Vous êtes sur la page 1sur 100

INSTITUTO TECNOLGICO SUPERIOR CINCO DE JUNIO

El saber es Poder

Categora B

CARRERA DE ANLISIS DE SISTEMAS

Proyecto profesional de grado previo a la obtencin del ttulo de


Tecnloga en Anlisis de Sistemas

TEMA: AUDITORA INFORMTICA EN LA EMPRESA


FERRO TORRE S.A.

AUTORA: WENDY PATRICIA MORENO SARANGO

TUTORA: MSC. YOLANDA AZUCENA BORJA LPEZ

D.M QUITO, SEPTIEMBRE DEL 2015


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Cesin de Derechos de Proyecto de Grado

Yo Wendy Patricia Moreno Sarango declaro ser el autor del presente


proyecto expresamente al Instituto Tecnolgico Superior Cinco de Junio
y a sus representantes legales de posibles reclamos o acciones legales.

Adicionalmente aclaro conocer la disposicin del manual C. del Art 99; y


Art 101 del Reglamento de estudiantes del Instituto Tecnolgico Superior
Cinco de Junio nivel superior que en su parte pertinente textualmente
dice: Proyectos de graduacin es la aplicacin de conocimientos
cientificos-tcnicos, tericos prcticos y metodolgicos de carcter
superior obtenidos en los programas de carrera; y que permiten la
solucin de problemas especficos, cuyo resultado puede ser el diseo del
proyecto, construccin de un prototipo, diseo y ejecucin del proyecto, o
el planteamiento de soluciones objetivas del problema segn
corresponda. No podr utilizarse un mismo tema de proyecto para obtener
mas de un titulo.

f)..

Autor: Wendy Patricia Moreno Sarango

Cdula: 172084024-6

i
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Autora

Las ideas, conceptos, procedimientos y resultados vertidos en el presente


proyecto de fin de carrera son de exclusiva responsabilidad de Wendy
Patricia Moreno Sarango autora del presente proyecto.

Autor: Wendy Patricia Moreno Sarango

Cdula: 172084024-6

ii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

MSC. YOLANDA AZUCENA BORJA LPEZ

DOCENTE NIVEL SUPERIOR DEL INSTITUTO


TECNOLGICO SUPERIOR CINCO DE JUNIO

Certifica

Que el presente proyecto profesional de grado realizado por la estudiante


Wendy Patricia Moreno Sarango, ha sido orientado y revisado durante su
ejecucin, por lo tanto autorizo su presentacin.

D.M. Quito, Septiembre de 2015

f).

MSc.Yolanda Azucena Borja Lpez

171340576-7

iii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Dedicatoria

El presente proyecto de grado lo dedico a mis padres, hermanas y amigos


por haber intervenido con su apoyo moral no dejandome caer en
momentos dificiles y apoyandome para poder seguir adelante con mis
metas.

Wendy Patricia Moreno Sarango

iv
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Agradecimiento

Agradezco a todos y cada uno de los docentes de la Carrera de Anlisis


de Sistemas del Instituto Tecnolgico Superior Cinco de Junio por haber
intervenido con su ayuda pedaggica al transmitir sus conocimientos a
travs de sus clases y por inculcar en mi hbitos de estudio asi como
tambin por guiarme correctamente en el transcurso de la elaboracin del
presente proyecto de una forma eficiente.

Wendy Patricia Moreno Sarango

v
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Resumen

Para varias empresas, la informacin y la tecnolgia que las soportan


representan sus mas valiosos activos, aunque con frecuencia son poco
entendidos. Las empresas exitosas reconocen los beneficios de la
tecnologa de informacin y la utilizan para impulsar el valor de sus
interesados. Estas empresas tambien entienden y administran los riesgos
asociados, tales como el aumento en requerimientos regulatorios, asi
como la dependencia critica de muchos procesos de negocio en TI.

Lanecesidad del aseguramiento del valor de TI, la administracin de los


riesgos asociados a TI, asi como el incremento de requerimientos para
controlar la informacin, se entiende ahora como elementos clave de
Gobierno Corporativo. El valor, el riesgoy el control constituyen la esencia
del gobierno de TI. Mas aun, el gobierno de TI facilita que la empresa
aproveche al maximo su informacin aumentando sus beneficios ganando
ventajas competitivas.

Estos resultados requieren un marco de referencia para poder controlar la


tecnologa informtica que sirva como soporte. Las organizaciones deben
satisfacer la calidad de los requerimientos de seguridad informtica asi
como de todos sus activos la direccin tambien debe optimizar el uso de
los recursos de TI, incluyendo aplicaciones, informacin, infraestructura y
personal.

Para lograr un gobierno efectivo, los ejecutivos esperan que los controles
a ser implementados por los gerentes operativos se encuentren dentro de
un marco de control definido para todos los procesos de TI. Los objetivos
de control de TI de cobit estan organizados por procesos de TI; por lo
tanto el marco de trabajo brinda una alineacin clara entre los
requerimientos de gobierno de TI, Los procesos de TI y controles de TI.

vi
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Abstract

For one company, the information and the technology that supports it
represent their most valuable assets, but often they are poorly understood.
Successful companies recognize the benefits of information technology
and use it to boost the value of its stakeholders. These enterprises also
understand and manage the associated risks, such as increasing
regulatory compliance as well as the critical dependence of many business
processes on IT.

The need for assurance about the value of IT, the management of the
risks associated with IT as well as increased requirements for control over
information are now understood as key elements of corporate governance.
The value, risk and control constitute the core of IT governance.
Furthermore, IT governance enables the enterprise to make the most of
your information increasing profits gaining competitive advantages.

These results require a framework to control the computer technology that


serves as a support. Organizations must meet the quality requirements of
computer security as well as all its assets Management should also
optimize the use of IT resources, including applications, information,
infrastructure and personnel.

To achieve effective governance, executives expect controls to be


implemented by operational managers within a defined framework for all IT
processes control. The control objectives COBIT are organized by IT
process; therefore the framework provides a clear alignment between IT
governance requirements, IT processes and IT controls.

vii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Introduccin

CAPTULO I: Fundamentacin Terica

Se basa en la revisin de documentos o archivos en internet ya existentes


con el mismo problema, ademas se describen los reglamentos internos de
la empresa, el punto de categora fundamental es el mas extenso ya que
se definen los puntos principales de la auditora.

CAPTULO II: Metodologa de la Investigacin

Dentro de este captulo se detalla el tipo de investigacin a realizarse, el


como y con que instrumentos se llevara a cabo la investigacin para una
determinada muestra de la auditora.

CAPTULO III: Auditora Informtica

Aplicacin de la Metologa en Evaluacin de Controles en la Auditora


Informtica en el departamento de sistemas de la Empresa FERRO
TORRE S.A. donde se explica uno de los procesos generales de la
Auditora el cual tiene objetivos, controles, asi como la documentacin
final.

CAPTULO IV: Conclusiones y Recomendaciones

Una vez realizado el proyecto de investigacin y analizado cada uno de


los captulos se procedera a obtener las conclusiones y recomendaciones.

viii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

NDICE DE CONTENIDOS

Cesin de Derechos de Proyecto de Grado ....................................................................... i


Autora...................................................................................................................................... ii
Certifica ................................................................................................................................... iii
Dedicatoria ............................................................................................................................. iv
Agradecimiento ....................................................................................................................... v
Resumen ................................................................................................................................ vi
Abstract ...................................................................................................................................vii
Introduccin ...........................................................................................................................viii
Informacin Empresarial ........................................................................................ 1
Antecedentes .......................................................................................................................... 1
Misin ....................................................................................................................................... 2
Visin........................................................................................................................................ 2
Poltica de Calidad ................................................................................................................. 3
Organigrama del Departamento Informtico...................................................................... 4
Planteamiento del Problema ................................................................................................ 4
Diagnstico del Problema ..................................................................................................... 4
Objetivos ................................................................................................................. 5
General .................................................................................................................................... 5
Especficos .............................................................................................................................. 5
Alcance y Limitaciones .......................................................................................... 5
Alcance .................................................................................................................................... 5
Limitaciones ............................................................................................................................ 5
Justificacin ............................................................................................................................. 6
CAPTULO I ............................................................................................................. 7
Fundamentacin Terica ...................................................................................................... 7
1.1 Historia y evolucin de COBIT ...................................................................................... 7
1.1.2 Metodologa COBIT ..................................................................................................... 8
1.1.3 Control Objectives for Information and Related Technology, Cobit ..................... 8
ix
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

1.1.4 Cobit cubre cuatro dominios ..................................................................................... 11


1.1.4.1 Planear y Organizar ................................................................................................ 11
1.1.4.2 Adquirir e Implementar ........................................................................................... 11
1.1.4.3 Entregar y dar Soporte ........................................................................................... 12
1.1.4.4 Monitorear y Evaluar .............................................................................................. 12
1.1.5 Administracin y anlisis de riesgos ....................................................................... 12
1.1.6 Proceso de Administracin del Riesgo ................................................................... 13
1.1.6.1 Controles .................................................................................................................. 14
1.2 Auditora .......................................................................................................................... 15
1.2.1 Auditora Informtica .................................................................................................. 15
1.2.2 Tcnicas o Herramientas Usadas Para la Auditora Informtica ........................ 15
1.2.2.1 Cuestionarios ........................................................................................................... 15
1.2.3 Tipos de Auditoras Informticas ............................................................................. 16
1.2.3.1 Auditoras Internas .................................................................................................. 16
1.2.3.2 Auditoras Externas ................................................................................................ 16
1.2.3.3 Tcnicas de Auditora............................................................................................. 17
1.3 Metodologa de Desarrollo de la Auditora Informtica ........................................... 18
1.4 Redes de Computadores ............................................................................................. 18
1.4.1 Componentes Fsicos de las Redes........................................................................ 19
1.4.2 Dispositivos de Usuario Final (host) ........................................................................ 19
1.4.3 Redes LAN .................................................................................................................. 19
1.4.4 Dispositivos de Red ................................................................................................... 20
1.5 Topologa de Red de Datos ......................................................................................... 20
1.5.1 Topologa Informtica ................................................................................................ 20
1.5.2 Topologa Estrella ...................................................................................................... 21
CAPTULO II .......................................................................................................... 22
Metodologa de Investigacin............................................................................................. 22
2.1.1 Mtodo Analtico - Sinttico ..................................................................................... 22
2.1.2 Mtodo de la Investigacin Bibliogrfica Documental .......................................... 22
2.1.3 Tcnicas e Instrumentos de Investigacin ............................................................. 22
2.1.4 Procesamiento de Informacin ................................................................................ 23

x
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

2.2 Tcnica ............................................................................................................................ 23


2.2.1 Descripcin de la Tcnica ......................................................................................... 23
Cuestionario .......................................................................................................................... 23
CAPTULO III ......................................................................................................... 30
Auditora Informtica............................................................................................................ 30
3.1 Diagnstico ..................................................................................................................... 30
3.1.1 Metodologa Documentada....................................................................................... 30
3.1.2 Monitorear los Procesos............................................................................................ 30
3.1.3 Evaluar lo Adecuado del Control Interno ................................................................ 30
3.2 Justificacin .................................................................................................................... 30
3.2.1 Anlisis de Riesgos Aplicados ................................................................................. 30
3.2.2 Objetivo del Anlisis de Riesgos.............................................................................. 31
3.2.3 rea a Auditar ............................................................................................................. 32
3.3 Adecuacin ..................................................................................................................... 33
3.3.1 Tcnicas....................................................................................................................... 33
3.3.2 Identificar los riesgos ................................................................................................. 36
3.3.3 Probabilidad Del Riesgo ............................................................................................ 36
3.3.4 Impacto Del Riesgo .................................................................................................... 37
3.3.5 Exposicin al Riesgo ................................................................................................. 37
3.3.6 Evaluar los Riesgo ..................................................................................................... 38
3.3.7 Identificar los impactos .............................................................................................. 38
3.3.8 Anlisis y evaluacin de los riesgos ........................................................................ 38
3.4 PO2 Definir la Arquitectura de la Informacin. .......................................................... 45
3.4.1 PO2.1 Modelo de Arquitectura de Informacin Empresarial ............................... 46
3.4.2 PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos ......... 47
3.4.3 PO2.3 Esquema de clasificacin de datos ............................................................. 47
3.4.4 PO2.4 Administracin de Integridad........................................................................ 47
3.5 PO3. Determinar la Direccin Tecnolgica. .............................................................. 49
3.5.1 PO3.1 Planeacin de la Direccin Tecnolgica .................................................... 50
3.5.2 PO3.2 Plan de Infraestructura Tecnolgica ........................................................... 51
3.5.3 PO3.3 Monitoreo de tendencias y regulaciones futuras ...................................... 51

xi
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.5.4 PO3.4 Estndares tecnolgicos............................................................................... 51


3.5.5 PO3.5 Consejos de arquitectura de TI.................................................................... 51
3.6 PO4. Definir los Procesos, Organizacin y Relaciones de TI ................................ 53
3.6.1 PO4.1 Marco de trabajo de procesos de TI ........................................................... 54
3.6.2 PO4.2 Comit estratgico de TI ............................................................................... 55
3.6.3 PO4.3 Comit directivo de TI ................................................................................... 55
3.6.4 PO4. Definir los Procesos, Organizacin y Relaciones de TI. ............................ 55
3.6.5 PO4. Definir los Procesos, Organizacin y Relaciones de TI. ............................ 57
3.7 AI2 Adquirir y Mantener Software Aplicativo ............................................................. 59
3.7.1 AI2.1 Diseo de Alto Nivel ........................................................................................ 60
3.7.2 AI2.2 Diseo Detallado .............................................................................................. 60
3.7.3 AI2.3 Control y Posibilidad de Auditar las Aplicaciones ....................................... 61
3.7.4 AI2.4 Seguridad y Disponibilidad de las Aplicaciones .......................................... 61
3.7.5 AI2.5 Configuracin e implementacin de software aplicativo adquirido .......... 61
3.7.6 AI2.6 Actualizaciones Importantes en Sistemas Existentes................................ 61
3.7.7 AI2.7 Desarrollo de Software Aplicativo ................................................................. 61
3.7.8 AI2.8 Aseguramiento de la Calidad del Software .................................................. 61
3.7.9 AI2.9 Administracin de los requerimientos de aplicaciones .............................. 62
3.7.10 AI2.10 Mantenimiento de Software Aplicativo ..................................................... 62
3.7.11 AI2 Adquirir y Mantener Software Aplicativo ....................................................... 63
3.8 AI3 Adquirir y Mantener Infraestructura Tecnolgica............................................... 65
3.8.1 AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica .................................. 67
3.8.2 AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura ..................... 67
3.8.3 AI3.3 Mantenimiento de la Infraestructura ............................................................. 68
3.8.4 AI3.4 Ambiente de Prueba de Factibilidad ............................................................. 68
CAPTULO IV ......................................................................................................... 70
4.1 Conclusiones y Recomendaciones............................................................................. 70
5.1 Bibliografa ...................................................................................................................... 73
5.2 Glosario de Trminos .................................................................................................... 74

xii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

NDICE DE FIGURAS

Figura 1 Logo ............................................................................................ 4


Figura 2 Organigrama Del Departamento Informtico .............................. 4
Figura 3 Orden procedimental de COBIT .................................................. 8
Figura 4 Cubo de COBIT 4.1..................................................................... 9
Figura 5 Marco de Trabajo Completo de COBIT 4.1 ............................... 10
Figura 6 Tcnicas de Audtora ................................................................ 17
Figura 7 Red LAN Commuted. ................................................................ 19
Figura 8 Topologa Estrella ..................................................................... 21
Figura 9 Procesos de evaluacin de riesgos........................................... 32
Figura 10Definir la Arquitectura de la Informacin. ................................. 48
Figura 11 Estndares tecnolgicos ......................................................... 52
Figura 12 Marco de trabajo de procesos de TI........................................ 56

xiii
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

NDICE DE TABLAS

Tabla 1 Personal FERRO TORRE S.A ...................................................... 3


Tabla 2 Matriz de Diagnstico de Procesos Cobit ................................... 36
Tabla 3 Amenazas Susceptibles para entrar en la Seguridad ................. 36
Tabla 4 Probabilidad de Riesgo............................................................... 37
Tabla 5 Impacto y su Valoracin ............................................................. 37
Tabla 6 Exposicin de Riesgo ................................................................. 38
Tabla 7 Amenazas Susceptibles para entrar en la seguridad ................. 40
Tabla 8 Planos de Enlace Procesos de COBIT a Metas de TI ................ 44
Tabla 9 Directrices Generales ................................................................. 47
Tabla 10 Consejos de arquitectura de TI ................................................. 52
Tabla 11 Comit directivo de TI ............................................................... 55

xiv
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

NDICE DE ANEXOS

Anexo 1 Carta de Auspicio ...................................................................... 76


Anexo 2 Polticas y procedimientos de Sistemas de Informacin ........... 77
Anexo 3 Funciones del Analista de Sistemas ......................................... 78
Anexo 4 Funciones del Asistente de Sistemas ....................................... 79
Anexo 5 Reporte de Ingre de sistemas ................................................... 80
Anexo 6 Inventario de los Recursos Tecnolgicos.................................. 81
Anexo 7 Carta Dirigida al Gerente .......................................................... 82

xv
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Informacin Empresarial
Antecedentes

Corra el ao 1972, en que al cabo de 17 aos de desarrollo en Chile, en


el cual se haba estacionado un rgimen poltico que haba menoscabado
la institucionalidad y por cierto la actividad, Antonio Ferro Torre decide
regresar al Ecuador, perodo en que el pas empezaba a explotar una
nueva veta de crecimiento, la cual era el desarrollo de su industria
petrolera, misma que requera de diversos insumos, principalmente de
materiales de acero.

Es as que formando parte de un grupo de inversin chileno, el 2 de junio


de 1972 se fundan tres compaas de manera simultnea: IPAC, la planta
que procesara perfiles; CIMPAC, una distribuidora de estos productos
para la regin costa, y FERRO TORRE S.A. para la comercializacin y
distribucin de los productos y materiales que IPAC producira, para la
sierra. Antonio se integra a este cuadro de capitales, que con el
transcurso del tiempo llega a tener una participacin cercana al 40%,
posicin que le permita ser presidente del Directorio y Gerente General a
la vez.

Una vez instalado en Quito, y con el transcurrir de los aos, Antonio Ferro,
de manera independiente, inicia la importacin de otros productos y
materiales de acero, tales como planchas, varilla corrugada, vigas, entre
otras lneas.

Transcurridos unos 20 aos de su fundacin, Antonio tom la iniciativa de


vender su participacin accionaria para as iniciar caminos distintos de
emprendimiento y trabajo.

1
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Habiendo concluido Sebastin sus estudios universitarios de


administracin, se integra de lleno a trabajar con su padre, toma las
riendas y hace frente a una serie de dificultades de orden poltico y
econmico que enfrenta el pas a finales del siglo pasado.

Es entonces, que arrancando el ao 2000 con una economa dolarizada,


sumadas a variables macroeconmicas de expansin en la economa a
nivel mundial, le permiten a Sebastin Ferro tomar la

Iniciativa de formar equipos de trabajo, para as liderar un nuevo


desarrollo industrial que anhelaban tanto l como su padre.1

En estos 12 aos de sangre nueva, joven, entusiasta, de gran dinamismo


y capacidad de trabajo, habiendo pasado por duros y difciles momentos,
con una estructura muy liviana, se ha logrado consolidar un desarrollo
industrial, bajo la NORMA ISO 9001:2008, que hoy le permite liderar la
conformacin y fabricacin de tubera estructural, ser grandes actores en
perfilara estndar y plegada; y por cierto ser unos proveedores confiables
en materiales y productos de acero para la industria y construccin.2

Misin

Procesar y comercializar productos de acero, para la industria y


construccin con estricto apego a las normas de calidad y ambientales
generando valor para sus accionistas, trabajadores y clientes.

Visin
Ser una empresa lder en la fabricacin y comercializacin de productos
de acero para satisfacer las exigencias de nuestros clientes siendo
reconocida por la calidad de sus productos servicios y excelencia de sus
colaboradores

1 Ferro Torre S.A. (2014) Informacin Empresarial ANTECEDENTES EMPRESARIALES Editex


2 Ferro Torre S.A. (2014) Informacin Empresarial ANTECEDENTES EMPRESARIALES Editex
2
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Personal

rea # personas
rea administrativa
rea de supervisin y administracin 5
Recepcionista 1
Mensajero 1
Persona en caja 1
Vendedores 3
rea operativa
rea de produccin 20
Operadores de los puentes gras 2
Tcnicos: Mecnico (1); Elctrico (2); Tornero (3); 7
Soldador (1)
Choferes (vehculo y montacargas) 5
TOTAL 45
Tabla 1 Personal FERRO TORRE S.A
Fuente FERRO TORRE S.A

Poltica de Calidad

Ferro torre S.A. fabrica y comercializa productos de acero, siguiendo los


estndares de calidad de la norma ISO 9001; 2008 mejorando
continuamente sus procesos manteniendo una constante capacitacin de
su personal y formando slidos vnculos con sus proveedores para lograr
satisfacer las necesidades de sus clientes.

3
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Figura 1: Logo
Fuente: La Empresa

Organigrama del Departamento Informtico

Figura 2: Organigrama Del Departamento Informtico


Fuente FERRO TORRE S.A.

Planteamiento del Problema


De qu manera influye en los procesos del departamento informtico la
aplicacin de una auditora informtica?

Diagnstico del Problema


- No existe un manejo adecuado de los Recursos Tecnolgicos ya
que no se tiene registro exacto de lo que contiene el departamento
de sistemas.
- Existe fallas en la red de telecomunicacin por la prdida de
energa ocasionando que la red se caiga.
- Prdida de Recursos tecnolgicos por no llevar registro de
prstamo de equipos.
- Perdida de informacin porque existe congestionamiento en la red.
4
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Objetivos

General

Realizar la auditora informtica aplicando COBIT 4.1 en el departamento


informtico para evaluar los procesos tecnolgicos de la Empresa Ferro
Torre S.A.

Especficos

- Recopilar informacin de la empresa utilizando mtodos y tcnicas


de investigacin para el levantamiento de informacin.
- Realizar un diagnstico del departamento informtico para
determinar el estado actual del mismo.
- Aplicar la tcnica de investigacin para el levantamiento de
informacin de la empresa que sirva de base para el diagnstico
actual.
- Elaborar un informe con las conclusiones y recomendaciones de
acuerdo al estado del departamento informtico.

Alcance y Limitaciones

Alcance

La auditora se aplica al departamento informtico de la Empresa FERRO


TORRE S.A. afectando nicamente al rea de sistemas evaluando el
funcionamiento del mismo.

Limitaciones

- La auditora no realizar cambios fsicos dentro del departamento.


- Los puntos a auditar no estarn disponibles para los usuarios
mientras se realice el proceso.

5
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Justificacin
La tecnologa de informtica, traducida en hardware, software, sistemas
de informacin, investigacin tecnolgica, redes locales, base de datos,
ingeniera de software, telecomunicaciones, es una herramienta
estratgica que brinda rentabilidad y ventajas competitivas a los negocios
frente a sus similares en el mercado, pero puede originar costo y
desventaja si no son bien administrada por el personal encargado. La
informtica est inmersa en la gestin integral de la organizacin. A
finales del siglo XX, los sistemas de TI (tecnologas de la informacin) se
constituyeron como las herramientas ms poderosas para cualquier
organizacin, puesto que apoyan la toma de decisiones, generando un
alto grado de dependencia, as como una elevada inversin en ellas.
Debido a la importancia que tienen en el funcionamiento de una
organizacin, existe la auditora informtica. Al igual que cualquier rea de
la organizacin, los sistemas de TI deben estar sometidos a controles de
calidad y auditora informtica porque las computadoras y los centros de
procesamiento de datos son blancos apetecibles para el espionaje, la
delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de
los datos de entrada a los sistemas de TI se genera informacin errnea,
con la posibilidad de que se provoque un efecto cascada y afecte a otras
aplicaciones. As mismo, un sistema de TI mal diseado puede
convertirse en una herramienta muy peligrosa para la gestin y la
coordinacin de la organizacin.3

3
Muoz, Carlos (2002) Auditoria en Sistemas Computacionales
6
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

CAPTULO I

Fundamentacin Terica

1.1 Historia y evolucin de COBIT


El proyecto COBIT se emprendi por primera vez en el ao 1995, con el
fin de crear un mayor producto global que pudiese tener un impacto
duradero sobre el campo divisin de los negocios, as como sobre los
controles de los sistemas de informacin implantados. La primera edicin
del COBIT, fue publicada en 1996 y fue vendida en 98 pases de todo el
mundo. La segunda edicin publicada en Abril de 1998, desarrolla y
mejora lo que posea la anterior mediante la incorporacin de un mayor
nmero de documentos de referencia fundamentales, nuevos y revisados
de forma detallada objetivos de control de alto nivel, intensificando las
lneas maestras de auditora, introduciendo un conjunto de herramientas
de implementacin, as como un CD-ROM completamente organizado el
cual contiene la totalidad de los contenidos de esta segunda edicin.

Una temprana adicin significativa visualizada para la familia de productos


COBIT, es el desarrollo de las Guas de Gerencia que incluyen Factores
Crticos de xito, Indicadores Clave de Desempeo y Medidas
Comparativas. Los Factores Crticos de xito, identificarn los aspectos o
acciones ms importantes para la administracin y poder tomar, as,
dichas acciones o considerar los aspectos para lograr control sobre sus
procesos de TI. Los Indicadores Clave de Desempeo proporcionarn
medidas de xito que permitirn a la gerencia conocer si un proceso de TI
est alcanzando los requerimientos de negocio. La Medidas Comparativas
definirn niveles de madurez que pueden ser utilizadas por la gerencia
para: determinar el nivel actual de madurez de la empresa; determinar el
nivel de madurez que se desea lograr, como una funcin de sus riesgos y
objetivos; y proporcionar una base de comparacin de sus prcticas de

7
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

control de TI contra empresas similares o normas de la industria. Esta


edicin, proporcionar herramientas a la gerencia para evaluar el
ambiente de TI de su organizacin.4

1.1.2 Metodologa COBIT


Es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa, los flujos de informacin y los riesgos que stas
implican, y es la principal propuesta metodolgica realizada a nivel
internacional para abordar la Auditora de Sistemas de Informacin.5

La tecnologa Cobit se utiliza para planear, implementar, controlar y


evaluar el gobierno sobre TIC, incorporando objetivos de control,
directivas de auditora, medidas de rendimientos y resultados, factores
crticos de xito y modelos de madurez.

1.1.3 Control Objectives for Information and Related Technology,


Cobit
COBIT es uno de los estndares ms utilizados actualmente, como base
en la realizacin de una metodologa de control interno en el ambiente de
tecnologa informtica. COBIT es un marco de referencia y se fundamenta
en los objetivos de control existentes de la Informacin Systems Audit and
Control Fundacin (ISACF), y se encuentra alineado con otros estndares
de control y auditoria como COSO, IFAC, IIA, ISACA, AICPA1.

Requerimientos de Prcticas de
Negocio Control

El control de Que satisface Es habilitado por


Considerando
Proceso de TI Declaracin de
Control

Figura 3: Orden procedimental de COBIT


Fuente: La Autora

4
Mario. G (2008)Auditoria de tecnologas y sistemas de informacin Editorial RA-MA S.A.
5
Carlos Muoz Razo, ao 2002Auditoria en Sistemas Computacionales
8
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Misin de COBIT. La misin COBIT es Investigar, desarrollar, hacer


pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de
las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIT 4.1, 2007,
p. 9).Los recursos de TI son manejados por procesos de TI para lograr
metas de TI que respondan a los requerimientos del negocio. Este es el
principio bsico del marco de trabajo COBIT, como se ilustra en el cubo
COBIT, Figura 4. COBIT define una serie de procesos relacionados con
TI, los cuales agrupa en cuatro dominios planificacin y organizacin,
desarrollo y adquisicin, soporte y monitoreo, y los cuales estructura en
distintas actividades.

Figura 4: Cubo de COBIT 4.1


Fuente :www.procesos-cobit-4.es

Criterios de Informacin. Para alcanzar los requerimientos de negocio,


la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, costo y entrega.
Requerimientos: Efectividad y eficiencia operacional, confiabilidad de los
reportes financieros y cumplimiento de leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad, integridad y
disponibilidad
9
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Recursos de TI. En COBIT se establecen los siguientes recursos en TI


necesarios para alcanzar los objetivos de negocio: datos, instalaciones,
tecnologa, sistemas, y recurso humano.

OBJETIVOS DE NEGOCIO
P01 Definir un plan estratgico de tecnologa
de informacin
P02 definir la arquitectura de informacin
P03 determinar la direccin tecnolgica
P04 definir la organizacin y las relaciones de
M1 monitorear los procesos
M2 evaluar lo adecuado del
COBIT TI
P05 Manejar la inversin en tecnologa de
informacin
control interno P06 comunicar la direccin y aspiraciones de
M3 obtener aseguramiento la gerencia
independiente P07 administrar recursos humanos
M4 proporcionar auditora P08 asegurar el cumplimiento de
requerimientos externos
independiente
P09 evaluar riesgos
P010 administrar proyectos
INFORMACIN P011 administrar calidad

- Efectividad
- Eficiencia
- Confidencialida
d
- Integridad
- Disponibilidad
- Cumplimiento
- confiabilidad
MONITOREO
RECURSOS DE TI PLANIFICAR Y
ORGANIZAR
- Datos
- Sistema de
aplicacin
- Tecnologa
- Instalaciones
ENTREGA Y - Gente
ADQUISICIN E
SOPORTE
IMPLEMENTACIN

DS1 Definir niveles de servicio


DS2 administrar servicios prestados por terceros
DS3 administrar desempeo y capacidad AI1 identificar soluciones
DS4 asegurar servicio continuo AI2 adquirir y mantener software de
DS5 Garantizar la seguridad del sistema aplicacin
DS6 identificar y asignar costos AI3 adquirir y mantener arquitectura de
DS7 educar y entrenar a los usuarios tecnologa
DS8 apoyar y asistir a los clientes de TI AI4 Desarrollar y mantener procedimientos
DS9 administrar la configuracin relacionados con TI
DS10 Administrar problemas e incidentes AI5 instalar y acreditar sistemas
DS11 Administrar datos AI6 Administrar cambios
DS12 Administrar instalaciones
DS13 administrar operaciones

Figura 5: Marco de Trabajo Completo de COBIT 4.1


Fuente: La autora

10
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Procesos de TI.COBIT se divide en tres niveles:


Dominios: Agrupacin natural de procesos, normalmente corresponden a
un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o
Cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
En detalle, el marco de trabajo general COBIT est compuesto de cuatro
dominios que contienen 34 procesos genricos, administrando los
recursos de TI para proporcionar informacin al negocio de acuerdo con
los requerimientos del negocio y de gobierno.

1.1.4 Cobit cubre cuatro dominios


- Planear y Organizar
- Adquirir e Implementar
- Entregar y Dar Soporte
- Monitorear y Evaluar

1.1.4.1 Planear y Organizar


La Planificacin y el dominio de Organizacin cubren el empleo de
tecnologa y como puede ser usado en una empresa ayudando a alcanzar
los objetivos de la empresa. Esto tambin destaca la forma de
organizacin e infraestructura TI debe tomar para alcanzar los resultados
ptimos y generar la mayor parte de ventajas de empleo de TI.

1.1.4.2 Adquirir e Implementar


Nos ayuda a la identificacin de soluciones a su desarrollo o adquisicin y
mantenimiento de sistemas existente, proporcionando las soluciones para
poderlas convertir en servicios.

11
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

1.1.4.3 Entregar y dar Soporte


Cubre entrega de servicios requeridos incluyendo la presentacin del
servicio, la administracin de seguridades asa los usuarios recibiendo
soluciones hacindolas utilizables para usuarios finales.

1.1.4.4 Monitorear y Evaluar


Todos los procesos de la tecnologa informtica deben ser evaluados de
forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control.
Este dominio abarca el monitoreo de controles internos, el cumplimiento
regulatorio y la aplicacin del gobierno monitoreando as todos los
procesos que siguen una direccin prevista.

1.1.5 Administracin y anlisis de riesgos


Como herramienta de diagnstico para poder establecer la exposicin real
a los riesgos por parte de una organizacin se recurre a lo que se llama
anlisis de riesgos. Este anlisis tiene como objetivos identificar los
riesgos.
Cuando se refiere al riesgo total, se trata de la combinacin de los
elementos que lo conforman. Comnmente se calcula el valor del impacto
promedio por la probabilidad de ocurrencia para cada amenaza y activo.
El proceso de anlisis descrito genera habitualmente un documento que
se conoce como matriz de riesgo. En este documento se ilustran todos los
elementos identificados sus relaciones y los clculos realizados.
Administrar el riesgo refiere a gestionar los recursos de la organizacin,
empresa, organismo, institucin, etc., sea pblica privada etc. Este nivel
es generalmente establecido por tipo de activo, permitiendo menor
exposicin cuanto ms crtico es ese activo.

12
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

El ciclo de administracin de riesgo ser luego de efectuar las tareas


referentes al anlisis con la determinacin de las acciones a seguir
respecto a los riesgos residuales identificados.
Estas acciones pueden ser:
Controlar el riesgo:
Se fortalece los controles existentes o se agregan nuevos.
Eliminar el riesgo:
Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo:
Mediante acuerdos contractuales se traspasa parte del riesgo o su
totalidad a un tercero un ejemplo son los seguros.
Aceptar riesgo:
Determinar el nivel de exposicin es adecuado.
La opcin elegida deber ser adecuadamente fundamentada y autorizada
por el nivel jerrquico correspondiente sobre la base del riesgo asociado.

1.1.6 Proceso de Administracin del Riesgo


La administracin de riesgos es un proceso continuo, siendo necesario
evaluar peridicamente si los riesgos identificados y la exposicin a los
mismos calculada en etapas anteriores se mantienen vigentes.
Es por eso que ante cada nuevo emprendimiento se realice en tempranas
etapas, un anlisis de riesgo del referido proyecto as como su impacto
futuro en la estructura de riesgos de la organizacin
1. Identificar los riesgos
2. Calculo exposicin al riesgo.
3. Identificar los controles
4. Calcular riesgo residual.
5. Aceptacin o rechazo del riesgo residual

13
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

1.1.6.1 Controles
Los procedimientos efectuados para lograr asegurar el cumplimiento de
los objetivos son definidos como controles.
El ayudar al cumplimiento de las metas indica claramente que estos
procedimientos tienen un efecto directo mitigante sobre los riesgos
existentes. Por lo establecido anteriormente existe una relacin entre uno
y cada proceso de riesgo y control.
Como establecamos anteriormente la agrupacin se realiza sobre la base
de objetivos de alto nivel que se quieren satisfacer, o sea estos
procedimientos buscan que la informacin que procesan cuente con cierta
caracterstica independientemente del objetivo especfico por el cual fue
creado.
De esta manera establecemos para cada grupo los objetivos a cumplir.
Control interno:
Busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de
leyes, normas y regulaciones y confiabilidad de la informacin
Seguridad:
Busca asegurar la disponibilidad, confidencialidad integridad de las
operaciones.
La gestin de calidad:
Busca asegurar la adecuada calidad entrega y costo de las operaciones.
El adecuado cumplimiento de los objetivos anteriormente detallados
permitir alcanzar una razonable seguridad en el cumplimiento de los
objetivos planteados para los diversos procedimientos de TI.6
Entre marcos existentes mencionaremos especialmente el COBIT, el cual
es un marco de referencia integro que incluye distintos aspectos de la
gestin TI, como es el de los usuarios estableciendo una estructura de
controles aplicables a cualquier tipo de organizacin, el de los

6
Annimo (2015):Riesgos Informticos, Recuperado del sitio web http: // www. contadura
2014/11/riesgos-informticos
14
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

administrativos de TI estableciendo los indicadores de gestin aplicables a


cada proceso vinculado a TI para lograr un cumplimiento eficaz y eficiente
de las metas.

1.2 Auditora
Es un proceso el cual se lleva a cabo por profesionales capacitados en
dichas reas de sistemas de informacin para proteger los activos
empresariales, manteniendo as la integridad de los datos, utilizando los
recursos de la empresa y cumpliendo con las leyes y regulaciones
establecidas.

1.2.1 Auditora Informtica


Es el conjunto de, procedimientos y actividades, destinados a analizar y
evaluar el funcionamiento de los sistemas informticos de un ente, por lo
que comprende un examen metdico, puntual y descontinu, con el
propsito de mejorar aspectos como control y seguridad de los sistemas
informticos cumpliendo con la normativa tecnolgica del ente; control de
planes de contingencia, eficacia y rentabilidad en el manejo de los
sistemas.

1.2.2 Tcnicas o Herramientas Usadas Para la Auditora


Informtica

1.2.2.1 Cuestionarios
La informacin recopilada es muy importante y esto se consigue con el
levantamiento de informacin y documentacin de todo tipo. Los
resultados que arroje una auditora se ven reflejadas en los informes
finales que estos emitan y la capacidad para el anlisis de situaciones de
debilidades o fortalezas que se dan en los diversos ambientes.
El denominado trabajo de campo consiste en que el auditor busca por
medios de cuestionarios recoger informacin necesaria para ser analizada
y emitir finalmente un juicio global ya que los hechos deben ser

15
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

sustentados por hechos demostrables con evidencias. Esto se puede


conseguir solicitando el cumplimiento del desarrollo de formularios o
cuestionarios los cuales son dirigidos a las personas que el auditor
considere ms responsable de dicha rea a auditar. Cada cuestionario es
diferente y muy especfico para cada rea adems deben ser elaborados
con mucho cuidado tomando en cuenta el fondo y la forma de la
informacin que ha sido analizada cuidadosamente se elaborara otra
informacin la cual ser emitida por el propio auditor esta informacin ser
cruzada ya que esta ser importante en la auditora .

1.2.3 Tipos de Auditoras Informticas


Los objetivos generales de la auditora informtica cambian dependiendo
de las tareas que tiene que verificar o controlar.
- En la auditora de sistemas tendr que controlar la interfaz de
usuario, la documentacin de la aplicacin.
- En la auditora ofimtica dentro de la auditora de sistemas tendr
que controlar la instalacin de la aplicacin el movimiento de la
informacin.
- En la auditora de redes tendr que controlar la conexin entre los
computadores la instalacin del software para la red.
- En la auditora para administracin de las bases de datos
tendr que controlar la integridad de datos la concurrencia a la
base de datos.

1.2.3.1 Auditoras Internas


Esta auditora se realizas dentro de la empresa sin contratar personal
externo que no pertenezca a la misma.

1.2.3.2 Auditoras Externas


Esta auditora se realiza de manera externa es decir contratando personal
para realizar la auditora en la empresa. Esto consiste en estudiar los
mecanismos de control que se encuentran implementados en la empresa,
16
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

determinando si estos son adecuados o cumplen objetivos o estrategias


establecidos.

1.2.3.3 Tcnicas de Auditora


Su aplicacin es de gran utilidad en la
mayora de las fases de la auditoria
Observacin permitiendo que el auditor se percate de
hechos y circunstancias.

Esfuerzo realizado para cerciorarse o


Comparacin
negarse a la verdad del hecho.
VERIFICACIN
OCULTAR
Rastreo En el procesamiento de un punto al otro.

Revisin Examen visual rpido con la finalidad de


Selectiva separar asuntos irregulares.

Obtener informacin a travs de


VERIFICACIN averiguaciones, entrevistas. Los
Indagacin
VERBAL resultados de esta tcnica por s solo no
TCNICAS DE
contribuyen como evidencia suficiente o
AUDITORA
competente.

Examen fsico y ocular de activos,


VERIFICACIN
Inspeccin documentos, valores con el objeto de
FSICA
demostrar su existencia y autenticidad.

Examinar verificando la evidencia que


apoya a una transaccin u operacin
Comprobacin
demostrando autoridad, legalidad,
VERIFICACIN propiedad y certidumbre.
DOCUMENTAL

Computacin Verificar la exactitud matemtica de las


operaciones

Separar partes o elementos de


Anlisis operaciones que estn sometidas a
examen.

VERIFICACIN Hacer coincidir o que consten dos


ESCRITA Conciliacin conjuntos de datos seleccionados,
separados o independientes.

Obtener contestacin de una fuente


Confirmacin
independiente de la entidad bajo examen
y sus registros pueden ser positivos o
negativos.

Figura 6: Tcnicas de auditora


Fuente: La autora

17
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

1.3 Metodologa de Desarrollo de la Auditora Informtica


Kuna en su tesis de magister enuncia una metodologa de desarrollo de
auditora informtica general en la cual se contemplan diferentes fases:
- Identificar el Alcance y Objetivos de la Auditora Informtica:
En esta fase se determinan los lmites y el entorno en el cual se
realizara la auditora ya que debe existir acuerdos entre
autoridades y auditores ya que el proceso y su xito depender de
los parmetros establecidos en dicho acuerdo.
- Estudio Inicial del Entorno a Auditar: Es necesario examinar las
actividades y funciones del rea a auditar.
- Determinacin de los Recursos Necesarios para Realizar la
Auditora Informtica: Se debe determinar los recursos materiales
y humanos necesarios para la implementacin de la auditora.
- Elaboracin del Plan de Trabajo: Definir el calendario de
actividades a realizar formalizando el mismo para la aprobacin de
las autoridades.
- Realizar las Actividades de auditora: Efectivizar las
actividades planificadas en la fase anterior
- Informe Final: La elaboracin del informe final es la nica
referencia constatable de toda la auditora as como el exponente
de su calidad.
- Carta de Presentacin: Es la ltima etapa de la auditoria consta
de un resumen del contenido del informe final, dirigido a las
autoridades de la organizacin.

1.4 Redes de Computadores


Es un conjunto de equipos informticos y software conectados entre s por
medio de dispositivos fsicos que envan y reciben impulsos elctricos,
ondas electromagnticas o cualquier otro medio para el transporte de

18
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

datos, con la finalidad de compartir informacin, recursos y ofrecer


servicios.7
Las redes computacionales permiten compartir los recursos y la
informacin a la distancia asegurando confiabilidad de la informacin
aumentando la transmisin de datos y reduciendo as costos generales.

1.4.1 Componentes Fsicos de las Redes


- Dispositivos de usuario final (host).
- Dispositivos de red

1.4.2 Dispositivos de Usuario Final (host)


Son aquellos elementos que brindan servicio al usuario directamente
En estos dispositivos se incluyen:
- Computadores
- Impresoras
- Escner, etc.

1.4.3 Redes LAN


El concepto LAN prevalece aun cuando se trate de varias redes
conectadas entre s, siempre y cuando se encuentren ubicadas dentro del
mismo edificio o campo.

Figura 7: Red LAN Commuted.


Fuente:www.angelfire.com

Una red de rea metropolitana se forma por la interconexin de varias


redes LAN que se encuentran a mayor distancia que las incluidas en el

7
Andrew S. Tanenbaum, 2003 Computacionales Redes, Editorial Pearson Educacin.
https://books.google.com.ec/books?id=WWD-4oF9hjEC&printsec=frontcover&dq=andrew+s+tanenbaum&hl=es-
419&sa=X&ei=bEXvVMPMJoecNoahgsAC&ved=0CCQQ6AEwAQ#v=onepage&q&f=false
19
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

edificio o campo pero que no sobrepasan el mbito urbano. Se utiliza para


conectar computadoras que se encuentran en diferente campo o edificio
que pueden pertenecer a la misma corporacin o a empresas diferentes
que comparten determinada informacin.

1.4.4 Dispositivos de Red


Son aquellos que conectan entre s a los dispositivos de usuarios finales
haciendo posible la comunicacin entre s.

1.5 Topologa de Red de Datos


Se refiere a la configuracin de la red es decir en su forma de
conectividad fsica los dispositivos de comunicacin y los cables de
interconexin. Las estaciones de trabajo de una red se comunican entre s
mediante dispositivos de comunicacin y conexiones fsicas de modo que
al establecer la topologa del diseador debe planearse los siguientes
objetivos.8
- Encontrar la forma ms econmica y eficaz de conectar dichas
estaciones para, al mismo tiempo proporcionar mxima
confiabilidad al sistema.
- Permitir el aumento de estaciones de trabajo dentro de la
organizacin
- Evitar tiempos de espera en transmisin de datos.
- Lograr el mejor control de la red.

1.5.1 Topologa Informtica


Es el patrn de conexin o distribucin fsica en la que se encuentra
dispuestos los nodos (estaciones) que componen una red. Existen tres
topologas bsicas, de las cuales se pueden derivar otras ms complejas.

8
Enrique Herrera Prez, Ao 2003, Tecnologas y redes de transmisin de datos, editorial
Limusa S.A.
20
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

1.5.2 Topologa Estrella


Se caracteriza por existir en ella un nodo central al cual se conectan
directamente todas las computadoras de modo muy similar a los modos
de una rueda. Como se puede deducir, si falla el nodo central se afecta a
toda la red .sin embargo esta topologa ofrece una gran modalidad, lo que
permite aislar una estacin defectuosa con bastante sencillez y sin
perjudicar al resto de red para aumentar el nmero de computadoras no
es necesario interrumpir la actividad de la red. La topologa estrella se
emplea en redes de estndar Ethernet y Arcnet.9

Figura 8: Topologa Estrella


Fuente: www.angelfire.com

9
Aurelio Meja, Ao 2004 Gua prctica para manejar y reparar el computador. editorial Limusa
S.A.
21
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

CAPTULO II

Metodologa de Investigacin

La presente investigacin tiene un enfoque cualitativo considerando una


realidad dinmica pero al mismo tiempo est orientada a la comprobacin
de hiptesis y con nfasis a los resultados.

2.1.1 Mtodo Analtico - Sinttico


En el desarrollo del proceso investigativo se emplea el mtodo analtico
para la elaboracin de la encuesta e investigacin de campo para la
recoleccin de datos.

2.1.2 Mtodo de la Investigacin Bibliogrfica Documental


Se realiza con la informacin de documentos es bsico para la indagacin
ya que este puede ser un libro, papeles escritos, un artculos o registros lo
importante en esta investigacin es elegir los documentos fundamentales
para realizar la auditora o trabajos.

2.1.3 Tcnicas e Instrumentos de Investigacin


Las tcnicas que se emplean en el proceso de investigacin con
cuestionarios, y la observacin.
El cuestionario se emplea para obtener datos significativos referentes a
las seguridades lgicas, controles y seguridades fsicas para lo que se
estructuraron los cuestionarios que son un instrumento que permitirn
obtener los datos requeridos del departamento de sistemas de la Empresa
Ferro Torre s.a.
La observacin es de gran valor en la representacin de la realidad ya que
permite confrontar los hechos e imprimir un sello de transparencia e

22
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

imparcialidad de la investigacin, se utiliza como instrumento el registro


de datos para la toma de informacin de los inventarios de hardware.

2.1.4 Procesamiento de Informacin


Una vez recolectada la informacin se proceda al anlisis de la
informacin obtenida y es presentada mediante el informe obteniendo las
respectivas conclusiones.

2.2 Tcnica

2.2.1 Descripcin de la Tcnica

Cuestionario
EL cuestionario se realiza con la finalidad de obtener el resultado de la
factibilidad o no de realizar una auditora informtica en la Empresa Ferro
Torre S.A.
Formato
Matriz referente a la realizacin de una auditora informtica dentro del
departamento de sistemas.
Objetivo:
Obtener la informacin correcta de los conocimientos de la persona
encargada del departamento informtico dentro de la empresa.

23
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Matriz Cuestionario a la Empresa FERRO TORRE S.A.

El presente instrumento permite obtener informacin necesaria para el anlisis de procesos segn COBIT 5 for
Information Security, con el fin de realizar el anlisis de Riesgos para el Diseo de un Sistema de Gestin de Informacin

Nro. Pregunta Evidencia/Documentacin NO SI Existe un compromiso por resolver Observacin

1 Existe una administracin de la red?

Existe documentacin formal que especifique los


2 conocimientos que debe tener el personal del rea de
sistemas?

Cuenta con polticas y procedimientos en el


3
departamento informtico?

Las polticas y procedimientos informticos son


4
difundidas entre el personal de la empresa?

El personal cuenta con capacitaciones, certificaciones


5
y experiencia en seguridad TI?

Existen normas, practicas, polticas y procedimientos


6 de calidad con respecto a la seguridad de la
informacin?

Existen actas de responsabilidad de entrega de


7
activos a los usuarios de la empresa ferro torre?

24

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Se realizan la revisin peridica de la red para


8
detectar software autorizado?

Existe un plan de contingencia en caso de que se d


9 una amenaza o riesgo dentro del departamento
informtica?

Existe un plan de mantenimiento preventivo y


10 correctivo para los activos tecnolgicos de la empresa
ferro torre?

Se cuenta con manuales de operacin de la red que


11
contemplen aspectos de seguridad?

se lleva el registro de la compra de recursos


12
tecnolgicos para la empresa

El servicio de internet debe estar disponible Las


13
cualquier hora y para cualquier usuario?

se lleva un registro de acceso para los usuarios que


14
ingresan al departamento informtico

15 Existe el control de prstamos de equipos?

16 Existe la compra de licencias para cada usuario?

17 Existen polticas para manejo de usuarios y calves?

25

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

PLANOS DE ENLACE PROCESOS DE COBIT A METAS DE TI


METAS TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Re Re Ase Op Cr Defi Ad Ad Adqu As Asegu Aseg Te Opti Red Pro Esta Aseg Aseg Aseg Aseg Ase Mejo Entr Ma Ase Aseg
spo gur ear nir qui qui irir y rar la urar ucir blece urar urar urar urar gur rar la egar nte gura urar
nde
sp ar tim com mant eg integri la ne miza teg que que que el
agil rir rir los r la ar eficie proy ner r que
ra on la iza o la ener ura dad trans r r la er la las los mni
sati ida funci y y habili sin pare defe clarid infor tarea servi mo que ncia ecto la que TI
los der r d onali ma ma r la en infra ctos
el ad los de sa inte TI demu
sfac dade fisura ncia maci s de cios impa
req
a cin el de dad nte nte s de sat s de y la cu estr de log del n la de TI cto a ser coste tiem grid cum estre
ueri
los del us de ner ner TI isf las com en uctu o impa crtic instit y la las vici de TI po y ple la
mie TI la ad
usu las que aplica pren ay ucin infra tarea
nto req o sis un ac ta ra, solu de cto os y sus sobr de con eficie
ario tare resp ciones sin confi sean estru s de
s uer con de as te a onde ci dentro de y recu cin los de denci auto ctura la de contr e la la ncia
de la de la ma infr na de los cost y los alida matiz pued instit TI ibuci pres info legis de
imi la n pr rsos obj
la ofer instit s aes la proce es entr riesg d se adas en uci est ones upue rma laci coste
PROCESOS DE TI-COBIT inst ent ta inf uci
ny
de tru estra mu sos
de la
de
TI,
ot y ega
etiv os y retien
ea
y los
camb
resist
ir
n, en
caso
n a las sto, cin ny de
ituc os de or apl ctu
tegia tua eg cap de os los dis labor reuni e regu calid
in serv requ de TI institu bene aquel ios a apro de
de icio m erimi ica ra de cin ficios er acid serv de objeti los la piada una pon ales endo infr laci ad de
alin
TI y aci ento ci de rel , to ade icio TI vos y que infor ment interr ible de la est aest n servi
ead
nive de n TI estra y recur no maci ey upci s instit ndar ruct naci cios,
os en n contr
aci do s de
les int inte tegia sos debe n recu n seg ucin es ura onal mejor
con ln ol y on s TI rele n sean perar de
de s,
el egr gra varl de TI n de de a
ea serv solu es polti los tener confi se de servi
pla icio cion ad da cas, acces ables fallos cios se calid pro conti
co act os
n es os y y o . debid de TI req ad ces nua y
estr efect y est n nivel ivo os a uier ami dispo
at ivas est an es error sicin
ter s e ent
gic de es
an dar cer de o para
servi
o dar iza camb
os cio. TI
iza da ios
do futuro
s s

Planear y Organizar
PO1 definicin del plan
estratgico de TI
PO2 Definicin la
arquitectura de la
informacin
PO3 determinacin de
la direccin
26

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

tecnolgica

PO4 definicin de los


procesos,
organizacin y
relaciones de TI
PO5 administracin de
la inversin de TI
PO6 comunicacin con
la alta direccin
PO7 administracin de
los recursos
humanos de TI
PO8 administracin de
la calidad de TI
PO9 evaluacin y
administracin de
los riesgos de TI
PO10 administracin de
los proyectos de TI

AI1 Identificacin de
las soluciones
automatizadas
AI2 adquisicin y
mantenimiento del
software aplicado
AI3 adquisicin y
mantenimiento de
la infraestructura
tecnolgica
AI4 facilidad de
operacin y uso de
TI
27

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

AI5 Adquisicin de
recursos de TI
AI6 Administracin de
cambios en TI
AI7 Instalacin y
acreditacin de
soluciones y
cambios en TI
Entregar y dar soporte
DS1 Definicin y
administracin de
los niveles de
servicio
DS2 administracin de
los servicios de
terceros
DS3 administracin del
desempeo y
capacidad de TI
DS4 Garantas en la
continuidad del
servicio
DS5 Garantas en la
seguridad de los
sistemas
DS6 identificacin y
asignacin de
costos de TI
DS7 Educacin y
entrenamiento a
los usuarios
DS8 administracin de
la mesa de
servicios de TI y
los incidentes
28

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

DS9 Administracin de
la configuracin de
TI
DS10 Administracin de
los problemas con
TI
DS11 Administracin de
los datos
DS12 Administracin del
ambiente fsico
DS13 Administracin de
las operaciones de
TI
Monitorear y Evaluar
ME1 Monitoreo y
evaluacin del
desempeo de TI
ME2 Monitoreo y
evaluacin el
control interno
ME3 Garanta en el
cumplimiento
regulatorio
ME4 Proporciona
gobierno de TI

29

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

CAPTULO III

Auditora Informtica

3.1 Diagnstico

3.1.1 Metodologa Documentada


La metodologa documentada est empleada dentro de la empresa ya
que demuestra el cumplimiento de los procesos, esto no quiere decir que
garantiza el xito de la auditora interna pero favoreci al cumplimiento de
la misma.

3.1.2 Monitorear los Procesos


En esta etapa se requiere que el personal encargado del rea a auditada
d a conocer el funcionamiento de la misma. Esta etapa fue realizada
mediante la recopilacin de informacin para la evaluacin del rea
utilizando los cuestionarios y entrevista siendo estas un instrumento
utilizable para la realizacin de la auditora.

3.1.3 Evaluar lo Adecuado del Control Interno


En esta etapa se realiza una evaluacin del manejo del rea verificando el
control que lleva el personal encargado.

3.2 Justificacin

3.2.1 Anlisis de Riesgos Aplicados


El anlisis y la gestin de riesgos es preciso comenzar definiendo lo que
es un riesgo, podemos tener una definicin intuitiva de lo que en trminos
generales es un riesgo pero al momento que hablamos de seguridad y de
anlisis de riesgos debemos acudir a fuentes que nos ofrezcan una buena
definicin.

30

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Si en realidad existen varias definiciones abordadas por diferentes normas


y estndares siendo as se tendr en cuenta las siguientes definiciones
para continuar.
- Magerit: define riesgo como la estimacin del grado de exposicin
a que una amenaza se materialice sobre uno o ms activos
causando daos a la organizacin.

- Centro Superior de Informacin de la Defensa: define como


riesgo la probabilidad de que una vulnerabilidad propia de un
sistema de informacin sea explotada por las amenazas de dicho
sistema con el objetivo de penetrarlo.

En estas definiciones se puede identificar varios elementos comunes que


se deben entender y valorar en su integridad el concepto de riesgo.

3.2.2 Objetivo del Anlisis de Riesgos


Es importante para una organizacin tener claridad en cuanto a lo que
espera al llevar a cabo un anlisis de riesgos. Para ello se han
identificado los principales objetivos que se persiguen al realizar un
anlisis de riesgos

- Identificar, evaluar y manejar los riesgos de seguridad.


- Estimar la exposicin de un activo a una amenaza determinada.
- integridad en redes.
Mediante el anlisis dentro del departamento de sistemas se encontr
varias partes vulnerables dentro del departamento.

31

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

EXPLOTA

AMENAZAS VULNERABILIDADES

INCREMENTA INCREMENTA AFECTA Ha


PROTEGE CONTRA

RIESGO ACTIVOS
SALVAGUARDIA
S

INDICA SUFRE
SATISFECHO POR INCREME
NTA

NECESIDADES
IMPACTOS
DE SEGURIDAD?

Figura 9: Procesos de evaluacin de riesgos


Fuente: La autora

3.2.3 rea a Auditar


Departamento Informtico: dentro de esta rea se verifico

Seguridad fsica de los puntos de acceso: Muchas veces existen


puntos de red que no se utilizan, es adecuado verificar que no
exista ningn tipo de conectividad en ellos, o en caso de ser
necesario tenerla que esta sea mnima.
Configuracin de las LAN: Este es el mecanismo ms utilizado para
separar el trfico entre las diferentes redes de la empresa, fue
necesario comprobar que este tipo de configuraciones funcionen
adecuadamente.
Manejo de permisos en la red: si los permisos que tiene cada uno
de los usuarios en su respectivo entorno de red han sido los
correctos en su perfil bsico.

32

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anlisis de la topologa de red: La red puede funcionar


correctamente, muchas ocasiones la red llega a caer causando
inconvenientes a los usuarios dentro de sus labores diarios
Anlisis en la infraestructura del departamento informtico.
Riesgos de prdida de equipos dentro del departamento TI.
Ingreso de personal no autorizado a esta rea.
Interrupcin de servicios.
Infeccin de equipos por virus / ataque de virus.

3.3 Adecuacin

3.3.1 Tcnicas
Cuestionario

El cuestionario se realiza al personal que labora dentro del rea de


sistemas con la finalidad de obtener el resultado de la factibilidad o no de
realizar una auditora informtica en la Empresa Ferro Torre S.A.
Informe
Se requiere realizar el cuestionario a la persona encargada del
departamento informtico para conocer el manejo de la misma.

33

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Matriz Cuestionario Empresa FERRO TORRE S.A.

El presente instrumento permite obtener informacin necesaria para el anlisis de procesos segn COBIT 5 for
Information Security, con el fin de realizar el anlisis de Riesgos para el Diseo de un Sistema de Gestin de Informacin

Existe un
Nro. Pregunta Evidencia/Documentacin NO SI compromiso por Observacin
resolver

1 Existe una administracin de la red? Diagrama de red. X Se encuentran desarrollando

Existe documentacin formal que


2 especifique los conocimientos que debe tener Manual de funcione X
el analista de sistemas?

Existe documentacin formal que


Manual de funcione
3 especifique los conocimientos que debe tener x
el asistente de sistemas?

Cuenta con polticas y procedimientos en el


3 Polticas TI. x
departamento informtico?
Las polticas y procedimientos informticos
Est en proceso de
4 son difundidas entre el personal de la Publicacin en el sitio web x
planificacin
empresa?
El personal cuenta con capacitaciones, No existe rastros de
5 Plan de capacitacin x
certificaciones y experiencia TI? capacitaciones

Existen normas, practicas, polticas y


6 procedimientos de calidad con respecto a la Plan de seguridad x
seguridad de la informacin?

34

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Existen actas de responsabilidad de entrega


Actas de entrega y
7 de activos a los usuarios de la empresa Ferro x
recepcin
Torre S.A.?

Se realizan la revisin peridica de la red Plan de seguimiento de


8 x
para detectar software autorizado? software

Existe un plan de contingencia en caso de


No existen documentos
9 que se d una amenaza o riesgo dentro del Plan de contingencia x
existentes
departamento informtica?

Existe un plan de mantenimiento preventivo


Plan de mantenimiento
10 y correctivo para los activos tecnolgicos de x
correctivo y preventivo
la empresa ferro torre?

Se cuenta con manuales de operacin de la


11 Manual de procesos x
red que contemplen aspectos de seguridad?

Se lleva el registro de la compra de


12 Inventarios y facturas x
recursos tecnolgicos para la empresa

El acceso a internet se
El servicio de internet estar disponible Las Facturas contrato de
13 x encuentra restringido para
cualquier hora y para cualquier usuario? servicios
ciertos usuarios.

Se lleva un registro de acceso para los


Factura pago internet
14 usuarios que ingresan al departamento x
Telconet
informtico

Existe el documento pero no


15 Existe el control de prstamos de equipos? x
est autorizado.

Existe la compra de licencias para cada Factura de compra de


16 x
usuario? licencia

35

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Existen polticas para manejo de usuarios y


17 x No existe polticas de usuario
calves?

Tabla 2Matriz de Diagnostico de Procesos Cobit


Fuente La Autora

36

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.3.2 Identificar los riesgos


Se identifica las fuentes de riesgo, las posibles reas de impacto, sus
causas y consecuencias potenciales se muestra el anlisis de riesgos
aplicados a los procesos seleccionados.
ACTIVOS DE
AMENAZAS
INFORMACIN
Interrupcin de energa elctrica
Servicios
Interrupcin de servicios de telefona

Falla en UPS
Equipos
Falla del aire acondicionado

Fallo de documentos
Informacin
virus informticos
Infeccin de equipos por virus /
ataque de virus
Prdidas de sistemas
Software
Fallas en el servidor de correo
Falla en la base de datos

Falla en el sistema operativo

Fallas en la red LAN


Comunicaciones Fallas en la central telefnica

Daos en la estructura del cableado


Dao fsico o lgico de dispositivos de
red
Dao fsico de componentes de
Hardware servidores
Fallas en los equipos personales
Fallas en impresoras y scanner

Robo fsico de equipos


Infraestructura Incendio
Terremoto
Tabla 3 Amenazas Susceptibles para entrar en la Seguridad
Fuente La Autora

3.3.3 Probabilidad Del Riesgo


La probabilidad del riesgo debe ser superior a cero, si es menor de cero
el valor del riesgo no plantea una amenaza al servicio como se muestra

36

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

PROBABILIDAD DESCRIPCIN VALOR


Frecuente Incidentes repetidos 1.00
Probable Incidentes aislados 0.75
Ocasional Sucede alguna vez 0.50
Remoto Improbable que suceda 0.25
Tabla 4 Probabilidad de Riesgo
Fuente La Autora

3.3.4 Impacto Del Riesgo


El impacto del riesgo mide la gravedad de los afectos adversos, o la
magnitud de una perdida, causados por la consecuencia. Es una
calificacin aplicada al riesgo, para describir su impacto en relacin al
grado de afectacin del nivel de servicio normal. Cuanto mayor sea el
nmero es el impacto. Para el caso del anlisis, se clasificar el impacto
con una escala del 1 al 4

IMPACTO DESCRIPCIN VALOR


Bajo Prdida de informacin y/o equipo no sensitivo 1
Medio Prdida de informacin sensible 2
Alto Prdida de informacin sensible, retraso o interrupcin 3
Crtico Informacin crtica, daos de activos 4
Tabla 5 Impacto y su Valoracin
Fuente La Autora

3.3.5 Exposicin al Riesgo


La exposicin al riesgo es el resultado de multiplicar la probabilidad por
el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto
y se puede ignorar sin problemas, otras veces un riesgo de alto impacto
tiene una baja probabilidad, por lo que tambin se podra pensar en
ignorarlo en cuyo caso habr que considera tambin la criticidad de
dicho evento. Los riesgos que tienen un alto nivel de probabilidad y de
impacto son los que ms necesidad tienen de administracin pues son
los que producen los valores de exposicin ms elevados

37
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Exposicin = Impacto x Probabilidad


IMPACTO
1 2 3 4
PROBABILIDAD Bajo Medio Alto Crtico
1.00 Frecuente 1 2 3 4
0.75 Probable 0.75 1.5 2.25 3
0.50 Ocasional 0.5 1 1.5 2
0.25 Remoto 0.25 0.5 0.75 1
Tabla 6 Exposicin de Riesgo
Fuente La Autora

3.3.6 Evaluar los Riesgo


La finalidad de la evaluacin del riesgo es ayudar a la toma de decisiones,
determinando los riesgos a tratar, la forma de tratamiento ms adecuada
para adaptar los riesgos adversos a un nivel tolerable y la prioridad para
implementar el tratamiento determinado.

3.3.7 Identificar los impactos


Lo que ocasionara podra suponer una prdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos. Se identifica los
riesgos y conjuntamente el impacto sobre los activos.

3.3.8 Anlisis y evaluacin de los riesgos


Evaluar el dao resultante de un fallo de seguridad y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el
riesgo es aceptable o requiere tratamiento como se muestra en la tabla
Matriz de Riesgo

38
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

ACTIVOS DE
AMENAZA FUENTE DE LA AMENAZA VULNERABILIDAD RIESGO PROBABILIDAD IMPACTO PONDERACIN
INFORMACIN

Interrupcin de energa Problemas con el tendido El sistema de informacin Daos en el hardware 1 2 2


elctrica elctrico queda fuera de servicio
Servicios
Interrupcin de servicios El sistema telefnico Daos en el sistema
Descarga elctrica 0,75 3 2,25
de telefona queda fuera de servicio telefnico
Equipo informtico
Descarga elctrica 0,5 3 1,5
Falla en UPS desprotegido Dao de la tarjeta madre
Equipos
Falla del aire Manipulacin errnea en el Temperatura variable en
0,5 3 1,5
acondicionado equipo el Data Center Daos en los servidores
Desorganizacin de la Documentacin sensible
1 1 1
Extravo de documentos documentacin expuesta Prdida de documentos
Informacin
Personas mal intencionadas 1 2 2
Prdida de informticos Vulnerabilidad en la red Robo de identidad

Infeccin de equipos por Informacin infectada Vulnerabilidad de la 0,75 3 2,25


Software virus / ataque de virus informacin Informacin infectada

Servidor sin seguridades reas tecnolgicas de fcil 0,5 1 0,5


Prdidas de los sistemas acceso Prdida de informacin
Dao fsico o lgico de Vulnerabilidad en los
Dispositivos de red obsoleto 0,75 2 1,5
dispositivos de red dispositivos de red Prdida de servicio de red
Dao fsico de
componentes de Falta de mantenimiento Vulnerabilidad en acceso a Falta de servicio 0,75 3 2,25
servidores servidores
Hardware
Fallas en los equipos Falta de mantenimiento Vulnerabilidad en equipos
0,5 1 0,5
personales continuo personales Prdida de informacin

Falta de mantenimiento Manipulacin errnea de


Fallas en impresoras y Discontinuidad en 0,5 1 0,5
continuo equipos
scanner servicios de impresin y
39

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

scanner

Falta de reglamente sobre


Sustraccin de Software 0,25 2 0,5
accesos
diversos Libre acceso a particulares Hurto de software
Infraestructura
Procedencia de un incendio Daos en la estructura Destruccin de la
Infraestructura 0,75 4 3
Incendio en la estructura tecnolgico tecnolgica informacin

Desastre natural 0,75 4 3


Terremoto Dao fsico al edificio Destruccin de servidores
Tabla 7 Amenazas Susceptibles para entrar en la seguridad
Fuente La Autora

40
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

PLANOS DE ENLACE PROCESOS DE COBIT A METAS DE TI


METAS TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Ase Op C Defi Ad Ad Adq Aseg Aseg Red Pro Esta Aseg Aseg Aseg Aseg Ase Mejo Entr Ma Ase Aseg
Res Re As Te Op
gur nir uirir urar urar urar urar urar urar nte
pon sp tim re qui qui eg ne tim ucir teg blece gur rar la egar gura urar
ar com y la la que que que el
der ar rir rir los r la ar eficie proy ner r que
a
on la iza o la ma ura integr trans r iza er la las los mni
sati a funci y y nte idad pare defe clarid infor tarea servi mo que ncia ecto la que TI
los de r gi onali ma ma r la sin ncia
en r la ctos
el ad los de sa inte TI demu
sfac ner maci s de cios impa
req ra cin el li dad nte nte habi sati fisura y la cu infr de log del n la de TI cto a ser coste tiem grid cum estre
ueri del us de lida sfa s de com en o crtic instit y la las
los d ner ner ae la impa vici de TI po y ad ple la
mie usu las des las pren ay ucin infra tarea
re o a tare sist un cci ta str solu de cto os y sus sobr de con eficie
nto ario de aplic sin confi sean estru s de
de d as em a n y cin los de de contr e la la ncia
s qu con TI acion de uct denci auto ctura la
de la d de la as infr que es cost y los alida matiz pued instit TI ibuci pres info legis de
eri la instit
mu pr ura obj
la ofer e de aes res dentr es entr riesg d se adas en uci est ones upue rma laci coste
PROCESOS DE TI-COBIT insti
mi ta inf TI
uci
ny
apli tru pon
den
tua o de
los
de
TI,
ot , ega
etiv os y retien
ea
y los
camb
resist
ir
n, en
caso
n a las sto, cin ny de
tuci en de or cac ctu de eg rec de os los dis labor reuni e regu calid
serv requ a la proce bene aquel ios a apro de
n tos icio
m erimi in ra estr rel sos ficios er urs serv de objeti los la piada una pon ales endo infr laci ad de
alin de y aci ento int de ate aci de la , to os icio TI vos y que infor ment interr ible de la est aest n servi
ead nive de egr TI gia instit estra y recur no maci ey upci s instit ndar ruct naci cios,
TI n contr
on do y
os les ad inte de ucin tegia sos debe n recu n seg ucin es ura onal mejor
en ol y TI es s, s ca rele n sean perar de
con de
os de
solu gra varl de TI n de a
el ln serv co polti los pa tener confi se de servi
icio cion y da cas, acces ables fallos cios se calid pro conti
pla
ea n act cid os
es est y y o . debid de TI req ad ces nua y
n
estr
efect an est ter nivel ivo ad os a uier ami dispo
ivas es error ent
at dar an cer s es e sicin
de es
gico iza dar os de de o para
servi
do iza cio. camb
TI TI
s da ios
futuro
s

Planear y Organizar
PO1 definicin del plan X
estratgico de TI X
PO2 Definicin la X
arquitectura de la X X X
informacin
PO3 determinacin de X
la direccin X
tecnolgica

41
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

PO4 definicin de los X X X


procesos,
organizacin y
relaciones de TI
PO5 administracin de
la inversin de TI X X X
PO6 comunicacin con
la alta direccin X X X X X X

PO7 administracin de X X
los recursos
humanos de TI
PO8 administracin de
la calidad de TI X X X

PO9 evaluacin y
administracin de X X X
los riesgos de TI
PO10 administracin de X X
los proyectos de TI X
Adquirir e Implementar
AI1 Identificacin de X
las soluciones
automatizadas
AI2 adquisicin y X X
mantenimiento del
software aplicado
AI3 adquisicin y
mantenimiento de
la infraestructura X X X
tecnolgica
AI4 facilidad de X
operacin y uso de X X X
TI
AI5 Adquisicin de X X
recursos de TI X

42
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

AI6 Administracin de X
cambios en TI X X X X
AI7 Instalacin y X
acreditacin de X X X X X
soluciones y
cambios en TI
Entregar y dar soporte
DS1 Definicin y X
administracin de X X
los niveles de
servicio
DS2 administracin de X X
los servicios de X
terceros
DS3 administracin del X
desempeo y X X
capacidad de TI
DS4 Garantas en la
continuidad del X X X
servicio
DS5 Garantas en la
seguridad de los X X X X X
sistemas
DS6 identificacin y
asignacin de X X X
costos de TI
DS7 Educacin y X
entrenamiento a X X
los usuarios
DS8 administracin de X
la mesa de X X
servicios de TI y
los incidentes
DS9 Administracin de
la configuracin de X X
TI

43
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

DS10 Administracin de X
los problemas con X X
TI
DS11 Administracin de X
los datos X X
DS12 Administracin del
ambiente fsico X X X X
DS13 Administracin de X
las operaciones de X X
TI
Monitorear y Evaluar
ME1 Monitoreo y X
evaluacin del X X X
desempeo de TI
ME2 Monitoreo y
evaluacin el X X X X
control interno
ME3 Garanta en el
cumplimiento X
regulatorio
ME4 Proporciona
gobierno de TI X X X X
Tabla 8Planos de Enlace Procesos de COBIT a Metas de TI
Fuente La Autora

44
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.4 PO2 Definir la Arquitectura de la Informacin.


La funcin de sistemas de informacin debe crear y actualizar de forma
regular un modelo de informacin del negocio y definir los sistemas
apropiados para optimizar el uso de esta informacin. Esto incluye el
desarrollo de un nuevo diccionario corporativo de datos que contienen las
reglas de sintaxis de los datos de la organizacin, el esquema de
clasificacin de datos y los niveles de seguridad. Este proceso mejora la
calidad de la toma de decisiones gerenciales asegurndose que se
proporciona informacin confiable y segura, y permitir racionalizar los
recursos de los sistemas de informacin para igualarse con las estrategias
de negocio. Este proceso de TI tambin es necesario para incrementar la
responsabilidad sobre la integridad y seguridad de los datos y para
mejorar la efectividad y control de la informacin compartida a lo largo de
las aplicaciones y de las entidades.

Planear y Organiza

Adquirir e
implementar

Entregar y Dar
Soporte

Control sobre el proceso TI de Monitorear y


Evaluar

Que satisface el requerimiento del negocio de TI para

Agilizar la respuesta a los requerimientos, proporcionar informacin


confiable y consistente, para integrar de forma transparente las
aplicaciones dentro de los procesos del negocio.

45

Carrera: Anlisis de Sistemas


Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Enfocndose en

El establecimiento de un modelo de datos empresarial que incluya un


esquema de clasificacin de informacin que garantice la integridad y
consistencia de todos los datos.

Se logra con

- El aseguramiento de la exactitud de la arquitectura de la


informacin y del modelo de datos.
- La asignacin de propiedad de datos.
- La clasificacin de la informacin usando un esquema de
clasificacin acordado.

Y se mide con

- El porcentaje de elementos de datos redundantes.


- El porcentaje de aplicaciones que no cumplen con la metodologa
de arquitectura de la informacin usada por la empresa.
- La frecuencia de actividades de validacin de datos.

OBJETIVOS DE CONTROL
PO2. Definir la Arquitectura de la Informacin.

3.4.1 PO2.1 Modelo de Arquitectura de Informacin Empresarial


Establecer y mantener un modelo de informacin empresarial que facilite
el desarrollo de aplicaciones y las actividades de soporte a la toma de
decisiones, consistente con los planes de TI como se describen en P01.
El modelo debe facilitar la creacin, uso y el compartir en forma ptima la
informacin por parte del negocio de tal manera que se mantenga su
integridad, sea flexible, rentable, oportuna, segura y tolerante a fallos.

46
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.4.2 PO2.2 Diccionario de Datos Empresarial y Reglas de


Sintaxis de Datos
Mantener un diccionario de datos empresarial que incluya las reglas de
sintaxis de datos de datos de la organizacin. El diccionario facilita
compartir elementos de datos entre las aplicaciones y los sistemas,
fomentar un entendimiento comn de datos entre los usuarios de TI y del
negocio, y previene la creacin de elementos de datos incompatibles.

3.4.3 PO2.3 Esquema de clasificacin de datos


Establecer un esquema de clasificacin de datos que aplique a toda la
empresa, basada en que tan crtica y sensible es la informacin de la
empresa. Este esquema incluye detalles acerca de la propiedad de datos,
la definicin de niveles apropiados de seguridad y de controles de
proteccin y una breve descripcin de los requerimientos de retencin y
destruccin de datos, adems de que tan crticos y sensibles son. Se usa
como base para aplicar controles como el control de acceso, activo o
crtico.

3.4.4 PO2.4 Administracin de Integridad


Definir e implementar procedimientos para garantizar la integridad y
consistencia de datos almacenados en forma electrnica, tales como
bases de datos, almacenes de datos y archivos.

DIRECTRICES GERENCIALES

PO2. Definir la Arquitectura de la Informacin.

Desde Entradas
PO1 Planes estratgicos y tcticos de TI
AI1 Estudio de viabilidad de requerimientos de negocio
AI7 Revisin post implementacin
DS3 Informacin de desempleo y capacidad
ME1 Entrada de desempeo a planes de TI
Tabla 9 Directrices Generales
Fuente La Autora

47
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Salidas Hacia
Esquema de clasificacin de datos AI2

Plan de sistemas de negocio optimizado PO3 AI2

Diccionario de datos AI2 DS11


Arquitectura de la informacin PO3 DS5
Clasificacin de datos asignada DS1 DS4 DS5 DS11 DS12
Procedimientos y herramientas de clasificacin *

TI PROCESOS ACTIVIDADES

Responder a los Definir como los Involucrarse con la alta


M requerimientos del requerimientos de negocio gerencia y la gerencia
se traducen en ofertas de
et negocio en alineacin del negocio para
servicio
con la estrategia de alinear los planes
as negocio Definir la estrategia para la
estratgicos de TI con
entrega de las ofertas de las necesidades del
Responder a los servicio negocio actuales y
requerimientos de Es Es futuras Entender las
gobierno alineacin con capacidades actuales
ta Contribuir a la gestin del
portafolio de inversiones de
ta de TI Establecer
la direccin del consejo
directivo bl negocio de TI bl claridad del impacto de
los riesgos en los
ec Establecer claridad del ec objetivos y en los
impacto de los riesgos en recursos
er los objetivo er
Dirige Dirige
Mide Mide

Grado de aprobacin de % de objetivo de TI en el Retrasos existentes


M los dueos del negocio de plan estratgico de TI que entre las
los planes estratgicos / dan soporte al plan actualizaciones del
t tcticos de TI estratgico del negocio plan estratgico /
tctico del negocio y
ri % de iniciativas de TI en el las actualizaciones del
Grado de cumplimiento de
plan estratgico/tctico
c requerimientos de gobierno plan tctico de TI que da
de TI % De reuniones
y de negocio soporte al plan tctico de
a negocio de planeacin
estratgica/tctica de
Nivel de satisfaccin del
s gobierno con el estado % de proyectos de TI en el
TI donde los
representantes del
actual del portafolio de portafolio de proyectos de
negocio participaron
proyecto y aplicacin TI que se pueden rastrear de forma activa
de forma directa al plan
tctico de TI
% de
iniciativas/proyectos TI
Figura 10 Definir la Arquitectura de la Informacin. dirigidos por dueos
Fuente La Autora de negocio

48
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.5 PO3. Determinar la Direccin Tecnolgica.


La funcin de servicios de informacin debe determinar la direccin
tecnolgica para dar soporte al negocio. Esto requiere de la creacin de
un plan de infraestructura tecnolgica y de un comit de arquitectura que
establezca y administre expectativas realistas y claras de lo que la
tecnologa puede ofrecer en trminos de productos, servicios y
mecanismos de aplicacin. El plan se debe actualizar de forma regular y
abarca aspecto tales como arquitectura de sistema, direccin tecnologa,
planes de adquisicin estndares, estrategia de migracin y contingencia.
Esto permite contar con respuestas oportunas o cambios en el ambiente
competitivo, economas de escala para consecucin de personal de
sistemas de informacin e inversiones, as como una interoperabilidad
mejorada de las plataformas y de las aplicaciones.

Planear y Organiza

Adquirir e implementar

Entregar y Dar Soporte

Monitorear y Evaluar

Control sobre el proceso TI de

Determinar la direccin tecnolgica

Que satisface el requerimiento del negocio de TI para

Contar con sistemas aplicativos estndares, bien integrados, rentables y


estables, as como recursos y capacidades que satisfagan requerimientos
de negocio, actuales y futuros

49
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Enfocndose en

La definicin e implementacin de un plan de infraestructura tecnolgica,


una arquitectura y estndares que tomen en cuenta y aprovechen las
oportunidades tecnolgicas

Se logra con

El establecimiento de un foro para dirigir la arquitectura y verificar el


cumplimiento

- El establecimiento de un plan de infraestructura tecnolgica


equilibrado versus costos, riesgos y requerimiento.
- La definicin de estndares de infraestructura tecnolgica basados
en requerimientos de arquitectura de informacin.

Y se mide con

- El nmero y tipo de desviaciones con respecto al plan de


infraestructura tecnolgica
- Frecuencia de las revisiones/actualizaciones del plan de
infraestructura tecnolgica
- Nmero de plataformas de tecnologa por funcin a travs de toda
la empresa

PO3. Determinar la Direccin Tecnolgica.

3.5.1 PO3.1 Planeacin de la Direccin Tecnolgica


Analizar las tecnologas existentes y emergentes y planear cul direccin
tecnolgica es apropiada tomar para materializar la estrategia de TI y la
arquitectura de sistemas del negocio. Tambin identificar en el plan qu
tecnologas tienen el potencial de oportunidades de negocio. El plan debe
abarcar la arquitectura de sistemas, la direccin tecnolgica, las
estrategias de migracin los aspectos de contingencia de los
componentes de la infraestructura.
50
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.5.2 PO3.2 Plan de Infraestructura Tecnolgica


Crear y mantener un plan de infraestructura tecnolgica que est de
acuerdo con los planes estratgicos y tcticos de TI. El plan se basa en la
direccin tecnolgica e incluye acuerdos para contingencias y orientacin
para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los
cambios en el ambiente competitivo, las economas de escala para
inversiones y personal en sistemas de informacin, y la mejor
interoperabilidad de las plataformas y las aplicaciones.

3.5.3 PO3.3 Monitoreo de tendencias y regulaciones futuras


Establecer un proceso para monitorear las tendencias ambientales del
sector / industria, tecnolgicas, de infraestructura, legales y regulatorias.
Incluir las consecuencias de estas tendencias en el desarrollo del plan de
infraestructura tecnolgica de TI.

3.5.4 PO3.4 Estndares tecnolgicos


Proporcionar soluciones tecnolgicas consistentes, efectivas y seguras
para toda la empresa, establecer un forro tecnolgico para brindar
directrices tecnolgicas, asesora sobre los productos de la infraestructura
y guas sobre la seleccin de la tecnologa, y medir el cumplimiento de
estos estndares y directrices. Este forro impulsa los estndares y las
practicas tecnolgicas con base en su importancia y riesgos para el
negocio y en el cumplimiento de requerimientos externos.

3.5.5 PO3.5 Consejos de arquitectura de TI


Establecer un comit de arquitectura de TI que proporcione directrices
sobre la arquitectura y asesora sobre su aplicacin, y que verifique el
cumplimiento. Esta entidad orienta el diseo de arquitectura de TI
garantizando que facilite la estrategia del negocio y tome en cuenta el
cumplimiento regulatorio de y los requerimientos de continuidad. Estos
aspectos se vinculan con el PO2 (definir arquitectura de la informacin)

51
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Desde Entradas

PO1 Planes estratgicos y tcticos de TI


PO2 Estudio de viabilidad de requerimientos de negocio
AI3 Revisin post implementacin
DS3 Informacin de desempleo y capacidad
Tabla 10Consejos de arquitectura de TI
Fuente La Autora

Salidas Hacia
Oportunidades tecnolgicas AI3
Estndares tecnolgicos AI1 AI3 AI7 DS5
Actualizaciones rutinarias del estado de la tecnologa AI1 AI2 AI3
Plan de infraestructura tecnolgica AI3
Requerimientos de infraestructura PO5

TI ACTIVIDADES
PROCESOS
Optimizar la infraestructura, Definir los estndares de la
M los recursos y las
Reconocer y aprovechar infraestructura tcnica con
las oportunidades base en los requerimientos de
et capacidades de TI tecnolgicas la arquitectura de la
informacin
as Adquirir y mantener Desarrollar e implementar
integrados y el plan de infraestructura Establecer el plan de la
estandarizados los Es tecnolgica Es infraestructura tcnica
sistemas de aplicacin equilibrado contra los costos,
ta ta riesgos y requerimientos
Definir los estndares
bl tecnolgicos y bl Establecer un foro para
dearquitectura para la
ec infraestructura de la TI ec orientar la arquitectura y
verificar el cumplimiento
er er
Dirige Dirige
Mide
Mide
# Y tipo de desviaciones % de incumplimiento de los Frecuencia de las
M estndares tecnolgicos reuniones sostenidas por el
con respecto al plan de
t infraestructura tecnolgica
foro tecnolgico
# De plataformas
ri Frecuencia de las
tecnolgicas por funcin a
c reuniones sostenidas por el
lo largo de toda la empresa
comit de arquitectura de
a TI
s Frecuencia de la revisin /
actualizacin del plan de
infraestructura tecnolgica

Figura 11:Estndares tecnolgicos


Fuente La Autora

52
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.6 PO4. Definir los Procesos, Organizacin y Relaciones de TI


Una organizacin de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, rendicin de cuentas, autoridad,
roles, responsabilidades y supervisin.La organizacin est envuelto en
un marco de trabajo de procesos de TI que asegure la transparencia y el
control, as como el involucramiento de los altos ejecutivos y de la
gerencia de negocio. Un comit estratgico debe garantizar la vigilancia
del consejo directivo sobre TI, y uno o ms comits de direccin, en los
cuales participen tanto el negocio como TI, deben determinar las
prioridades de los recursos de TI alineados con las necesidades del
negocio. Deben existir procesos, polticas de administracin y
procedimientos para todas las funciones, con atencin especfica en el
control, el aseguramiento de la calidad, la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y de sistemas y la
segregacin de funcin. Para garantizar el soporte oportuno de los
requerimientos del negocio, TI se debe involucrar en los procesos
importantes de decisin.

Planear y Organiza

Adquirir e implementar

Entregar y Dar Soporte

Monitorear y Evaluar

Definir los procesos, organizacin y relaciones de TI

Que satisface el requerimiento del negocio de TI para

Agilizar la respuesta a las estrategias del negocio mientras se cumplen los


requerimientos de gobierno y se establecen puntos de contactos definidos
y competentes.

53
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Enfocndose en

El establecimiento de estructuras organizacionales de TI transparentes,


flexibles y responsables, y en la de implementacin de procesos de TI con
dueos, y en la integracin de roles y responsabilidades hacia los
procesos de negocio y de decisin

Se logra con

La definicin de un marco de trabajo de procesos de TI

El establecimiento de un cuerpo y una estructura organizacional


apropiada

Y se mide con

El porcentaje de roles con descripciones de puestos y autoridad


documentados

El nmero de unidades /procesos de negocio que no reciben soporte de


TI y que deberan recibirlo, de acuerdo con la estrategia.

Nmero de actividades clave de TI fuera de la organizacin de TI que no


son aprobadas y que no estn sujetas a los estndares organizacionales
de TI.

PO4. Definir los procesos, organizacin y relaciones de TI

3.6.1 PO4.1 Marco de trabajo de procesos de TI


Definir un marco de trabajo para el proceso de TI para ejecutar el plan
estratgico de TI. Este marco incluye estructura y relaciones de procesos
de TI (administrando brechas y superposiciones de procesos), propiedad,
medicin del desempeo, mejoras, cumplimiento, metas de calidad y
planes para alcanzarlas. Proporciona integracin entre los procesos que
son especficos para TI, administracin del portafolio de la empresa,
procesos de negocio y procesos de cambio del negocio. El marco de
54
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

trabajo de procesos de TI debe estar integrado en un sistema de


administracin de calidad y en un marco de trabajo de control interno.

3.6.2 PO4.2 Comit estratgico de TI


Establecer un comit estratgico de TI a nivel de consejo. Este comit
deber asegurar que el gobierno de TI, como parte del gobierno
corporativo, maneja de forma adecuada, asesora sobre la direccin
estratgica y revisa las inversiones principales a nombre del consejo
completo.

3.6.3 PO4.3 Comit directivo de TI


Establecer un comit directivo de TI compuesto por la gerencia ejecutiva,
del negocio y de TI para:

Determinar las prioridades de los programas de inversin de TI alineadas


con la estrategia y prioridades de negocio de la empresa

Dar seguimiento al estatus de los proyectos y resolver los conflictos de


recursos

Monitorear los niveles de servicio y las mejoras del servicio.

3.6.4 PO4. Definir los Procesos, Organizacin y Relaciones de


TI.
Desde Entradas

PO1 Planes estratgicos y tcticos de TI


PO7 Polticas y procedimientos de TI y RH, matriz de habilidades de
TI, descripciones de puestos
PO8 Actividades de mejoramiento de calidad
PO9 Planes de actividades para corregir riesgos relacionados con TI
ME1 Plan de accin correctivas
ME2 Reporte de efectividad de los controles de TI
ME3 Catlogo de requerimientos legales y regulatorios relacionados
con los servicios de TI
ME4 Mejoras al marco de procesos
Tabla 11Comit directivo de TI
Fuente La Autora

55
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Salidas Hacia
Marco de trabajo para el proceso de TI ME4
Dueos de sistemas documentados AI7 DS6
Organizacin y relaciones de TI PO7
Marco de procesos, roles documentados y Todos
responsabilidades de TI
Roles de responsabilidades documentados PO7

TI PROCESOS ACTIVIDADES

Responder a los Establecer estructuras y


M requerimientos de gobierno relaciones Definir un marco de trabajo de
et de acuerdo con las organizacionales para TI, procesos para TI
alineaciones del consejo que sean flexibles y
as directivo capaces de responder Establecer organismos y
estructuras organizacionales
Responder a los Es Definir dueos, roles y Es apropiadas
requerimientos de negocio responsabilidades de forma
de acuerdo con la ta clara para todos los ta
estrategia del negocio procesos TI y para todas
bl bl
las relaciones con los
Crear la agilidad de TI ec interesados ec
er er
Dirige Dirige
Mide Mide

Satisfaccin de interesados # De responsabilidades


M (encuestas) conflictivas en vista de % De roles con puestos
t segregacin de funciones documentados y
# De iniciativas de negocio descripciones de autoridad
ri retrasadas debido a la # De escalamientos o
c inercia operativa de TI o a problemas sin resolver % de funciones / procesos
la falta de disponibilidad de operativos de TI que se
debido a la carencia o
a las capacidades necesarias conectan con la estructura
insuficiencia de operativa del negocio
s # De procesos de negocio asignaciones de
que reciben soporte por responsabilidades Frecuencia de reuniones
parte de TI que lo deberan de los comits estratgicos
recibir de acuerdo a la % de interesados y de direccin
estrategia satisfechos con el nivel de
respuesta de TI

Figura 12: Marco de trabajo de procesos de TI


Fuente La Autora

56
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.6.5 PO4. Definir los Procesos, Organizacin y Relaciones de


TI.
La administracin del proceso de Definir los procesos, organizacin y
relaciones de TI que satisfaga el requerimiento de negocio de TI de
agilizar la respuesta a la estrategia del negocio mientras se cumplen los
requerimientos de gobierno y se establecen puntos de contacto definido y
competente es:

O No Existe cuando

La organizacin de TI no est establecida de forma efectiva para


enfocarse en el logro de los objetivos del negocio.

Inicial cuando

Las actividades y funciones de TI son reactivas y se implantan de forma


inconsistente. TI se involucra en los proyectos solamente en las etapas
finales. La funcin de TI se considera como una funcin de soporte, sin
una perspectiva organizacional general. Existe un entendimiento explcito
de la necesidad de una organizacin de TI; sin embargo, los roles y las
responsabilidades no estn formalizadas ni reforzadas.

Repetible pero intuitivo

La funcin de TI est organizada para responder de forma tctica aunque


de forma inconsistente, a las necesidades de los clientes y a las
relaciones con los proveedores. La necesidad de contar con una
organizacin estructurada y una administracin de proveedores se
comunica, pero las decisiones todava dependen del conocimiento y
habilidades de individuos clave. Surgen tcnicas comunes para
administrar la organizacin de TI y las relaciones con los proveedores.

57
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Definido cuando

Existen roles y responsabilidades definidos para la organizacin de TI y


para terceros. La organizacin de TI se desarrolla, documenta, comunica
y se alinea con la estrategia de TI. Se define el ambiente de control
interno. Se formulan las relaciones con terceros, incluyendo los comits
de direccin, auditora interna y administracin de proveedores. La
organizacin de TI est funcionalmente completa. Existen definiciones de
las funciones a ser realizadas por parte del personal de TI y las que
deben realizar los usuarios. Los requerimientos esenciales de personal de
TI y experiencia estn definidos y satisfechos. Existe una definicin formal
de las relaciones con los usuarios y con terceros. La divisin de roles y
responsabilidades est definida e implantada.

Administrado y Medible cuando

La organizacin de TI responde de forma proactiva al cambio e incluye


todos los roles necesarios para satisfacer los requerimientos del negocio.
La administracin, la propiedad de procesos, la delegacin y la
responsabilidad de TI estn definidas y balanceadas. Se han aplicado
buenas prcticas internas en la organizacin de las funciones de TI. La
gerencia de TI cuenta con la experiencia y habilidades apropiadas para
definir, implementar y monitorear la organizacin deseada y las
relaciones. Las mtricas medibles para dar soporte a los objetivos del
negocio y los factores crticos de xito definidos por el usuario siguen un
estndar. Existen inventarios de habilidades para apoyar al personal de
los proyectos y el desarrollo profesional. El equilibrio entre las habilidades
y los recursos disponibles internamente, y los que se requieren de
organizaciones externas estn definidos y reforzados.

58
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Optimizado cuando

La estructura organizacional de TI es flexible y adaptable. Se ponen en


funcionamiento las mejores prcticas de la industria. Existe un uso amplio
de la tecnologa para monitorear el desempeo de la organizacin y de
los procesos de TI. La tecnologa se aprovecha para apoyar la
complejidad y distribucin geogrfica de la organizacin. Un proceso de
mejora continua existe y est implantado.

3.7 AI2 Adquirir y Mantener Software Aplicativo


Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del negocio. Este proceso cubre el diseo de las
aplicaciones, la inclusin apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la configuracin en s de
acuerdo a los estndares. Estos permiten a las organizaciones apoyar la
operatividad del negocio de forma apropiada con las aplicaciones
automatizadas correctas.

Planear y Organiza

Adquirir e implementar

Entregar y Dar Soporte

Monitorear y Evaluar

Control sobre el proceso TI de

Adquirir y dar mantenimiento a software aplicativo

Que satisface el requerimiento del negocio de TI para

Construir las aplicaciones de acuerdo con los requerimientos del negocio


y hacindolas a tiempo y a un costo razonable

Enfocndose en
59
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Garantizar que exista un proceso de desarrollo oportuno y confiable

Se logra con

- La traduccin de requerimientos de negocio a especificaciones de


diseo
- La adhesin a los estndares de desarrollo para todas las
modificaciones
- La separacin de las actividades de desarrollo, de pruebas y
operativas

Y se mide con

- Nmero de problemas en produccin por aplicacin, que causan


tiempo perdido significativo
- Porcentaje de usuarios satisfechos con la funcionalidad entregada

AI2 Adquirir y Mantener Software Aplicativo

3.7.1 AI2.1 Diseo de Alto Nivel


Traducir los requerimientos del negocio a una especificacin de diseo de
alto nivel para la adquisicin de software, teniendo en cuenta las
directivas tecnolgicas y la arquitectura de informacin dentro de la
organizacin. Tener aprobadas las especificaciones de diseo por
gerencia para garantizar que el diseo del alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias significativas
tcnicas o lgicas durante el desarrollo o mantenimiento.

3.7.2 AI2.2 Diseo Detallado


Preparar el diseo detallado y los requerimientos tcnicos del software de
aplicacin. Definir el criterio de aceptacin de los requerimientos. Aprobar
los requerimientos para garantizar que corresponden al diseo de alto
nivel.

60
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.7.3 AI2.3 Control y Posibilidad de Auditar las Aplicaciones


Implementar controles de negocio, cuando aplique, en controles de
aplicacin automatizados tal que el procesamiento sea exacto, completo,
oportuno, autorizado y auditable.

3.7.4 AI2.4 Seguridad y Disponibilidad de las Aplicaciones


Abordar la seguridad de las aplicaciones y los requerimientos de
disponibilidad en respuesta a los riesgos identificados y en lnea con la
clasificacin de datos, la arquitectura de la informacin, la arquitectura de
seguridad de la informacin y la tolerancia a riesgos de la organizacin.

3.7.5 AI2.5 Configuracin e implementacin de software aplicativo


adquirido
Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.

3.7.6 AI2.6 Actualizaciones Importantes en Sistemas Existentes


En caso de cambios importantes a los sistemas existentes que resulten en
cambios significativos al diseo actual y funcionalidad, seguir un proceso
de desarrollo similar al empleado para el desarrollo de sistemas nuevos.

3.7.7 AI2.7 Desarrollo de Software Aplicativo


Garantizar que la funcionalidad de automatizacin se desarrolla de
acuerdo con las especificaciones de diseo, los estndares de desarrollo
y documentacin, los requerimientos de calidad y estndares de
aprobacin. Asegurar que todos los aspectos legales y contractuales se
identifican y direccionan para el software aplicativo desarrollado por
terceros.

3.7.8 AI2.8 Aseguramiento de la Calidad del Software


Desarrollar, Implementar los recursos y ejecutar un plan de
aseguramiento de calidad del software, para obtener la calidad que se

61
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

especifica en la definicin de los requerimientos y en las polticas y


procedimientos de calidad de la organizacin.

3.7.9 AI2.9 Administracin de los requerimientos de aplicaciones


Seguir el estado de los requerimientos individuales (incluyendo todos los
requerimientos rechazados) durante el diseo, desarrollo e
implementacin, y aprobar los cambios a los requerimientos a travs de
un proceso de gestin de cambios establecido.

3.7.10 AI2.10 Mantenimiento de Software Aplicativo


Desarrollar una estrategia y un plan para el mantenimiento de
aplicaciones de software.

AI2 Adquirir y Mantener Software Aplicativo

Desde Entradas

PO2 Diccionario de datos; esquema de clasificacin de datos,


plan optimizado de sistema de negocio.
PO3 Actualizaciones peridicas del estado de la tecnologa
PO5 Reporte de costo/beneficio
PO8 Estndares de adquisicin y desarrollo
PO10 Directrices de administracin del proyecto, planes detallados
AI1 Estudio de factibilidad de los requerimientos del negocio.
AI6 Descripcin del proceso de cambio

Salidas Hacia
Especificacin de los controles de seguridad de la DS5
aplicacin
Conocimientos de la aplicacin y del paquete de software AI4
Decisiones de adquisicin AI5
Salas de planeados inicialmente DS1
Especificacin de disponibilidad, continuidad y recuperacin DS3 DS4

62
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

TI PROCESOS ACTIVIDADES

Definir como los Adquirir y mantener Traducir los requerimientos


M requerimientos funcionales aplicaciones que satisfagan en del negocio a las
forma rentable los
et y de control del negocio se requerimientos definidos para especificaciones de diseo
traducen a soluciones el negocio.
as automatizadas efectivas y Priorizar los requerimientos
eficientes Adquirir y mantener
Es con base en la relevancia del
aplicaciones de acuerdo con la Es
estrategia y la arquitectura de negocio
Adquirir y mantener ta TI. ta
sistemas de aplicacin
bl Garantizar que el proceso de
bl Separar actividades de
integrados y desarrollo pruebas y
estandarizados ec desarrollo sea oportuno y
rentable
ec operacin
er er
Dirige Dirige
Mide Mide

% de proyectos de % de proyectos de
% de proyectos que
M entregan los cambios en el desarrollo a tiempo y software aplicativo con plan
de aseguramiento de
t negocio dentro del marco dentro de presupuesto
calidad del software
ri de tiempo requerido desarrollado y ejecutado
% de esfuerzos de
c # De proyectos donde no desarrollo que se gasta en % de proyectos de
mantenimiento de software aplicativo con
a se alcanzaron los
revisin y aprobacin
beneficios establecidos aplicaciones existentes
s debido al diferente diseo o
adecuadas de conformidad
#de problemas de con los estndares de
desarrollo de la aplicacin desarrollo
produccin por aplicacin
% de usuarios satisfechos que provocan tiempo
Tiempo promedio de
con la funcionalidad perdido notorio entrega de la funcionalidad
entregada con base en las medidas

Figura 13: Adquirir y Mantener Software Aplicativo


Fuente La Autora

3.7.11 AI2 Adquirir y Mantener Software Aplicativo


La administracin del proceso de adquirir y mantener software aplicativo
que satisfaga el requerimiento del negocio de TI de hacer disponibles
aplicaciones de acuerdo con los requerimientos del negocio, en tiempo y
a un costo razonable es:
63
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

0 No Existente cuando

No existe un proceso de diseo y especificacin de aplicaciones.


Tpicamente, las aplicaciones se obtienen con base en oferta de
proveedores, en el reconocimiento de la marca o en la familiaridad del
personal de TI con productos especficos, considerando poco o nada los
requerimientos actuales.

1 Inicial / cuando

Existe conciencia de la necesidad de contar con un proceso de


adquisicin y mantenimiento de aplicaciones. Los enfoques para la
adquisicin y mantenimientos de software aplicativo varan de un proyecto
a otro. Es probable que se haya adquirido de forma independiente una
variedad de soluciones individuales para requerimientos particulares del
negocio, teniendo como resultado ineficiencias en el mantenimiento y
soporte. Se tiene poca consideracin hacia la seguridad y disponibilidad
de la aplicacin en el diseo o adquisicin de software aplicativo.

2 Repetible pero Intuitivo cuando

Existen procesos de adquisicin y mantenimiento de aplicaciones, con


diferencias pero similares, en base a la experiencia dentro de la operacin
de TI. El mantenimiento es a menudo problemtico y se resiente cuando
se pierde el conocimiento interno de la organizacin. Se tiene poca
consideracin hacia la seguridad y disponibilidad de la aplicacin en el
diseo o adquisicin de software aplicativo

3 Definido cuando

Existe un proceso claro, definido y de comprensin general para la


adquisicin y mantenimiento de software aplicativo. Este proceso va de
acuerdo con la estrategia de TI y del negocio. Se intenta aplica procesos
de manera consistente a travs de diferentes aplicaciones y proyectos.

64
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Las metodologas son por lo general, inflexibles y difciles de aplicar en


todos los casos, por lo que es muy probable que se salten pasos. Las
actividades de mantenimiento se planean, programan y coordinan

4 Administrado y Medible cuando

Existe una metodologa formal y bien comprendida que incluye un


proceso de diseo y especificacin, un criterio de adquisicin, un proceso
de prueba y requerimientos para la documentacin. Existen mecanismos
de aprobacin documentados y acordados, para garantizar que se sigan
todos los pasos y se autoricen las excepciones. Han evolucionado
prcticas y procedimientos para ajustarlos a la medida de la organizacin,
los utilizan todo el personal y son apropiados para la mayora de los
requerimientos de aplicacin.

5 Optimizado cuando

Las prcticas de adquisicin y mantenimiento de software aplicativo se


alinean con el proceso definido. El enfoque es con base encomponentes,
con aplicaciones predefinidas y estandarizadas que corresponden a las
necesidades del negocio. El enfoque se extiende para toda la empresa.
La metodologa de adquisicin y mantenimiento presenta un buen avance
y permite un posicionamiento estratgico rpido, que permite un alto
grado de reaccin y flexibilidad para responder a requerimientos
cambiantes del negocio. La metodologa de adquisicin e implantacin de
software aplicativo ha sido sujeta a mejora continua y se soporta con base
de datos internas y externas que contienen materiales de referencia y las
mejores prcticas. La metodologa produce documentacin dentro de una
estructura predefinida que hace eficiente la produccin y mantenimiento.

3.8 AI3 Adquirir y Mantener Infraestructura Tecnolgica


Las organizaciones deben contar con procesos para adquirir, implementar
y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque

65
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

planeado para adquirir, mantener y proteger la infraestructura de acuerdo


con las estrategias tecnolgicas convenidas y la disposicin del ambiente
de desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico
continuo para las aplicaciones del negocio.

Planear y Organiza

Adquirir e implementar

Entregar y Dar Soporte

Monitorear y Evaluar

Control sobre el proceso TI de

Adquirir y dar mantenimiento a una infraestructura integrada y estndar de


TI

Que satisface el requerimiento del negocio de TI para

Adquirir y dar mantenimiento a una infraestructura integrada y estndar de


TI

Enfocndose en

Proporcionar plataformas adecuadas para las aplicaciones del negocio,


de acuerdo con la arquitectura definida de TI y los estndares de
tecnologa.

Se logra

- El establecimiento de un plan de adquisicin de tecnologa que se


alinea con el plan de infraestructura tecnolgica
- La planeacin de mantenimiento de la infraestructura

66
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

- La implantacin de medidas de control interno, seguridad y


auditora.

Y se mide

- El porcentaje de plataformas que no se alinean con la arquitectura


de TI definida y los estndares de tecnologa
- El nmero de procesos de negocio crticos soportados por
infraestructura obsoleta (o que pronto lo ser)
- El nmero de componentes de infraestructura que ya no se pueden
soportar (o que ya no se podrn en el futuro cercano)

AI3 Adquirir y Mantener Infraestructura Tecnolgica

3.8.1 AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica


Generar un plan para adquirir, Implementar y mantener la infraestructura
tecnolgica que satisfaga los requerimientos establecidos funcionales y
tcnicos del negocio, y que est de acuerdo con la direccin tecnolgica
de la organizacin. El plan debe considerar extensiones futuras para
adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida
til de la inversin para actualizaciones de tecnologa. Evaluar los costos
de complejidad y la viabilidad comercial del proveedor y el producto al
aadir nueva capacidad tcnica.

3.8.2 AI3.2 Proteccin y Disponibilidad del Recurso de


Infraestructura
Implementar medidas de control interno, seguridad y auditabilidad durante
la configuracin, integracin y mantenimiento del hardware y del software
de la infraestructura para proteger los recursos y garantizar su
disponibilidad e integridad. Se deben definir y comprender claramente las
responsabilidades al utilizar componentes de infraestructura sensitivos por
todos aquellos que desarrollan e integran los componentes de
infraestructura. Se debe monitorear y evaluar su uso.

67
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

3.8.3 AI3.3 Mantenimiento de la Infraestructura


Desarrollar una estrategia y un plan de mantenimiento de la
infraestructura y garantizar que se controlan los cambios, de acuerdo con
el procedimiento de administracin de cambios de la organizacin. Incluir
una revisin peridica contra las necesidades del negocio, administracin
de parches y estrategias de actualizacin, riesgos, evaluacin de
vulnerabilidades y requerimientos de seguridad.

3.8.4 AI3.4 Ambiente de Prueba de Factibilidad


Establecer el ambiente de desarrollo y pruebas para soportar la
efectividad y eficiencia de las pruebas de factibilidad e integracin de
aplicaciones e infraestructura, en las primeras fases del proceso de
adquisicin y desarrollo. Hay que considerar la funcionalidad, la
configuracin de hardware y software, pruebas de integracin y
desempeo, migracin entre ambientes, control de la versiones, datos y
herramientas de prueba y seguridad.

AI3 Adquirir y Mantener Infraestructura Tecnologa

Desde Entradas

PO3 Plan de infraestructura de tecnologa estndares y oportunidades,


actualizaciones del estado de tecnologa
PO8 Estndares de adquisicin y desarrollo
PO10 Directrices de administracin de proyectos y planes
detallados de proyecto
AI1 Estudio de factibilidad de los requerimientos de negocio
AI6 Descripcin de proceso de cambio
DS6 Plan de desempeo y capacidad

Salidas Hacia
Decisiones de adquisicin AI5
Sistema configurado para realizar pruebas/instalacin AI7
Requerimientos de ambiente fresco DS12
Actualizaciones de estndares de tecnologa PO3
Requerimiento de monitoreo del sistema DS3
Conocimientos de la infraestructura AI4
Obras planeadas inicialmente DS1

68
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

TI PROCESOS ACTIVIDADES

Plan de adquisicin de
M Adquirir y mantener una Proporcionar las tecnologa que est de
et infraestructura de TI plataformas adecuadas a
las aplicaciones del
acuerdo con el plan de
Integrada y estandarizada infraestructura de
as negocio de acuerdo con los
tecnologa
Optimizar la estndares de arquitectura
infraestructura, recursos y Es de tecnologa que define TI Es Mantenimiento de la
capacidades de TI ta Proporcionar una ta infraestructura
Desarrollar la agilidad de infraestructura de TI
bl confiable y segura bl
TI Proporcionar
ec ec ambientes de prueba
er er con infraestructura
Dirige Dirige
Mide Mide

% de plataforma que no
M estn de acuerdo con los # Y tipos de
t estndares de arquitectura modificaciones de
y tecnologa que define TI energa a componentes
ri de la infraestructura
c # De procesos de # De plataformas de
# De solucione de
negocio critico tecnologa distintas por
a soportados por
adquisicin
funcin en la empresa sobresaliente
s infraestructura obsoleta
% de componentes de la Tiempo promedio para
infraestructura adquiridos configurar los
por fuera de procesos de componentes de la
adquisicin infraestructura

Figura 14: Adquirir y Mantener Infraestructura Tecnolgica


Fuente La Autora

69
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

CAPTULO IV
4.1 Conclusiones y Recomendaciones
Seguridades Fsicas

Conclusin

Por la falta de planificacin desde el punto de vista informtico dentro del


departamento de sistemas no cuenta con las seguridades necesarias para
el mismo

Recomendacin

Analizar la planificacin informtica dentro del departamento para


evitar el extravi de dispositivos informticos del departamento.
Realizar un control de ingreso de personal no autorizado al
departamento informtico para evitar la manipulacin de personal
externo.

Manejo de Inventarios de Hardware

Conclusin

La falta de planificacin en la identificacin de los dispositivos del


departamento informtico de Ferro Torre puede llevar a desorganizacin y
desconocimiento de los dispositivos que posee.

Recomendaciones

Solicitar la adecuada planificacin del personal encargado de


etiquetar los dispositivos informticos para que al momento de
realizar auditoras futuras evitar la desorganizacin.
Realizar un inventario peridico explicando a los usuarios los
beneficios que tiene para la empresa, realizarlo permitir
conocer si se ha cambiado dispositivos dentro del departamento
70
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Capacitacin del Personal

Conclusin

Debido a la falta de capacitacin a los usuarios y al mal manejo de los


computadores, estos estn propensos a que ingresen virus, se pierda
informacin y que cada vez al momento de ingresar al sistema este sea
lento e inestable.

Recomendacin

Se recomienda un plan de capacitacin del personal de acuerdo a


las necesidades de la empresa, en este caso tomar medidas para
que el personal est dispuesto y conozca como manipular de una
mejor manera tanto el software como los dispositivos informticos
que tiene a su cargo, para poder evitar el deterioro de estos o la
perdida de informacin.

Interrupcin de servicios

Conclusin

Debido a la interrupcin de servicio elctrico y telefnico causa


inestabilidad en el sistema y lneas telefnicas evitando que los usuarios
puedan desempear sus funciones de manera normal.

Recomendacin

Verificar peridicamente el tendido de los cables telefnicos


Verificar el funcionamiento de los quipos despus de apagones o
cortes de energa.
Verificar que el aire acondicionado en el rea de servidores
evitando as su recalentamiento por cortes de energa.

71
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Software

Conclusiones

Debido a fallas de equipos o personas mal intencionadas puede perderse


informacin importante de la empresa, ocasionando inflexiones de
equipos por virus e infectando la informacin.

Recomendaciones

Evitar el manejo de los equipos por personal no autorizado.


Verificar el uso inadecuado de equipos, impidiendo el uso de
dispositivos externos como pueden ser Flash, CD, Discos Externos
entro otros.

Infraestructura

Conclusin

Debido a la falta de inters en temas como la infraestructura no se cuenta


con planes de contingencia en casos de terremotos o incendios ya que
esto podra, ocasionara perdida de equipos tecnolgicos, daos en la
estructura tecnolgica, destruccin de servidores y destruccin de
informacin,

Recomendacin

Crear planes de contingencia ante posibles terremotos o incendios


que pudiera ocasionar daos dentro del departamento informtico.
Realizar capacitaciones con el personal del departamento para
saber que deben hacer en situaciones extremas tales como
terremotos incendios y desastres naturales.

72
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

5.1 Bibliografa

- Hemandez, E. (2012) Auditoria Informtica: Enfoque


Metodolgico y Prctico. Mxico: Continental
- Zamarripa, E. (2010). Sistemas Tutoriales de Auditoria. Prentice
Hall
- Nava Garca, j. (2010). Apuntes de Auditora Informtica.
Espaa.
- Talento Humano; Empresa Ferro Torre S.A. (2014)
- Muoz, Carlos (200) Auditoria en Sistemas Computacionales.
Mxico: Pearson
- Benal R., Coltell O. Auditora de los Sistemas de Informacin.
Servicio de Publicaciones de la Universidad Politcnica de
Valencia, Valencia, 2009
- Quinn E. (2010). La Auditora informtica dentro de las etapas de
Anlisis de Sistemas Administrativos. Obtenida el 21 de Octubre
del 2010.
- Piattini, M. G, Del Pozo, E. (2013). Auditoria Informtica: Un
Enfoque Prctico. Espaa: computec RAMA
- Aurelio Meja, Ao 2004 Gua prctica para manejar y reparar el
computador. Colombia
- Mario. G (2008) Auditora de tecnologas y sistemas de
informacin Editorial RA-MA S.A.
- Annimo (2015):Riesgos Informticos, Recuperado del libro
web http: // www. contadura 2014/11/riesgos-informticos

73
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

5.2 Glosario de Trminos

- ERP: Sistema de Planificacin de Recursos Empresariales

- TI: Tecnologa Informtica

- TIC: Tecnologa de Informacin y Comunicacin

- COSO: Sistema Integrado de Control Interno. (Auditora

Informtica)

- IFAC: Federacin Internacional de Contadores

- IIA: Instituto de Auditores Internos de Colombia

- ISACA: (Information Systems Audit and control Association)

Asociacin de Auditora y Control de Sistemas de informacin

- AICPA1: Instituto Nacional de Contadores Pblicos de Colombia

- ISACF: Sistema de Informacin de Auditora y Asociacin de


Control

74
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexos

75
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 1 Carta de Auspicio

ANEXO 1

CARTA
DE
AUSPICIO

76
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 2 Polticas y procedimientos de Sistemas de Informacin

ANEXO 2

POLTICAS Y
PROCEDIMIENTOS

77
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 3 Funciones del Analista de Sistemas

ANEXO 3

FUNCIONES DE
ANALISTA DE
SISTEMAS
(JEFE DE SISTEMAS)

78
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 4 Funciones del Asistente de Sistemas

ANEXO 4

FUNCIONES DE
ASISTENTE DE
SISTEMAS

79
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 5 Reporte de Ingre de sistemas

ANEXO 5
REPORTE DE
INGRESO AL REA
DE SISTEMAS

80
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 6 Inventario de los Recursos Tecnolgicos

ANEXO 6
INVENTARIO DE
LOS RECURSOS
TECNOLGICOS

81
Carrera: Anlisis de Sistemas
Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder

Anexo 7 Carta Dirigida al Gerente

ANEXO 7

CARTA DIRIGIDA
AL GERENTE

82
Carrera: Anlisis de Sistemas