AUDITORIA INFORMATICA

COOPERATIVA AHORRO Y CREDITO ……………LTDA.

Dr. Edgar Acuña Gerente General

Dra. Carmen Medina Gerente Financiera
Dra. Pietra Dávila Auditora Interna
Ing. Pablo Santos Jefe de Sistemas
 Agenda
Objetivo
Alcance
Metodología
Procesos TI de la CACPE
Caracterización Departamento TI
Desempeño Servidores
Satisfacción Cliente
Nivel de madurez
Recomendaciones
 Objetivos

General
Analizar la situación del departamento de Gestión de
Recursos Tecnológicos de la CACPE, tanto en el aspecto
operativo como administrativo, enfocándose en el
desempeño del mismo.
 Objetivos

Específicos
Diagnosticar la situación actual del departamento de
Tecnología.
Evaluar las actividades y esfuerzos del departamento de
Tecnología para conseguir los objetivos del
departamento planteados.
Evaluar las actividades y esfuerzos del departamento de
Tecnología para conseguir los objetivos de la
organización.
 Alcance

Análisis de los procesos críticos que ejecuta el

departamento de Gestión de Recursos Tecnológicos.
Análisis de la gestión administrativa del
departamento de Gestión de Recursos Tecnológicos.
Análisis de la infraestructura tecnológica de la
cooperativa.
Análisis del desempeño del sistema de core de
negocio de la cooperativa ECONX.
 Metodología

Se basa en la promoción, soporte y aplicación de

las mejores prácticas, marcos referenciales y
estándares de aceptación Internacional, tales
como:
ISO/IEC 20000,
(International Organization for Standardization)
(International Electrotechnical Commission)

ITIL, (Information Technology

Infrastructure Library)
COBIT, (Control Objectives for Information
and related Technology).

COSO, (Committee of Sponsoring Organizations)

ISO/IEC -17799 – 2700X y otras.
COBIT (Objetivos de Control para Tecnología de
Información y Tecnologías Relacionadas)

COBIT se aplica a los sistemas de información de toda la

empresa, incluyendo las computadoras personales, mini
computadoras y ambientes distribuidos. Esta basado en la
administración de un conjunto de procesos, provee la
información pertinente y confiable de una organización para el
logro de sus objetivos, estableciendo controles de uso
cotidiano para los gerentes y auditores.
 PROCESOS TI

COBIT se define a partir de una premisa simple y

pragmática: "Los recursos de las Tecnologías de la
Información (TI) se han de gestionar mediante un
conjunto de procesos agrupados de forma natural,
para que proporcionen la información que la empresa
necesita y de esa forma alcanzar sus objetivos".
 Preguntas de la gerencia:

¿Se están entregando los servicios de TI de acuerdo

con las prioridades del negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y segura?
¿Están implantadas de forma adecuada la
confidencialidad, la integridad y la disponibilidad?
 Metodología

Definición de alcance y objetivos

Estudio Preliminar
Planificación
Desarrollo de la auditoría
Comunicar los resultados
 Metodología

Técnicas y Herramientas

Técnica Herramienta
Cuestionario general

Entrevista Cuestionario check list

Verificación documental Check list documentos

Observación

Verificación visual Comparación

Medición índices desempeño Software de medición o comandos

Muestreo Cuestionario check list

 Procesos TI CACPE
Seguridad de la información - Implementación de seguridades en
los canales electrónicos.
Desarrollo y mantenimiento de aplicaciones y equipos -
Mantenimiento de aplicaciones
Desarrollo y mantenimiento de aplicaciones y equipos -
Actualización de versiones de software y hardware
Soporte al software, hardware y red - Monitoreo de la capacidad y
desempeño de servidores, base de datos y redes de comunicación
Continuidad del Negocio - Obtención y almacenamiento de
respaldos de la base de datos
Continuidad del Negocio - Recuperación de información base de
datos respaldada
Continuidad del Negocio - Inicio del sistema manual
Continuidad del Negocio - Cierre del sistema manual
Continuidad del Negocio - Plan de contingencia
Caracterización Departamento TI
 N° Ítem Tiene Observación

10
El documento entregado no tiene el listado de los equipos
Inventario de Sw
Si informáticos que tiene la CACPE, así como del software y de las
y Hw
licencias

11
Topología de red Si El documento entregado no tiene la Topología de red.

12
Resolución
Riesgo Operativo Si -
Vigente

13
Procedimientos
de cambio en Si Incluido dentro del manual de Procesos de la Institución
base de datos

14
Check list para
entrega de Si -
equipo
 Desempeño de Servidores
Tiempo
que fue
Sistema Implement Encargado/ Observació
Nª Servidor Serie Operativo Aplicaciones Función ado Función n
En este servidor
1
se graban todas
las
Servidor de base Pablo Santos / transacciones
de datos de Monitoreo y del Sistema
IBM P710 AIX Versión 7.1 Informix Versión 11.50 2 años
Econx, se estima
producción verificación de
Conexus transacciones 4 años más de
uso. No se
registran
tracciones.
Este servidor
2 Pablo Santos/
Mantener en mantiene
Mantener en
servicio el operativo el
servicio el
Apache, php 5.3, Sistema sistema de
IBM X3250M2 Linux Centos 5
Econx Financiero
4 años Sistema
Financiero
Financiero
Econx de Econx para
Econx de
Producción todas las oficinas
Producción
y agencias.
Pablo Santos /
3
Se carga base Leonardo
datos de Yepez/Israel
respaldo para 2 años. Vega. /Pruebas
IBM P5 AIX Versión 5 Informix Versión 11.50
hacer pruebas Septiembre 2008 de Aplicaciones
de aplicaciones como también
desarrollo para sacar
reportes.
 Desempeño de Servidores
N° Ítem Índice/ Indicador Descripción

1 Equipo CPU El índice proporciona información del uso del CPU del equipo
El índice proporciona información del uso del o de los discos
2 Equipo Disk duros del equipo
El índice proporciona información del uso de las colas del
3 Equipo Queue sistema operativo del equipo
El índice proporciona información sobre los paquetes que
4 Equipo Packets recibe y envía el equipo

El índice proporciona información de las operaciones de

5 BDD Read and Writes lectura y escritura que realiza el gestor de la base de datos

El índice proporciona información de las transacciones que

6 BDD Transaction vs Type Transaction realiza el gestor de la base de datos
El índice proporciona información de las transacciones que
genera bloqueo a la base que realiza a el gestor de la base de
7 BDD Transaction vs Transaction without block datos
El índice proporciona información sobre el uso del espacio
8 BDD Type Use Spaces Database asignado a la base de datos
 Desempeño de Servidores

Servidor Modelo Activo Desempeño

El servidor está siendo utilizado, y

tiene una baja demanda carga, por
lo cual el uso de su capacidad es
baja
El desempeño de las peticiones de
uso es bueno, para atender las
peticiones las características del
Base de Datos IBM P710 Si mismo sobrepasan las necesarias

El servidor está siendo utilizado, y

tiene una media demanda carga,
por lo cual el uso de su capacidad es
media
El desempeño de las peticiones de
uso es bueno, para atender las
peticiones las características del
Aplicación IBM X3250M2 Si mismo son buenas
 Satisfacción del Cliente
N Área NO Funcionarios NO de encuestas realizadas

1 CAPTACIONES 52 13
2 CREDITO Y COBRANZA 40 14
3 FINANCIERO 6 5
4 JEFE DE AGENCIA 5 3
5 MARKETING 5 2
6 TEGNOLOGIA 4
7 Auditoria 2 2
8 RIESGOS 2 2
9 SECRETARIA 4 4
10 SEGURIDAD 2
11 GERENCIA 1 1
12 OFICAL DE CUMPLIMIENTO 1 1
13 TALENTO HUMANO 1 1
 Satisfacción Cliente
Los resultados de su trámite o servicio de soporte o help desk
solicitado fueron:
PREGUNTA 1
0% 2%

23% 6% Insatisfecho

Malo

Regular

Bueno
69%
Satisfactorio

La percepción mayoritaria del cliente sobre el trabajo realizado

por el departamento de Gestión de Recursos Tecnológicos es
buena, pero también hay clientes que perciben que se realiza un
mal trabajo.
 Satisfacción Cliente
El tiempo en que se le proporciono la solución a su
trámite o servicio fue:
PREGUNTA 4
0% 2%
Insatisfecho

29% 13% Malo

Regular

Bueno
56%
Satisfactorio

El mayor porcentaje de cliente considera que el tiempo en

que el departamento de Gestión de Recursos Tecnológicos
le soluciona los problemas es bueno, pero también existen
clientes que ven que el tiempo que se toman es regular.
 Satisfacción Cliente
El comportamiento demostrado de la persona
que le atendió le inspira confianza y seguridad de
manera:
0%
PREGUNTA 10
0% 4% Insatisfecho

25% Malo

Regular
71%
Bueno

Satisfactorio

La mayoría de los clientes siente total confianza y

seguridad en el personal de Gestión de Recursos
Tecnológicos, aunque existe un porcentaje que lo ve
de buena forma y otro de forma regular.
 Satisfacción Cliente
La infraestructura que se le asignado (equipo de cómputo /
instalaciones / herramientas, etc. según aplique al servicio que
le fue otorgado) ha sido: PREGUNTA 16
0%
0% Insatisfecho

10% Malo
44%
Regular
46% Bueno

Satisfactorio

La mayoría de los clientes perciben entre satisfactoria y buena el

equipo computacional que el departamento de Gestión de Recursos
Tecnológicos le asigno, pero también existe un porcentaje menor que
lo percibe de forma regular y mala.
 Satisfacción Cliente
Los servicios que brinda la herramienta SysAid son
conocidos por el usuario.
PREGUNTA 19
2%
6%
Insatisfecho
31%
23% Malo

Regular

Bueno
38% Satisfactorio

La mayoría de los clientes percibe que los servicios de la herramienta SysAid

son conocidos de forma satisfactoria y buena, pero existe un porcentaje que
percibe de forma regular, malo e insatisfecho.
 Satisfacción Cliente

El uso de la herramienta SysAid ha mejorado la atención de sus

trámites o solicitudes de servicio de manera:
PREGUNTA 21
4% Insatisfecho

27% 17% Malo

12% Regular

Bueno
40%
Satisfactorio

El mayor porcentaje de los clientes considera que la herramienta SysAid ha

mejorado de forma satisfactoria y buena la atención de sus trámites por
parte del personal de Gestión de Recursos Tecnológicos; pero existen
porcentajes de clientes que considera que la mejora ha sido mala, regulas e
insatisfactoria.
 Satisfacción Cliente
La forma en la que ud comunica su solicitud de servicio o
tramite al departamento de recursos tecnológicos es:
PREGUNTA 24
correo electornico
0%
telefono

24% 17% persona

0%
14% chat

45% SysAid

otro

La mayor parte de los clientes comunican sus requerimientos al

departamento de Gestión de Recursos Tecnológicos, a través del teléfono;
seguido por la herramienta SysAid, y el correo electrónico.
 Nivel de Madurez
Dominio Códi Proceso Nivel de Madurez
go
PLANEAR Y PO1 Definir un plan estratégico para TI 0
ORGANIZAR PO2 Definir la arquitectura de información 0
PO3 Determinar la dirección tecnológica 0
PO4 Definir los procesos, organización y 2
relaciones de TI
PO5 Administrar la inversión en TI -
PO6 Comunicar las aspiraciones y la dirección 1
de la gerencia
PO7 Administrar los recursos humanos de TI 2
PO8 Administrar la calidad 0
PO9 Evaluar y administrar los riesgos de TI 2
PO10 Administrar proyectos 0
 Nivel de Madurez

Dominio Códi Proceso Nivel de Madurez

go

IMPLANTAR IA1 Identificar soluciones automatizadas 0

Y ADQUIRIR
IA2 Adquirir y mantener software aplicativo 1
IA3 Adquirir y mantener infraestructura 2
tecnológica

IA4 Facilitar la operación y el uso 1

IA5 Adquirir recursos de TI 2
IA6 Administrar cambios 0
IA7 Instalar y acreditar soluciones y cambios 0
 Nivel de Madurez
Dominio Códig Proceso Nivel de Madurez
o

ENTREGAR Y DS1 Definir y administrar niveles de servicio 0

DAR
SOPORTE DS2 Administrar los servicios de terceros 0

DS3 Administrar el desempeño y la capacidad 1

DS4 Garantizar la continuidad del servicio 2

DS5 Garantizar la seguridad de los sistemas 2

DS6 Identificar y asignar costos 0

DS7 Educar y entrenar a los usuarios 1

 Nivel de Madurez
Dominio Códig Proceso Nivel de Madurez
o

ENTREGAR Y DS8 Administrar la mesa de servicio y los 1

DAR incidentes
SOPORTE
DS9 Administrar la configuración 1

DS10 Administración de problemas -

DS11 Administración de datos -

DS12 Administración del ambiente físico 2

DS13 Administración de operaciones -

 Nivel de Madurez
Dominio Códig Proceso Nivel de Madurez
o

MONITOREA ME1 Monitorear y evaluar el desempeño de TI 1

RY
EVALUAR

ME2 Monitorear y evaluar el control interno 0

ME3 Garantizar el cumplimiento regulatorio -

ME4 Proporcionar gobierno de TI -

 Recomendaciones
Dominio Código Proceso Nivel de Recomendación
Madurez

PLANEAR Y PO1 Definir un plan estratégico para TI 0 Elaborar con la participación de todo el personal del departamento y
ORGANIZAR alineado al plan estratégico de la CACPE:
Plan Estratégico
Plan Operativo
Presentar y hacer aprobar a la Gerencia General
Socializar con el personal del departamento y las jefaturas de los otros
departamentos

PO2 Definir la arquitectura de información 0 Definir la arquitectura de información que será utilizada en la
implementación de las aplicaciones
Establecer estándares de diseño de datos
Establecer controles de cumplimiento con la arquitectura de
información

PO3 Determinar la dirección tecnológica 0 Definir el plan de infraestructura tecnológica.

Elaborar un inventario de plataforma tecnológica por cada función
Establecer controles de cumplimiento del plan de infraestructura
tecnológica

PO4 Definir los procesos, organización y 2 Actualizar el manual de puestos de acuerdo a las funciones que hacen
relaciones de TI actualmente el personal del departamento.
Socializar con el personal: Plan estratégico de TI, Plan operativo de TI,
Plan estratégico de la CACPE, Plan operativo de la CACPE
Actualizar el manual de procesos, de acuerdo a los procesos actuales y
como se realizan

PO5 Administrar la inversión en TI -

 Recomendaciones
Dominio Código Proceso Nivel de Recomendación
Madurez

PLANEAR Y PO6 Comunicar las aspiraciones y la dirección Elaborar y socializar un plan de comunicación al personal del
ORGANIZAR de la gerencia
1 departamento
Capacitar al personal de toda la CACPE en las políticas y
procedimientos de TI
Realizar un monitoreo de cumplimiento de políticas y procedimientos

PO7 Administrar los recursos humanos de TI Elaborar un plan de carrera para el personal del departamento
2 Elaborar y ejecutar un plan de capacitación para el personal de
acuerdo a la necesidad actual y a la plan estratégico de TI

PO8 Administrar la calidad Elaborar un sistema de gestión de calidad, empezando con un control
0 de calidad.
Incrementar un rol más de Control de Calidad (QA)
Contratar una persona con un perfil senior en Control de Calidad

PO9 Evaluar y administrar los riesgos de TI Actualizar y optimizar los planes de acción frente a los riesgos
2 Ejecuta el plan de pruebas de la contingencia frente a los riesgos
Socializar los planes de acción con el personal involucrado de la CACPE

PO10 Administrar proyectos Elaborar con la participación de todo el personal del departamento y
0 alineado al plan estratégico de la CACPE:
Plan estratégico
Plan operativo
Establecer proyectos del departamento
Capacitar al personal en gestión de proyectos
 Recomendaciones
Domio Códi Proceso Nivel de Recomendación
go Madurez
IMPLANTA IA1 Identificar soluciones 0 Elaborar con la participación de todo el personal del departamento y
RY automatizadas alineado al plan estratégico de la CACPE:
ADQUIRIR Plan estratégico
Plan operativo
Establecer proyectos del departamento
Capacitar al personal en gestión de proyectos

IA2 Adquirir y mantener 1 Establecer una metodología de desarrollo de software en base a

software aplicativo mejores prácticas y al alcance de los sistemas que se tiene
actualmente y que se planifican adquirir
Establecer un proceso técnico para la adquisición de aplicativos, sea
de negocio o un utilitario
Capacitar al personal en la metodología de software seleccionada y
en herramientas de diseño

IA3 Adquirir y mantener 2 Establecer una arquitectura tecnológica y de sistema, así como
infraestructura estándares de tecnología
Establecer plan de mantenimiento del hardware
tecnológica Establecer políticas de control y monitoreo de los servidores y redes

IA4 Facilitar la operación y el 1 Actualizar el manual de procesos, y socializarlo con el personal de la

uso CACPE
Planificar cursos de capacitación práctica de los aplicativos de
negocio
 Recomendaciones
Do Có Proceso Nivel de Recomendación
mini dig Madurez
o o
IMPLANTA IA5 Adquirir recursos de TI 2 Establecer un control y evaluación de proveedores
RY Actualizar los procesos de adquisición
ADQUIRIR Establecer una metodología de gestión de proyectos

IA6 Administrar cambios 0 Implementar un proceso de gestión de cambio.

Implementar mejores prácticas para la gestión de cambios
Implantar un software para la gestión de proceso
Capacitar al personal sobre el proceso de gestión de cambios

IA7 Instalar y acreditar 0 Implementar un proceso de gestión de configuración de las

soluciones y cambios aplicaciones
 Recomendaciones
Dominio Código Proceso Nivel de Recomendación
Madurez
ENTREGAR Y DAR DS1 Definir y administrar 0 Establecer un proceso para elaborar SLA
SOPORTE niveles de servicio Establecer políticas para elaborar SLA
Establecer controles de SLA

DS2 Administrar los servicios 0 Establecer un plan de compras

de terceros Elaborar un inventario de proveedores
Elaborar SLA con proveedores y las políticas
Evaluar a los proveedores

DS3 Administrar el desempeño 1 Elaborar un plan de monitoreo de los equipos y de la red

y la capacidad Elaborar un plan de mantenimiento de los equipos

DS4 Garantizar la continuidad 2 Optimizar el plan de continuidad

del servicio Socializar y capacitar sobre el plan de continuidad

DS5 Garantizar la seguridad de 2 Elaborar SLA con proveedores y las políticas

los sistemas Evaluar a los proveedores
Actualizar y optimizar el plan de contingencia

DS6 Identificar y asignar 0 Elaborar un plan de compras

costos Elaborar un presupuesto

DS7 Educar y entrenar a los 1 Elaborar un plan de capacitación

usuarios Realizar control de la aplicación de la capacitación
 Recomendaciones
Dominio Código Proceso Nivel de Recomendación
Madurez

ENTREGAR Y DAR DS8 Administrar la mesa de Implementar un proceso de gestión d incidentes, usando las
SOPORTE servicio y los incidentes 1 mejores prácticas
Terminar de implementar el SysAId
Capacitar al personal en la herramienta SysAid

DS9 Administrar la Implementar proceso de gestión de configuración

configuración 1 Implementar una herramienta para tener la CMDB

DS10 Administración de
problemas -

DS11 Administración de datos

-

DS12 Administración del Implementar un control de acceso a la oficina del departamento

ambiente físico 2 Elaborar un documento de estándar de la seguridad física
Implementar controles de monitoreo

DS13 Administración de
operaciones -
 Recomendaciones
Dominio Código Proceso Nivel de Recomendación
Madurez

MONITOREAR Y ME1 Monitorear y 1 Implementar un procesos de monitoreo y control

EVALUAR
evaluar el Implementar un sistema de gestión de calidad
desempeño de
TI
ME2 Monitorear y 0 Establecer controles internos para TI
evaluar el Establecer procedimientos de monitoreo de los
control interno controles internos

ME3 Garantizar el -
cumplimiento
regulatorio

ME4 Proporcionar -
gobierno de TI