[impreso] caja arequipa - cobit.docx

7/26/2019 [IMPRESO] CAJA AREQUIPA - COBIT.docx

1/36

UNIVERSIDAD NACIONAL DE SAN AGUSTN DE

AREQUIPA

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

Asignatura: Auditoria de Sistemas

AUDITORIA CAJA AREQUIPA

COBIT

(GRUPO 6)

Ea!orado "or:

Soto Paredes Cr!st!a"Co"dor! Castro A#e$

Co$%&e 'earra Fa#!"

AREQUIPA # PER$

%&'(


2/36

TABLA DE CONTENIDOS

TABLA DE CONTENIDOS...........................................................................2

1. OBJETIVOS DEL NEGOCIO (OBJETIVOS DE CONTROL)............................3

1.1. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA AUDITORIA

APLICANDO METODOLOGIA COBIT..........................................................................3

1.2. EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBIT... ...4

2. DESARROLLO DEL COBIT....................................................................5

2.1. PLANEACIN Y ORGANIZACIN.....................................................................5

2.1.1. PO2 Defnir la arquitectura de inormacin.............................................5

2.1.2. PO8 Administrar la calidad....................................................................10

2.1.3. PO10 Administrar Proyectos.................................................................14

2.2. ADQUIRIREIMPLEMENTAR..................................................................................18

2.2.1. A2 Adquirir y !antener "ot#are A$licati%o&........................................18

2.3. ENTREGAYSOPORTE........................................................................................23

2.3.1. D"5 'aranti(ar la se)uridad de los sistemas........................................23

2.3.2. D"* +ducar y entrenar a los usuarios...................................................2,

2.3.3. D"12 Administrar el am-iente sico.....................................................33

3. CONCLUSIONES Y RECOMENDACIONES GENERALES...........................38

3.1. CONCLUSIONES................................................................................................38

3.2. RECOMENDACIONES..........................................................................................38


3/36

*+ OBJETI,OS DEL NEGOCIO (OBJETI,OS DE CONTROL)

*+*+ DETERMINACI-N DE LOS PROCESOS QUE PARTICIPAR.N EN LA

AUDITORIA APLICANDO METODOLOGIA COBIT

Siguiendo) este "an de tra!a*o "ro"uesto "or CO+IT) se ograr,n !ene-i.ios res"e.to a a

administra.i/n de as TI0 En e "resente tra!a*o) se reai1/ a auditor2a a ,rea de 3Desarroo

"or Te.noog2as4 en-o.ado a desarroo) "or o tanto se eegir,n s/o os "ro.esos "ertinentes 5

ser,n tomados en .uenta .omo una "e6ue7a introdu..i/n) 5a 6ue CO+IT se a"i.a a toda una

em"resa 6ue .uenta .on sus di-erentes ,reas0

A .ontinua.i/n se muestra os Dominios "ro"uestos "or CO+IT) .on sus res"e.ti8os "ro.esos)

os .uaes -ueron eegidos "ara e "resente "ro5e.to:

PLANEAR Y ORGANIZAR

PO1 Definir un plan estratgico de tecnologas de la inforaci!n"

PO# Definir los procesos$ organi%aci!n & relaciones de 'I"

PO( E)aluar & adinistrar los riesgos de 'I"

PO1* Adinistrar los pro&ectos"

AD+,IRIR E I-PLE-EN'AR

AI. Ad/uirir & antener soft0are aplicati)o"

EN'REGAR Y DAR OPOR'E

D2 Garanti%ar la seguridad de los sisteas"

D3 Educar & entrenar a los usuarios"

D14 Adinistrar las operaciones"

-ONI'OREAR Y E5AL,AR


4/36

*+/+ EJECUCI-N DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA

COBIT

La !"#$%a&'(a '&)%)*a+a # %!, $()()!, +# )-!("a$) /a(a #,&a

&a0%a #, %a ,)')# P $'a+! #% !0#&)6! +# $!&(!% &)## ')"/a$&! +)(#$&! a% (#7'#()")#&! S $'a+! #% !0#&)6! +# $!&(!%&)## ' )"/a$&! )+)(#$&! #, +#$)( ! $!"/%#&! ,!0(# #%(#7'#()")#&! 9a%"# 6a$:! $'a+! #% !0#&)6! +# $!&(!% !##($# ); )"/a$&! ,!0(# #% (#7'#()")#&! # $a"0)! $'a+! ,##$'#&(a $!


5/36

/+ DESARROLLO DEL COBIT

/+*+ PLANEACI-N 0 ORGANI'ACI-N+

2.1.1. PO2 Defn! "# #!$%&e'&%!# e n*!+#',n

La -un.i/n de sistemas de in-orma.i/n de!er2a esta!e.er un modeo de entrega de in-orma.i/n

"ara e desarroo de sistemas 5 de-inir sistemas a"ro"iados 6ue se .um"an "ara o"timi1ar e

uso de esta in-orma.i/n0 Esto de!er2a in.uir e desarroo de un di..ionario .or"orati8o de

datos 6ue .ontenga as regas de sinta9is de "ro.eso de me*ora a .aidad 6ue "ermite

ra.ionai1ar os re.ursos de os sistemas de in-orma.i/n en a do.umenta.i/n en e desarroo

de sistemas "ara estar a.orde .on as estrategias de nego.io0

Este "ro.eso de TI tam!in es ne.esario me*orar a res"onsa!iidad so!re a integridad)

seguridad 5 .ontro de os datos 5 "ara me*orar a e-e.ti8idad 5 e .ontro de in-orma.i/n en e

desarroo de "ro5e.tos de so-t;are0

Sat!s1a2!e"do: Agii1ar a res"uesta a os re6uerimientos) "ro"or.ionar in-orma.i/n .on-ia!e 5

.onsistente0

Se $ora 2o": E aseguramiento de a e9a.titud de in-orma.i/n0

Se 3!de 2o": La -re.uen.ia de a.ti8idades de 8aida.i/n de datos0

O#4et!5os de 2o"tro$

IDodeo de ar6uite.tura de in-orma.i/n

em"resaria0Di..ionario de Datos 5 Regas de Sinta9is de

Datos0

Es6uema de Casi-i.a.i/n de integridad

PO/+* Mode$o de Ar%&!te2t&ra de I"1or3a2!7" E38resar!a$

Esta!e.er 5 mantener un modeo de in-orma.i/n 6ue -a.iite e desarroo de a"i.a.iones 5 as

a.ti8idades de so"orte a a toma de de.isiones) .onsistente .on os "anes de TI 0


6/36

E modeo de!e -a.iitar a .rea.i/n) uso 5 e .om"artir en -orma /"tima a in-orma.i/n 6ue se

genera en e desarroo de "ro5e.tos de sistemas "or "arte de nego.io de ta manera 6ue se

mantenga su integridad) sea -e9i!e) o"ortuna) segura 5 toerante a -aos0

PO/+/ D!22!o"ar!o de Datos E38resar!a$ 9 Re$as de S!"ta:!s de Datos

La Geren.ia de TI 5 os res"onsa!es de "ro.eso de nego.io de!er,n desarroar os

est,ndares 5 as nomen.aturas "or .ada do.umento reai1ado en .ada "ro5e.to0 Esta!e.er "ro.esos "ara garanti1ar 5 administrar a integridad de a in-orma.i/n 6ue se

genera en e desarroo de sistemas0

En e desarroo de "ro5e.tos de so-t;are se de!er, ade.uar a una metodoog2a de desarroo

de so-t;are .omo SCRUM mu5 .ono.ida "or e desarroo de as !uenas "r,.ti.as en

"ro5e.tos de so-t;are e9itosos) de esta manera generar .ada do.umento .on a siguientenomen.atura:

Do2&3e"to o Pro2eso+ No3e"2$at&ra+Gest!7" de Pro9e2tos+ GP

I38$e3e"ta2!7" de So1t;are+ ISP$a" de Pro9e2to+ PA

So$!2!t&d de Ca3#!o+ SCA2ta de A2e8ta2!7"+ AA

A2ta de Re&"!7"+ AR

A22!o"es Corre2t!5as+ ACRe8orte de A5a"2e+ RAEs8e2!1!2a2!7" de Re%&!s!tos+ ER

Ma"&a$ de Us&ar!o+ >UD!se


7/36

'oar u& en cuenta /ue el )ersionado es un factor crtico en el desarrollo de pro&ectos"

Representa la fec:a de creaci!n del docuento e


8/36

PO/+> Es%&e3a de C$as!1!2a2!7" de !"ter!dad

La Geren.ia de TI 5 os res"onsa!es de "ro.eso de nego.io de!er,n de-inir os .riterios

de in-orma.i/n ?ni.os "ara .ada entrega!e 5 os do.umentos aso.iados en e desarroo

de sistemas) .on e "ro"/sito de em"ear una metodoog2a de desarroo de so-t;are.ono.ida "or as !uenas "r,.ti.as e integrara .omo "arte de a "ani-i.a.i/n de

"ro5e.tos0

E re"ositorio de a em"resa de!er2a ser organi1ado de a siguiente manera

Figura 01: modelo de organizacin del repositorio de la empresa


9/36

MODELO DE MADURE'

Grado de 3ad&re= a2t&a$+

E "ro.eso de-inir a ar6uite.tura de In-orma.i/n en em"resa se en.uentra en e ni8e % )"or6ue no se a.o"a a un est,ndar uni-i.ado en a entrega de do.umentos en e desarroo de

sistemas0

O#4et!5os "o 2&38$!dos+

A "esar 6ue reai1an "ro.esos intuiti8os no se tiene una "o2ti.a -orma "ara organi1ar)

estandari1ar 5 nom!rar .ada arte-a.to generado "or "ro5e.to de desarroo de sistemas 5 a

do.umenta.i/n 6ue se genera en e desarroo tiene 8arias "antias o est,ndares) o 6ue @a.e

mu5 di-2.i a do.umenta.i/n de os sistemas desarroados0

Re2o3e"da2!o"es 8ara e$ "&e5o "!5e$ de 3ad&re=

Se "ro"one a ada"ta.i/n a as normas "resentadas "ara a do.umenta.i/n 5 e seguimiento a

un est,ndar ?ni.o de do.umenta.i/n

Es ne.esario 6ue e "ersona siga os est,ndares de do.umenta.i/n "resentado en a

"resenta.i/n de .ada entrega!e0

As2 mismo se "ro"one un modeo de "anes de a..i/n 6ue se in.u5e .omo ane9o "ara a

do.umenta.i/n PERBIL DE PROECTO ' V'0' %&'&&'0do.90

NI,ELES DE LOS NI,ELES DE MADURE' N!5e$ de3ad&re= a2t&a$

NI,EL ?No E9iste

NI,EL *Ini.ia AdFo.

NI,EL /Re"eti!e "ero Intuiti8o

9

NI,EL >De-inido

NI,EL @Administrado 5 >edi!e

NI,EL O"timi1ado

Tabla 1: nivel de madurez PO1

A22!o"es a rea$!=ar 8ara s!r a$ s!&!e"te "!5e$ de 3ad&re=


10/36

De-ini.i/n de un modeo de in-orma.i/n0 Tener .ada do.umento ordenado en !ase a aun est,ndar0 Ordenar e re"ositorio de a in-orma.i/n .on a do.umenta.i/n 6ue se genera en e

desarroo de sistemas0

Figura 02: nivel de madurez PO2

2.1.2. PO8 A+n-&!#! "# '#"#

Se de!e ea!orar 5 mantener un sistema de administra.i/n de .aidad) e .ua in.u5a "ro.esos

5 est,ndares "ro!ados de desarroo0 Esto se -a.iita "or medio de a "anea.i/n) im"anta.i/n 5

mantenimiento de sistema de administra.i/n de .aidad0 Los re6uerimientos de .aidad se

de!en mani-estar 5 do.umentar .on indi.adores .uanti-i.a!es 5 a.an1a!es0 La administra.i/n

de .aidad es esen.ia "ara garanti1ar 6ue TI est, dando 8aor a nego.io0

Satis-a.iendo: La me*ora .ontinua 5 medi!e de a .aidad de os ser8i.ios "restados

"or TI0 Se ogra .on: La de-ini.i/n de est,ndares 5 "r,.ti.as de .aidad0 Se mide .on: La -re.uen.ia de a.ti8idades de 8aida.i/n de datos0 O!*eti8os de .ontro:

PO+* S!ste3a de Ad3!"!stra2!7" de Ca$!dad

Esta!e.er 5 mantener un Q>S 6ue "ro"or.ione un en-o6ue est,ndar) -orma 5 .ontinuo) .on

res"e.to a a administra.i/n de a .aidad) 6ue est aineado .on os re6uerimientos de

nego.io0 E Q>S de!e de-inir a estru.tura organi1a.iona "ara a administra.i/n de a .aidad)

.u!riendo roes) as tareas 5 as res"onsa!iidades0

S!t&a2!7" a2t&a$+Se .uenta .on un sistema de gesti/n de .aidad en e "ro.eso de "ro5e.tos 5 tam!in en e


11/36

desarroo de sistemas0Re2o3e"da2!7"0Aseguramiento de a .aidad) mediante a e8aua.i/n de os "ro.esos 5 e8aua.i/n de os

"rodu.tos desarroados0

PO+/ Est"dares 9 Pr2t!2as de Ca$!dad

Identi-i.ar 5 mantener est,ndares) "ro.edimientos 5 "r,.ti.as "ara os "ro.esos .a8e de TI

"ara orientar a a organi1a.i/n @a.ia e .um"imiento de Q>S0

S!t&a2!7" a2t&a$+

Se .uenta .on "ro.edimientos -ormaes en e desarroo de "ro5e.tos) "ero no se .uenta .on

una metodoog2a de desarroo de so-t;are 6ue "ermita a os desarroadores seguir "ro.esosmetodo/gi.os0Re2o3e"da2!7"+

Reai1ar .ada "ro5e.to de a.uerdos a os "ro.esos: Gesti/n de Pro5e.to e Im"anta.i/n de

So-t;are) e in.uir metodoog2as de desarroo de so-t;are) se "ro"one a metodoog2a

SCRU> )5a 6ue se .uenta .on un !uen e6ui"o de tra!a*o0

PO+> Est"dares de Desarro$$o 9 de Ad%&!s!2!7"

Ado"tar 5 mantener est,ndares "ara todo e .i.o de 8ida) @asta e ?timo entrega!e e in.uir a

a"ro!a.i/n en "untos .a8e .on !ase en .riterios de a.e"ta.i/n a.ordados0

S!t&a2!7" a2t&a$+No se em"ean .on metodoog2as de desarroo de so-t;are) "ara e desarroo de sistemas o

6ue o.asiona 6ue a do.umenta.i/n de os sistemas tenga 8arias "antias 5 -ormatos distintos

"ara .ada "ro.eso0Re2o3e"da2!7"0Reai1ar .ada "ro5e.to de a.uerdos a os "ro.esos: Gesti/n de Pro5e.to e Im"anta.i/n de

So-t;are

PO+6 Med!2!7" Mo"!toreo 9 Re5!s!7" de $a Ca$!dad

De-inir) "antear e im"ementar medi.iones "ara monitorear e .um"imiento .ontin?o de Q>S)

as2 .omo e 8aor 6ue e Q>S "ro"or.iona0


12/36

S!t&a2!7" a2t&a$+

L2der de "ro5e.to 5 e gerente de te.noog2as de a in-orma.i/n reai1an e seguimiento 5

monitoreo de as tareas o a.ti8idades reai1adas "or os desarroadores0Re2o3e"da2!7"+

Reai1ar .ada "ro5e.to de a.uerdos a os "ro.esos: Gesti/n de Pro5e.to e Im"anta.i/n deSo-t;are

Mode$o de Mad&re=

Grado de madurez. El proceso de Adinistrar la calidad se encuentra en el ni)el ."

b!eti"os no cumplidos.

A pesar de /ue se cuenta con un sistea +- istea de Gesti!n de 9alidadF$ el desarrollo de

sisteas no cuenta con una etodologa de desarrollo de soft0are aceptada & /ue el desarrollo de

sisteas no se adecua a las 7uenas practicas

#ecomendaciones$

Iplantar una etodologa de desarrollo de soft0are en la epresa & )er =Planes de accin para la

adecuacin a la metodologa SCRUM en el desarrollo de sistemas.pdf?"

NIVELES DE LOS NIVELES DE >ADURE CU>PLENIVEL &

No E9isteNIVEL '

Ini.ia AdFo.NIVEL %

Re"eti!e "ero Intuiti8o

H

NIVEL

De-inido

NIVEL

Administrado 5 >edi!eNIVEL (

O"timi1ado

Acciones a realizar para subir al si%uiente ni"el de madurez


13/36

Ade.ua.i/n a una metodoog2a de desarroo de so-t;are .omo "or e*em"o SCRU>

una metodoog2a re.ono.ida "or as !uenas "ra.ti.as0 Est,ndar uni-i.ada "ara e desarroo de as tareas0 Seguimiento 5 .ontro seg?n e sistema de gesti/n de .aidad de a em"resa0

2.1.3. PO1 A+n-&!#! P!*/e'&*-

Se !us.a determinar un mar.o de tra!a*o de administra.i/n de "ro5e.tos "ara a

administra.i/n de todos os "ro5e.tos) garanti1ando a .orre.ta asigna.i/n de "rioridades 5 a

.oordina.i/n de todos os "ro5e.tos0 E mar.o de tra!a*o de!e in.uir un "an genera)

asigna.i/n de re.ursos) de-ini.i/n de entrega!es) a"ro!a.i/n de os usuarios) un en-o6ue de

entrega "or -ases en e desarroo de os sistemas) e aseguramiento de a .aidad) un "an

-orma de "rue!as) re8isi/n de "rue!as 5 "ostuni.i"a de Are6ui"a ) 6ue satis-a.en as

e9"e.tati8as de os interesadosJ a tiem"o) dentro de "resu"uesto) 5 .on satis-a..i/n de os

re6uerimientosK0

Por.enta*e de os "ro5e.tos 6ue siguen est,ndares 5 "r,.ti.as de administra.i/n de "ro5e.tos0


IDOBJETI,O DE CONTROL O#4et!5o de 2o"tro$PO'&0' >ar.o de Tra!a*o "ara a Administra.i/n de

Pro5e.tosPO'&0% Pan Integrado de Pro5e.toPO'&0 Re.ursos de "ro5e.to

PO'&0 Administra.i/n de Riesgos de Pro5e.to

PO*?+* Mar2o de Tra#a4o 8ara $a Ad3!"!stra2!7" de Pro9e2tos

La de-ini.i/n de un mar.o de tra!a*o "ara a Administra.i/n de "ro5e.tos 6ue de-ina e "ro5e.to

5 os 2mites de a administra.i/n de "ro5e.tos) as2 .omo as metodoog2as ado"tadas en .ada

"ro5e.to0

S!t&a2!7" a2t&a$+Los in-ormes de a8an.es) 5 a e8aua.i/n de seguimiento se reai1a em"eando mtri.as de


14/36

rendimiento .ada semana 5 se esta!e.e as tareas designadas a .ada "rogramador0Re2o3e"da2!7"0Integrar e modeo de e8aua.i/n 6ue "oseen en a gesti/n de "ro5e.tos .on "ro.esos de

e8aua.i/n en "ro5e.tos de so-t;are

PO*?+/ P$a" I"terado de$ Pro9e2to

Esta!e.er un "an integrado "ara e "ro5e.to) a"ro!ado 5 -orma J6ue .u!ra os re.ursos de

nego.io 5 de os sistemas de in-orma.i/nK "ara guiar a e*e.u.i/n 5 e .ontro de "ro5e.to a o

argo de a 8ida de "ro5e.to0

S!t&a2!7" a2t&a$+Se esta!e.e mediante e *e-e de te.noog2as de a in-orma.i/n 5 os interesados "ara os

re.ursosRe2o3e"da2!7"+Considerar 6ue .ada do.umento de!e ser guardado en e re"ositorio de a em"resa0

PO*?+> Re2&rsos de$ Pro9e2to

De-inir as res"onsa!iidades) rea.iones) autoridades 5 .riterios de desem"e7o de os

miem!ros de e6ui"o de "ro5e.to 5 es"e.i-i.aras !ases "ara ad6uirir 5 asignar a os miem!ros

.om"etentes de e6ui"o 5o a os .ontratistas a "ro5e.to0 La o!ten.i/n de "rodu.tos 5 ser8i.ios

re6ueridos "ara .ada "ro5e.to se de!e "anear 5 administrar "ara a.an1ar os o!*eti8os de

"ro5e.to0

S!t&a2!7" a2t&a$+En e desarroo de sistemas .ada desarroador .um"e e "a"e de anaista) dise7ador)

"rogramador) tester0Re2o3e"da2!7"+La em"resa de!er2a o"tar "or a es"e.iai1a.i/n de su "ersona en as tareas de desarroo de

ta manera 6ue tenga "ersona e9"erto "ara e desarroo de sistemas0

PO*?+@ Ad3!"!stra2!7" de R!esos de$ Pro9e2to

Eiminar o minimi1ar os riesgos es"e.2-i.os aso.iados .on os "ro5e.tos indi8iduaes "or medio

de un "ro.eso sistem,ti.o de "anea.i/n) identi-i.a.i/n) an,isis) res"uesta) monitoreo 5 .ontro

de as ,reas o e8entos 6ue tengan e "oten.ia de o.asionar .am!ios no deseados0 Los riesgos

a-rontados "or e "ro.eso de administra.i/n de "ro5e.tos 5 e "rodu.to entrega!e de "ro5e.to

se de!en esta!e.er 5 registrar de -orma .entra0


15/36

S!t&a2!7" a2t&a$+Se .uenta .on un "an de gesti/n de riesgos) 5a 6ue a em"resa .onsidera mu5 im"ortante

tomar en .uenta "anes de .ontingen.ia ) 5a 6ue os im"a.tos de riesgo "uede tener un im"a.to

.onsidera!e en e "ro5e.toRe2o3e"da2!7"+

Integra.i/n de os "anes de gesti/n de riesgos .on os "rin.i"aes riesgos en desarroo de"ro5e.tos de so-t;are0

Mode$o de 3ad&re=

DO>INIO: PLANEACION ORGANIACINPO'&: Administrar "ro5e.tosNI,ELES DE LOS NI,ELES DE

MADURE'

CU>PLE O+SERVACIONES

NI,EL ?No E9iste

GRADO DEMADURE'+

E "ro.eso de Administrar

Pro5e.tos se en.uentra en e ni8e

0

OBJETI,OS NO

CUMPLIDOS+

A "esar de 6ue en a em"resa e"ro.eso 5 a metodoog2a de

administra.i/n de "ro5e.tos @an sido

esta!e.idos 5 .omuni.ados0 La ata

dire..i/n de nego.io 5 de TI)

em"ie1an a .om"rometerse 5 a

"arti.i"ar en a administra.i/n de os

"ro5e.tos) "ero no se .uentan .on

re8isiones de mtri.as orientadas

.on a ingenier2a de so-t;are 5 a

do.umenta.i/n de e..iones

a"rendidas0

Re2o3e"da2!o"es: Re8isar e

modeo =Planes de accin para la

adecuacin a la metodologa

SCRUM en el desarrollo de

sistemas.pdf?" para la adinistraci!n

de pro&ectos de soft0are"

NI,EL *

Ini.ia AdFo.

NI,EL /


NI,EL >

De-inido H

NI,EL @

Administrado 5 >edi!e

NI,EL

O"timi1ado


16/36

A..iones a reai1ar "ara su!ir a siguiente ni8e de madure1

Integra.i/n .on modeos de a ingenier2a de so-t;are "ara e desarroo de so-t;are0 Esta!e.er 5 mantener un sistema de monitoreo) medi.i/n 5 administra.i/n de

sistemas0 Asegurar a "arti.i"a.i/n 5 .om"romiso de os interesados de "ro5e.to0 Asegurar e .ontro e-e.ti8o de os "ro5e.tos 5 de os .am!ios a "ro5e.to0

/+/+ Ad%&!r!r e !38$e3e"tar+

2.2.1. AI2 A$%!! / M#n&ene! S*&0#!e A"'#&*

.rea de o8ort&"!dad: Mrea de Desarroo "or te.noog2as0

Las a"i.a.iones de!en de estar dis"oni!es de a.uerdo .on os re6uerimientos de nego.io0

Este "ro.eso .u!re e dise7o de as a"i.a.iones) a in.usi/n a"ro"iada de .ontroes a"i.ati8os

5 re6uerimientos de seguridad) 5 e desarroo 5 a .on-igura.i/n en si de a.uerdo a os

est,ndares0 Esto "ermite a as organi1a.iones a"o5ar a o"erati8idad de nego.io de -orma

a"ro"iada .on as a"i.a.iones automati1adas .orre.tas

Sat!s1a2!e"doConstruir a"i.a.iones de a.uerdo .on os re6uerimientos de nego.io

@a.indoas a tiem"o 5 a un .osto ra1ona!e en-o.,ndose en garanti1ar 6ue e9ista un "ro.eso

de desarroo o"ortuno .on-ia!e0

Se $ora 2o": Tradu..i/n de re6uerimientos de nego.io a es"e.i-i.a.iones de dise7o)

ad@esi/n a os est,ndares de desarroo "ara todas as modi-i.a.iones 5 a se"ara.i/n de asa.ti8idades de desarroo) de "rue!as 5 o"erati8as


17/36

Se 3!de 2o": E n?mero de "ro!emas en "rodu..i/n "or a"i.a.i/n) "or.enta*e de usuarios

satis-e.@os .on a -un.ionaidad


AI/+* D!se Co"tro$ 9 Pos!#!$!dad de A&d!tar $as A8$!2a2!o"es

.rea de o8ort&"!dad: Mrea de Desarroo0

Im"ementar .ontroes de nego.io) .uando a"i6ue) en .ontroes de a"i.a.i/n automati1ados

ta 6ue e "ro.esamiento sea e9a.to) .om"eto) o"ortuno) autori1ado 5 audita!e0


18/36

Situacin Actual Recomendacin

Fa5 un "ro.edimiento "ara tratar aseguridad de a in-orma.i/n) @a5 un ,reaen.argada de a Auditoria interna de a CA=AAREQUIPA) 5 en e ,rea de "rodu.ti8idad see8a a .a!o as "rue!as de as a"i.a.iones0

EL ,rea de "rodu.ti8idad adem,s de reai1ar

as "rue!as de ./digo de!e a5udar a os

desarroadores a o"timi1ar su ./digo)

"ro"oner me*oras 5 en agunos .asos

.a"a.itar a os desarroadores nue8os en a

institu.i/n0

AI/+@ Se&r!dad 9 D!s8o"!#!$!dad de $as A8$!2a2!o"es

.rea de o8ort&"!dad: Mrea de Desarroo "or te.noog2as0

A!ordar a seguridad de as a"i.a.iones 5 os re6uerimientos de dis"oni!iidad en res"uesta aos riesgos identi-i.ados 5 en 2nea .on a .asi-i.a.i/n de datos) a ar6uite.tura de a

in-orma.i/n) a ar6uite.tura de seguridad de a in-orma.i/n 5 a toeran.ia a riesgos de a

organi1a.i/n0


La seguridad es tratada "or e ,rea deSeguridad de a in-orma.i/n) se en.entra un"ro.eso detaado0

Estandari1ar as "o2ti.as de seguridad "ara

todas as "ersonas

AI/+ Co"1!&ra2!7" e I38$a"ta2!7" de So1t;are A8$!2at!5o Ad%&!r!do


Con-igurar e im"ementar so-t;are de a"i.a.iones ad6uiridas "ara .onseguir os o!*eti8os de

nego.io0


Se en.uentran en "ro.eso de im"anta.i/nde so-t;are ad6uirido 6ue mane*a e CORE-inan.iero +ANTOTAL

Ca"a.itar a os desarroadores en gene9us

"ara me*orar a im"anta.i/n de esta

te.noog2a ad6uirida0

AI/+6 A2t&a$!=a2!o"es I38orta"tes e" S!ste3as E:!ste"tes



19/36

En .aso de .am!ios im"ortantes a os sistemas e9istentes 6ue resuten en .am!ios

signi-i.ati8os a dise7o a.tua 5o -un.ionaidad) seguir un "ro.eso de desarroo simiar a

em"eado "ara e desarroo de sistemas nue8os0

Situacin Actual RecomendacinSe sigue un "ro.eso de a.tuai1a.i/n de+ANTOTAL "ero no se siguen todos os"asos de un desarroo norma a medida see8a a .a!o m,s .omo un a"aga -uegos0

>e*orar os "ro.esos de a.tuai1a.i/n de

so-t;are ad6uirido) a im"ementar una

metodoog2a de desarroo 6ue sea

im"antando en os do.umentos t.ni.os de

a CA=A AREQUIPA

AI/+ Desarro$$o de so1t;are a8$!2at!5o


Garanti1ar 6ue a -un.ionaidad de automati1a.i/n se desarroa de a.uerdo .on as

es"e.i-i.a.iones de dise7o 5o -un.ionaidad) desarroo 5 do.umenta.i/n) os re6uerimientos

de .aidad 5 est,ndares de a"ro!a.i/n0 Asegurar 6ue todos os as"e.tos egaes 5

.ontra.tuaes se identi-i.an 5 dire..ionan "ara e so-t;are a"i.ati8o desarroado "or ter.eros0


En as tareas de desarroo se en.uentran os"ro.esos !ien de-inidos) .on a de!idado.umenta.i/n) "ero -ata me*orar en astareas de .odi-i.a.i/n0

Las tareas de .odi-i.a.i/n de!en ser

me*oradas a im"antar una metodoog2a a su

"ro.eso de desarroo de so-t;are0

AI/+ Ase&ra3!e"to de $a 2a$!dad de so1t;are

.rea de o8ort&"!dadMrea de Desarroo "or te.noog2as0

Desarroar) Im"ementar os re.ursos 5 e*e.utar un "an de aseguramiento de .aidad de

so-t;are) "ara o!tener a .aidad 6ue se es"e.i-i.a en a de-ini.i/n de os re6uerimientos 5 en

as "o2ti.as 5 "ro.edimientos de .aidad de a organi1a.i/n0


Se tiene un "ro.eso de-inido de desarroo deso-t;are) "ero @a5 "asos 6ue se o!8ian "ora "remura de terminar e so-t;are a tiem"o0

Se de!e de terminar de .um"ir todos os

"ro.esos "ara as"irar a una .erti-i.a.i/n

C>>I ni8e 0

AI/+ Ad3!"!stra2!7" de $os re%&er!3!e"tos de $as a8$!2a2!o"es


20/36

.rea de o8ort&"!dadMrea de Desarroo0

Seguir e estado de os re6uerimientos indi8iduaes Jin.u5endo todos os re6uerimientos

re.@a1adosK durante e dise7o) desarroo e im"ementa.i/n) 5 a"ro!ar os .am!ios a os

re6uerimientos a tra8s de un "ro.eso de gesti/n de .am!ios esta!e.ido0


Se tienen agunos "ro!emas ensin.roni1a.i/n .on os usuarios de+ANTOTAL "ara a toma de re6uerimientos 5"or o tanto retrasos en e desarroo

Se de!en me*orar as "o2ti.as de.omuni.a.i/n .on os usuarios de+ANTOTAL "ara 6ue a toma dere6uerimientos sea e-i.iente 5 e-i.a10

AI/+*? Ma"te"!3!e"to de So1t;are A8$!2at!5o

.rea de o8ort&"!dadMrea de Desarroo0

Desarroar una estrategia 5 un "an "ara e mantenimiento de a"i.a.iones de so-t;are0


Se .uenta .on un "an "ara e mantenimiento >e*orar este "an a in.uire una

metodoog2a de desarroo de so-t;are0

DOMINIO ADQUIRIR E IMPLEMENTARAI/ Ad%&!r!r 9 3a"te"er so1t;are a8$!2at!5o+NI,ELES DE LOS NI,ELES DEMADURE'


NI,EL ?No E9iste

GRADO DE >ADURE0E "ro.eso de-inir a ar6uite.turade In-orma.i/n0

O+=ETIVOS NO CU>PLIDOS0No se .uenta .on a .erti-i.a.i/nC>>I ni8e 0

Re.omenda.iones: se de!e.um"ir todos os "ro.esos 5"ro.edimientos esta!e.idos ensu sistema interno de"ro.edimientos CA=ANET00

NI,EL *Ini.ia AdFo.

NI,EL /Re"eti!e "ero Intuiti8o

NI,EL >De-inido

H


NI,EL O"timi1ado


21/36

/+>+ E"trea 9 so8orte

2.3.1. DS5 G#!#n&4#! "# -e%!# e "*- --&e+#-

La ne.esidad de mantener a integridad de a in-orma.i/n 5 de "roteger os a.ti8os de TI)

re6uiere de un "ro.eso de administra.i/n de a seguridad0 Este "ro.eso in.u5e reai1ar

se..iones .orre.ti8as so!re as de!iidades o in.identes de seguridad identi-i.ados0 Una

e-e.ti8a administra.i/n de a seguridad "rotege todos os a.ti8os de TI "ara minimi1ar e

im"a.to en e nego.io .ausado "or 8unera!iidad o in.identes de seguridad 6ue "uedan e9istir0

Co"tro$ so#re e$ 8ro2eso TI de

Garanti1ar a seguridad de os sistemas0

Q&e sat!s1a2e e$ re%&er!3!e"to de$ "eo2!o de TI 8ara

>antener a integra.i/n de a in-orma.i/n 5 de a in-raestru.tura de "ro.esamiento 5 minimi1ar

e im"a.to de as 8unera!iidades e in.identes de seguridad0

E"1o2"dose e"

La de-ini.i/n de "o2ti.as "ro.edimientos 5 est,ndares de seguridad de TI 5 en e monitoreo)

dete..i/n) re"orte 5 resou.i/n de as 8unera!iidades e in.identes de seguridad

Se $ora 2o"

E entendimiento de os re6uerimientos) 8unera!iidades 5 amena1as de seguridad0 La administra.i/n de identidades 5 autori1a.iones de os usuarios de -orma

estandari1ada0 Pro!ando a seguridad de -orma reguar0

0 se 3!de 2o"

E numero in.identes 6ue da7an a re"uta.i/n .on e "?!i.o0 E n?mero de sistemas no se .um"en os re6uerimientos de seguridad0 E n?mero de 8ioa.i/n en a segrega.i/n de tareas0


22/36

OBEJTI,OS DE CONTROL

DS+* ADMINISTRACI-N DE LA SEGURIDAD DE TI

Administrar a seguridad de TI a ni8e m,s a"ro"iado dentro de a organi1a.i/n) de manera 6ueas a..iones de administra.i/n de a seguridad estn en 2nea .on os re6uerimientos de

nego.io0

Situacin actual Recomendacin

Se cuenta con herramientas de control deseguridad, que incluyen formatos que se debencumplir a diario por cada empleado.

Formalizar la documentacin que registra laadministracin de la seguridad

DS+/ PLAN DE SEGURIDAD DE TI

Trasadar os re6uerimientos de in-orma.i/n de nego.io) a .on-igura.i/n de TI) os "anes de

a..i/n de riesgo de a in-orma.i/n 5 a .utura so!re a seguridad en a in-orma.i/n a un "an

go!a de seguridad de TI0 E "an se im"ementa en "o2ti.as 5 "ro.edimientos de seguridad en

.on*unto .on in8ersiones a"ro"iadas en ser8i.ios) "ersona) so-t;are 5 @ard;are0 Las "o2ti.as

5 "ro.edimientos de seguridad se .omuni.an a os interesados 5 a os usuarios0


La empresa tiene un plan de seguridad, peroaun no esta correctamente definido, es decirmuchas veces el plan se ejecuta por practica.

Formalizar el !lan de seguridad !ara evitarambig"edades

DS+> ADMINITRACION DE IDENTIDAD

Asegurar 6ue todos os usuarios Jinternos) e9ternos 5 tem"oraesK 5 su a.ti8idad en sistemas

de TI Ja"i.a.i/n de nego.io) entorno de TI) o"era.i/n de sistemas) desarroo 5 mantenimientoK

de!en ser identi-i.a!es de manera ?ni.a0 Permitir 6ue e usuario se identi-i6ue a tra8s de

me.anismos de autenti.a.i/n0 Con-irmar 6ue os "ermisos de a..eso de usuario a sistema 5os datos est,n en 2nea .on as ne.esidades de nego.io de-inidas 5 do.umentadas 5 6ue os

re6uerimientos de tra!a*o est,n ad*untos a as identidades de usuario0 Asegurar 6ue os

dere.@os de a..eso de usuario se soi.itan "or a geren.ia de usuario) a"ro!ados "or e

res"onsa!e de sistema e im"ementado "or a "ersona res"onsa!e de a seguridad0 Las

identidades de usuario 5 os dere.@os de a..eso se mantienen en un re"ositorio .entra0 Se

des"iegan t.ni.as e-e.ti8as en .oste 5 "ro.edimientos renta!es) 5 se mantienen a.tuai1ados

"ara esta!e.er a identi-i.a.i/n de usuario) reai1ar a autenti.a.i/n 5 @a!iitar os dere.@os de

a..eso0


23/36


Todos los usuarios (internos, eternos ytemporales! y su actividad en sistemas de T"(aplicacin de negocio, entorno de T" nocuentan con documentacin #nica.

Los permisos son solicitados a los jefe deproyectos, no eiste documentacin por medio

#rear una nueva documentacin !araidenti$icar

DS+@ ADMINISTRACI-N DE CUENTAS DEL USUARIO

Garanti1ar 6ue a soi.itud) esta!e.imiento) emisi/n) sus"ensi/n) modi-i.a.i/n 5 .ierre de

.uentas de usuario 5 de os "ri8iegios rea.ionados) sean tomados en .uenta "or a geren.ia

de .uentas de usuario0 De!e in.uirse un "ro.edimiento 6ue des.ri!a a res"onsa!e de os

datos o de sistema .omo otorgar os "ri8iegios de a..eso0 Estos "ro.edimientos de!en a"i.ar

"ara todos os usuarios) in.u5endo administradores Jusuarios "ri8iegiadosK) usuarios e9ternos

e internos) "ara .asos normaes 5 de emergen.ia0 Los dere.@os 5 o!iga.iones rea.ionados a

a..eso a os sistemas e in-orma.i/n de a em"resa son a.ordados .ontra.tuamente "ara todos

os ti"os de usuarios0 La geren.ia de!e e8ar a .a!o una re8isi/n reguar de todas as .uentas

5 os "ri8iegios aso.iados0


La administracin de cuentas se hace porcorreo brindado por la $aja, en el cual cada

empleado es responsable de sus accionesteniendo en cuenta que son revisadas a diariopor el personal responsable.

Automatizar el !roceso de revisin decuentas de usuario% !ara evitar con$usiones

DS+ PRUEBAS ,IGILANCIA 0 MONITOREO DE LA SEGURIDAD

Garanti1ar 6ue a im"ementa.i/n de a seguridad en TI sea "ro!ada 5 monitoreada de -orma

"ro


24/36

DS+6 DEFINICI-N DE INCIDENTE DE SEGURIDAD

Garanti1ar 6ue as .ara.ter2sti.as de os "osi!es in.identes de seguridad sean de-inidas 5

.omuni.adas de -orma .ara) de manera 6ue os "ro!emas de seguridad sean atendidos de

-orma a"ro"iada "or medio de "ro.eso de administra.i/n de "ro!emas o in.identes0 Las.ara.ter2sti.as in.u5en una des.ri".i/n de o 6ue se .onsidera un in.idente de seguridad 5 su

ni8e de im"a.to0 Un n?mero imitado de ni8ees de im"a.to se de-inen "ara .ada in.idente) se

identi-i.an as a..iones es"e.2-i.as re6ueridas 5 as "ersonas 6ue ne.esitan ser noti-i.adas0


&ara cualquier incidente de seguridad haypasos a seguir, el problema es que no secuenta con una documentacin que indiqueesos procedimientos.

&ocumentacin debida acerca de losincidentes que !osiblemente !uedan ocurrir

DS+ PROTECCION DE LA TECNOLOGIA DE SEGURIDAD

Garanti1ar 6ue a te.noog2a rea.ionada .on a seguridad sea resistente a sa!ota*e 5 no re8ee

do.umenta.i/n de seguridad inne.esaria0


La empresa cuenta con varias aplicacionespero no garanti'a la resistencia al sabotaje o

revelacin de documentacin de seguridadinnecesaria.

Pruebas !eridicas de monitoreo

DS+ ADMINISTRACI-N DE LLA,ES CRIPTOGR.FICAS

Determinar 6ue as "o2ti.as 5 "ro.edimientos "ara organi1ar a genera.i/n) .am!io)

re8o.a.i/n) destru..i/n) distri!u.i/n) .erti-i.a.i/n) ama.enamiento) .a"tura) uso 5 ar.@i8o de

a8es .ri"togr,-i.as estn im"antadas) "ara garanti1ar a "rote..i/n de as a8es .ontra

modi-i.a.iones 5 di8uga.i/n no autori1adas0


La empresa cuenta con una base de datos delas llaves criptogr%ficas pero no est%n segurasa una eposicin.

'e(orar la seguridad de las llavescri!togr)$icas% !oni*ndolas enalmacenamientos m)s seguros

DS+ PRE,ENCION DETECCION 0 CORRECCION DE SOFTARE MALICIOSO

Poner medidas "re8enti8as) dete.ti8as 5 .orre.ti8as Jen es"e.ia .ontar .on "ar.@es de

seguridad 5 .ontro de 8irus a.tuai1adosK en toda a organi1a.i/n "ara "roteger os sistemas de

a in-orma.i/n 5 a a te.noog2a .ontra ma;are J8irus) gusanos) s"5;are) .orreo !asuraK0


25/36


La empresa cuenta con antivirus, y conhardare actuali'ado.

&ocumentacin debida acerca de !ruebasres!ectivas

DS+*? SEGURIDAD DE LA RED

Uso de t.ni.as de seguridad 5 "ro.edimientos de administra.i/n aso.iados J"or e*em"o)

-ire;as) dis"ositi8os de seguridad) segmenta.i/n de redes) 5 dete..i/n de intrusosK "ara

autori1ar a..eso 5 .ontroar os -u*os de in-orma.i/n desde 5 @a.ia as redes0


La empresa cuenta con una red local propia dela empresa, y con coneiones )&* para unamayor seguridad al momento de conectarse.

Tener un documentacin + diagramas de lacon$iguracin de la red

A"$!s!s

Seg?n todo o e9"uesto en os o!*eti8os de .ontro 5 as @erramientas e8auadas se "uede

.on.uir a em"resa tiene .aro 6ue es una institu.i/n 6ue mane*a dinero de "ersonas 5 6ue "or

o tanto es "rimordia 6ue sus sistemas sean seguros tanto interno .omo e9terno a igua 6ue as

.osas -2si.as) "ara .uenta .on do.umenta.i/n) "anes 5a ea!orados "ero e "ro!ema es 6ue

no se es da e uso "ara e 6ue -ueron .reados) di.@o esto "odemos esta!e.er 6ue e ni8e de

madure1 a.tua es e NIVEL 0

Mode$o de 3ad&re=

DO>INIO: ENTREGA SOPORTEDS Gara"t!=ar $a se&r!dad de $os s!ste3asNI,ELES DE LOS NI,ELES DE

MADURE'


NI,EL ?

No E9iste

GRADO DE

MADURE'+

E "ro.eso de Garanti%ar la

seguridad de los sisteas se

encuentra en el ni)el 4

OBJETI,OS NO

CUMPLIDOS+

A "esar 6ue e "ro.eso 5 a

metodoog2a de administra.i/n de

"ro5e.tos @an sido esta!e.idos 5

NI,EL *

Ini.ia AdFo.

NI,EL /


NI,EL >

De-inidoH

NI,EL @


26/36

Administrado 5 >edi!e .omuni.ados+ No .uenta .on

do.umenta.i/n de a..iones o

8eri-i.a.iones "eri/di.as de estado

a.tua de a seguridad de a

in-orma.i/n 5 a em"resa misma0

RECOMENDACIONES

Cum"ir .on un est,ndar de

seguridad "ara as2 @a.er mas

seguro as a..iones 6ue su.eden

en a em"resa

NI,EL

O"timi1ado

ALCANCE DE SIGUIENTE NI,EL DE MADURE'

Para u!i.arnos en e siguiente ni8e de madure1 Ni8e ) es ne.esario seguir os "asos

des.ritos en e gr,-i.o) .omo son:o >a"ear a in-raestru.tura de Seguridad .on os ser8i.ios !rindados0o Esta!e.er 5 mantener os "ro.edimientos 6ue a!ar.an garanti1ar a seguridado Identi-i.ar os ti"os de .ostos 6ue re"resenta me*orar a seguridad 5 .uanto

.uesta mantenero0


27/36

Es de.ir se ne.esita de-inir "rin.i"amente .uaes son os "ro.edimientos 6ue se de!en

seguir "ara garanti1ar seguridad dentro no soo e ,rea de desarroo sino tam!in a

em"resa misma0

2.3.2. DS6 E%'#! / en&!en#! # "*- %-%#!*-.rea de o8ort&"!dadGeren.ia Genera0

Para una edu.a.i/n e-e.ti8a de todos os usuarios de sistemas de TI) in.u5endo a6ueos

dentro de TI) se re6uieren identi-i.ar as ne.esidades de entrenamiento de .ada gru"o de

usuarios0 Adem,s de identi-i.ar as ne.esidades0 Se de!e tener un "rograma e-e.ti8o de

entrenamiento in.rementando e uso e-e.ti8o de a te.noog2a a disminuir errores)

in.rementando a "rodu.ti8idad 5 e .um"imiento de os .ontroes .a8es taes .omo as

medidas de seguridad de os usuarios0

Sat!s1a2!e"doE uso e-e.ti8o 5 e-i.iente de sou.iones 5 a"i.a.iones te.no/gi.as 5 e

.um"imiento de usuario .on as "o2ti.as 5 "ro.edimientos0

Se $ora 2o"

Esta!e.er un "rograma de entrenamiento0 Organi1ar e entrenamiento0 Im"artir e entrenamiento0

>onitorear 5 re"ortar a e-e.ti8idad de entrenamiento0

Se 3!de 2o"

Por.enta*e de satis-a..i/n de os interesados .on e entrenamiento re.i!ido0 La"so de tiem"o entre a identi-i.a.i/n de a ne.esidad de entrenamiento 5 a

im"arti.i/n de mismo0


DS+* Ide"t!1!2a2!7" de Ne2es!dades de E"tre"a3!e"to 9 Ed&2a2!7"

Esta!e.er 5 a.tuai1ar de -orma reguar un "rograma de entrenamiento "ara .ada gru"o

o!*eti8o de em"eados) 6ue in.u5a: Estrategias 5 re6uerimientos a.tuaes 5 -uturos de

nego.io) im"ementa.i/n de nue8o so-t;are e in-raestru.tura de TI0


$ada personal nuevo es capacitado por susupervisor durante un periodo corto de tiempo,despu+s cada personal se auto capacitacin.

Se debe destinar m)s ,oras de ca!acitacin!ara evitar una auto ca!acitacin%de!endiendo de la necesidad del !ro+ecto!uede ser me(or contratan un entidad


28/36

tercera !ara las ca!acitaciones

DS+/ I38art!2!7" de E"tre"a3!e"to 9 Ed&2a2!7"

Identi-i.ar os me.anismos de im"arti.i/n) designando maestros) organi1ando entrenamientos

.on e tiem"o su-i.iente) tom,ndose notas de registro) asisten.ia 5 de as e8aua.iones de

desem"e7o0


l proceso de capacitacin es llevada portareas dejadas al personal que se est%capacitando, no se cuenta con manualesprevios generados por personal antescapacitado.

-enerar manuales de la ca!acitacin% !araque el nuevo !ersonal solo lo lea + evitetiem!o de investigacin !ara su autoca!acitacin .n algunos casos esrecomendable contratar una entidad tercera

!ara ca!acitar al !ersonal en el uso dealguna nueva tecnolog/a

DS+> E5a$&a2!7" de$ E"tre"a3!e"to Re2!#!do

A -inai1ar e entrenamiento) e8auar e .ontenido de entrenamiento res"e.to a a ree8an.ia)

.aidad) e-e.ti8idad) "er.e".i/n 5 reten.i/n de .ono.imiento) .osto 5 8aor0 Los resutados de

esta e8ou.i/n de!en .ontri!uir en a de-ini.i/n -utura de os "anes de estudio 5 de as

sesiones de entrenamiento0


Se eval#a dependiendo del tiempo y lacorrectitud, el dise-o de la tarea dejada alpersonal que se est% evaluando.

.valuar durante el !roceso de desarrollo dela tarea + no solo el !roducto $inal

A"$!s!s

Podemos o!ser8ar 6ue a em"resa "re-iere .ontratar gente 5a e9"erimentada) e "ro!ema es

6ue no siem"re se en.uentra a esas "ersonas) .omo es e .aso de sistema ad6uirido

+ANTOTAL) no @a5 "ersonas o.aes 6ue estn "re"aradas "ara esta te.noog2a) a@ora !ien a

em"resa .ontrata "ra.ti.antes a os .uaes de!e .a"a.itar siendo un tiem"o de % meses 6ue no

"ermite e ato desem"e7o de a em"resa) "or o tanto se en.uentra en una eta"a ini.ia 6ue

ser2a e NIVEL %0

Mode$o de 3ad&re=

DO>INIO: ENTREGA SOPORTEDS Edu.ar 5 Entrenar a os UsuariosNI,ELES DE LOS NI,ELES DE CU>PLE O+SERVACIONES


29/36

MADURE'NI,EL ?

No E9iste

GRADO DE MADURE'+

E "ro.eso edu.ar 5 entrenar a os

usuarios se en.uentra en e ni8e '0

A -ata de un "ro.eso organi1ado)

os em"eados @an !us.ado 5

asistido a .ursos de entrenamiento

"or su .uenta

OBJETI,OS NO CUMPLIDOS

No @a5 un "ro.eso -orma de

entrenamiento "ara e8itar a auto

De-inido

NI,EL @

Administrado 5 >edi!e

NI,EL

O"timi1ado

Matr!= RACI de a2&erdo a $os ro$es 8rese"tes e" $a e38resa

A2t!5!dades Gere"te Je1e de

8ro9e2to

Desarr

o$$ador

esIde"t!1!2ar 9 2ateor!=ar $as "e2es!dades de

2a8a2!ta2!7" de $os &s&ar!os+

R

Co"str&!r &" 8rora3a de 2a8a2!ta2!7"+ R ARea$!=ar a2t!5!dades de 2a8a2!ta2!7"+ RL$e5ar a 2a#o e5a$&a2!o"es de $a 2a8a2!ta2!7"+ RIde"t!1!2ar 9 e5a$&ar $os 3e4ores 3Htodos 9

erra3!e"tas 8ara !38art!r $a 2a8a2!ta2!7"+

R A

ALCAN'E DE SIGUIENTE NI,EL DE MADURE'


30/36

Como se indi.o en e an,isis) a em"resa @a.e .a"a.ita.iones "ero soo en e .aso de

e8entuaidades 5 .on "ra.ti.antes) o 6ue sa.amos de este es 6ue "ara me*orar a un

siguiente a ni8e de madure1 es ne.esario:o Pan -orma "ara as .a"a.ita.iones de un nue8o "ersona en as te.noog2as

6ue mane*a a em"resa0

2.3.3. DS12 A+n-&!#! e" #+7en&e -'*

La protecci!n del e/uipo de c!puto & del personal$ re/uiere de instalaciones 7ien dise8adas & 7ien

adinistradas" El proceso de adinistrar el a7iente fsico inclu&e la definici!n de los re/ueriientos

fsicos del centro de datos siteF$ la selecci!n de instalaciones apropiadas & el dise8o de proceso efecti)os

para onitorear factores a7ientales & a7ientales & adinistrar el acceso fsico" La adinistraci!n

efecti)a del a7iente fsico reduce las interrupciones del negocio ocasionadas por da8os al e/uipo de

c!puto & al personal"

&ontrol sobre el proceso '( de

Adinistraci!n del a7iente fsico"

)ue satis*ace el re+uerimiento del ne%ocio de '( para

Proteger los acti)os de c!puto & la inforaci!n del negocio inii%ando el riesgo de una interrupci!ndel ser)icio

,n*oc-ndose en

Proporcionar & antener un a7iente fsico adecuado para proteger los acti)os de 'I contra acceso$ da8o

o ro7o

Se lo%ra con

Ipleentando edidas de seguridad fsicas"


31/36

eleccionando & adinistrando las instalaciones

se mide con

'iepo sin ser)icio ocasionado por incidentes relacionados con el a7iente fsico"

NBero de incidentes ocasionados por fallas o 7rec:as de seguridad fsica"

recuencia de re)isi!n & e)aluaci!n de riesgos fsicos"

OBJETI,OS DE CONTROL

DS*/ ADMINISTRACION DEL AMBIENTE FISCO

DS*/+* Se$e22!7" 9 d!se A22eso Fs!2o


32/36

De-inir e im"ementar "ro.edimientos "ara otorgar) imitar 5 re8o.ar e a..eso a o.aes) edi-i.ios 5 ,reas

de a.uerdo .on as ne.esidades de nego.io) in.u5endo as emergen.ias0 E a..eso a o.aes) edi-i.ios 5

,reas de!e *usti-i.arse) autori1arse) registrarse 5 monitorearse0 Esto a"i.a "ara todas as "ersonas 6ue

a..edan a as instaa.iones) in.u5endo "ersona) .ientes) "ro8eedores) 8isitantes o .ua6uier ter.era

"ersona0


l acceso fsico es mediante un carnet deidentificacin en la $aja, por lo cual asumimosque no hay personas que no pertene'can a la$aja.

#rear una nueva $orma m)s segura deidenti$icacin del !ersonal !ara evitarsu!lantaciones

DS*/+@ Prote22!7" 2o"tra 1a2tores a3#!e"ta$es

Dise7ar e im"ementar medidas de "rote..i/n .ontra -a.tores am!ientaes0 De!en instaarse dis"ositi8os5 e6ui"o es"e.iai1ado "ara monitorear 5 .ontroar e am!iente0


n la caja no se ha tomado en cuenta estepunto, por lo que no se dispone de ningunainformacin que se pueda evaluar.

Tomar en cuenta que los $actoresambientales son tan im!ortantes comocualquier otro $actor% !or lo que se debe,acer un !lan ambiental en la #a(a

DS*/+ Ad3!"!stra2!7" de I"sta$a2!o"es Fs!2as

Administrar as instaa.iones) in.u5endo e e6ui"o de .omuni.a.iones 5 de suministro de energ2a) de

a.uerdo .on as e5es 5 os regamentos) os re6uerimientos t.ni.os 5 de nego.io) as es"e.i-i.a.iones

de "ro8eedor 5 os ineamientos de seguridad 5 saud0


Las instalaciones fsicas por el momento est%nen cierta forma mal posicionadas perofuncionales.

'e(orar en cuanto al orden de lasinstalaciones !ara evitar !roblemas comoincendios !or cortes circuitos !or e(em!lo

A"$!s!s

Como "odemos o!ser8ar en os o!*eti8os) a em"resa .uenta .on una am"ia .antidad de

ser8i.ios -2si.os) donde desta.amos as instaa.iones ne.esarias "ara e ,rea de desarroo) e

"ro!ema en.ontrado es 6ue no @a5 registro) un "an de ad6uisi.iones 5 no @a5 seguridad en

.uanto a as instaa.iones dentro de ,rea de desarroo) e9"oniendo a integridad de "ersona

ante una .at,stro-e "or o tanto o u!i.amos en e NIVEL % 5a 6ue a "esar de 6ue se .uenta

.on os ser8i.ios) no se .uenta .on un "an "ara "oder administraros de a manera m,s

ade.uada0


33/36

Mode$o de 3ad&re=

DO>INIO: ENTREGA SOPORTEDS'% AD>INISTRACION DEL A>+IENTE BISCONI,ELES DE LOS NI,ELES DE

MADURE'


NI,EL ?

No E9iste

GRADO DE

MADURE'+

E "ro.eso ADMINISTRACION

DEL AMBIENTE FISCO se

en.uentra en e ni8e %0 A -ata de

un "ro.eso organi1ado) no se

"uede generar una do.umenta.i/n

ade.uada0

OBJETI,OS NOCUMPLIDOS+

No @a5 un "ro.eso -orma de

a..eso -2si.o 5 administra.i/n de a

instaa.i/n0

Re2o3e"da2!o"es:

Crear do.umenta.i/n a.er.a de

"ermisos "ara a..eder a as

distintas 1onas de o.a0

NI,EL *

Ini.ia AdFo.NI,EL /

Re"eti!e "ero Intuiti8oH

NI,EL >

De-inido


NI,EL

O"timi1ado

ALCANCE DE SIGUIENTE NI,EL DE MADURE'

Como se indi.a!a es ne.esario tomar os siguientes "untos si se 6uiere me*orar e ni8e

de madure1 a ni8e :o De-inir 6u es o 6ue se re6uiere "ara a "rote..i/n -2si.a0

o Im"ementar medidas "ara e am!iente -2si.o de ,rea de desarroo0o De-inir o os sitios de am!iente -2si.o0


34/36

o Im"ementar "ro.esos "ara e mantenimiento 5 a.tuai1a.i/n de a..eso -2si.o0 Es im"ortante tam!in tener en .uenta 6ue e am!iente de tra!a*o di.e mu.@o de a

em"resa 5 a5uda a a .on-orta!iidad de "ersona0


35/36

>+ Co"2$&s!o"es 9 re2o3e"da2!o"es e"era$es

>+*+ Co"2$&s!o"es

La em"resa Ca*a Are6ui"a .onsidera mu5 im"ortante e ,rea de te.noog2as de a in-orma.i/n

.omo a"o5o a nego.io) es "or eo 6ue os "ro.esos de a em"resa se en.uentran en e ni8e

de madure1 %


36/36

BIBLIOGRA>IA

Sitio e! de Seguridad "ara TI !asado en Co!it http://redyseguridad.fi-

p.unam.mx/proyectos/cobit/index.html

En-o6ue en a Auditoria de Estados Conta!es) de a Auditoria Tradi.iona a aAuditoria Integra Ri.ardo >eini

O"era.i/n de Ser8i.ios Editoria T@e Stationer5 O--i.e Sistemas de Contro Interno "ara Organi1a.iones # Primera Edi.i/n

Os8ado Bonse.a Luna >ateria Pra.ti.o de Curso de Auditoria de Sistemas %&'(0 Normas Co!it0 URL: @tt":;;;0monogra-ias0.omtra!a*os'auditoriasistemas

CO+IT0 Carina A8arado0 URL: @tt":;;;0sides@are0netINGRID''CO+IT
http://redyseguridad.fi-p.unam.mx/proyectos/cobit/index.htmlhttp://redyseguridad.fi-p.unam.mx/proyectos/cobit/index.htmlhttp://redyseguridad.fi-p.unam.mx/proyectos/cobit/index.htmlhttp://redyseguridad.fi-p.unam.mx/proyectos/cobit/index.html

[impreso] caja arequipa - cobit.docx

Documents