Audi Informatica

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS

CARRERA DE CONTABILIDAD Y AUDITORÍA
AUDITORÍA DE SISTEMAS INFORMÁTICOS I
TEMA
PLANIFICACIÓN ESTRATÉGICA DE LA EMPRESA
"COMPUEQUIP DOS"
INTEGRANTES
Chalcualán Nathaly
Garcés Fernanda
Gordillo Francisco
Ibarra Paúl
López Soraya
CURSO
CA9-5
FECHA
Quito, 05-ENE-2017
PROFESOR
Mónica Jimbo Santana Msc.
Septiembre 2016 - Febrero 2017

QUITO - ECUADOR
DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN
OBJETIVO
Gestionar eficiente y eficazmente los recursos, la infraestructura y servicios tecnológicos
institucionales, mediante la administración, mantención y desarrollo de sistemas de
información y servicios informáticos que apoyen los procesos realizados por usuarios
internos y la realización de trámites y obtención de servicios por parte de usuarios externos.
Objetivos Estratégicos
1. Desarrollar capacidades orientadas a modernizar los procesos organizacionales básicos, la
planificación, el control y la evaluación para mejorar continuamente el proceso de toma de
decisiones institucionales.
2. Dotar a la Institución, de acuerdo con su Plan Estratégico, de una infraestructura

tecnológica y un modelo organizativo que contribuya a mejorar continuamente la eficiencia,
la eficacia, el control, la continuidad y la seguridad de sus operaciones.
3. Mejorar el servicio a las personas usuarias internas y externas con la adopción de

tecnologías modernas orientadas a apoyar los procesos institucionales a través de “Call
Center”, “E-business”, “E-government”, “Work Flow” y “Data warehouse” entre otras,
mediante la adopción de sistemas y estándares de clase mundial.
4. Capacitar constantemente al personal para que el desarrollo y el desempeño del mismo

sea el más óptimo dentro y fuera de la organización, brindando una atención al cliente
interno como externo satisfactorio.
Actividades Acción Responsable

normas o políticas a
las que se deben regir
todos los involucrados
en el departamento de
Definir políticas y Tecnologías de
Gerente
estrategias Información, las cuales
estarán alineadas con
las estrategias
establecidas hacia el
cumplimiento
- Definir la de
estructura LAN interna
hacia todas las
Instalación de redes LAN Supervisor
computadoras que
necesiten utilizar el
características de
sistema.
todas las
computadoras que
Preparación de equipos van a correr el Equipo técnico
- Instalación del
software requerido
para correr el sistema.
- Apertura de los
puertos necesarios
para que corra el
Instalación de Servidor sistema dentro de la Equipo técnico
-red LAN
interna.
Creación de la
base de datos en el
servidor
- Mantener la
seguridad de la red de
comunicaciones.
- Respaldar
información.
Instalación del Sistema Equipo técnico

- Instalar un
Instalación del Sistema Sistema de Registro Equipo técnico
de Ventas e
Inventarios en todas
las computadoras que
anteriormente fueron
revisadas y
aprobadas.
usuarios que vayan a
operar el sistema,
normalmente el
analista es la persona
encargada de
Capacitación al usuario capacitar ya que es el Gerente
que
- conoce máslos
Identificar el
puntos débiles y
fuertes del sistema
Tecnologías de
implantado.
Información y
Metodologías y Estándares Gerente
Comunicación que
-permitan realizar
Analizar, diseñar
y desarrollar los
sistema informáticos y
supervisar aquellos
que son de
responsabilidad de
Desarrollo de Sistemas contrapartes externas. Equipo técnico
adquisición y
contratación de
productos y servicios
informáticos, velando
por su compatibilidad
y actualización
asegurar la
Administración de datos y disponibilidad de las
Gerente
recursos informáticos redes, comunicación,
- Prevenir,
servidores y
mantener y corregir
hardware, software y
la conectividad
Institucional de las
estaciones de trabajo
-de losAsegurar
el
funcionarios.
mantenimiento tanto
preventivo, como
Soporte a usuarios Equipo técnico
correctivo, del
hardware
- Recepción y software..
de fallas
de hardware en
servidores, PC e
- Instalar
impresoras
aplicaciones
desarrolladas por el
servicio a todo equipo
- Establecer un
nuevo
proceso de o reparado
planeación
para la revisión del
desempeño y la
capacidad de los
recursos de TI.
Administrar el desempeño
Supervisor
y la capacidad
pronóstico de
desempeño y
capacidad de los
recursos de TI en
intervalos regulares
Administrar el desempeño
para minimizar el Supervisor
y la capacidad
riesgo de
interrupciones del
servicio originadas por
falta de capacidad o
-degradación del
Monitorear
continuamente el
desempeño y la
capacidad de los
-recursos
Mejorar el
de TI.
software que permite
dar asistencia no
Atención virtual a usuarios Supervisor
presencial y soporte a
usuarios a través del
Portal Institucional.
COMPUEQUIP DOS
Compuequip DOS es una empresa que se dedica a brindar servicios de tecnología

especializados y de consultoría. Cuenta con un equipo de profesionales con mucha
experiencia, altamente capacitados tanto a nivel de metodologías y procesos, como en
tecnologías de punta y herramientas para asegurar la calidad de las soluciones y servicios,
garantizando la satisfacción de los clientes.
Existen varios factores que la diferencian de otras empresas que se dedican al mismo
mercado de DOS, estos son:
ü Empresa ecuatoriana con mayor especialización y prestación de servicios de HP y

CISCO, a nivel nacional
ü Capacidad de proveer soluciones y servicios integrados con fabricantes de clase mundial.
ü Empresa con estructura profesional
ü Ofrece Servicios de Clase Mundial al cliente: innovación, creatividad, flexibilidad y

cumplimiento a la promesa comercial.
ü Gerenciada por profesionales de la industria, con más de 15 años de experiencia.
Los auspiciantes de Compuequip DOS son:
PROPÓSITOS Y OBJETIVOS ORGANIZACIONALES

MISIÓN
Contribuir al crecimiento de la productividad del negocio de las empresas ecuatorianas a

través de la entrega de soluciones de tecnología y servicios de valor agregado que apoyen una
correcta alineación de los servicios de tecnología informática con la compañía, y permitan a
las organizaciones evolucionar y adaptarse eficazmente a las nuevas necesidades del negocio.
VISIÓN
Ser la empresa en Ecuador, como asesor de confianza, que provee y ayuda a implementar
soluciones de tecnología informática, alineadas con los objetivos del negocio de nuestros
clientes.
VALORES
1. Brindar un servicio espectacular
2. Perseguir el crecimiento y aprendizaje continuo
3. Crear relaciones a largo plazo basadas en confianza, honestidad y la verdad
4. Construir un equipo positivo con espíritu de familia
5. Hacer más con menos
6. Fidelidad a los clientes y proveedores.
7. Confidencialidad.
8. Respeto por la gente y el trabajo.
9. Fidelidad a los clientes y proveedores.
10. Honestidad.
Nuestra cultura es nuestra pasión
OBJETIVOS
OBJETIVO GENERAL
Realizar importación, adquisición, comercialización, arriendo, compra, venta de computadores y

equipos de oficina, y de repuestos, implementos, programas y todo tipo de accesorios relacionados
con el campo de la computación y con la dotación de equipos y enseres de oficina
OBJETIVOS ESPECÍFICOS
Venta, preventa, de equipos de computo y accesorios
Asistencia Profesional y técnica en el área de sistemas, asesoría en la elaboración, almacenamiento y

cuidado de sus copias de seguridad, contará con nuestro asesoramiento en cuestiones como
licenciamiento, adquisición de software, hardware, soporte y mantenimiento de redes
Mantenimiento preventivo y correctivo para sus equipos de computo, prevención de daños en sus
equipos de computo por falta de mantenimiento
Ahorro de tiempo y costos, ayuda rápida y oportuna sin perdida de tiempo, evitar la pérdida de
dinero, oportunidades y/o tiempo por el mal funcionamiento de sus equipos
OBJETIVOS ESTRATÉGICOS
Obtener rentabilidad para la empresa brindando un servicio de tecnología de alta calidad
Identificar las necesidades de nuestro cliente para dar apoyo y soporte de los sistemas de
información
Definir el modelo de información de la organización que garantice la disponibilidad, integridad,

usabilidad, exactitud y seguridad de la información.
Capacitar al personal de tecnología de información y a los usuarios que utilizan los servicios de
información mediante un plan de capacitación informático.
TALLER Nº 1
PLANIFICACIÓN DE LA AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
Hoy en día los sistemas informáticos representan una herramienta muy
necesaria para materializar y efectuar los procesos de una organización de orden
social o empresarial.
Auditoría de sistemas de información se define como cualquier revisión y
evaluación de aspectos informáticos.
IDENTIFICAR EL ORIGEN DE LA AUDITORÍA

La Empresa Computadores y Equipos Compuequip Dos S.A ubicada en la ciudad
de Quito calle Av. Occidental OE6-201 y José Miguel Carrión, Quito-Ecuador (593
22992900).
La Empresa cuenta con un equipo de profesionales con mucha experiencia,
alternamente capacitados tanto a nivel de metodologías y procesos como en
tecnologías de punta y herramientas para asegurar la calidad de las soluciones y
servicios, garantizando la satisfacción de los clientes.
OBJETIVO
Asegurar una mayor integridad, confidencialidad y confidencialidad de la
información, mediante la recomendación de seguridades y controles vinculados
con los sistemas basados en TI, con la finalidad de conseguir resultados óptimos
para satisfacer los requerimientos de nuestros usuarios.
ALCANCE
La auditoría se realiza sobre los procesos desarrollados en la Empresa
Computadores Compuequip Dos S.A, los mismos que serán analizados y se
medirán de acuerdo al nivel de impacto de la Planificación Estratégica.
METODOLOGÍA
El proceso de desarrollo de la auditoría se aplica la metodología de COBIT,
mediante la cual se pretende determinar la situación organizacional en cuanto a
Sistemas Informáticos.
ANTECEDENTES
La Empresa Computadores Compuequip Dos S.A, es una empresa Ecuatoriana
con 28 años de experiencia en el mercado de tecnología, informática y
comunicaciones (TIC).
En la actualidad tienen sucursales en las principales ciudades del país Quito, Gu
COMUTADORES COMPUEQUIP DOS S.A

CRONOGRAMA DE ACTIVIDADES
DICIEMB
ENERO FEBRERO
RE
(SEMANA (SEMANA
ORD ACTIVIDADES (SEMANA
S) S)
1 2S)3 4 1 2 3 4 1 2 3 4
1 Selección de la Empresa X X
2 Recopilación de datos informaticos de la Empresa X
3 Planificación Estratégica X
4 Evaluación de la metodología para Auditoría de sistema X X
5 Control del nivel de cumpliiento de la planificación estratégicaX
6 Elaboración y presentación del informe de auditoría X
CUESTIONARIO
EMPRESA COMPUTADORES Y EQUIPOS COMPUEQUIP DOS S.A.
Nº PREGUNTA SI NO N/A ARGUMENTACIÓN
1 ¿Existen políticas del uso del software y hardware? X
Nº PREGUNTA DIARIO SEMANAL MENSUAL OTROS ARGUMENTACIÓN

2 ¿Se notifica el cambios de software y hardware al X
personal?
CADA QUE TIEMPO,CAPACITADOR INTERNO O
3 ¿Se realizan capacitaciones sobre sistemas EXTERNO, TEMAS DE CAPACITACIÓN Cada 6 meses, el capacitador son los
X
informáticos? especialistas de cada área
4 ¿Existe un responsable sobre la comunicación y Se encarga el Personal de Networking, cargo

X QUIEN Y QUE CARGO TIENE
capacitación de los cambios ? Especialista Nivel 2
5 ¿La capacidad de hardware y software es suficiente EQUIPOS HP P2000, con Windows Server 2012
X TIPO DE SOFTWARE Y HARWARE, CAPACIDAD
para las actividades que se realizan? R2, con 30 discos de 4 Tb en Raid 5

6 ¿El área donde se encuentran los equipos es el X LUGAR Y COMO SON LAS INSTALACIONES DATA CENTER de la empresa, con normativa
adecuado para su correcto funcionamiento? TIA, EIA
MANTIENE EQUIPOS EN BUEN ESTADO
7 ¿Existe un responsable para realizar el Soporte interno y especialistas, se realiza
X (HARDWARE-SOFTWARE), CADA QUE TIEMPO
mantenimiento de los equipos ? mantenimiento preventivo cada 6 meses
HACE EL MANTENIMIENTO
8 ¿El perfil del encargado de mantenimiento es el ESCOLARIDAD, EXPERIENCIA, TIEMPO QUE

X Ingenieros, experinecia de 2 años minimo
adecuado para realizar su función? PRESTA SERVICIO EN LA EMPRESA
ACTUALIZACIÓN MANUAL O AUTOMÁTICO, Se realiza a diario automaticamente mediante
9 ¿Existen actualizaciones del software? X CADA QUE TIEMPO despliegue por SCCM
10 ¿Existe una persona encargada de las redes de CADA QUE TIEMPO REALIZA COPIAS DE Un respaldo Incremental diario y un Full fin de
X
comunicación? SEGURIDAD DE DATOS semana
11 ¿Existen mantenimientos periódicos para las redes X CADA QUE TIEMPO

de comunicación?
12 ¿Se interrumpen las redes de comunicación? X MÉTODO PARA TRATAR INTERRUPCIÓN
DE SER LA RESPUESTA NO INDICAR DONDE SE
13 ¿Existe un contrato de responsabilidad para el uso X DETERMINA LAS RESPONSABILIDADES DEL USO
de las claves de acceso? DE LAS CLAVES
Nº PREGUNTA DEP TI TODOS N/A ARGUMENTACIÓN
14 ¿Quiénes son las personas autorizadas para la X

utilización de sistemas microinformáticos?
15 ¿losSesistemas
utiliza procedimientos para verificar el uso de X INDIQUE DE FORMA BREVE EL PROCEDIMIENTO
microinformáticos?
16 ¿Existen licencias vigentes para el uso de software? X CADA QUE TIEMPO RENUEVAN LICENCIAS Anual

17 ¿Los antivirus se actualizan periódicamente? X CADA QUE TIEMPO A diario
18 ¿Pueden los usuarios externos acceder al área SI LA RESPUESTA ES AFIRMATIVA ESPECIFICAR

X
destinada a TI? LA RAZON MAS RELEVANTE
19 ¿Se realizan controles para el ingreso en la base de X CADA QUE TIEMPO A diario
datos por los usuarios?
Nº PREGUNTA PREGUNTA ABIERTA ARGUMENTACIÓN
20 ¿Qué archivos son de libre acceso para el personal? Documentos colocados en la Intranet

CADA QUE TIEMPO, EN DONDESEGUARDAN
21 ¿Se realizan respaldos periódicamente de las bases Se realizan cada 15 días, se los almacena en
X ESTOS RESPALDOS,QUIEN TIENE ACCESO A
datos? cintas
ESTOS RESPALDOS
Existen claves personales de Red que se
22 ¿Existen claves de acceso para los equipos de COMO SE ENTREGAN LAS CLAVES, QUE TAN
X entregan a cada usuario y clave de
computo en el departamento de TI? VULNERABLES SON
Administracion
23 ¿Existen responsables para el planteo de las normas X LOS RESPONSABLES PERTENCEN A TI, ESTAS
de seguridad? NORMAS ESTAN BIEN DISEÑADAS
24 ¿Cada cuánto tiempo se realizan cambios a las X Cada Año

normas de seguridad?
Nº PREGUNTA ARGUMENTACIÓN
25 ¿Qué vulnerabilidad tiene la información para ser X ESPECIFIQUE LAS VULNERABILIDADES
decifrada? EXISTENTES
26 ¿Existen restricciones en el acceso a los programas QUE TIPO DE RESTRICCIONES, A QUE Accesos controlados por Active Directori a las
X
y archivos? PROGRAMAS Y ARCHIVOS carpetas de Gerencia de cada Área
27 ¿Existe un responsable de los controles de EL RESPONSABLE PERTENECE A TI Y QUE
X
seguridad informática? CONTROLES APLICA
28 ¿Existen licencias y relaciones contractuales con X INDIQUE EL MÁS IMPORTANTE

terceros?
29 ¿Existe una renovación de licencias los programas? X TIPO DE PROGRAMAS
30 ¿Existe un informe técnico en el que se justifique la X QUIEN LO ELABORA Departamento de TI

adquisición software?
31 ¿Se realizan capacitaciones para disminuir el riesgo X CADA QUE TIEMPO

informático?
32 ¿Se realizan frecuentemente asesorías sobre los Sobre seguridad y uso adecuado de las
X A QUE RIESGO SE LES ASESORA CON PRIORIDAD
riesgos informáticos? herramientas informaticas
SCORE DE RIESGO
IMPACTO
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO
1 2 3 4 5
CASI CERTEZA ENTRE 81% 5

Y 100%
10
ENTRE 61%
PROBABLE 4
Y 80%
PROBABILIDAD
8 12
ENTRE 41%
POSIBLE 3
Y 60%
11 3 5 13 4 7
IMPROBABLE ENTRE 21% 2
Y 40%
1 2 6 9
ENTRE 0% Y
RARO 1
20%
ACTIVIDADES PREGUNTAS CUESTIONARIO
#REF! ¿Existen políticas del uso del software y

hardware?
#REF! ¿Se notifica el cambios de software y

hardware al personal?
1. Cumplimiento de
procedimientos, normas y
controles dictados
#REF! ¿Se realizan capacitaciones sobre sistemas
informáticos?
#REF! ¿Existe un responsable sobre la comunicación

y capacitación de los cambios ?
¿La capacidad de hardware y software es

#REF! suficiente para las actividades que se
realizan?
2. Controles sobre la producción #REF! ¿El área donde se encuentran los equipos es
el adecuado para su correcto
diaria funcionamiento?
#REF! ¿Existe un responsable para realizar el

mantenimiento de los equipos ?
#REF! ¿Existen políticas para el aseguramiento de la

calidad y eficiencia del software?
3.-Controles sobre la calidad y

eficiencia del desarrollo y ¿El perfil del encargado de mantenimiento es
mantenimiento de software y del #REF! el adecuado para realizar su función?
servicio de informática
#REF! ¿Existen actualizaciones del software?
#REF! ¿Existe una persona encargada de las redes

de comunicación?
4.- Controles en las redes de

comunicaciones
4.- Controles en las redes de #REF! ¿Existen mantenimientos periódicos para las
comunicaciones redes de comunicación?
#REF! ¿Se interrumpen las redes de comunicación?
#REF! ¿Existe libre acceso al software empresarial?

5.- controles sobre el software de
base
#REF! ¿Existe un contrato de responsabilidad para el
uso de las claves de acceso?
#REF! ¿Quiénes son las personas autorizadas para la

utilización de sistemas microinformáticos?
6.- CONTROLES EN LOS SISTEMAS
MICROINFORMATICOS
#REF! ¿verificar
Qué procedimientos se manejan para
los sistemas microinformáticos?
#REF! ¿Existen licencias vigentes para el uso de

software?
7.- La seguridad informática

(puede designarse la
responsabilidad a control interno #REF! ¿Los antivirus se actualizan periódicamente?
o control dual)
#REF! ¿Pueden los usuarios externos acceder al

área destinada a TI?
#REF! ¿Se realizan controles para el ingreso en la

base de datos por los usuarios?
8. Usuarios, responsables y
#REF! ¿Qué archivos son de libre acceso para el
perfiles de usos de archivos, personal?
base de datos.
#REF! ¿Se realizan respaldos periódicamente de las

bases datos?
#REF! ¿Existen claves de acceso para los equipos de

computo en el departamento de TI?
#REF! ¿Existen responsables para el planteo de las

9. Normas de seguridad normas de seguridad?
#REF! ¿Cada cuánto tiempo se realizan cambios a

las normas de seguridad?
10. Control de información #REF! ¿Qué vulnerabilidad tiene la información para
clasificada ser codificada?
#REF! ¿Existen restricciones en el acceso a los

programas y archivos?
11.- Control dual de la seguridad
informática
#REF! ¿Existe un responsable de los controles de
seguridad informática?
#REF! ¿Existen licencias y relaciones contractuales

con terceros?
12.-Licencias y relaciones #REF! ¿Existe una renovación de licencias los

contractuales con terceros programas?
#REF! ¿Existe un informe técnico en el que se

justifique la adquisición software?
#REF! ¿Se realizan capacitaciones para disminuir el

riesgo informático?
13.-Asesorar y transmitir cultura
sobre el riesgo informático
#REF! ¿Se realizan frecuentemente asesorías sobre
los riesgos informáticos?
PONDERACIÓN
IMPACTO
1. INSIGNIFICATIVO
5. CATASTROFICO
RIESGO TOTAL
3. MODERADO
2. MENOR
4. MAYOR
Las políticas no se ajustan a los 4 4 4 8
requerimientos
Los usuarios no se adaptan a los cambios 4 4 4 8
El capacitador no cumple con el perfil 3 3 3 6
El responsable no pertenece al 4 4 3 7
departamento de TI
Actividades interrumpidas por capacidad 3 3 3 6

limitada
Daños en los equipos por una inadecuada 5 5 5 10

ventilación
Inexistencia de un back up que realice las 4 4 4 8

funciones del encargado
Inexistencia de políticas para el

aseguramiento de la calidad y eficiencia del 2 2 2 4
software
No existen lineamientos establecidos para el 3 3 2 5

encargado de mantenimiento
Usar un software desactualizado 4 4 5 9
No existe un responsable de las redes de 3 3 3 6

comunicación
Mantenimientos a destiempo 3 3 3 6
Colapso de las redes de comunicación 2 2 3 5
Libre acceso al software 1 1 1 2
Entrega de las claves sin contrato 4 4 5 9
Acceso no consentido a los sistemas 3 3 4 7

microinformáticos
Procedimientos inadecuados de verificación 4 4 4 8

en los sistemas y equipos informáticos
Licencias caducadas 5 5 5 10
Mal funcionamiento de los equipos 3 3 3 6
Acceso libre al área de TI 3 3 4 7
Control de ingreso a las bases de datos 1 1 5 6

deficientes
Libre acceso a todos los archivos 4 4 4 8
Pérdida de información 3 3 3 6
Nivel de complejidad bajo en las claves de 2 2 5 7

acceso
Responsables sin el conocimiento adecuado 3 3 3 6

para plantear las normas de seguridad
Normas desactualizadas 4 4 4 8
La información puede ser modificada por 4 4 3 7
personas mal intencionadas
Fácil acceso a cualquier equipo 5 5 5 10
Falta de ética por parte del responsable de 4 4 4 8

los controles de seguridad informática
Contratos mal redactados 2 2 4 6
Caducidad de las licencias adquiridas 4 4 5 9
Valores alterados en el informe técnico 4 4 3 7
Capacitaciones irregulares 2 2 3 5
Asesoría inadecuada sobre los riesgos 3 3 2 5

informáticos
METAS CORPORATIVAS DE COBIT 5
REALIZACION CON LOS OBJETIVOS DE

GOBIERNO
DIMENSION DE CMI META CORPORATIVA Prestar

servicios de Promover Optimizar el
asesoria de negocios uso de de
calidad rentables con activos y
clientes infraestructura
1 Valor para las partes interesadas de las Inversiones de Negocio P S
2 Riesgos de negocio gestionados (salvaguarda de activo) P P S
FINANCIERA 3 Cartera de productos y servicios competitivos P S
4 Cumplimiento de leyes y regulaciones externas P
5 Cultura de servicio orientada al cliente P S S
6 Transparencia financiera P S
7 Respuestas ágiles a un entorno de negocio cambiante P
CLIENTE 8 Toma estratégica de Decisiones basadas en información P S
9 Continuidad y disponibilidad del servicio de negocio P P P
10 Optimización de la funcionalidad de los procesos de negocio P P
11 Optimización de los costes de los procesos de negocio P P
12 Optimización de costes de entrega del servicio P P
INTERNA 13 Programas gestionados de cambio en el negocio P P S
14 Productividad operacional y de los empleados P P
15 Cumplimiento con las políticas internas P
APRENDIZAJE Y 16 Cultura de innovación del producto y del negocio P
CRECIMIENTO 17 Personas preparadas y motivadas S P P
METAS RELACIONADAS CON LAS TI
DIMENSION DE CMI META DE INFORMACION Y TECNOLOGIA RELACIONADA
1 Alineamiento de TI y la estrategia de negocio

Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones
2 externas
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con TI

3
FINANCIERA
4 Riesgos de negocio relacionados con las TI gestionados
Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
5
6 Transparencia de los costes, beneficios y riesgos de las TI
7 Entrega de servicios de TI de acuerdo a los requisitos del negocio

CLIENTE Uso adecuado de aplicaciones, información y soluciones tecnológicas
8
9 Agilidad de las TI
10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones
11 Optimización de activos, recursos y capacidades de las TI
Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología en
12 procesos de negocio
INTERNA
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y
13 satisfaciendo los requisitos y normas de calidad
14 Disponibilidad de información útil y relevante para la toma de decisiones

15 Cumplimiento de TI con las políticas internas
APRENDIZAJE Y 16 Personal del negocio y de las TI competente y motivado
CRECIMIENTO 17 Conocimiento, experiencia e iniciativas para la innovación de negocio
METAS CORPORATIVAS DE COBIT 5
REALIZACION CON LOS OBJETIVOS DE GOBIERNO
Analizar la
Identificar patrones, Poseer un información de
tendencias y conocimiento fuentes dispares,
DIMENSION asociaciones detallado: para cada que permitan crear, Manejar un
META CORPORATIVA
DE CMI mediante el diseño, empleado del publicar y distribuir adecuado
implementación y estado de los reportes detallados presupuesto de TI
consultoría de los negocios para de negocio tanto de las ventas
requerimientos de contribuir al éxito hacia adentro como
analítica de datos de los objetivos hacia afuera de la
empresa
1 Valor para las partes interesadas de las Inversiones de Negocio P S

2 Riesgos de negocio gestionados (salvaguarda de activo) S P
FINANCIERA 3 Cartera de productos y servicios competitivos P S
4 Cumplimiento de leyes y regulaciones externas S
5 Cultura de servicio orientada al cliente P P
6 Transparencia financiera P P
7 Respuestas ágiles a un entorno de negocio cambiante P S S
CLIENTE 8 Toma estratégica de Decisiones basadas en información P P P
9 Continuidad y disponibilidad del servicio de negocio P
10 Optimización de la funcionalidad de los procesos de negocio P S
11 Optimización de los costes de los procesos de negocio P P
12 Optimización de costes de entrega del servicio P S P
INTERNA 13 Programas gestionados de cambio en el negocio P P
14 Productividad operacional y de los empleados P
15 Cumplimiento con las políticas internas P S
APRENDIZAJE 16 Cultura de innovación del producto y del negocio S S
Y
CRECIMIENTO 17 Personas preparadas y motivadas P S
METAS RELACIONADAS CON LAS TI
REALIZACION CON LOS OBJETIVOS TI

Mantener un
Contar con un
DIMENSION adecuado margen Cumplir con los Buscar la mejora
META DE INFORMACION Y TECNOLOGIA RELACIONADA de rentabilidad en
personal calificado
requisitos de contínua y la
DE CMI la comercialización
en el área de
nuestros clientes y eficacia de lso
servicios
de servicios otros aplicables procesos
administrados de TI
administrados de TI
1 Alineamiento de TI y la estrategia de negocio S P P

Cumplimiento y soporte de la TI al cumplimiento del negocio
2 S P
de las leyes y regulaciones externas
Compromiso de la dirección ejecutiva para tomar decisiones
3 P P
FINANCIERA relacionadas con TI
4 Riesgos de negocio relacionados con las TI gestionados S
Realización de beneficios del portafolio de Inversiones y
5 P
Servicios relacionados con las TI
6 Transparencia de los costes, beneficios y riesgos de las TI P
Entrega de servicios de TI de acuerdo a los requisitos del negocio
7 P S P P
CLIENTE Uso adecuado de aplicaciones, información y soluciones tecnológicas
8 S P P
9 Agilidad de las TI P S P
Seguridad de la información, infraestructuras de
10 S P
procesamiento y aplicaciones
11 Optimización de activos, recursos y capacidades de las TI P S
Capacitación y soporte de procesos de negocio integrando
12 P P
INTERNA aplicaciones y tecnología en procesos de negocio
Entrega de Programas que proporcionen beneficios a tiempo,
13 dentro del presupuesto y satisfaciendo los requisitos y normas P S P
de calidad
Disponibilidad de información útil y relevante para la toma de
14 S
decisiones
15 Cumplimiento de TI con las políticas internas P P
APRENDIZAJE 16 Personal del negocio y de las TI competente y motivado P S
Y Conocimiento, experiencia e iniciativas para la innovación de
CRECIMIENTO 17 P
negocio
MAPEO ENTRE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS DE LA EMPRESA
Definir el modelo de Capacitar al personal de

información de la tecnología de
Obtener rentabilidad para Identificar las necesidades organización que garantice información y a los
la empresa brindando un de nuestro cliente para dar la disponibilidad, integridad, usuarios que utilizan los
servicio de tecnología de apoyo y soporte de los usabilidad, servicios de información
alta calidad sistemas de información exactitud y seguridad de la mediante un plan de
información. capacitación informático.
META RELACIONADA CON LAS TI FINANCIERA CLIENTE INTERNA APRENDIZAJE Y CRECIMIENTO
Valor para las partes interesadas de las

1 Inversiones de Negocio S P
Riesgos de negocio gestionados

2 (salvaguarda de activo) P S
Cartera de productos y servicios

3 competitivos P P
FINANCIERA
Cumplimiento de leyes y regulaciones
4 externas S
Cultura de servicio orientada al cliente

5 P S
Transparencia financiera
6 P S
Respuestas ágiles a un entorno de

7 negocio cambiante S P S
CLIENTE
Toma estratégica de Decisiones basadas
8 en información S P P S
Continuidad y disponibilidad del

9 servicio de negocio P
Optimización de la funcionalidad de los

10 procesos de negocio P S
Optimización de los costes de los

11 procesos de negocio P
Optimización de costes de entrega del

INTERNA 12 servicio P P S
Programas gestionados de cambio en el

13 negocio P P
Productividad operacional y de los

14 empleados S S P
Cumplimiento con las políticas internas

15 S P S
Cultura de innovación del producto y

16 del negocio P S
APRENDIZAJE Y
CRECIMIENTO Personas preparadas y motivadas
17 P P
RESUMEN ENTRE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS DE LA EMPRESA
Definir el modelo de
información de la organización Capacitar al personal de
Obtener rentabilidad para la Identificar las necesidades de tecnología de información y a
empresa brindando un nuestro cliente para dar apoyo que garantice la los usuarios que utilizan los
servicio de tecnología de alta y soporte de los sistemas de disponibilidad, integridad, servicios de información
usabilidad,
calidad información exactitud y seguridad de la mediante un plan de
información. capacitación informático.
Valor para las partes interesadas de las Inversiones

1 de Negocio P 1
Riesgos de negocio gestionados (salvaguarda de

2 activo) P 1
Cartera de productos y servicios competitivos

FINANCIERA 3 P P 2

5 P 1
6 P 1
Respuestas ágiles a un entorno de negocio

7 cambiante P 1
CLIENTE
Toma estratégica de Decisiones basadas en
8 información P P 2
Continuidad y disponibilidad del servicio de

9 negocio P 1
Optimización de la funcionalidad de los procesos

10 de negocio P 1
Optimización de los costes de los procesos de

11 negocio P 1
Optimización de costes de entrega del servicio

INTERNA 12 P P 2
Programas gestionados de cambio en el negocio

13 P P 2
Productividad operacional y de los empleados

14 P 1

15 P 1
Cultura de innovación del producto y del negocio

16 P 1
APRENDIZAJE Y
17 P P 2
5 9 4 3
MAPEO ENTRE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS DE LA EMPRESA
Analizar la información
Identificar patrones,
Poseer un conocimiento tendencias y asociaciones de fuentes dispares, que
Manejar un adecuado detallado: para cada mediante el diseño, permitan crear, publicar y
distribuir reportes
presupuesto de TI de las empleado del estado de los implementación y detallados de negocio
ventas negocios para contribuir al consultoría de los
éxito de los objetivos requerimientos de analítica tanto hacia adentro como
hacia afuera de la
de datos empresa

1 Inversiones de Negocio S P
Riesgos de negocio gestionados (salvaguarda

2 de activo) P S

3 competitivos P S
FINANCIERA
4 externas S

5 P P
6 P P
Respuestas ágiles a un entorno de negocio

7 cambiante S P S
CLIENTE
Toma estratégica de Decisiones basadas en
8 información P P P
Continuidad y disponibilidad del servicio de

9 negocio P

10 procesos de negocio P S
Optimización de los costes de los procesos

11 de negocio P P

INTERNA 12 servicio P P S

13 negocio P P

14 empleados P

15 S P
Cultura de innovación del producto y del

16 negocio S S
APRENDIZAJE Y
17 P S
RESUMEN ENTRE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS MET
Manejar un adecuado
presupuesto de TI de las
ventas
META RELACIONADA CON LAS TI FINANCIERA

1 Inversiones de Negocio
Riesgos de negocio gestionados

2 (salvaguarda de activo) P

3 competitivos
FINANCIERA
4 externas

5
6 P
Respuestas ágiles a un entorno de

7 negocio cambiante
CLIENTE
Toma estratégica de Decisiones basadas
8 en información P
Continuidad y disponibilidad del

9 servicio de negocio

10 procesos de negocio
Optimización de los costes de los

11 procesos de negocio P

INTERNA 12 servicio P
INTERNA

13 negocio

14 empleados

15
Personas preparadas y motivadas

APRENDIZAJE Y
CRECIMIENTO 17
COBIT 5 Y LAS METAS CORPORATIVAS DE LA EMPRESA
Analizar la información
Identificar patrones, de fuentes dispares, que
Poseer un conocimiento tendencias y asociaciones permitan crear, publicar y
detallado: para cada mediante el diseño, distribuir reportes
empleado del estado de los implementación y detallados de negocio
negocios para contribuir al consultoría de los tanto hacia adentro como
éxito de los objetivos requerimientos de analítica
hacia afuera de la
de datos empresa
CLIENTE INTERNA APRENDIZAJE Y CRECIMIENTO
P P
P P
P
P P
P
MAPEO ENTRE LAS METAS DE INFORMACION Y TECNOLOGIA RELACIONADA DE COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI DE LA EMPRESA
Mantener un
Contar con un
adecuado márgen Cumplir con los Buscar la mejora
personal calificado
de rentabilidad en requisitos de contínua y la
en el área de
la comercialización nuestros clientes y eficacia de los
servicios
administrados de TI
administrados de TI
APRENDIZAJE Y
META RELACIONADA CON LAS TI FINANCIERA CLIENTE INTERNA CRECIMIENTO
1 Alineamiento de TI y la estrategia de negocio S P P
2
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y S P
regulaciones externas
3 Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con TI P P

FINANCIERA
4 Riesgos de negocio relacionados con las TI gestionados S
5
Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las P
TI
6 Transparencia de los costes, beneficios y riesgos de las TI P

7 P P S P
CLIENTE
Uso adecuado de aplicaciones, información y soluciones tecnológicas
8 S P P
9 Agilidad de las TI S P P
10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones S P
Optimización de activos, recursos y capacidades de las TI

11 P S
12
Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología P P
INTERNA en procesos de negocio
13
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto P S P
y satisfaciendo los requisitos y normas de calidad
14 Disponibilidad de información útil y relevante para la toma de decisiones S
15 Cumplimiento de TI con las políticas internas P P
16 Personal del negocio y de las TI competente y motivado P S

APRENDIZAJE Y
CRECIMIENTO
17 Conocimiento, experiencia e iniciativas para la innovación de negocio P
RESUMEN ENTRE LAS METAS DE INFORMACION Y TECNOLOGIA RELACIONADA DE COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI DE LA
EMPRESA
Mantener un Contar con un

adecuado margen Cumplir con los Buscar la mejora
de rentabilidad en requisitos de personal calificado contínua y la
en el área de
la comercialización nuestros clientes y servicios eficacia de lso
administrados de TI administrados de TI
APRENDIZAJE Y
META RELACIONADA CON LAS TI FINANCIERA CLIENTE INTERNA CRECIMIENTO
Alineamiento de TI y la estrategia de negocio

1 P P 2
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y

2 regulaciones externas P 1
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas con

FINANCIERA 3 TI P P 2
Realización de beneficios del portafolio de Inversiones y Servicios

5 relacionados con las TI P 1
Transparencia de los costes, beneficios y riesgos de las TI

6 P 1

7 P P P 3
CLIENTE
Uso adecuado de aplicaciones, información y soluciones tecnológicas
8 P P 2
Agilidad de las TI
9 P P 2
Seguridad de la información, infraestructuras de procesamiento y aplicaciones

10 P 1
Optimización de activos, recursos y capacidades de las TI

11 P 1
INTERNA Capacitación y soporte de procesos de negocio integrando aplicaciones y

12 tecnología en procesos de negocio P P 2
Entrega de Programas que proporcionen beneficios a tiempo, dentro del

13 presupuesto y satisfaciendo los requisitos y normas de calidad P P 2
Cumplimiento de TI con las políticas internas

15 P P 2
Personal del negocio y de las TI competente y motivado

16 P 1
APRENDIZAJE Y
CRECIMIENTO Conocimiento, experiencia e iniciativas para la innovación de negocio
17 P 1
5 2 8 9
EVALUAR ORIENTAR Y SUPERVISAR
EDM01
Asegurar el Establecimiento y
Mantenimiento del Marco de Gobierno
ALINEAR, PLANIFICAR ORGANIZAR
AP001
Gestionar el Marco de Gestión de TI
AP008
Gestionar las Relaciones

CONSTRUIR ADQUIRIR IMPLEMENTAR
BAI01
Gestionar los Programas y Proyectos
BAI 08
Gestionar el Conocimiento
ENTREGAR DAR SERVICIO Y SOPORTE

DSS01
Gestionar las Operaciones
UPERVISAR
EDM02
Asegurar la Entrega de Beneficios

RGANIZAR
AP002
Gestionar la Estrategia
AP009
Gestionar los Acuerdos de Servicio

MPLEMENTAR
BAI02
Gestionar la Definición de Requisitos
BAI09
Gestionar los Activos
RVICIO Y SOPORTE
DSS02
Gestionar las Peticiones y los Incidentes
del Servicio
PROCES
EDM03
Asegurar la Optimización del Riesgo

AP003
Gestionar la Arquitectura Empresarial
AP010
Gestionar los Proveedores

BAI03
Gestionar la Identificación y la
Construcción de Soluciones
BAI10
Gestionar la Configuración
DSS03
Gestionar los Problemas
PROCESO GOBIERNO DE
EDM04
Asegurar la Optimización de los

Recursos
AP004
Gestionar la Innovación
AP011
Gestionar la Calidad
BAI04
Gestionar la Disponibilidad y la
Capacidad
DSS04
Gestionar la Continuidad
GOBIERNO DE TI EMPRESARIAL
EDM05
Asegurar la Transparencia hacia las

partes interesadas
AP005
Gestionar el portafolio
AP012
Gestionar el Riesgo
BAI05
Gestionar la introducción de Cambios

Organizativos
DSS05
Gestionar los Servicios de Seguridad
I EMPRESARIAL
AP006
Gestionar el Presupuesto y los Coste
AP013
Gestionar la Seguridad
BAI06
Gestionar los Cambios
DSS06
Gestionar los Controles de los Procesos
del Negocio
AP007
Gestionar los Recursos Humanos

BAI07
Gestionar la Aceptación del Cambio y de

la Transición
SUPERVISAR EVALUAR Y
VALORAR
MEA01
Supervisar, Evaluar y Valorar

Rendimiento y Conformidad
MEA02
Supervisar, Evaluar y Valorar el Sistema

de Control Interno
MEA03
Supervisar, Evaluar y Valorar la
Conformidad con los Requerimientos
Externos
Controles en las redes de
comunicaciones
La seguridad informática (puede designarse

responsabilidad a control interno o control d
Control de información
clasificada
Licencias y relaciones
contractuales con terceros
apo 13
mática (puede designarse la

ontrol interno o control dual)
apo 12
ap009
nathy
dss05 fer
pancho y katty
paul
MATRIZ DE PROBABILIDAD E IMPACTO
PONDERACIÓN PONDERACIÓN
PROBABILIDAD IMPACTO
5. CATASTROFICO
INSIGNIFICATIVO
5. CASI CERTEZA
2. IMPROBABLE
3. MODERADO
ACTIVIDADES RIESGOS TOTAL
4. PROBABLE
3. POSIBLE
2. MENOR
4. MAYOR
1. RARO
1.
Las politicas del uso ,
aplicación , capacitacion de
Cumplimiento de
sotware y hadware no cumplan
1 procedimientos, normas y 1 1 2
con lo establecido según el
controles dictados
manual de unicones del area de
ti
Controles sobre la calidad y

no existe una programacion
3 eficiencia del desarrollo y para el mantenimiento y las 2 2 4
mantenimiento de software y
actualizaciones del sotware
del servicio de informática
*
4 Controles en las redes de
No existe en la empresa
2 4 6
comunicaciones intranet
Usuarios, responsables y no dar de bajaa los usuarios

8 perfiles de usos de archivos, que dejan delaborar en la 3 2 5
base de datos. empresa
no existe control dual, el

11 Control dual de la seguridad manejo es respponsabilidad de 2 1 3
informática una persona
Gestión
ÁREA
APO08 GESTIONAR LAS
RELACIONES
DOMINIO Alinear, Planificar y Organizar
Descripción de Proceso
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obt
empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolera
en la confianza mútua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad
claves.
Declaración del Propósito del Proceso
Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.
META TI METRICAS RELACIONADAS
1 Alineamiento de TI y Nivel de Satisfacción de las partes interesadas con el alcance del

estrategia de negocio portafolio de programas y servicios planeados.
Entrega de servicios de TI de
7 acuerdo a los requisitos del Porcentaje de partes interesadas satisfechas con el cumplimiento de
servicio de TI entregado respecto a los niveles de servicio acordado.
negocio
Capacitación y soporte de
12 negocio integrando Número de incidentes en los procesos de negocio debidos a errores de
aplicaciones y tecnología en integración tecnológica.
procesos de negocio
Conocimiento, experiencia e
17 iniciativas para la innovación Número de iniciativas aprobadas resultantes de ideas innovadoras de
TI.
de negocio.
PROMEDIO
META DEL PROCESO METRICAS RELACIONADAS
Las estrategias, planes y

1 requisitos de negocio están Porcentaje de servicios TI alineados con los requisitos de negocio.
bien entendidos,
documentados y aprobados
Existencia de buenas
2 relaciones entre la empresa y Resultados de las encuestas de satisfacción de los usuarios y del personal de TI.
las TI.
Las partes interesadas del
3 negocio son conscientes de Encuesta del nivel de concienciación tecnológica de las partes interasadas de negocio.
las oportunidades
posibilitadas por la TI
JUSTIFICACIÓN
1 El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención perso
cliente tanto interno como externo.
7 El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención perso
12 Existen problemas al momento de integar la información en los sistemas, debido a
17 Cada integrante de TI puede presentar ideas tanto de nuevos productos, o mejoras a los existentes; asi como tambien
mejor desempeño del departamento de TI. Al ser voluntario pocos son los que presentan estas ideas e iniciativas.
Gestión
AP 012 Gestionar Servicios de ÁREA
Seguridad
DOMINIO Alinear, Planiicar y Organizar
Identiicar, Evaluar y reducir los riesgos relacionados con TI de orma continua, dentro de los niveles de tolerancia establecid
ejecutiva de la empresa
Integrar la gestion de riesgos empresariales relacionados con TI con la gestion de riesgos empresariales general (ERM) y eq
beneicios degestionar riesgos empresariales relacionados con TI
Cumplimiento y soporte de TI al Nùmero de asuntos de incumplimiento relacionados con TI reportados a la

2 cumplimiento del negocio de las junta que llegan a ser de dominio público oque provocan situaciones de
leyes y regulaciones externas escándalo.
Riesgos de negocio relacionadas Número de incidentes significativos relacionados con las TI que no fueron
4 con las TI gestionados. identificados en la evaluación de riesgos.
Transparencia de los costes, Encuestas de satisfacción a las partes interesadas clave relativa al nivel de
6 beneficios y riesgo de las TI transparencia, comprensión y presición de la infomación financiera de TI.
Seguridad de la información, Tiempo para otorgar, modificar y eliminar los provilegios de acceso, comparado
10 infraestructura de con los niveles de servicio acordados.
procesamiento y aplicaciones.
Entrega de programas que
proporcionen beneficios a
tiempo, dentro del presupuesto Número de programas que necesitan ser revisados significativamente debido a
13 defectos de calidad
y satisfaciendo los requisitos y
normas de calidad
Objetivos y Métricas del Proceso

El riesgo relacionado con TI está Numero de vulnerabilidades descubiertas.
1 identiicado, analizado,
gestionado y reportado
Existe un peril de riesgo actual y Porcentaje de individuos que reciben formación de concienciación relativa al uso de dispositivo
2 completo
Todas las acciones de gestion

3 para los riesgos signiicativos Promedio de tiempo entre los cambios y actualizaciones de cuentas.
estan gestionadas y bajo control
Las acciones de gestion de

4 riesgos están eectivamente
implementadas
Justificación
el número de problemas de no conformidad con respecto a acuerdos contractuales con proveedores de servicios TI. S
existen
la matriz3 de
acuerdos contractuales
calor que de los
son 10 riesgos cuales 1 tiene
significativos parauna no conformidad
la empresa ya que
de los cuales seno se cumplió
detectaron con
que dosuno
dede los punto
estos riesgo
dicho acuerdo es por esto que nos da un promedio del 33% lo que significa que hay que ir mejorando esas
directamente con los servicios de seguridad resolviendo dichos indicadores nos da un promedio del 20% lo que signifi falencias p
frecuencia de la evaluación
los riesgos identificados de seguridad
en este frente
proceso, con a los
el fin deúltimos estándares
darles un y guías
tratamiento basándonos
apropiado en e papel
y así llévalos a unde trabajo
nivel qu
acepta
anteriormente se determinó que la empresa tiene establecidos tres controles al mes los cuales se detecto que los tres
ficar y Organizar
el objetivo común de obtener resultados

puesto y los riesgos tolerables. Basar la relación
opiedad y responsabilidad en las decisiones
ursos.
INDICADOR PORCENTAJE
4/5 80%
4/5 80%
2,5/5 50%
1/5 20%
58%
NADAS
ocio.
del personal de TI.

s interasadas de negocio.
debido a la atención personalizada a cada
debido a la atención personalizada a cada
stentes; asi como tambien iniciativas para el

tas ideas e iniciativas.
icar y Organizar
s de tolerancia establecidos por ladireccion
ariales general (ERM) y equilibrar los costes y
INDICADOR PORCENTAJE
1/3 33%
2/5 40%
1/3 33%
1/3 33%
3/8 38%
TOTAL 36%
ONADAS
relativa al uso de dispositivos de usuario final.
s.
veedores de servicios TI. Se Encontró que

mplió
on quecon uno
dos dede los puntos
estos riesgos establecidos en
tienen que ver
mejorando esas falencias para el bienestar de la
edio del 20% lo que significa que se ha evaluado
sllévalos
en e papel
a unde trabajo
nivel que separa
aceptable realizó
la
les se detecto que los tres controles se cumplen
APO08
Gestionar las relaciones entre el negoc

empresariales exitosos apoyando los o
en la confianza mútua, usando término
claves.
Crear mejores resultados, mayor confia
META TI
12
17
META DEL PROCESO
2
3
12
17
Gestión
ÁREA
APO08 GESTIONAR LAS
RELACIONES
DOMINIO Alinear, Planificar y Organizar
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener
empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables.
en la confianza mútua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en la
claves.
Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.

Alineamiento de TI y Nivel de Satisfacción de las partes interesadas con el alcance del
estrategia de negocio portafolio de programas y servicios planeados.
Entrega de servicios de TI de Porcentaje de partes interesadas satisfechas con el cumplimiento de

acuerdo a los requisitos del servicio de TI entregado respecto a los niveles de servicio acordado.
negocio
Capacitación y soporte de
negocio integrando Número de incidentes en los procesos de negocio debidos a errores de
aplicaciones y tecnología en integración tecnológica.
procesos de negocio
Conocimiento, experiencia e Número de iniciativas aprobadas resultantes de ideas innovadoras de

iniciativas para la innovación TI.
de negocio.
PROMEDIO
Las estrategias, planes y

requisitos de negocio están Porcentaje de servicios TI alineados con los requisitos de negocio.
bien entendidos,
documentados y aprobados
Existencia de buenas
relaciones entre la empresa y Resultados de las encuestas de satisfacción de los usuarios y del personal de TI.
las TI.
Las partes interesadas del
negocio son conscientes de Encuesta del nivel de concienciación tecnológica de las partes interasadas de negocio.
las oportunidades
posibilitadas por la TI
JUSTIFICACIÓN
El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención personaliz
El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención personaliz
Existen problemas al momento de integar la información en los sistemas, debido a
Cada integrante de TI puede presentar ideas tanto de nuevos productos, o mejoras a los existentes; asi como tambien inicia
mejor desempeño del departamento de TI. Al ser voluntario pocos son los que presentan estas ideas e iniciativas.
DSS 05 Gestionar Servicios de
Seguridad
ficar y Organizar
el objetivo común de obtener resultados
puesto y los riesgos tolerables. Basar la relación Proteger la información e la empresa para mantener aceptable el nivel de riesgo de se
seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la in
opiedad y responsabilidad en las decisiones

Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
ursos. que satisfagan las necesidades de las partes interesadas.
INDICADOR PORCENTAJE EL PROCESO APOYA LA CONSECUCIÓN DE UN CONJUNT
4/5 80% META TI METRICAS RELACIONAD

*Número de problemas de no conformidad relativ
ha informado al consejo de administración o han o
Cumplimiento y soporte de TI al comentarios o bochorno público.
4/5 80% ´02 cumplimiento del negocio de las
leyes y regulaciones externas *Nú
de no conformidad con respecto a acuerdos contr
proveedores de servicios de TI.
de negocio relacionadas *Porcentaje de evaluaciones del riesgo de la empr

2,5/5 50% ´04 Riesgos
con las TI gestionados. riesgos relacionados con TI.
*Número de servicios de TI con los requisitos de s

Seguridad de la información,
1/5 20% 10 infraestructura de otorgar, modificar, y eliminar ls privilegios de acce
procesamiento y aplicaciones. los niveles de servicios acordados. *Frecuenc
seguridad frente a los últimos estándares y guías.
58% OBJETIVOS Y METRICAS DEL PROCESO

NADAS META DEL PROCESO METRICAS
La seguridad de las redes y las Numero de vulnerabilidades descubier

ocio. 1 comunicaciones cumple con
las necesidades del negocio.
La información procesada,
del personal de TI. 2 almacenada y transmitida en Porcentaje de individuos que reciben fo
los dispositivos de usuario dispositivos de usuario final.
final está protegida.
Todos los usuarios están
identificados de manera única
s interasadas de negocio. 3 y tienen derechos de acceso Promedio de tiempo entre los cambios y actualiza
de acuerdo con sus roles en el
negocio.
Se ha supervisado el cumplimiento y soporte de TI al cumplimiento del negocio d

Justificación
debido a la atención personalizada a cada el número de problemas de no conformidad con respecto a la actualización de lic
realizada al año y que esta mismo tiene una no conformidad ya que no se cumpli
que nos da un promedio del 0% lo que significa que hay que ir mejorando esas fa
Con relación a los riesgos del negocio relacionados con las TI se identificaron, ana
la matriz de calor que son 4 riesgos significativos para la empresa de los cuales se
debido a la atención personalizada a cada directamente con los servicios de seguridad resolviendo dichos indicadores nos d
los riesgos identificados en este proceso, con el fin de darles un tratamiento apro
organización.
Para finalizar con respecto a la seguridad de la información, infraestructura de pr

frecuencia de la evaluación de seguridad frente a los últimos estándares y guías b
anteriormente se determinó que la empresa tiene establecidos 3 controles al me
eficiencia y eficacia ya que nos dio un promedio del 67% en esta meta.
stentes; asi como tambien iniciativas para el
tas ideas e iniciativas.
ÁREA Gestión
DOMINIO Entregar, dar Servicio y Soporte
ner aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de

uridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
eso
bilidades e incidentes operativos de seguridad en la información.
esadas.
A LA CONSECUCIÓN DE UN CONJUNTO DE PRINCIPALES METAS TI
METRICAS RELACIONADAS INDICADOR PORCENTAJE

problemas de no conformidad relativos a TI de los que se
al consejo de administración o han ocasionado
o bochorno público.
*Número de problemas 0/1 0%
midad con respecto a acuerdos contractuales con
de servicios de TI.
e evaluaciones del riesgo de la empresa que incluyen los

onados con TI. 1/2 50%
servicios de TI con los requisitos de seguridad pendientes.

*Tiempo para
ficar, y eliminar ls privilegios de accesos comparado con 2/3 67%
servicios acordados. *Frecuencia de la evaluación de
nte a los últimos estándares y guías.
TIVOS Y METRICAS DEL PROCESO 39%

METRICAS RELACIONADAS
e vulnerabilidades descubiertas.
de individuos que reciben formación de concienciación relativa al uso de

s de usuario final.
tiempo entre los cambios y actualizaciones de cuentas.
e de TI al cumplimiento del negocio de las leyes y regulaciones externas, en los cuales se analizó
con respecto a la actualización de licencias periodicamente de TI. Se Encontró que existe 1
no conformidad ya que no se cumplió con una adecuada actualización de licencias es por esto
fica que hay que ir mejorando esas falencias para el bienestar de la organización.
nados con las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en
tivos para la empresa de los cuales se detectaron que 2 de estos riesgos tienen que ver
resolviendo dichos indicadores nos da un promedio del 50% lo que significa que se ha evaluado
n el fin de darles un tratamiento apropiado y así llévalos a un nivel aceptable para la
la información, infraestructura de procesamiento y aplicaciones, en el cual se analizó la

nte a los últimos estándares y guías basándonos en e papel de trabajo que se realizó
tiene establecidos 3 controles al mes los cuales se detecto que 2 controles se cumplen con
dio del 67% en esta meta.
MATRIZ RACI APO08 GESTIONAR LAS RE
Director de Operaciones
Director General
Práctica Clave del Gobierno
APO08.01 Entender las expectativas del negocio A R

Identificar oprtunidades, riegos y limitaciones de TI para mejorar el
APO08.02 negocio. C
APO08.03 Gestionar las relaciones con el negocio. C A
APO08.04 Coordinar y comunicar. C
APO08.05 Proveer datos de entrada para la mejora contínua de los servicios. R R
R RESPONSABLE
A PERSONA A CARGO
C CONSULTADO
I INFORMADO
MATRIZ RACI AP 012 GESTIONAR EL

Director General
AP012.01 Recopilar Datos R
AP012.02 Analizar el Riesgo
AP012.03 Mantener el peril de Riesgo R
AP012.04 Expresar el riesgo R
AP012.05 Deinir un portaolio de acciones para la gestion de riesgos R
AP012.06 Responder al Riesgo
R RESPONSABLE
A PERSONA A CARGO
C CONSULTADO
I INFORMADO
MATRIZ RACI DSS05 Gestionar Servicios d
Director General
DSS05.01 Definir la estructura organizativa I

DSS05.02 Establecer roles y responsabilidades I
DSS05.03 Mantener los elementos catalizadores del sistema de gestión C I
DSS05.04 Comunicar los objetivos y la dirección de gestión I C
DSS05.05 Optimizar la ubicación de la función de TI R
DSS05.06 Definir la propiedad de información y del sistema C
DSS05.07 Gestionar la mejora continua de los procesos C
R RESPONSABLE
A PERSONA A CARGO
C CONSULTADO
I INFORMADO
I
A
Jefe de Recursos Humanos
I
I
I
R
Auditoria
GESTIONAR EL RIESGO
I
R
Director de Informática
GESTIONAR LAS RELACIONES
A
A
Jefe de operaciones de TI
R
R
Supervisor de Operaciones de TI
C
Gestor de servicios
R Gestor de seguridad de
información
Gestor de privacidad de
R
información
C
Auditoria
I
C
I
I
A
C
C
R
R
Supervisor de Operaciones de TI
Gestor de servicios
C
C
R
A
A
Gestor de seguridad de información
A
A
A
Gestor de privacidad de información

C
A
Auditoria
R
A
Gestionar Servicios de Seguridad
C
C
Supervisor de Operaciones
C
C
R
de TI
Gestor de servicios
Gestor de seguridad de
R
información
Gestor de privacidad de
C
información
C A R
C R I
C C I A R
C R R A
MATRIZ DE MADUREZ
Atributo de Gestión de Gestión de Definición de Despliegue Gestión de Control de

Rendimiento Rendimiento Resultado de Procesos de Procesos Procesos Procesos
del Proceso trabajos
Proceso Proceso Proceso Gestionado Proceso Establecido Proceso Predecible

Incompleto Ejecutado
DSS05
GESTIONAR
SERVICIOS DE
SEGURIDAD
Innovación Optimización
de Procesos de Procesos
Proceso Optimizado

Audi Informatica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audi Informatica

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

Septiembre 2016 - Febrero 2017

2. Dotar a la Institución, de acuerdo con su Plan Estratégico, de una infraestructura

3. Mejorar el servicio a las personas usuarias internas y externas con la adopción de

4. Capacitar constantemente al personal para que el desarrollo y el desempeño del mismo

Actividades Acción Responsable

Instalación del Sistema Equipo técnico

Compuequip DOS es una empresa que se dedica a brindar servicios de tecnología

ü Empresa ecuatoriana con mayor especialización y prestación de servicios de HP y

ü Capacidad de proveer soluciones y servicios integrados con fabricantes de clase mundial.

ü Empresa con estructura profesional

ü Ofrece Servicios de Clase Mundial al cliente: innovación, creatividad, flexibilidad y

ü Gerenciada por profesionales de la industria, con más de 15 años de experiencia.

Los auspiciantes de Compuequip DOS son:

PROPÓSITOS Y OBJETIVOS ORGANIZACIONALES

Contribuir al crecimiento de la productividad del negocio de las empresas ecuatorianas a

Realizar importación, adquisición, comercialización, arriendo, compra, venta de computadores y

Venta, preventa, de equipos de computo y accesorios

Asistencia Profesional y técnica en el área de sistemas, asesoría en la elaboración, almacenamiento y

Obtener rentabilidad para la empresa brindando un servicio de tecnología de alta calidad

Definir el modelo de información de la organización que garantice la disponibilidad, integridad,

IDENTIFICAR EL ORIGEN DE LA AUDITORÍA

En la actualidad tienen sucursales en las principales ciudades del país Quito, Gu

COMUTADORES COMPUEQUIP DOS S.A

1 ¿Existen políticas del uso del software y hardware? X

Nº PREGUNTA DIARIO SEMANAL MENSUAL OTROS ARGUMENTACIÓN

Nº PREGUNTA SI NO N/A ARGUMENTACIÓN

4 ¿Existe un responsable sobre la comunicación y Se encarga el Personal de Networking, cargo

Nº PREGUNTA SI NO N/A ARGUMENTACIÓN

8 ¿El perfil del encargado de mantenimiento es el ESCOLARIDAD, EXPERIENCIA, TIEMPO QUE

11 ¿Existen mantenimientos periódicos para las redes X CADA QUE TIEMPO

14 ¿Quiénes son las personas autorizadas para la X

Nº PREGUNTA SI NO N/A ARGUMENTACIÓN

18 ¿Pueden los usuarios externos acceder al área SI LA RESPUESTA ES AFIRMATIVA ESPECIFICAR

Nº PREGUNTA SI NO N/A ARGUMENTACIÓN

24 ¿Cada cuánto tiempo se realizan cambios a las X Cada Año

28 ¿Existen licencias y relaciones contractuales con X INDIQUE EL MÁS IMPORTANTE

29 ¿Existe una renovación de licencias los programas? X TIPO DE PROGRAMAS

Nº PREGUNTA SI NO N/A ARGUMENTACIÓN

30 ¿Existe un informe técnico en el que se justifique la X QUIEN LO ELABORA Departamento de TI

31 ¿Se realizan capacitaciones para disminuir el riesgo X CADA QUE TIEMPO

CASI CERTEZA ENTRE 81% 5

#REF! ¿Existen políticas del uso del software y

#REF! ¿Se notifica el cambios de software y

#REF! ¿Existe un responsable sobre la comunicación

¿La capacidad de hardware y software es

#REF! ¿Existe un responsable para realizar el

#REF! ¿Existen políticas para el aseguramiento de la

3.-Controles sobre la calidad y

#REF! ¿Existen actualizaciones del software?

#REF! ¿Existe una persona encargada de las redes

4.- Controles en las redes de

#REF! ¿Se interrumpen las redes de comunicación?

#REF! ¿Existe libre acceso al software empresarial?

#REF! ¿Quiénes son las personas autorizadas para la

#REF! ¿Existen licencias vigentes para el uso de

7.- La seguridad informática

#REF! ¿Pueden los usuarios externos acceder al

#REF! ¿Se realizan controles para el ingreso en la

#REF! ¿Se realizan respaldos periódicamente de las

#REF! ¿Existen claves de acceso para los equipos de

#REF! ¿Existen responsables para el planteo de las

#REF! ¿Cada cuánto tiempo se realizan cambios a