UNIVERSIDAD VERACRUZANAUNIVERSIDAD VERACRUZANA

Auditora COBITAuditora COBIT

Auditora informticaAuditora informtica
14/05/201314/05/2013 Iris Rodrguez Mrquez Vctor Maximiliano Morales Reyes Erick Yair Gumesindo Trujillo Karim Luna Guzmn

ndice
Introduccin Caractersticas de la empresa Organigrama de Tics Organigrama de desarrollo de software Descripcin de las reas de ACME Descripcin de las reas de TICs Metodologa COBIT y Requerimientos Objetivo General del departamento de TI Reporte General De Grados De Madurez Posibles Problemas Propuestas de auditora a ACME (TICs) con perspectiva COBIT Propuestas de seguridad del departamento Conclusiones Recomendaciones Nivel de madurez Glosario 2 3 4 5 6 7 8 9 10 12 13 18 20 21 22 23

ntroduccion
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier Organizacin Empresarial, los Sistemas de Informacin de la Organizacin. Donde los Sistemas Informticos hoy en da constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organizacin. Por lo ello se realiza una auditoria informtica en la Organizacin ACME tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologas de la Informacin, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluacin de 34 procesos que define esta metodologa, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnolgicos y humanos que cuenta la Organizacin en estudio.

Caracterizacion de la empresa
A una dcada de haber sido creada la empresa DESARROLLO DE SOFTWARE ACME S.A DE C.V, nos hemos convertido en la infraestructura para las tecnologas de informacin ms fuertes del pas. Nos consolidamos como la empresa nmero uno a nivel nacional, conjugando de manera estratgica los esfuerzos de todos nuestros participantes de manera tica y profesional. Nuestra empresa cuenta con personal altamente calificado en el ramo de la gestin de las tecnologas de la Informacin y de la programacin de sistemas. A lo largo de los aos hemos generado incrementos considerables en los activos de las empresas y clientes que se benefician de nuestros productos. Nuestra garanta la respalda la satisfaccin de nuestro gran nmero de clientes en todo el pas.

ORGANIGRAMA DE TICs

Gerencia

TIC`S

Bases datos

Administracin de Proyectos

Capacitacin

Mantenimiento y Soporte Tcnico

-Integridad de datos -Acceso a datos -Permisos de usuarios

Ingeniera De Software

-Capacitacin de usuarios. -Capacitacin de clientes

-Redes y comunicaciones -Seguridad de Software -Seguridad de Hardware -Mantenimiento de Hardware

-Anlisis de Software -Diseo y codificacin -Verificacin y Validacin -Recopilacin de Requerimientos

ORGANIGRAMA DESAROLLO DE SOFTWARE ACME S.A de C.V

Direccin Depto. De Auditoria Informtica

Gerencia

Marketing

-Investigacin de Mercado -Poltica de producto -Desempeo del producto Administracin Ventas

TICs

Contabilidad

-Recursos Humanos -Compras -Ventas

Descripcion de las areas de ACME

Direccin. Tiene como propsito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las polticas de la Organizacin.

rea de marketing. Se encarga de basarse en la investigacin del are del mercado as como tambin de las polticas que debe llevar el producto y el desempeo del mismo.

rea de Administracin. Se encarga de velar por una adecuada organizacin, soporte logstico, administracin eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organizacin en General.

rea de tics. Se encarga de integrar y coordinar los servicios informticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser ms especficos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.

Descripcion de las areas de tics

Bases de datos. Las funciones principales del rea de redes y datos radican bsicamente en garantizar la confidencialidad y proteccin de los datos as como tener la informacin disponible en cualquier lugar y en cualquier momento.

Administracin de proyectos. Se encargara de que los resultados de los proyectos elaborados en nuestra empresa deben cumplir con las metas especficas de calidad y de un excelente desempeo, cada uno de los proyectos debe contar con una planeacin revisada por cada uno de los analistas responsables del rea.

Soporte tcnico. El rea de soporte tcnico aclarara todas las dudas y solucionara todos los problemas que el cliente solicite en relacin al software adquirido en muestra empresa.

Capacitacin. Esta rea se encargara de ayudar a los miembros de la empresa a para que cuenten con los conocimientos, habilidades y actitudes necesarios para el ptimo desempeo de las funciones a su cago y fomentar su desarrollo integral.

Metodologa COBT y requerimientos

Marco de trabajo de COBIT

Requerimientos En la actualidad se pide a los directivos y ejecutivos de la Organizacin que tomen muy en cuenta una correcta administracin de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel ptimo de administracin y control de la Tecnologas de la Informacin. Estos modelos de madurez estn diseados como perfiles de procesos de TI que una Organizacin los reconocera como estados posiblemente actuales y futuros, estos modelos no estn diseados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los procesos de TI de COBIT, la administracin podr identificar: El desempeo real de la Organizacin: Donde se encuentra la Organizacin hoy. El Status actual de la industria: La comparacin EL objetivo de la mejora de la Organizacin: Donde desea estar la Organizacin.

Objetivos general del departamento de ti

Recomendar la adquisicin de hardware, software bsico y de aplicaciones conveniente y necesario. Estructurar, ejecutar y actualizar el plan estratgico del Sistema de Informacin, segn los requerimientos de las reas y la coordinacin con la Gerencia General. Proporcionar mecanismos de seguridad tanto lgica y fsica del hardware, software y redes de ACME. Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organizacin, ya que no incurre ningn costo. Mantener actualizado el inventario del parque informtico y los precios de los productos de la base de datos, para la cotizacin correcta. Planificar y mantener actividades de Backups (copias de respaldo) de forma peridica en medios fsicos de almacenamiento masivo. Aprovechar la tecnologa existente para redisear el Website actual, convirtindolo en portal dinmico, donde puedan realizarse las operaciones transaccionales de la Organizacin y consultas comunes para los usuarios y clientes. Asesorar, administrar y proporcionar el soporte tecnolgico al personal de todas las reas de ACME.

Reporte general de grados de madurez

Dominio Proceso Nivel de madurez Planear Organizar y PO1

PO2 PO3 PO4

PO5 Adquirir e AI1 AI2 Implementar AI3 AI4 AI5 Entregar y Dar DS1 DS2 Soporte DS3 DS4 DS5 Monitorear y ME1 ME2 evaluar ME3 ME4

Definir el Plan Estratgico de Tecnologa de la Informacin Definir la Arquitectura de la Informacin Determinar la Direccin Tecnologa Definir los Procesos, la Organizacin y las Relaciones de TI Administrar la Inversin de TI Identificar Soluciones Automatizadas Adquirir y Mantener Software Aplicativo Adquirir y Mantener Infraestructura Tecnolgica Facilitar la Operacin y el Uso Adquirir Recursos de TI Definir y Administrar los Niveles de Servicio Administrar los Servicios de Terceros Administrar el Desempeo y la Capacidad Garantizar la Continuidad del Servicio Garantizar la Seguridad de los Sistemas Monitorear y Evaluar el Desempeo de TI Monitorear y Evaluar el Control Interno Garantizar el Cumplimiento Regulatorio Proporcionar Gobierno de TI

1 1 1 2 4 1 2 1 1 4 1 3 1 1 1 0 0 1 0

Resumen de Anlisis por Dominios: Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del negocio. ACME no est alcanzando el uso ptimo de los recursos ya que estos no son aprovechados al mximo o de tambin no se cuenta con los recursos necesarios para el desempeo de ciertas tareas. ACME no expone que los usuarios y el personal comprenden la importancia de los cumplimientos de las metas de ACME en el rea de TI.

10

Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, as como la implementacin e integracin en los procesos del negocio. Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan que implemente la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no se encuentran implementadas de forma ptima. Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evala el control interno en ACME. Existe un poco vinculacin en el desempeo de TI con las metas del negocio. No existe una medicin ptima de riesgos y el reporte de estos, as como el cumplimiento, desempeo y control.

11

Posibles Problemas
Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Falta de una planificacin informtica. Disminucin considerable e injustificable del presupuesto del rea de Comercio. Falta de documentacin del sistema de informacin y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos. Organizacin que no funciona correctamente por la falta de polticas, normas, metodologa, asignacin de tareas, debidamente establecida por la Gerencia General.

12

Propuestas de auditoria a ACME (TCs) con perspectiva COBT

Propuestas del rea de bases de datos:
Aplicacin: Cuenta con un gestor de bases de datos adecuado. Hace uso de software con licencia original. Cuenta con software que ayude a la seguridad de datos y de software instalado. Informacin: Cuenta con un modelo adecuado para la elaboracin de una buena implantacin. Cuenta con el conocimiento sobre el control de tipos de usuario. Existe una confiabilidad para el resguardo de informacin tanto de la empresa como la de los clientes. Existe una integridad de datos. Asegurar que la informacin crtica y confidencial se retiene a aquellos que no deben tener acceso Entregar proyectos a tiempo y sobre presupuesto reuniendo los estndares de calidad Asegurar la satisfaccin de nuestro producto

13

Infraestructura: Cuenta con el rea adecuada para la seguridad de infraestructura. Cuenta con el equipo adecuado para el buen funcionamiento de nuestro gestor de datos. Personal: El personal cuenta con la capacitacin adecuada para el manejo del gestor de base de datos. El personal cuenta con el conocimiento de metodologas para el diseo de bases de datos. Cuenta con el personal adecuado o necesario para el diseo de nuestras bases de datos y uso de la infraestructura. El personal cuenta con alguna certificacin con la cual se pueda garantizar el trabajo adecuado. As como el personal debe capacitarse para el avance del software y del hardware el cliente debe capacitarse para el desenvolvimiento en la venta de nuestro software convencer al cliente de lo eficaz y eficiente del producto que se le vende. Tambin ACME debe dar seguimiento a la utilizacin de su software para mantenimiento del mismo aplicando otro costo para el cliente, esto para beneficio tanto cliente como ventas (ACME) nuestra

14

Propuestas del rea de Administracin de proyectos:

Aplicaciones: El software cuenta con las caractersticas para la elaboracin de proyectos. Qu tipo de software usa para la documentacin de proyectos. Cuenta con equipos activados con software original. El software necesita de actualizaciones importantes. Cuenta con software que ayude a la seguridad del resto de software instalado en nuestros equipos de cmputo. Informacin: El personal cuenta con las metodologas aplicadas para la elaboracin de proyectos. El personal aplica las metodologas adecuadas a los proyectos que se les asigna. El personal hace buen uso del tiempo elaborando el proyecto eficazmente. Existe una confiabilidad en la elaboracin del proyecto. Infraestructura: Cuenta con el equipo necesario para la instalacin de software necesario para la elaboracin de proyectos. El equipo de cmputo est en un sector seguro La empresa cuenta con el equipo para cada personal. Optimizar la infraestructura y capacidades de las tecnologas dentro de la empresa. Personal: Cuenta con el personal adecuado y capacitado para la elaboracin de proyectos as como a la direccin de estos.

15

Propuestas del rea de soporte:

Aplicaciones: La empresa cuenta con respaldo de informacin. La empresa cuenta con el software ya instalado en el equipo de cmputo y la infraestructura en el rea de bases de datos. Informacin: El personal de soporte debe de contar ya con la informacin adecuada para la elaboracin del mantenimiento del equipo de cmputo en cuestiones de hardware y de software. El personal debe saber administrar el software que se instalara y tener consentimiento en que equipo es necesario. El personal encargado del rea de soporte debe conocerlos recursos con los que cuenta el equipo de cmputo y la infraestructura de bases de datos. El personal debe ser eficaz en atender en los asuntos de mantenimiento en la cuestin de software y hardware de los equipos. El personal hace a tiempo el soporte para el cliente que lo solicita. Infraestructura: El personal de soporte debe de contar con equipo y recursos de el software adecuado para la seguridad y

hardware para las pruebas de mantenimiento en el equipo daado o que es necesario el soporte. El personal debe estar atento para cuestiones de atencin de clientes.

Personal: EL personal debe de administrar el tiempo. El personal debe de tener un conocimiento amplio de posibles errores y soluciones en cuestiones de hardware. ACME debe tener un personal adecuado para el rea de soporte contar con cualquier situacin en la que se presente. y

16

El personal debe contar con las prestaciones de ley, y las que proponga aparte el rea del personal y la empresa Debe de haber aumentos por eficacia y eficiencia por parte de los trabajadores, para promover la eficacia y eficacia de la empresa ACME y as producir bien y mejor y darse a conocer como una empresa lder.

Propuesta del rea de capacitacin:

Informacin: La capacitacin debe de ser la adecuada segn el rea necesaria o que la solicite. La capacitacin debe ser constante. La capacitacin debe ser clara para el cliente.

Infraestructura: Cuenta con el espacio necesario para llevar una capacitacin a un cierto nmero de personal del rea de TI. Personas: El personal debe de capacitarse en cuestiones de avance en software o hardware. El cliente debe de ser capacitado por ACME en cuestiones del uso del sistema desarrollado en dicha empresa. As como el equipo de cmputo debe tener reas seguras tambin se deben asegurar estos equipos de cmputo y mobiliario mediante una aseguradora en caso de robo incendio etc. Tanto como una aseguradora es importante, tambin lo es la gente de vigilancia. Y tambin estar respaldando la informacin peridicamente, la que se tiene en los equipos, en cualquiera de los casos que se presente.

17

Propuestas de seguridad del departamento

1. Seguridad Fsica: Establecer un sistema contra incendios y la capacitacin adecuada para el manejo de estos. Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia. Contar con un espacio adecuado para el alojamiento de los servidores. 2. Seguridad Legal: Hacer uso de estndares y metodologas de calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseo de pginas web. Contar con las licencias de los sistemas operativos (Microsoft) en uso. Realizar una auditora de las tecnologas de la informacin externa a ACME 3. Seguridad de Datos: Realizar peridicamente Backus de la base de datos del sistema de informacin. Procesar los datos ms importantes de la Organizacin en las aplicaciones tecnolgicas (hojas de clculo, procesadores de texto y otros) y al sistema de informacin. Restringir al acceso al sistema de informacin y al servidor para que la data no sea adulterada. 4. Seguridad de Personas: Renovar los implementos de seguridad de los tcnicos de informtica. Realizar las sealizaciones ssmicas pertinentes en el establecimiento ante un desastre ssmico. Establecer polticas de integridad fsica y mental para el personal que labora, dentro de sus horas de trabajo. A continuacin analizamos cada uno de los criterios de la informacin: EFECTIVIDAD.- La informacin que es de importancia para ACME, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz. EFICIENCIA.- Para este criterio la informacin que debe generar el uso ptimo de los recursos de ACME. CONFIDENCIALIDAD.- Para este criterio la proteccin de la informacin de ACME para que esta no sea divulgada a personas o sectores extraos es bajo. INTEGRIDAD.- Para este criterio la distribucin de la informacin exacta y correcta, as como su validez con las expectativas de la empresa es bajo. DISPONIBILIDAD.- Para este criterio la accesibilidad de la informacin cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a la misma en ACME es baja.
18

CUMPLIMIENTO.- Para este criterio el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales est comprometido ACME, es considerable con un porcentaje medio. CONFIABILIDAD.- Para este criterio proveer la informacin apropiada para que la administracin tome decisiones adecuadas para manejar ACME y cumplir con sus responsabilidades es considerable.

19

Conclusiones
Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeo, as como el nivel de madurez de cada uno de los procesos de ACME. Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (informacin, hardware, software, etc.) de ACME mediante un modelo de desarrollo de gobernacin de TI. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en ACME. Tambin se ha diagnosticado cada uno de los criterios de la informacin, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

20

Recomendaciones
Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crtico. Realizar evaluaciones peridicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo. Se debe utilizar software aplicativo con licenciamiento, as como adecuar las instalaciones del rea de informtica, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes. Hacer el uso del presente trabajo, con el fin de tomarlo como gua para futuras mejoras en TI.

21

Niveles de madurez
NO EXISTENTE 1 INICIAL Carencia completa de cualquier proceso reconocible. La Organizacin no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.

2 REPETIBLE

3 DEFINIDO

4 ADMINISTRADO

5 OPTIMIZADA

22

Glosario
Auditora Informtica.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informtico o estructura informtica protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Informacin Technologies), modelo de referencia utilizado en el control de tecnologas de la informacin as como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. TI.- Tecnologas de la Informacin. Plan Estratgico.- Es un plan a largo plazo aprobado por una empresa. Problema.- Es la causa desconocida de uno o varios incidentes.

23