Вы находитесь на странице: 1из 36

UNIVERSIDAD NACIONAL DE SAN AGUSTN DE

AREQUIPA
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

Asignatura: Auditoria de Sistemas

AUDITORIA CAJA AREQUIPA


COBIT
(GRUPO 6)
Elaborado por:
Soto Paredes Christian
Condori Castro Abel
Colque Zegarra Fabin
AREQUIPA PER
2015

TABLA DE CONTENIDOS

TABLA DE CONTENIDOS...........................................................................2
1. OBJETIVOS DEL NEGOCIO (OBJETIVOS DE CONTROL)............................3
1.1.

DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA AUDITORIA

APLICANDO METODOLOGIA COBIT..........................................................................3


1.2.

EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBIT......4

2. DESARROLLO DEL COBIT....................................................................5


2.1.

PLANEACIN Y ORGANIZACIN.....................................................................5

2.1.1.

PO2 Definir la arquitectura de informacin.............................................5

2.1.2.

PO8 Administrar la calidad....................................................................10

2.1.3.

PO10 Administrar Proyectos.................................................................14

2.2.

ADQUIRIR

2.2.1.
2.3.

E IMPLEMENTAR..................................................................................18

AI2 Adquirir y Mantener Software Aplicativo:........................................18

ENTREGA

Y SOPORTE........................................................................................23

2.3.1.

DS5 Garantizar la seguridad de los sistemas........................................23

2.3.2.

DS7 Educar y entrenar a los usuarios...................................................29

2.3.3.

DS12 Administrar el ambiente fsico.....................................................33

3. CONCLUSIONES Y RECOMENDACIONES GENERALES...........................38


3.1.

CONCLUSIONES................................................................................................ 38

3.2.

RECOMENDACIONES.......................................................................................... 38

1. OBJETIVOS DEL NEGOCIO (OBJETIVOS DE CONTROL)


1.1. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA
AUDITORIA APLICANDO METODOLOGIA COBIT
Siguiendo, este plan de trabajo propuesto por COBIT, se lograrn beneficios respecto a la
administracin de las TI. En el presente trabajo, se realiz la auditora al rea de Desarrollo
por Tecnologas enfocado a desarrollo, por lo tanto se elegirn slo los procesos pertinentes y
sern tomados en cuenta como una pequea introduccin, ya que COBIT se aplica a toda una
empresa que cuenta con sus diferentes reas.
A continuacin se muestra los Dominios propuestos por COBIT, con sus respectivos procesos,
los cuales fueron elegidos para el presente proyecto:

PLANEAR Y ORGANIZAR
PO1 Definir un plan estratgico de tecnologas de la informacin.
PO4 Definir los procesos, organizacin y relaciones de TI.
PO9 Evaluar y administrar los riesgos de TI.
PO10 Administrar los proyectos.
ADQUIRIR E IMPLEMENTAR
AI2
Adquirir y mantener software aplicativo.
ENTREGAR Y DAR SOPORTE
DS5 Garantizar la seguridad de los sistemas.
DS7 Educar y entrenar a los usuarios.
DS13 Administrar las operaciones.
MONITOREAR Y EVALUAR

1.2. EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA


COBIT
La nomenclatura utilizada en los criterios de informacin para esta
tabla es la siguiente (P), cuando el objetivo de control tiene un
impacto directo al requerimiento, (S), cuando el objetivo de control
tiene un impacto indirecto es decir no completo sobre el
requerimiento, y finalmente ( ) vaco, cuando el objetivo de control no
ejerce ningn impacto sobre el requerimiento, en cambio cuando se
encuentra con (X) significa que los objetivos de control tienen
impacto en los recursos, y cuando se encuentra en blanco ( ), es que
los objetivos de control no tienen ningn impacto con los recursos.

P
P

P
P

X
X

Confiabilidad

X
X

Cumplimiento

X
X

S
P
S
P

Disponibilidad

P
P
S
P

Integridad

adConfidencialid

Eficiencia

Criterios de Informacin de
COBIT
Efectividad

X
X
X
X

Infraestructura

Definir un plan estratgico de tecnologas de la informacin.


Definir los procesos, organizacin y relaciones de TI.
Evaluar y administrar los riesgos de TI.
Administrar los proyectos.

Aplicacin

PO1
PO4
PO9
PO10

Informacin

PLANEAR Y ORGANIZAR

Recursos TI de
COBIT

Personas

OBJETIVOS DE CONTROL COBIT

ADQUIRIR E IMPLEMENTAR
AI2
AI6

Adquirir y mantener software aplicativo.


Administrar los cambios.

X
X

X
X
X

X
X

S
P

S
S

S
S

ENTREGAR Y DAR SOPORTE


DS3
DS5
DS7
DS13

Administrar el desempeo y capacidad.


Garantizar la seguridad de los sistemas.
Educar y entrenar a los usuarios.
Administrar las operaciones.

MONITOREAR Y EVALUAR

P
P
P

S
P

2. DESARROLLO DEL COBIT


2.1. PLANEACIN Y ORGANIZACIN.
2.1.1.

PO2 Definir la arquitectura de informacin

La funcin de sistemas de informacin debera establecer un modelo de entrega de informacin


para el desarrollo de sistemas y definir sistemas apropiados que se cumplan para optimizar el
uso de esta informacin. Esto debera incluir el desarrollo de un diccionario corporativo de
datos que contenga las reglas de sintaxis de proceso de mejora la calidad que permite
racionalizar los recursos de los sistemas de informacin en la documentacin en el desarrollo
de sistemas para estar acorde con las estrategias del negocio.
Este proceso de TI tambin es necesario mejorar la responsabilidad sobre la integridad,
seguridad y control de los datos y para mejorar la efectividad y el control de informacin en el
desarrollo de proyectos de software.
Satisfaciendo: Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y
consistente.
Se logra con: El aseguramiento de la exactitud de informacin.
Se mide con: La frecuencia de actividades de validacin de datos.
Objetivos de control:
ID-OBJETIVO DE CONTROL

Objetivo de control
Modelo de arquitectura de informacin
empresarial.
Diccionario de Datos y Reglas de Sintaxis de
Datos.
Esquema de Clasificacin de integridad

PO2.1 Modelo de Arquitectura de Informacin Empresarial


Establecer y mantener un modelo de informacin que facilite el desarrollo de aplicaciones y las
actividades de soporte a la toma de decisiones, consistente con los planes de TI .

El modelo debe facilitar la creacin, uso y el compartir en forma ptima la informacin que se
genera en el desarrollo de proyectos de sistemas por parte del negocio de tal manera que se
mantenga su integridad, sea flexible, oportuna, segura y tolerante a fallos.
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos:

La Gerencia de TI y los responsables del proceso de negocio debern desarrollar los

estndares y las nomenclaturas por cada documento realizado en cada proyecto.


Establecer procesos para garantizar y administrar la integridad de la informacin que se
genera en el desarrollo de sistemas.

En el desarrollo de proyectos de software se deber adecuar a una metodologa de desarrollo


de software

como SCRUM muy conocida por el desarrollo de las buenas prcticas en

proyectos de software exitosos, de esta manera generar cada documento con la siguiente
nomenclatura:

Documento o Proceso.
Gestin de Proyectos.
Implementacin de Software.
Plan de Proyecto.
Solicitud de Cambio.
Acta de Aceptacin.
Acta de Reunin.
Acciones Correctivas.
Reporte de Avance.
Especificacin de Requisitos.
Manual de Usuario.
Diseo de Software.
Registro de Trazabilidad.
Casos de Prueba y Procedimientos de
Prueba.
Componente de Software.
Manual de Operacin.
Manual de Mantenimiento.
Reporte de Pruebas.
Resultados de Verificacin.
Resultados de Validacin.
Control de Cambios.

Nomenclatura.
GP
IS
PA
SC
AA
AR
AC
RA
ER
MU
DS
RT
CPPP
CS
MO
MM
RP
RVe
RVa
CA

Cada documento asi generado debera de ser archivado en el repositorio con la siguiente nomenclatura:
<Alias del Nombre de Proyecto>_<Alias del Proceso>_<Alias del Subproceso>_<Nomenclatura del
nombre del documento>_<Versin>_<Fecha>
Dnde:
<Versin> Sera expresada por VX.Y donde {X, Y} son nmeros, ejemplo: V1.0, V1.2, V2.0, etc.
Considerando que cada modificacin genera un nuevo documento conservando los datos anteriores no
modificados. Cada documento creado empezara con V1.0 y dependiendo de su modificacin: si es suave
el Y ser el nuevo nmero siguiente, si la modificacin es abrupta se modificara el X por el numero
siguiente, teniendo a Y con valor 0.

Tomar muy en cuenta que el versionado es un factor crtico en el desarrollo de proyectos.


<Fecha> Representa la fecha de creacin del documento expresada por AAAAMMDD.

PO2.3 Esquema de Clasificacin de integridad:

La Gerencia de TI y los responsables del proceso de negocio debern definir los criterios
de informacin nicos para cada entregable y los documentos asociados en el desarrollo
de sistemas, con el propsito de emplear una metodologa de desarrollo de software
conocida por las buenas prcticas e integrarla como parte de la planificacin de
proyectos.

El repositorio de la empresa debera ser organizado de la siguiente manera

Figura 01: modelo de organizacin del repositorio de la empresa

MODELO DE MADUREZ:
Grado de madurez actual.
El proceso definir la arquitectura de Informacin en l empresa se encuentra en el nivel 2 ,
porque no se acopla a un estndar unificado en la entrega de documentos en el desarrollo de
sistemas.
Objetivos no cumplidos.
A pesar que realizan procesos intuitivos no se

tiene una poltica formal para organizar,

estandarizar y nombrar cada artefacto generado por proyecto del desarrollo de sistemas y la
documentacin que se genera en el desarrollo tiene varias plantillas o estndares, lo que hace
muy difcil la documentacin de los sistemas desarrollados.
Recomendaciones para el nuevo nivel de madurez:
Se propone la adaptacin a las normas presentadas para la documentacin y el seguimiento a
un estndar nico de documentacin
Es necesario que el personal siga los estndares de documentacin presentado en la
presentacin de cada entregable.
As mismo se propone un modelo de planes de accin que se incluye como anexo para la
documentacin / PERFIL DE PROYECTO 1 V1.1 20130701.docx.
NIVELES DE LOS NIVELES DE MADUREZ

Nivel
de
madurez actual

NIVEL 0
No Existe
NIVEL 1
Inicial Ad/Hoc
NIVEL 2

x
Repetible pero Intuitivo

NIVEL 3
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado
Tabla 1: nivel de madurez PO1
Acciones a realizar para subir al siguiente nivel de madurez

Definicin de un modelo de informacin.


Tener cada documento ordenado en base a aun estndar.
Ordenar el repositorio de la informacin con la documentacin que se genera en el
desarrollo de sistemas.

Figura 02: nivel de madurez PO2

2.1.2.

PO8 Administrar la calidad

Se debe elaborar y mantener un sistema de administracin de calidad, el cual incluya procesos


y estndares probados de desarrollo. Esto se facilita por medio de la planeacin, implantacin y
mantenimiento del sistema de administracin de calidad. Los requerimientos de calidad se
deben manifestar y documentar con indicadores cuantificables y alcanzables. La administracin
de calidad es esencial para garantizar que TI est dando valor al negocio.

Satisfaciendo: La mejora continua y medible de la calidad de los servicios prestados

por TI.
Se logra con: La definicin de estndares y prcticas de calidad.
Se mide con: La frecuencia de actividades de validacin de datos.
Objetivos de control:

PO8.1 Sistema de Administracin de Calidad


Establecer y mantener un QMS que proporcione un enfoque estndar, formal y continuo, con
respecto a la administracin de la calidad, que est alineado con los requerimientos del
negocio. El QMS debe definir la estructura organizacional para la administracin de la calidad,
cubriendo roles, las tareas y las responsabilidades.
Situacin actual.
Se cuenta con un sistema de gestin de calidad en el proceso de proyectos y tambin en el

desarrollo de sistemas.
Recomendacin.
Aseguramiento de la calidad, mediante la evaluacin de los procesos y evaluacin de los
productos desarrollados.

PO8.2 Estndares y Prcticas de Calidad


Identificar y mantener estndares, procedimientos y prcticas para los procesos clave de TI
para orientar a la organizacin hacia el cumplimiento del QMS.
Situacin actual.
Se cuenta con procedimientos formales en el desarrollo de proyectos, pero no se cuenta con
una metodologa de desarrollo de software que permita a los desarrolladores seguir procesos
metodolgicos.
Recomendacin.
Realizar cada proyecto de acuerdos a los procesos: Gestin de Proyecto e Implantacin de
Software, e incluir metodologas de desarrollo de software, se propone la metodologa
SCRUM ,ya que se cuenta con un buen equipo de trabajo.

PO8.3 Estndares de Desarrollo y de Adquisicin


Adoptar y mantener estndares para todo el ciclo de vida, hasta el ltimo entregable e incluir la
aprobacin en puntos clave con base en criterios de aceptacin acordados.
Situacin actual.
No se emplean con metodologas de desarrollo de software, para el desarrollo de sistemas lo
que ocasiona que la documentacin de los sistemas tenga varias plantillas y formatos distintos
para cada proceso.
Recomendacin.
Realizar cada proyecto de acuerdos a los procesos: Gestin de Proyecto e Implantacin de
Software

PO8.6 Medicin, Monitoreo y Revisin de la Calidad


Definir, plantear e implementar mediciones para monitorear e cumplimiento contino del QMS,
as como el valor que el QMS proporciona.

Situacin actual.
Lder del proyecto y el gerente de tecnologas de la informacin realizan el seguimiento y
monitoreo de las tareas o actividades realizadas por los desarrolladores.
Recomendacin.
Realizar cada proyecto de acuerdos a los procesos: Gestin de Proyecto e Implantacin de
Software

Modelo de Madurez:
Grado de madurez. El proceso de Administrar la calidad se encuentra en el nivel 2.

Objetivos no cumplidos.
A pesar de que se cuenta con un sistema QMS (Sistema de Gestin de Calidad), el desarrollo de
sistemas no cuenta con una metodologa de desarrollo de software aceptada y que el desarrollo de
sistemas no se adecua a las buenas practicas

Recomendaciones:
Implantar una metodologa de desarrollo de software en la empresa y ver Planes de accin para la
adecuacin a la metodologa SCRUM en el desarrollo de sistemas.pdf.
NIVELES DE LOS NIVELES DE MADUREZ
NIVEL 0

CUMPLE

No Existe
NIVEL 1
Inicial Ad/Hoc
NIVEL 2

X
Repetible pero Intuitivo

NIVEL 3
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado

Acciones a realizar para subir al siguiente nivel de madurez

Adecuacin a una metodologa de desarrollo de software como por ejemplo SCRUM

una metodologa reconocida por las buenas practicas.


Estndar unificada para el desarrollo de las tareas.
Seguimiento y control segn el sistema de gestin de calidad de la empresa.

2.1.3.

PO10 Administrar Proyectos

Se busca determinar un marco de trabajo de administracin de proyectos para la


administracin de todos los proyectos, garantizando la correcta asignacin de prioridades y la
coordinacin de todos los proyectos. El marco de trabajo debe incluir un plan general,
asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de
entrega por fases en le desarrollo de los sistemas, el aseguramiento de la calidad, un plan
formal de pruebas, revisin de pruebas y post-implantacin despus del desarrollo para
garantizar la administracin de los riesgos del proyecto.
Satisfaciendo: Los sistemas que se desarrollan se entreguen dentro de marcos de tiempo,
presupuesto y calidad acordados.
Se mide con:
Sistemas que se encuentran en operacin en la caja Municipal de Arequipa , que satisfacen las
expectativas de los interesados( a tiempo, dentro del presupuesto, y con satisfaccin de los
requerimientos).
Porcentaje de los proyectos que siguen estndares y prcticas de administracin de proyectos.
Objetivos de control:
ID-OBJETIVO DE CONTROL
PO10.1

Objetivo de control
Marco de Trabajo para la Administracin de

PO10.2
PO10.3
PO10.4

Proyectos
Plan Integrado del Proyecto
Recursos del proyecto
Administracin de Riesgos del Proyecto

PO10.1 Marco de Trabajo para la Administracin de Proyectos


La definicin de un marco de trabajo para la Administracin de proyectos que defina el proyecto
y los lmites de la administracin de proyectos, as como las metodologas adoptadas en cada
proyecto.
Situacin actual.
Los informes de avances, y la evaluacin del seguimiento se realiza empleando mtricas de

rendimiento cada semana y se establece las tareas designadas a cada programador.


Recomendacin.
Integrar el modelo de evaluacin que poseen en la gestin de proyectos con procesos de
evaluacin en proyectos de software

PO10.2 Plan Integrado del Proyecto


Establecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de
negocio y de los sistemas de informacin) para guiar la ejecucin y el control del proyecto a lo
largo de la vida del proyecto.
Situacin actual.
Se establece mediante el jefe de tecnologas de la informacin y los interesados para los
recursos
Recomendacin.
Considerar que cada documento debe ser guardado en el repositorio de la empresa.

PO10.3 Recursos del Proyecto


Definir las responsabilidades, relaciones, autoridades y criterios de desempeo de los
miembros del equipo del proyecto y especificarlas bases para adquirir y asignar a los miembros
competentes del equipo y/o a los contratistas al proyecto. La obtencin de productos y servicios
requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del
proyecto.

Situacin actual.
En el desarrollo de sistemas cada desarrollador cumple el papel de analista, diseador,
programador, tester.
Recomendacin.
La empresa debera optar por la especializacin de su personal en las tareas del desarrollo de
tal manera que tenga personal experto para el desarrollo de sistemas.

PO10.4 Administracin de Riesgos del Proyecto


Eliminar o minimizar los riesgos especficos asociados con los proyectos individuales por medio
de un proceso sistemtico de planeacin, identificacin, anlisis, respuesta, monitoreo y control
de las reas o eventos que tengan el potencial de ocasionar cambios no deseados. Los riesgos
afrontados por el proceso de administracin de proyectos y el producto entregable del proyecto
se deben establecer y registrar de forma central.

Situacin actual.
Se cuenta con un plan de gestin de riesgos, ya que la empresa considera muy importante
tomar en cuenta planes de contingencia , ya que los impactos del riesgo puede tener un impacto
considerable en el proyecto
Recomendacin.
Integracin de los planes de gestin de riesgos con los principales riesgos en desarrollo de
proyectos de software.

Modelo de madurez

DOMINIO: PLANEACION Y ORGANIZACIN


PO10: Administrar proyectos
NIVELES
DE
LOS
NIVELES
DE CUMPLE

OBSERVACIONES

MADUREZ
NIVEL 0

GRADO DE
MADUREZ.

No Existe
NIVEL 1

El

Inicial Ad/Hoc

proceso

de

Administrar

Proyectos se encuentra en el nivel


3.

NIVEL 2
Repetible pero Intuitivo
NIVEL 3
Definido

OBJETIVOS NO

CUMPLIDOS.
A pesar de que en la
proceso

la

empresa el

metodologa

de

administracin de proyectos han sido

NIVEL 4
Administrado y Medible

establecidos y comunicados. La alta


direccin

del negocio

de TI,

empiezan a comprometerse y a

NIVEL 5
Optimizado

participar en la administracin de los


proyectos, pero no se cuentan con
revisiones de mtricas orientadas
con la ingeniera de software y la
documentacin

de

lecciones

aprendidas.

Recomendaciones:

Revisar

el

modelo Planes de accin para la

adecuacin
SCRUM

en

la
el

metodologa
desarrollo

de

sistemas.pdf. para la administracin


de proyectos de software.

Acciones a realizar para subir al siguiente nivel de madurez

Integracin con modelos de la ingeniera de software para el desarrollo de software.


Establecer y mantener un sistema de monitoreo, medicin y administracin de

sistemas.
Asegurar la participacin y compromiso de los interesados del proyecto.
Asegurar el control efectivo de los proyectos y de los cambios a proyecto.

2.2. Adquirir e implementar.


2.2.1.

AI2 Adquirir y Mantener Software Aplicativo:

rea de oportunidad: rea de Desarrollo por tecnologas.


Las aplicaciones deben de estar disponibles de acuerdo con los requerimientos del negocio.
Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos
y requerimientos de seguridad, y el desarrollo y la configuracin en si de

acuerdo a los

estndares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma
apropiada con las aplicaciones automatizadas correctas
Satisfaciendo: Construir aplicaciones de acuerdo con los requerimientos del negocio
hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista un proceso
de desarrollo oportuno confiable.
Se logra con: Traduccin de requerimientos de negocio a especificaciones de diseo,
adhesin a los estndares de desarrollo para todas las modificaciones y la separacin de las
actividades de desarrollo, de pruebas y operativas

Se mide con: El nmero de problemas en produccin por aplicacin, porcentaje de usuarios


satisfechos con la funcionalidad
Objetivos de control:
AI2.1 Diseo de Alto Nivel
rea de oportunidad: rea de Desarrollo.
Traducir los requerimientos del negocio a una especificacin de diseo de alto nivel para la
adquisicin de software, teniendo en cuenta las directivas tecnolgicas y la arquitectura de
informacin dentro de la organizacin. Tener aprobadas las especificaciones de diseo por
gerencia para garantizar que el diseo de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas tcnicas o lgicas durante el desarrollo o
mantenimiento.
Situacin Actual
Las especificaciones de diseo se
encuentran con pasos generales

Recomendacin
Aumentar el detalle de la descripcin de las
especificaciones de diseo

AI2.2 Diseo Detallado


rea de oportunidad: rea de Desarrollo.
Preparar el diseo detallado y los requerimientos tcnicos del software de aplicacin. Definir el
criterio de aceptacin de los requerimientos. Aprobar los requerimientos para garantizar que
corresponden al diseo de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias
significativas tcnicas o lgicas durante el desarrollo o mantenimiento.
Situacin Actual
Los criterios de aceptacin se encuentran,
pero hay cierta debilidad cuando se
encuentran discrepancias tcnicas

Recomendacin
Detallar mejor los procedimientos para tratar
mejor las ocurrencias de incidencias
conflictivas o de difcil solucin.

AI2.3 Control y Posibilidad de Auditar las Aplicaciones


rea de oportunidad: rea de Desarrollo.
Implementar controles de negocio, cuando aplique, en controles de aplicacin automatizados
tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.

Situacin Actual
Hay un procedimiento para tratar la
seguridad de la informacin, hay un rea
encargada de la Auditoria interna de la CAJA
AREQUIPA, y en el rea de productividad se
lleva a cabo las pruebas de las aplicaciones.

Recomendacin
EL rea de productividad adems de realizar
las pruebas de cdigo debe ayudar a los
desarrolladores a optimizar su cdigo,
proponer mejoras y en algunos casos
capacitar a los desarrolladores nuevos en la
institucin.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones


rea de oportunidad: rea de Desarrollo por tecnologas.
Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a
los riesgos identificados y en lnea con la clasificacin de datos, la arquitectura de la
informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos de la
organizacin.
Situacin Actual
La seguridad es tratada por el rea de
Seguridad de la informacin, se encentra un
proceso detallado.

Recomendacin
Estandarizar las polticas de seguridad para
todas las personas

AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido


rea de oportunidad: rea de Desarrollo.
Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de
negocio.
Situacin Actual
Se encuentran en proceso de implantacin
del software adquirido que maneja el CORE
financiero BANTOTAL

Recomendacin
Capacitar a los desarrolladores en genexus
para mejorar la implantacin de esta
tecnologa adquirida.

AI2.6 Actualizaciones Importantes en Sistemas Existentes


rea de oportunidad: rea de Desarrollo.

En caso de cambios importantes a los sistemas existentes que resulten en cambios


significativos al diseo actual y/o funcionalidad, seguir un proceso de desarrollo similar al
empleado para el desarrollo de sistemas nuevos.
Situacin Actual
Se sigue un proceso de actualizacin del
BANTOTAL pero no se siguen todos los
pasos de un desarrollo normal a medida se
lleva a cabo ms como un apaga fuegos.

Recomendacin
Mejorar los procesos de actualizacin del
software adquirido, al implementar una
metodologa de desarrollo que sea
implantando en los documentos tcnicos de
la CAJA AREQUIPA

AI2.7 Desarrollo de software aplicativo


rea de oportunidad: rea de Desarrollo.
Garantizar que la funcionalidad de automatizacin se desarrolla de acuerdo con las
especificaciones de diseo y/o funcionalidad, desarrollo y documentacin, los requerimientos
de calidad y estndares de aprobacin. Asegurar que todos los aspectos legales y
contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.
Situacin Actual
En las tareas de desarrollo se encuentran los
procesos bien definidos, con la debida
documentacin, pero falta mejorar en las
tareas de codificacin.

Recomendacin
Las tareas de codificacin deben ser
mejoradas al implantar una metodologa a su
proceso de desarrollo de software.

AI2.8 Aseguramiento de la calidad de software


rea de oportunidad: rea de Desarrollo por tecnologas.
Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del
software, para obtener la calidad que se especifica en la definicin de los requerimientos y en
las polticas y procedimientos de calidad de la organizacin.
Situacin Actual
Se tiene un proceso definido de desarrollo de
software, pero hay pasos que se obvian por
la premura de terminar el software a tiempo.

Recomendacin
Se debe de terminar de cumplir todos los
procesos para aspirar a una certificacin
CMMI nivel 3.

AI2.9 Administracin de los requerimientos de las aplicaciones

rea de oportunidad: rea de Desarrollo.


Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos
rechazados) durante el diseo, desarrollo e implementacin, y aprobar los cambios a los
requerimientos a travs de un proceso de gestin de cambios establecido.
Situacin Actual
Se tienen algunos problemas en
sincronizacin con los usuarios del
BANTOTAL para la toma de requerimientos y
por lo tanto retrasos en el desarrollo

Recomendacin
Se deben mejorar las polticas de
comunicacin con los usuarios de
BANTOTAL para que la toma de
requerimientos sea eficiente y eficaz.

AI2.10 Mantenimiento de Software Aplicativo


rea de oportunidad: rea de Desarrollo.
Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.
Situacin Actual
Se cuenta con un plan para el mantenimiento

Recomendacin
Mejorar este plan al incluirle una
metodologa de desarrollo de software.

DOMINIO: ADQUIRIR E IMPLEMENTAR


AI2: Adquirir y mantener software aplicativo.
NIVELES DE LOS NIVELES DE
CUMPLE
MADUREZ
NIVEL 0
No Existe
NIVEL 1
NIVEL 2
Repetible pero Intuitivo
X
Definido
NIVEL 4
Administrado y Medible
NIVEL 5
Optimizado

GRADO DE MADUREZ.
El proceso definir la arquitectura
de Informacin.
OBJETIVOS NO CUMPLIDOS.
No se cuenta con la certificacin
CMMI nivel 3.

Inicial Ad/Hoc

NIVEL 3

OBSERVACIONES

Recomendaciones: se debe
cumplir todos los procesos y
procedimientos establecidos en
su sistema interno de
procedimientos CAJANET.
.

2.3. Entrega y soporte


2.3.1.

DS5 Garantizar la seguridad de los sistemas

La necesidad de mantener la integridad de la informacin y de proteger los activos de TI,


requiere de un proceso de administracin de la seguridad. Este proceso incluye realizar
secciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una
efectiva administracin de la seguridad protege todos los activos de TI para minimizar el
impacto en el negocio causado por vulnerabilidad o incidentes de seguridad que puedan existir.
Control sobre el proceso TI de
Garantizar la seguridad de los sistemas.
Que satisface el requerimiento del negocio de TI para
Mantener la integracin de la informacin y de la infraestructura de procesamiento y minimizar
el impacto de las vulnerabilidades e incidentes de seguridad.
Enfocndose en
La definicin de polticas procedimientos y estndares de seguridad de TI y en el monitoreo,
deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad
Se logra con

El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad.


La administracin de identidades y autorizaciones de los usuarios de forma

estandarizada.
Probando la seguridad de forma regular.

Y se mide con

El numero incidentes que daan la reputacin con el pblico.


El nmero de sistemas no se cumplen los requerimientos de seguridad.
El nmero de violacin en la segregacin de tareas.

OBEJTIVOS DE CONTROL
DS5.1 ADMINISTRACIN DE LA SEGURIDAD DE TI
Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que
las acciones de administracin de la seguridad estn en lnea con los requerimientos del
negocio.
Situacin actual
Se cuenta con herramientas de control de
seguridad, que incluyen formatos que se deben
cumplir a diario por cada empleado.

Recomendacin
Formalizar la documentacin que registra la
administracin de la seguridad.

DS5.2 PLAN DE SEGURIDAD DE TI


Trasladar los requerimientos de informacin del negocio, la configuracin de TI, los planes de
accin del riesgo de la informacin y la cultura sobre la seguridad en la informacin a un plan
global de seguridad de TI. El plan se implementa en polticas y procedimientos de seguridad en
conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las polticas
y procedimientos de seguridad se comunican a los interesados y a los usuarios.
Situacin actual
La empresa tiene un plan de seguridad, pero
aun no esta correctamente definido, es decir
muchas veces el plan se ejecuta por practica.

Recomendacin
Formalizar el plan de seguridad para evitar
ambigedades.

DS5.3 ADMINITRACION DE IDENTIDAD


Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas
de TI (aplicacin de negocio, entorno de TI, operacin de sistemas, desarrollo y mantenimiento)
deben ser identificables de manera nica. Permitir que el usuario se identifique a travs de
mecanismos de autenticacin. Confirmar que los permisos de acceso del usuario al sistema y
los datos estn en lnea con las necesidades del negocio definidas y documentadas y que los
requerimientos de trabajo estn adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan tcnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de
acceso.

Situacin actual
Todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI
(aplicacin de negocio, entorno de TI no
cuentan con documentacin nica.

Recomendacin
Crear una nueva documentacin para
identificar.

Los permisos son solicitados a los jefe de


proyectos, no existe documentacin por medio

DS5.4 ADMINISTRACIN DE CUENTAS DEL USUARIO


Garantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de
cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia
de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los
datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar
para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos
e internos, para casos normales y de emergencia. Los derechos y obligaciones relacionados al
acceso a los sistemas e informacin de la empresa son acordados contractualmente para todos
los tipos de usuarios. La gerencia debe llevar a cabo una revisin regular de todas las cuentas
y los privilegios asociados.
Situacin actual
La administracin de cuentas se hace por
correo brindado por la Caja, en el cual cada
empleado es responsable de sus acciones
teniendo en cuenta que son revisadas a diario
por el personal responsable.

Recomendacin
Automatizar el proceso de revisin de
cuentas de usuario, para evitar confusiones.

DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD


Garantizar que la implementacin de la seguridad en TI sea probada y monitoreada de forma
pro-activa. La seguridad en TI debe ser reacreditada peridicamente para garantizar que se
mantiene el nivel seguridad aprobado. Una funcin de ingreso al sistema (logging) y de
monitoreo permite la deteccin oportuna de actividades inusuales o anormales que pueden
requerir atencin. El acceso a la informacin de ingreso al sistema est alineado con los
requerimientos del negocio en trminos de requerimientos de retencin y de derechos de
acceso.
Situacin actual
Como ya se indicaba, diariamente son vigiladas
las cuentas de usuarios del personal del rea
de desarrollo.

Recomendacin
Automatizar el monitoreo de las cuentas de
usuario.

DS5.6 DEFINICIN DE INCIDENTE DE SEGURIDAD


Garantizar que las caractersticas de los posibles incidentes de seguridad sean definidas y
comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de
forma apropiada por medio del proceso de administracin de problemas o incidentes. Las
caractersticas incluyen una descripcin de lo que se considera un incidente de seguridad y su
nivel de impacto. Un nmero limitado de niveles de impacto se definen para cada incidente, se
identifican las acciones especficas requeridas y las personas que necesitan ser notificadas.
Situacin actual
Para cualquier incidente de seguridad hay
pasos a seguir, el problema es que no se
cuenta con una documentacin que indique
esos procedimientos.

Recomendacin
Documentacin debida acerca de los
incidentes que posiblemente puedan ocurrir.

DS5.7 PROTECCION DE LA TECNOLOGIA DE SEGURIDAD


Garantizar que la tecnologa relacionada con la seguridad sea resistente al sabotaje y no revele
documentacin de seguridad innecesaria.
Situacin actual
La empresa cuenta con varias aplicaciones
pero no garantiza la resistencia al sabotaje o
revelacin de documentacin de seguridad
innecesaria.

Recomendacin
Pruebas peridicas de monitoreo.

DS5.8 ADMINISTRACIN DE LLAVES CRIPTOGRFICAS


Determinar que las polticas y procedimientos para organizar la generacin, cambio,
revocacin, destruccin, distribucin, certificacin, almacenamiento, captura, uso y archivo de
llaves criptogrficas estn implantadas, para garantizar la proteccin de las llaves contra
modificaciones y divulgacin no autorizadas.
Situacin actual
La empresa cuenta con una base de datos de
las llaves criptogrficas pero no estn seguras
a una exposicin.

Recomendacin
Mejorar la seguridad de las llaves
criptogrficas, ponindolas en
almacenamientos ms seguros.

DS5.9 PREVENCION, DETECCION Y CORRECCION DE SOFTWARE MALICIOSO


Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de
seguridad y control de virus actualizados) en toda la organizacin para proteger los sistemas de
la informacin y a la tecnologa contra malware (virus, gusanos, spyware, correo basura).

Situacin actual
La empresa cuenta con antivirus, y con
hardware actualizado.

Recomendacin
Documentacin debida acerca de pruebas
respectivas.

DS5.10 SEGURIDAD DE LA RED


Uso de tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo,
firewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para
autorizar acceso y controlar los flujos de informacin desde y hacia las redes.
Situacin actual
La empresa cuenta con una red local propia de
la empresa, y con conexiones VPN para una
mayor seguridad al momento de conectarse.

Recomendacin
Tener un documentacin y diagramas de la
configuracin de la red.

Anlisis
Segn todo lo expuesto en los objetivos de control y las herramientas evaluadas se puede
concluir la empresa tiene claro que es una institucin que maneja dinero de personas y que por
lo tanto es primordial que sus sistemas sean seguros tanto interno como externo al igual que as
cosas fsicas, para cuenta con documentacin, planes ya elaborados pero el problema es que
no se les da el uso para el que fueron creados, dicho esto podemos establecer que el nivel de
madurez actual es el NIVEL 3.
Modelo de madurez

DOMINIO: ENTREGA Y SOPORTE


DS5 Garantizar la seguridad de los sistemas
NIVELES
DE
LOS
NIVELES
DE CUMPLE

OBSERVACIONES

MADUREZ
NIVEL 0

GRADO DE
MADUREZ.

No Existe

El

NIVEL 1

seguridad
Inicial Ad/Hoc

Definido

de

Garantizar

la

sistemas

se

los

OBJETIVOS NO

Repetible pero Intuitivo


NIVEL 3

de

encuentra en el nivel 3

NIVEL 2

NIVEL 4

proceso

CUMPLIDOS.

A pesar que el proceso y la


metodologa de administracin de
proyectos han sido establecidos y

Administrado y Medible
NIVEL 5

comunicados.

No cuenta con

documentacin

de

acciones

verificaciones peridicas del estado

Optimizado

actual

de

la

seguridad

de

la

informacin y la empresa misma.


RECOMENDACIONES
Cumplir

con

un

estndar

de

seguridad para as hacer mas


seguro las acciones que suceden
en la empresa

ALCANCE DE SIGUIENTE NIVEL DE MADUREZ

Para ubicarnos en el siguiente nivel de madurez Nivel 4, es necesario seguir los pasos
descritos en el grfico, como son:
o Mapear la infraestructura de Seguridad con los servicios brindados.
o Establecer y mantener los procedimientos que abarcan garantizar la seguridad
o Identificar los tipos de costos que representa mejorar la seguridad y cuanto
cuesta mantenerlo.

Es decir se necesita definir principalmente cuales son los procedimientos que se deben
seguir para garantizar seguridad dentro no solo el rea de desarrollo sino tambin la
empresa misma.

2.3.2.

DS7 Educar y entrenar a los usuarios

rea de oportunidad: Gerencia General.


Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos
dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de
usuarios. Adems de identificar las necesidades. Se debe tener un programa efectivo de
entrenamiento incrementando el uso efectivo de la tecnologa al disminuir errores,
incrementando la productividad y el cumplimiento de los controles claves tales como las
medidas de seguridad de los usuarios.
Satisfaciendo El uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el
cumplimiento del usuario con las polticas y procedimientos.
Se logra con:

Establecer un programa de entrenamiento.


Organizar el entrenamiento.
Impartir el entrenamiento.
Monitorear y reportar la efectividad del entrenamiento.

Se mide con:

Porcentaje de satisfaccin de los interesados con el entrenamiento recibido.


Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la
imparticin del mismo.

Objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin
Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya: Estrategias y requerimientos actuales y futuros del
negocio, implementacin de nuevo software e infraestructura de TI.
Situacin actual
Cada personal nuevo es capacitado por su
supervisor durante un periodo corto de tiempo,
despus cada personal se auto capacitacin.

Recomendacin
Se debe destinar ms horas de capacitacin
para evitar una auto capacitacin,
dependiendo de la necesidad del proyecto
puede ser mejor contratan un entidad

tercera para las capacitaciones.

DS7.2 Imparticin de Entrenamiento y Educacin


Identificar los mecanismos de imparticin, designando maestros, organizando entrenamientos
con el tiempo suficiente, tomndose notas del registro, asistencia y de las evaluaciones de
desempeo.
Situacin actual
El proceso de capacitacin es llevada por
tareas dejadas al personal que se est
capacitando, no se cuenta con manuales
previos generados por personal antes
capacitado.

Recomendacin
Generar manuales de la capacitacin, para
que el nuevo personal solo lo lea y evite
tiempo de investigacin para su auto
capacitacin. En algunos casos es
recomendable contratar una entidad tercera
para capacitar al personal en el uso de
alguna nueva tecnologa.

DS7.3 Evaluacin del Entrenamiento Recibido


Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia,
calidad, efectividad, percepcin y retencin del conocimiento, costo y valor. Los resultados de
esta evolucin deben contribuir en la definicin futura de los planes de estudio y de las
sesiones de entrenamiento.
Situacin actual
Se evala dependiendo del tiempo y la
correctitud, el diseo de la tarea dejada al
personal que se est evaluando.

Recomendacin
Evaluar durante el proceso de desarrollo de
la tarea y no solo el producto final.

Anlisis
Podemos observar que la empresa prefiere contratar gente ya experimentada, el problema es
que no siempre se encuentra a esas personas, como es el caso del sistema adquirido
BANTOTAL, no hay personas locales que estn preparadas para esta tecnologa, ahora bien la
empresa contrata practicantes a los cuales debe capacitar siendo un tiempo de 2 meses que no
permite el alto desempeo de la empresa, por lo tanto se encuentra en una etapa inicial que
sera el NIVEL 2.
Modelo de madurez

DOMINIO: ENTREGA Y SOPORTE


DS7 Educar y Entrenar a los Usuarios
NIVELES
DE
LOS
NIVELES
DE

CUMPLE

OBSERVACIONES

MADUREZ
NIVEL 0

GRADO DE MADUREZ.
El proceso educar y entrenar a los

No Existe

usuarios se encuentra en el nivel 1.

NIVEL 1

A falta de un proceso organizado,

Inicial Ad/Hoc

los empleados han buscado y


asistido a cursos de entrenamiento

NIVEL 2
Repetible pero Intuitivo

por su cuenta
OBJETIVOS NO CUMPLIDOS:
No hay un proceso formal de

NIVEL 3
Definido

entrenamiento para evitar la autocapacitacin.


RECOMENDACIONES:

NIVEL 4
Administrado y Medible

Se tiene que tener un plan a seguir


para cuando tengamos que por
ejemplo capacitar a nuevo personal

NIVEL 5
Optimizado

como

son

en

mayora

los

practicantes.

Matriz RACI de acuerdo a los roles presentes en la empresa


Actividades

Gerente

Jefe de

Desarr

proyecto

ollador
es

Identificar y categorizar las necesidades de


capacitacin de los usuarios.
Construir un programa de capacitacin.
Realizar actividades de capacitacin.
Llevar a cabo evaluaciones de la capacitacin.
Identificar y evaluar los mejores mtodos y
herramientas para impartir la capacitacin.

ALCANZE DE SIGUIENTE NIVEL DE MADUREZ

R
R
R
R

A
R
A

Como se indico en el anlisis, la empresa hace capacitaciones pero solo en el caso de


eventualidades y con practicantes, lo que sacamos de este es que para mejorar a un
siguiente a nivel 3 de madurez es necesario:
o Plan formal para las capacitaciones de un nuevo personal en las tecnologas
que maneja la empresa.

2.3.3.

DS12 Administrar el ambiente fsico

La proteccin del equipo de cmputo y del personal, requiere de instalaciones bien diseadas y bien
administradas. El proceso de administrar el ambiente fsico incluye la definicin de los requerimientos
fsicos del centro de datos (site), la seleccin de instalaciones apropiadas y el diseo de proceso efectivos
para monitorear factores ambientales y ambientales y administrar el acceso fsico. La administracin
efectiva del ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al equipo de
cmputo y al personal.
Control sobre el proceso TI de
Administracin del ambiente fsico.
Que satisface el requerimiento del negocio de TI para
Proteger los activos de cmputo y la informacin del negocio minimizando el riesgo de una interrupcin
del servicio
Enfocndose en
Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao
o robo
Se logra con

Implementando medidas de seguridad fsicas.

Seleccionando y administrando las instalaciones

Y se mide con

Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico.

Nmero de incidentes ocasionados por fallas o brechas de seguridad fsica.

Frecuencia de revisin y evaluacin de riesgos fsicos.

OBJETIVOS DE CONTROL
DS12 ADMINISTRACION DEL AMBIENTE FISCO
DS12.1 Seleccin y diseo del centro de datos
Definir y seleccionar los centros de datos fsicos para el equipo de TI para soportar la estrategia de
tecnologa ligada a la estrategia del negocio. Esta seleccin y diseo del esquema de un centro de datos
debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre. Tambin
debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de
salud en el trabajo.

Situacin actual
No se cuenta con un centro de datos fsico
actualizado, solo con los datos de adquisicin
de donde eventualmente se hace un inventario.

Recomendacin
Se debe contar con un documento de
inventario actualizado para poder controlar
perdidas, daos entre otros.

DS12.2 Medidas de seguridad fsica


Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos del negocio. Las
medidas deben incluir, pero no limitarse al esquema del permetro de seguridad, de las zonas de
seguridad, la ubicacin de equipo crtico y de las reas de envo y recepcin. En particular, mantenga un
perfil bajo respecto a la presencia de operaciones crticas de TI. Deben establecerse las
responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolucin de incidentes de
seguridad fsica.

Situacin actual
La seguridad como se ya haba tratado est
muy elaborada en cuanto a software pero en
hardware tiene aun algunas debilidades.

DS12.3 Acceso Fsico

Recomendacin
Al igual que sucede en la parte informtica,
se debe hacer un inventario fsico y digital
que siempre este actualizado para que
diariamente se controle que no falte o no se
haya daado nada.

Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas
de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y
reas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que
accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera
persona.

Situacin actual
El acceso fsico es mediante un carnet de
identificacin en la Caja, por lo cual asumimos
que no hay personas que no pertenezcan a la
Caja.

Recomendacin
Crear una nueva forma ms segura de
identificacin del personal para evitar
suplantaciones.

DS12.4 Proteccin contra factores ambientales


Disear e implementar medidas de proteccin contra factores ambientales. Deben instalarse dispositivos
y equipo especializado para monitorear y controlar el ambiente.

Situacin actual
En la caja no se ha tomado en cuenta este
punto, por lo que no se dispone de ninguna
informacin que se pueda evaluar.

Recomendacin
Tomar en cuenta que los factores
ambientales son tan importantes como
cualquier otro factor, por lo que se debe
hacer un plan ambiental en la Caja.

DS12.5 Administracin de Instalaciones Fsicas


Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa, de
acuerdo con las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las especificaciones
del proveedor y los lineamientos de seguridad y salud.

Situacin actual
Las instalaciones fsicas por el momento estn
en cierta forma mal posicionadas pero
funcionales.

Recomendacin
Mejorar en cuanto al orden de las
instalaciones para evitar problemas como
incendios por cortes circuitos por ejemplo.

Anlisis
Como podemos observar en los objetivos, la empresa cuenta con una amplia cantidad de
servicios fsicos, donde destacamos las instalaciones necesarias para el rea de desarrollo, el
problema encontrado es que no hay registro, un plan de adquisiciones y no hay seguridad en
cuanto a las instalaciones dentro del rea de desarrollo, exponiendo la integridad del personal
ante una catstrofe; por lo tanto lo ubicamos en el NIVEL 2 ya que a pesar de que se cuenta
con los servicios, no se cuenta con un plan para poder administrarlos de la manera ms
adecuada.

Modelo de madurez

DOMINIO: ENTREGA Y SOPORTE


DS12 ADMINISTRACION DEL AMBIENTE FISCO
NIVELES
DE
LOS
NIVELES
DE CUMPLE

OBSERVACIONES

MADUREZ
NIVEL 0

GRADO DE
MADUREZ.

No Existe
NIVEL 1

El

Inicial Ad/Hoc
NIVEL 2
Repetible pero Intuitivo

NIVEL 3
Definido

proceso

DEL

ADMINISTRACION

AMBIENTE

FISCO

se

encuentra en el nivel 2. A falta de


un proceso organizado, no se
puede generar una documentacin
adecuada.
OBJETIVOS NO

NIVEL 4
Administrado y Medible
NIVEL 5

CUMPLIDOS.
No hay un proceso formal de

Optimizado

acceso fsico y administracin de la


instalacin.
Recomendaciones:
Crear documentacin acerca de
permisos

para

acceder

las

distintas zonas de local.

ALCANCE DE SIGUIENTE NIVEL DE MADUREZ

Como se indicaba es necesario tomar los siguientes puntos si se quiere mejorar el nivel
de madurez al nivel 3:
o Definir qu es lo que se requiere para la proteccin fsica.
o Implementar medidas para el ambiente fsico del rea de desarrollo.
o Definir o los sitios del ambiente fsico.

o Implementar procesos para el mantenimiento y actualizacin del acceso fsico.


Es importante tambin tener en cuenta que el ambiente de trabajo dice mucho de la
empresa y ayuda a la confortabilidad del personal.

3. Conclusiones y recomendaciones generales


3.1. Conclusiones
La empresa Caja Arequipa considera muy importante el rea de tecnologas de la informacin
como apoyo al negocio, es por ello que los procesos de la empresa se encuentran en el nivel
de madurez 2 -3 para el control y manejo en el rea de proyectos y desarrollo de sistemas.
Es muy importante considerar que si bien la empresa emplea planes de gestin para el
desarrollo de proyectos de software, y se encuentra en niveles de madurez en sus procesos,
es necesaria la integracin de estos con los procesos de la ingeniera de software para el
desarrollo de sistemas para aspirar a un siguiente nivel de madurez

3.2. Recomendaciones
Se propone una metodologa de desarrollo de sistemas SCRUM

a la empresa para

la

integracin de sus procesos en el rea de proyectos con el desarrollo de sistemas, de esta


manera se incorpora un plan de integracin

BIBLIOGRAFIA
Sitio Web de Seguridad para TI basado en Cobit http://redyseguridad.fip.unam.mx/proyectos/cobit/index.html
Enfoque en la Auditoria de Estados Contables, de la Auditoria Tradicional a la
Auditoria Integral Ricardo Melini
Operacin de Servicios 4 Editorial The Stationery Office
Sistemas de Control Interno para Organizaciones Primera Edicin
Osvaldo Fonseca Luna
Material Practico del Curso de Auditoria de Sistemas 2015.
Normas Cobit. URL: http://www.monografias.com/trabajos14/auditoriasistemas

COBIT. Carlina Alvarado. URL: http://www.slideshare.net/INGRID11/COBIT

Вам также может понравиться