aplicacion del cobit parte chavo y ariel

8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel

1/14

APLICACION DEL COBIT: Evaluacin de un Informe de Auditoria

Parte I: Anlisis del Documento

1. Que marco fue aplicado (ISO o COBIT)?

Al revisar el documento de la auditoria de Fortaleza Fondo Financiero

Privado notamos que aplicaron la norma ISO 17799.

2. Cules son los componentes del documento?

Para realizar la auditoria a la empresa pretensa se tocaron 11 dominios los

cuales son:

Polticas de seguridad.

Aspectos organizativos para la seguridad.

Clasificacin y control de los activos.

Seguridad ligada al personal.

Seguridad fsica y del entorno.

Gestin de las comunicaciones y operaciones.

Control de accesos.

Desarrollo y mantenimiento de sistemas.

Gestin de incidentes de seguridad.

Gestin de la continuidad del negocio.

Cumplimiento (conformidad).

3. Que es lo que mejor hicieron los autores y por qu?

El documento mantiene un orden claro, todos los dominios tienes su

correspondiente descripcin, y la correcta recomendacin, ya que cada uno de

los dominios contienes su respectiva recomendacin.

4. Qu pudieron hacer mejor?

Deberan hacer las encuestas con mayor seriedad, y se pudo conseguir

mayor informacin de Fortaleza Fondo Financiero Privado.

Parte II: Aplicacin del COBIT

1. Cual es la empresa de la cual se hizo la auditoria?

Fortaleza Fondo Financiero Privado.


2/14

2. Tomando el cuenta el documento y cualquier informacin adicional

que ustedes puedan encontrar sobre la empresa llenar la siguiente

tabla tomando en cuenta las 34 categoras del COBIT:

Categor

a COBIT

Se cumple? Justificacin Procedimient

os

Recomendado

s

Nivel de

Madurez y

Justificacin

PO9

Evaluar y

Administ

rar losRiesgos

de TI

SI Se tienen varias

normas que se

aplican a la parte de

operaciones,logrando un buen

funcionamiento y

una correcta

operacin de la

informacin.

La parte de los

usuarios finales

no tiene

conocimientototal acerca de

las normas de

se rigen dentro

la empresa,

teniendo riesgo

en el

incumplimiento

de dichas

normas.

Nivel 3Una poltica deadministracinde riesgos paratoda laorganizacindefine cundoy cmo realizarlasevaluacionesde riesgos. Laadministracinde riesgossigue unproceso

definido, elcual estdocumentado.La decisin deseguir elproceso deadministracinde riesgos y derecibirentrenamientosedeja a ladiscrecin delindividuo.


3/14

Categor

aCOBIT

Se cumple? Justificacin Procedimiento

sRecomendado

s

Nivel de

Madurez yJustificacin

PO10

Administra

r

Proyectos

NO No se cuenta con

ninguna tcnica para

la elaboracin o

planificacin de un

proyecto.

El uso de

tcnicas y

enfoques de

administracin

de proyectos

dentro de TI es

una decisin

individual que

se deja a los

gerentes de TI.

Los proyectos

de TI se

monitorean,

con puntos

clave,

cronogramas y

mediciones depresupuesto y

desempeo

definidos y

actualizados.

Nivel 0

Las tcnicas de

administracin

de proyectos

no se usan y la

organizacin

no toma encuenta los

impactos al

negocio

asociados con

la

mala

administracin

de los

proyectos ycon las fallas

de desarrollo

en el proyecto.

Categor

a COBIT


osRecomendado

s

Nivel de


AI1

Identificar

soluciones

automatizad

as

NO No existe el reporte

de anlisis de riego,

ni un estudio de

factibilidad y

formulacin de

cursos de accin

alternativa.

Existen algunos

enfoques

intuitivos para

identificar que

existen

soluciones de TI

y stos varan alo largo del

Nivel 0

La

organizacin

no requiere de

la

identificacin

de los


4/14

negocio. Las

soluciones

se identifican

de manera

informal conbase en la

experiencia

interna y en el

conocimiento

de la funcin de

TI.

requerimientos

funcionales y

operativos

para el

desarrollo,

implantacin o

modificacin

de soluciones,

tales como

sistemas,

servicios,

infraestructura

y datos. La

organizacin

no estconsciente de

las

soluciones

tecnolgicas

disponibles

que son

potencialment

e relevantes

para su

negocio.

Categor

a

COBIT


s

Recomendado

s

Nivel de

Madurez y

Justificacin

AI2

Adquirir y

mantenersoftware

aplicativo

SI Se tiene una

metodologa para eldesarrollo de

proyectos,

monitoreada y

aprobada por la

subgerencia nacional

de tecnologa.

Tendra que

existir unregistro formal

de las libreras

realizadas para

solventar

problemas.

Considerar

crear un centro

de computo.

Nivel 3

Existe unproceso claro,

definido y de

comprensin

general para la

adquisicin y

mantenimiento

de software

aplicativo. Este

proceso


5/14

va de acuerdo

con la

estrategia de TI

y del negocio.

Se intenta

aplicar losprocesos de

manera

consistente a

travs de

diferentes

aplicaciones y

proyectos.

Categor

a COBIT


os

Recomendado

s

Nivel de

Madurez y

Justificacin

AI3 Adquirir

y mantener

infraestruct

ura

tecnolgica

SI Se cuenta con

diferentes

inventarios de los

activos ms

importantes, donde

todos los activos

son clarinete

identificado, cada

activo esta asignado

a un respectivo

propietario que esta

encargado de su

mantenimiento.

Algunos

elementos de

informacin

pueden requerir

un nivel

adicional de

proteccin o un

uso especial.

Nivel 1

Aunque se

tiene la

percepcin de

que lainfraestructura

de TI es

importante, no

existe un

enfoque

general

consistente. La

actividad de

mantenimiento

reacciona anecesidades de

corto plazo. El

ambiente de

produccin es

el ambiente de

prueba.


6/14

Categor

a

COBIT


s

Recomendado

s

Nivel de

Madurez y

Justificacin

AI4Facilitar la

operacin

y el uso

SI Se da a conocersobre los nuevos

sistemas que estn

disponibles. Se

genera la

documentacin y

manuales para

usuarios y para TI.

Dar a conocersobre todos los

cambios a todo

el personal

correspondiente

y no solamente

al personal que

lo pida.

Nivel 2

Se utilizan

enfoques

similares para

generar

procedimientos

y

documentacin

, pero no se

basan en unenfoque

estructural o

marco de

trabajo.

Individuos o

equipos de

proyecto

generan los

materiales de

entrenamiento,

y la calidad

depende de los

individuos que

se involucran.

Categora

COBIT

Se cumple? Justificacin Procedimientos

Recomendado

s

Nivel deMadurez y

Justificacin

AI5

Adquirir

recursos

de TI

NO Se deben suministrar

recursos TI,

incluyendo personas,

hardware, software y

servicios. Esto

requiere de ladefinicin y

Se debe hacer

un control en la

adquisicin con

previa

administracin

de contratoscon

Nivel 0

No existe un

proceso

definido de

adquisicin derecursos de TI.


7/14

ejecucin de los

procedimientos de

adquisicin, la

seleccin de

proveedores, el

ajuste de arregloscontractuales y la

adquisicin en s.

proveedores.

Seleccionar a

los proveedores

que nos

proporcionenrecursos de TI.

Categor

a COBIT


os

Recomendado

s

Nivel de

Madurez y

Justificacin

AI6

Administ

rar

cambios

SI Para los cambios de

software o

aplicaciones, se

elaboran informes,

informando quien la

solicito, las

evaluaciones que se

realizaron, quien

firma esta

aceptacin de

evaluaciones y al

final pasa a

produccin, si es

que esta e aceptada.

Obtener un

estndar para

la

administracin

de los cambios.

Establecer un

proceso para

definir,

plantear,

evaluar yautorizar los

cambios de

emergencia que

no sigan el

proceso de

cambio

establecido.

Nivel 2

Existe un

proceso de

administracin

de cambio

informal y la

mayora de los

cambios siguen

este enfoque;

sin embargo, elproceso no

est

estructurado,

es

rudimentario y

propenso a

errores. La

exactitud de la

documentacin

de laconfiguracin

es

inconsistente y

de planeacin

limitada y la

evaluacin de

impacto se da

previa al

cambio.


8/14

Categor

a

COBIT


s

Recomendado

s

Nivel de

Madurez y

Justificacin

AI7Instalar

y

acreditar

solucion

es y

cambios

NO Los nuevos sistemasnecesitan estar

funcionales una vez

que su desarrollo se

completa. Esto

requiere pruebas

adecuadas en un

ambiente dedicado

con datos de prueba

relevantes, definir la

transicin einstrucciones de

migracin, planear la

liberacin y la

transicin en s al

ambiente de

produccin, y revisar

la post-implantacin.

Esto garantiza que

los sistemas

operativos estn enlnea con las

expectativas

convenidas y con los

resultados.

Tener unentrenamiento

para estos

casos.

Tener plan de

prueba y un

plan de

implementacin

.

Tener pruebas

de cambios.

Tener pruebas

de aceptacin

final.

Revisin

posterior a la

implementacin

.

Nivel 0

Hay una

ausencia

completa de

procesos

formales de

instalacin o

acreditacin y

ni la gerencia

senior ni elpersonal de TI

reconocen la

necesidad de

verificar que

las soluciones

se ajustan para

el propsito

deseado.

Categora

COBIT

Se cumple Justificacin Procedimientos

Recomendados

Nivel de

Madurez y

JustificacinDefinir y

administrar

los niveles

de servicio

NO La descripcin de los

distintos niveles de

servicio dentro de

Fortaleza fondo

financiero privado, es

nula, no se menciona

ningn tipo de nivel de

servicio.

Generar reportes

de los niveles de

servicio

Verificar las

deficiencias que

ocurren

Verificar

NIVEL 0

Porque segn

lo que describe

el documento

basado en el

ISO 17799, no

existe ni la masmnima


9/14

confiabilidad

desempeo,

planeacin

Finalmente tratar

de optimizar todo

el proceso ya

establecido.

intencin

De definir o

administrar los

niveles de

servicio dentro

de Fortaleza

fondo financiero

privado

Categora

COBIT


Recomendados

Nivel de


Administrar

los

servicios

de terceros

SI El documento presenta

una breve descripcin

acerca de los servicios

de red provistos a la

entidad financiera.

Se debera ser

ms explcitos,

con ciertos

puntos que no se

tomaron en

cuenta dentro de

la empresa

Se debera tomar

en cuenta

algunos aspectos

como.

La identificacin y

categorizacin de

los servicios delproveedor

La identificacin

y mitigacin de

riesgos del

proveedor

El monitoreo y

la medicin del

desempeo delproveedor

NIVEL 2

Porque el

documento

describe una

leve aceptacin

por parte de la

empresa, de

regular los

procesos de

mantenimiento

y regulacin de

la provisin de

servicios de

terceros a la

empresa.

Pero estos

procesos aun

no son

establecidos de

una manera

adecuada,

dejando de lado

algunos


10/14

estndares y

normas

necesarias

Categora

COBIT


Recomendados

Nivel de

Madurez y

Justificacin

Administrar

el

desempeo

y la

capacidad

SI El documento presenta

una breve informacin

acerca de el manejo de

datos y el control que

se hace sobre los

mismos, para controlar

el desempeo y

capacidad de los

recurso de TI

Para lograr tener

un mejor control

de la

administracin y

medicin de la

capacidad de los

recursos de TI,

se podra hacer:

La planeacin y

la entrega de

capacidad y

disponibilidad delsistema

Monitoreando y

reportando el

desempeo del

sistema

Modelando y

pronosticando el

desempeo del

sistema.

Nivel 1

Porque segn

indica el

documento,

todava se lleva

a cabo

soluciones

alternas y no as

soluciones

adecuadamente

establecidas,

siendo stas

resultado de un

proceso, puesta

previamente.

Categora

COBIT


Recomendados

Nivel de Madurez

y Justificacin

Garantizar

la

continuidad

del servicio

SI Pues en la empresa,

segn descripcin del

documento, se trata de

mantener ciertos

Posiblemente se

podra garantizar

la continuidad del

servicio:

NIVEL 1

Pues el documento

hace suponer que


11/14


12/14

Probando la

seguridad de

forma regular

Categora

COBIT


Recomendados

Nivel de

Madurez y

Justificacin

Identificar

y asignar

costos

NO El documento no

presenta ninguna forma

de descripcin sobre

los costos, que se lleva

a cabo dentro de laentidad financiera

Se podra

implementar

haciendo:

La alineacin de

cargos con la

calidad y

cantidad de los

servicios

brindados

La construccin

y aceptacin de

un modelo de

costos completo

La aplicacin de

cargos con base

en la poltica

acordada

NIVEL 0

No existe algn

procesoreconocible de

identificacin y

distribucin de

costos dentro la

empresa.

Categora

COBIT


Recomendados

Nivel de

Madurez y

Justificacin

Educar y

entrenar a

los

usuarios

SI Existe una breve

descripcin a cerca de

manuales de apoyo

que se otorga a los

usuarios de los

diferentes sistemas sin

embargo no es algo

muy basto para lo que

se requiere en el

Los

procedimientos

que se podran

hacer son:

Establecer un

programa de

entrenamiento

Organizar el

NIVEL 1

Existe una leve

aceptacin por

la necesidad de

tener a los

usuario

preparados para

manipular las TI,


13/14

proyecto.entrenamiento

Impartir el

entrenamiento

Monitorear yreportar la

efectividad del

entrenamiento

pero no existe

procedimientos

estandarizados.

Categora

COBIT


Recomendados

Nivel de

Madurez y

Justificacin

Administrarla mesa de

servicio y

los

incidentes

NO Pues no existe unamesa de servicio bien

diseada y bien

ejecutada, y de un

proceso de

administracin de

incidentes.

Se podrarecomendar

llevar a cabo:

Instalacin y

operacin de un

servicio de una

mesa de

servicios

Monitoreo y

reporte de

tendencias

Definicin de

procedimientos y

de criterios de

escalamiento

claros

NIVEL 0

Porque no hay

soporte para

resolver

problemas y

preguntas de

los usuarios.

Categora

COBIT


Recomendados

Nivel de

Madurez y

Justificacin

Administrar

la

configuracin

SI La empresa presenta a

travs de la

documentacin

presentada que si se

Se podra

mejorar con:

Elestablecimiento

NIVEL 3

Pues segn la

documentacin


14/14

administra de una

manera adecuada la

configuracin de los

distintos dispositivos de

hardware y software.

de un repositorio

central de todos

los elementos de

la configuracin

La identificacinde los elementos

de configuracin

y su

mantenimiento

Revisin de la

integridad de los

datos de

configuracin

de la auditoria

de sistemas, en

la empresa se

maneja una

documentacin

formal acerca

de los distintos

dispositivos de

hardware y

software.

aplicacion del cobit parte chavo y ariel

Documents