Академический Документы
Профессиональный Документы
Культура Документы
AREQUIPA
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS
TABLA DE CONTENIDOS
TABLA DE CONTENIDOS...........................................................................2
1. OBJETIVOS DEL NEGOCIO (OBJETIVOS DE CONTROL)............................3
1.1.
PLANEACIN Y ORGANIZACIN.....................................................................5
2.1.1.
2.1.2.
2.1.3.
2.2.
ADQUIRIR
2.2.1.
2.3.
E IMPLEMENTAR..................................................................................18
ENTREGA
Y SOPORTE........................................................................................23
2.3.1.
2.3.2.
2.3.3.
CONCLUSIONES................................................................................................ 38
3.2.
RECOMENDACIONES.......................................................................................... 38
PLANEAR Y ORGANIZAR
PO1 Definir un plan estratgico de tecnologas de la informacin.
PO4 Definir los procesos, organizacin y relaciones de TI.
PO9 Evaluar y administrar los riesgos de TI.
PO10 Administrar los proyectos.
ADQUIRIR E IMPLEMENTAR
AI2
Adquirir y mantener software aplicativo.
ENTREGAR Y DAR SOPORTE
DS5 Garantizar la seguridad de los sistemas.
DS7 Educar y entrenar a los usuarios.
DS13 Administrar las operaciones.
MONITOREAR Y EVALUAR
P
P
P
P
X
X
Confiabilidad
X
X
Cumplimiento
X
X
S
P
S
P
Disponibilidad
P
P
S
P
Integridad
adConfidencialid
Eficiencia
Criterios de Informacin de
COBIT
Efectividad
X
X
X
X
Infraestructura
Aplicacin
PO1
PO4
PO9
PO10
Informacin
PLANEAR Y ORGANIZAR
Recursos TI de
COBIT
Personas
ADQUIRIR E IMPLEMENTAR
AI2
AI6
X
X
X
X
X
X
X
S
P
S
S
S
S
MONITOREAR Y EVALUAR
P
P
P
S
P
Objetivo de control
Modelo de arquitectura de informacin
empresarial.
Diccionario de Datos y Reglas de Sintaxis de
Datos.
Esquema de Clasificacin de integridad
El modelo debe facilitar la creacin, uso y el compartir en forma ptima la informacin que se
genera en el desarrollo de proyectos de sistemas por parte del negocio de tal manera que se
mantenga su integridad, sea flexible, oportuna, segura y tolerante a fallos.
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos:
proyectos de software exitosos, de esta manera generar cada documento con la siguiente
nomenclatura:
Documento o Proceso.
Gestin de Proyectos.
Implementacin de Software.
Plan de Proyecto.
Solicitud de Cambio.
Acta de Aceptacin.
Acta de Reunin.
Acciones Correctivas.
Reporte de Avance.
Especificacin de Requisitos.
Manual de Usuario.
Diseo de Software.
Registro de Trazabilidad.
Casos de Prueba y Procedimientos de
Prueba.
Componente de Software.
Manual de Operacin.
Manual de Mantenimiento.
Reporte de Pruebas.
Resultados de Verificacin.
Resultados de Validacin.
Control de Cambios.
Nomenclatura.
GP
IS
PA
SC
AA
AR
AC
RA
ER
MU
DS
RT
CPPP
CS
MO
MM
RP
RVe
RVa
CA
Cada documento asi generado debera de ser archivado en el repositorio con la siguiente nomenclatura:
<Alias del Nombre de Proyecto>_<Alias del Proceso>_<Alias del Subproceso>_<Nomenclatura del
nombre del documento>_<Versin>_<Fecha>
Dnde:
<Versin> Sera expresada por VX.Y donde {X, Y} son nmeros, ejemplo: V1.0, V1.2, V2.0, etc.
Considerando que cada modificacin genera un nuevo documento conservando los datos anteriores no
modificados. Cada documento creado empezara con V1.0 y dependiendo de su modificacin: si es suave
el Y ser el nuevo nmero siguiente, si la modificacin es abrupta se modificara el X por el numero
siguiente, teniendo a Y con valor 0.
La Gerencia de TI y los responsables del proceso de negocio debern definir los criterios
de informacin nicos para cada entregable y los documentos asociados en el desarrollo
de sistemas, con el propsito de emplear una metodologa de desarrollo de software
conocida por las buenas prcticas e integrarla como parte de la planificacin de
proyectos.
MODELO DE MADUREZ:
Grado de madurez actual.
El proceso definir la arquitectura de Informacin en l empresa se encuentra en el nivel 2 ,
porque no se acopla a un estndar unificado en la entrega de documentos en el desarrollo de
sistemas.
Objetivos no cumplidos.
A pesar que realizan procesos intuitivos no se
estandarizar y nombrar cada artefacto generado por proyecto del desarrollo de sistemas y la
documentacin que se genera en el desarrollo tiene varias plantillas o estndares, lo que hace
muy difcil la documentacin de los sistemas desarrollados.
Recomendaciones para el nuevo nivel de madurez:
Se propone la adaptacin a las normas presentadas para la documentacin y el seguimiento a
un estndar nico de documentacin
Es necesario que el personal siga los estndares de documentacin presentado en la
presentacin de cada entregable.
As mismo se propone un modelo de planes de accin que se incluye como anexo para la
documentacin / PERFIL DE PROYECTO 1 V1.1 20130701.docx.
NIVELES DE LOS NIVELES DE MADUREZ
Nivel
de
madurez actual
NIVEL 0
No Existe
NIVEL 1
Inicial Ad/Hoc
NIVEL 2
x
Repetible pero Intuitivo
NIVEL 3
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado
Tabla 1: nivel de madurez PO1
Acciones a realizar para subir al siguiente nivel de madurez
2.1.2.
por TI.
Se logra con: La definicin de estndares y prcticas de calidad.
Se mide con: La frecuencia de actividades de validacin de datos.
Objetivos de control:
desarrollo de sistemas.
Recomendacin.
Aseguramiento de la calidad, mediante la evaluacin de los procesos y evaluacin de los
productos desarrollados.
Situacin actual.
Lder del proyecto y el gerente de tecnologas de la informacin realizan el seguimiento y
monitoreo de las tareas o actividades realizadas por los desarrolladores.
Recomendacin.
Realizar cada proyecto de acuerdos a los procesos: Gestin de Proyecto e Implantacin de
Software
Modelo de Madurez:
Grado de madurez. El proceso de Administrar la calidad se encuentra en el nivel 2.
Objetivos no cumplidos.
A pesar de que se cuenta con un sistema QMS (Sistema de Gestin de Calidad), el desarrollo de
sistemas no cuenta con una metodologa de desarrollo de software aceptada y que el desarrollo de
sistemas no se adecua a las buenas practicas
Recomendaciones:
Implantar una metodologa de desarrollo de software en la empresa y ver Planes de accin para la
adecuacin a la metodologa SCRUM en el desarrollo de sistemas.pdf.
NIVELES DE LOS NIVELES DE MADUREZ
NIVEL 0
CUMPLE
No Existe
NIVEL 1
Inicial Ad/Hoc
NIVEL 2
X
Repetible pero Intuitivo
NIVEL 3
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado
2.1.3.
Objetivo de control
Marco de Trabajo para la Administracin de
PO10.2
PO10.3
PO10.4
Proyectos
Plan Integrado del Proyecto
Recursos del proyecto
Administracin de Riesgos del Proyecto
Situacin actual.
En el desarrollo de sistemas cada desarrollador cumple el papel de analista, diseador,
programador, tester.
Recomendacin.
La empresa debera optar por la especializacin de su personal en las tareas del desarrollo de
tal manera que tenga personal experto para el desarrollo de sistemas.
Situacin actual.
Se cuenta con un plan de gestin de riesgos, ya que la empresa considera muy importante
tomar en cuenta planes de contingencia , ya que los impactos del riesgo puede tener un impacto
considerable en el proyecto
Recomendacin.
Integracin de los planes de gestin de riesgos con los principales riesgos en desarrollo de
proyectos de software.
Modelo de madurez
OBSERVACIONES
MADUREZ
NIVEL 0
GRADO DE
MADUREZ.
No Existe
NIVEL 1
El
Inicial Ad/Hoc
proceso
de
Administrar
NIVEL 2
Repetible pero Intuitivo
NIVEL 3
Definido
OBJETIVOS NO
CUMPLIDOS.
A pesar de que en la
proceso
la
empresa el
metodologa
de
NIVEL 4
Administrado y Medible
del negocio
de TI,
empiezan a comprometerse y a
NIVEL 5
Optimizado
de
lecciones
aprendidas.
Recomendaciones:
Revisar
el
adecuacin
SCRUM
en
la
el
metodologa
desarrollo
de
sistemas.
Asegurar la participacin y compromiso de los interesados del proyecto.
Asegurar el control efectivo de los proyectos y de los cambios a proyecto.
acuerdo a los
estndares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma
apropiada con las aplicaciones automatizadas correctas
Satisfaciendo: Construir aplicaciones de acuerdo con los requerimientos del negocio
hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista un proceso
de desarrollo oportuno confiable.
Se logra con: Traduccin de requerimientos de negocio a especificaciones de diseo,
adhesin a los estndares de desarrollo para todas las modificaciones y la separacin de las
actividades de desarrollo, de pruebas y operativas
Recomendacin
Aumentar el detalle de la descripcin de las
especificaciones de diseo
Recomendacin
Detallar mejor los procedimientos para tratar
mejor las ocurrencias de incidencias
conflictivas o de difcil solucin.
Situacin Actual
Hay un procedimiento para tratar la
seguridad de la informacin, hay un rea
encargada de la Auditoria interna de la CAJA
AREQUIPA, y en el rea de productividad se
lleva a cabo las pruebas de las aplicaciones.
Recomendacin
EL rea de productividad adems de realizar
las pruebas de cdigo debe ayudar a los
desarrolladores a optimizar su cdigo,
proponer mejoras y en algunos casos
capacitar a los desarrolladores nuevos en la
institucin.
Recomendacin
Estandarizar las polticas de seguridad para
todas las personas
Recomendacin
Capacitar a los desarrolladores en genexus
para mejorar la implantacin de esta
tecnologa adquirida.
Recomendacin
Mejorar los procesos de actualizacin del
software adquirido, al implementar una
metodologa de desarrollo que sea
implantando en los documentos tcnicos de
la CAJA AREQUIPA
Recomendacin
Las tareas de codificacin deben ser
mejoradas al implantar una metodologa a su
proceso de desarrollo de software.
Recomendacin
Se debe de terminar de cumplir todos los
procesos para aspirar a una certificacin
CMMI nivel 3.
Recomendacin
Se deben mejorar las polticas de
comunicacin con los usuarios de
BANTOTAL para que la toma de
requerimientos sea eficiente y eficaz.
Recomendacin
Mejorar este plan al incluirle una
metodologa de desarrollo de software.
GRADO DE MADUREZ.
El proceso definir la arquitectura
de Informacin.
OBJETIVOS NO CUMPLIDOS.
No se cuenta con la certificacin
CMMI nivel 3.
Inicial Ad/Hoc
NIVEL 3
OBSERVACIONES
Recomendaciones: se debe
cumplir todos los procesos y
procedimientos establecidos en
su sistema interno de
procedimientos CAJANET.
.
estandarizada.
Probando la seguridad de forma regular.
Y se mide con
OBEJTIVOS DE CONTROL
DS5.1 ADMINISTRACIN DE LA SEGURIDAD DE TI
Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que
las acciones de administracin de la seguridad estn en lnea con los requerimientos del
negocio.
Situacin actual
Se cuenta con herramientas de control de
seguridad, que incluyen formatos que se deben
cumplir a diario por cada empleado.
Recomendacin
Formalizar la documentacin que registra la
administracin de la seguridad.
Recomendacin
Formalizar el plan de seguridad para evitar
ambigedades.
Situacin actual
Todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI
(aplicacin de negocio, entorno de TI no
cuentan con documentacin nica.
Recomendacin
Crear una nueva documentacin para
identificar.
Recomendacin
Automatizar el proceso de revisin de
cuentas de usuario, para evitar confusiones.
Recomendacin
Automatizar el monitoreo de las cuentas de
usuario.
Recomendacin
Documentacin debida acerca de los
incidentes que posiblemente puedan ocurrir.
Recomendacin
Pruebas peridicas de monitoreo.
Recomendacin
Mejorar la seguridad de las llaves
criptogrficas, ponindolas en
almacenamientos ms seguros.
Situacin actual
La empresa cuenta con antivirus, y con
hardware actualizado.
Recomendacin
Documentacin debida acerca de pruebas
respectivas.
Recomendacin
Tener un documentacin y diagramas de la
configuracin de la red.
Anlisis
Segn todo lo expuesto en los objetivos de control y las herramientas evaluadas se puede
concluir la empresa tiene claro que es una institucin que maneja dinero de personas y que por
lo tanto es primordial que sus sistemas sean seguros tanto interno como externo al igual que as
cosas fsicas, para cuenta con documentacin, planes ya elaborados pero el problema es que
no se les da el uso para el que fueron creados, dicho esto podemos establecer que el nivel de
madurez actual es el NIVEL 3.
Modelo de madurez
OBSERVACIONES
MADUREZ
NIVEL 0
GRADO DE
MADUREZ.
No Existe
El
NIVEL 1
seguridad
Inicial Ad/Hoc
Definido
de
Garantizar
la
sistemas
se
los
OBJETIVOS NO
de
encuentra en el nivel 3
NIVEL 2
NIVEL 4
proceso
CUMPLIDOS.
Administrado y Medible
NIVEL 5
comunicados.
No cuenta con
documentacin
de
acciones
Optimizado
actual
de
la
seguridad
de
la
con
un
estndar
de
Para ubicarnos en el siguiente nivel de madurez Nivel 4, es necesario seguir los pasos
descritos en el grfico, como son:
o Mapear la infraestructura de Seguridad con los servicios brindados.
o Establecer y mantener los procedimientos que abarcan garantizar la seguridad
o Identificar los tipos de costos que representa mejorar la seguridad y cuanto
cuesta mantenerlo.
Es decir se necesita definir principalmente cuales son los procedimientos que se deben
seguir para garantizar seguridad dentro no solo el rea de desarrollo sino tambin la
empresa misma.
2.3.2.
Se mide con:
Objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya: Estrategias y requerimientos actuales y futuros del
negocio, implementacin de nuevo software e infraestructura de TI.
Situacin actual
Cada personal nuevo es capacitado por su
supervisor durante un periodo corto de tiempo,
despus cada personal se auto capacitacin.
Recomendacin
Se debe destinar ms horas de capacitacin
para evitar una auto capacitacin,
dependiendo de la necesidad del proyecto
puede ser mejor contratan un entidad
Recomendacin
Generar manuales de la capacitacin, para
que el nuevo personal solo lo lea y evite
tiempo de investigacin para su auto
capacitacin. En algunos casos es
recomendable contratar una entidad tercera
para capacitar al personal en el uso de
alguna nueva tecnologa.
Recomendacin
Evaluar durante el proceso de desarrollo de
la tarea y no solo el producto final.
Anlisis
Podemos observar que la empresa prefiere contratar gente ya experimentada, el problema es
que no siempre se encuentra a esas personas, como es el caso del sistema adquirido
BANTOTAL, no hay personas locales que estn preparadas para esta tecnologa, ahora bien la
empresa contrata practicantes a los cuales debe capacitar siendo un tiempo de 2 meses que no
permite el alto desempeo de la empresa, por lo tanto se encuentra en una etapa inicial que
sera el NIVEL 2.
Modelo de madurez
CUMPLE
OBSERVACIONES
MADUREZ
NIVEL 0
GRADO DE MADUREZ.
El proceso educar y entrenar a los
No Existe
NIVEL 1
Inicial Ad/Hoc
NIVEL 2
Repetible pero Intuitivo
por su cuenta
OBJETIVOS NO CUMPLIDOS:
No hay un proceso formal de
NIVEL 3
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado
como
son
en
mayora
los
practicantes.
Gerente
Jefe de
Desarr
proyecto
ollador
es
R
R
R
R
A
R
A
2.3.3.
La proteccin del equipo de cmputo y del personal, requiere de instalaciones bien diseadas y bien
administradas. El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos
fsicos del centro de datos (site), la seleccin de instalaciones apropiadas y el diseo de proceso efectivos
para monitorear factores ambientales y ambientales y administrar el acceso fsico. La administracin
efectiva del ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al equipo de
cmputo y al personal.
Control sobre el proceso TI de
Administracin del ambiente fsico.
Que satisface el requerimiento del negocio de TI para
Proteger los activos de cmputo y la informacin del negocio minimizando el riesgo de una interrupcin
del servicio
Enfocndose en
Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao
o robo
Se logra con
Y se mide con
Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico.
OBJETIVOS DE CONTROL
DS12 ADMINISTRACION DEL AMBIENTE FISCO
DS12.1 Seleccin y diseo del centro de datos
Definir y seleccionar los centros de datos fsicos para el equipo de TI para soportar la estrategia de
tecnologa ligada a la estrategia del negocio. Esta seleccin y diseo del esquema de un centro de datos
debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre. Tambin
debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de
salud en el trabajo.
Situacin actual
No se cuenta con un centro de datos fsico
actualizado, solo con los datos de adquisicin
de donde eventualmente se hace un inventario.
Recomendacin
Se debe contar con un documento de
inventario actualizado para poder controlar
perdidas, daos entre otros.
Situacin actual
La seguridad como se ya haba tratado est
muy elaborada en cuanto a software pero en
hardware tiene aun algunas debilidades.
Recomendacin
Al igual que sucede en la parte informtica,
se debe hacer un inventario fsico y digital
que siempre este actualizado para que
diariamente se controle que no falte o no se
haya daado nada.
Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas
de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y
reas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que
accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera
persona.
Situacin actual
El acceso fsico es mediante un carnet de
identificacin en la Caja, por lo cual asumimos
que no hay personas que no pertenezcan a la
Caja.
Recomendacin
Crear una nueva forma ms segura de
identificacin del personal para evitar
suplantaciones.
Situacin actual
En la caja no se ha tomado en cuenta este
punto, por lo que no se dispone de ninguna
informacin que se pueda evaluar.
Recomendacin
Tomar en cuenta que los factores
ambientales son tan importantes como
cualquier otro factor, por lo que se debe
hacer un plan ambiental en la Caja.
Situacin actual
Las instalaciones fsicas por el momento estn
en cierta forma mal posicionadas pero
funcionales.
Recomendacin
Mejorar en cuanto al orden de las
instalaciones para evitar problemas como
incendios por cortes circuitos por ejemplo.
Anlisis
Como podemos observar en los objetivos, la empresa cuenta con una amplia cantidad de
servicios fsicos, donde destacamos las instalaciones necesarias para el rea de desarrollo, el
problema encontrado es que no hay registro, un plan de adquisiciones y no hay seguridad en
cuanto a las instalaciones dentro del rea de desarrollo, exponiendo la integridad del personal
ante una catstrofe; por lo tanto lo ubicamos en el NIVEL 2 ya que a pesar de que se cuenta
con los servicios, no se cuenta con un plan para poder administrarlos de la manera ms
adecuada.
Modelo de madurez
OBSERVACIONES
MADUREZ
NIVEL 0
GRADO DE
MADUREZ.
No Existe
NIVEL 1
El
Inicial Ad/Hoc
NIVEL 2
Repetible pero Intuitivo
NIVEL 3
Definido
proceso
DEL
ADMINISTRACION
AMBIENTE
FISCO
se
NIVEL 4
Administrado y Medible
NIVEL 5
CUMPLIDOS.
No hay un proceso formal de
Optimizado
para
acceder
las
Como se indicaba es necesario tomar los siguientes puntos si se quiere mejorar el nivel
de madurez al nivel 3:
o Definir qu es lo que se requiere para la proteccin fsica.
o Implementar medidas para el ambiente fsico del rea de desarrollo.
o Definir o los sitios del ambiente fsico.
3.2. Recomendaciones
Se propone una metodologa de desarrollo de sistemas SCRUM
a la empresa para
la
BIBLIOGRAFIA
Sitio Web de Seguridad para TI basado en Cobit http://redyseguridad.fip.unam.mx/proyectos/cobit/index.html
Enfoque en la Auditoria de Estados Contables, de la Auditoria Tradicional a la
Auditoria Integral Ricardo Melini
Operacin de Servicios 4 Editorial The Stationery Office
Sistemas de Control Interno para Organizaciones Primera Edicin
Osvaldo Fonseca Luna
Material Practico del Curso de Auditoria de Sistemas 2015.
Normas Cobit. URL: http://www.monografias.com/trabajos14/auditoriasistemas