ndice
Introduccin Caractersticas de la empresa Organigrama de Tics Organigrama de desarrollo de software Descripcin de las reas de ACME Descripcin de las reas de TICs Metodologa COBIT y Requerimientos Objetivo General del departamento de TI Reporte General De Grados De Madurez Posibles Problemas Propuestas de auditora a ACME (TICs) con perspectiva COBIT Propuestas de seguridad del departamento Conclusiones Recomendaciones Nivel de madurez Glosario 2 3 4 5 6 7 8 9 10 12 13 18 20 21 22 23
ntroduccion
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier Organizacin Empresarial, los Sistemas de Informacin de la Organizacin. Donde los Sistemas Informticos hoy en da constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organizacin. Por lo ello se realiza una auditoria informtica en la Organizacin ACME tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologas de la Informacin, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluacin de 34 procesos que define esta metodologa, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnolgicos y humanos que cuenta la Organizacin en estudio.
Caracterizacion de la empresa
A una dcada de haber sido creada la empresa DESARROLLO DE SOFTWARE ACME S.A DE C.V, nos hemos convertido en la infraestructura para las tecnologas de informacin ms fuertes del pas. Nos consolidamos como la empresa nmero uno a nivel nacional, conjugando de manera estratgica los esfuerzos de todos nuestros participantes de manera tica y profesional. Nuestra empresa cuenta con personal altamente calificado en el ramo de la gestin de las tecnologas de la Informacin y de la programacin de sistemas. A lo largo de los aos hemos generado incrementos considerables en los activos de las empresas y clientes que se benefician de nuestros productos. Nuestra garanta la respalda la satisfaccin de nuestro gran nmero de clientes en todo el pas.
ORGANIGRAMA DE TICs
Gerencia
TIC`S
Bases datos
Administracin de Proyectos
Capacitacin
Ingeniera De Software
Gerencia
Marketing
TICs
Contabilidad
rea de marketing. Se encarga de basarse en la investigacin del are del mercado as como tambin de las polticas que debe llevar el producto y el desempeo del mismo.
rea de Administracin. Se encarga de velar por una adecuada organizacin, soporte logstico, administracin eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organizacin en General.
rea de tics. Se encarga de integrar y coordinar los servicios informticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser ms especficos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.
Administracin de proyectos. Se encargara de que los resultados de los proyectos elaborados en nuestra empresa deben cumplir con las metas especficas de calidad y de un excelente desempeo, cada uno de los proyectos debe contar con una planeacin revisada por cada uno de los analistas responsables del rea.
Soporte tcnico. El rea de soporte tcnico aclarara todas las dudas y solucionara todos los problemas que el cliente solicite en relacin al software adquirido en muestra empresa.
Capacitacin. Esta rea se encargara de ayudar a los miembros de la empresa a para que cuenten con los conocimientos, habilidades y actitudes necesarios para el ptimo desempeo de las funciones a su cago y fomentar su desarrollo integral.
Requerimientos En la actualidad se pide a los directivos y ejecutivos de la Organizacin que tomen muy en cuenta una correcta administracin de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel ptimo de administracin y control de la Tecnologas de la Informacin. Estos modelos de madurez estn diseados como perfiles de procesos de TI que una Organizacin los reconocera como estados posiblemente actuales y futuros, estos modelos no estn diseados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los procesos de TI de COBIT, la administracin podr identificar: El desempeo real de la Organizacin: Donde se encuentra la Organizacin hoy. El Status actual de la industria: La comparacin EL objetivo de la mejora de la Organizacin: Donde desea estar la Organizacin.
PO5 Adquirir e AI1 AI2 Implementar AI3 AI4 AI5 Entregar y Dar DS1 DS2 Soporte DS3 DS4 DS5 Monitorear y ME1 ME2 evaluar ME3 ME4
Definir el Plan Estratgico de Tecnologa de la Informacin Definir la Arquitectura de la Informacin Determinar la Direccin Tecnologa Definir los Procesos, la Organizacin y las Relaciones de TI Administrar la Inversin de TI Identificar Soluciones Automatizadas Adquirir y Mantener Software Aplicativo Adquirir y Mantener Infraestructura Tecnolgica Facilitar la Operacin y el Uso Adquirir Recursos de TI Definir y Administrar los Niveles de Servicio Administrar los Servicios de Terceros Administrar el Desempeo y la Capacidad Garantizar la Continuidad del Servicio Garantizar la Seguridad de los Sistemas Monitorear y Evaluar el Desempeo de TI Monitorear y Evaluar el Control Interno Garantizar el Cumplimiento Regulatorio Proporcionar Gobierno de TI
1 1 1 2 4 1 2 1 1 4 1 3 1 1 1 0 0 1 0
Resumen de Anlisis por Dominios: Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del negocio. ACME no est alcanzando el uso ptimo de los recursos ya que estos no son aprovechados al mximo o de tambin no se cuenta con los recursos necesarios para el desempeo de ciertas tareas. ACME no expone que los usuarios y el personal comprenden la importancia de los cumplimientos de las metas de ACME en el rea de TI.
10
Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, as como la implementacin e integracin en los procesos del negocio. Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan que implemente la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no se encuentran implementadas de forma ptima. Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evala el control interno en ACME. Existe un poco vinculacin en el desempeo de TI con las metas del negocio. No existe una medicin ptima de riesgos y el reporte de estos, as como el cumplimiento, desempeo y control.
11
Posibles Problemas
Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Falta de una planificacin informtica. Disminucin considerable e injustificable del presupuesto del rea de Comercio. Falta de documentacin del sistema de informacin y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos. Organizacin que no funciona correctamente por la falta de polticas, normas, metodologa, asignacin de tareas, debidamente establecida por la Gerencia General.
12
13
Infraestructura: Cuenta con el rea adecuada para la seguridad de infraestructura. Cuenta con el equipo adecuado para el buen funcionamiento de nuestro gestor de datos. Personal: El personal cuenta con la capacitacin adecuada para el manejo del gestor de base de datos. El personal cuenta con el conocimiento de metodologas para el diseo de bases de datos. Cuenta con el personal adecuado o necesario para el diseo de nuestras bases de datos y uso de la infraestructura. El personal cuenta con alguna certificacin con la cual se pueda garantizar el trabajo adecuado. As como el personal debe capacitarse para el avance del software y del hardware el cliente debe capacitarse para el desenvolvimiento en la venta de nuestro software convencer al cliente de lo eficaz y eficiente del producto que se le vende. Tambin ACME debe dar seguimiento a la utilizacin de su software para mantenimiento del mismo aplicando otro costo para el cliente, esto para beneficio tanto cliente como ventas (ACME) nuestra
14
15
hardware para las pruebas de mantenimiento en el equipo daado o que es necesario el soporte. El personal debe estar atento para cuestiones de atencin de clientes.
Personal: EL personal debe de administrar el tiempo. El personal debe de tener un conocimiento amplio de posibles errores y soluciones en cuestiones de hardware. ACME debe tener un personal adecuado para el rea de soporte contar con cualquier situacin en la que se presente. y
16
El personal debe contar con las prestaciones de ley, y las que proponga aparte el rea del personal y la empresa Debe de haber aumentos por eficacia y eficiencia por parte de los trabajadores, para promover la eficacia y eficacia de la empresa ACME y as producir bien y mejor y darse a conocer como una empresa lder.
Infraestructura: Cuenta con el espacio necesario para llevar una capacitacin a un cierto nmero de personal del rea de TI. Personas: El personal debe de capacitarse en cuestiones de avance en software o hardware. El cliente debe de ser capacitado por ACME en cuestiones del uso del sistema desarrollado en dicha empresa. As como el equipo de cmputo debe tener reas seguras tambin se deben asegurar estos equipos de cmputo y mobiliario mediante una aseguradora en caso de robo incendio etc. Tanto como una aseguradora es importante, tambin lo es la gente de vigilancia. Y tambin estar respaldando la informacin peridicamente, la que se tiene en los equipos, en cualquiera de los casos que se presente.
17
CUMPLIMIENTO.- Para este criterio el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales est comprometido ACME, es considerable con un porcentaje medio. CONFIABILIDAD.- Para este criterio proveer la informacin apropiada para que la administracin tome decisiones adecuadas para manejar ACME y cumplir con sus responsabilidades es considerable.
19
Conclusiones
Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeo, as como el nivel de madurez de cada uno de los procesos de ACME. Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (informacin, hardware, software, etc.) de ACME mediante un modelo de desarrollo de gobernacin de TI. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en ACME. Tambin se ha diagnosticado cada uno de los criterios de la informacin, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
20
Recomendaciones
Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crtico. Realizar evaluaciones peridicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo. Se debe utilizar software aplicativo con licenciamiento, as como adecuar las instalaciones del rea de informtica, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes. Hacer el uso del presente trabajo, con el fin de tomarlo como gua para futuras mejoras en TI.
21
Niveles de madurez
NO EXISTENTE 1 INICIAL Carencia completa de cualquier proceso reconocible. La Organizacin no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
2 REPETIBLE
3 DEFINIDO
4 ADMINISTRADO
5 OPTIMIZADA
22
Glosario
Auditora Informtica.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informtico o estructura informtica protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Informacin Technologies), modelo de referencia utilizado en el control de tecnologas de la informacin as como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. TI.- Tecnologas de la Informacin. Plan Estratgico.- Es un plan a largo plazo aprobado por una empresa. Problema.- Es la causa desconocida de uno o varios incidentes.
23