de las personas a terceras para
contratacin para el
mantenimiento de los equipos?
2 1 Se implementan medidas de X 0.33

3 control interno, seguridad y
auditabilidad durante la
configuracin, integracin y
mantenimiento del hardware y del
software de infraestructura a fin
de proteger los recursos y
garantizar la disponibilidad e
integridad?
2 1 Ante un cambio, se ha brindado X 0.66
4 capacitacin o entrenamiento al
personal?
3 1 Qu tan flexible son antes el X 1.00
5 acceso a terceros a los equipos
informticos?
3 1 Poseen aplicativos extra para X 1.00

6 mantenimientos preventivos? 45
3 1 Hacen uso de herramientas de X 0.33
7 auditora del sistema tales como el
software o los archivos de datos
son protegidos para prevenir
Figura 8.28: Valor de cumplimiento DS3.La Tabla representa una de las
encuestas realizadas en la Clnica, esta categorizada en 5 niveles,
evidenciando el valor de sus resultados de niveles de acuerdo (Nada, Poco,
Bastante, Completamente) en el valor de cumplimiento de cada pregunta.
PROCESO: Garantizar la seguridad de sistema

A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVEL DE
ON MADUREZ
(B/C)
0 3 4 0.75 75%
1 4.64 7 0.662 66.2%
2 1.99 3 0.663 66.3%
3 3.98 8 0.497 49.7%
4 4.31 6 0.718 71.8%
5 2 5 0.4 40%
Total RC=19.92 TC=33
% 19.92 60.33%
NM = X 100
33

de nivel actual.
No
existen
te Repetible
0 % - 31%- administrado
10% 50% 71%-90%
Inicial Definido optimizado

11%- 51%- 91%-100%
30% 70%
46
El nivel actual del proceso Garantizar la Seguridad del Sistema es del

60.36 %, estando en la escala Definido, en donde los procedimientos han
RECOMENDACIONES
PROCESO: garantizar la Seguridad del Sistema

Cumplimient
o
Nivel 0 La organizacin no reconoce la 75% Grado de madurez: Definido
necesidad de la seguridad para
TI. Las responsabilidades y la
Debilidades:
rendicin de cuentas no estn
asignadas para garantizar la Documentacin ante
seguridad. repentino cambios
Nivel 1 La organizacin reconoce la 66.2% inexistente.
necesidad de seguridad para Falta de categorizacin de
TI. La conciencia de la
riesgos y el impacto que
necesidad de seguridad
depende principalmente del ocasionara.
individuo.
Nivel 2 Las responsabilidades y la 66.3% Fortaleza:
rendicin de cuentas sobre la Conciencia sobre la
seguridad, estn asignadas a
importancia en la
un coordinador de seguridad
de TI, pero la
seguridad en el entorno de
autoridad gerencial del trabajo.
coordinador es limitada. El personal posee
Nivel 3 Existe conciencia sobre la 49.7% manuales ante el uso de
seguridad y esta es promovida los equipos
por la gerencia.
Nivel 4 Las responsabilidades sobre la 71.8%

seguridad de TI son asignadas,
administradas e
implementadas de forma clara.
Nivel 5 La seguridad en TI es una 40%

responsabilidad conjunta del
negocio y de la gerencia de TI y
est integrada con los objetivos
de seguridad del negocio en la
corporacin.
Recomendaciones:
Para el proceso DS5 se requiere:
47
Documentacin sobre la categorizacin de los riesgo y el impacto
Seguimiento de la actualizaciones de las aplicaciones
Asignacin de responsabilidades al personal para la resolucin de problemas
FIGURA F
Entrega de
DS9. Administracin de la Configuracin Servicios
Misin: dar cuenta de todos los componentes de TI, prevenir

alteraciones no autorizadas, verificar la existencia fsica y proporcionar
una base para el sano manejo de cambios.
DS9.1 Registro de la Configuracin
DS9.2 Base de la Configuracin
DS9.3 Estado de Cuenta
DS9.4 Control de la Configuracin
DS9.5 Software no Autorizado
DS9.6 Almacenamiento de Software

aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin

Entrega de DS9 Administraci P S S V V V
servicios n de la
48
configuracin
PROCESO: DS9 Administracin de la Configuracin
Nivel # Declaracin Nada Un poco Bastante Completament Valor de

e cumplimiento
Realizan repositorio en la que incluye X

hardware, software de aplicacin, 0.00
parmetros, documentacin,
0 1
procedimientos y herramientas para
operar, acceder y usar los sistemas y
servicios?
X
Existe un mapa que muestre el
1 2 cableado de la red e identifique los 1.00
dispositivos significativos de la misma,
el mismo es consultado antes de
hacer tareas de electricidad o
albailera, de modo de evitar
rupturas accidentales de la lnea?
X
2 3 Existen controles para la instalacin
de software en sistemas 1.00
operacionales?
Se utilizan contraseas seguras y se X 1.00

2 4 restringe el acceso a los usuarios
adecuados?
X
2 5 Estn desactivados los servicios que 1.00
son innecesarios
Realizan respaldo de la informacin 1.00

3 6 ante una configuracin en el sistema? X
X
Se informa acerca de los errores y 1.00
3 7 desviaciones, actuando en
consecuencia para corregir los
mismos?
3 8 Existe algn acuerdo formal o X

informal con otras organizaciones 0.00
para el intercambio de informacin y
software?
X
3 9 En caso de haberse realizado una
actualizacin del sistema operativo
49
se realiz la instalacin del software 1.00
desde cero?
X
Existe un inventario de hardware
debidamente actualizado y 1.00
registrados en documentacin?
4 10
X
Se revisa y verifica peridicamente
el estado de los elementos de 0.00
configuracin mediante las
4 11
herramientas que sean necesarias
para confirmar la integridad de los
datos de configuracin actuales y
pasados, as como para comparar con
la situacin real?
Se vigila peridicamente, por parte

del Oficial de seguridad la correcta
0.00
configuracin de los parmetros de
4 12 seguridad del sistema y atributos de
red frente a la instalacin de una
nueva aplicacin o cambios en la red
de comunicaciones, emitindose un
informe resumido de evaluacin?
5 13 Ocasionalmente, algunas aplicaciones

se instalan con permisos muy dbiles,
sin tomar en cuenta el nivel de
X 0.66
seguridad del sistema. Cuando se
instalan nuevas aplicaciones, se
verifican los permisos y grupos con los
que queda operativa, particularmente,
que no tenga que ser ejecutada como
"root"?
TOTA 8.66
L

50
PROCESO: Administracin de la Configuracin
MADUREZ
A B C D E
ON MADUREZ
(B/C)
0 0.00 1 0.00 0%
1 1.00 1 1.00 100%
2 3.00 3 1.00 100%
3 3.00 4 0.75 75%
4 1.00 3 0.33 33%
5 0.66 1 0.66 66%
Total RC=8.66 TC=13 3.74
% 8.66 66.6%
NM = X 100
13

de nivel actual.
51
-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-
100%
El nivel actual del proceso Administracin de la Configuracin es del

66.6%, estando en la escala Definido, en donde los procedimientos han
RECOMENDACIONES
PROCESO: administracin de la Configuracin

Cumplimient
o
Nivel 0 La gerencia no valora los 0% Grado de madurez: Definido
beneficios de tener un proceso
implementado que sea capaz
Debilidades:
de reportar y administrar las
configuraciones dela Reportes sobre las
infraestructura de TI. configuraciones de la
Nivel 1 Se reconoce la necesidad de 100% infraestructura,
contar con una administracin aplicaciones y equipos
de configuracin.
escasos.
Nivel 2 El contenido de la informacin 100%
de la configuracin es limitado
y no lo utilizan los procesos Fortaleza:
interrelacionados, tales como Reconoce la necesidad de
administracin de cambios y una documentacin sobre
administracin de problemas. configuraciones.
Nivel 3 Los procedimientos y las 75%
prcticas de trabajo se han
documentado, estandarizado y Comunicacin ante
comunicado, pero la configuracin al personal
habilitacin y la aplicacin de involucrado.
estndares dependen del
52
individuo.
Nivel 4 En todos los niveles de la 33%

organizacin se reconoce la
necesidad de administrar la
configuracin y las buenas
prcticas siguen
Evolucionando.
Nivel 5 Todos los activos de TI se 66%
administran en un sistema
central de configuraciones que
contiene toda la informacin
necesaria acerca de los
componentes, sus
interrelaciones y eventos.
Recomendaciones:
Documentacin detallada de las configuraciones sobre el entorno (infraestructura, equipos, aplicaciones
involucradas)
Creacin de una documentacin sobre configuracin de las aplicaciones como gua de restauracin del
sistema. FIGURA G. Entrega de
Servicios
DS10. Administracin de problemas e incidentes
OBJETIVOS DE CONTROL
1 Sistema de manejo de Problemas
2 Escalamiento de Problemas
3 Seguimiento de Problemas y Pistas de Auditora
Misin: Asegurar que los problemas e incidentes sean resueltos y que sus
causas sean investigadas para prevenir cualquier recurrencia.

Efici
Rec
Inte
Sist
dato
Disp
Efec
Con
Cum
Con
Tecn
Inst
53
encia
plimiento
tividad
fidencialidad
gridad
onibilidad
alaciones
ologa
fiabilidad
ursos humanos
aplicacinema de
Administraci
Entrega de n de
DS10
servicios problemas e
incidentes P P S V V V V V
PROCESO: Administracin de problemas e incidentes
Nivel # Declaracin Nad Un poco Bastante Completament Valor de

a e cumplimient
Existe personal con

responsabilidades organizacionales
para la asignacin de problemas
0 1
ocurridos en los aplicativos?
X 0.00
Poseen procedimiento con diversos

0 2 tipos de incidentes, desde negacin X 0.00
de servicios hasta brechas en la
confidencialidad, etc., y las maneras
de manejarlas?
0 3 Mantienen procedimientos que 0.66

establecen las responsabilidades de la X
gestin del incidente, y la respuesta
rpida y ordenada a los incidentes de
seguridad?
Se mantienen los registros X

1 4 relacionados a los incidentes y se 0.33
toman acciones proactivas con el fin
de que el incidente no recurra?
1 5 Se implementan procesos para

informar y clasificar los problemas
54
ocurridos en los aplicativos? X 1
Se categorizan adecuadamente los
2 6problemas dentro de grupos o MADUREZ 0.00
dominios (por ej. hardware, software,
A software deBapoyo)? C D E
MADUREZLas fallasDEenLA
los aplicativos son
DECLARACIO CUMPLIMIE MADUREZ
3 7 reportadas y manejadas de forma 0.00
CALIFICACI
adecuada? NES
Esto incluye la accin NTO POR
correctiva ON
que es tomada, revisin de NIVEL DE
los registros de fallas y chequear las MADUREZ
acciones tomadas. (B/C)
0 0.66 3
Se monitorea el impacto continuo de
0.22 22%
4 8
1 1.33y errores conocidos
los problemas 2 en 0.665 66.5%
X 0.00
2 0.00
los servicios 1
de las aplicaciones? 0 0%
3 0.00 1 0 0%
4 49 Se monitorea
0.00 el progreso en la
3 0 0%
5 resolucin0.00
de problemas? 1 X 0 0%
Total 1.99 11 0.00
Se monitorean los esfuerzos

% 1.99 de 18.08%
concentradosNM en= X 100
soluciones
emergencia en lugar11 de posibilitar
4 10 X 0.00
mejoras en el negocio y, donde
corresponda, se mejoran estos
procesos para minimizar problemas?
5 11 Se han mejorados planes, estrategias X 0.00
sobre la gestin de incidentes y
riesgos?
TOTA 1.99
L

de nivel actual.
-0 % - 10% -31%-50% -71%-90%
55
Inicial definido
optimizado
-11%-30% -51%-70% -91%-100%
El nivel actual del proceso Administracin de problemas e incidentes es

del 18.08 %, estando en la escala Inicial en donde no hay procesos
estndares y en su reemplazo hay aproximaciones que tienden a ser aplicadas
en forma individual o caso a caso. El enfoque general es desorganizado.
RECOMENDACIONES

Cumplimient
o
Nivel 0 No hay conciencia sobre la 22% Grado de madurez: Inicial
necesidad de administrar
problemas, y no hay diferencia
Debilidades:
entre problemas e incidentes.
Nivel 1 Los individuos reconocen la 66.5% Carencia de
necesidad de administrar los documentacin sobre
problemas y de revolver las riesgos (categorizacin,
causas de fondo. impacto, prevencin)
Nivel 2 Hay una amplia conciencia 0%
Resolucin de problemas a
sobre la necesidad y beneficios
de administrar problemas corto plazo
relacionados a TI.
Nivel 3 Se acepta la necesidad de un 0% Fortaleza:
sistema integrado de Conciencia sobre riesgos y
administracin de problemas y
los impactos.
se evidencia con el apoyo de la
gerencia y la asignacin de
presupuesto para personal y
habilitacin.
de problemas se entiende a
todos los niveles de la
organizacin.
de problemas ha evolucionado
a un proceso proactivo y
preventivo, que contribuye con
los objetivos de
TI.
Recomendaciones:
Creacin de una documentacin sobre configuracin de las aplicaciones como gua de restauracin
del sistema
56
Creacin de documentacin de riesgos e impactos.
Seguimiento continuo de los incidentes.
Asignacin de responsabilidades al personal ante incidentes para la resolucin.
FIGURA H.
Entrega de
Servicios
DS11. Administracin de datos
Misin: Asegurar que los datos permanezcan completos, precisos y

vlidos durante su entrada, actualizacin y almacenamiento.
OBJETIVOS DECONTROL
1 Procedimientos de Preparacin de Datos
2 Procedimientos de Autorizacin de Documentos Fuente
3 Recopilacin de Datos de Documentos Fuente
4 Manejo de Errores de Documentos Fuente
5 Retencin de Documentos Fuente
6 Procedimientos de Autorizacin de Entrada de Datos
7 Revisiones de Precisin, Suficiencia y Autorizacin
8 Manejo de Errores en la Entrada de Datos
9 Integridad de Procesamiento de Datos
10 Validacin y Edicin de Procesamiento de Datos
11 Manejo de Errores en el Procesamiento de Datos
12 Manejo y Retencin de Salida de Datos
13 Distribucin de Salida de Datos
14 Balanceo y Conciliacin de Datos de Salida
15 Revisin de Salida de Datos y Manejo de Errores
16 Provisiones de Seguridad para Reportes de Salida
17 Proteccin de Informacin Sensible
18 Proteccin de Informacin Sensible Desechada
19 Administracin de Almacenamiento
20 Perodos de Retencin y Trminos de Almacenamiento
21 Sistema de Administracin de la Librera de Medios
22 Responsabilidades de la Administracin de la Librera de
Medios
23 Respaldo y Restauracin
24 Funciones de Respaldo
25 Almacenamiento de Respaldo
26 Archivo
27 Proteccin de mensajes sensibles
28 Autenticacin e Integridad
29 Integridad de Transacciones Electrnicas
30 Integridad continua de Datos Almacenados
57
aplicacinSistema de
Recursos humanos
Confidencialidad
Disponibilidad
Cumplimiento
Instalaciones
Confiabilidad
Efectividad
Tecnologa
Integridad
Eficiencia
datos
Matriz de Seleccin

Entrega de Administraci
DS11
servicios n de datos P P V
PROCESO: Administracin de datos
Nivel # Declaracin Nad Un poco Bastante Completament Valor de

a e cumplimiento
Existen planes establecidos para

garantizar que se reciben los X 0.00
documentos originales esperados del
0 1
negocio, se procesan todos los datos
recibidos por parte del negocio, se
preparan y entregan todas las salidas
requeridas por el mismo y se apoyan
las necesidades de reinicio y
reprocesamiento?
Se establecen planes de
0 2 almacenamiento y vigencia X 0.00
administrativa para satisfacer los
requerimientos legales, regulatorios y
de negocio para todos los
documentos, datos, archivos,
programas, informes y mensajes
(entrantes y salientes) as como para
los datos (claves, certificados) usados
para la encriptacin y autenticacin
de los mismos?
58
0 3 Existe documentacin que indica las
fuentes de las diversas formas de X 0.00
input para cada sistema, los medios
magnticos involucrados y la fecha en
el mes en que ese input debe estar
disponible?
Se definen e implementan 0.66

1 4 procedimientos para el X
almacenamiento y archivo de datos,
de forma que los datos permanezcan
accesibles y usables?
1 5 Son implementados controles tales 0.66

como el uso de antivirus, aislar los X
archivos adjuntos potencialmente
inseguros, control del spam, anti-
retransmisin, etc., para reducir los
riesgos creados por el correo
electrnico?
Se utiliza software especializado de
Administracin de documentos, 0.33
2 6 registros, datos para llevar el X
inventario de las mismas y generar
respaldos en forma automatizada?
Existen Bases de datos instaladas en X 1.00

2 7 las computadoras?
2 8 Existe control sobre el cumplimiento

de la obligacin que tienen los X 1.00
empleados de no tirar a la basura
informacin confidencial que puedan
resultar legible para terceros?
3 9 Se definen e implementan
procedimientos para evitar el acceso X 0.00
a los datos y software sensible
alojados en los soportes o equipos
cuando se eliminan los mismos o se
reubican para otro uso?
Existen procedimientos que

garantizan que los datos marcados X 0.00
como eliminados no puedan ser
3 10
recuperados?
Existe un plan de respaldos

formalmente integrado? 1.00
3 11 X
Se realizan por lo menos una vez al X

ao pruebas documentadas de
0.66
recuperacin de los sistemas y los
3 12 archivos de datos desde los respaldos
simulando un desastre?
3 13 Son considerados controles tales
como: chequear los mensajes de
59
PROCESO: Administracin de Datos
COMPUTO
error, DE de
procedimientos LOS VALORES
respuesta a DE CUMPLIMIENTO
X DEL NIVEL DE 0.33
errores de validacin, definicin de las
responsabilidades de todo el personal
MADUREZ
involucrado en el proceso de entrada
de A
datos, etc.? B C D E
4 14 NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
Los
MADUREZ respaldos DE son
LA testeados
DECLARACIO CUMPLIMIE MADUREZ
regularmente para asegurar que
CALIFICACI
podrn ser restaurados dentro del
NES NTO POR X 0.66
ON
marco de tiempo asignado en el plan NIVELES DE
operacional de recuperacin? MADUREZ
(B/C)
5 15 La actualizacin de los datos se X 0.00 0.33
0 0.00 3 0%
realiza en la secuencia correcta y en
el momento oportuno, segn las 2
1 1.32 0.66 66%
2
caractersticas 2.33uno de ellos? 3
de cada 0.77 77%
3 1.99 5 0.398 39.8%
TOTA 4 0.66 1 0.66 66% 6.63
L 5 0.33 1 0.33 33%
Total RC=6.63 TC=15
% 6.63 44.2%
NM = X 100
15


de nivel actual.

-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
60
-11%-30% -51%-70% -91%-100%
El nivel actual del proceso Administracin de Datos es del 44.2 %,

estando en la escala Repetible, en donde n o existe comunicacin de
procedimientos estndares y la responsabilidad recae en el individuo. Hay un
alto grado de confianza en los conocimientos individuales y por lo tanto, los
errores son probables.
RECOMENDACIONES

PROCESO: Administracin de Datos

Cumplimient
o
Nivel 0 Los datos no son reconocidos 0% Grado de madurez: Repetible
como parte de los recursos y
los activos de la empresa.
Debilidades:
Nivel 1 La organizacin reconoce la 66%
necesidad de una correcta Datos de poca importancia
administracin de los datos. son eliminados sin saber
Nivel 2 A lo largo de toda la 77% de la reutilizacin de los
organizacin existe conciencia mismos para estudios
sobre la necesidad de una
futuros.
adecuada administracin de
los datos.
Nivel 3 Se entiende y acepta la 39.8% Carencia de controles para
necesidad de la administracin chequeos de datos,
de datos, tanto dentro de TI validacin
como a lo largo de toda la
organizacin.
Fortaleza:
Nivel 4 Se entiende la necesidad de la 66%
administracin de los datos y Datos importantes
las acciones requeridas son respaldados
aceptadas a lo largo de toda la
organizacin. Administracin de los
datos en procesos de
Nivel 5 Se entiende y acepta dentro de 33%
la organizacin la necesidad de
mejoras.
realizar todas las actividades
requeridas para la Planes de respaldos
administracin de mejorados.
datos.
Recomendaciones:
Almacenar los datos no importantes para futuros estudios probabilsticos a nivel nacional.
Compra de dispositivos de almacenamiento de respaldo de mayor capacidad.
61
MADUREZ DE LA EMPRESA
MADUREZ
A B C D E
NIVEL DE RESULTADO NUMERO DE VALOR DE % POR NIVELES DE
CALIFICACI NES POR NIVELES
ON DE MADUREZ
(B/C)
0 8.31 24 0.346 34.6%
1 16.25 29 0.560 56%
2 15.61 22 0.709 70.9%
3 14.62 29 0.54 54%
4 9.29 22 0.422 42.2%
5 6.31 17 0.371 37.1%
TOTAL 69.07 138
% 69.4 50.28%
NM = X 100
138
FIGURA I.
VIII.2 NIVEL DE MADUREZ DE LA EMPRESA

de nivel actual.

-0 % - 10% -31%-50% -71%-90%
Inicial definido
optimizado
-11%-30% -51%-70% -91%-100%
62
El nivel actual de la Empresa es del 50.28%, estando en la escala
Repetible, en donde no existe comunicacin de procedimientos estndares y
la responsabilidad recae en el individuo. Hay un alto grado de confianza en los
conocimientos individuales y por lo tanto, los errores son probables.
RECOMENDACIONES
CLINICA PLAZA ESPAA

Cumplimient
o
Nivel 0 Falta completa de 34.6% Grado de madurez: Repetible
cualquier proceso
reconocible. La Debilidades:
organizacin no ha Carencia de
reconocido an que documentacin sobre
hay un elemento a
configuracin de la
ser dirigido.
infraestructura,
aplicaciones, y
dispositivos involucrados
Carencia de
documentacin de riesgos,
Nivel 1 No hay procesos 56% problemas, incidentes y
estndares y en su categorizacin de los
reemplazo hay mismos.
aproximaciones que Datos de poca importancia
tienden a ser son eliminados sin saber
aplicadas en forma de la reutilizacin de los
individual o caso a
mismos para estudios
caso. El enfoque
futuros.
general es
desorganizado. Falta de documentacin
ante repentino cambios.
Nivel 2 Los procesos se han 70.9% Medicin del desempeo
desarrollados en la inexistente.
etapa donde Almacenamiento de datos
procedimientos muy limitados
similares son La documentacin como
seguidos por plan de contingencia ante
diferentes personas
fallo no existe.
que realizan la misma
Contratacin de personal
tarea. No existe
capacitacin formal o externos para el
comunicacin de mantenimiento de los
procedimientos equipos y aplicaciones
estndares y la debido a la falta de
responsabilidad recae conocimientos en el pas.
63
en el individuo.
Nivel 3 Los procedimientos 54%
han sido Fortaleza:
estandarizados y Personal con buena
documentados y comunicacin
comunicados a travs Capacitacin para el uso
de capacitacin. Sin
de los aplicativos
embargo, los
individuos dejan de El personal conoce los
cumplir los procesos requerimientos detallados
y es improbable que de las aplicaciones y
las desviaciones sean hardware
detectadas. Contacto con los
Nivel 4 Es posible monitorear 42.2% proveedores de los
y medir el equipos cardiolgicos y
cumplimiento con los aplicaciones
procedimientos y Uso de extintores.
tomar acciones
cuando stos no
estn trabajando
efectivamente.
Nivel 5 Los procesos se han 37.1%

refinado al nivel de
mejores prcticas,
basado en el
resultado de
mejoramiento
continuo y
modelamiento de
madurez.
FIGURA J.
64
IX. CONCLUSIONES
En el desarrollo del documento sobre Auditoria de Aplicaciones en CLINICA

PLAZA ESPAA se evidencia que se ha cumplido con los objetivos planteados,
realizando una evaluacin de los procesos actuales de los aplicativos y
verificando los conocimientos y habilidades del personal. Se han encontrado
debilidades y fortalezas en cada Proceso basado en COBIT. Se concluye que la
Empresa posee un nivel de Madurez Repetible, con posibles mejoras
recomendadas.
65
X. ANEXOS
66
67
Encuestas realizadas a Ivania Cruz, secretaria del rea de Cardiologa
de CLINICA PLAZA ESPAA, con el sello de consentimiento de la
Clinica.
68
69
70
X.1 EVIDENCIAS
Mostramos las siguientes evidencias, fotos tomadas en la Clnica y

algunos reportes proporcionados de las aplicaciones empleadas por la
empresa:
71
72
73
74

Proyecto Final

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Proyecto Final

Transféré par

Droits d'auteur :

Formats disponibles

PLICACIONES EN CLNICA PLA

La verificacin del buen funcionamiento de las aplicaciones y el uso

En el caso de la clnica PLAZA ESPAA las aplicaciones en el rea de

1.2 alcance del estudio.

El programa de auditoria de aplicaciones desarrollado para clnica PLAZA

La funcin de la clnica PLAZA ESPAA es brindar atencin a pacientes con

Dichas aplicaciones satisfacen las necesidades del usuario y sus clientes,

o Software MMS CLIENT-SERVER determina si el paciente es hipertenso o no.

o Prueba de esfuerzo a travs del software MM-CARDIO.

o Software HMS monitoreo de presin arterial.

El apoyo por parte de Ivania Cruz, secretaria de Clnica PLAZA ESPAA

Se destaca el factor de tiempo como el limitante mayor para lograr el

o Auditar las aplicaciones del rea mdica de cardiologa en clnica

o Auditar los procesos actuales de las aplicaciones del rea de

o Evaluar los conocimientos y habilidades de los usuarios de las

o Realizar una evaluacin genrica de las aplicaciones en el rea

COBIT (Control Objectives for Information and related Technology | Objetivos de

Con el uso apropiado de Cobit se logra que la informacin relevante sea

Existen dos clases distintas de modelos de control disponibles actualmente,

El concepto fundamental del marco referencial Cobit se refiere a que el

Figura 3.1: Estructura COBIT

Figura 3.2: Matriz de Seleccin

Especficamente Cobit provee Modelos de Madurez para el control sobre los

El estado actual de la organizacin es decir donde la organizacin

El estado actual de (los mejores en su clase) la industria

El estado actual de los estndares internacionales comparacin

Y la estrategia de la organizacin para mejorar es decir, donde la

f. MODELO GENERICO DE MADUREZ

0 No-Existente. Falta completa de cualquier proceso reconocible. La

1 Inicial. No hay procesos estndares y en su reemplazo hay aproximaciones

2 Repetible. Los procesos se han desarrollados en la etapa donde

3 Definido. Los procedimientos han sido estandarizados y documentados y

4 Administrado. Es posible monitorear y medir el cumplimiento con los

5 Optimizado. Los procesos se han refinado al nivel de mejores prcticas,

IV. DEFINICION DE CONTROLES PARA AUDITORIA DE

La clnica no posee planes para cambio de sus aplicaciones actualmente.

b. Polticas, estndares y procedimientos:

Clnica PLAZA ESPAA no posee estndares ni polticas documentadas en

c. Organizacin y personal de informtica:

La clnica no cuenta con personal de informtica para actualizaciones o

2. Controles en la entrada de datos

a. Procedimiento de control de entrada de datos:

Se involucran controles de aplicacin siguientes, preparacin y autorizacin

Clnica PLAZA ESPAA mantiene un control de acceso a los datos de sus

En trminos generales, cualquiera que sea el ambiente en que se procesan

1- Se debe recibir y registrar con exactitud e ntegramente.

Los controles en el ingreso de datos son preventivos, pues tratan de evitar

En el caso de Clnica PLAZA ESPAA los datos que se ingresan en los 3

En este control se involucra los controles de aplicacin de integridad y

La clnica PLAZA ESPAA verifica que los datos ingresados a la aplicacin

Se involucran controles de aplicacin de revisin de salidas, reconciliacin y

La clnica almacena los resultados del anlisis de los pacientes

6. Controles de operacin de sistemas de informacin

Existe un control de las computadoras presentes en la clnica PLAZA

b. Operacin del software del sistema

c. Seguridad fsica y lgica

Mantienen un control en el acceso a la clnica en el rea de cardiologa,

Los archivos pertenecientes a los resultados de funcionalidad de las

V. Mtodo para la determinacin del modelo de madurez

El modelado de madurez para la administracin y control sobre los procesos

Los resultados del modelo de madurez son obtenidos en base a COBIT, el

En otras encuestas las preguntas las opciones de respuesta aparecern

NM es el porcentaje del nivel de madurez, RC es el resultado de calificacin,

La siguiente tabla representa la plantilla de recomendaciones a ser