TEMA
PLANIFICACIÓN ESTRATÉGICA DE LA EMPRESA
"COMPUEQUIP DOS"
INTEGRANTES
Chalcualán Nathaly
Garcés Fernanda
Gordillo Francisco
Ibarra Paúl
López Soraya
CURSO
CA9-5
FECHA
Quito, 05-ENE-2017
PROFESOR
Mónica Jimbo Santana Msc.
Objetivos Estratégicos
1. Desarrollar capacidades orientadas a modernizar los procesos organizacionales básicos, la
planificación, el control y la evaluación para mejorar continuamente el proceso de toma de
decisiones institucionales.
Administrar el desempeño
Supervisor
y la capacidad
pronóstico de
desempeño y
capacidad de los
recursos de TI en
intervalos regulares
Administrar el desempeño
para minimizar el Supervisor
y la capacidad
riesgo de
interrupciones del
servicio originadas por
falta de capacidad o
-degradación del
Monitorear
continuamente el
desempeño y la
capacidad de los
-recursos
Mejorar el
de TI.
software que permite
dar asistencia no
Atención virtual a usuarios Supervisor
presencial y soporte a
usuarios a través del
Portal Institucional.
COMPUEQUIP DOS
Existen varios factores que la diferencian de otras empresas que se dedican al mismo
mercado de DOS, estos son:
VISIÓN
Ser la empresa en Ecuador, como asesor de confianza, que provee y ayuda a implementar
soluciones de tecnología informática, alineadas con los objetivos del negocio de nuestros
clientes.
VALORES
1. Brindar un servicio espectacular
2. Perseguir el crecimiento y aprendizaje continuo
3. Crear relaciones a largo plazo basadas en confianza, honestidad y la verdad
4. Construir un equipo positivo con espíritu de familia
5. Hacer más con menos
6. Fidelidad a los clientes y proveedores.
7. Confidencialidad.
8. Respeto por la gente y el trabajo.
9. Fidelidad a los clientes y proveedores.
10. Honestidad.
Nuestra cultura es nuestra pasión
OBJETIVOS
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
Mantenimiento preventivo y correctivo para sus equipos de computo, prevención de daños en sus
equipos de computo por falta de mantenimiento
Ahorro de tiempo y costos, ayuda rápida y oportuna sin perdida de tiempo, evitar la pérdida de
dinero, oportunidades y/o tiempo por el mal funcionamiento de sus equipos
OBJETIVOS ESTRATÉGICOS
Identificar las necesidades de nuestro cliente para dar apoyo y soporte de los sistemas de
información
INTRODUCCIÓN
Hoy en día los sistemas informáticos representan una herramienta muy
necesaria para materializar y efectuar los procesos de una organización de orden
social o empresarial.
Auditoría de sistemas de información se define como cualquier revisión y
evaluación de aspectos informáticos.
OBJETIVO
Asegurar una mayor integridad, confidencialidad y confidencialidad de la
información, mediante la recomendación de seguridades y controles vinculados
con los sistemas basados en TI, con la finalidad de conseguir resultados óptimos
para satisfacer los requerimientos de nuestros usuarios.
ALCANCE
La auditoría se realiza sobre los procesos desarrollados en la Empresa
Computadores Compuequip Dos S.A, los mismos que serán analizados y se
medirán de acuerdo al nivel de impacto de la Planificación Estratégica.
METODOLOGÍA
El proceso de desarrollo de la auditoría se aplica la metodología de COBIT,
mediante la cual se pretende determinar la situación organizacional en cuanto a
Sistemas Informáticos.
ANTECEDENTES
La Empresa Computadores Compuequip Dos S.A, es una empresa Ecuatoriana
con 28 años de experiencia en el mercado de tecnología, informática y
comunicaciones (TIC).
5 ¿La capacidad de hardware y software es suficiente EQUIPOS HP P2000, con Windows Server 2012
X TIPO DE SOFTWARE Y HARWARE, CAPACIDAD
para las actividades que se realizan? R2, con 30 discos de 4 Tb en Raid 5
10 ¿Existe una persona encargada de las redes de CADA QUE TIEMPO REALIZA COPIAS DE Un respaldo Incremental diario y un Full fin de
X
comunicación? SEGURIDAD DE DATOS semana
Nº PREGUNTA SI NO N/A ARGUMENTACIÓN
15 ¿losSesistemas
utiliza procedimientos para verificar el uso de X INDIQUE DE FORMA BREVE EL PROCEDIMIENTO
microinformáticos?
Nº PREGUNTA SI NO N/A ARGUMENTACIÓN
16 ¿Existen licencias vigentes para el uso de software? X CADA QUE TIEMPO RENUEVAN LICENCIAS Anual
19 ¿Se realizan controles para el ingreso en la base de X CADA QUE TIEMPO A diario
datos por los usuarios?
Nº PREGUNTA PREGUNTA ABIERTA ARGUMENTACIÓN
20 ¿Qué archivos son de libre acceso para el personal? Documentos colocados en la Intranet
26 ¿Existen restricciones en el acceso a los programas QUE TIPO DE RESTRICCIONES, A QUE Accesos controlados por Active Directori a las
X
y archivos? PROGRAMAS Y ARCHIVOS carpetas de Gerencia de cada Área
Nº PREGUNTA SI NO N/A ARGUMENTACIÓN
27 ¿Existe un responsable de los controles de EL RESPONSABLE PERTENECE A TI Y QUE
X
seguridad informática? CONTROLES APLICA
Nº PREGUNTA SI NO N/A ARGUMENTACIÓN
32 ¿Se realizan frecuentemente asesorías sobre los Sobre seguridad y uso adecuado de las
X A QUE RIESGO SE LES ASESORA CON PRIORIDAD
riesgos informáticos? herramientas informaticas
SCORE DE RIESGO
IMPACTO
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO
1 2 3 4 5
10
ENTRE 61%
PROBABLE 4
Y 80%
PROBABILIDAD
8 12
ENTRE 41%
POSIBLE 3
Y 60%
11 3 5 13 4 7
IMPROBABLE ENTRE 21% 2
Y 40%
1 2 6 9
ENTRE 0% Y
RARO 1
20%
ACTIVIDADES PREGUNTAS CUESTIONARIO
2. Controles sobre la producción #REF! ¿El área donde se encuentran los equipos es
el adecuado para su correcto
diaria funcionamiento?
8. Usuarios, responsables y
#REF! ¿Qué archivos son de libre acceso para el
perfiles de usos de archivos, personal?
base de datos.
1. INSIGNIFICATIVO
5. CATASTROFICO
RIESGO TOTAL
3. MODERADO
2. MENOR
4. MAYOR
Las políticas no se ajustan a los 4 4 4 8
requerimientos
El responsable no pertenece al 4 4 3 7
departamento de TI
Licencias caducadas 5 5 5 10
Pérdida de información 3 3 3 6
Normas desactualizadas 4 4 4 8
La información puede ser modificada por 4 4 3 7
personas mal intencionadas
Capacitaciones irregulares 2 2 3 5
Analizar la
Identificar patrones, Poseer un información de
tendencias y conocimiento fuentes dispares,
DIMENSION asociaciones detallado: para cada que permitan crear, Manejar un
META CORPORATIVA
DE CMI mediante el diseño, empleado del publicar y distribuir adecuado
implementación y estado de los reportes detallados presupuesto de TI
consultoría de los negocios para de negocio tanto de las ventas
requerimientos de contribuir al éxito hacia adentro como
analítica de datos de los objetivos hacia afuera de la
empresa
Transparencia financiera
6 P S
Definir el modelo de
información de la organización Capacitar al personal de
Obtener rentabilidad para la Identificar las necesidades de tecnología de información y a
empresa brindando un nuestro cliente para dar apoyo que garantice la los usuarios que utilizan los
servicio de tecnología de alta y soporte de los sistemas de disponibilidad, integridad, servicios de información
usabilidad,
calidad información exactitud y seguridad de la mediante un plan de
información. capacitación informático.
Transparencia financiera
6 P 1
5 9 4 3
MAPEO ENTRE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS DE LA EMPRESA
Analizar la información
Identificar patrones,
Poseer un conocimiento tendencias y asociaciones de fuentes dispares, que
Manejar un adecuado detallado: para cada mediante el diseño, permitan crear, publicar y
distribuir reportes
presupuesto de TI de las empleado del estado de los implementación y detallados de negocio
ventas negocios para contribuir al consultoría de los
éxito de los objetivos requerimientos de analítica tanto hacia adentro como
hacia afuera de la
de datos empresa
Transparencia financiera
6 P P
Manejar un adecuado
presupuesto de TI de las
ventas
Transparencia financiera
6 P
Analizar la información
Identificar patrones, de fuentes dispares, que
Poseer un conocimiento tendencias y asociaciones permitan crear, publicar y
detallado: para cada mediante el diseño, distribuir reportes
empleado del estado de los implementación y detallados de negocio
negocios para contribuir al consultoría de los tanto hacia adentro como
éxito de los objetivos requerimientos de analítica
hacia afuera de la
de datos empresa
P P
P P
P
P P
P
MAPEO ENTRE LAS METAS DE INFORMACION Y TECNOLOGIA RELACIONADA DE COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI DE LA EMPRESA
Mantener un
Contar con un
adecuado márgen Cumplir con los Buscar la mejora
personal calificado
de rentabilidad en requisitos de contínua y la
en el área de
la comercialización nuestros clientes y eficacia de los
servicios
de servicios otros aplicables procesos
administrados de TI
administrados de TI
APRENDIZAJE Y
META RELACIONADA CON LAS TI FINANCIERA CLIENTE INTERNA CRECIMIENTO
2
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y S P
regulaciones externas
5
Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las P
TI
9 Agilidad de las TI S P P
12
Capacitación y soporte de procesos de negocio integrando aplicaciones y tecnología P P
INTERNA en procesos de negocio
13
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto P S P
y satisfaciendo los requisitos y normas de calidad
APRENDIZAJE Y
META RELACIONADA CON LAS TI FINANCIERA CLIENTE INTERNA CRECIMIENTO
Agilidad de las TI
9 P P 2
5 2 8 9
EVALUAR ORIENTAR Y SUPERVISAR
EDM01
Asegurar el Establecimiento y
Mantenimiento del Marco de Gobierno
ALINEAR, PLANIFICAR ORGANIZAR
AP001
AP008
BAI01
BAI 08
Gestionar el Conocimiento
EDM02
AP002
Gestionar la Estrategia
AP009
BAI02
BAI09
RVICIO Y SOPORTE
DSS02
Gestionar las Peticiones y los Incidentes
del Servicio
PROCES
EDM03
AP010
Gestionar la Identificación y la
Construcción de Soluciones
BAI10
Gestionar la Configuración
DSS03
Gestionar los Problemas
PROCESO GOBIERNO DE
EDM04
Gestionar la Innovación
AP011
Gestionar la Calidad
BAI04
Gestionar la Disponibilidad y la
Capacidad
DSS04
Gestionar la Continuidad
GOBIERNO DE TI EMPRESARIAL
EDM05
Gestionar el portafolio
AP012
Gestionar el Riesgo
BAI05
DSS05
Gestionar los Servicios de Seguridad
I EMPRESARIAL
AP006
AP013
Gestionar la Seguridad
BAI06
DSS06
Gestionar los Controles de los Procesos
del Negocio
AP007
MEA01
Control de información
clasificada
Licencias y relaciones
contractuales con terceros
apo 13
apo 12
ap009
nathy
dss05 fer
pancho y katty
paul
MATRIZ DE PROBABILIDAD E IMPACTO
PONDERACIÓN PONDERACIÓN
PROBABILIDAD IMPACTO
5. CATASTROFICO
INSIGNIFICATIVO
5. CASI CERTEZA
2. IMPROBABLE
3. MODERADO
ACTIVIDADES RIESGOS TOTAL
4. PROBABLE
3. POSIBLE
2. MENOR
4. MAYOR
1. RARO
1.
Las politicas del uso ,
aplicación , capacitacion de
Cumplimiento de
sotware y hadware no cumplan
1 procedimientos, normas y 1 1 2
con lo establecido según el
controles dictados
manual de unicones del area de
ti
*
4 Controles en las redes de
No existe en la empresa
2 4 6
comunicaciones intranet
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obt
empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolera
en la confianza mútua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad
claves.
Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.
Entrega de servicios de TI de
7 acuerdo a los requisitos del Porcentaje de partes interesadas satisfechas con el cumplimiento de
servicio de TI entregado respecto a los niveles de servicio acordado.
negocio
Capacitación y soporte de
12 negocio integrando Número de incidentes en los procesos de negocio debidos a errores de
aplicaciones y tecnología en integración tecnológica.
procesos de negocio
Conocimiento, experiencia e
17 iniciativas para la innovación Número de iniciativas aprobadas resultantes de ideas innovadoras de
TI.
de negocio.
PROMEDIO
META DEL PROCESO METRICAS RELACIONADAS
Existencia de buenas
2 relaciones entre la empresa y Resultados de las encuestas de satisfacción de los usuarios y del personal de TI.
las TI.
Las partes interesadas del
3 negocio son conscientes de Encuesta del nivel de concienciación tecnológica de las partes interasadas de negocio.
las oportunidades
posibilitadas por la TI
JUSTIFICACIÓN
1 El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención perso
cliente tanto interno como externo.
7 El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención perso
cliente tanto interno como externo.
17 Cada integrante de TI puede presentar ideas tanto de nuevos productos, o mejoras a los existentes; asi como tambien
mejor desempeño del departamento de TI. Al ser voluntario pocos son los que presentan estas ideas e iniciativas.
Gestión
AP 012 Gestionar Servicios de ÁREA
Seguridad
DOMINIO Alinear, Planiicar y Organizar
Descripción de Proceso
Identiicar, Evaluar y reducir los riesgos relacionados con TI de orma continua, dentro de los niveles de tolerancia establecid
ejecutiva de la empresa
Integrar la gestion de riesgos empresariales relacionados con TI con la gestion de riesgos empresariales general (ERM) y eq
beneicios degestionar riesgos empresariales relacionados con TI
Riesgos de negocio relacionadas Número de incidentes significativos relacionados con las TI que no fueron
4 con las TI gestionados. identificados en la evaluación de riesgos.
Transparencia de los costes, Encuestas de satisfacción a las partes interesadas clave relativa al nivel de
6 beneficios y riesgo de las TI transparencia, comprensión y presición de la infomación financiera de TI.
Seguridad de la información, Tiempo para otorgar, modificar y eliminar los provilegios de acceso, comparado
10 infraestructura de con los niveles de servicio acordados.
procesamiento y aplicaciones.
Entrega de programas que
proporcionen beneficios a
tiempo, dentro del presupuesto Número de programas que necesitan ser revisados significativamente debido a
13 defectos de calidad
y satisfaciendo los requisitos y
normas de calidad
Existe un peril de riesgo actual y Porcentaje de individuos que reciben formación de concienciación relativa al uso de dispositivo
2 completo
Justificación
el número de problemas de no conformidad con respecto a acuerdos contractuales con proveedores de servicios TI. S
existen
la matriz3 de
acuerdos contractuales
calor que de los
son 10 riesgos cuales 1 tiene
significativos parauna no conformidad
la empresa ya que
de los cuales seno se cumplió
detectaron con
que dosuno
dede los punto
estos riesgo
dicho acuerdo es por esto que nos da un promedio del 33% lo que significa que hay que ir mejorando esas
directamente con los servicios de seguridad resolviendo dichos indicadores nos da un promedio del 20% lo que signifi falencias p
frecuencia de la evaluación
los riesgos identificados de seguridad
en este frente
proceso, con a los
el fin deúltimos estándares
darles un y guías
tratamiento basándonos
apropiado en e papel
y así llévalos a unde trabajo
nivel qu
acepta
anteriormente se determinó que la empresa tiene establecidos tres controles al mes los cuales se detecto que los tres
ficar y Organizar
ursos.
INDICADOR PORCENTAJE
4/5 80%
4/5 80%
2,5/5 50%
1/5 20%
58%
NADAS
ocio.
icar y Organizar
INDICADOR PORCENTAJE
1/3 33%
2/5 40%
1/3 33%
1/3 33%
3/8 38%
TOTAL 36%
ONADAS
s.
META TI
12
17
2
3
12
17
Gestión
ÁREA
APO08 GESTIONAR LAS
RELACIONES
DOMINIO Alinear, Planificar y Organizar
Descripción de Proceso
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener
empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables.
en la confianza mútua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en la
claves.
Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.
Capacitación y soporte de
negocio integrando Número de incidentes en los procesos de negocio debidos a errores de
aplicaciones y tecnología en integración tecnológica.
procesos de negocio
PROMEDIO
META DEL PROCESO METRICAS RELACIONADAS
Existencia de buenas
relaciones entre la empresa y Resultados de las encuestas de satisfacción de los usuarios y del personal de TI.
las TI.
Las partes interesadas del
negocio son conscientes de Encuesta del nivel de concienciación tecnológica de las partes interasadas de negocio.
las oportunidades
posibilitadas por la TI
JUSTIFICACIÓN
El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención personaliz
cliente tanto interno como externo.
El nivel de satisfacción de las partes interesadas respecto a los servicios prestados es buena debido a la atención personaliz
cliente tanto interno como externo.
Cada integrante de TI puede presentar ideas tanto de nuevos productos, o mejoras a los existentes; asi como tambien inicia
mejor desempeño del departamento de TI. Al ser voluntario pocos son los que presentan estas ideas e iniciativas.
DSS 05 Gestionar Servicios de
Seguridad
ficar y Organizar
Descripción de Proceso
el objetivo común de obtener resultados
puesto y los riesgos tolerables. Basar la relación Proteger la información e la empresa para mantener aceptable el nivel de riesgo de se
seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la in
opiedad y responsabilidad en las decisiones
La información procesada,
del personal de TI. 2 almacenada y transmitida en Porcentaje de individuos que reciben fo
los dispositivos de usuario dispositivos de usuario final.
final está protegida.
Todos los usuarios están
identificados de manera única
s interasadas de negocio. 3 y tienen derechos de acceso Promedio de tiempo entre los cambios y actualiza
de acuerdo con sus roles en el
negocio.
eso
bilidades e incidentes operativos de seguridad en la información.
esadas.
e vulnerabilidades descubiertas.
e de TI al cumplimiento del negocio de las leyes y regulaciones externas, en los cuales se analizó
con respecto a la actualización de licencias periodicamente de TI. Se Encontró que existe 1
no conformidad ya que no se cumplió con una adecuada actualización de licencias es por esto
fica que hay que ir mejorando esas falencias para el bienestar de la organización.
nados con las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en
tivos para la empresa de los cuales se detectaron que 2 de estos riesgos tienen que ver
resolviendo dichos indicadores nos da un promedio del 50% lo que significa que se ha evaluado
n el fin de darles un tratamiento apropiado y así llévalos a un nivel aceptable para la
Director de Operaciones
Director General
Práctica Clave del Gobierno
R RESPONSABLE
A PERSONA A CARGO
C CONSULTADO
I INFORMADO
R RESPONSABLE
A PERSONA A CARGO
C CONSULTADO
I INFORMADO
MATRIZ RACI DSS05 Gestionar Servicios d
Director de Operaciones
Director General
A
Jefe de Recursos Humanos
I
I
I
R
Auditoria
GESTIONAR EL RIESGO
I
R
Director de Informática
GESTIONAR LAS RELACIONES
A
A
Jefe de operaciones de TI
R
R
Supervisor de Operaciones de TI
C
Gestor de servicios
R Gestor de seguridad de
información
Gestor de privacidad de
R
información
Jefe de Recursos Humanos
C
Auditoria
I
C
Director de Informática
I
I
A
Jefe de operaciones de TI
C
C
R
R
Supervisor de Operaciones de TI
Gestor de servicios
C
C
R
A
A
Gestor de seguridad de información
A
A
A
A
Jefe de Recursos Humanos
Auditoria
R
A
Director de Informática
C
C
Jefe de operaciones de TI
Supervisor de Operaciones
C
C
R
de TI
Gestor de servicios
Gestor de seguridad de
R
información
Gestor de privacidad de
C
información
C A R
C R I
C C I A R
C R R A
MATRIZ DE MADUREZ
DSS05
GESTIONAR
SERVICIOS DE
SEGURIDAD
Innovación Optimización
de Procesos de Procesos
Proceso Optimizado