Auditoría Sistemas Ferro Torre

INSTITUTO TECNOLGICO SUPERIOR CINCO DE JUNIO
El saber es Poder
Categora B
CARRERA DE ANLISIS DE SISTEMAS
Proyecto profesional de grado previo a la obtencin del ttulo de

Tecnloga en Anlisis de Sistemas
TEMA: AUDITORA INFORMTICA EN LA EMPRESA

FERRO TORRE S.A.
AUTORA: WENDY PATRICIA MORENO SARANGO
TUTORA: MSC. YOLANDA AZUCENA BORJA LPEZ
D.M QUITO, SEPTIEMBRE DEL 2015

Instituto Tecnolgico Superior Cinco de Junio Registro Senescyt: 2244 Categora B
El Saber es Poder
Cesin de Derechos de Proyecto de Grado
Yo Wendy Patricia Moreno Sarango declaro ser el autor del presente

proyecto expresamente al Instituto Tecnolgico Superior Cinco de Junio
y a sus representantes legales de posibles reclamos o acciones legales.
Adicionalmente aclaro conocer la disposicin del manual C. del Art 99; y

Art 101 del Reglamento de estudiantes del Instituto Tecnolgico Superior
Cinco de Junio nivel superior que en su parte pertinente textualmente
dice: Proyectos de graduacin es la aplicacin de conocimientos
cientificos-tcnicos, tericos prcticos y metodolgicos de carcter
superior obtenidos en los programas de carrera; y que permiten la
solucin de problemas especficos, cuyo resultado puede ser el diseo del
proyecto, construccin de un prototipo, diseo y ejecucin del proyecto, o
el planteamiento de soluciones objetivas del problema segn
corresponda. No podr utilizarse un mismo tema de proyecto para obtener
mas de un titulo.
f)..
Autor: Wendy Patricia Moreno Sarango
Cdula: 172084024-6
i
Carrera: Anlisis de Sistemas
El Saber es Poder
Autora
Las ideas, conceptos, procedimientos y resultados vertidos en el presente

proyecto de fin de carrera son de exclusiva responsabilidad de Wendy
Patricia Moreno Sarango autora del presente proyecto.
Autor: Wendy Patricia Moreno Sarango
Cdula: 172084024-6
ii
El Saber es Poder
MSC. YOLANDA AZUCENA BORJA LPEZ
DOCENTE NIVEL SUPERIOR DEL INSTITUTO

TECNOLGICO SUPERIOR CINCO DE JUNIO
Certifica
Que el presente proyecto profesional de grado realizado por la estudiante

Wendy Patricia Moreno Sarango, ha sido orientado y revisado durante su
ejecucin, por lo tanto autorizo su presentacin.
D.M. Quito, Septiembre de 2015
f).
MSc.Yolanda Azucena Borja Lpez
171340576-7
iii
El Saber es Poder
Dedicatoria
El presente proyecto de grado lo dedico a mis padres, hermanas y amigos

por haber intervenido con su apoyo moral no dejandome caer en
momentos dificiles y apoyandome para poder seguir adelante con mis
metas.
Wendy Patricia Moreno Sarango
iv
El Saber es Poder
Agradecimiento
Agradezco a todos y cada uno de los docentes de la Carrera de Anlisis

de Sistemas del Instituto Tecnolgico Superior Cinco de Junio por haber
intervenido con su ayuda pedaggica al transmitir sus conocimientos a
travs de sus clases y por inculcar en mi hbitos de estudio asi como
tambin por guiarme correctamente en el transcurso de la elaboracin del
presente proyecto de una forma eficiente.
Wendy Patricia Moreno Sarango
v
El Saber es Poder
Resumen
Para varias empresas, la informacin y la tecnolgia que las soportan

representan sus mas valiosos activos, aunque con frecuencia son poco
entendidos. Las empresas exitosas reconocen los beneficios de la
tecnologa de informacin y la utilizan para impulsar el valor de sus
interesados. Estas empresas tambien entienden y administran los riesgos
asociados, tales como el aumento en requerimientos regulatorios, asi
como la dependencia critica de muchos procesos de negocio en TI.
Lanecesidad del aseguramiento del valor de TI, la administracin de los

riesgos asociados a TI, asi como el incremento de requerimientos para
controlar la informacin, se entiende ahora como elementos clave de
Gobierno Corporativo. El valor, el riesgoy el control constituyen la esencia
del gobierno de TI. Mas aun, el gobierno de TI facilita que la empresa
aproveche al maximo su informacin aumentando sus beneficios ganando
ventajas competitivas.
Estos resultados requieren un marco de referencia para poder controlar la

tecnologa informtica que sirva como soporte. Las organizaciones deben
satisfacer la calidad de los requerimientos de seguridad informtica asi
como de todos sus activos la direccin tambien debe optimizar el uso de
los recursos de TI, incluyendo aplicaciones, informacin, infraestructura y
personal.
Para lograr un gobierno efectivo, los ejecutivos esperan que los controles
a ser implementados por los gerentes operativos se encuentren dentro de
un marco de control definido para todos los procesos de TI. Los objetivos
de control de TI de cobit estan organizados por procesos de TI; por lo
tanto el marco de trabajo brinda una alineacin clara entre los
requerimientos de gobierno de TI, Los procesos de TI y controles de TI.
vi
El Saber es Poder
Abstract
For one company, the information and the technology that supports it
represent their most valuable assets, but often they are poorly understood.
Successful companies recognize the benefits of information technology
and use it to boost the value of its stakeholders. These enterprises also
understand and manage the associated risks, such as increasing
regulatory compliance as well as the critical dependence of many business
processes on IT.
The need for assurance about the value of IT, the management of the
risks associated with IT as well as increased requirements for control over
information are now understood as key elements of corporate governance.
The value, risk and control constitute the core of IT governance.
Furthermore, IT governance enables the enterprise to make the most of
your information increasing profits gaining competitive advantages.
These results require a framework to control the computer technology that

serves as a support. Organizations must meet the quality requirements of
computer security as well as all its assets Management should also
optimize the use of IT resources, including applications, information,
infrastructure and personnel.
To achieve effective governance, executives expect controls to be

implemented by operational managers within a defined framework for all IT
processes control. The control objectives COBIT are organized by IT
process; therefore the framework provides a clear alignment between IT
governance requirements, IT processes and IT controls.
vii
El Saber es Poder
Introduccin
CAPTULO I: Fundamentacin Terica
Se basa en la revisin de documentos o archivos en internet ya existentes

con el mismo problema, ademas se describen los reglamentos internos de
la empresa, el punto de categora fundamental es el mas extenso ya que
se definen los puntos principales de la auditora.
CAPTULO II: Metodologa de la Investigacin
Dentro de este captulo se detalla el tipo de investigacin a realizarse, el

como y con que instrumentos se llevara a cabo la investigacin para una
determinada muestra de la auditora.
CAPTULO III: Auditora Informtica
Aplicacin de la Metologa en Evaluacin de Controles en la Auditora

Informtica en el departamento de sistemas de la Empresa FERRO
TORRE S.A. donde se explica uno de los procesos generales de la
Auditora el cual tiene objetivos, controles, asi como la documentacin
final.
CAPTULO IV: Conclusiones y Recomendaciones
Una vez realizado el proyecto de investigacin y analizado cada uno de

los captulos se procedera a obtener las conclusiones y recomendaciones.
viii
El Saber es Poder
NDICE DE CONTENIDOS
Cesin de Derechos de Proyecto de Grado ....................................................................... i

Autora...................................................................................................................................... ii
Certifica ................................................................................................................................... iii
Dedicatoria ............................................................................................................................. iv
Agradecimiento ....................................................................................................................... v
Resumen ................................................................................................................................ vi
Abstract ...................................................................................................................................vii
Introduccin ...........................................................................................................................viii
Informacin Empresarial ........................................................................................ 1
Antecedentes .......................................................................................................................... 1
Misin ....................................................................................................................................... 2
Visin........................................................................................................................................ 2
Poltica de Calidad ................................................................................................................. 3
Organigrama del Departamento Informtico...................................................................... 4
Planteamiento del Problema ................................................................................................ 4
Diagnstico del Problema ..................................................................................................... 4
Objetivos ................................................................................................................. 5
General .................................................................................................................................... 5
Especficos .............................................................................................................................. 5
Alcance y Limitaciones .......................................................................................... 5
Alcance .................................................................................................................................... 5
Limitaciones ............................................................................................................................ 5
Justificacin ............................................................................................................................. 6
CAPTULO I ............................................................................................................. 7
Fundamentacin Terica ...................................................................................................... 7
1.1 Historia y evolucin de COBIT ...................................................................................... 7
1.1.2 Metodologa COBIT ..................................................................................................... 8
1.1.3 Control Objectives for Information and Related Technology, Cobit ..................... 8
ix
El Saber es Poder
1.1.4 Cobit cubre cuatro dominios ..................................................................................... 11

1.1.4.1 Planear y Organizar ................................................................................................ 11
1.1.4.2 Adquirir e Implementar ........................................................................................... 11
1.1.4.3 Entregar y dar Soporte ........................................................................................... 12
1.1.4.4 Monitorear y Evaluar .............................................................................................. 12
1.1.5 Administracin y anlisis de riesgos ....................................................................... 12
1.1.6 Proceso de Administracin del Riesgo ................................................................... 13
1.1.6.1 Controles .................................................................................................................. 14
1.2 Auditora .......................................................................................................................... 15
1.2.1 Auditora Informtica .................................................................................................. 15
1.2.2 Tcnicas o Herramientas Usadas Para la Auditora Informtica ........................ 15
1.2.2.1 Cuestionarios ........................................................................................................... 15
1.2.3 Tipos de Auditoras Informticas ............................................................................. 16
1.2.3.1 Auditoras Internas .................................................................................................. 16
1.2.3.2 Auditoras Externas ................................................................................................ 16
1.2.3.3 Tcnicas de Auditora............................................................................................. 17
1.3 Metodologa de Desarrollo de la Auditora Informtica ........................................... 18
1.4 Redes de Computadores ............................................................................................. 18
1.4.1 Componentes Fsicos de las Redes........................................................................ 19
1.4.2 Dispositivos de Usuario Final (host) ........................................................................ 19
1.4.3 Redes LAN .................................................................................................................. 19
1.4.4 Dispositivos de Red ................................................................................................... 20
1.5 Topologa de Red de Datos ......................................................................................... 20
1.5.1 Topologa Informtica ................................................................................................ 20
1.5.2 Topologa Estrella ...................................................................................................... 21
CAPTULO II .......................................................................................................... 22
Metodologa de Investigacin............................................................................................. 22
2.1.1 Mtodo Analtico - Sinttico ..................................................................................... 22
2.1.2 Mtodo de la Investigacin Bibliogrfica Documental .......................................... 22
2.1.3 Tcnicas e Instrumentos de Investigacin ............................................................. 22
2.1.4 Procesamiento de Informacin ................................................................................ 23
x
El Saber es Poder
2.2 Tcnica ............................................................................................................................ 23

2.2.1 Descripcin de la Tcnica ......................................................................................... 23
Cuestionario .......................................................................................................................... 23
CAPTULO III ......................................................................................................... 30
Auditora Informtica............................................................................................................ 30
3.1 Diagnstico ..................................................................................................................... 30
3.1.1 Metodologa Documentada....................................................................................... 30
3.1.2 Monitorear los Procesos............................................................................................ 30
3.1.3 Evaluar lo Adecuado del Control Interno ................................................................ 30
3.2 Justificacin .................................................................................................................... 30
3.2.1 Anlisis de Riesgos Aplicados ................................................................................. 30
3.2.2 Objetivo del Anlisis de Riesgos.............................................................................. 31
3.2.3 rea a Auditar ............................................................................................................. 32
3.3 Adecuacin ..................................................................................................................... 33
3.3.1 Tcnicas....................................................................................................................... 33
3.3.2 Identificar los riesgos ................................................................................................. 36
3.3.3 Probabilidad Del Riesgo ............................................................................................ 36
3.3.4 Impacto Del Riesgo .................................................................................................... 37
3.3.5 Exposicin al Riesgo ................................................................................................. 37
3.3.6 Evaluar los Riesgo ..................................................................................................... 38
3.3.7 Identificar los impactos .............................................................................................. 38
3.3.8 Anlisis y evaluacin de los riesgos ........................................................................ 38
3.4 PO2 Definir la Arquitectura de la Informacin. .......................................................... 45
3.4.1 PO2.1 Modelo de Arquitectura de Informacin Empresarial ............................... 46
3.4.2 PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos ......... 47
3.4.3 PO2.3 Esquema de clasificacin de datos ............................................................. 47
3.4.4 PO2.4 Administracin de Integridad........................................................................ 47
3.5 PO3. Determinar la Direccin Tecnolgica. .............................................................. 49
3.5.1 PO3.1 Planeacin de la Direccin Tecnolgica .................................................... 50
3.5.2 PO3.2 Plan de Infraestructura Tecnolgica ........................................................... 51
3.5.3 PO3.3 Monitoreo de tendencias y regulaciones futuras ...................................... 51
xi
El Saber es Poder
3.5.4 PO3.4 Estndares tecnolgicos............................................................................... 51

3.5.5 PO3.5 Consejos de arquitectura de TI.................................................................... 51
3.6 PO4. Definir los Procesos, Organizacin y Relaciones de TI ................................ 53
3.6.1 PO4.1 Marco de trabajo de procesos de TI ........................................................... 54
3.6.2 PO4.2 Comit estratgico de TI ............................................................................... 55
3.6.3 PO4.3 Comit directivo de TI ................................................................................... 55
3.6.4 PO4. Definir los Procesos, Organizacin y Relaciones de TI. ............................ 55
3.6.5 PO4. Definir los Procesos, Organizacin y Relaciones de TI. ............................ 57
3.7 AI2 Adquirir y Mantener Software Aplicativo ............................................................. 59
3.7.1 AI2.1 Diseo de Alto Nivel ........................................................................................ 60
3.7.2 AI2.2 Diseo Detallado .............................................................................................. 60
3.7.3 AI2.3 Control y Posibilidad de Auditar las Aplicaciones ....................................... 61
3.7.4 AI2.4 Seguridad y Disponibilidad de las Aplicaciones .......................................... 61
3.7.5 AI2.5 Configuracin e implementacin de software aplicativo adquirido .......... 61
3.7.6 AI2.6 Actualizaciones Importantes en Sistemas Existentes................................ 61
3.7.7 AI2.7 Desarrollo de Software Aplicativo ................................................................. 61
3.7.8 AI2.8 Aseguramiento de la Calidad del Software .................................................. 61
3.7.9 AI2.9 Administracin de los requerimientos de aplicaciones .............................. 62
3.7.10 AI2.10 Mantenimiento de Software Aplicativo ..................................................... 62
3.7.11 AI2 Adquirir y Mantener Software Aplicativo ....................................................... 63
3.8 AI3 Adquirir y Mantener Infraestructura Tecnolgica............................................... 65
3.8.1 AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica .................................. 67
3.8.2 AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura ..................... 67
3.8.3 AI3.3 Mantenimiento de la Infraestructura ............................................................. 68
3.8.4 AI3.4 Ambiente de Prueba de Factibilidad ............................................................. 68
CAPTULO IV ......................................................................................................... 70
4.1 Conclusiones y Recomendaciones............................................................................. 70
5.1 Bibliografa ...................................................................................................................... 73
5.2 Glosario de Trminos .................................................................................................... 74
xii
El Saber es Poder
NDICE DE FIGURAS
Figura 1 Logo ............................................................................................ 4

Figura 2 Organigrama Del Departamento Informtico .............................. 4
Figura 3 Orden procedimental de COBIT .................................................. 8
Figura 4 Cubo de COBIT 4.1..................................................................... 9
Figura 5 Marco de Trabajo Completo de COBIT 4.1 ............................... 10
Figura 6 Tcnicas de Audtora ................................................................ 17
Figura 7 Red LAN Commuted. ................................................................ 19
Figura 8 Topologa Estrella ..................................................................... 21
Figura 9 Procesos de evaluacin de riesgos........................................... 32
Figura 10Definir la Arquitectura de la Informacin. ................................. 48
Figura 11 Estndares tecnolgicos ......................................................... 52
Figura 12 Marco de trabajo de procesos de TI........................................ 56
xiii
El Saber es Poder
NDICE DE TABLAS
Tabla 1 Personal FERRO TORRE S.A ...................................................... 3

Tabla 2 Matriz de Diagnstico de Procesos Cobit ................................... 36
Tabla 3 Amenazas Susceptibles para entrar en la Seguridad ................. 36
Tabla 4 Probabilidad de Riesgo............................................................... 37
Tabla 5 Impacto y su Valoracin ............................................................. 37
Tabla 6 Exposicin de Riesgo ................................................................. 38
Tabla 7 Amenazas Susceptibles para entrar en la seguridad ................. 40
Tabla 8 Planos de Enlace Procesos de COBIT a Metas de TI ................ 44
Tabla 9 Directrices Generales ................................................................. 47
Tabla 10 Consejos de arquitectura de TI ................................................. 52
Tabla 11 Comit directivo de TI ............................................................... 55
xiv
El Saber es Poder
NDICE DE ANEXOS
Anexo 1 Carta de Auspicio ...................................................................... 76

Anexo 2 Polticas y procedimientos de Sistemas de Informacin ........... 77
Anexo 3 Funciones del Analista de Sistemas ......................................... 78
Anexo 4 Funciones del Asistente de Sistemas ....................................... 79
Anexo 5 Reporte de Ingre de sistemas ................................................... 80
Anexo 6 Inventario de los Recursos Tecnolgicos.................................. 81
Anexo 7 Carta Dirigida al Gerente .......................................................... 82
xv
El Saber es Poder

El Saber es Poder
Informacin Empresarial
Antecedentes
Corra el ao 1972, en que al cabo de 17 aos de desarrollo en Chile, en

el cual se haba estacionado un rgimen poltico que haba menoscabado
la institucionalidad y por cierto la actividad, Antonio Ferro Torre decide
regresar al Ecuador, perodo en que el pas empezaba a explotar una
nueva veta de crecimiento, la cual era el desarrollo de su industria
petrolera, misma que requera de diversos insumos, principalmente de
materiales de acero.
Es as que formando parte de un grupo de inversin chileno, el 2 de junio

de 1972 se fundan tres compaas de manera simultnea: IPAC, la planta
que procesara perfiles; CIMPAC, una distribuidora de estos productos
para la regin costa, y FERRO TORRE S.A. para la comercializacin y
distribucin de los productos y materiales que IPAC producira, para la
sierra. Antonio se integra a este cuadro de capitales, que con el
transcurso del tiempo llega a tener una participacin cercana al 40%,
posicin que le permita ser presidente del Directorio y Gerente General a
la vez.
Una vez instalado en Quito, y con el transcurrir de los aos, Antonio Ferro,
de manera independiente, inicia la importacin de otros productos y
materiales de acero, tales como planchas, varilla corrugada, vigas, entre
otras lneas.
Transcurridos unos 20 aos de su fundacin, Antonio tom la iniciativa de

vender su participacin accionaria para as iniciar caminos distintos de
emprendimiento y trabajo.
1
El Saber es Poder
Habiendo concluido Sebastin sus estudios universitarios de

administracin, se integra de lleno a trabajar con su padre, toma las
riendas y hace frente a una serie de dificultades de orden poltico y
econmico que enfrenta el pas a finales del siglo pasado.
Es entonces, que arrancando el ao 2000 con una economa dolarizada,

sumadas a variables macroeconmicas de expansin en la economa a
nivel mundial, le permiten a Sebastin Ferro tomar la
Iniciativa de formar equipos de trabajo, para as liderar un nuevo

desarrollo industrial que anhelaban tanto l como su padre.1
En estos 12 aos de sangre nueva, joven, entusiasta, de gran dinamismo

y capacidad de trabajo, habiendo pasado por duros y difciles momentos,
con una estructura muy liviana, se ha logrado consolidar un desarrollo
industrial, bajo la NORMA ISO 9001:2008, que hoy le permite liderar la
conformacin y fabricacin de tubera estructural, ser grandes actores en
perfilara estndar y plegada; y por cierto ser unos proveedores confiables
en materiales y productos de acero para la industria y construccin.2
Misin
Procesar y comercializar productos de acero, para la industria y

construccin con estricto apego a las normas de calidad y ambientales
generando valor para sus accionistas, trabajadores y clientes.
Visin
Ser una empresa lder en la fabricacin y comercializacin de productos
de acero para satisfacer las exigencias de nuestros clientes siendo
reconocida por la calidad de sus productos servicios y excelencia de sus
colaboradores
1 Ferro Torre S.A. (2014) Informacin Empresarial ANTECEDENTES EMPRESARIALES Editex

2 Ferro Torre S.A. (2014) Informacin Empresarial ANTECEDENTES EMPRESARIALES Editex
2
El Saber es Poder
Personal
rea # personas
rea administrativa
rea de supervisin y administracin 5
Recepcionista 1
Mensajero 1
Persona en caja 1
Vendedores 3
rea operativa
rea de produccin 20
Operadores de los puentes gras 2
Tcnicos: Mecnico (1); Elctrico (2); Tornero (3); 7
Soldador (1)
Choferes (vehculo y montacargas) 5
TOTAL 45
Tabla 1 Personal FERRO TORRE S.A
Fuente FERRO TORRE S.A
Poltica de Calidad
Ferro torre S.A. fabrica y comercializa productos de acero, siguiendo los

estndares de calidad de la norma ISO 9001; 2008 mejorando
continuamente sus procesos manteniendo una constante capacitacin de
su personal y formando slidos vnculos con sus proveedores para lograr
satisfacer las necesidades de sus clientes.
3
El Saber es Poder
Figura 1: Logo
Fuente: La Empresa
Organigrama del Departamento Informtico
Figura 2: Organigrama Del Departamento Informtico

Fuente FERRO TORRE S.A.
Planteamiento del Problema

De qu manera influye en los procesos del departamento informtico la
aplicacin de una auditora informtica?
Diagnstico del Problema

- No existe un manejo adecuado de los Recursos Tecnolgicos ya
que no se tiene registro exacto de lo que contiene el departamento
de sistemas.
- Existe fallas en la red de telecomunicacin por la prdida de
energa ocasionando que la red se caiga.
- Prdida de Recursos tecnolgicos por no llevar registro de
prstamo de equipos.
- Perdida de informacin porque existe congestionamiento en la red.
4
El Saber es Poder
Objetivos
General
Realizar la auditora informtica aplicando COBIT 4.1 en el departamento

informtico para evaluar los procesos tecnolgicos de la Empresa Ferro
Torre S.A.
Especficos
- Recopilar informacin de la empresa utilizando mtodos y tcnicas

de investigacin para el levantamiento de informacin.
- Realizar un diagnstico del departamento informtico para
determinar el estado actual del mismo.
- Aplicar la tcnica de investigacin para el levantamiento de
informacin de la empresa que sirva de base para el diagnstico
actual.
- Elaborar un informe con las conclusiones y recomendaciones de
acuerdo al estado del departamento informtico.
Alcance y Limitaciones
Alcance
La auditora se aplica al departamento informtico de la Empresa FERRO

TORRE S.A. afectando nicamente al rea de sistemas evaluando el
funcionamiento del mismo.
Limitaciones
- La auditora no realizar cambios fsicos dentro del departamento.

- Los puntos a auditar no estarn disponibles para los usuarios
mientras se realice el proceso.
5
El Saber es Poder
Justificacin
La tecnologa de informtica, traducida en hardware, software, sistemas
de informacin, investigacin tecnolgica, redes locales, base de datos,
ingeniera de software, telecomunicaciones, es una herramienta
estratgica que brinda rentabilidad y ventajas competitivas a los negocios
frente a sus similares en el mercado, pero puede originar costo y
desventaja si no son bien administrada por el personal encargado. La
informtica est inmersa en la gestin integral de la organizacin. A
finales del siglo XX, los sistemas de TI (tecnologas de la informacin) se
constituyeron como las herramientas ms poderosas para cualquier
organizacin, puesto que apoyan la toma de decisiones, generando un
alto grado de dependencia, as como una elevada inversin en ellas.
Debido a la importancia que tienen en el funcionamiento de una
organizacin, existe la auditora informtica. Al igual que cualquier rea de
la organizacin, los sistemas de TI deben estar sometidos a controles de
calidad y auditora informtica porque las computadoras y los centros de
procesamiento de datos son blancos apetecibles para el espionaje, la
delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de
los datos de entrada a los sistemas de TI se genera informacin errnea,
con la posibilidad de que se provoque un efecto cascada y afecte a otras
aplicaciones. As mismo, un sistema de TI mal diseado puede
convertirse en una herramienta muy peligrosa para la gestin y la
coordinacin de la organizacin.3
3
Muoz, Carlos (2002) Auditoria en Sistemas Computacionales
6
El Saber es Poder
CAPTULO I
Fundamentacin Terica
1.1 Historia y evolucin de COBIT

El proyecto COBIT se emprendi por primera vez en el ao 1995, con el
fin de crear un mayor producto global que pudiese tener un impacto
duradero sobre el campo divisin de los negocios, as como sobre los
controles de los sistemas de informacin implantados. La primera edicin
del COBIT, fue publicada en 1996 y fue vendida en 98 pases de todo el
mundo. La segunda edicin publicada en Abril de 1998, desarrolla y
mejora lo que posea la anterior mediante la incorporacin de un mayor
nmero de documentos de referencia fundamentales, nuevos y revisados
de forma detallada objetivos de control de alto nivel, intensificando las
lneas maestras de auditora, introduciendo un conjunto de herramientas
de implementacin, as como un CD-ROM completamente organizado el
cual contiene la totalidad de los contenidos de esta segunda edicin.
Una temprana adicin significativa visualizada para la familia de productos

COBIT, es el desarrollo de las Guas de Gerencia que incluyen Factores
Crticos de xito, Indicadores Clave de Desempeo y Medidas
Comparativas. Los Factores Crticos de xito, identificarn los aspectos o
acciones ms importantes para la administracin y poder tomar, as,
dichas acciones o considerar los aspectos para lograr control sobre sus
procesos de TI. Los Indicadores Clave de Desempeo proporcionarn
medidas de xito que permitirn a la gerencia conocer si un proceso de TI
est alcanzando los requerimientos de negocio. La Medidas Comparativas
definirn niveles de madurez que pueden ser utilizadas por la gerencia
para: determinar el nivel actual de madurez de la empresa; determinar el
nivel de madurez que se desea lograr, como una funcin de sus riesgos y
objetivos; y proporcionar una base de comparacin de sus prcticas de
7
El Saber es Poder
control de TI contra empresas similares o normas de la industria. Esta

edicin, proporcionar herramientas a la gerencia para evaluar el
ambiente de TI de su organizacin.4
1.1.2 Metodologa COBIT

Es una metodologa aceptada mundialmente para el adecuado control de
proyectos de tecnologa, los flujos de informacin y los riesgos que stas
implican, y es la principal propuesta metodolgica realizada a nivel
internacional para abordar la Auditora de Sistemas de Informacin.5
La tecnologa Cobit se utiliza para planear, implementar, controlar y

evaluar el gobierno sobre TIC, incorporando objetivos de control,
directivas de auditora, medidas de rendimientos y resultados, factores
crticos de xito y modelos de madurez.
1.1.3 Control Objectives for Information and Related Technology,

Cobit
COBIT es uno de los estndares ms utilizados actualmente, como base
en la realizacin de una metodologa de control interno en el ambiente de
tecnologa informtica. COBIT es un marco de referencia y se fundamenta
en los objetivos de control existentes de la Informacin Systems Audit and
Control Fundacin (ISACF), y se encuentra alineado con otros estndares
de control y auditoria como COSO, IFAC, IIA, ISACA, AICPA1.
Requerimientos de Prcticas de
Negocio Control
El control de Que satisface Es habilitado por

Considerando
Proceso de TI Declaracin de
Control
Figura 3: Orden procedimental de COBIT

Fuente: La Autora
4
Mario. G (2008)Auditoria de tecnologas y sistemas de informacin Editorial RA-MA S.A.
5
Carlos Muoz Razo, ao 2002Auditoria en Sistemas Computacionales
8
El Saber es Poder
Misin de COBIT. La misin COBIT es Investigar, desarrollar, hacer

pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de
las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIT 4.1, 2007,
p. 9).Los recursos de TI son manejados por procesos de TI para lograr
metas de TI que respondan a los requerimientos del negocio. Este es el
principio bsico del marco de trabajo COBIT, como se ilustra en el cubo
COBIT, Figura 4. COBIT define una serie de procesos relacionados con
TI, los cuales agrupa en cuatro dominios planificacin y organizacin,
desarrollo y adquisicin, soporte y monitoreo, y los cuales estructura en
distintas actividades.
Figura 4: Cubo de COBIT 4.1

Fuente :www.procesos-cobit-4.es
Criterios de Informacin. Para alcanzar los requerimientos de negocio,

la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, costo y entrega.
Requerimientos: Efectividad y eficiencia operacional, confiabilidad de los
reportes financieros y cumplimiento de leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad, integridad y
disponibilidad
9
El Saber es Poder
Recursos de TI. En COBIT se establecen los siguientes recursos en TI

necesarios para alcanzar los objetivos de negocio: datos, instalaciones,
tecnologa, sistemas, y recurso humano.
OBJETIVOS DE NEGOCIO
P01 Definir un plan estratgico de tecnologa
de informacin
P02 definir la arquitectura de informacin
P03 determinar la direccin tecnolgica
P04 definir la organizacin y las relaciones de
M1 monitorear los procesos
M2 evaluar lo adecuado del
COBIT TI
P05 Manejar la inversin en tecnologa de
informacin
control interno P06 comunicar la direccin y aspiraciones de
M3 obtener aseguramiento la gerencia
independiente P07 administrar recursos humanos
M4 proporcionar auditora P08 asegurar el cumplimiento de
requerimientos externos
independiente
P09 evaluar riesgos
P010 administrar proyectos
INFORMACIN P011 administrar calidad
- Efectividad
- Eficiencia
- Confidencialida
d
- Integridad
- Disponibilidad
- Cumplimiento
- confiabilidad
MONITOREO
RECURSOS DE TI PLANIFICAR Y
ORGANIZAR
- Datos
- Sistema de
aplicacin
- Tecnologa
- Instalaciones
ENTREGA Y - Gente
ADQUISICIN E
SOPORTE
IMPLEMENTACIN
DS1 Definir niveles de servicio

DS2 administrar servicios prestados por terceros
DS3 administrar desempeo y capacidad AI1 identificar soluciones
DS4 asegurar servicio continuo AI2 adquirir y mantener software de
DS5 Garantizar la seguridad del sistema aplicacin
DS6 identificar y asignar costos AI3 adquirir y mantener arquitectura de
DS7 educar y entrenar a los usuarios tecnologa
DS8 apoyar y asistir a los clientes de TI AI4 Desarrollar y mantener procedimientos
DS9 administrar la configuracin relacionados con TI
DS10 Administrar problemas e incidentes AI5 instalar y acreditar sistemas
DS11 Administrar datos AI6 Administrar cambios
DS12 Administrar instalaciones
DS13 administrar operaciones
Figura 5: Marco de Trabajo Completo de COBIT 4.1

Fuente: La autora
10
El Saber es Poder
Procesos de TI.COBIT se divide en tres niveles:

Dominios: Agrupacin natural de procesos, normalmente corresponden a
un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o
Cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
En detalle, el marco de trabajo general COBIT est compuesto de cuatro
dominios que contienen 34 procesos genricos, administrando los
recursos de TI para proporcionar informacin al negocio de acuerdo con
los requerimientos del negocio y de gobierno.
1.1.4 Cobit cubre cuatro dominios

- Planear y Organizar
- Adquirir e Implementar
- Entregar y Dar Soporte
- Monitorear y Evaluar
1.1.4.1 Planear y Organizar

La Planificacin y el dominio de Organizacin cubren el empleo de
tecnologa y como puede ser usado en una empresa ayudando a alcanzar
los objetivos de la empresa. Esto tambin destaca la forma de
organizacin e infraestructura TI debe tomar para alcanzar los resultados
ptimos y generar la mayor parte de ventajas de empleo de TI.
1.1.4.2 Adquirir e Implementar

Nos ayuda a la identificacin de soluciones a su desarrollo o adquisicin y
mantenimiento de sistemas existente, proporcionando las soluciones para
poderlas convertir en servicios.
11
El Saber es Poder
1.1.4.3 Entregar y dar Soporte

Cubre entrega de servicios requeridos incluyendo la presentacin del
servicio, la administracin de seguridades asa los usuarios recibiendo
soluciones hacindolas utilizables para usuarios finales.
1.1.4.4 Monitorear y Evaluar

Todos los procesos de la tecnologa informtica deben ser evaluados de
forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control.
Este dominio abarca el monitoreo de controles internos, el cumplimiento
regulatorio y la aplicacin del gobierno monitoreando as todos los
procesos que siguen una direccin prevista.
1.1.5 Administracin y anlisis de riesgos

Como herramienta de diagnstico para poder establecer la exposicin real
a los riesgos por parte de una organizacin se recurre a lo que se llama
anlisis de riesgos. Este anlisis tiene como objetivos identificar los
riesgos.
Cuando se refiere al riesgo total, se trata de la combinacin de los
elementos que lo conforman. Comnmente se calcula el valor del impacto
promedio por la probabilidad de ocurrencia para cada amenaza y activo.
El proceso de anlisis descrito genera habitualmente un documento que
se conoce como matriz de riesgo. En este documento se ilustran todos los
elementos identificados sus relaciones y los clculos realizados.
Administrar el riesgo refiere a gestionar los recursos de la organizacin,
empresa, organismo, institucin, etc., sea pblica privada etc. Este nivel
es generalmente establecido por tipo de activo, permitiendo menor
exposicin cuanto ms crtico es ese activo.
12
El Saber es Poder
El ciclo de administracin de riesgo ser luego de efectuar las tareas

referentes al anlisis con la determinacin de las acciones a seguir
respecto a los riesgos residuales identificados.
Estas acciones pueden ser:
Controlar el riesgo:
Se fortalece los controles existentes o se agregan nuevos.
Eliminar el riesgo:
Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo:
Mediante acuerdos contractuales se traspasa parte del riesgo o su
totalidad a un tercero un ejemplo son los seguros.
Aceptar riesgo:
Determinar el nivel de exposicin es adecuado.
La opcin elegida deber ser adecuadamente fundamentada y autorizada
por el nivel jerrquico correspondiente sobre la base del riesgo asociado.
1.1.6 Proceso de Administracin del Riesgo

La administracin de riesgos es un proceso continuo, siendo necesario
evaluar peridicamente si los riesgos identificados y la exposicin a los
mismos calculada en etapas anteriores se mantienen vigentes.
Es por eso que ante cada nuevo emprendimiento se realice en tempranas
etapas, un anlisis de riesgo del referido proyecto as como su impacto
futuro en la estructura de riesgos de la organizacin
1. Identificar los riesgos
2. Calculo exposicin al riesgo.
3. Identificar los controles
4. Calcular riesgo residual.
5. Aceptacin o rechazo del riesgo residual
13
El Saber es Poder
1.1.6.1 Controles
Los procedimientos efectuados para lograr asegurar el cumplimiento de
los objetivos son definidos como controles.
El ayudar al cumplimiento de las metas indica claramente que estos
procedimientos tienen un efecto directo mitigante sobre los riesgos
existentes. Por lo establecido anteriormente existe una relacin entre uno
y cada proceso de riesgo y control.
Como establecamos anteriormente la agrupacin se realiza sobre la base
de objetivos de alto nivel que se quieren satisfacer, o sea estos
procedimientos buscan que la informacin que procesan cuente con cierta
caracterstica independientemente del objetivo especfico por el cual fue
creado.
De esta manera establecemos para cada grupo los objetivos a cumplir.
Control interno:
Busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de
leyes, normas y regulaciones y confiabilidad de la informacin
Seguridad:
Busca asegurar la disponibilidad, confidencialidad integridad de las
operaciones.
La gestin de calidad:
Busca asegurar la adecuada calidad entrega y costo de las operaciones.
El adecuado cumplimiento de los objetivos anteriormente detallados
permitir alcanzar una razonable seguridad en el cumplimiento de los
objetivos planteados para los diversos procedimientos de TI.6
Entre marcos existentes mencionaremos especialmente el COBIT, el cual
es un marco de referencia integro que incluye distintos aspectos de la
gestin TI, como es el de los usuarios estableciendo una estructura de
controles aplicables a cualquier tipo de organizacin, el de los
6
Annimo (2015):Riesgos Informticos, Recuperado del sitio web http: // www. contadura
2014/11/riesgos-informticos
14
El Saber es Poder
administrativos de TI estableciendo los indicadores de gestin aplicables a

cada proceso vinculado a TI para lograr un cumplimiento eficaz y eficiente
de las metas.
1.2 Auditora
Es un proceso el cual se lleva a cabo por profesionales capacitados en
dichas reas de sistemas de informacin para proteger los activos
empresariales, manteniendo as la integridad de los datos, utilizando los
recursos de la empresa y cumpliendo con las leyes y regulaciones
establecidas.
1.2.1 Auditora Informtica

Es el conjunto de, procedimientos y actividades, destinados a analizar y
evaluar el funcionamiento de los sistemas informticos de un ente, por lo
que comprende un examen metdico, puntual y descontinu, con el
propsito de mejorar aspectos como control y seguridad de los sistemas
informticos cumpliendo con la normativa tecnolgica del ente; control de
planes de contingencia, eficacia y rentabilidad en el manejo de los
sistemas.
1.2.2 Tcnicas o Herramientas Usadas Para la Auditora

Informtica
1.2.2.1 Cuestionarios
La informacin recopilada es muy importante y esto se consigue con el
levantamiento de informacin y documentacin de todo tipo. Los
resultados que arroje una auditora se ven reflejadas en los informes
finales que estos emitan y la capacidad para el anlisis de situaciones de
debilidades o fortalezas que se dan en los diversos ambientes.
El denominado trabajo de campo consiste en que el auditor busca por
medios de cuestionarios recoger informacin necesaria para ser analizada
y emitir finalmente un juicio global ya que los hechos deben ser
15
El Saber es Poder
sustentados por hechos demostrables con evidencias. Esto se puede

conseguir solicitando el cumplimiento del desarrollo de formularios o
cuestionarios los cuales son dirigidos a las personas que el auditor
considere ms responsable de dicha rea a auditar. Cada cuestionario es
diferente y muy especfico para cada rea adems deben ser elaborados
con mucho cuidado tomando en cuenta el fondo y la forma de la
informacin que ha sido analizada cuidadosamente se elaborara otra
informacin la cual ser emitida por el propio auditor esta informacin ser
cruzada ya que esta ser importante en la auditora .
1.2.3 Tipos de Auditoras Informticas

Los objetivos generales de la auditora informtica cambian dependiendo
de las tareas que tiene que verificar o controlar.
- En la auditora de sistemas tendr que controlar la interfaz de
usuario, la documentacin de la aplicacin.
- En la auditora ofimtica dentro de la auditora de sistemas tendr
que controlar la instalacin de la aplicacin el movimiento de la
informacin.
- En la auditora de redes tendr que controlar la conexin entre los
computadores la instalacin del software para la red.
- En la auditora para administracin de las bases de datos
tendr que controlar la integridad de datos la concurrencia a la
base de datos.
1.2.3.1 Auditoras Internas

Esta auditora se realizas dentro de la empresa sin contratar personal
externo que no pertenezca a la misma.
1.2.3.2 Auditoras Externas

Esta auditora se realiza de manera externa es decir contratando personal
para realizar la auditora en la empresa. Esto consiste en estudiar los
mecanismos de control que se encuentran implementados en la empresa,
16
El Saber es Poder
determinando si estos son adecuados o cumplen objetivos o estrategias

establecidos.
1.2.3.3 Tcnicas de Auditora

Su aplicacin es de gran utilidad en la
mayora de las fases de la auditoria
Observacin permitiendo que el auditor se percate de
hechos y circunstancias.
Esfuerzo realizado para cerciorarse o

Comparacin
negarse a la verdad del hecho.
VERIFICACIN
OCULTAR
Rastreo En el procesamiento de un punto al otro.
Revisin Examen visual rpido con la finalidad de

Selectiva separar asuntos irregulares.
Obtener informacin a travs de

VERIFICACIN averiguaciones, entrevistas. Los
Indagacin
VERBAL resultados de esta tcnica por s solo no
TCNICAS DE
contribuyen como evidencia suficiente o
AUDITORA
competente.
Examen fsico y ocular de activos,

VERIFICACIN
Inspeccin documentos, valores con el objeto de
FSICA
demostrar su existencia y autenticidad.
Examinar verificando la evidencia que

apoya a una transaccin u operacin
Comprobacin
demostrando autoridad, legalidad,
VERIFICACIN propiedad y certidumbre.
DOCUMENTAL
Computacin Verificar la exactitud matemtica de las

operaciones
Separar partes o elementos de

Anlisis operaciones que estn sometidas a
examen.
VERIFICACIN Hacer coincidir o que consten dos

ESCRITA Conciliacin conjuntos de datos seleccionados,
separados o independientes.
Obtener contestacin de una fuente

Confirmacin
independiente de la entidad bajo examen
y sus registros pueden ser positivos o
negativos.
Figura 6: Tcnicas de auditora

Fuente: La autora
17
El Saber es Poder
1.3 Metodologa de Desarrollo de la Auditora Informtica

Kuna en su tesis de magister enuncia una metodologa de desarrollo de
auditora informtica general en la cual se contemplan diferentes fases:
- Identificar el Alcance y Objetivos de la Auditora Informtica:
En esta fase se determinan los lmites y el entorno en el cual se
realizara la auditora ya que debe existir acuerdos entre
autoridades y auditores ya que el proceso y su xito depender de
los parmetros establecidos en dicho acuerdo.
- Estudio Inicial del Entorno a Auditar: Es necesario examinar las
actividades y funciones del rea a auditar.
- Determinacin de los Recursos Necesarios para Realizar la
Auditora Informtica: Se debe determinar los recursos materiales
y humanos necesarios para la implementacin de la auditora.
- Elaboracin del Plan de Trabajo: Definir el calendario de
actividades a realizar formalizando el mismo para la aprobacin de
las autoridades.
- Realizar las Actividades de auditora: Efectivizar las
actividades planificadas en la fase anterior
- Informe Final: La elaboracin del informe final es la nica
referencia constatable de toda la auditora as como el exponente
de su calidad.
- Carta de Presentacin: Es la ltima etapa de la auditoria consta
de un resumen del contenido del informe final, dirigido a las
autoridades de la organizacin.
1.4 Redes de Computadores

Es un conjunto de equipos informticos y software conectados entre s por
medio de dispositivos fsicos que envan y reciben impulsos elctricos,
ondas electromagnticas o cualquier otro medio para el transporte de
18
El Saber es Poder
datos, con la finalidad de compartir informacin, recursos y ofrecer

servicios.7
Las redes computacionales permiten compartir los recursos y la
informacin a la distancia asegurando confiabilidad de la informacin
aumentando la transmisin de datos y reduciendo as costos generales.
1.4.1 Componentes Fsicos de las Redes

- Dispositivos de usuario final (host).
- Dispositivos de red
1.4.2 Dispositivos de Usuario Final (host)

Son aquellos elementos que brindan servicio al usuario directamente
En estos dispositivos se incluyen:
- Computadores
- Impresoras
- Escner, etc.
1.4.3 Redes LAN

El concepto LAN prevalece aun cuando se trate de varias redes
conectadas entre s, siempre y cuando se encuentren ubicadas dentro del
mismo edificio o campo.
Figura 7: Red LAN Commuted.

Fuente:www.angelfire.com
Una red de rea metropolitana se forma por la interconexin de varias

redes LAN que se encuentran a mayor distancia que las incluidas en el
7
Andrew S. Tanenbaum, 2003 Computacionales Redes, Editorial Pearson Educacin.
https://books.google.com.ec/books?id=WWD-4oF9hjEC&printsec=frontcover&dq=andrew+s+tanenbaum&hl=es-
419&sa=X&ei=bEXvVMPMJoecNoahgsAC&ved=0CCQQ6AEwAQ#v=onepage&q&f=false
19
El Saber es Poder
edificio o campo pero que no sobrepasan el mbito urbano. Se utiliza para

conectar computadoras que se encuentran en diferente campo o edificio
que pueden pertenecer a la misma corporacin o a empresas diferentes
que comparten determinada informacin.
1.4.4 Dispositivos de Red

Son aquellos que conectan entre s a los dispositivos de usuarios finales
haciendo posible la comunicacin entre s.
1.5 Topologa de Red de Datos

Se refiere a la configuracin de la red es decir en su forma de
conectividad fsica los dispositivos de comunicacin y los cables de
interconexin. Las estaciones de trabajo de una red se comunican entre s
mediante dispositivos de comunicacin y conexiones fsicas de modo que
al establecer la topologa del diseador debe planearse los siguientes
objetivos.8
- Encontrar la forma ms econmica y eficaz de conectar dichas
estaciones para, al mismo tiempo proporcionar mxima
confiabilidad al sistema.
- Permitir el aumento de estaciones de trabajo dentro de la
organizacin
- Evitar tiempos de espera en transmisin de datos.
- Lograr el mejor control de la red.
1.5.1 Topologa Informtica

Es el patrn de conexin o distribucin fsica en la que se encuentra
dispuestos los nodos (estaciones) que componen una red. Existen tres
topologas bsicas, de las cuales se pueden derivar otras ms complejas.
8
Enrique Herrera Prez, Ao 2003, Tecnologas y redes de transmisin de datos, editorial
Limusa S.A.
20
El Saber es Poder
1.5.2 Topologa Estrella

Se caracteriza por existir en ella un nodo central al cual se conectan
directamente todas las computadoras de modo muy similar a los modos
de una rueda. Como se puede deducir, si falla el nodo central se afecta a
toda la red .sin embargo esta topologa ofrece una gran modalidad, lo que
permite aislar una estacin defectuosa con bastante sencillez y sin
perjudicar al resto de red para aumentar el nmero de computadoras no
es necesario interrumpir la actividad de la red. La topologa estrella se
emplea en redes de estndar Ethernet y Arcnet.9
Figura 8: Topologa Estrella

Fuente: www.angelfire.com
9
Aurelio Meja, Ao 2004 Gua prctica para manejar y reparar el computador. editorial Limusa
S.A.
21
El Saber es Poder
CAPTULO II
Metodologa de Investigacin
La presente investigacin tiene un enfoque cualitativo considerando una

realidad dinmica pero al mismo tiempo est orientada a la comprobacin
de hiptesis y con nfasis a los resultados.
2.1.1 Mtodo Analtico - Sinttico

En el desarrollo del proceso investigativo se emplea el mtodo analtico
para la elaboracin de la encuesta e investigacin de campo para la
recoleccin de datos.
2.1.2 Mtodo de la Investigacin Bibliogrfica Documental

Se realiza con la informacin de documentos es bsico para la indagacin
ya que este puede ser un libro, papeles escritos, un artculos o registros lo
importante en esta investigacin es elegir los documentos fundamentales
para realizar la auditora o trabajos.
2.1.3 Tcnicas e Instrumentos de Investigacin

Las tcnicas que se emplean en el proceso de investigacin con
cuestionarios, y la observacin.
El cuestionario se emplea para obtener datos significativos referentes a
las seguridades lgicas, controles y seguridades fsicas para lo que se
estructuraron los cuestionarios que son un instrumento que permitirn
obtener los datos requeridos del departamento de sistemas de la Empresa
Ferro Torre s.a.
La observacin es de gran valor en la representacin de la realidad ya que
permite confrontar los hechos e imprimir un sello de transparencia e
22
El Saber es Poder
imparcialidad de la investigacin, se utiliza como instrumento el registro

de datos para la toma de informacin de los inventarios de hardware.
2.1.4 Procesamiento de Informacin

Una vez recolectada la informacin se proceda al anlisis de la
informacin obtenida y es presentada mediante el informe obteniendo las
respectivas conclusiones.
2.2 Tcnica
2.2.1 Descripcin de la Tcnica
Cuestionario
EL cuestionario se realiza con la finalidad de obtener el resultado de la
factibilidad o no de realizar una auditora informtica en la Empresa Ferro
Torre S.A.
Formato
Matriz referente a la realizacin de una auditora informtica dentro del
departamento de sistemas.
Objetivo:
Obtener la informacin correcta de los conocimientos de la persona
encargada del departamento informtico dentro de la empresa.
23
El Saber es Poder
Matriz Cuestionario a la Empresa FERRO TORRE S.A.
El presente instrumento permite obtener informacin necesaria para el anlisis de procesos segn COBIT 5 for
Information Security, con el fin de realizar el anlisis de Riesgos para el Diseo de un Sistema de Gestin de Informacin
Nro. Pregunta Evidencia/Documentacin NO SI Existe un compromiso por resolver Observacin
1 Existe una administracin de la red?
Existe documentacin formal que especifique los

2 conocimientos que debe tener el personal del rea de
sistemas?
Cuenta con polticas y procedimientos en el

3
departamento informtico?
Las polticas y procedimientos informticos son

4
difundidas entre el personal de la empresa?
El personal cuenta con capacitaciones, certificaciones

5
y experiencia en seguridad TI?
Existen normas, practicas, polticas y procedimientos

6 de calidad con respecto a la seguridad de la
informacin?
Existen actas de responsabilidad de entrega de

7
activos a los usuarios de la empresa ferro torre?
24

El Saber es Poder
Se realizan la revisin peridica de la red para

8
detectar software autorizado?
Existe un plan de contingencia en caso de que se d

9 una amenaza o riesgo dentro del departamento
informtica?
Existe un plan de mantenimiento preventivo y

10 correctivo para los activos tecnolgicos de la empresa
ferro torre?
Se cuenta con manuales de operacin de la red que

11
contemplen aspectos de seguridad?
se lleva el registro de la compra de recursos

12
tecnolgicos para la empresa
El servicio de internet debe estar disponible Las

13
cualquier hora y para cualquier usuario?
se lleva un registro de acceso para los usuarios que

14
ingresan al departamento informtico
15 Existe el control de prstamos de equipos?
16 Existe la compra de licencias para cada usuario?
17 Existen polticas para manejo de usuarios y calves?
25

El Saber es Poder
PLANOS DE ENLACE PROCESOS DE COBIT A METAS DE TI

METAS TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Re Re Ase Op Cr Defi Ad Ad Adqu As Asegu Aseg Te Opti Red Pro Esta Aseg Aseg Aseg Aseg Ase Mejo Entr Ma Ase Aseg
spo gur ear nir qui qui irir y rar la urar ucir blece urar urar urar urar gur rar la egar nte gura urar
nde
sp ar tim com mant eg integri la ne miza teg que que que el
agil rir rir los r la ar eficie proy ner r que
ra on la iza o la ener ura dad trans r r la er la las los mni
sati ida funci y y habili sin pare defe clarid infor tarea servi mo que ncia ecto la que TI
los der r d onali ma ma r la en infra ctos
el ad los de sa inte TI demu
sfac dade fisura ncia maci s de cios impa
req
a cin el de dad nte nte s de sat s de y la cu estr de log del n la de TI cto a ser coste tiem grid cum estre
ueri
los del us de ner ner TI isf las com en uctu o impa crtic instit y la las vici de TI po y ple la
mie TI la ad
usu las que aplica pren ay ucin infra tarea
nto req o sis un ac ta ra, solu de cto os y sus sobr de con eficie
ario tare resp ciones sin confi sean estru s de
s uer con de as te a onde ci dentro de y recu cin los de denci auto ctura la de contr e la la ncia
de la de la ma infr na de los cost y los alida matiz pued instit TI ibuci pres info legis de
imi la n pr rsos obj
la ofer instit s aes la proce es entr riesg d se adas en uci est ones upue rma laci coste
PROCESOS DE TI-COBIT inst ent ta inf uci
ny
de tru estra mu sos
de la
de
TI,
ot y ega
etiv os y retien
ea
y los
camb
resist
ir
n, en
caso
n a las sto, cin ny de
ituc os de or apl ctu
tegia tua eg cap de os los dis labor reuni e regu calid
in serv requ de TI institu bene aquel ios a apro de
de icio m erimi ica ra de cin ficios er acid serv de objeti los la piada una pon ales endo infr laci ad de
alin
TI y aci ento ci de rel , to ade icio TI vos y que infor ment interr ible de la est aest n servi
ead
nive de n TI estra y recur no maci ey upci s instit ndar ruct naci cios,
os en n contr
aci do s de
les int inte tegia sos debe n recu n seg ucin es ura onal mejor
con ln ol y on s TI rele n sean perar de
de s,
el egr gra varl de TI n de de a
ea serv solu es polti los tener confi se de servi
pla icio cion ad da cas, acces ables fallos cios se calid pro conti
co act os
n es os y y o . debid de TI req ad ces nua y
estr efect y est n nivel ivo os a uier ami dispo
at ivas est an es error sicin
ter s e ent
gic de es
an dar cer de o para
servi
o dar iza camb
os cio. TI
iza da ios
do futuro
s s
Planear y Organizar
PO1 definicin del plan
estratgico de TI
PO2 Definicin la
arquitectura de la
informacin
PO3 determinacin de
la direccin
26

El Saber es Poder
tecnolgica
PO4 definicin de los

procesos,
organizacin y
relaciones de TI
PO5 administracin de
la inversin de TI
PO6 comunicacin con
la alta direccin
los recursos
humanos de TI
la calidad de TI
PO9 evaluacin y
administracin de
los riesgos de TI
los proyectos de TI
AI1 Identificacin de
las soluciones
automatizadas
AI2 adquisicin y
mantenimiento del
software aplicado
AI3 adquisicin y
mantenimiento de
la infraestructura
tecnolgica
AI4 facilidad de
operacin y uso de
TI
27

El Saber es Poder
AI5 Adquisicin de
recursos de TI
AI6 Administracin de
cambios en TI
AI7 Instalacin y
acreditacin de
soluciones y
cambios en TI
Entregar y dar soporte
DS1 Definicin y
administracin de
los niveles de
servicio
DS2 administracin de
los servicios de
terceros
DS3 administracin del
desempeo y
capacidad de TI
DS4 Garantas en la
continuidad del
servicio
DS5 Garantas en la
seguridad de los
sistemas
DS6 identificacin y
asignacin de
costos de TI
DS7 Educacin y
entrenamiento a
los usuarios
DS8 administracin de
la mesa de
servicios de TI y
los incidentes
28

El Saber es Poder
DS9 Administracin de
la configuracin de
TI
los problemas con
TI
los datos
DS12 Administracin del
ambiente fsico
las operaciones de
TI
Monitorear y Evaluar
ME1 Monitoreo y
evaluacin del
desempeo de TI
ME2 Monitoreo y
evaluacin el
control interno
ME3 Garanta en el
cumplimiento
regulatorio
ME4 Proporciona
gobierno de TI
29

El Saber es Poder
CAPTULO III
Auditora Informtica
3.1 Diagnstico
3.1.1 Metodologa Documentada

La metodologa documentada est empleada dentro de la empresa ya
que demuestra el cumplimiento de los procesos, esto no quiere decir que
garantiza el xito de la auditora interna pero favoreci al cumplimiento de
la misma.
3.1.2 Monitorear los Procesos

En esta etapa se requiere que el personal encargado del rea a auditada
d a conocer el funcionamiento de la misma. Esta etapa fue realizada
mediante la recopilacin de informacin para la evaluacin del rea
utilizando los cuestionarios y entrevista siendo estas un instrumento
utilizable para la realizacin de la auditora.
3.1.3 Evaluar lo Adecuado del Control Interno

En esta etapa se realiza una evaluacin del manejo del rea verificando el
control que lleva el personal encargado.
3.2 Justificacin
3.2.1 Anlisis de Riesgos Aplicados

El anlisis y la gestin de riesgos es preciso comenzar definiendo lo que
es un riesgo, podemos tener una definicin intuitiva de lo que en trminos
generales es un riesgo pero al momento que hablamos de seguridad y de
anlisis de riesgos debemos acudir a fuentes que nos ofrezcan una buena
definicin.
30

El Saber es Poder
Si en realidad existen varias definiciones abordadas por diferentes normas

y estndares siendo as se tendr en cuenta las siguientes definiciones
para continuar.
- Magerit: define riesgo como la estimacin del grado de exposicin
a que una amenaza se materialice sobre uno o ms activos
causando daos a la organizacin.
- Centro Superior de Informacin de la Defensa: define como

riesgo la probabilidad de que una vulnerabilidad propia de un
sistema de informacin sea explotada por las amenazas de dicho
sistema con el objetivo de penetrarlo.
En estas definiciones se puede identificar varios elementos comunes que

se deben entender y valorar en su integridad el concepto de riesgo.
3.2.2 Objetivo del Anlisis de Riesgos

Es importante para una organizacin tener claridad en cuanto a lo que
espera al llevar a cabo un anlisis de riesgos. Para ello se han
identificado los principales objetivos que se persiguen al realizar un
anlisis de riesgos
- Identificar, evaluar y manejar los riesgos de seguridad.

- Estimar la exposicin de un activo a una amenaza determinada.
- integridad en redes.
Mediante el anlisis dentro del departamento de sistemas se encontr
varias partes vulnerables dentro del departamento.
31

El Saber es Poder
EXPLOTA
AMENAZAS VULNERABILIDADES
INCREMENTA INCREMENTA AFECTA Ha

PROTEGE CONTRA
RIESGO ACTIVOS
SALVAGUARDIA
S
INDICA SUFRE
SATISFECHO POR INCREME
NTA
NECESIDADES
IMPACTOS
DE SEGURIDAD?
Figura 9: Procesos de evaluacin de riesgos

Fuente: La autora
3.2.3 rea a Auditar

Departamento Informtico: dentro de esta rea se verifico
Seguridad fsica de los puntos de acceso: Muchas veces existen

puntos de red que no se utilizan, es adecuado verificar que no
exista ningn tipo de conectividad en ellos, o en caso de ser
necesario tenerla que esta sea mnima.
Configuracin de las LAN: Este es el mecanismo ms utilizado para
separar el trfico entre las diferentes redes de la empresa, fue
necesario comprobar que este tipo de configuraciones funcionen
adecuadamente.
Manejo de permisos en la red: si los permisos que tiene cada uno
de los usuarios en su respectivo entorno de red han sido los
correctos en su perfil bsico.
32

El Saber es Poder
Anlisis de la topologa de red: La red puede funcionar

correctamente, muchas ocasiones la red llega a caer causando
inconvenientes a los usuarios dentro de sus labores diarios
Anlisis en la infraestructura del departamento informtico.
Riesgos de prdida de equipos dentro del departamento TI.
Ingreso de personal no autorizado a esta rea.
Interrupcin de servicios.
Infeccin de equipos por virus / ataque de virus.
3.3 Adecuacin
3.3.1 Tcnicas
Cuestionario
El cuestionario se realiza al personal que labora dentro del rea de

sistemas con la finalidad de obtener el resultado de la factibilidad o no de
realizar una auditora informtica en la Empresa Ferro Torre S.A.
Informe
Se requiere realizar el cuestionario a la persona encargada del
departamento informtico para conocer el manejo de la misma.
33

El Saber es Poder
Matriz Cuestionario Empresa FERRO TORRE S.A.
El presente instrumento permite obtener informacin necesaria para el anlisis de procesos segn COBIT 5 for
Information Security, con el fin de realizar el anlisis de Riesgos para el Diseo de un Sistema de Gestin de Informacin
Existe un
Nro. Pregunta Evidencia/Documentacin NO SI compromiso por Observacin
resolver
1 Existe una administracin de la red? Diagrama de red. X Se encuentran desarrollando
Existe documentacin formal que

2 especifique los conocimientos que debe tener Manual de funcione X
el analista de sistemas?
Existe documentacin formal que

Manual de funcione
3 especifique los conocimientos que debe tener x
el asistente de sistemas?
Cuenta con polticas y procedimientos en el

3 Polticas TI. x
departamento informtico?
Las polticas y procedimientos informticos
Est en proceso de
4 son difundidas entre el personal de la Publicacin en el sitio web x
planificacin
empresa?
El personal cuenta con capacitaciones, No existe rastros de
5 Plan de capacitacin x
certificaciones y experiencia TI? capacitaciones
Existen normas, practicas, polticas y

6 procedimientos de calidad con respecto a la Plan de seguridad x
seguridad de la informacin?
34

El Saber es Poder
Existen actas de responsabilidad de entrega

Actas de entrega y
7 de activos a los usuarios de la empresa Ferro x
recepcin
Torre S.A.?
Se realizan la revisin peridica de la red Plan de seguimiento de

8 x
para detectar software autorizado? software
Existe un plan de contingencia en caso de

No existen documentos
9 que se d una amenaza o riesgo dentro del Plan de contingencia x
existentes
departamento informtica?
Existe un plan de mantenimiento preventivo

Plan de mantenimiento
10 y correctivo para los activos tecnolgicos de x
correctivo y preventivo
la empresa ferro torre?
Se cuenta con manuales de operacin de la

11 Manual de procesos x
red que contemplen aspectos de seguridad?
Se lleva el registro de la compra de

12 Inventarios y facturas x
recursos tecnolgicos para la empresa
El acceso a internet se
El servicio de internet estar disponible Las Facturas contrato de
13 x encuentra restringido para
cualquier hora y para cualquier usuario? servicios
ciertos usuarios.
Se lleva un registro de acceso para los

Factura pago internet
14 usuarios que ingresan al departamento x
Telconet
informtico
Existe el documento pero no

15 Existe el control de prstamos de equipos? x
est autorizado.
Existe la compra de licencias para cada Factura de compra de

16 x
usuario? licencia
35

El Saber es Poder
Existen polticas para manejo de usuarios y

17 x No existe polticas de usuario
calves?
Tabla 2Matriz de Diagnostico de Procesos Cobit

Fuente La Autora
36

El Saber es Poder
3.3.2 Identificar los riesgos

Se identifica las fuentes de riesgo, las posibles reas de impacto, sus
causas y consecuencias potenciales se muestra el anlisis de riesgos
aplicados a los procesos seleccionados.
ACTIVOS DE
AMENAZAS
INFORMACIN
Interrupcin de energa elctrica
Servicios
Interrupcin de servicios de telefona
Falla en UPS
Equipos
Falla del aire acondicionado
Fallo de documentos
Informacin
virus informticos
Infeccin de equipos por virus /
ataque de virus
Prdidas de sistemas
Software
Fallas en el servidor de correo
Falla en la base de datos
Falla en el sistema operativo
Fallas en la red LAN

Comunicaciones Fallas en la central telefnica
Daos en la estructura del cableado

Dao fsico o lgico de dispositivos de
red
Dao fsico de componentes de
Hardware servidores
Fallas en los equipos personales
Fallas en impresoras y scanner
Robo fsico de equipos

Infraestructura Incendio
Terremoto
Tabla 3 Amenazas Susceptibles para entrar en la Seguridad
Fuente La Autora
3.3.3 Probabilidad Del Riesgo

La probabilidad del riesgo debe ser superior a cero, si es menor de cero
el valor del riesgo no plantea una amenaza al servicio como se muestra
36

El Saber es Poder
PROBABILIDAD DESCRIPCIN VALOR

Frecuente Incidentes repetidos 1.00
Probable Incidentes aislados 0.75
Ocasional Sucede alguna vez 0.50
Remoto Improbable que suceda 0.25
Tabla 4 Probabilidad de Riesgo
Fuente La Autora
3.3.4 Impacto Del Riesgo

El impacto del riesgo mide la gravedad de los afectos adversos, o la
magnitud de una perdida, causados por la consecuencia. Es una
calificacin aplicada al riesgo, para describir su impacto en relacin al
grado de afectacin del nivel de servicio normal. Cuanto mayor sea el
nmero es el impacto. Para el caso del anlisis, se clasificar el impacto
con una escala del 1 al 4
IMPACTO DESCRIPCIN VALOR

Bajo Prdida de informacin y/o equipo no sensitivo 1
Medio Prdida de informacin sensible 2
Alto Prdida de informacin sensible, retraso o interrupcin 3
Crtico Informacin crtica, daos de activos 4
Tabla 5 Impacto y su Valoracin
Fuente La Autora
3.3.5 Exposicin al Riesgo

La exposicin al riesgo es el resultado de multiplicar la probabilidad por
el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto
y se puede ignorar sin problemas, otras veces un riesgo de alto impacto
tiene una baja probabilidad, por lo que tambin se podra pensar en
ignorarlo en cuyo caso habr que considera tambin la criticidad de
dicho evento. Los riesgos que tienen un alto nivel de probabilidad y de
impacto son los que ms necesidad tienen de administracin pues son
los que producen los valores de exposicin ms elevados
37
El Saber es Poder
Exposicin = Impacto x Probabilidad

IMPACTO
1 2 3 4
PROBABILIDAD Bajo Medio Alto Crtico
1.00 Frecuente 1 2 3 4
0.75 Probable 0.75 1.5 2.25 3
0.50 Ocasional 0.5 1 1.5 2
0.25 Remoto 0.25 0.5 0.75 1
Tabla 6 Exposicin de Riesgo
Fuente La Autora
3.3.6 Evaluar los Riesgo

La finalidad de la evaluacin del riesgo es ayudar a la toma de decisiones,
determinando los riesgos a tratar, la forma de tratamiento ms adecuada
para adaptar los riesgos adversos a un nivel tolerable y la prioridad para
implementar el tratamiento determinado.
3.3.7 Identificar los impactos

Lo que ocasionara podra suponer una prdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos. Se identifica los
riesgos y conjuntamente el impacto sobre los activos.
3.3.8 Anlisis y evaluacin de los riesgos

Evaluar el dao resultante de un fallo de seguridad y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el
riesgo es aceptable o requiere tratamiento como se muestra en la tabla
Matriz de Riesgo
38
El Saber es Poder
ACTIVOS DE
AMENAZA FUENTE DE LA AMENAZA VULNERABILIDAD RIESGO PROBABILIDAD IMPACTO PONDERACIN
INFORMACIN
Interrupcin de energa Problemas con el tendido El sistema de informacin Daos en el hardware 1 2 2

elctrica elctrico queda fuera de servicio
Servicios
Interrupcin de servicios El sistema telefnico Daos en el sistema
Descarga elctrica 0,75 3 2,25
de telefona queda fuera de servicio telefnico
Equipo informtico
Descarga elctrica 0,5 3 1,5
Falla en UPS desprotegido Dao de la tarjeta madre
Equipos
Falla del aire Manipulacin errnea en el Temperatura variable en
0,5 3 1,5
acondicionado equipo el Data Center Daos en los servidores
Desorganizacin de la Documentacin sensible
1 1 1
Extravo de documentos documentacin expuesta Prdida de documentos
Informacin
Personas mal intencionadas 1 2 2
Prdida de informticos Vulnerabilidad en la red Robo de identidad
Infeccin de equipos por Informacin infectada Vulnerabilidad de la 0,75 3 2,25

Software virus / ataque de virus informacin Informacin infectada
Servidor sin seguridades reas tecnolgicas de fcil 0,5 1 0,5

Prdidas de los sistemas acceso Prdida de informacin
Dao fsico o lgico de Vulnerabilidad en los
Dispositivos de red obsoleto 0,75 2 1,5
dispositivos de red dispositivos de red Prdida de servicio de red
Dao fsico de
componentes de Falta de mantenimiento Vulnerabilidad en acceso a Falta de servicio 0,75 3 2,25
servidores servidores
Hardware
Fallas en los equipos Falta de mantenimiento Vulnerabilidad en equipos
0,5 1 0,5
personales continuo personales Prdida de informacin
Falta de mantenimiento Manipulacin errnea de

Fallas en impresoras y Discontinuidad en 0,5 1 0,5
continuo equipos
scanner servicios de impresin y
39

El Saber es Poder
scanner
Falta de reglamente sobre

Sustraccin de Software 0,25 2 0,5
accesos
diversos Libre acceso a particulares Hurto de software
Infraestructura
Procedencia de un incendio Daos en la estructura Destruccin de la
Infraestructura 0,75 4 3
Incendio en la estructura tecnolgico tecnolgica informacin
Desastre natural 0,75 4 3

Terremoto Dao fsico al edificio Destruccin de servidores
Tabla 7 Amenazas Susceptibles para entrar en la seguridad
Fuente La Autora
40
El Saber es Poder
PLANOS DE ENLACE PROCESOS DE COBIT A METAS DE TI

METAS TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Ase Op C Defi Ad Ad Adq Aseg Aseg Red Pro Esta Aseg Aseg Aseg Aseg Ase Mejo Entr Ma Ase Aseg
Res Re As Te Op
gur nir uirir urar urar urar urar urar urar nte
pon sp tim re qui qui eg ne tim ucir teg blece gur rar la egar gura urar
ar com y la la que que que el
der ar rir rir los r la ar eficie proy ner r que
a
on la iza o la ma ura integr trans r iza er la las los mni
sati a funci y y nte idad pare defe clarid infor tarea servi mo que ncia ecto la que TI
los de r gi onali ma ma r la sin ncia
en r la ctos
el ad los de sa inte TI demu
sfac ner maci s de cios impa
req ra cin el li dad nte nte habi sati fisura y la cu infr de log del n la de TI cto a ser coste tiem grid cum estre
ueri del us de lida sfa s de com en o crtic instit y la las
los d ner ner ae la impa vici de TI po y ad ple la
mie usu las des las pren ay ucin infra tarea
re o a tare sist un cci ta str solu de cto os y sus sobr de con eficie
nto ario de aplic sin confi sean estru s de
de d as em a n y cin los de de contr e la la ncia
s qu con TI acion de uct denci auto ctura la
de la d de la as infr que es cost y los alida matiz pued instit TI ibuci pres info legis de
eri la instit
mu pr ura obj
la ofer e de aes res dentr es entr riesg d se adas en uci est ones upue rma laci coste
PROCESOS DE TI-COBIT insti
mi ta inf TI
uci
ny
apli tru pon
den
tua o de
los
de
TI,
ot , ega
etiv os y retien
ea
y los
camb
resist
ir
n, en
caso
n a las sto, cin ny de
tuci en de or cac ctu de eg rec de os los dis labor reuni e regu calid
serv requ a la proce bene aquel ios a apro de
n tos icio
m erimi in ra estr rel sos ficios er urs serv de objeti los la piada una pon ales endo infr laci ad de
alin de y aci ento int de ate aci de la , to os icio TI vos y que infor ment interr ible de la est aest n servi
ead nive de egr TI gia instit estra y recur no maci ey upci s instit ndar ruct naci cios,
TI n contr
on do y
os les ad inte de ucin tegia sos debe n recu n seg ucin es ura onal mejor
en ol y TI es s, s ca rele n sean perar de
con de
os de
solu gra varl de TI n de a
el ln serv co polti los pa tener confi se de servi
icio cion y da cas, acces ables fallos cios se calid pro conti
pla
ea n act cid os
es est y y o . debid de TI req ad ces nua y
n
estr
efect an est ter nivel ivo ad os a uier ami dispo
ivas es error ent
at dar an cer s es e sicin
de es
gico iza dar os de de o para
servi
do iza cio. camb
TI TI
s da ios
futuro
s
Planear y Organizar
PO1 definicin del plan X
estratgico de TI X
PO2 Definicin la X
arquitectura de la X X X
informacin
PO3 determinacin de X
la direccin X
tecnolgica
41
El Saber es Poder
PO4 definicin de los X X X

procesos,
organizacin y
relaciones de TI
la inversin de TI X X X
PO6 comunicacin con
la alta direccin X X X X X X
PO7 administracin de X X
los recursos
humanos de TI
la calidad de TI X X X
PO9 evaluacin y
administracin de X X X
los riesgos de TI
PO10 administracin de X X
los proyectos de TI X
Adquirir e Implementar
AI1 Identificacin de X
las soluciones
automatizadas
AI2 adquisicin y X X
mantenimiento del
software aplicado
AI3 adquisicin y
mantenimiento de
la infraestructura X X X
tecnolgica
AI4 facilidad de X
operacin y uso de X X X
TI
AI5 Adquisicin de X X
recursos de TI X
42
El Saber es Poder
AI6 Administracin de X
cambios en TI X X X X
AI7 Instalacin y X
acreditacin de X X X X X
soluciones y
cambios en TI
Entregar y dar soporte
DS1 Definicin y X
administracin de X X
los niveles de
servicio
DS2 administracin de X X
los servicios de X
terceros
DS3 administracin del X
desempeo y X X
capacidad de TI
DS4 Garantas en la
continuidad del X X X
servicio
DS5 Garantas en la
seguridad de los X X X X X
sistemas
DS6 identificacin y
asignacin de X X X
costos de TI
DS7 Educacin y X
entrenamiento a X X
los usuarios
DS8 administracin de X
la mesa de X X
servicios de TI y
los incidentes
la configuracin de X X
TI
43
El Saber es Poder
DS10 Administracin de X
los problemas con X X
TI
los datos X X
DS12 Administracin del
ambiente fsico X X X X
las operaciones de X X
TI
ME1 Monitoreo y X
evaluacin del X X X
desempeo de TI
ME2 Monitoreo y
evaluacin el X X X X
control interno
ME3 Garanta en el
cumplimiento X
regulatorio
ME4 Proporciona
gobierno de TI X X X X
Tabla 8Planos de Enlace Procesos de COBIT a Metas de TI
Fuente La Autora
44
El Saber es Poder
3.4 PO2 Definir la Arquitectura de la Informacin.

La funcin de sistemas de informacin debe crear y actualizar de forma
regular un modelo de informacin del negocio y definir los sistemas
apropiados para optimizar el uso de esta informacin. Esto incluye el
desarrollo de un nuevo diccionario corporativo de datos que contienen las
reglas de sintaxis de los datos de la organizacin, el esquema de
clasificacin de datos y los niveles de seguridad. Este proceso mejora la
calidad de la toma de decisiones gerenciales asegurndose que se
proporciona informacin confiable y segura, y permitir racionalizar los
recursos de los sistemas de informacin para igualarse con las estrategias
de negocio. Este proceso de TI tambin es necesario para incrementar la
responsabilidad sobre la integridad y seguridad de los datos y para
mejorar la efectividad y control de la informacin compartida a lo largo de
las aplicaciones y de las entidades.
Planear y Organiza
Adquirir e
implementar
Entregar y Dar
Soporte
Control sobre el proceso TI de Monitorear y

Evaluar
Que satisface el requerimiento del negocio de TI para
Agilizar la respuesta a los requerimientos, proporcionar informacin

confiable y consistente, para integrar de forma transparente las
aplicaciones dentro de los procesos del negocio.
45

El Saber es Poder
Enfocndose en
El establecimiento de un modelo de datos empresarial que incluya un

esquema de clasificacin de informacin que garantice la integridad y
consistencia de todos los datos.
Se logra con
- El aseguramiento de la exactitud de la arquitectura de la

informacin y del modelo de datos.
- La asignacin de propiedad de datos.
- La clasificacin de la informacin usando un esquema de
clasificacin acordado.
Y se mide con
- El porcentaje de elementos de datos redundantes.

- El porcentaje de aplicaciones que no cumplen con la metodologa
de arquitectura de la informacin usada por la empresa.
- La frecuencia de actividades de validacin de datos.
OBJETIVOS DE CONTROL
PO2. Definir la Arquitectura de la Informacin.
3.4.1 PO2.1 Modelo de Arquitectura de Informacin Empresarial

Establecer y mantener un modelo de informacin empresarial que facilite
el desarrollo de aplicaciones y las actividades de soporte a la toma de
decisiones, consistente con los planes de TI como se describen en P01.
El modelo debe facilitar la creacin, uso y el compartir en forma ptima la
informacin por parte del negocio de tal manera que se mantenga su
integridad, sea flexible, rentable, oportuna, segura y tolerante a fallos.
46
El Saber es Poder
3.4.2 PO2.2 Diccionario de Datos Empresarial y Reglas de

Sintaxis de Datos
Mantener un diccionario de datos empresarial que incluya las reglas de
sintaxis de datos de datos de la organizacin. El diccionario facilita
compartir elementos de datos entre las aplicaciones y los sistemas,
fomentar un entendimiento comn de datos entre los usuarios de TI y del
negocio, y previene la creacin de elementos de datos incompatibles.
3.4.3 PO2.3 Esquema de clasificacin de datos

Establecer un esquema de clasificacin de datos que aplique a toda la
empresa, basada en que tan crtica y sensible es la informacin de la
empresa. Este esquema incluye detalles acerca de la propiedad de datos,
la definicin de niveles apropiados de seguridad y de controles de
proteccin y una breve descripcin de los requerimientos de retencin y
destruccin de datos, adems de que tan crticos y sensibles son. Se usa
como base para aplicar controles como el control de acceso, activo o
crtico.
3.4.4 PO2.4 Administracin de Integridad

Definir e implementar procedimientos para garantizar la integridad y
consistencia de datos almacenados en forma electrnica, tales como
bases de datos, almacenes de datos y archivos.
DIRECTRICES GERENCIALES
PO2. Definir la Arquitectura de la Informacin.
Desde Entradas
PO1 Planes estratgicos y tcticos de TI
AI1 Estudio de viabilidad de requerimientos de negocio
AI7 Revisin post implementacin
DS3 Informacin de desempleo y capacidad
ME1 Entrada de desempeo a planes de TI
Tabla 9 Directrices Generales
Fuente La Autora
47
El Saber es Poder
Salidas Hacia
Esquema de clasificacin de datos AI2
Plan de sistemas de negocio optimizado PO3 AI2
Diccionario de datos AI2 DS11

Arquitectura de la informacin PO3 DS5
Clasificacin de datos asignada DS1 DS4 DS5 DS11 DS12
Procedimientos y herramientas de clasificacin *
TI PROCESOS ACTIVIDADES
Responder a los Definir como los Involucrarse con la alta

M requerimientos del requerimientos de negocio gerencia y la gerencia
se traducen en ofertas de
et negocio en alineacin del negocio para
servicio
con la estrategia de alinear los planes
as negocio Definir la estrategia para la
estratgicos de TI con
entrega de las ofertas de las necesidades del
Responder a los servicio negocio actuales y
requerimientos de Es Es futuras Entender las
gobierno alineacin con capacidades actuales
ta Contribuir a la gestin del
portafolio de inversiones de
ta de TI Establecer
la direccin del consejo
directivo bl negocio de TI bl claridad del impacto de
los riesgos en los
ec Establecer claridad del ec objetivos y en los
impacto de los riesgos en recursos
er los objetivo er
Dirige Dirige
Mide Mide
Grado de aprobacin de % de objetivo de TI en el Retrasos existentes

M los dueos del negocio de plan estratgico de TI que entre las
los planes estratgicos / dan soporte al plan actualizaciones del
t tcticos de TI estratgico del negocio plan estratgico /
tctico del negocio y
ri % de iniciativas de TI en el las actualizaciones del
Grado de cumplimiento de
plan estratgico/tctico
c requerimientos de gobierno plan tctico de TI que da
de TI % De reuniones
y de negocio soporte al plan tctico de
a negocio de planeacin
estratgica/tctica de
Nivel de satisfaccin del
s gobierno con el estado % de proyectos de TI en el
TI donde los
representantes del
actual del portafolio de portafolio de proyectos de
negocio participaron
proyecto y aplicacin TI que se pueden rastrear de forma activa
de forma directa al plan
tctico de TI
% de
iniciativas/proyectos TI
Figura 10 Definir la Arquitectura de la Informacin. dirigidos por dueos
Fuente La Autora de negocio
48
El Saber es Poder
3.5 PO3. Determinar la Direccin Tecnolgica.

La funcin de servicios de informacin debe determinar la direccin
tecnolgica para dar soporte al negocio. Esto requiere de la creacin de
un plan de infraestructura tecnolgica y de un comit de arquitectura que
establezca y administre expectativas realistas y claras de lo que la
tecnologa puede ofrecer en trminos de productos, servicios y
mecanismos de aplicacin. El plan se debe actualizar de forma regular y
abarca aspecto tales como arquitectura de sistema, direccin tecnologa,
planes de adquisicin estndares, estrategia de migracin y contingencia.
Esto permite contar con respuestas oportunas o cambios en el ambiente
competitivo, economas de escala para consecucin de personal de
sistemas de informacin e inversiones, as como una interoperabilidad
mejorada de las plataformas y de las aplicaciones.
Planear y Organiza
Adquirir e implementar
Entregar y Dar Soporte
Control sobre el proceso TI de
Determinar la direccin tecnolgica
Contar con sistemas aplicativos estndares, bien integrados, rentables y

estables, as como recursos y capacidades que satisfagan requerimientos
de negocio, actuales y futuros
49
El Saber es Poder
Enfocndose en
La definicin e implementacin de un plan de infraestructura tecnolgica,

una arquitectura y estndares que tomen en cuenta y aprovechen las
oportunidades tecnolgicas
Se logra con
El establecimiento de un foro para dirigir la arquitectura y verificar el

cumplimiento
- El establecimiento de un plan de infraestructura tecnolgica

equilibrado versus costos, riesgos y requerimiento.
- La definicin de estndares de infraestructura tecnolgica basados
en requerimientos de arquitectura de informacin.
Y se mide con
- El nmero y tipo de desviaciones con respecto al plan de

infraestructura tecnolgica
- Frecuencia de las revisiones/actualizaciones del plan de
- Nmero de plataformas de tecnologa por funcin a travs de toda
la empresa
PO3. Determinar la Direccin Tecnolgica.
3.5.1 PO3.1 Planeacin de la Direccin Tecnolgica

Analizar las tecnologas existentes y emergentes y planear cul direccin
tecnolgica es apropiada tomar para materializar la estrategia de TI y la
arquitectura de sistemas del negocio. Tambin identificar en el plan qu
tecnologas tienen el potencial de oportunidades de negocio. El plan debe
abarcar la arquitectura de sistemas, la direccin tecnolgica, las
estrategias de migracin los aspectos de contingencia de los
componentes de la infraestructura.
50
El Saber es Poder
3.5.2 PO3.2 Plan de Infraestructura Tecnolgica

Crear y mantener un plan de infraestructura tecnolgica que est de
acuerdo con los planes estratgicos y tcticos de TI. El plan se basa en la
direccin tecnolgica e incluye acuerdos para contingencias y orientacin
para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los
cambios en el ambiente competitivo, las economas de escala para
inversiones y personal en sistemas de informacin, y la mejor
interoperabilidad de las plataformas y las aplicaciones.
3.5.3 PO3.3 Monitoreo de tendencias y regulaciones futuras

Establecer un proceso para monitorear las tendencias ambientales del
sector / industria, tecnolgicas, de infraestructura, legales y regulatorias.
Incluir las consecuencias de estas tendencias en el desarrollo del plan de
infraestructura tecnolgica de TI.
3.5.4 PO3.4 Estndares tecnolgicos

Proporcionar soluciones tecnolgicas consistentes, efectivas y seguras
para toda la empresa, establecer un forro tecnolgico para brindar
directrices tecnolgicas, asesora sobre los productos de la infraestructura
y guas sobre la seleccin de la tecnologa, y medir el cumplimiento de
estos estndares y directrices. Este forro impulsa los estndares y las
practicas tecnolgicas con base en su importancia y riesgos para el
negocio y en el cumplimiento de requerimientos externos.
3.5.5 PO3.5 Consejos de arquitectura de TI

Establecer un comit de arquitectura de TI que proporcione directrices
sobre la arquitectura y asesora sobre su aplicacin, y que verifique el
cumplimiento. Esta entidad orienta el diseo de arquitectura de TI
garantizando que facilite la estrategia del negocio y tome en cuenta el
cumplimiento regulatorio de y los requerimientos de continuidad. Estos
aspectos se vinculan con el PO2 (definir arquitectura de la informacin)
51
El Saber es Poder
Desde Entradas

PO2 Estudio de viabilidad de requerimientos de negocio
AI3 Revisin post implementacin
DS3 Informacin de desempleo y capacidad
Tabla 10Consejos de arquitectura de TI
Fuente La Autora
Salidas Hacia
Oportunidades tecnolgicas AI3
Estndares tecnolgicos AI1 AI3 AI7 DS5
Actualizaciones rutinarias del estado de la tecnologa AI1 AI2 AI3
Plan de infraestructura tecnolgica AI3
Requerimientos de infraestructura PO5
TI ACTIVIDADES
PROCESOS
Optimizar la infraestructura, Definir los estndares de la
M los recursos y las
Reconocer y aprovechar infraestructura tcnica con
las oportunidades base en los requerimientos de
et capacidades de TI tecnolgicas la arquitectura de la
informacin
as Adquirir y mantener Desarrollar e implementar
integrados y el plan de infraestructura Establecer el plan de la
estandarizados los Es tecnolgica Es infraestructura tcnica
sistemas de aplicacin equilibrado contra los costos,
ta ta riesgos y requerimientos
Definir los estndares
bl tecnolgicos y bl Establecer un foro para
dearquitectura para la
ec infraestructura de la TI ec orientar la arquitectura y
verificar el cumplimiento
er er
Dirige Dirige
Mide
Mide
# Y tipo de desviaciones % de incumplimiento de los Frecuencia de las
M estndares tecnolgicos reuniones sostenidas por el
con respecto al plan de
t infraestructura tecnolgica
foro tecnolgico
# De plataformas
ri Frecuencia de las
tecnolgicas por funcin a
c reuniones sostenidas por el
lo largo de toda la empresa
comit de arquitectura de
a TI
s Frecuencia de la revisin /
actualizacin del plan de
Figura 11:Estndares tecnolgicos

Fuente La Autora
52
El Saber es Poder
3.6 PO4. Definir los Procesos, Organizacin y Relaciones de TI

Una organizacin de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, rendicin de cuentas, autoridad,
roles, responsabilidades y supervisin.La organizacin est envuelto en
un marco de trabajo de procesos de TI que asegure la transparencia y el
control, as como el involucramiento de los altos ejecutivos y de la
gerencia de negocio. Un comit estratgico debe garantizar la vigilancia
del consejo directivo sobre TI, y uno o ms comits de direccin, en los
cuales participen tanto el negocio como TI, deben determinar las
prioridades de los recursos de TI alineados con las necesidades del
negocio. Deben existir procesos, polticas de administracin y
procedimientos para todas las funciones, con atencin especfica en el
control, el aseguramiento de la calidad, la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y de sistemas y la
segregacin de funcin. Para garantizar el soporte oportuno de los
requerimientos del negocio, TI se debe involucrar en los procesos
importantes de decisin.
Planear y Organiza
Definir los procesos, organizacin y relaciones de TI
Agilizar la respuesta a las estrategias del negocio mientras se cumplen los

requerimientos de gobierno y se establecen puntos de contactos definidos
y competentes.
53
El Saber es Poder
Enfocndose en
El establecimiento de estructuras organizacionales de TI transparentes,

flexibles y responsables, y en la de implementacin de procesos de TI con
dueos, y en la integracin de roles y responsabilidades hacia los
procesos de negocio y de decisin
Se logra con
La definicin de un marco de trabajo de procesos de TI
El establecimiento de un cuerpo y una estructura organizacional

apropiada
Y se mide con
El porcentaje de roles con descripciones de puestos y autoridad

documentados
El nmero de unidades /procesos de negocio que no reciben soporte de

TI y que deberan recibirlo, de acuerdo con la estrategia.
Nmero de actividades clave de TI fuera de la organizacin de TI que no

son aprobadas y que no estn sujetas a los estndares organizacionales
de TI.
PO4. Definir los procesos, organizacin y relaciones de TI
3.6.1 PO4.1 Marco de trabajo de procesos de TI

Definir un marco de trabajo para el proceso de TI para ejecutar el plan
estratgico de TI. Este marco incluye estructura y relaciones de procesos
de TI (administrando brechas y superposiciones de procesos), propiedad,
medicin del desempeo, mejoras, cumplimiento, metas de calidad y
planes para alcanzarlas. Proporciona integracin entre los procesos que
son especficos para TI, administracin del portafolio de la empresa,
procesos de negocio y procesos de cambio del negocio. El marco de
54
El Saber es Poder
trabajo de procesos de TI debe estar integrado en un sistema de

administracin de calidad y en un marco de trabajo de control interno.
3.6.2 PO4.2 Comit estratgico de TI

Establecer un comit estratgico de TI a nivel de consejo. Este comit
deber asegurar que el gobierno de TI, como parte del gobierno
corporativo, maneja de forma adecuada, asesora sobre la direccin
estratgica y revisa las inversiones principales a nombre del consejo
completo.
3.6.3 PO4.3 Comit directivo de TI

Establecer un comit directivo de TI compuesto por la gerencia ejecutiva,
del negocio y de TI para:
Determinar las prioridades de los programas de inversin de TI alineadas

con la estrategia y prioridades de negocio de la empresa
Dar seguimiento al estatus de los proyectos y resolver los conflictos de

recursos
Monitorear los niveles de servicio y las mejoras del servicio.
3.6.4 PO4. Definir los Procesos, Organizacin y Relaciones de

TI.
Desde Entradas

PO7 Polticas y procedimientos de TI y RH, matriz de habilidades de
TI, descripciones de puestos
PO8 Actividades de mejoramiento de calidad
PO9 Planes de actividades para corregir riesgos relacionados con TI
ME1 Plan de accin correctivas
ME2 Reporte de efectividad de los controles de TI
ME3 Catlogo de requerimientos legales y regulatorios relacionados
con los servicios de TI
ME4 Mejoras al marco de procesos
Tabla 11Comit directivo de TI
Fuente La Autora
55
El Saber es Poder
Salidas Hacia
Marco de trabajo para el proceso de TI ME4
Dueos de sistemas documentados AI7 DS6
Organizacin y relaciones de TI PO7
Marco de procesos, roles documentados y Todos
responsabilidades de TI
Roles de responsabilidades documentados PO7
Responder a los Establecer estructuras y

M requerimientos de gobierno relaciones Definir un marco de trabajo de
et de acuerdo con las organizacionales para TI, procesos para TI
alineaciones del consejo que sean flexibles y
as directivo capaces de responder Establecer organismos y
estructuras organizacionales
Responder a los Es Definir dueos, roles y Es apropiadas
requerimientos de negocio responsabilidades de forma
de acuerdo con la ta clara para todos los ta
estrategia del negocio procesos TI y para todas
bl bl
las relaciones con los
Crear la agilidad de TI ec interesados ec
er er
Dirige Dirige
Mide Mide
Satisfaccin de interesados # De responsabilidades

M (encuestas) conflictivas en vista de % De roles con puestos
t segregacin de funciones documentados y
# De iniciativas de negocio descripciones de autoridad
ri retrasadas debido a la # De escalamientos o
c inercia operativa de TI o a problemas sin resolver % de funciones / procesos
la falta de disponibilidad de operativos de TI que se
debido a la carencia o
a las capacidades necesarias conectan con la estructura
insuficiencia de operativa del negocio
s # De procesos de negocio asignaciones de
que reciben soporte por responsabilidades Frecuencia de reuniones
parte de TI que lo deberan de los comits estratgicos
recibir de acuerdo a la % de interesados y de direccin
estrategia satisfechos con el nivel de
respuesta de TI
Figura 12: Marco de trabajo de procesos de TI

Fuente La Autora
56
El Saber es Poder
3.6.5 PO4. Definir los Procesos, Organizacin y Relaciones de

TI.
La administracin del proceso de Definir los procesos, organizacin y
relaciones de TI que satisfaga el requerimiento de negocio de TI de
agilizar la respuesta a la estrategia del negocio mientras se cumplen los
requerimientos de gobierno y se establecen puntos de contacto definido y
competente es:
O No Existe cuando
La organizacin de TI no est establecida de forma efectiva para

enfocarse en el logro de los objetivos del negocio.
Inicial cuando
Las actividades y funciones de TI son reactivas y se implantan de forma

inconsistente. TI se involucra en los proyectos solamente en las etapas
finales. La funcin de TI se considera como una funcin de soporte, sin
una perspectiva organizacional general. Existe un entendimiento explcito
de la necesidad de una organizacin de TI; sin embargo, los roles y las
responsabilidades no estn formalizadas ni reforzadas.
Repetible pero intuitivo
La funcin de TI est organizada para responder de forma tctica aunque

de forma inconsistente, a las necesidades de los clientes y a las
relaciones con los proveedores. La necesidad de contar con una
organizacin estructurada y una administracin de proveedores se
comunica, pero las decisiones todava dependen del conocimiento y
habilidades de individuos clave. Surgen tcnicas comunes para
administrar la organizacin de TI y las relaciones con los proveedores.
57
El Saber es Poder
Definido cuando
Existen roles y responsabilidades definidos para la organizacin de TI y

para terceros. La organizacin de TI se desarrolla, documenta, comunica
y se alinea con la estrategia de TI. Se define el ambiente de control
interno. Se formulan las relaciones con terceros, incluyendo los comits
de direccin, auditora interna y administracin de proveedores. La
organizacin de TI est funcionalmente completa. Existen definiciones de
las funciones a ser realizadas por parte del personal de TI y las que
deben realizar los usuarios. Los requerimientos esenciales de personal de
TI y experiencia estn definidos y satisfechos. Existe una definicin formal
de las relaciones con los usuarios y con terceros. La divisin de roles y
responsabilidades est definida e implantada.
Administrado y Medible cuando
La organizacin de TI responde de forma proactiva al cambio e incluye

todos los roles necesarios para satisfacer los requerimientos del negocio.
La administracin, la propiedad de procesos, la delegacin y la
responsabilidad de TI estn definidas y balanceadas. Se han aplicado
buenas prcticas internas en la organizacin de las funciones de TI. La
gerencia de TI cuenta con la experiencia y habilidades apropiadas para
definir, implementar y monitorear la organizacin deseada y las
relaciones. Las mtricas medibles para dar soporte a los objetivos del
negocio y los factores crticos de xito definidos por el usuario siguen un
estndar. Existen inventarios de habilidades para apoyar al personal de
los proyectos y el desarrollo profesional. El equilibrio entre las habilidades
y los recursos disponibles internamente, y los que se requieren de
organizaciones externas estn definidos y reforzados.
58
El Saber es Poder
Optimizado cuando
La estructura organizacional de TI es flexible y adaptable. Se ponen en

funcionamiento las mejores prcticas de la industria. Existe un uso amplio
de la tecnologa para monitorear el desempeo de la organizacin y de
los procesos de TI. La tecnologa se aprovecha para apoyar la
complejidad y distribucin geogrfica de la organizacin. Un proceso de
mejora continua existe y est implantado.
3.7 AI2 Adquirir y Mantener Software Aplicativo

Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del negocio. Este proceso cubre el diseo de las
aplicaciones, la inclusin apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la configuracin en s de
acuerdo a los estndares. Estos permiten a las organizaciones apoyar la
operatividad del negocio de forma apropiada con las aplicaciones
automatizadas correctas.
Planear y Organiza
Adquirir y dar mantenimiento a software aplicativo
Construir las aplicaciones de acuerdo con los requerimientos del negocio

y hacindolas a tiempo y a un costo razonable
Enfocndose en
59
El Saber es Poder
Garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con
- La traduccin de requerimientos de negocio a especificaciones de

diseo
- La adhesin a los estndares de desarrollo para todas las
modificaciones
- La separacin de las actividades de desarrollo, de pruebas y
operativas
Y se mide con
- Nmero de problemas en produccin por aplicacin, que causan

tiempo perdido significativo
- Porcentaje de usuarios satisfechos con la funcionalidad entregada
AI2 Adquirir y Mantener Software Aplicativo
3.7.1 AI2.1 Diseo de Alto Nivel

Traducir los requerimientos del negocio a una especificacin de diseo de
alto nivel para la adquisicin de software, teniendo en cuenta las
directivas tecnolgicas y la arquitectura de informacin dentro de la
organizacin. Tener aprobadas las especificaciones de diseo por
gerencia para garantizar que el diseo del alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias significativas
tcnicas o lgicas durante el desarrollo o mantenimiento.
3.7.2 AI2.2 Diseo Detallado

Preparar el diseo detallado y los requerimientos tcnicos del software de
aplicacin. Definir el criterio de aceptacin de los requerimientos. Aprobar
los requerimientos para garantizar que corresponden al diseo de alto
nivel.
60
El Saber es Poder
3.7.3 AI2.3 Control y Posibilidad de Auditar las Aplicaciones

Implementar controles de negocio, cuando aplique, en controles de
aplicacin automatizados tal que el procesamiento sea exacto, completo,
oportuno, autorizado y auditable.
3.7.4 AI2.4 Seguridad y Disponibilidad de las Aplicaciones

Abordar la seguridad de las aplicaciones y los requerimientos de
disponibilidad en respuesta a los riesgos identificados y en lnea con la
clasificacin de datos, la arquitectura de la informacin, la arquitectura de
seguridad de la informacin y la tolerancia a riesgos de la organizacin.
3.7.5 AI2.5 Configuracin e implementacin de software aplicativo

adquirido
Configurar e implementar software de aplicaciones adquiridas para
conseguir los objetivos de negocio.
3.7.6 AI2.6 Actualizaciones Importantes en Sistemas Existentes

En caso de cambios importantes a los sistemas existentes que resulten en
cambios significativos al diseo actual y funcionalidad, seguir un proceso
de desarrollo similar al empleado para el desarrollo de sistemas nuevos.
3.7.7 AI2.7 Desarrollo de Software Aplicativo

Garantizar que la funcionalidad de automatizacin se desarrolla de
acuerdo con las especificaciones de diseo, los estndares de desarrollo
y documentacin, los requerimientos de calidad y estndares de
aprobacin. Asegurar que todos los aspectos legales y contractuales se
identifican y direccionan para el software aplicativo desarrollado por
terceros.
3.7.8 AI2.8 Aseguramiento de la Calidad del Software

Desarrollar, Implementar los recursos y ejecutar un plan de
aseguramiento de calidad del software, para obtener la calidad que se
61
El Saber es Poder
especifica en la definicin de los requerimientos y en las polticas y

procedimientos de calidad de la organizacin.
3.7.9 AI2.9 Administracin de los requerimientos de aplicaciones

Seguir el estado de los requerimientos individuales (incluyendo todos los
requerimientos rechazados) durante el diseo, desarrollo e
implementacin, y aprobar los cambios a los requerimientos a travs de
un proceso de gestin de cambios establecido.
3.7.10 AI2.10 Mantenimiento de Software Aplicativo

Desarrollar una estrategia y un plan para el mantenimiento de
aplicaciones de software.
AI2 Adquirir y Mantener Software Aplicativo
Desde Entradas
PO2 Diccionario de datos; esquema de clasificacin de datos,

plan optimizado de sistema de negocio.
PO3 Actualizaciones peridicas del estado de la tecnologa
PO5 Reporte de costo/beneficio
PO8 Estndares de adquisicin y desarrollo
PO10 Directrices de administracin del proyecto, planes detallados
AI1 Estudio de factibilidad de los requerimientos del negocio.
AI6 Descripcin del proceso de cambio
Salidas Hacia
Especificacin de los controles de seguridad de la DS5
aplicacin
Conocimientos de la aplicacin y del paquete de software AI4
Decisiones de adquisicin AI5
Salas de planeados inicialmente DS1
Especificacin de disponibilidad, continuidad y recuperacin DS3 DS4
62
El Saber es Poder
Definir como los Adquirir y mantener Traducir los requerimientos

M requerimientos funcionales aplicaciones que satisfagan en del negocio a las
forma rentable los
et y de control del negocio se requerimientos definidos para especificaciones de diseo
traducen a soluciones el negocio.
as automatizadas efectivas y Priorizar los requerimientos
eficientes Adquirir y mantener
Es con base en la relevancia del
aplicaciones de acuerdo con la Es
estrategia y la arquitectura de negocio
Adquirir y mantener ta TI. ta
sistemas de aplicacin
bl Garantizar que el proceso de
bl Separar actividades de
integrados y desarrollo pruebas y
estandarizados ec desarrollo sea oportuno y
rentable
ec operacin
er er
Dirige Dirige
Mide Mide
% de proyectos de % de proyectos de
% de proyectos que
M entregan los cambios en el desarrollo a tiempo y software aplicativo con plan
de aseguramiento de
t negocio dentro del marco dentro de presupuesto
calidad del software
ri de tiempo requerido desarrollado y ejecutado
% de esfuerzos de
c # De proyectos donde no desarrollo que se gasta en % de proyectos de
mantenimiento de software aplicativo con
a se alcanzaron los
revisin y aprobacin
beneficios establecidos aplicaciones existentes
s debido al diferente diseo o
adecuadas de conformidad
#de problemas de con los estndares de
desarrollo de la aplicacin desarrollo
produccin por aplicacin
% de usuarios satisfechos que provocan tiempo
Tiempo promedio de
con la funcionalidad perdido notorio entrega de la funcionalidad
entregada con base en las medidas
Figura 13: Adquirir y Mantener Software Aplicativo

Fuente La Autora
3.7.11 AI2 Adquirir y Mantener Software Aplicativo

La administracin del proceso de adquirir y mantener software aplicativo
que satisfaga el requerimiento del negocio de TI de hacer disponibles
aplicaciones de acuerdo con los requerimientos del negocio, en tiempo y
a un costo razonable es:
63
El Saber es Poder
0 No Existente cuando
No existe un proceso de diseo y especificacin de aplicaciones.

Tpicamente, las aplicaciones se obtienen con base en oferta de
proveedores, en el reconocimiento de la marca o en la familiaridad del
personal de TI con productos especficos, considerando poco o nada los
requerimientos actuales.
1 Inicial / cuando
Existe conciencia de la necesidad de contar con un proceso de

adquisicin y mantenimiento de aplicaciones. Los enfoques para la
adquisicin y mantenimientos de software aplicativo varan de un proyecto
a otro. Es probable que se haya adquirido de forma independiente una
variedad de soluciones individuales para requerimientos particulares del
negocio, teniendo como resultado ineficiencias en el mantenimiento y
soporte. Se tiene poca consideracin hacia la seguridad y disponibilidad
de la aplicacin en el diseo o adquisicin de software aplicativo.
2 Repetible pero Intuitivo cuando
Existen procesos de adquisicin y mantenimiento de aplicaciones, con

diferencias pero similares, en base a la experiencia dentro de la operacin
de TI. El mantenimiento es a menudo problemtico y se resiente cuando
se pierde el conocimiento interno de la organizacin. Se tiene poca
consideracin hacia la seguridad y disponibilidad de la aplicacin en el
diseo o adquisicin de software aplicativo
3 Definido cuando
Existe un proceso claro, definido y de comprensin general para la

adquisicin y mantenimiento de software aplicativo. Este proceso va de
acuerdo con la estrategia de TI y del negocio. Se intenta aplica procesos
de manera consistente a travs de diferentes aplicaciones y proyectos.
64
El Saber es Poder
Las metodologas son por lo general, inflexibles y difciles de aplicar en

todos los casos, por lo que es muy probable que se salten pasos. Las
actividades de mantenimiento se planean, programan y coordinan
4 Administrado y Medible cuando
Existe una metodologa formal y bien comprendida que incluye un

proceso de diseo y especificacin, un criterio de adquisicin, un proceso
de prueba y requerimientos para la documentacin. Existen mecanismos
de aprobacin documentados y acordados, para garantizar que se sigan
todos los pasos y se autoricen las excepciones. Han evolucionado
prcticas y procedimientos para ajustarlos a la medida de la organizacin,
los utilizan todo el personal y son apropiados para la mayora de los
requerimientos de aplicacin.
5 Optimizado cuando
Las prcticas de adquisicin y mantenimiento de software aplicativo se

alinean con el proceso definido. El enfoque es con base encomponentes,
con aplicaciones predefinidas y estandarizadas que corresponden a las
necesidades del negocio. El enfoque se extiende para toda la empresa.
La metodologa de adquisicin y mantenimiento presenta un buen avance
y permite un posicionamiento estratgico rpido, que permite un alto
grado de reaccin y flexibilidad para responder a requerimientos
cambiantes del negocio. La metodologa de adquisicin e implantacin de
software aplicativo ha sido sujeta a mejora continua y se soporta con base
de datos internas y externas que contienen materiales de referencia y las
mejores prcticas. La metodologa produce documentacin dentro de una
estructura predefinida que hace eficiente la produccin y mantenimiento.
3.8 AI3 Adquirir y Mantener Infraestructura Tecnolgica

Las organizaciones deben contar con procesos para adquirir, implementar
y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque
65
El Saber es Poder
planeado para adquirir, mantener y proteger la infraestructura de acuerdo

con las estrategias tecnolgicas convenidas y la disposicin del ambiente
de desarrollo y pruebas. Esto garantiza que exista un soporte tecnolgico
continuo para las aplicaciones del negocio.
Planear y Organiza
Adquirir y dar mantenimiento a una infraestructura integrada y estndar de

TI
Adquirir y dar mantenimiento a una infraestructura integrada y estndar de

TI
Enfocndose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio,

de acuerdo con la arquitectura definida de TI y los estndares de
tecnologa.
Se logra
- El establecimiento de un plan de adquisicin de tecnologa que se

alinea con el plan de infraestructura tecnolgica
- La planeacin de mantenimiento de la infraestructura
66
El Saber es Poder
- La implantacin de medidas de control interno, seguridad y

auditora.
Y se mide
- El porcentaje de plataformas que no se alinean con la arquitectura

de TI definida y los estndares de tecnologa
- El nmero de procesos de negocio crticos soportados por
infraestructura obsoleta (o que pronto lo ser)
- El nmero de componentes de infraestructura que ya no se pueden
soportar (o que ya no se podrn en el futuro cercano)
AI3 Adquirir y Mantener Infraestructura Tecnolgica
3.8.1 AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica

Generar un plan para adquirir, Implementar y mantener la infraestructura
tecnolgica que satisfaga los requerimientos establecidos funcionales y
tcnicos del negocio, y que est de acuerdo con la direccin tecnolgica
de la organizacin. El plan debe considerar extensiones futuras para
adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida
til de la inversin para actualizaciones de tecnologa. Evaluar los costos
de complejidad y la viabilidad comercial del proveedor y el producto al
aadir nueva capacidad tcnica.
3.8.2 AI3.2 Proteccin y Disponibilidad del Recurso de

Infraestructura
Implementar medidas de control interno, seguridad y auditabilidad durante
la configuracin, integracin y mantenimiento del hardware y del software
de la infraestructura para proteger los recursos y garantizar su
disponibilidad e integridad. Se deben definir y comprender claramente las
responsabilidades al utilizar componentes de infraestructura sensitivos por
todos aquellos que desarrollan e integran los componentes de
infraestructura. Se debe monitorear y evaluar su uso.
67
El Saber es Poder
3.8.3 AI3.3 Mantenimiento de la Infraestructura

Desarrollar una estrategia y un plan de mantenimiento de la
infraestructura y garantizar que se controlan los cambios, de acuerdo con
el procedimiento de administracin de cambios de la organizacin. Incluir
una revisin peridica contra las necesidades del negocio, administracin
de parches y estrategias de actualizacin, riesgos, evaluacin de
vulnerabilidades y requerimientos de seguridad.
3.8.4 AI3.4 Ambiente de Prueba de Factibilidad

Establecer el ambiente de desarrollo y pruebas para soportar la
efectividad y eficiencia de las pruebas de factibilidad e integracin de
aplicaciones e infraestructura, en las primeras fases del proceso de
adquisicin y desarrollo. Hay que considerar la funcionalidad, la
configuracin de hardware y software, pruebas de integracin y
desempeo, migracin entre ambientes, control de la versiones, datos y
herramientas de prueba y seguridad.
AI3 Adquirir y Mantener Infraestructura Tecnologa
Desde Entradas
PO3 Plan de infraestructura de tecnologa estndares y oportunidades,

actualizaciones del estado de tecnologa
PO8 Estndares de adquisicin y desarrollo
PO10 Directrices de administracin de proyectos y planes
detallados de proyecto
AI1 Estudio de factibilidad de los requerimientos de negocio
AI6 Descripcin de proceso de cambio
DS6 Plan de desempeo y capacidad
Salidas Hacia
Decisiones de adquisicin AI5
Sistema configurado para realizar pruebas/instalacin AI7
Requerimientos de ambiente fresco DS12
Actualizaciones de estndares de tecnologa PO3
Requerimiento de monitoreo del sistema DS3
Conocimientos de la infraestructura AI4
Obras planeadas inicialmente DS1
68
El Saber es Poder
Plan de adquisicin de
M Adquirir y mantener una Proporcionar las tecnologa que est de
et infraestructura de TI plataformas adecuadas a
las aplicaciones del
acuerdo con el plan de
Integrada y estandarizada infraestructura de
as negocio de acuerdo con los
tecnologa
Optimizar la estndares de arquitectura
infraestructura, recursos y Es de tecnologa que define TI Es Mantenimiento de la
capacidades de TI ta Proporcionar una ta infraestructura
Desarrollar la agilidad de infraestructura de TI
bl confiable y segura bl
TI Proporcionar
ec ec ambientes de prueba
er er con infraestructura
Dirige Dirige
Mide Mide
% de plataforma que no
M estn de acuerdo con los # Y tipos de
t estndares de arquitectura modificaciones de
y tecnologa que define TI energa a componentes
ri de la infraestructura
c # De procesos de # De plataformas de
# De solucione de
negocio critico tecnologa distintas por
a soportados por
adquisicin
funcin en la empresa sobresaliente
s infraestructura obsoleta
% de componentes de la Tiempo promedio para
infraestructura adquiridos configurar los
por fuera de procesos de componentes de la
adquisicin infraestructura
Figura 14: Adquirir y Mantener Infraestructura Tecnolgica

Fuente La Autora
69
El Saber es Poder
CAPTULO IV
4.1 Conclusiones y Recomendaciones
Seguridades Fsicas
Conclusin
Por la falta de planificacin desde el punto de vista informtico dentro del

departamento de sistemas no cuenta con las seguridades necesarias para
el mismo
Recomendacin
Analizar la planificacin informtica dentro del departamento para

evitar el extravi de dispositivos informticos del departamento.
Realizar un control de ingreso de personal no autorizado al
departamento informtico para evitar la manipulacin de personal
externo.
Manejo de Inventarios de Hardware
Conclusin
La falta de planificacin en la identificacin de los dispositivos del

departamento informtico de Ferro Torre puede llevar a desorganizacin y
desconocimiento de los dispositivos que posee.
Recomendaciones
Solicitar la adecuada planificacin del personal encargado de

etiquetar los dispositivos informticos para que al momento de
realizar auditoras futuras evitar la desorganizacin.
Realizar un inventario peridico explicando a los usuarios los
beneficios que tiene para la empresa, realizarlo permitir
conocer si se ha cambiado dispositivos dentro del departamento
70
El Saber es Poder
Capacitacin del Personal
Conclusin
Debido a la falta de capacitacin a los usuarios y al mal manejo de los

computadores, estos estn propensos a que ingresen virus, se pierda
informacin y que cada vez al momento de ingresar al sistema este sea
lento e inestable.
Recomendacin
Se recomienda un plan de capacitacin del personal de acuerdo a

las necesidades de la empresa, en este caso tomar medidas para
que el personal est dispuesto y conozca como manipular de una
mejor manera tanto el software como los dispositivos informticos
que tiene a su cargo, para poder evitar el deterioro de estos o la
perdida de informacin.
Interrupcin de servicios
Conclusin
Debido a la interrupcin de servicio elctrico y telefnico causa

inestabilidad en el sistema y lneas telefnicas evitando que los usuarios
puedan desempear sus funciones de manera normal.
Recomendacin
Verificar peridicamente el tendido de los cables telefnicos

Verificar el funcionamiento de los quipos despus de apagones o
cortes de energa.
Verificar que el aire acondicionado en el rea de servidores
evitando as su recalentamiento por cortes de energa.
71
El Saber es Poder
Software
Conclusiones
Debido a fallas de equipos o personas mal intencionadas puede perderse

informacin importante de la empresa, ocasionando inflexiones de
equipos por virus e infectando la informacin.
Recomendaciones
Evitar el manejo de los equipos por personal no autorizado.

Verificar el uso inadecuado de equipos, impidiendo el uso de
dispositivos externos como pueden ser Flash, CD, Discos Externos
entro otros.
Infraestructura
Conclusin
Debido a la falta de inters en temas como la infraestructura no se cuenta

con planes de contingencia en casos de terremotos o incendios ya que
esto podra, ocasionara perdida de equipos tecnolgicos, daos en la
estructura tecnolgica, destruccin de servidores y destruccin de
informacin,
Recomendacin
Crear planes de contingencia ante posibles terremotos o incendios

que pudiera ocasionar daos dentro del departamento informtico.
Realizar capacitaciones con el personal del departamento para
saber que deben hacer en situaciones extremas tales como
terremotos incendios y desastres naturales.
72
El Saber es Poder
5.1 Bibliografa
- Hemandez, E. (2012) Auditoria Informtica: Enfoque

Metodolgico y Prctico. Mxico: Continental
- Zamarripa, E. (2010). Sistemas Tutoriales de Auditoria. Prentice
Hall
- Nava Garca, j. (2010). Apuntes de Auditora Informtica.
Espaa.
- Talento Humano; Empresa Ferro Torre S.A. (2014)
- Muoz, Carlos (200) Auditoria en Sistemas Computacionales.
Mxico: Pearson
- Benal R., Coltell O. Auditora de los Sistemas de Informacin.
Servicio de Publicaciones de la Universidad Politcnica de
Valencia, Valencia, 2009
- Quinn E. (2010). La Auditora informtica dentro de las etapas de
Anlisis de Sistemas Administrativos. Obtenida el 21 de Octubre
del 2010.
- Piattini, M. G, Del Pozo, E. (2013). Auditoria Informtica: Un
Enfoque Prctico. Espaa: computec RAMA
- Aurelio Meja, Ao 2004 Gua prctica para manejar y reparar el
computador. Colombia
- Mario. G (2008) Auditora de tecnologas y sistemas de
informacin Editorial RA-MA S.A.
- Annimo (2015):Riesgos Informticos, Recuperado del libro
web http: // www. contadura 2014/11/riesgos-informticos
73
El Saber es Poder
5.2 Glosario de Trminos
- ERP: Sistema de Planificacin de Recursos Empresariales
- TI: Tecnologa Informtica
- TIC: Tecnologa de Informacin y Comunicacin
- COSO: Sistema Integrado de Control Interno. (Auditora
Informtica)
- IFAC: Federacin Internacional de Contadores
- IIA: Instituto de Auditores Internos de Colombia
- ISACA: (Information Systems Audit and control Association)
Asociacin de Auditora y Control de Sistemas de informacin
- AICPA1: Instituto Nacional de Contadores Pblicos de Colombia
- ISACF: Sistema de Informacin de Auditora y Asociacin de

Control
74
El Saber es Poder
Anexos
75
El Saber es Poder
Anexo 1 Carta de Auspicio
ANEXO 1
CARTA
DE
AUSPICIO
76
El Saber es Poder
Anexo 2 Polticas y procedimientos de Sistemas de Informacin
ANEXO 2
POLTICAS Y
PROCEDIMIENTOS
77
El Saber es Poder
Anexo 3 Funciones del Analista de Sistemas
ANEXO 3
FUNCIONES DE
ANALISTA DE
SISTEMAS
(JEFE DE SISTEMAS)
78
El Saber es Poder
Anexo 4 Funciones del Asistente de Sistemas
ANEXO 4
FUNCIONES DE
ASISTENTE DE
SISTEMAS
79
El Saber es Poder
Anexo 5 Reporte de Ingre de sistemas
ANEXO 5
REPORTE DE
INGRESO AL REA
DE SISTEMAS
80
El Saber es Poder
Anexo 6 Inventario de los Recursos Tecnolgicos
ANEXO 6
INVENTARIO DE
LOS RECURSOS
TECNOLGICOS
81
El Saber es Poder
Anexo 7 Carta Dirigida al Gerente
ANEXO 7
CARTA DIRIGIDA
AL GERENTE
82

Auditoría Sistemas Ferro Torre

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoría Sistemas Ferro Torre

Uploaded by

Copyright:

Available Formats

INSTITUTO TECNOLGICO SUPERIOR CINCO DE JUNIO

CARRERA DE ANLISIS DE SISTEMAS

Proyecto profesional de grado previo a la obtencin del ttulo de

TEMA: AUDITORA INFORMTICA EN LA EMPRESA

AUTORA: WENDY PATRICIA MORENO SARANGO

TUTORA: MSC. YOLANDA AZUCENA BORJA LPEZ

D.M QUITO, SEPTIEMBRE DEL 2015

Cesin de Derechos de Proyecto de Grado

Yo Wendy Patricia Moreno Sarango declaro ser el autor del presente

Adicionalmente aclaro conocer la disposicin del manual C. del Art 99; y

Autor: Wendy Patricia Moreno Sarango

Las ideas, conceptos, procedimientos y resultados vertidos en el presente

Autor: Wendy Patricia Moreno Sarango

MSC. YOLANDA AZUCENA BORJA LPEZ

DOCENTE NIVEL SUPERIOR DEL INSTITUTO

Que el presente proyecto profesional de grado realizado por la estudiante

D.M. Quito, Septiembre de 2015

MSc.Yolanda Azucena Borja Lpez

El presente proyecto de grado lo dedico a mis padres, hermanas y amigos

Wendy Patricia Moreno Sarango

Agradezco a todos y cada uno de los docentes de la Carrera de Anlisis

Wendy Patricia Moreno Sarango

Para varias empresas, la informacin y la tecnolgia que las soportan

Lanecesidad del aseguramiento del valor de TI, la administracin de los

Estos resultados requieren un marco de referencia para poder controlar la

These results require a framework to control the computer technology that

To achieve effective governance, executives expect controls to be

CAPTULO I: Fundamentacin Terica

Se basa en la revisin de documentos o archivos en internet ya existentes

CAPTULO II: Metodologa de la Investigacin

Dentro de este captulo se detalla el tipo de investigacin a realizarse, el

CAPTULO III: Auditora Informtica

Aplicacin de la Metologa en Evaluacin de Controles en la Auditora

CAPTULO IV: Conclusiones y Recomendaciones

Una vez realizado el proyecto de investigacin y analizado cada uno de

Cesin de Derechos de Proyecto de Grado ....................................................................... i

1.1.4 Cobit cubre cuatro dominios ..................................................................................... 11

2.2 Tcnica ............................................................................................................................ 23

3.5.4 PO3.4 Estndares tecnolgicos............................................................................... 51

Figura 1 Logo ............................................................................................ 4

Tabla 1 Personal FERRO TORRE S.A ...................................................... 3

Anexo 1 Carta de Auspicio ...................................................................... 76

Carrera: Anlisis de Sistemas

Corra el ao 1972, en que al cabo de 17 aos de desarrollo en Chile, en

Es as que formando parte de un grupo de inversin chileno, el 2 de junio

Transcurridos unos 20 aos de su fundacin, Antonio tom la iniciativa de

Habiendo concluido Sebastin sus estudios universitarios de

Es entonces, que arrancando el ao 2000 con una economa dolarizada,

Iniciativa de formar equipos de trabajo, para as liderar un nuevo

En estos 12 aos de sangre nueva, joven, entusiasta, de gran dinamismo

Procesar y comercializar productos de acero, para la industria y

1 Ferro Torre S.A. (2014) Informacin Empresarial ANTECEDENTES EMPRESARIALES Editex

Ferro torre S.A. fabrica y comercializa productos de acero, siguiendo los

Organigrama del Departamento Informtico

Figura 2: Organigrama Del Departamento Informtico

Planteamiento del Problema

Diagnstico del Problema

Realizar la auditora informtica aplicando COBIT 4.1 en el departamento

- Recopilar informacin de la empresa utilizando mtodos y tcnicas

La auditora se aplica al departamento informtico de la Empresa FERRO

- La auditora no realizar cambios fsicos dentro del departamento.

1.1 Historia y evolucin de COBIT