Proyecto Final Gerencia y Auditoria

PROYECTO FINAL GERENCIA Y AUDITORIA DE REDES
JEAN KEVIN TRIANA ROJAS

COD. 20151678004
LUIS FELIPE TRIVIÑO PAREDES

COD. 20152678009
DIEGO ANDRES MATIZ TRIANA

COD. 20152678017
JONATHAN ORTEGON RUIZ

COD. 20152678033
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
GERENCIA Y AUDITORIA DE REDES
BOGOTA D.C.
2017
PROYECTO FINAL GERENCIA Y AUDITORIA DE REDES
JEAN KEVIN TRIANA ROJAS

COD. 20151678004
LUIS FELIPE TRIVIÑO PAREDES

COD. 20152678009
DIEGO ANDRES MATIZ TRIANA

COD. 20152678017
JHONATAN ORTEGON RUIZ

COD. 20152678033
PRESENTADO A:
ING. MIGUEL ÁNGEL LEGUIZAMÓN PAEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
GERENCIA Y AUDITORIA DE REDES
BOGOTA D.C.
2017
TABLA DE CONTENIDO
TABLA DE CONTENIDO 3
INTRODUCCIÓN 4
2. OBJETIVOS 5
2.1 Objetivo General 5
2.2 Objetivos específicos 5
3. JUSTIFICACIÓN 6
4. DESARROLLO DEL TRABAJO 7

4.1 Amenazas 7
4.1.1 Clasificación de las amenazas 7
4.1.2 Clasificación de los escenarios de riesgo 7
4.1.3 Amenazas de tipo interno 8
4.1.4 Amenazas de tipo externo 10
4.2 Análisis de Procesos 12
4.2.1 Dominios y Niveles de Madurez Según COBIT 12
4.2.1.1 Dominios de COBIT 12
4.2.1.2 Niveles de madurez 13
4.2.2 Ejecución de la auditoría 14
Dominio 1: Comunicación de los objetivos y directivas de la gerencia. 14
Dominio 2: Adquisición y Mantenimiento de la infraestructura tecnológica. 15
Dominio 3: Educacion y capacitacion de los usuarios 16
Dominio 4: Monitorear y evaluar. 17
4.2.3 Informe de auditoría 18
5. CONCLUSIONES 27
BIBLIOGRAFÍA 28
INTRODUCCIÓN
Hoy en día las TI forman parte integral de todas las empresas independientemente de la
naturaleza de la misma y las actividades a las cuales se dedique, facilitando el desarrollo
de sus procesos y el alcanzar los objetivos de negocio propuestos de cada organización.
La evaluación de los requerimientos del negocio, los recursos y procesos de TI, son
bastante importantes para el buen funcionamiento de una compañía y para el
aseguramiento de su éxito en el mercado, para ello cada organización debe velar porque
cada procesos se lleve a cabo de manera eficiente, esta validación puede llevarse a cabo
mediante auditorías internas las cuales permiten recoger, agrupar y evaluar evidencias
mediante las cuales se determina si los procesos definidos y la tecnología seleccionada
mantienen la integridad de la información y promueven el cumplimiento eficaz de los fines
de la organización.
En el presente documento se realiza la aplicación de una auditoría basada en COBIT al

área de TI de la empresa Linktic, con el objetivo de determinar amenazas y fortalezas en los
procesos que ejecuta, a fin de conocer los posibles factores que atenten contra el desarrollo
regular y eficiente de sus actividades.
2. OBJETIVOS
2.1 Objetivo General
Realizar el diagnóstico del área de TI de la empresa Linktic por medio de una auditoría,
basado en los dominios y proceso establecidos en COBIT.
2.2 Objetivos específicos
● Conocer la situación actual de la empresa en el área de TI.
● Identificar las amenazas tanto internas como externas que pueden afectar el área de
TI de la empresa
● Gestionar un plan de auditoría teniendo en cuenta los dominios y proceso

establecidos por COBIT
● Generar los resultados de la auditoría realizada para que sean estudiados por la alta
gerencia de la empresa.
3. JUSTIFICACIÓN
Es de suma importancia realizar una auditoría por lo menos una vez al año para conocer el
estado de los procesos de la organización, y determinar que se está haciendo bien y en que
se está fallando para tomar las respectivas medidas correctivas y poder generar una mejora
continua sin tener que ser alertados por que se evidencian gastos excesivos,
incumplimiento de proyectos, quejas de los clientes, alta rotación de recursos humanos y
cuando los resultados se alejan de los que la empresa espera.
Gracias a la auditoría se puede determinar el grado de madurez de los procesos del área
de TI de la empresa Linktic, además cuáles son las amenazas tanto internas como externas
que pueden impedir su buen desempeño y así poder realizar un análisis que permita la
toma de decisiones por parte de la alta gerencia.
4. DESARROLLO DEL TRABAJO
4.1 Amenazas
4.1.1 Clasificación de las amenazas

Tanto para las amenazas internas como externas se tendrá en cuenta el siguiente cuadro
para realizar la calificación del impacto de la amenaza:
Impacto Descripción
Alto La materialización de la amenaza representa un

problema grave para la empresa, incluso con
implicaciones legales y/o jurídicas, financieras o
de imagen.
Medio La materialización de la amenaza puede llegar

a impedir el desempeño normal de las
actividades y labores.
Bajo La materialización de la amenaza no supone

efectos en la empresa a nivel general.
Fuente: Los autores
4.1.2 Clasificación de los escenarios de riesgo

Escenarios de riesgo para diseñar los controles generales y administrativos de la
informática:
1. Planeación de la informática
2. Organización del departamento de informática
3. Seguridad física y respaldo
4. Seguridad de archivos, datos y programas
5. Operación en los centros de procesamiento
6. Desarrollo de sistemas
7. Auditabilidad de los sistemas
8. Eficiencia de los sistemas
Escenarios de riesgo para diseñar los controles en aplicaciones de computador:

1. Origen y preparación de datos
2. Captura y validación de datos
3. Procesamiento y actualización de datos
4. Salidas de la actualización
5. Integridad del sistema y de los datos
6. Acceso a seguridad de los programas
7. Acceso a seguridad de los archivos de datos
8. Cambios a los programas de la aplicación
9. Backup y recuperación
10. Terminales y comunicación de datos
11. Documentación técnica y del usuario
12. Auditabilidad de la aplicación
4.1.3 Amenazas de tipo interno
DEFINICIÓN DE AMENAZA
Escenario de Riesgo: Departamento de informática
Actividad Sujeta a Control: Si
Descripción de la Amenaza.
Código: 001
Descripción Corta: Planificación
Calificación del Impacto de la Amenaza: Medio
Descripción Detallada.
Errores en la planificación de tiempos de desarrollo.
Complementar la descripción.
No se están dando los tiempos necesarios o coherentes para el desarrollo de actividades,
hace falta un cronograma claro para los proyectos.
Ejemplo:
No se estima el tiempo de desarrollo basado en la experiencia de los ingenieros. Esto no
se hace en el momento en que son asignadas las tareas a los demás desarrolladores e
ingenieros
Controles Necesarios
Preventivo: crear un cronograma con si liado entre el usuarios finales y los ingenieros de
más experiencia coherente y justo para todas las partes.
Detectivo: verificar el avance de las actividades contra el cronograma en reuniones
periódicas.
Correctivo: realizar reuniones periódicas para ajustar el cronograma con autorización de
todas las partes.
Escenario de Riesgo: Organización del departamento de informática
Actividad Sujeta a Control: Sí
Descripción de la Amenaza
Código: 002
Descripción Corta: Roles y responsabilidades no conocidas por los empleados.
Calificación del Impacto de la Amenaza: MEDIO. El desconocimiento de los roles y

responsabilidades por parte de los empleados puede llegar e impedir el funcionamiento
normal de las labores del departamento.
Descripción Detallada
La empresa no informa correcta o completamente el papel que desempeñará el empleado

dentro del departamento, y tampoco se le hace entrega de sus responsabilidades frente al
proceso.
Ejemplo:
Resultado de la materialización de esta amenaza es el desorden dentro del departamento

de informática en tema de operabilidad, la sobrecarga de labores a un empleado y el
desperdicio de tiempos o recursos muertos generando pérdidas a la empresa.
Controles preventivos: Realizar la entrega responsabilidades en el momento de la

contratación de personal detallando su rol dentro de la compañía. En casos de
reemplazos o roles de respaldo, como en los tiempos de vacaciones de empleados, se
deben tener documentadas las tareas y responsabilidades del empleado ausente para
que su reemplazo cumpla con su función a cabalidad.
Controles detectivos: Realizar una evaluación de desempeño periódica a los empleados

con el detalle de sus tareas con el fin de corroborar el total conocimiento de su rol y su
cumplimiento con este.
Controles correctivos: Realizar retroalimentaciones periódicas por parte del encargado del
área de informática al empleado que no conozca sus responsabilidad o no tenga claro su
rol, resultado de las comunicaciones desde la alta gerencia.
4.1.4 Amenazas de tipo externo
Escenario de Riesgo: Planeación de la informática
Actividad Sujeta a Control: Si

Código: 003
Descripción Corta: Oferta
Calificación del Impacto de la Amenaza: Media
Descripción Detallada
Ofrecer únicamente soluciones de software y seguridad de la información como Core del
negocio.
Ejemplo: Solo se oferta al cliente Software ala medida dejando afuera otras soluciones
tecnológicas como la infraestructura TI.
Controles Necesarios:
Preventivos Realizar estudios de mercado para conocer las tendencias del mercado
Detectivos Pruebas de conocimiento realizadas al personal sobre las nuevas tecnologías.
Correctivos. Capacitar al departamento técnico en las nuevas tendencias de tecnologías

de TI.
Escenario de Riesgo: Planeación de la informática
Actividad Sujeta a Control: Sí
Código: 004
Descripción Corta: Costos
Calificación del Impacto de la Amenaza: Alto.
Descripción Detallada:
Altos costos en el licenciamiento de herramientas de desarrollo, normalmente cobradas
en dólares.
Ejemplo:
Se hace uso de tecnologías y de IDE’s con un alto costo de licenciamiento lo cual debido
a los cambios diarios del TRM incrementar el presupuesto de licenciamiento y afectar la
operación.
Preventivos:
Capacitar al recurso humano en herramientas de desarrollo de código abierto.
Contratar las licencias por un periodo donde el precio no se vea afectado por factores
externos.
Detectivos:
Supervisar el alza en el precio del dólar.
Notificar al proyecto, el aumento en las tarifas de las licencias.
Correctivos:
Aumentar el costo de los servicios prestados, para que la empresa no se vea afectada.
Gestionar el proceso de solicitud de “Partner” con las organizaciones dueñas de las
licencias, para obtener un precio de licenciamiento más bajo.
4.2 Análisis de Procesos
4.2.1 Dominios y Niveles de Madurez Según COBIT
A continuación se definirá para cada uno de los dominios de COBIT aquellos procesos que
son aplicables a la compañía Linktic.
4.2.1.1 Dominios de COBIT
DOMINIO 1. PLANIFICAR Y ORGANIZAR (PO)
Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia.

Objetivo de control:
PO6.2 Responsabilidad de la gerencia por las políticas
DOMINIO 2. ADQUISICIÓN E IMPLEMENTACIÓN (AI)

Proceso: AI3 Adquisición y Mantenimiento de la infraestructura tecnológica.
Objetivos de control:
AI3.3 Seguridad del software de sistemas
DOMINIO 3. ENTREGAR Y DAR SOPORTE (DS)

Proceso: DS7 Educación y capacitación de los usuarios
DS7.1 Identificación de las necesidades de la capacitación
DS7.2 Organización de la capacitación
DOMINIO 4. MONITOREAR Y EVALUAR (ME)

Proceso: ME1 Monitoreo de los Procesos
ME1.2 Evaluación de Desempeño
ME1.3 Evaluación de satisfacción del cliente
4.2.1.2 Niveles de madurez
A partir de los niveles de madurez de los procesos definidos por COBIT se realizó un
análisis para determinar el nivel en el que se enmarcan los diferentes procesos del área de
sistemas, los niveles de madurez que se utilizaron son los siguientes:
Nivel de Descripción
Madurez
0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no

ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas

existen y requieren ser resueltos. Sin embargo; no existen procesos
estándar en su lugar existen enfoques ad hoc que tienden a ser
aplicados de forma individual o caso por caso. El enfoque general
hacia la administración es desorganizado.
2 Repetible Se han desarrollado los procesos hasta el punto en que se siguen

procedimientos similares en diferentes áreas que realizan la misma
tarea. No hay entrenamiento o comunicación formal de los
procedimientos estándar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos
y, por lo tanto, los errores son muy probables.
3 Definido Los procedimientos se han estandarizado y documentado, y se han

difundido a través de entrenamiento. Sin embargo, se deja que el
individuo decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en sí no son sofisticados
pero formalizan las prácticas existentes.
4 Administrado Es posible monitorear y medir el cumplimiento de los procedimientos

y tomar medidas cuando los procesos no estén trabajando de forma
efectiva. Los procesos están bajo constante mejora y proporcionan
buenas prácticas. Se usa la automatización y herramientas de una
manera limitada o fragmentada.
5 Optimizado Los procesos se han refinado hasta un nivel de mejor práctica, se

basan en los resultados de mejoras continuas y en un modelo de
madurez con otras empresas. TI se usa de forma integrada para
automatizar el flujo de trabajo, brindando herramientas para mejorar
la calidad y la efectividad, haciendo que la empresa se adapte de
manera rápida.
Fuente: COBIT 4.1 http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf

4.2.2 Ejecución de la auditoría
Dominio 1: Comunicación de los objetivos y directivas de la gerencia.
Proceso Implementación de las políticas, los procedimientos y las normas
Descripción del 1. El gerente solicita la publicación de las políticas en la intranet

Proceso
2. Se publican las diferentes normas, procedimientos y políticas
en la intranet.
3. Se envía un correo a todo el informando la publicación en la

intranet de una nueva norma, procedimientos y políticas o su
respectiva mejora.
4. El jefe de cada área realiza una reunión con los integrantes de

su área socializando la publicación.
5.Se indica que se inicie la ejecución de la norma, procedimiento

o política
Nivel de Madurez Administrado
Entrada Solicitud de publicación de normas
Salida Publicación en la intranet

Dominio 2: Adquisición y Mantenimiento de la infraestructura tecnológica.
Proceso AI3 Adquisición y Mantenimiento de la infraestructura

tecnológica
Descripción del 1. La adquisición y mantenimiento de la infraestructura se

Proceso realiza con la publicación de los servicios y/o productos
requeridos en el portal de la compañía.
2. Los interesados presenten sus propuestas a la
compañía.
3. El área comercial de la empresa elige la propuesta que
más convenga analizando costos y tiempo.
4. Se realiza la contratación estableciendo las cláusulas de
cumplimiento y poniendo límites de tiempo para que el
proveedor haga entrega del producto.
5. Realizar reuniones con el proveedor para levantamiento
de requerimientos, o para aclarar las especificaciones
técnicas del producto/servicio solicitado.
6. El proveedor hace entrega del producto o presta el
servicio en los tiempos establecidos en la contratación.
Nivel de Madurez Administrado
Entrada Solicitud del producto o servicio que necesita la compañía, en el

que se establecen las especificaciones técnicas y de tiempo
Salida Entrega del producto o servicio al área de IT de la compañía, el

cual es revisado y aprobado.
Dominio 3: Educacion y capacitacion de los usuarios
Proceso DS7. Educación y Capacitación de los usuarios
Descripción del 1.El jefe inmediato solicita al área de recursos humanos una
Proceso capacitación.
2.Recursos humanos selecciona el personal que debe

capacitarse
3.El área de recursos humanos programa la fecha y hora de la

capacitación y la informa a la persona que realizó la solicitud.
4.Se realiza la capacitación a la fecha y horas programadas y se

firma hoja de asistencia.
Nivel de Madurez Repetible pero intuitivo
Entrada Solicitud de Capacitación
Salida Llevar a cabo la capacitación programada

Dominio 4: Monitorear y evaluar.
Proceso Monitoreo de los Procesos
Descripción del ● Semanalmente se debe enviar un reporte al área de

Proceso riesgos, quien es la encargada de analizar los riesgos
más frecuentes con el fin de encontrar un solución para
mitigar los riesgos existentes.
● Se debe enviar un reporte de rentabilidad semanalmente,

el cual permite realizar el cálculo de la rentabilidad
basada en un documento que envían del área de
contabilidad, con el fin de calcular la rentabilidad de
mensual, trimestral o semestral.
Nivel de Madurez Inicial
Entrada Reporte de riesgos, Reporte de rentabilidad
Salida ● Documentación de los riegos más frecuentes .

● Rentabilidad de mensual, trimestral o semestral.
4.2.3 Informe de auditoría
INFORME DE AUDITORÍA
Entidad Auditada: Linktic
Alcance de la auditoría: Mesa de ayuda (Soporte y Desarrollo), Linktic
Norma Aplicada: COBIT, 4.1, Dominio 1, Planificar Y Organizar (PO) - P06

Comunicación de los objetivos y directivas de la gerencia.
Organización: Compañía de desarrollo y consultoría de Software, integrada por un

equipo de expertos en diferentes áreas, que ofrece a sus clientes el diseño e
implementación de sistemas eficientes y confiables para sus empresas, utilizando las
últimas tecnologías y dando un acompañamiento permanente que garantiza una total
transferencia tecnológica.
Linktic provee a sus clientes un servicio de calidad brindándoles soluciones tecnológicas
que los ayuden a adaptarse al ambiente competitivo actual.
Objetivos de la Organización:
● Proveer soluciones de software apoyados en tecnologías en constante evolución,

en todas las áreas demandantes de desarrollo informático inteligente aplicado a la
gestión de procesos productivos, buscando permanentemente la diferenciación
por la calidad del servicio y la satisfacción del cliente.
● Ser una Empresa reconocida y elegida como “socio tecnológico” de sus clientes
por la calidad de las propuestas y el estricto cumplimiento de los compromisos
asumidos.
● Desarrollar cuidadosamente nuestros recursos humanos para asegurar una
cultura institucional basada en la ética, la innovación y la búsqueda permanente
de la excelencia, para que estas sean las bases para un crecimiento sustentable
que aseguren el futuro de nuestra Compañía.
Departamento de Mesa de Ayuda: Soporte y desarrollo de software para sus clientes.
Objetivos del área auditada dentro de la organización:
● Cumplir con los requerimientos de desarrollo de software oportunamente,

haciendo las entregas en las fechas establecidas con los clientes, para ello se
hará continuamente retroalimentación a través de reuniones y documentos que
permitan cumplir con los estándares de calidad y eficiencia.
● Capacitar a los empleados de la compañía en diferentes tecnologías de desarrollo
de software actuales, aplicaciones móviles, aplicaciones web, web services,
arquitectura SOA entre otros.
● Promover el crecimiento profesional de los empleados de la compañía a través de
compromisos que se fijarán entre la empresa y el empleado que lo incentiven a
continuar sus estudios de posgrado, maestría, así como certificaciones y cursos
para así tener dentro de la compañía profesionales de TI altamente cualificados en
el uso de herramientas de construcción de software como (NetBeans, Eclipse y
PL/SQL Developer).
Funciones – Subfunciones - Tareas
● Dirección de proyectos
○ Participar en las estrategias y definir metodologías para el diseño y
desarrollo de sistemas.
○ Cotización de los Desarrollos que se van a ejecutar.
○ Planeación del diseño y desarrollo de sistemas (Coordinar).
○ Relación con los clientes (Establecer necesidades del proyecto).
○ Validar prototipos funcionales, como las soluciones que se van a brindar a
los clientes.
○ Elaboración de Cronogramas de Desarrollo.
● Ejecución de proyectos
○ Documentación del Desarrollo.
○ Definición de Lenguajes a trabajar (Junto a líder técnico).
○ Determinar las características de los prototipos de cada proyecto.
○ Implementación de Solución Tecnológica.
○ Pruebas Funcionales.
● Soporte Usuario Final
○ Corrección de Errores en el desarrollo.
○ Desarrollar nuevos requerimientos en el software ya existente.
○ Actualización de la Documentación del Desarrollo (Si es requerido).
DIAGNÓSTICO:
Todas las normas, procedimientos y políticas se encuentran disponibles en la intranet de

Linktic, adicionalmente cada proceso, política y norma que se publica, se envía un correo
electrónico a todo el personal informando, la publicación del mismo, sin embargo los jefes
de cada área realizan un socialización para resolver dudas acerca de las normas,
procedimientos y políticas con el fin de que su área quede informada.
● Se recomienda que los jefes de cada área realizar un seguimiento oportuno a su
personal al momento de realizar un procedimiento.
● Se recomienda llevar una bitácora de los inconvenientes presentados durante la
ejecución de las políticas, normas y procedimientos.
Nivel de Madurez: Administrado
CONCLUSIONES:
● Es posible monitorear y medir el cumplimiento de las políticas y procedimientos y
tomar medidas cuando los procesos no están trabajando de forma efectiva.
● Los procesos están bajo constante mejora y proporcionan buenas prácticas.
● Se usa la automatización y herramientas de una manera limitada o fragmentada.
Norma Aplicada: COBIT, 4.1, Dominio 2, Adquirir e Implementar (PO) - AI3 Adquisición y
Mantenimiento de la infraestructura tecnológica-AI3.3 Seguridad del software de
sistemas


asumidos.

PL/SQL Developer).
los clientes.
DIAGNÓSTICO:
● La información financiera que se maneja en los sistemas de Linktic. Por este

motivo se hace importante que esta información no sea accedida por usuarios no
autorizados. Para ello la empresa le ha indicado a los desarrolladores del software
que debe establecer mecanismos de seguridad a nivel de la aplicación tales como
autenticaciones y cifrados. Además de establecer canales de comunicaciones
seguros.
● Esto se verifica en el ambiente de pruebas por la oficina de sistemas de Software.
Si las pruebas son correctas se habilita el paso a producción, en caso contrario se
envía un reporte al proveedor solicitando revisar los mecanismos de seguridad en
la aplicación.
● Se recomienda contratar a un experto en seguridad que verifique que el software
proporcionado por el proveedor garantiza la seguridad de la información que se
maneja en el sistema. Este experto debe hacer un escaneo en la aplicación con el
fin de encontrar vulnerabilidades.
● Se recomienda que el escaneo que haga el experto no se haga únicamente sobre
la aplicación sino sobre el servidor de aplicaciones y sobre la base de datos para
disminuir al máximo los inconvenientes de seguridad y así asegurar que la
información no va a ser modificada ni consultada por usuarios no autorizados.
Nivel de Madurez: Administrado

CONCLUSIONES:
● Es posible monitorear y medir el cumplimiento de las políticas y procedimientos y
tomar medidas cuando los procesos no están trabajando de forma efectiva.
● Los procesos deben tener las medidas apropiadas de seguridad para no crear
vulnerabilidades en las aplicaciones de los clientes ni de la empresa.
● Se debe verificar con el área de desarrollo que se están cumpliendo las políticas
de seguridad en todos los ambientes y bases de datos.
● Es importante programar escaneos regulares por parte de un experto en todas las
áreas que contengan información sensible.
Norma Aplicada: COBIT, 4.1, Dominio 3, Entrega Y Soporte (DS) - DS7 Educar y
Entrenar a los Usuarios DS7.1 Identificación de las necesidades de la capacitación
DS7.2 Organización de la capacitación


asumidos.

PL/SQL Developer).
los clientes.

DIAGNÓSTICO:
● Las capacitaciones se realizan únicamente cuando se considera absolutamente

necesario.
● Durante la capacitación no se entrega ningún tipo de material de apoyo, pero se

puede acceder a un portal Moodle en donde se encuentra un mini curso de apoyo
para el personal.
● No hay un control sobre la asistencia a las capacitaciones.
● No se realizan pruebas de conocimiento posterior a la capacitación.

Nivel de Madurez:
Luego del análisis de madurez se se evidencia que la empresa no cuenta con políticas
de capacitacitación y no se encuentra institucionalizada dicha práctica, sin embargo se
percibe la conciencia de tenerlo, por lo tanto se concluye que el el proceso alcanza el
grado de Repetible pero intuitivo.
CONCLUSIONES:
● Se debe organizar un plan que permita establecer la manera en que se deben

realizar las capacitaciones, y todo el personal debería ser capacitado una vez
ingresa a la compañía, o cada vez que vaya a ser involucrado en un proceso en el
cual no haya participado con anterioridad.
● Es necesario establecer un plan que permita organizar un horario adecuado para

que se pueda dar la capacitación así como buscar espacios adecuados para
brindarles, en lugares en donde no se presenten distracciones, es necesario
realizar un análisis del tema de la capacitación para evaluar cuál debería ser el
tiempo adecuado para abarcar todos los temas necesarios.
● Se recomienda elaborar material para el personal capacitado que pueda ser

consultado en cualquier momento por el personal.
● Debe instaurarse una política en la compañía para capacitar el personal bien sea
dentro de la empresa o prestando las facilidades para que los empleados se
capaciten fuera de ella.
Norma Aplicada: COBIT, 4.1, Dominio 4, Monitorear y evaluar (ME)

ME1.3 Evaluación de satisfacción del cliente

asumidos.

PL/SQL Developer).
los clientes.

DIAGNÓSTICO:
● Se tiene implementado un mecanismo muy básico que le permite medir la

satisfacción de sus clientes en los servicios prestados.
● Se debe implementar un plan que permita medir la satisfacción del cliente con los
servicios prestados, como por ejemplo encuestas más detalladas.
Nivel de Madurez: Inicial
Luego del análisis de madurez se se evidencia que la empresa no cuenta con un proceso
enfocado netamente a la satisfacción del cliente, ya que lo hace mientras se presenta el
producto desarrollado, teniendo como concepto lo que el cliente manifiesta. Por tal motivo
el nivel de madurez es inicial.
CONCLUSIONES:
● Se debe generar un proceso enfocado a la satisfacción del cliente, como

encuestas, llamadas frecuentes, con el fin de medir la fidelidad del cliente.
● El mecanismo para medir la satisfacción debe abarcar todos los aspectos, desde
los requerimientos, el trato de las personas, los tiempos acordados, el valor
agregado, entre otros.
● Los resultados del proceso de satisfacción, debe servir como insumos para medir
el rendimiento del equipo, la fidelidad del cliente y las lecciones aprendidas para
mejorar como organización.
5. CONCLUSIONES
Se logró realizar la auditoría para el área de Tecnologías de la Información para la

empresa Linktic, haciendo uso de los dominios y proceso ofrecidos por COBIT,
Se ha conocido y documentado el nivel de madurez de los procesos analizados de la

empresa Linktic, específicamente en el área de TI, departamento objetivo de este proyecto.
Se ha generado un plan de auditoría detallado para la Linktic, allí se han evaluado cada uno
de los aspectos en los cuales se desarrollan las actividades de la gerencia de TI,
evidenciando falencias y de igual manera realizando propuestas para mejorar el proceso de
las mismas.
La implementación de COBIT en la empresa involucra directamente al personal que

desempeña sus labores en los diferentes departamentos y procesos que existen en la
empresa, por lo que es necesario un conocimiento claro de las tareas y políticas que
puedan existir dentro de la respectiva área, de esta forma se conforman los comités que
ayudarán a cumplir los diferentes objetivos de control que se han definido anteriormente en
la ejecución de la auditoría
BIBLIOGRAFÍA
Fuzi Chistopher (2013), Porlamar, Aplicación de Auditoría COBIT al departamento de

informática de la empresa EKIPA, C.A.
Almanza Gómez, Álvaro Iván (2012). LA APLICACIÓN DE COBIT EN LAS

ORGANIZACIONES ¿VALE LA PENA EL ESFUERZO?. Recuperado de
http://repository.unimilitar.edu.co/bitstream/10654/6537/2/AlmanzaGomezAlvaroIvan2012.pd
f
GOVERNANCE INSTITUTE, (2017). Biblioteca.info.unlp.edu.ar. Retrieved 5 June 2017,

from https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf
Modelo de madurez para el control interno

http://redyseguridad.fip.unam.mx/proyectos/cobit/seccion_informativa/pdfscobit/apendices/a
pendice3 .pdf
Cobit 4.1 En Español Recuperado de

https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf

Proyecto Final Gerencia y Auditoria

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Proyecto Final Gerencia y Auditoria

Загружено:

Авторское право:

Доступные форматы

PROYECTO FINAL GERENCIA Y AUDITORIA DE REDES

JEAN KEVIN TRIANA ROJAS

LUIS FELIPE TRIVIÑO PAREDES

DIEGO ANDRES MATIZ TRIANA

JONATHAN ORTEGON RUIZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

JEAN KEVIN TRIANA ROJAS

LUIS FELIPE TRIVIÑO PAREDES

DIEGO ANDRES MATIZ TRIANA

JHONATAN ORTEGON RUIZ

ING. MIGUEL ÁNGEL LEGUIZAMÓN PAEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

4. DESARROLLO DEL TRABAJO 7

En el presente documento se realiza la aplicación de una auditoría basada en COBIT al

2.1 Objetivo General

2.2 Objetivos específicos

● Conocer la situación actual de la empresa en el área de TI.

● Gestionar un plan de auditoría teniendo en cuenta los dominios y proceso

4.1.1 Clasificación de las amenazas

Alto La materialización de la amenaza representa un

Medio La materialización de la amenaza puede llegar

Bajo La materialización de la amenaza no supone

4.1.2 Clasificación de los escenarios de riesgo

Escenarios de riesgo para diseñar los controles en aplicaciones de computador:

4.1.3 Amenazas de tipo interno

Escenario de Riesgo​: Departamento de informática

Actividad Sujeta a Control​: Si

Descripción Corta​: Planificación

Calificación del Impacto de la Amenaza​: Medio

Escenario de Riesgo: Organización del departamento de informática

Actividad Sujeta a Control: Sí

Descripción Corta​: Roles y responsabilidades no conocidas por los empleados.

Calificación del Impacto de la Amenaza: MEDIO. El desconocimiento de los roles y

La empresa no informa correcta o completamente el papel que desempeñará el empleado

Resultado de la materialización de esta amenaza es el desorden dentro del departamento

Controles preventivos: Realizar la entrega responsabilidades en el momento de la

Controles detectivos: Realizar una evaluación de desempeño periódica a los empleados

Escenario de Riesgo: ​Planeación de la informática

Actividad Sujeta a Control: Si

Detectivos Pruebas de conocimiento realizadas al personal sobre las nuevas tecnologías.

Correctivos. Capacitar al departamento técnico en las nuevas tendencias de tecnologías

Escenario de Riesgo:​ Planeación de la informática

Actividad Sujeta a Control: ​Sí

4.2.1 Dominios y Niveles de Madurez Según COBIT

4.2.1.1 Dominios de COBIT

DOMINIO 1. PLANIFICAR Y ORGANIZAR (PO)

Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia.

DOMINIO 2. ADQUISICIÓN E IMPLEMENTACIÓN (AI)

DOMINIO 3. ENTREGAR Y DAR SOPORTE (DS)

DOMINIO 4. MONITOREAR Y EVALUAR (ME)

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas

2 Repetible Se han desarrollado los procesos hasta el punto en que se siguen

3 Definido Los procedimientos se han estandarizado y documentado, y se han

4 Administrado Es posible monitorear y medir el cumplimiento de los procedimientos

5 Optimizado Los procesos se han refinado hasta un nivel de mejor práctica, se

Fuente: COBIT 4.1 http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf

Dominio 1: Comunicación de los objetivos y directivas de la gerencia.

Proceso Implementación de las políticas, los procedimientos y las normas

Descripción del 1. El gerente solicita la publicación de las políticas en la intranet

3. Se envía un correo a todo el informando la publicación en la

4. El jefe de cada área realiza una reunión con los integrantes de

5.Se indica que se inicie la ejecución de la norma, procedimiento

Nivel de Madurez Administrado

Escenario de Riesgo: Departamento de informática

Actividad Sujeta a Control: Si

Descripción Corta: Planificación

Calificación del Impacto de la Amenaza: Medio

Descripción Corta: Roles y responsabilidades no conocidas por los empleados.

Escenario de Riesgo: Planeación de la informática

Escenario de Riesgo: Planeación de la informática

Actividad Sujeta a Control: Sí

Entidad Auditada: Linktic

Alcance de la auditoría: Mesa de ayuda (Soporte y Desarrollo), Linktic

Departamento de Mesa de Ayuda: Soporte y desarrollo de software para sus clientes.

Entidad Auditada: Linktic

Alcance de la auditoría: Mesa de ayuda (Soporte y Desarrollo), Linktic

Departamento de Mesa de Ayuda: Soporte y desarrollo de software para sus clientes.

Nivel de Madurez: Administrado

Entidad Auditada: Linktic

Alcance de la auditoría: Mesa de ayuda (Soporte y Desarrollo), Linktic

Departamento de Mesa de Ayuda: Soporte y desarrollo de software para sus clientes.

Entidad Auditada: Linktic

Alcance de la auditoría: Mesa de ayuda (Soporte y Desarrollo), Linktic

Norma Aplicada: COBIT, 4.1, Dominio 4, Monitorear y evaluar (ME)

Departamento de Mesa de Ayuda: Soporte y desarrollo de software para sus clientes.

Nivel de Madurez: Inicial