proyecto

UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas

RESUMEN

Se ha desarrollado una auditoría de las TI a la empresa Plano Digital, una empresa de

servicios especializados en Impresiones en diferentes Formatos, planos y Documentos, con

el fin de aportar con posibles soluciones a inconvenientes que se encuentren en este

estudio.

Este trabajo cuenta con cinco capítulos.

En el primeo, se hace una descripción detallada del negocio, su nombre, ubicación,

estructura organizativa, entrevistas previas con el propietario, informe financiero, inventario,

etc.

El segundo, comprende la definición del problema, así como la justificación de la

metodología utilizada, mostrando cada uno de los criterios de información que son vitales

en una empresa.

En el tercer capítulo, se analiza la situación actual del sistema, infraestructura tecnológica,

para luego proceder a la realización de la auditoría, mediante los modelos de madurez y

evaluando los procesos correspondientes.

El capítulo cuatro, presenta los resultados de la auditoría realizadas a través de un informe

preliminar, un informe técnico y uno ejecutivo.

En el capítulo cinco, se procede a realizar las conclusiones y recomendaciones respectivas

de esta auditoría.


INTRODUCCIÓN

El presente documento, se enfoca en aplicar una auditoria para las TI de la empresa Plano

Digital, utilizando la Metodología COBIT, para determinar a través de los modelos de

madurez el estado actual de la empresa.

A través de los resultados de las evaluaciones, aplicaciones de métricas definidas y dichos

modelos, se lograrán emitir conclusiones y recomendaciones que mejoren el desempeño

del negocio y sus procesos garantizando la su productividad.

La aplicación de esta metodología permite mejorar y evaluar los procesos de gestión,

generar informes que le permitirán a la empresa tomar las mejores decisiones para crear

una mejora continua, resolviendo por orden de prioridad las que la gerencia encuentre más

relevantes.


CAPÍTULO 1

GENERALIDADES DE LA EMPRESA


1.1 GENERALIDADES DE LA EMPRESA

1.1.1 Datos Empresariales

Razón Social: Persona Natural “Edwin Arnulfo Leiva Espinoza”

RUC: 160981- 4981

Dirección: Semáforos de la UCA 100 mts. al lago, frente a la UNI. (Ver foto en Anexo No.1)

Fecha De Iniciación De Operaciones De La Empresa: Abril del año 2008

Fecha De Iniciación De Operaciones Del Centro De Cómputos:

No cuenta con área de centro de cómputo pues se trata de una PYME.

Estructura Legal y Marco Jurídico:

Es un negocio propio constituido como persona natural, bajo la clasificación de cuota fija.

Su Gerente Propietario es Edwin Leiva Espinoza.

Composición Del Capital:

El capital que maneja el negocio es propio del Gerente Propietario.

Giro Del Negocio:

Su giro principal es el de Servicios de impresiones de documentos y planos en diferentes

formatos. Cuenta con servicios secundarios como; Cyber Café (Internet, Fotocopias,

Llamadas Nacionales e Internacionales, librería, accesorios para celular etc.).

Objetivo De La Empresa:

Facilitar a Estudiantes, Empresas Constructoras, Proyectos, Arquitectos etc. Servicios de

calidad que contribuyan a que sus proyectos sean una realidad.


Objetivo Del Centro De Cómputo:

Como se mencionó anteriormente la empresa no cuenta con Centro de Cómputos.

Objetivo Y Propósito Del Diagnóstico

Examinar en forma global y constructiva la estructura de la Empresa Plano Digital,

enfocándose en las TI, aplicando aspectos como; planes y objetivos, métodos y controles,

formas de operación y organización humana y jurídica.

Brindar información valiosa para dar a conocer a la empresa auditada aquellas

conformidades o no conformidades encontradas en el proceso, para que el Gerente

Propietario tome las mejores decisiones que le ayuden a obtener mayor productividad y

rentabilidad para su negocio de acuerdo a las metas establecidas.

Esta Auditoría servirá como estrategia para detectar, los hallazgos que se logren identificar

en cuanto a la seguridad del sistema aplicando la metodología COBIT a fin de ayudarle a

la empresa a obtener una ventaja competitiva con respecto a los negocios aledaños cuyos

giros principales son similares al de los servicios secundarios que ofrece Plano Digital.

Áreas A Revisar

La empresa no se encuentra estructurada por áreas debido a que su local es muy

pequeño, sin embargo se evaluarán las TI que estén utilizando.


1.2 Estructura Organizacional y Direccionamiento de la Empresa

ORGANIGRAMA DE LA EMPRESA

MISIÓN

Somos una empresa de servicios de plataforma de Internet e Impresión Digital de Planos y

Documentos que ofrece a nuestros clientes servicios de calidad a través de herramientas

que contribuya al desarrollo tecnológico y económico del país.

VISIÓN

Ser una empresa que asume el reto de incorporar en la mente de la población, el uso del

INTERNET, como motor de desarrollo social, con un concepto de multiservicios, en la

industria de cybercentros a nivel nacional, así como el de la tecnología digital.

Gerente Asesor Gerencial

Responsable de Operaciones

Personal de Operaciones (2)

Atención al cliente

Producción y ventas de

bienes y servicios

Operaciones Generales


1.2 ENTREVISTAS PREVIAS1.2.1 Formato de Entrevistas Previas (ver Anexo No. 2)

1.3 INFORME FINANCIERO

En lo que respecta al informe financiero se trató de obtener todos los requerimientos, sin embargo solamente se logró adquirir la información de los siguientes:

Inventario de Equipo (Ver anexo No. 3) Presupuesto de Mano de Obra (Anexo No. 4) Estado de Resultado (Anexo No. 5) Balance General (Anexo No. 6)

1.4 DETERMINACIÓN DEL ÁREA A ESTUDIAR

De acuerdo a las entrevistas realizadas e investigaciones preliminares, se ha decidido

desarrollar una evaluación del las TI de la empresa.

Se pueden definir como problemas fundamentales los implicados en la parte informática,

los cuales se mencionan a continuación:

Administración de sistemas: puesto que la empresa utiliza dos sistemas; El Handy Café

para el área de cyber el cual se encarga de administrar las cuentas de usuario y los

tiempos que compra cada cliente. El otro es el UNIFILE que funciona como control de

inventario y facturación. El problema surge porque los dos sistemas no trabajan juntos es

decir, uno es independiente del otro.

La independencia de los sistemas provoca que el responsable de operaciones (cajera) que

es la encargada de operar los dos sistemas (factura los productos desde UNIFILE y de

agregar tiempo a los usuarios desde el Handy Café) olvide facturar las ventas de internet.

Esto genera excedentes en los arqueos de caja, los cuales repercuten en la ineficiencia de

los informes contables de la empresa que el sistema UNIFILE administra.

En esta auditoría pretende demostrar la necesidad de que los dos sistemas trabajen juntos

a fin de alinear las metas de la empresa con las del sistema de información. Al alinear

dichas metas, se tendrá una efectividad entre los procesos del negocio y los sistemas de


información, lo cual contribuirá a obtener mayor productividad, minimizar los tiempos de

operación que ayudan a la calidad y optimización del servicio al cliente, pues la cajera no

tendrá que manipular dos sistema, y de igual forma garantizará que la información que

arroja el sistema sea efectiva para la toma de decisiones de la gerencia.

Soporte Técnico: al tratarse de una Microempresa, Plano digital no cuenta con un área de

Sporte técnico o Informática, por ende no posee planes estratégicos que aseguren el buen

funcionamiento de los sistemas, así como de la infraestructura, seguridad tanto de

Hardware como de Software. Los mantenimientos, reparaciones de Hardware y

Administración de los sistemas están a cargo del Gerente propietario, quien posee

conocimientos de Informática y actualmente estudia Ingeniería en Sistemas.

Recursos Humanos: Según las entrevistas, encuestas y la nómina de la empresa (Anexo

No. 4) los colaboradores no tienen seguro, planes de incentivo y motivación al personal,

capacitaciones etc. Por lo que se debe evaluar el porqué.


CAPÍTULO 2

METODOLOGÍA DE LA AUDITORÍA


2.1 ASIGNACION DEL RANGO DE LOS AUDITORES

Nombre del Auditor Rango Salario

Jessenia Espinoza Auditor General C$ 12,000

María de los Ángeles Maradiaga Ruiz Junior C$8,000

Martín Montenegro Valverde Junior C$8,000

Los costos de la auditoría, se encuentran especificados en los anexos

2.2ENFOQUE DE LA AUDITORÍA

El enfoque de ésta auditoría hace uso del modelo de referencia COBIT

Para la realización de esta auditoría se ha tomado en cuenta la metodología COBIT ya

que es un conjunto de herramientas que nos ayudarán a evaluar la seguridad, eficacia,

calidad y eficiencia de los sistemas de información que actualmente utiliza Plano Digital

para optimizar sus operaciones.

Al utilizar esta metodología nos permitirá determinar los requerimientos de control,

consideraciones técnicas y riesgos de la empresa, al mismo tiempo nos permitirá medir el

desempeño y cumplimiento de las metas, nivel de madurez de los procesos de la

organización.

De igual forma, los criterios de información de COBIT aseguran que la información

obtenida en la auditoría sea efectiva, consistente y utilizable, que sea generada de

manera óptima a fin de que la gerencia la utilice correctamente para la buena

administración del negocio.


CAPÍTULO 3

AUDITORÍA DE LA GESTIÓN DE TI


3.1.1 SITUACIÓN ACTUAL DEL NEGOCIO

3.1.2 INFRAESTRUCTURA TECNOLÓGICA

HARDWARE Y SOFTWARE

Se encuentran detallados en el Inventario. Ver Anexo No. 3

INTERCONECTIVIDAD

El único sistema que se encuentra en red, es el Handy Café, que se utiliza para los

servicios de Internet, éste cuenta con un servidor que es el que maneja la Cajera

(encargada de agregar tiempo a los clientes), para su enlace se utilizan 3 Switch (ver

Anexo No. 4). El UNIFILE, no se encuentra en red pero el gerente se conecta al

servidor vía remota y de esta forma puede manipular los sistemas.

Los servicios de impresión están basados en protocolo TCP/ IP, por lo que cualquier

equipo puede enviar la orden directamente a la impresora según el servicio

proporcionado:

Los equipos clientes, el servidor y el equipo del gerente solamente pueden enviar

las solicitudes de impresión a la impresora HP Laser Jet 4050 (ver Anexo No. 4).

Los Mostradores 1 y 2, utilizados para la atención al cliente, no tienen accesos a

internet y pueden enviar solicitudes de impresión a todos los equipos incluyendo

los plotters y su escáner (ver Anexo No. 4).

SEGURIDADES


Para el análisis de la seguridad, nos basamos en la norma ISO 2700. La información

obtenida se fue soportada a través de los cuestionarios de las entrevistas hechas.

Este estándar contiene controles de seguridad, los cuales fueron evaluados en la

empresa. Dichos controles se mencionan a continuación con sus respectivos hallazgos:

Política de Seguridad

No cuenta con políticas de seguridad definidas, debido al tamaño del negocio.

Organización de la Información de Seguridad

Al tratarse de una microempresa, ésta no posee una organización de la

información, no realiza tareas básicas como, elaboración de cronogramas de

actividades, coordinación de responsabilidades a nivel interno. Es decir que como

no cuenta con un área informática no realizan planes estratégicos para dichas

coordinaciones y tareas que velen por la seguridad.

Administración de los recursos

La empresa cuenta con un inventario detallado de hardware, no así de software y

configuraciones de red, los inventarios no tienen un formato en particular. Los

equipos ocupados para la atención al cliente se encuentran asignados por usuario

(ver anexo No. 3).

Seguridad de los Recursos Humanos

Antes del empleo:

Durante el proceso de contratación, se definen las responsabilidades y roles así

como términos y condiciones de empleo.

Durante el Empleo:


Como se ha venido mencionando desde el principio la empresa no cuenta con un

área informática y que el soporte técnico de los equipos es asistido por el gerente

propietario. Dicho esto es evidente que no se encuentran definidos los roles

puesto que es solo una persona la encargada de llevar su administración, por lo

tanto las actividades se realizan de cuerdo a las necesidades que se presenten

en el momento.

Seguridad física y del entorno

Aéreas de seguridad:

El negocio no cuenta con un guarda de seguridad que proteja los activos del

negocio, y las pertenencias de los clientes.

Seguridad de elementos:

No existen medidas de protección contra incendios

No se tiene un correcto empleo del material informático, como seguridad física de

los equipos, conexiones eléctricas.

En cuanto a la seguridad de red, el cableado no se encuentra asegurado

mediante canaletas.

Seguridad del Software Handy Café:

Existen ciertos clientes que desde las estaciones de trabajo logran manipular de

alguna manera el sistema a fin de bloquear el tiempo que adquieren, de tal forma

que el servidor del Handy Café no siga administrando el tiempo del usuario en

esa estación de trabajo. Sin embargo desde el sistema se puede visualizar que

esta estación de trabajo está inactiva, detectando así que el usuario manipuló con

alevosía y ventaja dicho sistema. El problema es que el operario del sistema no

siempre está observando el comportamiento del mismo, por lo que no existe una

seguridad efectiva desde esa perspectiva.

Administración de las comunicaciones y operaciones

Procedimientos operacionales y responsabilidades:


No se posee un plan de correcta manipulación de la información, para

documentar procedimientos del uso de la información por pate de los

colaboradores, solamente se les comunica de forma verbal el cuido de los

equipos y la información.

Resguardo:

Hasta el momento no se cuenta con una política de respaldos, se los realiza de

acuerdo a la ocasión en caso extremo por ejemplo de formatear una máquina.

Administración de las seguridades de las redes:

El gerente propietario es el encargado de realizar monitoreo y protección de ésta,

sin embargo no se cuenta con controles documentados.

Control de acceso

Administración del acceso a usuario:

Los sistemas son asegurados mediante login y password para prevenir el acceso

no autorizado.

Responsabilidad del usuario

El negocio no posee normativas que garanticen que los colaboradores se hagan

responsables del cuido y manejo del Hardware y Software de los equipos.

Control de acceso a redes:

El acceso a la red es administrada por el gerente propietario, no se implementan

herramientas de administración remota a nivel externo, por lo que si se

presentase un problema, el administrador se acerca a cada equipo para localizar

el problema y así solucionarlo, pero en sí no existe una política de control de

acceso.

Adquisición de sistemas de información, desarrollo y mantenimiento

Administración técnica de vulnerabilidades


En caso de que existe una vulnerabilidad en la aplicación, el gerente propietario

comunica al proveedor del UNIFILE dicha vulnerabilidad para que encuentre la

solución del problema.

Administración de la continuidad del negocio

Aspectos de la seguridad de la información en la continuidad del negocio:

No se cuenta con un plan de la continuidad del negocio para prevenir que los

sistemas sufran interrupciones sobre las actividades o tareas que se realizan. Por

ejemplo; si el servidor le ocurre algún imprevisto y se detiene, no se cuenta con

otro equipo que lo reemplace y las operaciones se tendrían que detener.

Marco legal y buenas prácticas (legales, de estándares y auditorías)

No se cuenta con licencia de los sistemas operativos y utilitarios.

El antivirus y sistema UNIFILE, cuentan con sus licencias respectivas.

A pesar de que esta empresa es relativamente joven, nunca se ha realizado una

auditoría de las tecnologías de la información.

3.1 REALIZACIÓN DE LA AUDITORÍA

3.1.1 OBJETIVOS DE LA AUDITORÍA.

Realizar el análisis y auditoría en Plano Digital.

Utilizar como marco de referencia COBIT a fin de aportar a la mejora continua

de las TI de esta empresa a través de recomendaciones realizadas con los

análisis exhaustivos.


Presentar un informe técnico y ejecutivo que muestre los puntos fuertes y

débiles de las TI de la empresa.

3.1.2 MODELOS DE MADUREZ

Como ya se sabe la aplicación de los modelos de madurez para los 34 procesos de

TI de COBIT, ayudarán a identificar a la administración de Plano Digital:

Su desempeño real, es decir, dónde se encuentra en la actualidad la

empresa.

El estatus actual de la industria, La comparación.

El objetivo de la mejora de la empresa, Donde desea estar la empresa.

Estos modelos de madurez poseen una escala de medición creciente a partir de 0, no

existente, hasta 5, optimizado. Esto es útil para la empresa, ya que podrá autoevaluarse y

de esta forma determinar qué se debe hacer si se requiere una mejora.

A continuación se presenta la tabla de modelo de madurez genérico a usarse en esta

auditoría:

0

NO EXISTE

Carencia completa de cualquier proceso

reconocible. La empresa no ha reconocido

siquiera que existe un problema a resolver.

1

INICIAL / AD HOC

Existe evidencia que la empresa ha

reconocido que los problemas existen y

requieren ser resueltos. El enfoque general

hacia la administración es desorganizado.

2 No hay entendimiento o comunicación

formal de los procedimientos estándar, y se


REPETIBLE PERO INTUITIVO

deja la responsabilidad al individuo. Existe

un alto grado de confianza en el

conocimiento de los individuos y por tanto,

los errores son muy probables.

3

PROCESO DEFINIDO

Los procedimientos se han estandarizado y

documentado, y se han difundido a través

de entendimiento. Los procedimientos en sí

no son sofisticados pero formalizan las

prácticas existentes.

4

ADMINISTRADO Y MEDIBLE

Es posible monitorear y medir el

cumplimiento de los procedimientos. Los

procesos están bajo constante mejora y

proporcionan buenas prácticas.

5

OPTIMIZADO

Los procesos se han refinado hasta el nivel

de mejor práctica, se basan en los

resultados de mejoras continuas y en un

modelo de madurez con otras empresas. TI

se usa de forma integrada para automatizar

el flujo de trabajo, brindando herramientas

para mejorar la calidad y la efectividad,

haciendo que la empresa se adapta de

manera rápida.

3.2 PLANEAR Y ORGANIZAR

Este dominio nos permitirá analizar la planeación y organización desde diferentes aspectos.

3.2.1 PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI


De acuerdo a las respuestas de la encuesta y las entrevistas con el gerente, la empresa no

cuenta con un plan estratégico de TI, es un proceso inexistente.

Su nivel de madurez es 0 (cero) porque la gerencia no tiene conciencia a cerca de la

importancia de la planeación estratégica de TI que sirven para dar soporte a las metas del

negocio.

3.2.2 PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

Según el gerente la definición de la arquitectura de la información es un proceso

inexistente, la empresa no posee un modelo de arquitectura que optimice el uso de su

información. Este proceso también se ubica en el nivel 0 (cero).

3.2.3 PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA

La empresa no cuenta con personal técnico especializado que posea el conocimiento y

experiencia necesarios para desarrollar un buen plan que guíe a la organización hacia un

acertado cambio tecnológico, por tanto se ubica en el nivel 0 (cero).

3.2.4 PO4 DEFINIR LOS PROCESOS ORGANIZACIÓN Y RELACIONES DE TI

No existen procesos, organización ni relaciones de TI, no cuenta con personal para el

desarrollo de un marco de trabajo de procesos de TI que aseguren la transparencia y el

control. Se localiza en el nivel 0 (cero).

3.2.5 PO5 ADMINISTRAR LA INVERSIÓN EN TI

No existe una administración de inversión para TI, la inversión se da cuando se requiere

una adquisición. Su nivel de madurez es 0 (cero)

3.2.6 PO6 COMUNICAR LA ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA

Se localiza en el nivel 1 (uno) porque los métodos de elaboración y comunicación de las

aspiraciones son informales, las políticas y procedimientos de la dirección gerencial son

desorganizados debido a que el nivel gerencial no ha realizado reuniones formales para

poder crearlos.


3.2.7 PO7 ADMINISTRAR RECURSOS HUMANOS DE TI

La administración de los recursos humanos de TI y en general no cuenta con un proceso

previamente establecido que siga prácticas definidas y aprobadas, por lo que su nivel de

madurez se ubica en el nivel 0 (cero) porque no existe una persona asignada formalmente,

no existe conciencia de la necesidad del proceso en la organización.

3.2.8 PO8 ADMINISTRAR LA CALIDAD

La administración de la calidad en la empresa es un proceso inexistente, el personal

administra la calidad de su trabajo y sin supervisión, por tanto este se encuentra en el nivel

0 (cero). Todo se realiza de manera intuitiva y desorganizada.

3.2.9 P09 PLANEAR Y ORGANIZAR LOS RIESGOS DE TI

La evaluación y administración de los riesgos de TI es un proceso inexistente en la

empresa porque no cuenta con un marco de trabajo que identifique, analice y evalúe

cualquier impacto potencial sobre las metas de la organización causado por algún evento

no planeado. La empresa no tiene conciencia de su importancia por tanto se ubica en el

nivel 0 (cero)

3.2.10 PO10 ADMINISTRAR PROYECTOS

Este también es un proceso inexistente dado el tamaño de la empresa, no se evalúan ni se

llevan a cabo ningún proyecto. Su nivel de madurez es 0 (cero).


RESUMEN DEL DOMINIO PLANERAR Y ORGANIZAR

TABLA No. 1 DOMINIO: PLANEAR Y ORGANIZAR

PROCESO NIVELES DE MADUREZ

NIV

EL D

E M

ADU

REZ

ACTU

AL

NIV

EL D

E M

ADU

REZ

RECO

MEN

DAD

O

PO1 Definir un plan estratégico de TI CERO DOSPO2 Definir la arquitectura de la Información CERO DOSPO3 Determinar la dirección tecnológica CERO DOSPO4 Definir los procesos, organización y relacione de TI CERO DOSPO5 Administrar la inversión en TI CERO DOSPO6 Comunicar las aspiraciones y dirección de la gerencia UNO DOSPO7 Administrar recursos humanos de TI CERO DOSPO8 Administrar la calidad CERO DOSPO9 Evaluar y administrar los riesgos de TI CERO DOSPO10 Administrar proyectos CERO UNO

Como se muestra en la tabla No. 1, en este dominio lo mayoría de los procesos tiene un

grado de madurez de nivel CERO, estos deben se motivo de especial atención por parte de

la gerencia y su implantación debe regirse a la prioridad de implementación descrita para

procesos primarios y secundarios según sea el caso.

De acuerdo con la metodología COBIT, la empresa en este dominio carece completamente

de algún proceso con metodología específica y definida. Plano Digital Ignora la necesidad

de implementar estos procesos para solucionar sus problemas. También se puede notar

que su administración es desorganizada y sólo existe comunicación eventual sobre los

problemas.

3.3ADQUIRIR E IMPLEMENTAR

Este dominio trata sobre la adquisición e implementación de soluciones de TI que se

integrarán con los procesos de Plano Digital.


3.3.1 AI1 IDETNTIFICAR SOLUCIONES AUTOMATIZADAS

La identificación de soluciones automatizadas es un proceso inexistente en la empresa

porque no cuenta con una metodología definida para analizar la compra o el desarrollo de

una nueva aplicación que garantice que los requisitos del negocio se cumplan de manera

efectiva y eficiente. Su grado de madurez es de 0 (cero).

3.3.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

La adquisición y mantenimiento de software aplicativo es un proceso inexistente en la

empresa porque no cuentan con una metodología que permita a la organización apoyar a

la administración del negocio de manera apropiada usando aplicaciones automatizadas

correctas. Por lo tanto el nivel de madurez es 0 (cero) porque la empresa no cuenta con un

procedimiento que diseñe las aplicaciones empresariales.

3.3.3 AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA

La adquisición y mantenimiento de infraestructura tecnológica es un proceso inexistente en

la empresa porque no cuentan con un enfoque planeado para adquirir, mantener y proteger

la infraestructura, por eso se ubica en el nivel 0 (cero) de madurez.

3.3.4 AI4 FACILITAR LA OPERACIÓN Y EL USO

El facilitar la operación y el uso es un proceso inicial y desorganizado porque la empresa no

cuenta con documentación del sistema, manuales de usuarios, manuales de operación y

materiales de entrenamiento. Su nivel de madurez es 1 (uno).

3.3.5 AI5 ADQUIRIR RECURSOS DE TI

La adquisición de recursos de TI es un proceso inexistente en la empresa porque no cuenta

con una correcta definición y ejecución de los procedimientos de adquisición. Su nivel de

madurez es 0 (cero).

3.3.6 AI6 ADMINISTRAR CAMBIOS


La administración de cambios es un proceso inexistente en la empresa porque no cuenta

con un procedimiento correcto de administración formal y controlado, relacionado con la

infraestructura y las aplicaciones dentro de la empresa. Por esto su nivel de madurez es de

0 (cero).

3.3.7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

La instalación y acreditación de soluciones y cambios es un proceso inexistente en el

negocio porque no cuenta con un procedimiento correcto que administre la post-

implantación de sistemas en la empresa. Su nivel de madurez es 0 (cero).

RESUMEN DEL DOMINIO ADQUIRIR E IMPLEMENTAR

TABLA No. 2 DOMINIO: ADQUIRIR E IMPLEMENTAR

PROCESO NIVEL DE MADUREZ

NIV

EL D

E M

ADU

REZ

ACTU

AL

NIV

EL D

E M

ADU

REZ

RECO

MEN

DAD

OAI1 Identificar soluciones automatizadas CERO UNOAI2 Adquirir y mantener software aplicativo CERO UNOAI3 Adquirir y mantener infraestructura tecnológica CERO UNOAI4 Facilitar la operación y el uso UNO TRESAI5 Adquirir recursos de TI CERO DOSAI6 Administrar cambios CERO UNOAI7 Instalar y acreditar soluciones y cambios CERO UNO

Como se muestra en la tabla No. 2, en este dominio la mayoría de los procesos tienen un

grado de madurez de nivel CERO, estos deben se motivo de especial atención por parte de

la gerencia y su implantación debe regirse a la prioridad de implementación descrita para

procesos primarios y secundarios según sea el caso.


De acuerdo con la metodología COBIT, la empresa en este dominio carece completamente

de algún proceso con metodología específica y definida. Plano Digital Ignora la importancia

de implementar estos procesos para solucionar sus problemas.

3.4 ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega y el soporte de los servicios requeridos por Plano Digital.

3.4.1 DSI DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

La definición y administración de los niveles de servicio es un proceso inexistente en la empresa porque no cuentan con una documentación de acuerdos de niveles de servicio de TI con respecto a los servicios requeridos, que refuerce la comunicación entre la gerencia de TI y el personal de la empresa.

El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de los beneficios de tener un responsable que controle y documente la administración de acuerdos de niveles de servicio en la empresa.

3.4.2 DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

En la administración de los servicios de terceros es un proceso desorganizado en la empresa, porque no existe un ente que asegure que los servicios provistos por terceros cumplan con los requerimientos del negocio.

El proceso para administrar los servicios de terceros se encuentra en el nivel de madurez 1 (uno) porque la empresa no cuenta con un procedimiento definido para este proceso, además no tiene condiciones estándar para convenios con prestadores de servicios y todo se realiza de manera informal y desorganizada.

3.4.3 DS3 ADMINISTRAR EL EMPEÑO Y LA CAPACIDAD

La administración de desempeño y la capacidad de los recursos de TI es un proceso inexistente en la empresa, ya que no existe un procedimiento continuo que evalué la capacidad disponible para asegurar que se está alcanzando el desempeño deseado.

Este proceso se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de la necesidad de llevar a cabo un proceso de planeación de la capacidad y no


reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI.

3.4.4 DS4 GARANTIZAR LA CONTINUEDAD DEL SERVICIO

Se conoce que garantizar la continuidad del servicio de TI es un proceso inexistente en la empresa, porque no cuentan con un ente administrador que se encargue de desarrollar los planes de continuidad de TI, así como tampoco cuentan con un procedimiento para almacenar respaldos fuera de las instalaciones.

Este proceso se encuentra en el nivel de madurez 0 (cero) porque no se tiene conciencia que es importante entender los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto del negocio por la pérdida de los servicios de TI.

3.5.5 DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

La seguridad de los sistemas es un proceso nulo o inexistente en la empresa porque no cuentan con un procedimiento de administración de la seguridad que incluya el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI, monitoreo de seguridad y pruebas periódicas a los sistemas y todos los activos de TI de la empresa.

Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tiene conciencia de la necesidad de la seguridad de los sistemas, no están asignadas las responsabilidades y rendición de cuentas para garantizar la seguridad y las medidas para soportar y administrar la seguridad no están implementadas.

3.5.6 DS6 IDENTIFICAR Y ASIGNAR COSTOS

La identificación y asignación de costos es un proceso inexistente en la empresa porque no cuentan con un proceso de construcción y operación de un sistema justo y equitativo para distribuir y reportar los costos de TI a los usuarios de los servicios en la empresa.

El proceso de identificación y asignación de costos se localiza en el nivel de madurez 0 (cero) porque la gerencia no reconoce que hay un problema que debe atender respecto a la contabilización de costos y que no hay comunicación respecto a este asunto. Hay una completa falta de cualquier proceso reconocible de identificación y distribución de costos en relación a los servicios de información brindados.

3.5.7 DS7 EDUCAR Y ENTRENAR A LOS USUARIOS


La educación y el entrenamiento a los usuarios un proceso inicial y desorganizado en la empresa porque ni cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educación efectiva de los usuarios que usan los sistemas de TI.

Este proceso se localiza en el nivel de madurez 1 (uno) porque la organización no tiene un programa de entrenamiento y educación con procedimientos estandarizados, sus empleados reciben capacitación individual e informal. A nivel gerencial hay comunicación ocasional respecto a los problemas y enfoques para hacerse cargo del entrenamiento y la educación.

3.5.8 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES

Se conoce que la administración de la mesa de servicio y .los incidentes es un proceso inexistente en la empresa porque no cuentan con una mesa de servicios (help desk) bien diseñada y ejecutada que responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI.

Este proceso se localiza en el nivel de madurez cero porque la gerencia no tiene conciencia que hay un problema que atender, no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para administración de incidentes.

3.4. 9 DS9 ADMINISTRAR LA CONFIGURACIÓN

Es un proceso inexistente porque no cuenta con un documento completo y preciso que

guíe las configuraciones de hardware y software que se realicen en la empresa. Su nivel de

madurez es 0 (cero).

3.4.10 DS ADMINISTRAR LOS PROBLEMAS

Es un proceso inexistente porque no cuenta con una efectiva administración de problemas

que requiere de identificación y clasificación de problemas, análisis de la causa de su raíz,

resolución de problemas. Su nivel de madurez es 0 (cero).

3.4.11 DS11 ADMINISTRAR LOS DATOS

La administración de los datos es un proceso inicial y desorganizado en la empresa porque

no cuenta con un procedimiento definido que contemple metodologías efectivas para


administrar los respaldos, la recuperación de datos y la eliminación apropiada de medios de

almacenamiento, por esto se ubica en el nivel 1 (uno).

3.4.12 DS12 ADMINISTRAR EL AMBIENTE FÍSICO

Es un proceso inicial y desorganizado porque no cuenta con la debida protección del

ambiente de cómputo ni del personal, así como tampoco disponen de instalaciones bien

diseñadas ni administradas que controlen el acceso físico de personas no autorizadas a

departamentos sensibles de la organización. Su nivel es 1 (uno).

3.4.13 DS13 ADMINISTRAR LAS OPERACIONES

Es un proceso inexistente, no cuenta con procedimientos de información apropiados,

efectiva administración del mantenimiento del hardware que incluya definición de políticas y

procedimientos de operación parta una administración efectiva de las operaciones,

monitoreo de infraestructura y mantenimiento preventivo. Su nivel de madurez es 0 (cero).

DOMINIO: ENTREGAR Y DAR SOPORTE

PROCESO NIVEL DE MADUREZ

NIV

EL D

E M

ADU

REZ

ACTU

AL

NIV

EL D

E M

ADU

REZ

RECO

MEN

DAD

O

DS1 Definir y administrar los niveles de servicio CERO UNO DS2 Administrar los servicios de terceros UNO DOSDS3 Administrar el desempeño y la capacidad CERO UNO DS4 Garantizar la continuidad del servicio CERO UNO DS5 Garantizar las seguridad de los sistemas CERO DSODS6 Identificar y asignar costos CERO UNO DS7 Educar y entregar a los usuarios UNO TRESDS8 Administrar la mesa de servicio y los incidentes CERO DOSDS9 Administrar la configuración CERO DOSDS10 Administrar los problemas CERO DOSDS11 Administrar los datos UNO TRES


DS12 Administrar el ambiente físico UNO TRESDS13 Administrar las operaciones CERO DOS

3.5 MONITOREAR Y EVALUAR

Los procesos de TI de Plano Digital, deben evaluarse regularmente en cuanto a la calidad y el cumplimiento de los requerimientos de control.

3.5.1 ME1 MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

El monitoreo y la evaluación del desempeño de TI es un proceso inexistente en la empresa porque no cuenta con ningún tipo de monitoreo ni sistema de soporte, que ayude al correcto financiamiento de los requerimientos de TI y que garantice que las cosas se hagan de una manera correcta y que estén de acuerdo con los estándares y políticas que necesita la empresa.

El proceso para evaluar y monitorear el control interno se localiza en el nivel de madurez cero porque la empresa carece de procedimientos que le permita monitorear la efectividad de los controles internos, no existen métodos de reporte de control interno gerencial, y además la gerencia y el personal de la empresa no tiene conciencia sobre la seguridad operativa.

3.5.2 ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO

En la empresa Plano Digital garantizar el cumplimiento regulatorio es un proceso inexistente, ya que no cuenta con un procedimiento independiente de revisión que de garantía al cumplimiento de las leyes y regulaciones e incluya la definición de un estatuto de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría, reportes y seguimiento a las actividades que debe cumplir una auditoria.

Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tienen conciencia de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.


3.5.3 ME4 PROPORCIONAR GOBIERNO DE TI

Conocemos que el proporcionar un gobierno de TI es un proceso inexistente en la empresa porque no cuentan con un procedimiento efectivo que incluya la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para el área de TI.

Este proceso se localiza en un nivel de madurez 0 (cero) debido a que la gerencia no reconoce que existe un problema que debe ser solucionado porque no tiene conciencia de la importancia de tener un procedimiento reconocible con relancion al gobierno de TI en la organización.

TABLA Nº 1 DOMINIO: MONITOREAR Y EVALUAR

PROCESO NIVEL DE MADUREZN

IVE

L

DE

M

AD

UR

EZ

A

CT

UA

L

NIV

EL

D

E

MA

DU

RE

Z

RE

CO

ME

ND

AD

OME1 Monitorear y evaluar el desempeño de TI CERO UNO ME2 Monitorear y evaluar el control interno CERO UNO ME3 Garantizar el cumplimiento regulatorio CERO DOSME4 Proporcionar gobierno de TI CERO DOS

Como se muestra en la tabla 3 en este dominio todos los procesos tienen un grado de madurez de nivel CERO, por ello la empresa debe dar especial atención a los mismos y su implantación debe regirse a la prioridad de implementación descrita para procesos primarios y secundarios según sea el caso.

Según COBIT este nivel establece que la organización carece completamente de algún proceso con metodología especifica y definida, Plano Digital, no reconoce la importancia de implantar estos procesos para solucionar sus problemas, existe un alto riesgo de deficiencias e incidentes de control y estos se manejan conforme van surgiendo.


ANEXOS


Anexo No. 1 FOTOS DEL LOCAL


Anexo No. 2 FORMATO DE ENTREVISTAS PREVIAS

FORMULARIO DE ENCUESTA

Lea detenidamente el siguiente cuestionario y marque con una X la respuesta que más se

ajuste a su realidad.

Conteste con mucha sinceridad

A - Con respecto a la empresa.

1. ¿Todos los miembros de la empresa conocen su misión?

SI Parcialmente NO

2. ¿Se sigue un plan estratégico para lograr cumplir esa misión?

SI Parcialmente NO


3. ¿La empresa cuenta con una política de seguridad de la información

debidamente publicada y comunicada a todos los miembros del negocio?

SI Parcialmente NO

4. ¿Se ejecutan controles en las diferentes áreas de la organización para

garantizar la seguridad de la información?

SI Parcialmente NO

5. ¿Existen responsabilidades definidas para la protección de equipos y para el

cumplimiento de procesos de seguridad?

SI Parcialmente NO

6. ¿Un profesional en particular se encarga de asegurar la consistencia y proveer

ayuda en la toma de decisiones que tenga que ver con la seguridad?

SI NO

7. ¿La empresa establece términos y condiciones sobre la responsabilidad de

sus empleados en la seguridad de la información?

SI Parcialmente NO

8. ¿Existen controles para permitir la entrada únicamente del personal autorizado

en las áreas más vulnerables de la organización?

SI Parcialmente NO


9. ¿Las políticas de seguridad son revisadas y actualizadas periódicamente?

SI Parcialmente NO

10.¿Los planes de contingencia son revisados y actualizados periódicamente?

SI Parcialmente NO

11.¿Existe alguna política para la definición de perfiles de usuario del sistema de

información?

SI Parcialmente NO

B - Con respecto a los sistemas informáticos utilizados en la empresa

12.¿Utiliza los sistemas?

Siempre Frecuentemente Nunca

13.¿El sistema le ayuda. Cómo?

Almacenamiento Toma de decisiones Otros

Si su respuesta es Otros. Especifique la manera (as)

________________________________________________________

________________________________________________________

14.¿Ha experimentado problemas con el sistema?

SI NO


Si su respuesta es SI. Especifique que qué tan a menudo se presentan estos

problemas.

Siempre Frecuentemente Poco

15.¿Están implementados controles de seguridad apropiados sobre los sistemas

de información para impedir el acceso a terceros?

SI Parcialmente NO

16.¿Los tipos de acceso al sistema están debidamente identificados y

clasificados en base a razones justificables?

SI Parcialmente NO

17.¿Los respaldos de su información los realiza personalmente?

SI NO

Si su respuesta es SI. Explique dónde obtiene sus respaldos, dónde los almacena y

cómo los usa.

____________________________________________________________

____________________________________________________________

18.¿Están los equipos protegidos contra apagones usando la permanencia de las

fuentes de alimentación tales como UPS´s o generadores de energía auxiliar?

SI Parcialmente NO

19.¿Existe un procedimiento de administración de incidentes para manejar

problemas de seguridad en el sistema de información?


SI Parcialmente NO

20.¿Todo el software instalado en los equipos de la organización cuenta con sus

respectivas licencias?

SI NO

21.¿El software antivirus actualizado está instalado en todos los equipos de la

organización?

SI NO

22.¿Se realiza periódicamente copias de seguridad o respaldos de la información

más relevante del sistema de información?

SI NO

23.¿Los respaldos de la información son almacenados en lugares seguros y

alejados de la organización?

SI Parcialmente NO

24.¿Están definidos procedimientos para monitorear el uso de la información y su

procedimiento de manera que los usuarios realicen sólo las actividades a las

que están autorizados?

SI Parcialmente NO

25.¿Se cuentan con políticas para el establecimiento de contraseñas seguras?

SI Parcialmente NO


26.¿Existen planes de contingencia para la recuperación del sistema de

información frente a cualquier tipo de desastre o amenaza?

SI Parcialmente NO

27.¿Los sistemas de información son evaluados regularmente para verificar que

cumplan con las políticas de seguridad establecidas por la organización?

SI NO

C- Con respecto a los Recursos Humanos

28.¿La empresa les brinda algún tipo de seguro?

SI NO

Si su respuesta es SI

Explique

29.¿La empresa le ofrece algún tipo de capacitación en el área en la cual se

desempeña?

SI NO


Si su respuesta es SI

Cada cuanto. Explique

D- Con respecto a la red

30- ¿La empresa cuenta con una red?

SI NO

31- ¿Existen políticas y estrategias de seguridad en cuanto a las redes implementadas?

SI NO

32- ¿Quiénes fueron los encargados de implementar la red?

_______________________________________________________________

_______________________________________________________________

33- ¿Qué tipo de red tiene la empresa?

LAN MAN WAN

34- ¿Qué tipo de cableado utilizó?


35- ¿Se han hecho modificaciones a la red últimamente?

SI NO

36- ¿Qué tipos de servicios brinda la red?

37- ¿Cuántos servidores poseen?

38- Especifique la asignación de los servicios por cada servidor

39- ¿Qué tipos de medios de interconexión utilizan? Explique

40- ¿Cuál es el ancho de banda con que cuenta la empresa?

41- ¿Poseen un control de los IP asignados?

42- ¿Cuenta con una tabla de enrutamiento?


43- Especifique los números IP asignados por área, usuario, su clase y mascara de red

44- Especifique, ¿cuenta con un servidor cortafuego?

45- Si su respuesta es si. Enumere los firewall que utiliza y el tipo

46- ¿Qué tipos de medios de interconexión utiliza como punto de entrada a la red interna?

47- ¿Quiénes son los encargados de realizar el mantenimiento de la red?

48- ¿Existen planes de mantenimiento?

49- En qué consiste el plan de mantenimiento y con qué frecuencia se realiza

E. Con respecto al Mantenimiento de los Equipos

50- ¿Los equipos reciben mantenimiento?

SI NO


Si su respuesta es no. ¿Qué equipos no reciben mantenimiento. Explique?

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

51- ¿Qué tipo de mantenimiento reciben?

___________________________________________________________________

52- ¿Cada cuanto se le da mantenimiento?

Semanal

Mensual

Trimestral

Otro_________________________

53- ¿Quién realiza las operaciones de mantenimiento de todos los equipos?

____________________________________________________________

____________________________________________________________

____________________________________________________________


Anexo No. 3 INVENTARIO DE EQUIPAMIENTO INFORMATICO

NºNombre del

EquipoUsuario Procesador Memoria

Capacidad Disco Duro

Sistema Operativo

PeriféricosRespaldo

de Energía

1 01 ClientePentium IV 3

GHZ1024 MB de RAM

80 GB

Microsoft Window Xp Profesional

Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP



GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


GHZ1024 MB de RAM

80 GB


Service Pack 2

Teclado, Mouse, CD-

ROM, HEADSET,

Webcam, CRT 14''

UPS 550 VA CDP


14 Servidor YeimiCore 2 Duo,

3.0 GHZ4GB RAM 1 TB

Windows Server 2008

R2

Teclado, Mouse, CD-

ROM, CRT 17''Tripp-lite

15 Mostrador 1 JonathanPentium IV 3

GHZ2GB RAM 160 GB

Windows 7 profesional

Teclado, Mouse, CD-

ROM, CRT 17''N/A

16 Mostrador 2 FreddyPentium IV 3

GHZ2GB RAM 160 GB


Teclado, Mouse, CD-

ROM, CRT 17''N/A

17 Gerencia EdwinIntel Core 2

Duo 1.8 GHZ2GB RAM 500 GB


N/A Tripp-lite

EQUIPOS DE IMPRESIÓN

Cant. Nombre Marca Modelo2 Plotter XEROX 71421 Scanner para planos XEROX G6001 Impresora B/N HP Laser Jet 40501 Impresora Color HP Laser Jet 1 Fotocopiadora CANON IR550


Anexo No. 4 PRESUPUESTO MANO DE OBRA


Anexo No. 5 ESTADO DE RESULTADOS


Anexo No. 6 BALANCE GENERAL

PLANO DIGITAL Página No.: 1Balance General Fecha de emisión: 24/05/2011

Cifras en Córdobas Hora: 09 : 55 AMAl 24 de Mayo de 2011

Nombre Valor ACTIVOSCIRCULANTESCAJAS 4195.51BANCOS 168.72CUENTAS POR COBRAR 4,799.50FONDOS A TRASLADAR 357.74INVENTARIOS 27,131.77MATERIAS PRIMAS 22,484.36TOTAL CIRCULANTES 59,137.60FIJOSINVENTARIO ACTIVOS FIJOS 1222,715.16TOTAL FIJOS 1222,715.16TOTAL ACTIVOS 1281,852.76PASIVOSCIRCULANTESSUPLIDORES 1,998.30OBLIGACIONES CORTO PL 56,596.13PAGOS CP DE OBLIG. LP 344,713.91TOTAL CIRCULANTES 403,308.34FIJOSOBLIGACIONES L/P 208,008.99TOTAL FIJOS 208,008.99TOTAL PASIVOS 611,317.33CAPITALAPORTACIONES DE SOCIO 630,591.35UTIL/PERD PERIODO CORRIENTE 44,931.41TOTAL CAPITAL 675,522.76TOTAL PASIVOS CAPITAL 1286,840.09

Edwin Leiva EspinozaGerente Propietario


Anexo No. 8 PLANO DE RED

proyecto

Documents