IMPLEMENTACION DE COBIT.doc

Contenido

UNIVERSIDAD NACIONAL DE SAN AGUSTIN DE AREQUIPA

FACULTAD DE CIENCIAS CONTABLES Y FINANCIERAS

ESCUELA DE POST GRADO

MAESTRIA EN AUDITORIA Y GESTION TRIBUTARIA

CURSO: AUDITORIA DE SISTEMAS DE INFORMACION

DOCENTE: CPC JUAN SANTIAGO ZAMATA MACHACA

IMPLEMENTACIN DE COBIT EN UNA EMPRESA DE LABORATORIO FOTOGRFICO PRESTONS SA

HECHO POR:

LILIA LOURDES ALVAREZ QUIROZ

PERCY PACHECO VELASQUEZAREQUIPA - 2014

CONTENIDO1. Introduccin.

1.1 Objetivos:

Principal

Especifico

1.2 Base Legal

1.3 Estructura organizacional

2. Entendimiento del Negocio.

3.1. Informacin Institucional.

3.2. Marco Operativo.

3.3. Informacin del Ambiente de Sistemas.

3.3.1. Catlogo de Aplicaciones.

3.3.2. Recursos Humanos Centro de Cmputo.

3.3.3. Recursos Tecnolgicos.

3.3.4. Comunicacin y transferencia de Informacin a travs de la organizacin.

3.3.5. Estrategia.

4. Modelo de mejores prcticas utilizado: COBIT

5. Propuesta metodolgica para el diseo del SGSI de PRESTONS SA.

6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.

6.1. PO9.- Evaluar los Riesgos.

6.2. PO11.- Administrar Calidad.

6.3. A16.- Administrar Cambios.

6.4. DS4 .- Asegurar el Servicio Continuo.

6.5. DS5 .- Garantizar la Seguridad de los Sistemas.

6.6. DS11 .- Administrar los Datos.

6.7. DS12 .- Administrar Instalaciones.

7. La evaluacin de riesgos de los 105 objetivos de control.

7.1. Administracin de Riesgos.

7.2. Proceso de administracin de Riesgos.

6.2.1. Establecer Marco General.

6.2.2. Identificar Riesgos.

6.2.3. Anlisis de Riesgos.

6.2.4. Evaluar y Priorizar Riesgos.

6.2.5. Controles existentes para los riesgos de ms alta exposicin.

6.2.6. Tratamiento del Riesgo.

8. Plan de Accin.

9. Beneficios.INTRODUCCINLaboratorios Fotogrficos PRESTONS SA es una empresa que naci en la ciudad de Per hace 35 aos gracias a la iniciativa y visin de los seores Luis Orrantia G. y Enrique Martinez Q., Presidente y Gerente General de fotograst. de aquel entonces, quienes decidieron crear una empresa dedicada a la venta y procesamiento de las pelculas en blanco y negro, bajo la razn social de PRESTONS SA Laboratorios Fotogrficos.

Desde el ao 2000, los laboratorios fueron ampliando sus servicios bajo la supervisin de Galo Vinueza, viejo amante de la fotografa y uno de los artfices del desarrollo fotogrfico del Per.

En 2008 PRESTONS SA ya contaba con un moderno laboratorio de revelado a color en Per, que fue viendo superada su capacidad de produccin por la creciente demanda, por lo que se decidi abrir un nuevo laboratorio. En Marzo de 2009, bajo la supervisin del Ing. Antonio Tobar C., se inaugur uno de los ms modernos laboratorios centrales de Sud Amrica en la ciudad de Guayaquil.

Pocos aos despus, se inici a la apertura de punto de revelado satelitales, equipados con mini laboratorios que ofrecan el servicio de revelado en pocas horas. Hoy se cuenta con 106 mini laboratorios instalados en las principales ciudades del pas, atendiendo directamente a sus clientes locales, ofrecindoles productos e innumerables servicios fotogrficos y digitales de primersima calidad.

PRESTONS SA se dedica en la actualidad a la captura, reproduccin, conservacin y comunicacin de imgenes que son los ms preciados recuerdos y sentimientos del ser humano.

Gracias a la utilizacin de tecnologa de punta a la experiencia de su recurso humano y a la capacitacin continua, ha logrado colocarse como lder en la comercializacin y distribucin de productos y servicios fotogrficos.

Sus ms de 500 colaboradores son el fundamento de la empresa y con orientacin total hacia la excelencia que les permite dar un eficiente servicio a todos sus clientes en el pas.

OBJETIVOS:OBJETIVO PRINCIPAL.

-Supervivencia y crecimiento del negocio.

-Obtencin de utilidades.

-Imagen y prestigio.

-Satisfaccin de necesidades colectivas.

OBJETIVO ESPECIFICO.

La actividad principal es de Laboratorios Fotogrficos de acuerdo a la clasificacin Industrial Internacional Uniforme de todas las Actividades Econmicas (Revisin III). 22214 actividades de impresin.

c.BASE LEGAL.

Constitucin Poltica del Per de 1993.

Ley General de Sociedades Ley N 26887.

Escritura Pblica de Constitucin.

d.ESTRUCTURA ORGANIZACIONAL.

1.JUNTA GENERAL DE SOCIOS.

La Junta General de socios est conformado por toda las personas que conforman la empresa PRESTON'S SA quienes son los encargados en velar las actividades y sus resultados administrativos y econmicos de la organizacin.

2.GERENCIA.

El Gerente es el encargado de la administracin de la sociedad, la cual es designada por la junta general de socios, quien representa en todos los asuntos relativos a su objeto.

El gerente goza de las facultades generales y especiales de representacin procesal por el slo mrito de su nombramiento.

3.SECRETARIA.

La divisin de secretaria es la encargada de suministrar informacin todo lo referente sobre los departamentos, recepcin de documentos que estos lleguen a la empresa y tener actualizada la agenda.

4.DIVISIN DE CONTABILIDAD.

La responsabilidad es efectuar el anlisis y registro de las operaciones financieras sustentadas con documentos contables en los libros y registros auxiliares de contabilidad.

Es el encargado de contribuir en la administracin de la empresa, alcanzando informacin de manera adecuada, eficiente, oportuna de los resultados econmicos de la sociedad.

5.DEPARTAMENTO DE COMPRAS.

Obtener mercaderas y servicios en cantidad y con calidad necesarias

Obtener mercaderas al menor costo

Garantizar el mejor servicio posible y pronta entrega por parte del proveedor.

Desarrollar y mantener buenas relaciones con los proveedores y desarrollar proveedores potenciales.

6.DEPARTAMENTO DE VENTAS.

Su principal funcin de esta rea es sobre la comercializacin de los productos que ofrece la empresa en el ramo de su actividad principal, efectuando cotizaciones, colocacin de productos en el mercado local y departamental y as cumplir con las tareas de cobranza a los clientes de los crditos concedidos.

7.DEPARTAMENTO DE PERSONAL.

rea encargado de los trabajadores de la organizacin, con el propsito verificar el cumplimiento de metas y la capacitacin as como el cumplimiento en el aspecto remunerativo y los beneficios sociales.

MISION Lograr la satisfaccin de las necesidades de los clientes y usuarios, mediante la entrega de Excelencia en la Calidad de Productos y Servicios dentro de la industria de imgenes.

Nuestro compromiso con nuestros colaboradores es proveerlos de oportunidades para su desarrollo y crecimiento, remunerndolos mejor que el mercado en base a resultados, e incrementando su patrimonio y bienestar a largo plazo, creando en ellos un recurso valioso.

Nuestro compromiso con nuestros socios comerciales es el de proveerlos de una plataforma para sus desarrollo sostenido, mediante nuestro crecimiento en ventas y rentabilidad.

Nuestra responsabilidad con la sociedad y las comunidades en las que operamos , es la de contribuir a su progreso y expectativas para el futuro, y prestar nuestro apoyo para eventos deportivos, culturales y de entretenimiento, que lleven felicidad a sus vidas.

Entregar a los accionistas el mayor rendimiento a su inversin.

VISIONSer la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con personal altamente calificado, motivado y profesional; sirviendo en cada rea de la empresa y el mercado; con una participacin de mercado no menor al 70%.

VALORESEl cliente es primero.

Honestidad y lealtad que asegure la integridad de la empresa. Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones.

Educacin y aprendizaje constante para lograr la superacin personal y profesional. Tenacidad y perseverancia para alcanzar nuestros objetivos.

Reconocimiento pblico y remuneracin econmica ante el buen desempeo. Comunicacin abierta para promover el trabajo en equipo.

Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia.

Respeto a las personas, a la sociedad y al medio ambiente.

PRODUCTOS CLAVESCmaras digitales (KODAK, PANASONIC, NIKON) Rollos fotogrficos (KODAK)

Pilas

Accesorios para cmaras y productos relacionados.

SERVICIOS CLAVESAmpliaciones. Montajes.

Retoques

Copias.

LINEAS DE NEGOCIODistribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Los distribuidores tienen lneas de crdito, descuentos, y promociones especiales.

Foto tiendas.- Se encarga de la venta de mercadera al por menor y el revelado fotogrficos.

CLIENTESFotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos y promociones especiales.

Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos de revelados y a facturarlos.

Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.

MERCADO.-PRESTONS SA est enfocado en 2 segmentos, la venta a travs de su cadena de retail y la venta a distribuidores.

Los principales competidores de PRESTONS SA en el segmento de retail, son Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de Kodak y Maxell, es la misma que la de la marca a nivel internacional.

Actualmente la marca PRESTONS SA est catalogada como la numero uno en cuanto al revelado fotogrfico y apunta a mantener esta posicin. PRESTONS SA siempre est buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el revelado tradicional, siendo esta la principal fuente de sus ingresos.

MARKETING Y PROMOCIONES.-Constantemente se estn lanzando promociones apuntando: Incrementar el revelado digital.

Mantener el revelado tradicional.

Incrementar la venta de productos KODAK y MAXELL.

Actualmente se han adquirido Impresoras Termales, Digitales, y equipos PICTURE Maker con el afn de soportar las diferentes promociones que son lanzadas consecutivamente.

Tecnologa de Informacin.-Existe un departamento de sistemas en Per y Guayaquil, parte de los servicios de tecnologa son provisto por el centro de cmputo de Comandato(Empresa del Grupo).

Entre los servicios tecnolgicos que son provisto por el centro de cmputo de

Comandato tenemos:

Correo Interno. Acceso al Internet.

Interconexin a travs de micro-ondas con antenas de punto de vista en las fototiendas que estn dentro de un almacn Comandato.

Administracin y soporte especializado de la red corporativa y base de datos.

Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica de

Per y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.

3.2 MARCO OPERATIVO.-VENTAS, TRMINOS Y DESCUENTOS. La mercadera es recibida en las bodegas principales de Guayaquil, y de esta distribuida al resto del pas.

Las listas de precios, son creadas, administradas, aprobadas en la oficina principal.

Distribucin Los precios de ventas para el rea de distribucin estn formalmente definidos y aprobados por la alta gerencia.

Existe el concepto de mercadera dada a consignacin, pero con la aprobacin de la gerencia general.

Los descuentos son previamente pactados con el cliente y aprobados por la gerencia general cuando estn fuera de los lmites preestablecidos.

Todas las ventas son a crdito.

Todas las lneas de crditos son aprobadas, revisadas y analizadas para evitar la morosidad en la cartera.

COMPRAS DE INVENTARIO.-Nuestros mayores proveedores son Eastman Kodak, Maxell. La forma de costeo es por el mtodo de promedio ponderado.

El inventario es un rubro bastante significativo en el balance general de la institucin.

La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin trabajan en conjunto para monitorear el inventario, y mantener un nivel adecuado a fin de satisfacer la demanda, por promociones y el proceso de revelado fotogrfico.

Adicionalmente la Gerencia de Logstica se encarga de monitorear las importaciones, y de informar cualquier inconveniente directamente con la gerencia.

CUENTAS POR PAGAR.- La mayora de las compras son de mercadera para la venta y materia prima para el proceso de revelado fotogrfico.

Existen contratos de arrendamientos por los locales que no son propios y estn siendo usados por las fototiendas.

Existen prstamos bancarios, pero no son de gran impacto en el estado financiero.

Existen prstamos entre compaas del grupo.

Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existe una poltica bien definido por montos de compra. La informacin de las cuentas por porgar es semanalmente revisada e informada a la gerencia.

SALDOS DE EFECTIVOTodos los saldos en efectivo estn en la moneda local.

Transferencias importantes existen entre la administracin de efectivos y las cuentas operacionales.

El flujo de efectivo es diariamente monitorizado por la Gerencia Financiera. Las transferencias son aprobadas por la gerencia general.

PROPIEDADES, PLANTA & EQUIPOS.- Todas las propiedades, planta y equipos son de propiedad de la compaa(no es leasing financiero).

La vida til de todos los activos se basan en estndares de la industria y se deprecian por medio del mtodo de lnea recta.

Si existen gastos significativos por reparacin y mantenimiento.

Durante los ltimos 2 aos, se han hecho importante adquisiciones en cuanto a equipos de revelado digital y termal.

3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.

Los sistemas computacionales soportan todos los procesos del negocio, pero existen fototiendas que llevan sus transacciones de una forma manual debido a que el flujo de transacciones de la tienda y el flujo de efectivo de la empresa no justifica su automatizacin.

La informacin crtica de los estados financieros es generada por los sistemas computacionales.

El soporte y administracin de la infraestructura de redes, sistema operativo, bases de datos es soportada por un tercero o por el centro de computo de COMANDATO. (Empresa del grupo).

PRESTONS SA Laboratorio Fotogrfico S.A. tiene las siguientes unidades de negocio: Venta en FotoTiendas.

Venta a distribuidores.Los principales procesos del negocio son: Ventas.

Mercadeo.Produccin. (Revelado Fotogrfico) Logstica

Administracin y control de fototiendas. Administracin de fondos y flujo de efectivo.

3.3.1 CATALOGO DE APLICACIONES.AplicacinS.OperativoBase de DatosProcesos del Negocio que SoportaTransaccionalidad

Sistema de Rol de Pagos.LinuxPosgreSQLAdministracin y Rendicin de

Cuentas.MEDIA ALTA

Sistema Administrativo

Financiero. (Contabilidad, Cxc, Cxp)SCO UnixInformixAdministracin y Rendicin de

Cuentas.MEDIA ALTA

Sistema de Administracin de

InventarioSCO UnixInformixFacturacin Distribuidores

Facturacin Retail. Administracin de InventarioALTA

Sistema de Facturacin a

DistribuidoresSCO UnixInformixFacturacin Distribuidores

Administracin de InventarioMEDIA BAJA

Sistema de Compras LocalesSCO UnixInformixAdquisiciones

Administracin de InventarioMEDIA

Sistema de ImportacionesSCO UnixInformixAdquisiciones

Administracin de InventarioMEDIA

Sistema de Control de CajaSCO UnixInformixFacturacin Retail.MEDIA ALTA

Sistema de Punto de VentaW9xFoxPro 2.6Facturacin Retail.ALTA

Sistema de Informacin

Gerencial.SCO UnixInformixToma de decisiones GerencialesBAJA

Sistema de Ordenes de Pago.W2KSQLServerAdministracin y Rendicin de

Cuentas.MEDIA

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.

ALTAAproximadamente 200,000 Transacciones Mensuales

MEDIA ALTAAproximadamente 100,000 Transacciones Mensuales

MEDIAAproximadamente 50,000 Transacciones Mensuales

3.3.2 RECURSO HUMANO CENTRO DE COMPUTOCARGOCANTIDAD

Gerente Nacional de Sistemas1

Jefes Departamentales (Guayaquil y Per)2

Analista Programadores (Guayaquil y

Per)3

Help Desk(Guayaquil y Per)2

ORGANIGRAMA DE Tecnologa de Informacin.Ver anexo A4.

3.3.3 RECURSO TECNOLGICOSOFTWARE.SCO Unix Open Server 5.0

Linux RedHat Entreprise Server 3.x

Lotus Domino 5.x. Office 2000 profesional. Visual Basic 6.0 Entreprise. JAVA 2 Standard Edition 1.4. SQL Server 2000.

Informix Dynamic Server 9.x

HARDWARE. Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria, RAID

5, 4 fuentes redundantes, dispositivo de cinta magntica).

Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB)

MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512 MB). Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512 de memoria, dispositivo de cinta magntica).

240 PC en toda la organizacin.

RED.Cableado estructurado categora 5 - 6. Red Inalmbrica.

BACKBONE de comunicaciones. Conexin dial-up con fototiendas.

3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN A NIVEL DE LA ORGANIZACIN.- Existen 2 centros de cmputos: Per y Guayaquil (Oficina Principal)

La interconexin a travs de Per y Guayaquil es a travs de un enlace dedicado de 256 kbps, usado por toda la organizacin.

Los sistemas administrativos financieros y de produccin tienen bases de datos separadas y ubicadas fsicamente tanto en Per como en Guayaquil, a travs de un proceso nocturno se sincronizan las bases de datos.

La interconexin y sincronizacin de datos entre las fototiendas y las oficinas principales ocurre una vez al da a travs de un enlace telefnico.

3.3.5 ESTRATEGIA.Tecnologa de Informacin tiene entre sus principales proyectos:

El soporte para la seleccin de un nuevo sistema de punto de venta a nivel nacional que permita a la empresa soportar las nuevas estrategias de negocio de la organizacin.

La interconexin del 20% de sus fototiendas a nivela nacional para poder soportar la nueva lnea de negocios y formas de negociacin.

Cambios en Sistemas.PRESTONS SA esta considerando cambiar su sistema de punto de venta por exigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio. Tambin existe un plan para la actualizacin de la base de datos y sistema operativos de los sistemas de la casa matriz.

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBITLa Misin de CobiT:Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados , de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes y auditores.Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado.

La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI.

El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT

junto con los requerimientos del negocio que deben ser alcanzados:eficiencia efectividad confidencialidad integridad disponibilidad cumplimiento y

confiabilidad de la informacin.

El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia.

Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI.

La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados.

El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios:

1. Planeacin y Organizacin,2. Adquisicin e Implementacin3. Entrega de servicios y Soporte y4. Monitoreo.Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin.

El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo.

El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva

Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por CobiT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales.

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar adonde quiere llegar;

Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI.

Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los

Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca.

Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y compararCOBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin.En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial.

Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI DE PRESTONS SA.Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin..

Por lo tanto, COBIT es el modelo para el gobierno de TI!El marco metodolgico conceptual para elaborar el diseo del Sistema de Gestin de la Seguridad de PRESTONS SA Laboratorio Fotogrfico S.A., usando el modelo de mejores prcticas COBIT, fue el siguiente:

1. Definicin de los criterios de la Informacin

2. Seleccionar los criterios de la Informacin que estn relacionados con

Seguridad.

3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos que son impactados de manera primaria por los criterios de la informacin relacionados con la seguridad.

4. Definir los Objetivos de Control detallados.

5. Aplicacin del modelo de madurez, para determinar un estado de la situacin actual de la empresa y cuales son sus metas, en cuanto a seguridad.

6. Realizar una evaluacin y priorizacion de riesgos.

7. Elaborar los planes de accin que incluyen los controles, para poder mitigar los riesgos de alta y media exposicin.

DEFINICIONES GENERALESPara propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework,

1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).

Control se define como.- Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.

Objetivo de control en TI se define como.- Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

Gobierno de TI se define como.- Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.

DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN.El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:

Calidad

Costo

Entrega o Distribucin (de servicio)

Efectividad y eficiencia de las operaciones

Confiabilidad de la informacin

Cumplimiento de leyes y regulaciones

Confidencialidad

Integridad

Disponibilidad

La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia.

Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad.

Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:

EfectividadInformacin relevante sea pertinente para el proceso del negocio, as

como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.

EficienciaProvisin de informacin a travs de la utilizacin ptima (ms

productiva y econmica) de recursos.

ConfidencialidadProteccin de informacin sensible contra divulgacin no autorizada.

IntegridadPrecisin y suficiencia de la informacin, as como a su validez de

acuerdo con los valores y expectativas del negocio.

DisponibilidadDisponibilidad de la informacin cuando sta es requerida por el proceso

de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

CumplimientoCumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a

los que el proceso de negocios est sujeto, por ejemplo criterios de negocio impuestos externamente.

Confiabilidad dela informacinProvisin de informacin apropiada para la administracin con el fin de

operar la entidad y para ejercersus responsabilidades de reportes financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se muestra a continuacin:

DatosLos elementos de datos en su ms amplio sentido, (por ejemplo, externos

e internos), estructurados y no estructurados, grficos, sonido, etc.

AplicacionesSe entiende como sistemas de aplicacin la suma de procedimientos

manuales y programados.

TecnologaLa tecnologa cubre hardware, software, sistemas operativos, sistemas de

administracin de bases de datos, redes, multimedia, etc.

InstalacionesRecursos para alojar y dar soporte a los sistemas de informacin.

PersonasHabilidades del personal, conocimiento, conciencia y productividad para

planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los objetivos de control porque el dinero puede ser considerado como una inversin dentro de cualquiera de los recursos presentados. Adems debe anotarse que el Marco Referencial no se refiere especficamente a la documentacin de todos los materiales relacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas, la documentacin es considerada como un buen control, y por lo tanto la falta de documentacin sera causa de una mayor revisin y anlisis de los controles compensatorios en cualquier rea bajo revisin.

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:

CRITERIOS DE LA SEGURIDAD.-Los criterios de la seguridad usados a nivel mundial por los modelos de mejores prcticas y estndares son los siguientes:

ConfidencialidadProteccin de informacin sensible contra divulgacin no autorizada.

IntegridadPrecisin y suficiencia de la informacin, as como a su validez de

acuerdo con los valores y expectativas del negocio.

DisponibilidadDisponibilidad de la informacin cuando sta es requerida por el proceso

de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

DEFINICIN DE LOS OBJETIVOS DE CONTROL.Despus de haber seleccionado los procesos que son afectados por los criterios de informacin de Seguridad (Confidencialidad, Integridad y Disponibilidad) de una manera primario, se obtienen los siguientes Objetivos de Control detallados:

Con el fin de asegurar que los requerimientos del negocio para la informacin se cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente diagrama ilustra este concepto.

ARQUITECTURA DE SEGURIDAD.- Objetivos de Control Detallados o Especficos.-PROCESOOBJETIVO DE CONTROL DETALLADOCRITERIOS DE INFORMACIN

PRIMARIOSECUNDARIO

PO9.- Evaluar RiesgoEvaluacindeRiesgosdel

Negocio

Enfoque de Evaluacin de Riesgos

Identificacin de Riesgos

Medicin de Riesgos

Plan de Accin contra Riesgos

Aceptacin de Riesgos

SeleccindeGarantaso

Protecciones

Compromiso con el Anlisis de

RiesgosEfectividad

Confidencialidad

Integridad

DisponibilidadEficiencia

Cumplimiento

Confiabilidad

PO11.- Administracin de la calidadPlan General de Calidad.

Enfoque de Aseguramiento de

Calidad.

Planeacin del Aseguramiento de

Calidad.

Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de

TI.

Metodologa del Ciclo de Vida de

Desarrollo de Sistemas

Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual

Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas.

Coordinacin y Comunicacin. MarcodeReferenciade Adquisicin y Mantenimiento para la Infraestructura de Tecnologa.

Relaciones con Terceras Partes como Implementadotes.

Estndares para la Documentacin de Programas.

EstndaresparaPruebasde

Programas.

EstndaresparaPruebasde

Sistemas.

Pruebas Piloto/En Paralelo. Documentacin de las Pruebas del Sistema.

Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento

de Estndares de Desarrollo.

Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI.

Mtricas de calidad.

ReportesdeRevisionesde

Aseguramiento de Calidad.Efectividad

Eficiencia

IntegridadConfiabilidad

PROCESOOBJETIVO DE CONTROL DETALLADOCRITERIOS DE INFORMACIN

PRIMARIOSECUNDARIO

AI6.- Administrar cambios.Inicio y Control de Solicitudes de

Cambio

Anlisis de Impacto Control de Cambios Cambios de Emergencia

Documentacin y Procedimientos

Mantenimiento Autorizado

Poltica de Liberacin de Software

Distribucin de SoftwareEfectividad

Eficiencia

IntegridadConfiabilidad

DS4.- Asegurar el servicio continuoMarco de Referencia de Continuidad de Tecnologa de informacin

Estrategia y Filosofa del Plan de

Continuidad de TI

Contenido del Plan de Continuidad de TI.

Reduccin de requerimientos de

Continuidad de Tecnologa de

Informacin.

Mantenimiento del Plan de Continuidad de Tecnologa de Informacin.

Pruebas del Plan de Continuidad de TI.

Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin.

DistribucindelPlande

Continuidad de TI.

Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios.

Recursos Crticos de Tecnologa de Informacin.

Sitio y Hardware de Respaldo. Almacenamiento de respaldo en el sitio alterno (Off-site).

Procedimiento de afinamiento del

Plan de Continuidad.Efectividad

DisponibilidadEficiencia

DS5.- Garantizar la seguridad de los

sistemas.AdministrarMedidasde

Seguridad.

Identificacin, Autenticacin y

Acceso.

Seguridad de Acceso a Datos en

Lnea.

Administracin de Cuentas de

Usuario.

Revisin Gerencial de Cuentas de

Usuario.

Control de Usuarios sobre Cuentas de Usuario.

Vigilancia de Seguridad. Clasificacin de Datos. Administracin de Derechos de AccesoeIdentificacin Centralizada.

Reportes de Violacin y de

Actividades de Seguridad.

Manejo de Incidentes.ConfidencialidadDisponibilidad

IntegridadCumplimiento

Confiabilidad

PROCESOOBJETIVO DE CONTROL DETALLADO

CRITERIOS DE INFORMACINPRIMARIOSECUNDARIODS5.- Garantizar la seguridad de los sistemas.

Reacreditacin.

Confianza en Contrapartes. Autorizacin de transacciones. No negacin o no rechazo. Sendero Seguro.

Proteccin de las funciones de seguridad.

AdministracindeLlaves

Criptogrficas.

Prevencin,Detecciny

CorreccindeSoftware

Malicioso.

ArquitecturadeFirewallsy conexin a redes pblicas.

ProteccindeValores

Electrnicos.

Confidencialidad

Integridad

Disponibilidad Cumplimiento Confiabilidad

DS11.- Administracin de datosProcedimientos de Preparacin de

Datos.

Procedimientos de Autorizacin de Documentos Fuente.

RecopilacindeDatosde

Documentos Fuente.

Manejo de errores de documentos fuente.

Retencin de Documentos Fuente. Procedimientos de Autorizacin de Entrada de Datos.

Chequeos de Exactitud, Suficiencia y Autorizacin.

Manejo de Errores en la Entrada de Datos.

Integridad de Procesamiento de

Datos.

ValidacinyEdicinde

Procesamiento de Datos.

ManejodeErroresenel

Procesamiento de Datos.

Manejo y Retencin de Datos de

Salida.

Distribucin de Datos Salidos de los Procesos.

Balanceo y Conciliacin de Datos de Salida.

Revisin de Datos de Salida y

Manejo de Errores.

Provisiones de Seguridad para

Reportes de Salida.

Proteccin de Informacin Sensible durante transmisin y transporte.

ProteccindeInformacin

Sensitiva Desechada.

Administracinde

Almacenamiento.

Perodos de Retencin y Trminos de Almacenamiento.

Integridad

Confiabilidad

PROCESOOBJETIVO DE CONTROL DETALLADOCRITERIOS DE INFORMACIN

PRIMARIOSECUNDARIO

DS11.- Administracin de datosSistema de Administracin de la

Librera de Medios

Responsabilidades de la Administracin de la Librera de Medios

Respaldo(Back-up)y

Restauracin

Funciones de Respaldo Almacenamiento de Respaldos Archivo

Proteccin de Mensajes Sensitivos Autenticacin e Integridad IntegridaddeTransacciones Electrnicas

Integridad Continua de Datos

AlmacenadosIntegridad

Confiabilidad

DS12.-Administracinde

instalaciones.Seguridad Fsica

Discrecin sobre las Instalaciones de Tecnologa de Informacin Escolta de Visitantes

Salud y Seguridad del Personal ProteccincontraFactores Ambientales

SuministroIninterrumpidode

EnergaIntegridad

Disponibilidad

MODELO DE MADUREZ.-El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente

La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

El modelo de madurez aplicado a PRESTONS SA Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

EVALUACIN Y PRIORIZACION DE RIESGOS.-Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales.

La evaluacin y priorizacion de riesgos aplicado a PRESTONS SA Laboratorio Fotogrfico

S.A. lo puede encontrar mas adelante en este documento.

PLANES DE ACCIN.-Los controles que se sugieren implementar para mitigar los riesgos identificados en la fase de evaluacin y priorizacion de riesgos, as como sus responsables y tiempos aproximados de implementacin se pueden encontrar en los planes de accin.

Los planes de accin del Sistema de Seguridad de la Informacin aplicados a PRESTONS SALaboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

6MODELO DE MADUREZDE LOS 7 PROCESOS DE SEGURIDAD DE INFORMACINA los gerentes generales de las organizaciones corporativas y pblicas se les pide frecuentemente que consideren un caso de negocio para los gastos de recursos para controlar la infraestructura de informacin. Mientras pocos argumentaran que esto no es bueno, todos se deben preguntar:

Hasta dnde debemos ir, y est el costo justificado por el beneficio?Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:

Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotrossituados respecto a stos?Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin aellos?Qu est considerado como la mejor prctica de la industria, y cmo estamosnosotros situados en relacin con esa mejor prctica?Basados en estas comparaciones externas, podra decirse que nosotros estamos tomando precauciones razonablespara salvaguardar nuestros activos de informacin?Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha contado con las herramientas requeridas para hacer las evaluaciones necesarias.

La administracin de TI est constantemente en la bsqueda de herramientas de referencia y de auto evaluacin en respuesta a la necesidad de saber qu hacer en una forma eficiente. Comenzando con los procesos de COBIT y con objetivos de control de alto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayores Benchmark en comparacin con dicho objetivo de control. Esto satisface tres necesidades:

(1) una medida relativa de dnde est la organizacin

(2) una forma de decidir eficientemente dnde ir

(3) una herramienta para medir el progreso con respecto al objetivo

El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI. Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos detallados de control. El propietario del proceso debe ser capaz de determinar el nivel de cumplimiento de los objetivos de control ya sea como una rpida auto evaluacin o como una referencia en conjunto con una revisin independiente. Cualquiera de estas evaluaciones que la administracin pueda desear poner en contexto comparando con la industria y con el entorno en que ellas se encuentran o en comparacin con dnde estn evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente en los reportes de la administracin, donde ellos sern presentados como un medio para respaldar el caso de negocio para planes futuros, es necesario suministrar un mtodo grfico de presentacin.

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente

La situacin actual de la industria (la mejor de su clase en)la comparacin

La situacin actual de los estndares internacionalescomparacin adicional

La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas, basada en una clasificacin de 0 hasta 5. La escala est asociada con las descripciones del modelo genrico cualitativo de madurez que van desde Inexistente hasta Optimizada de la forma siguiente:

MODELO GENRICO DE MADUREZ

0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha

reconocido que hay un problema que resolver.

1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas

existen y que necesitan ser re sueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.

2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes

personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 Definida. Los procedimientos han sido estandarizados y documentados, y

comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas existentes.

4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos

y emprender accin donde los procesos parecen no estar funcionando efectivamente. Los procesos estn bajo constante

mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas

en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica,

basados en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

COBIT es un marco de referencia general dirigido a la administracin de TI y como tal estas escalas necesitan ser prcticas para aplicar y razonablemente fciles de entender. Sin embargo, los tpicos de riesgo y de control apropiado en los procesos de administracin de TI son inherentemente subjetivos e imprecisos y no necesitan el enfoque menos automatizado que se encuentra en los modelos de madurez para la ingeniera de software.

La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la administracin ponerse en la escala y apreciar lo que est involucrado si necesita mejorar el desempeo. La escala incluye 0 a 5 porque es bastante probable que no exista ningn proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que muestra cmo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son procesos de administracin, la madurez y la capacidad aumentada es tambin sinnimo de mayor manejo del riesgo y mayor eficiencia.

El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los procesos de administracin. El grado de desarrollo que deben tener depende de las necesidades del negocio, como se menciona aqu anteriormente. Las escalas son slo ejemplos prcticos para un proceso dado de administracin que muestra esquemas tpicos para cada nivel de madurez. Los Criterios de Informacin ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la administracin cuando

describimos la prctica real. Por ejemplo, la planificacin y organizacin estn enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y la integridad.

Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los administradores dnde existen deficiencias en la administracin de TI y a fijarse objetivos para donde necesitan estar comparando las prcticas de control de su organizacin con los ejemplos de la mejor prctica. El nivel correcto de madurez estar influenciado por los objetivos de negocio y el entorno operativo de la empresa. Especficamente, el nivel de madurez de control depender de la dependencia de TI que tenga la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del valor de su informacin.

Un punto estratgico de referencia para que una organizacin mejore la seguridad y el control podra consistir tambin en mirar las normas internacionales que surgen y las mejores prcticas de su clase. Las prcticas actuales que surgen pueden llegar a ser el nivel esperado de desempeo de maana y es por lo tanto til para planificar dnde quiere una organizacin estar en el tiempo.

Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver arriba) a los que se agregan las prcticas y los principios de los dominios siguientes de forma creciente a travs de todos los niveles:

Entendimiento y conocimiento de los riesgos y de los problemas de control

Capacitacin y comunicacin aplicadas a los problemas

Proceso y prcticas que son implementados

Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones Tipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los niveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelo genrico de madurez aplicable a la mayora de los procesos de TI.

En resumen, Los Modelos de Madurez:

Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los diferentes niveles de madurez

Son una escala que se presta para la comparacin pragmtica

Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la seguridad y el control

Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el

gobierno de TI, la madurez de la seguridad y el control

Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario hacer para alcanzar un nivel determinado

Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de cruzar

Aplican cada vez ms factores crticos de xito

No son especficos de la industria ni son siempre aplicables, el tipo de negocio define lo que es apropiado.

MODELO DE MEJORES PRACTICAS - COBIT

EMPRESA : PRESTONS SAFecha de diagnostico :

Diseo de un Sistema de Gestin de SeguridadPag 1/2

MODELO DE MADUREZ

DOMINIO: PLANEACION YORGANIZACINPO9.- Evaluar los Riesgos

OBJETIVO DE CONTROL

Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar lasdecisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisinimportantes.

Estado Actual :2Estado Proyectado:4

CRITERIOS DE CALIFICACIN

0Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio

no ocurre. La organizacin no considera los impactos del negocio asociados con vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es improbable que la administracin de riesgos sea identificada dentro del plan de un proyecto o sea asignada a administradores especficos involucrados en el proyecto. La administracin de TI no especifica responsabilidad para la administracin del riesgo en las descripciones de los puestos de trabajo u otro medio informal. Riesgos especficos relacionados con TI como la seguridad, disponibilidad e integridad son considerados ocasionalmente por proyecto.

1Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y

obligaciones legales y contractuales, pero considera los riesgos de TI de manera ad hoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales del riesgo de proyecto a medida que lo determina cada proyecto. No es probable que las evaluaciones de riesgo sean identificadas especficamente dentro del plan de un proyecto o a ser asignado a administradores especficos involucrados en el proyecto. La administracin de TI no especifica responsabilidad por la administracin del riesgo en las descripciones de puestos de trabajo u otro medio informal. Los riesgos especficos relacionados con TI como son la seguridad, disponibilidad e integridad son ocasionalmente considerados por proyecto. Los riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con poca frecuencia en las reuniones de la administracin. Cuando se han considerado los riesgos, la mitigacin es inconsistente.

2Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI

son importantes y que es necesario considerarlos. Existe algn enfoque de evaluacin de riesgos, pero el proceso es todava inmaduro y est en desarrollo. La evaluacin es usualmente a un nivel elevado y tpicamente se aplica slo a los proyectos importantes. La evaluacin de las operaciones en curso depende principalmente de los administradores de TI que lo presentan como un punto de la agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin de TI generalmente no tiene definidos procedimientos o descripciones de puestos de trabajo que se encarguen de la administracin del riesgo.




MODELO DE MADUREZ

DOMINIO: PLANEACION YORGANIZACINPO9.- Evaluar los Riesgos

OBJETIVO DE CONTROL

Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar lasdecisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin importantes.



3Proceso Definido La poltica de manejo del riesgo a nivel de toda una

organizacin define cundo y cmo llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo sigue un proceso definido que est documentado y disponible para todo el persona a travs de entrenamiento. Las decisiones de seguir el proceso y recibir entrenamiento se dejan a la discrecin de las personas. La metodologa es convincente y saludable, y asegura que los riesgos clave del negocio probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos estn cubiertos o que la operacin en curso es examinada en busca de riesgos de manera regular.

4Administrado y Medible La evaluacin del riesgo es un procedimientos estndar

y las excepciones a seguir el procedimiento seran anunciadas por la administracin de TI. Es probable que la administracin del riesgo sea una funcin definida de la administracin con responsabilidad a nivel general. El proceso es adelantado y el riesgo es evaluado a nivel del proyecto individual y tambin regularmente respecto a la operacin general de TI. Se advierte a la administracin sobre los cambios en el entorno de TI que podran afectar significativamente los escenarios de riesgo como por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicas que afectan la integridad de la estrategia de TI. La administracin puede monitorear la posicin de riesgo y tomar decisiones inteligentes respecto a la exposicin que est dispuesta a aceptar. La gerencia general ha determinado los niveles de riesgo que la organizacin tolerar y tiene medidas estndar de proporciones de riesgo / rendimiento. Presupuestos de administracin para proyectos de administracin de riesgos operativos para reevaluar los riesgos regularmente. Est establecida una base de datos de administracin de riesgos.

5Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que

un proceso estructurado, en toda la organizacin, es ejecutado, seguido y bien administrado. La tormenta de ideas y el anlisis de la causa que origin el riesgo, que involucra a personas expertas, se aplican en toda la organizacin. La captura, anlisis y reporte de datos de administracin de riesgos estn altamente automatizados. El asesoramiento se obtiene de los jefes en el terreno y la organizacin de TI participa en grupos colegas para intercambiar experiencias. La administracin del riesgo est verdaderamente integrada en todas las operaciones y negocios de TI, es bien aceptada e involucra extensamente a los usuarios de servicios de TI.




MODELO DE MADUREZ

DOMINIO: PLANEACION YORGANIZACINPO11.- Administrar Calidad

OBJETIVO DE CONTROL

Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de

satisfacer los requerimientos de TI del cliente.



0Inexistente La organizacin no ha reconocido que existe un problema que debe ser

reconocido.

1Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemas

existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.

2Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en que

diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad

se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas

y por lo tanto es probable que haya errores.

3Proceso Definido Los procedimientos han sido estandarizados y documentados, y

comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas existentes.

4Administrado y Medible Es posible monitorear y medir el cumplimiento de los

procedimientos y emprender accin donde los procesos parecen no estar funcionando efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas en una forma limitada o fragmentada.

5Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basados

en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,

suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.




MODELO DE MADUREZ

DOMINIO: ADQUISICIN EIMPLEMENTACINAI6.- Administrar Cambios

OBJETIVO DE CONTROL

El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de

minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores



0Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer

cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administracin de cambios.

1Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero

no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con interrupciones en el entorno de produccin causados por una administracin deficiente del cambio.

2Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la

mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado, es rudimentario y est propenso a error. La precisin de la documentacin de

configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.

3Proceso Definido Est establecido un proceso formal de administracin de cambios, que

incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de cambios, pero no se impone su cumplimiento. El proceso definido no

siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y

los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas.

4Administrado y Medible El proceso de administracin de cambios est bien desarrollado

y es seguido de manera consistente para todos los cambios, y la administracin confa en que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y controles manuales para asegurar que se logre la calidad. Todos los cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la probabilidad de problemas posteriores a la produccin. Est establecido un proceso de aprobacin para los cambios. La documentacin de administracin de cambios est al da y es correcta, y los cambios son rastreados formalmente. La documentacin de la configuracin est generalmente actualizada. La planeacin e implementacin de la administracin de cambios de TI se est volviendo ms integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin de cambios de TI y el rediseo del proceso de negocios.

MODELO DE MEJORES PRACTICAS - COBITEMPRESA : PRESTONS SAFecha de diagnostico :


MODELO DE MADUREZ

DOMINIO: ADQUISICIN EIMPLEMENTACINAI6.- Administrar Cambios

OBJETIVO DE CONTROL



Estado Actual :Estado Proyectado:

5Optimizado El proceso de administracin de cambios es revisado y actualizado

regularmente para mantener en lnea con las mejores prcticas. La informacin de configuracin est automatizada y provee control de versiones. La distribucin de software es automatizada y se cuenta con capacidades de monitoreo a distancia. La administracin de configuracin y liberacin y rastreo de cambios es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administracin de cambios de TI est integrada con la administracin de cambios del negocio para asegurar que TI sea un posibilitador para aumentar la productividad y crear nuevas oportunidades de negocios para la organizacin.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS4 .- Asegurar el Servicio Continuo

OBJETIVO DE CONTROL





0Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de

las operaciones de TI o del impacto de la prdida de los servicios de TI para el negocio. La continuidad del servicio no es considerada como que necesita atencin de la administracin.

1Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con

autoridad limitada. La administracin se est volviendo conciente de los riesgos relacionados con el servicio continuo y de la necesidad de ste. El enfoque es sobre la funcin de TI, en vez de ser sobre la funcin de negocio. Los usuarios estn implementando formas de evadirlo. La respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados estn programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del negocio.

2Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada.

Los enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes documentados de usuario o de continuidad, a pesar de que hay dedicacin a la disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un inventario razonablemente confiable de sistemas crticos y componentes. Est surgiendo la estandarizacin de prcticas de servicio continuo y el monitoreo del proceso, pero el xito se basa en las personas.

3Proceso Definido La obligacin de reportar no es ambigua y las responsabilidades

de planificar y probar el servicio continuo estn claramente definidas y asignadas. Los planes estn documentados y se basan en la importancia del sistema y en el impacto sobre el negocio. Hay un reporte peridico de prueba de servicio continuo. Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. La administracin comunica consistentemente la necesidad de servicio continuo. Los componentes de alta disponibilidad y la redundancia de sistema se estn aplicando de manera fragmentada. Se mantiene rigurosamente un inventario de sistemas crticos y componentes.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS4 .- Asegurar el Servicio Continuo

OBJETIVO DE CONTROL





4Administrado y Medible Se hacen cumplir las responsabilidades y las normas

para el servicio continuo. La responsabilidad de mantener el plan de servicio continuo est asignada. Las actividades de mantenimiento toman en cuenta el entorno cambiante del negocio, los resultados de pruebas de servicio continuo y las mejores prcticas internas. Se estn recopilando, analizando, reportando y ejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento para los procesos de servicio continuo. Las prcticas de redundancia de sistema, que incluyen el uso de componentes de alta disponibilidad, estn siendo implementadas de manera consistente. Las prcticas de redundancia y la planeacin de servicio continuo se influyen mutuamente. Los incidentes de falta de continuidad son clasificados y el paso cada vez mayor de escala para cada uno es bien conocido para todos los que estn involucrados.

5Optimizado Los procesos integrados de servicio continuo son proactivos, se

ajustas solos, son automatizados y auto analticos y toman en cuenta puntos de referencia y las mejores prcticas externas. Los planes de servicio continuo y los planes de continuidad del negocio estn integrados, alineados y son mantenidos de manera rutinaria. La compra de las necesidades de servicio continuo est asegurada por los vendedores y los principales proveedores. Se lleva a cabo la comprobacin global y los resultados de las pruebas son utilizados como parte del proceso de mantenimiento. La efectividad del costo del servicio continuo est optimizada a travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se usa para identificar oportunidades de mejoramiento. Las prcticas de redundancia y la planeacin del servicio continuo estn totalmente alineadas. La administracin no permite puntos nicos de falla y provee soporte para su solucin. Las prcticas de escalamiento son entendidas y cumplidas plenamente.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS5 .- Garantizar la Seguridad de losSistemas

OBJETIVO DE CONTROL

El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el

objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o prdida.



0Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Las

responsabilidades y las obligaciones de reportar no estn asignadas para asegurar la seguridad. No estn implementadas medidas que soporten la administracin de la seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso de respuesta de las violaciones de seguridad de TI. Hay una carencia total de un proceso reconocible de administracin de seguridad de sistemas.

1Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, pero

la conciencia de la seguridad depende de la persona. La seguridad de TI est resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI invocan respuestas de sealamiento si se detectan, porque las responsabilidades no estn claras. Las respuestas a las violaciones de seguridad de TI son impredecibles.

2Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de

TI estn asignadas a un coordinador de seguridad de TI que no tiene autoridad de administracin. La conciencia de seguridad es fragmentada y limitada. La informacin de seguridad de TI es generada, pero no es analizada. Las soluciones de seguridad tienden a responder de manera reactiva a los incidentes de seguridad de TI y adoptando propuestas de terceros, sin resolver las necesidades especficas de la organizacin. Se estn desarrollando polticas de seguridad, pero an se siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de TI es incompleto, engaoso y no es pertinente.

3Proceso Definido Existe conciencia de la seguridad y la misma es promovida por

la administracin. Se han estandarizado y formalizados reportes de conocimientos de la seguridad. Los procedimientos de seguridad de TI estn definidos y encajan en una estructura para polticas y procedimientos de seguridad. Las responsabilidades de seguridad de TI estn asignadas, pero no se hacen cumplir de manera consistente. Existe un plan de seguridad de TI, que impulsa el anlisis del riesgo y soluciones de seguridad. El reporte de seguridad de TI est concentrado en TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusin.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS5 .- Garantizar la Seguridad de losSistemas

OBJETIVO DE CONTROL

El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el

objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o prdida.



4Administrado y Medible Las responsabilidades de la seguridad de TI estn

claramente asignadas, administradas y se hacen cumplir. El anlisis de riesgo e impacto de seguridad se lleva a cabo de manera consistente. Las polticas y prcticas de seguridad son completadas con bases especficas de seguridad. Los reportes de conocimiento de seguridad se han vuelto obligatorios. La identificacin, autenticacin y autorizacin de usuario se est estandarizando. Se est estableciendo la certificacin de seguridad del personal. La prueba de intrusin es un proceso estndar y formalizado que conduce a mejoras. El anlisis costo / beneficio, que soporta la implementacin de medidas de seguridad, es cada vez ms utilizado. Los procesos de seguridad de TI son coordinados con la funcin general de seguridad de la organizacin. El reporte de seguridad de TI est vinculado con los objetivos del negocio.

5Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de

la administracin de TI y est integrada con objetivos de seguridad corporativa del negocio. Los requisitos de seguridad de TI estn claramente definidos, optimizados e incluidos en un plan verificado de seguridad. Las funciones de seguridad estn integradas con aplicaciones en la etapa de diseo y se les puede pedir a los usuarios finales que rindan cuenta de la seguridad a la administracin. El reporte de seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente, usando mtodos activos automatizados de monitoreo para los sistemas crticos. Los incidentes son prontamente resueltos con procedimientos formalizados de respuesta a incidentes soportados por herramientas automatizadas. Las evaluaciones peridicas de seguridad evalan la efectividad de la implementacin del plan de seguridad. Se recoge y analiza sistemticamente la informacin sobre nuevas amenazas y vulnerabilidades, y se comunican e implementan prontamente los controles adecuados de mitigacin. La prueba de intrusin, anlisis de las causas originarias de los incidentes de seguridad y la identificacin proactiva del riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologas de seguridad estn integrados en toda la organizacin.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS11 .- Administrar los Datos

OBJETIVO DE CONTROL





0Inexistente. No se reconocen los datos como un recurso y un activo corporativo.

No hay propiedad asignada de datos ni responsabilidad individual de la integridad y confiabilidad de los datos. La calidad y seguridad de los datos son deficientes o inexistentes.

1Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos

mtodos son desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y errores en la salida de los datos. El proceso de identificacin y correccin de errores depende de las actividades manuales de la persona, y las reglas y requerimientos no son transmitidos a medida que se llevan a cabo movimientos y cambios de personal. La administracin asume que los datos son exactos porque una computadora est involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos de administracin y, si existe la seguridad, sta est administrada por la funcin de servicios de informacin.

2Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos

y de mantener la integridad prevalece en toda la organizacin. La propiedad de los datos comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y requerimientos son documentados por personas clave y no son consistentes en toda la organizacin y plataformas. Los datos estn en custodia de la funcin de los servicios de informacin y las reglas y definiciones estn impulsadas por los requerimientos de TI. La seguridad e integridad de los datos son primariamente responsabilidades de la funcin de los servicios de informacin con una participacin departamental menor.

3Proceso Definido La necesidad de integridad de los datos dentro y en toda la

organizacin es entendida y aceptada. Las normas de ingreso, procesamiento y salida de datos han sido formalizadas y se hacen cumplir. El proceso de identificacin y correccin de errores es automatizado. La propiedad de los datos es asignada, y la integridad y seguridad son controladas por el responsable. Se utilizan tcnicas automatizadas para prevenir y detectar errores e inconsistencias. Las definiciones, reglas y requerimientos de datos estn claramente documentados y son mantenidos por una funcin de administracin de base de datos. Los datos se vuelven consistentes en todas las plataformas y a travs de toda la organizacin. La funcin de los servicios de informacin tiene un rol de custodio, mientras que el control de integridad de datos pasa al propietario de los datos. La administracin se basa en los reportes y anlisis para las decisiones y la planeacin futuras.




MODELO DE MADUREZ

DOMINIO: ENTREGA Y SOPORTEDS11 .- Administrar los Datos

OBJETIVO DE CONTROL





4Administrado y Medible Los datos son definidos como un recurso y un activo

corporativo, a medida que la administracin exige ms soporte de decisiones y ms reporte de rentabilidad. La responsabilidad por la calidad de datos est claramente definida, asignada y comunicada dentro de la organizacin. Los mtodos estandarizados estn documentados, mantenidos, y usados para controlar la calidad de los datos, se hacen cumplir las reglas y los datos son consistentes en todas las plataformas y unidades de negocio. La calidad de los datos es medida y la satisfaccin del cliente respecto a la informacin es monitoreada. El reporte de administracin asume un valor estratgico para asesorar clientes, tendencias y evaluaciones de productos. La integridad de los datos se vuelve un factor significativo, con la seguridad de datos reconocida como un requerimiento de control. Se ha establecido una funcin formal de administracin de datos a nivel de toda la organizacin, con los recursos y la autoridad para hacer cumplir la estandarizacin de datos.

5Optimizado La administracin de datos es un proceso maduro, integrado y de

funcionamiento cruzado que tiene una meta claramente definida y bien entendida de entregar informacin de calidad al usuario, con criterios claramente definidos de integridad, disponibilidad y confiabilidad. La organizacin maneja activamente datos, informacin y conocimientos como los recursos y los activos corporativos, con el objetivo de maximizar el valor del negocio. La cultura corporativa hace nfasis en la importancia de datos de alta calidad que necesitan ser protegidos y tratados como un componente clave de capital intelectual. La propiedad de datos es una responsabilidad estratgica con todos los requerimientos, reglas, reglamentaciones y consideraciones claramente documentados, mantenidos y comunicados.




MODELO DE MADUREZ

DOMINIO : Entrega y SoporteDS12 .- Administrar Instalaciones

OBJETIVO DE CONTROL

Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de

proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y provocados por el hombre.



0Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin

en los recursos de computacin. Los factores ambientales, incluyendo la proteccin contra incendios, el polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni

controlados.

1Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer

un entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y provocados por el hombre. No existen procedimientos estndar y la administracin de

Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin.

La administracin no monitorea los controles ambientales de la instalacin ni el movimiento de personal.

2Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el

entorno fsico de computacin es reconocida y evidente en la asignacin de los presupuestos y de otros recursos. Los controles ambientales son implementados y

monitoreados por el personal de operaciones. La seguridad fsica es un proceso informal, impulsado por un pequeo grupo de empleados que tienen un alto nivel de preocupacin

sobre la seguridad de las Instalaciones fsicas. Los procedimientos de mantenimiento de las Instalaciones no estn bien documentados y se basan en las mejores prcticas de unas pocas personas. Las metas de la seguridad fsica no se basan en ningn estndar formal y

la administracin no asegura que se logren los objetivos de seguridad.

3Proceso Definido La necesidad de mantener un entorno controlado de computacin es

entendida y aceptada dentro de la organizacin. Los controles ambientales, de mantenimiento preventivo y de seguridad fsica son rubros del presupuesto aprobados y la administracin les hace seguimiento. Se aplican restricciones de acceso, permitindose el acceso a las Instalaciones de computacin slo al personal aprobado. Los visitantes son registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones fsicas tienen perfil bajo y no se pueden identificar fcilmente. Las autoridades civiles monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos estn asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.




MODELO DE MADUREZ

DOMINIO : Entrega y SoporteDS12 .- Administrar Instalaciones

OBJETIVO DE CONTROL

Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de

proveer un entorno fsico adecuado que proteja el equipo y la

IMPLEMENTACION DE COBIT.doc

Documents

Transcript of IMPLEMENTACION DE COBIT.doc