universidad veracruzana

Auditoría COBIT

Auditoría informática

14/05/2013

Iris Rodríguez Márquez

Víctor Maximiliano Morales Reyes

Erick Yair Gumesindo Trujillo

Karim Luna Guzmán

 Índice
Introducción 2
Características de la empresa 3
Organigrama de Tics 4
Organigrama de desarrollo de software 5
Descripción de las áreas de ACME 6
Descripción de las áreas de TIC´s 7
Metodología COBIT y Requerimientos 8
Objetivo General del departamento de TI 9
Reporte General De Grados De Madurez 10
Posibles Problemas 12
Propuestas de auditoría a ACME (TIC´s) con 13
perspectiva COBIT
Propuestas de seguridad del departamento 18
Conclusiones 20
Recomendaciones 21
Nivel de madurez 22
Glosario 23

1
 Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más
vitales y necesarios para cualquier Organización Empresarial, los Sistemas de
Información de la Organización. Donde los Sistemas Informáticos hoy en día
constituyen una herramienta bastante poderosa para la mejora de rendimiento
de toda la Organización.
Por lo ello se realiza una auditoria informática en la Organización “ACME”
tomando muy en cuenta la dependencia critica de muchos procesos de
negocios sobre las Tecnologías de la Información, con el objetivo de cumplir
con los requerimientos existentes y los beneficios de administrar los riesgos
efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la
evaluación de 34 procesos que define esta metodología, agrupados en 4
dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte,
y Monitorear y Evaluar), estos procesos son ubicados en los niveles de
madurez en los cuales se encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se
pretende solucionar varios problemas como el servicio eficiente a los clientes y
el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos
que cuenta la Organización en estudio.

2
 Caracterización de la empresa
A una década de haber sido creada la empresa DESARROLLO DE
SOFTWARE ACME S.A DE C.V, nos hemos convertido en la infraestructura
para las tecnologías de información más fuertes del país. Nos consolidamos
como la empresa número uno a nivel nacional, conjugando de manera
estratégica los esfuerzos de todos nuestros participantes de manera ética y
profesional.
Nuestra empresa cuenta con personal altamente calificado en el ramo de la
gestión de las tecnologías de la Información y de la programación de sistemas.
A lo largo de los años hemos generado incrementos considerables en los
activos de las empresas y clientes que se benefician de nuestros productos.
Nuestra garantía la respalda la satisfacción de nuestro gran número de clientes
en todo el país.

3
 ORGANIGRAMA DE TIC´s

Gerencia

TIC`S

Mantenimiento
Bases datos Administración y
Capacitación
de Soporte Técnico
Proyectos

-Capacitación -Redes y comunicaciones

-Integridad de datos Ingeniería de usuarios. -Seguridad de Software
-Acceso a datos De -Capacitación -Seguridad de Hardware
-Permisos de Software de clientes -Mantenimiento de
usuarios Hardware

-Análisis de Software
-Diseño y codificación
-Verificación y Validación
-Recopilación de
Requerimientos

4
 ORGANIGRAMA
DESAROLLO DE SOFTWARE ACME S.A de C.V

Dirección
Depto. De Auditoria
Informática

Gerencia

Marketing

-Investigación de
Mercado
-Política de
producto
-Desempeño del
producto

Administración Ventas

TIC´s
Contabilidad -Recursos Humanos
-Compras
-Ventas

5
 Descripción de las áreas de ACME

Dirección.
Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de
los procesos y actividades diarias, de acuerdo a las políticas de la Organización.

Área de marketing.
Se encarga de basarse en la investigación del are del mercado así como también de las
políticas que debe llevar el producto y el desempeño del mismo.

Área de Administración.
Se encarga de velar por una adecuada organización, soporte logístico, administración
eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la
Organización en General.

Área de tic´s.
Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que
estar subdividida a su vez por tres unidades internas (hardware, software y redes), con
el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para
brindar un servicio de calidad.

6
 Descripción de las áreas de tics

Bases de datos.

Las funciones principales del área de redes y datos radican básicamente en garantizar
la confidencialidad y protección de los datos así como tener la información disponible
en cualquier lugar y en cualquier momento.

Administración de proyectos.

Se encargara de que los resultados de los proyectos elaborados en nuestra empresa

deben cumplir con las metas específicas de calidad y de un excelente desempeño, cada
uno de los proyectos debe contar con una planeación revisada por cada uno de los
analistas responsables del área.

Soporte técnico.

El área de soporte técnico aclarara todas las dudas y solucionara todos los problemas
que el cliente solicite en relación al software adquirido en muestra empresa.

Capacitación.

Esta área se encargara de ayudar a los miembros de la empresa a para que cuenten
con los conocimientos, habilidades y actitudes necesarios para el óptimo desempeño
de las funciones a su cago y fomentar su desarrollo integral.

7
Metodología COBIT y requerimientos
Marco de trabajo de COBIT

Requerimientos

En la actualidad se pide a los directivos y ejecutivos de la Organización que

tomen muy en cuenta una correcta administración de las TI. Para esto se debe
realizar un plan de negocio para alcanzar un nivel óptimo de administración y
control de la Tecnologías de la Información. Estos modelos de madurez están
diseñados como perfiles de procesos de TI que una Organización los
reconocería como estados posiblemente actuales y futuros, estos modelos no
están diseñados para ser limitantes, donde no se puede pasar a los niveles
superiores sin haber cumplido antes los niveles antecesores, al usar los
modelos de madurez para los procesos de TI de COBIT, la administración
podrá identificar:

 El desempeño real de la Organización: Donde se encuentra la

Organización hoy.
 El Status actual de la industria: La comparación
 EL objetivo de la mejora de la Organización: Donde desea estar la
Organización.

8
Objetivos general del departamento
de ti
 Recomendar la adquisición de hardware, software básico y de
aplicaciones conveniente y necesario.
 Estructurar, ejecutar y actualizar el plan estratégico del Sistema de
Información, según los requerimientos de las áreas y la coordinación con
la Gerencia General.
 Proporcionar mecanismos de seguridad tanto lógica y física del
hardware, software y redes de “ACME”.
 Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para
publicitar a la Organización, ya que no incurre ningún costo.
 Mantener actualizado el inventario del parque informático y los precios
de los productos de la base de datos, para la cotización correcta.
 Planificar y mantener actividades de Backups (copias de respaldo) de
forma periódica en medios físicos de almacenamiento masivo.
 Aprovechar la tecnología existente para rediseñar el Website actual,
convirtiéndolo en portal dinámico, donde puedan realizarse las
operaciones transaccionales de la Organización y consultas comunes
para los usuarios y clientes.
 Asesorar, administrar y proporcionar el soporte tecnológico al personal
de todas las áreas de “ACME”.

9
 Reporte general de grados de
madurez
Dominio Proceso Nivel de
madurez
Planear y PO1 Definir el Plan Estratégico de Tecnología de la 1
Organizar
Información
PO2 Definir la Arquitectura de la Información 1
PO3 Determinar la Dirección Tecnología 1
PO4 Definir los Procesos, la Organización y las Relaciones 2
de TI
PO5 Administrar la Inversión de TI 4
Adquirir e AI1 Identificar Soluciones Automatizadas 1
Implementar AI2 Adquirir y Mantener Software Aplicativo 2
AI3 Adquirir y Mantener Infraestructura Tecnológica 1
AI4 Facilitar la Operación y el Uso 1
AI5 Adquirir Recursos de TI 4
Entregar y Dar DS1 Definir y Administrar los Niveles de Servicio 1
Soporte DS2 Administrar los Servicios de Terceros 3
DS3 Administrar el Desempeño y la Capacidad 1
DS4 Garantizar la Continuidad del Servicio 1
DS5 Garantizar la Seguridad de los Sistemas 1
Monitorear y ME1 Monitorear y Evaluar el Desempeño de TI 0
evaluar ME2 Monitorear y Evaluar el Control Interno 0
ME3 Garantizar el Cumplimiento Regulatorio 1
ME4 Proporcionar Gobierno de TI 0
Resumen de Análisis por Dominios:
Dominio: Planear y Organizar (PO)

No se encuentran alineadas las estrategias de TI y del negocio.

“ACME” no está alcanzando el uso óptimo de los recursos ya que
estos no son aprovechados al máximo o de también no se cuenta
con los recursos necesarios para el desempeño de ciertas tareas.
ACME no expone que los usuarios y el personal comprenden la
importancia de los cumplimientos de las metas de “ACME” en el
área de TI.

10
Dominio: Adquirir e Implementar (AI)

Para que se cumplan la estrategia de TI, se debe identificar,

desarrollar o adquirir las soluciones de TI, así como la
implementación e integración en los procesos del negocio.
Dominio: Entrega y Dar Soporte (DS)

Los servicios de TI son medianamente entregados de acuerdo a

las prioridades del negocio.
Los costos de TI no se encuentran totalmente optimizados.
Puesto que no existe un plan que implemente la disponibilidad
de forma completa de los sistemas de TI, de igual forma la
integridad y la confidencialidad no se encuentran implementadas
de forma óptima.

Dominio: Monitorear y Evaluar (ME)

La gerencia no monitorea ni evalúa el control interno en “ACME”.

Existe un poco vinculación en el desempeño de TI con las metas
del negocio.
No existe una medición óptima de riesgos y el reporte de estos,
así como el cumplimiento, desempeño y control.

11
 Posibles Problemas
Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
Falta de una planificación informática.
Disminución considerable e injustificable del presupuesto del Área de
Comercio.
Falta de documentación del sistema de información y del servidor en uso, lo
que dificulta efectuar el mantenimiento de estos.
Organización que no funciona correctamente por la falta de políticas, normas,
metodología, asignación de tareas, debidamente establecida por la Gerencia
General.

12
Propuestas de auditoria a ACME (TIC
´s) con perspectiva COBIT
Propuestas del área de bases de datos:
Aplicación:

 Cuenta con un gestor de bases de datos adecuado.

 Hace uso de software con licencia original.
 Cuenta con software que ayude a la seguridad de datos y de software
instalado.

Información:

 Cuenta con un modelo adecuado para la elaboración de una buena

implantación.
 Cuenta con el conocimiento sobre el control de tipos de usuario.
 Existe una confiabilidad para el resguardo de información tanto de la
empresa como la de los clientes.
 Existe una integridad de datos.
 Asegurar que la información crítica y confidencial se retiene a aquellos
que no deben tener acceso
 Entregar proyectos a tiempo y sobre presupuesto reuniendo los
estándares de calidad
 Asegurar la satisfacción de nuestro producto

13
Infraestructura:

 Cuenta con el área adecuada para la seguridad de nuestra

infraestructura.
 Cuenta con el equipo adecuado para el buen funcionamiento de nuestro
gestor de datos.
 Personal:
 El personal cuenta con la capacitación adecuada para el manejo del
gestor de base de datos.
 El personal cuenta con el conocimiento de metodologías para el diseño
de bases de datos.
 Cuenta con el personal adecuado o necesario para el diseño de
nuestras bases de datos y uso de la infraestructura.
 El personal cuenta con alguna certificación con la cual se pueda
garantizar el trabajo adecuado.
 Así como el personal debe capacitarse para el avance del software y del
hardware el cliente debe capacitarse para el desenvolvimiento en la
venta de nuestro software convencer al cliente de lo eficaz y eficiente del
producto que se le vende.
 También ACME debe dar seguimiento a la utilización de su software
para mantenimiento del mismo aplicando otro costo para el cliente, esto
para beneficio tanto cliente como ventas (ACME)

14
Propuestas del área de Administración de proyectos:

Aplicaciones:

 El software cuenta con las características para la elaboración de

proyectos.
 Qué tipo de software usa para la documentación de proyectos.
 Cuenta con equipos activados con software original.
 El software necesita de actualizaciones importantes.
 Cuenta con software que ayude a la seguridad del resto de software
instalado en nuestros equipos de cómputo.

Información:

 El personal cuenta con las metodologías aplicadas para la elaboración

de proyectos.
 El personal aplica las metodologías adecuadas a los proyectos que se
les asigna.
 El personal hace buen uso del tiempo elaborando el proyecto
eficazmente.
 Existe una confiabilidad en la elaboración del proyecto.
 Infraestructura:
 Cuenta con el equipo necesario para la instalación de software
necesario para la elaboración de proyectos.
 El equipo de cómputo está en un sector seguro
 La empresa cuenta con el equipo para cada personal.
 Optimizar la infraestructura y capacidades de las tecnologías dentro de
la empresa.

Personal:

 Cuenta con el personal adecuado y capacitado para la elaboración de

proyectos así como a la dirección de estos.

15
Propuestas del área de soporte:

Aplicaciones:

 La empresa cuenta con el software adecuado para la seguridad y

respaldo de información.
 La empresa cuenta con el software ya instalado en el equipo de
cómputo y la infraestructura en el área de bases de datos.

Información:

 El personal de soporte debe de contar ya con la información adecuada

para la elaboración del mantenimiento del equipo de cómputo en
cuestiones de hardware y de software.
 El personal debe saber administrar el software que se instalara y tener
consentimiento en que equipo es necesario.
 El personal encargado del área de soporte debe conocerlos recursos
con los que cuenta el equipo de cómputo y la infraestructura de bases
de datos.
 El personal debe ser eficaz en atender en los asuntos de mantenimiento
en la cuestión de software y hardware de los equipos.
 El personal hace a tiempo el soporte para el cliente que lo solicita.
 Infraestructura:
 El personal de soporte debe de contar con equipo y recursos de
hardware para las pruebas de mantenimiento en el equipo dañado o
que es necesario el soporte.
 El personal debe estar atento para cuestiones de atención de clientes.

Personal:

 EL personal debe de administrar el tiempo.

 El personal debe de tener un conocimiento amplio de posibles errores y
soluciones en cuestiones de hardware.
 ACME debe tener un personal adecuado para el área de soporte y
contar con cualquier situación en la que se presente.

16
  El personal debe contar con las prestaciones de ley, y las que proponga
aparte el área del personal y la empresa
 Debe de haber aumentos por eficacia y eficiencia por parte de los
trabajadores, para promover la eficacia y eficacia de la empresa ACME y
así producir bien y mejor y darse a conocer como una empresa líder.

Propuesta del área de capacitación:

Información:

 La capacitación debe de ser la adecuada según el área necesaria o

que la solicite.
 La capacitación debe ser constante.
 La capacitación debe ser clara para el cliente.

Infraestructura:

 Cuenta con el espacio necesario para llevar una capacitación a un cierto

número de personal del área de TI.

Personas:

 El personal debe de capacitarse en cuestiones de avance en software o

hardware.
 El cliente debe de ser capacitado por ACME en cuestiones del uso del
sistema desarrollado en dicha empresa.
 Así como el equipo de cómputo debe tener áreas seguras¸ también se
deben asegurar estos equipos de cómputo y mobiliario mediante una
aseguradora en caso de robo incendio etc.
 Tanto como una aseguradora es importante, también lo es la gente de
vigilancia.
 Y también estar respaldando la información periódicamente, la que se
tiene en los equipos, en cualquiera de los casos que se presente.

17
 Propuestas de seguridad del
departamento
1. Seguridad Física:
 Establecer un sistema contra incendios y la capacitación adecuada para
el manejo de estos.
 Contar con agentes de seguridad para el resguardo del establecimiento,
principalmente en las noches, debido a la creciente delincuencia.
 Contar con un espacio adecuado para el alojamiento de los servidores.
2. Seguridad Legal:
 Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros)
al brindar los servicios de redes y diseño de páginas web.
 Contar con las licencias de los sistemas operativos (Microsoft) en uso.
 Realizar una auditoría de las tecnologías de la información externa a
“ACME”
3. Seguridad de Datos:
 Realizar periódicamente Backus de la base de datos del sistema de
información.
 Procesar los datos más importantes de la Organización en las
aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y
otros) y al sistema de información.
 Restringir al acceso al sistema de información y al servidor para que la
data no sea adulterada.
4. Seguridad de Personas:
 Renovar los implementos de seguridad de los técnicos de informática.
 Realizar las señalizaciones sísmicas pertinentes en el establecimiento
ante un desastre sísmico.
 Establecer políticas de integridad física y mental para el personal que
labora, dentro de sus horas de trabajo.
A continuación analizamos cada uno de los criterios de la información:

 EFECTIVIDAD.- La información que es de importancia para “ACME”,

que tiene incidencia en los procesos del negocio y debe ser entregada
de forma oportuna, consistente, y veraz.
 EFICIENCIA.- Para este criterio la información que debe generar el uso
óptimo de los recursos de “ACME”.
 CONFIDENCIALIDAD.- Para este criterio la protección de la información
de “ACME” para que esta no sea divulgada a personas o sectores
extraños es bajo.
 INTEGRIDAD.- Para este criterio la distribución de la información exacta
y correcta, así como su validez con las expectativas de la empresa es
bajo.
 DISPONIBILIDAD.- Para este criterio la accesibilidad de la información
cuando esta sea requerida por los procesos del negocio y a la
salvaguarda de los recursos y capacidades asociadas a la misma en
“ACME” es baja.

18
 CUMPLIMIENTO.- Para este criterio el cumplimiento de las leyes,
regulaciones, y compromisos contractuales con los cuales está
comprometido “ACME”, es considerable con un porcentaje medio.
 CONFIABILIDAD.- Para este criterio proveer la información apropiada
para que la administración tome decisiones adecuadas para manejar
“ACME” y cumplir con sus responsabilidades es considerable.

19
 Conclusiones
Con este estudio se ha dado un conjunto de directrices las cuales pueden
ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar
recursos y medir el desempeño, así como el nivel de madurez de cada uno de
los procesos de “ACME”.
Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya
que este marco de referencia ayuda a estos individuos entender sus sistemas
de TI, de igual forma decidir el nivel de seguridad y control para proteger los
activos (información, hardware, software, etc.) de “ACME” mediante un modelo
de desarrollo de gobernación de TI.
Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar
los procesos de TI en “ACME”. También se ha diagnosticado cada uno de los
criterios de la información, los cuales son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

20
 Recomendaciones
 Tomar en cuenta los procesos que se encuentran con el nivel
de madurez de 0 y 1, que son los de factor crítico.
 Realizar evaluaciones periódicas con el fin de medir el avance
de cada uno de los procesos estudiados en este trabajo.
 Se debe utilizar software aplicativo con licenciamiento, así
como adecuar las instalaciones del área de informática,
puesto que el espacio de trabajo de este es muy limitado y sin
las seguridades fiscas pertinentes.
 Hacer el uso del presente trabajo, con el fin de tomarlo como
guía para futuras mejoras en TI.

21
 Niveles de madurez
NO EXISTENTE Carencia completa de cualquier proceso reconocible. La
Organización no ha reconocido siquiera que existe un
problema a resolver.
1 Existe evidencia que la empresa ha reconocido que los
INICIAL problemas existen y requieren ser resueltos. Sin embargo;
no existen procesos estándar en su lugar existen enfoques
ad hoc que tienden a ser aplicados de forma individual o
caso por caso. El enfoque general hacia la administración
es desorganizado.
2 Se han desarrollado los procesos hasta el punto en que se
REPETIBLE siguen procedimientos similares en diferentes áreas que
realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se
deja la responsabilidad al individuo. Existe un alto grado
de confianza en el conocimiento de los individuos y, por lo
tanto, los errores son muy probables.
3 Los procedimientos se han estandarizado y documentado, y
DEFINIDO se han difundido a través de entrenamiento. Sin embargo, se
deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos
en sí no son sofisticados pero formalizan las prácticas
existentes.
4 Es posible monitorear y medir el cumplimiento de los
ADMINISTRADO procedimientos y tomar medidas cuando los procesos no
estén trabajando de forma efectiva. Los procesos están bajo
constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada o
fragmentada.
5 Los procesos se han refinado hasta el nivel de mejor práctica,
OPTIMIZADA se basan en los resultados de mejoras continuas y en un
modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.

22
 Glosario
Auditoría Informática.- Proceso de recoger, agrupar, evaluar
evidencias para evidenciar si un sistema informático o estructura
informática protege los activos intangibles o tangibles de la
empresa.
COBIT.- (Control Objetives Información Technologies), modelo de
referencia utilizado en el control de tecnologías de la información
así como su control.
Madurez.- Nos muestra en nivel de confiabilidad en los procesos
que utiliza una empresa.
TI.- Tecnologías de la Información.
Plan Estratégico.- Es un plan a largo plazo aprobado por una
empresa.
Problema.- Es la causa desconocida de uno o varios incidentes.

23