8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
1/14
APLICACION DEL COBIT: Evaluacin de un Informe de Auditoria
Parte I: Anlisis del Documento
1. Que marco fue aplicado (ISO o COBIT)?
Al revisar el documento de la auditoria de Fortaleza Fondo Financiero
Privado notamos que aplicaron la norma ISO 17799.
2. Cules son los componentes del documento?
Para realizar la auditoria a la empresa pretensa se tocaron 11 dominios los
cuales son:
Polticas de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de los activos.
Seguridad ligada al personal.
Seguridad fsica y del entorno.
Gestin de las comunicaciones y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de incidentes de seguridad.
Gestin de la continuidad del negocio.
Cumplimiento (conformidad).
3. Que es lo que mejor hicieron los autores y por qu?
El documento mantiene un orden claro, todos los dominios tienes su
correspondiente descripcin, y la correcta recomendacin, ya que cada uno de
los dominios contienes su respectiva recomendacin.
4. Qu pudieron hacer mejor?
Deberan hacer las encuestas con mayor seriedad, y se pudo conseguir
mayor informacin de Fortaleza Fondo Financiero Privado.
Parte II: Aplicacin del COBIT
1. Cual es la empresa de la cual se hizo la auditoria?
Fortaleza Fondo Financiero Privado.
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
2/14
2. Tomando el cuenta el documento y cualquier informacin adicional
que ustedes puedan encontrar sobre la empresa llenar la siguiente
tabla tomando en cuenta las 34 categoras del COBIT:
Categor
a COBIT
Se cumple? Justificacin Procedimient
os
Recomendado
s
Nivel de
Madurez y
Justificacin
PO9
Evaluar y
Administ
rar losRiesgos
de TI
SI Se tienen varias
normas que se
aplican a la parte de
operaciones,logrando un buen
funcionamiento y
una correcta
operacin de la
informacin.
La parte de los
usuarios finales
no tiene
conocimientototal acerca de
las normas de
se rigen dentro
la empresa,
teniendo riesgo
en el
incumplimiento
de dichas
normas.
Nivel 3Una poltica deadministracinde riesgos paratoda laorganizacindefine cundoy cmo realizarlasevaluacionesde riesgos. Laadministracinde riesgossigue unproceso
definido, elcual estdocumentado.La decisin deseguir elproceso deadministracinde riesgos y derecibirentrenamientosedeja a ladiscrecin delindividuo.
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
3/14
Categor
aCOBIT
Se cumple? Justificacin Procedimiento
sRecomendado
s
Nivel de
Madurez yJustificacin
PO10
Administra
r
Proyectos
NO No se cuenta con
ninguna tcnica para
la elaboracin o
planificacin de un
proyecto.
El uso de
tcnicas y
enfoques de
administracin
de proyectos
dentro de TI es
una decisin
individual que
se deja a los
gerentes de TI.
Los proyectos
de TI se
monitorean,
con puntos
clave,
cronogramas y
mediciones depresupuesto y
desempeo
definidos y
actualizados.
Nivel 0
Las tcnicas de
administracin
de proyectos
no se usan y la
organizacin
no toma encuenta los
impactos al
negocio
asociados con
la
mala
administracin
de los
proyectos ycon las fallas
de desarrollo
en el proyecto.
Categor
a COBIT
Se cumple? Justificacin Procedimient
osRecomendado
s
Nivel de
Madurez yJustificacin
AI1
Identificar
soluciones
automatizad
as
NO No existe el reporte
de anlisis de riego,
ni un estudio de
factibilidad y
formulacin de
cursos de accin
alternativa.
Existen algunos
enfoques
intuitivos para
identificar que
existen
soluciones de TI
y stos varan alo largo del
Nivel 0
La
organizacin
no requiere de
la
identificacin
de los
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
4/14
negocio. Las
soluciones
se identifican
de manera
informal conbase en la
experiencia
interna y en el
conocimiento
de la funcin de
TI.
requerimientos
funcionales y
operativos
para el
desarrollo,
implantacin o
modificacin
de soluciones,
tales como
sistemas,
servicios,
infraestructura
y datos. La
organizacin
no estconsciente de
las
soluciones
tecnolgicas
disponibles
que son
potencialment
e relevantes
para su
negocio.
Categor
a
COBIT
Se cumple? Justificacin Procedimiento
s
Recomendado
s
Nivel de
Madurez y
Justificacin
AI2
Adquirir y
mantenersoftware
aplicativo
SI Se tiene una
metodologa para eldesarrollo de
proyectos,
monitoreada y
aprobada por la
subgerencia nacional
de tecnologa.
Tendra que
existir unregistro formal
de las libreras
realizadas para
solventar
problemas.
Considerar
crear un centro
de computo.
Nivel 3
Existe unproceso claro,
definido y de
comprensin
general para la
adquisicin y
mantenimiento
de software
aplicativo. Este
proceso
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
5/14
va de acuerdo
con la
estrategia de TI
y del negocio.
Se intenta
aplicar losprocesos de
manera
consistente a
travs de
diferentes
aplicaciones y
proyectos.
Categor
a COBIT
Se cumple? Justificacin Procedimient
os
Recomendado
s
Nivel de
Madurez y
Justificacin
AI3 Adquirir
y mantener
infraestruct
ura
tecnolgica
SI Se cuenta con
diferentes
inventarios de los
activos ms
importantes, donde
todos los activos
son clarinete
identificado, cada
activo esta asignado
a un respectivo
propietario que esta
encargado de su
mantenimiento.
Algunos
elementos de
informacin
pueden requerir
un nivel
adicional de
proteccin o un
uso especial.
Nivel 1
Aunque se
tiene la
percepcin de
que lainfraestructura
de TI es
importante, no
existe un
enfoque
general
consistente. La
actividad de
mantenimiento
reacciona anecesidades de
corto plazo. El
ambiente de
produccin es
el ambiente de
prueba.
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
6/14
Categor
a
COBIT
Se cumple? Justificacin Procedimiento
s
Recomendado
s
Nivel de
Madurez y
Justificacin
AI4Facilitar la
operacin
y el uso
SI Se da a conocersobre los nuevos
sistemas que estn
disponibles. Se
genera la
documentacin y
manuales para
usuarios y para TI.
Dar a conocersobre todos los
cambios a todo
el personal
correspondiente
y no solamente
al personal que
lo pida.
Nivel 2
Se utilizan
enfoques
similares para
generar
procedimientos
y
documentacin
, pero no se
basan en unenfoque
estructural o
marco de
trabajo.
Individuos o
equipos de
proyecto
generan los
materiales de
entrenamiento,
y la calidad
depende de los
individuos que
se involucran.
Categora
COBIT
Se cumple? Justificacin Procedimientos
Recomendado
s
Nivel deMadurez y
Justificacin
AI5
Adquirir
recursos
de TI
NO Se deben suministrar
recursos TI,
incluyendo personas,
hardware, software y
servicios. Esto
requiere de ladefinicin y
Se debe hacer
un control en la
adquisicin con
previa
administracin
de contratoscon
Nivel 0
No existe un
proceso
definido de
adquisicin derecursos de TI.
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
7/14
ejecucin de los
procedimientos de
adquisicin, la
seleccin de
proveedores, el
ajuste de arregloscontractuales y la
adquisicin en s.
proveedores.
Seleccionar a
los proveedores
que nos
proporcionenrecursos de TI.
Categor
a COBIT
Se cumple? Justificacin Procedimient
os
Recomendado
s
Nivel de
Madurez y
Justificacin
AI6
Administ
rar
cambios
SI Para los cambios de
software o
aplicaciones, se
elaboran informes,
informando quien la
solicito, las
evaluaciones que se
realizaron, quien
firma esta
aceptacin de
evaluaciones y al
final pasa a
produccin, si es
que esta e aceptada.
Obtener un
estndar para
la
administracin
de los cambios.
Establecer un
proceso para
definir,
plantear,
evaluar yautorizar los
cambios de
emergencia que
no sigan el
proceso de
cambio
establecido.
Nivel 2
Existe un
proceso de
administracin
de cambio
informal y la
mayora de los
cambios siguen
este enfoque;
sin embargo, elproceso no
est
estructurado,
es
rudimentario y
propenso a
errores. La
exactitud de la
documentacin
de laconfiguracin
es
inconsistente y
de planeacin
limitada y la
evaluacin de
impacto se da
previa al
cambio.
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
8/14
Categor
a
COBIT
Se cumple? Justificacin Procedimiento
s
Recomendado
s
Nivel de
Madurez y
Justificacin
AI7Instalar
y
acreditar
solucion
es y
cambios
NO Los nuevos sistemasnecesitan estar
funcionales una vez
que su desarrollo se
completa. Esto
requiere pruebas
adecuadas en un
ambiente dedicado
con datos de prueba
relevantes, definir la
transicin einstrucciones de
migracin, planear la
liberacin y la
transicin en s al
ambiente de
produccin, y revisar
la post-implantacin.
Esto garantiza que
los sistemas
operativos estn enlnea con las
expectativas
convenidas y con los
resultados.
Tener unentrenamiento
para estos
casos.
Tener plan de
prueba y un
plan de
implementacin
.
Tener pruebas
de cambios.
Tener pruebas
de aceptacin
final.
Revisin
posterior a la
implementacin
.
Nivel 0
Hay una
ausencia
completa de
procesos
formales de
instalacin o
acreditacin y
ni la gerencia
senior ni elpersonal de TI
reconocen la
necesidad de
verificar que
las soluciones
se ajustan para
el propsito
deseado.
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
JustificacinDefinir y
administrar
los niveles
de servicio
NO La descripcin de los
distintos niveles de
servicio dentro de
Fortaleza fondo
financiero privado, es
nula, no se menciona
ningn tipo de nivel de
servicio.
Generar reportes
de los niveles de
servicio
Verificar las
deficiencias que
ocurren
Verificar
NIVEL 0
Porque segn
lo que describe
el documento
basado en el
ISO 17799, no
existe ni la masmnima
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
9/14
confiabilidad
desempeo,
planeacin
Finalmente tratar
de optimizar todo
el proceso ya
establecido.
intencin
De definir o
administrar los
niveles de
servicio dentro
de Fortaleza
fondo financiero
privado
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez yJustificacin
Administrar
los
servicios
de terceros
SI El documento presenta
una breve descripcin
acerca de los servicios
de red provistos a la
entidad financiera.
Se debera ser
ms explcitos,
con ciertos
puntos que no se
tomaron en
cuenta dentro de
la empresa
Se debera tomar
en cuenta
algunos aspectos
como.
La identificacin y
categorizacin de
los servicios delproveedor
La identificacin
y mitigacin de
riesgos del
proveedor
El monitoreo y
la medicin del
desempeo delproveedor
NIVEL 2
Porque el
documento
describe una
leve aceptacin
por parte de la
empresa, de
regular los
procesos de
mantenimiento
y regulacin de
la provisin de
servicios de
terceros a la
empresa.
Pero estos
procesos aun
no son
establecidos de
una manera
adecuada,
dejando de lado
algunos
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
10/14
estndares y
normas
necesarias
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
Justificacin
Administrar
el
desempeo
y la
capacidad
SI El documento presenta
una breve informacin
acerca de el manejo de
datos y el control que
se hace sobre los
mismos, para controlar
el desempeo y
capacidad de los
recurso de TI
Para lograr tener
un mejor control
de la
administracin y
medicin de la
capacidad de los
recursos de TI,
se podra hacer:
La planeacin y
la entrega de
capacidad y
disponibilidad delsistema
Monitoreando y
reportando el
desempeo del
sistema
Modelando y
pronosticando el
desempeo del
sistema.
Nivel 1
Porque segn
indica el
documento,
todava se lleva
a cabo
soluciones
alternas y no as
soluciones
adecuadamente
establecidas,
siendo stas
resultado de un
proceso, puesta
previamente.
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de Madurez
y Justificacin
Garantizar
la
continuidad
del servicio
SI Pues en la empresa,
segn descripcin del
documento, se trata de
mantener ciertos
Posiblemente se
podra garantizar
la continuidad del
servicio:
NIVEL 1
Pues el documento
hace suponer que
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
11/14
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
12/14
Probando la
seguridad de
forma regular
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
Justificacin
Identificar
y asignar
costos
NO El documento no
presenta ninguna forma
de descripcin sobre
los costos, que se lleva
a cabo dentro de laentidad financiera
Se podra
implementar
haciendo:
La alineacin de
cargos con la
calidad y
cantidad de los
servicios
brindados
La construccin
y aceptacin de
un modelo de
costos completo
La aplicacin de
cargos con base
en la poltica
acordada
NIVEL 0
No existe algn
procesoreconocible de
identificacin y
distribucin de
costos dentro la
empresa.
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
Justificacin
Educar y
entrenar a
los
usuarios
SI Existe una breve
descripcin a cerca de
manuales de apoyo
que se otorga a los
usuarios de los
diferentes sistemas sin
embargo no es algo
muy basto para lo que
se requiere en el
Los
procedimientos
que se podran
hacer son:
Establecer un
programa de
entrenamiento
Organizar el
NIVEL 1
Existe una leve
aceptacin por
la necesidad de
tener a los
usuario
preparados para
manipular las TI,
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
13/14
proyecto.entrenamiento
Impartir el
entrenamiento
Monitorear yreportar la
efectividad del
entrenamiento
pero no existe
procedimientos
estandarizados.
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
Justificacin
Administrarla mesa de
servicio y
los
incidentes
NO Pues no existe unamesa de servicio bien
diseada y bien
ejecutada, y de un
proceso de
administracin de
incidentes.
Se podrarecomendar
llevar a cabo:
Instalacin y
operacin de un
servicio de una
mesa de
servicios
Monitoreo y
reporte de
tendencias
Definicin de
procedimientos y
de criterios de
escalamiento
claros
NIVEL 0
Porque no hay
soporte para
resolver
problemas y
preguntas de
los usuarios.
Categora
COBIT
Se cumple Justificacin Procedimientos
Recomendados
Nivel de
Madurez y
Justificacin
Administrar
la
configuracin
SI La empresa presenta a
travs de la
documentacin
presentada que si se
Se podra
mejorar con:
Elestablecimiento
NIVEL 3
Pues segn la
documentacin
8/6/2019 Aplicacion Del Cobit Parte Chavo y Ariel
14/14
administra de una
manera adecuada la
configuracin de los
distintos dispositivos de
hardware y software.
de un repositorio
central de todos
los elementos de
la configuracin
La identificacinde los elementos
de configuracin
y su
mantenimiento
Revisin de la
integridad de los
datos de
configuracin
de la auditoria
de sistemas, en
la empresa se
maneja una
documentacin
formal acerca
de los distintos
dispositivos de
hardware y
software.