Auditoria luisanny quintero
-
Upload
luisatero -
Category
Engineering
-
view
17 -
download
1
Transcript of Auditoria luisanny quintero
REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE SISTEMAS DE
LA EMPRESA SOFTMEDIA VE C.A.
Autores:
Br. Quintero, Luisanny C.I.: 24.905.763
Profa.: Ing. Alejandra Torres
Porlamar, Marzo 2016
2
ÍNDICE GENERAL
pp.
INTRODUCCIÓN............................................................................................... 2
CAPITULO
I. GENERALIDADES DE LA EMPRESA……….………………… 3
1.1. CARACTERIZACION DE LA EMPRESA…….………….. 3
1.1.1. Naturaleza de la Empresa……………………………….. 3
1.1.2. Ubicación Geográfica...…………………………………. 4
1.1.3. Visión…………………………………………………… 5
1.1.4. Misión…………………………………………………… 5
1.1.5. Objetivos Estratégicos…………………………………... 5
1.1.5.1. Análisis FODA……………………………………… 5
1.1.5.2. Metas Organizacionales…………………………….. 6
1.1.6. Estructura Organizativa…………………………………. 7
1.1.6.1. Descripción de los Procesos y Funciones…………… 7
1.2. Metodología COBIT………………………………………… 10
1.2.1. Modelo de Madurez…………………………………….... 12
1.2.2. Auditoria de TICS Aplicando COBIT…………………… 13
1.2.2.1. Área a Auditar………………………………………. 13
1.2.2.2. Proceso de recolección de la información…………... 14
1.2.2.3. Documentos de gestión en el área de informática…... 14
1.2.2.4. Plan de auditoria en el área de informática…………. 14
1.2.2.5. Herramientas y Técnicas……………………………. 15
1.2.2.6. Motivos o Necesidades de la Auditoria………..…… 15
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)……. 16
II. EJECUCIÓN DE LA AUDITORÍA……………………………… 20
2.1. Situación actual del área de sistemas……………………….. 20
2.1.1. Objetivos del departamento…………………………...... 21
2.1.2. Organigrama del departamento…………………………. 22
2.1.3. Seguridad del departamento…………………………….. 22
2.1.4. Características de la plataforma tecnológica……………. 23
2.1.5. Determinación de los problemas y planteamiento de
hipótesis…………………………………………………………………………. 27
2.1.5.1. Posibles problemas………………………………... 27
2.1.5.2. Formulación de hipótesis……………..…………... 27
2.2. Aplicación de la auditoria…………………..……………… 28
2.2.1. Modelo de madurez de los procesos………….………. 28
2.2.2. Reporte general de los grados de madurez…………….. 30
3
III. ANÁLISIS DE LOS RESULTADOS 33
3.1. Informe técnico……………………………………………... 33
3.2. Informe ejecutivo……………................................................. 37
IV. CONCLUSIONES Y RECOMENDACIONES 41
4.1. Conclusiones………………………………………………..... 41
4.2. Recomendaciones…………………..……………….............. 42
GLOSARIO…………………………………………………………………….. 43
REFERENCIAS......................…………………………………………………. 45
Bibliográficas..................………………………………………………….. 45
Electrónicas......................………………………………………………… 45
4
INTRODUCCIÓN
La información es un recurso clave para todas las empresas y desde el momento en que
la información se crea hasta que es destruida, la tecnología juega un papel importante. La
tecnología de la información está avanzando cada vez más y se ha generalizado en las
empresas, en entornos sociales, públicos, y de negocios.
Por lo tanto se conoce como auditoria informática el proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos, pues el progreso de la tecnología de la
computación y la informática, está mejorando día a día, esto a la vez está causando los
problemas de las oportunidades a cometer errores.
Por otra parte, la auditoria informática es una tarea que debe realizarse periódicamente,
porque permite recoger, agrupar y evaluar evidencias para determinar si los sistemas de
información y la tecnología utilizada, mantienen la integridad de los datos y promueven el
cumplimiento eficaz de los fines de la organización.
En el caso de la investigación realizada, se propone la aplicación de una auditoría
COBIT al Departamento de desarrollo de sistemas de la empresa Softmedia ve, c.a. con el
objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar
los posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.
5
CAPITULO I
GENERALIDADES DE LA EMPRESA
1.1. CARACTERIZACION DE LA EMPRESA
1.1.1. Naturaleza de la Empresa
SoftMedia VE, C.A., es una compañía que desarrolla las iniciativas de sus clientes
mediante servicios integrales de ingeniería y diseño informático. El equipo de profesionales
cuenta con amplia experiencia en desarrollo e implementación de software especializado.
Se encuentra en capacidad de ejecutar 50.000 horas/año de ingeniería informática con
posibilidades de expansión ágil y coordinada. Presta servicios acorde con el Estado del Arte
de la Tecnología Mundial adaptándolos a los recursos y necesidades particulares de sus
clientes.
1.1.2. Ubicación Geográfica
Sus instalaciones se encuentran ubicadas en el estado Nueva Esparta, Municipio Mariño,
Porlamar, Calle Cedeño, Centro empresarial Bolívar, Oficina A1.
Figura 1. Ubicación Sofmedia VE, C.A. Fuente: Google Maps. (2016).
6
1.1.3. Visión
SoftMedia posee una planta de personal altamente especializado y con amplia
experiencia en cada una de las áreas.
Capacidad de Expansión
El conocimiento del desarrollo informático y tecnológico del país le permite a
SoftMedia ampliar de manera ágil y efectiva su planta de personal para asumir picos de
trabajos.
La experiencia y el conocimiento en el desarrollo de software especializado y tecnología
de punta, permite a SoftMedia entregar resultados con los más altos estándares de calidad.
Precios Competitivos
SoftMedia mantiene una estructura organizacional que optimiza los recursos técnicos -
administrativos y le permite ofrecer precios altamente competitivos.
Alianzas Estratégicas
El conocimiento del mercado mundial le facilita a SoftMedia la identificación, selección
y estructuración de alianzas para la solución de problemas tecnológicos específicos.
1.1.4. Misión
Softmedia provee infraestructura orientado al cumplimiento de objetivos estratégicos y
para ello selecciona las tecnologías de punta necesarias de acuerdo a cada situación.
Ya sea si su objetivo es incrementar su gestión, ampliar su presencia, mejorar la
eficiencia de sus procesos internos o expandir la misión de su institución, le ofrecemos
soluciones reales, efectivas y desarrolladas dentro del tiempo y los costos planeados.
Diseñamos y construimos soluciones completas de software. El diseño de la interfaz
usuario, el diseño estructural, el modelo de datos, el código fuente, la ayuda en línea y la
documentación de nuestras aplicaciones están pensadas para sostener una arquitectura de
información que sea relevante, confiable y contingente.
Nuestro conocimiento en las Tecnologías de la Información nos permite escribir código
eficiente y estable. Ya sea en Oracle,SQL, Delphi, Visual Basic, C++, ASP, PHP o HTML,
7
nuestro código es flexible, fácil de mantener y escalable, de manera que sus sistemas de
información puedan crecer al ritmo de sus necesidades.
1.1.5. Objetivos Estratégicos
1.1.5.1. Análisis FODA
Análisis Interno
Fortalezas
Profesionales calificados en su
área
Proyectos de software definidos
Debilidades
Ninguna metodología definida de
desarrollo de software
Falta de utilización de
estandarización de código
Mala administración de plazos de
entrega.
Análisis Externo
Oportunidades
Ubicación Céntrica y de fácil
acceso.
Buenos equipos de computo
Amenazas
Pérdida de recursos por mala
administración del tiempo
Código no sustentable ni sostenible
ni reutilizable.
Cuadro 1. Análisis FODA. Elaboración propia (2016).
1.1.5.2. Metas Organizacionales
Metas a Corto Plazo
Implementación del sistema de información institucional en su versión web para todas
las instituciones afiliadas a la empresa.
8
Metas a Largo Plazo
Ser el sistema líder para la administración y gestión de todos los procesos
institucionales en la mayoría de las instituciones a nivel nacional de Colombia.
1.1.6. Estructura Organizativa
En la siguiente figura es posible apreciar como está estructurada la organización:
Figura 2. Organigrama. Elaboración propia (2016).
1.1.6.1. Descripción de los Procesos y Funciones
Presidente
Es el fundador y dueño de la empresa, el encargado de gestionar los proyectos y los
presupuestos.
Presidente
Vicepresidente
Coordinador
Dpto. Recursos Humanos
Dpto. De Desarrollo
Dpto. de Soporte
9
Vicepresidente
Es el encargado de supervisar y gestionar todo el trabajo pertinente a las inversiones de los
recursos asignados por el presidente para los proyectos, y apoyar las actividades de
desarrollo de la empresa.
Coordinador
Es el profesional asignado para supervisar y liderar al departamento de desarrollo de
software.
Dpto. de recursos humanos
Es este departamento Trabajan profesionales dedicados a cumplir con los todas las
tareas pertinentes a la administración de los recursos y gestiones humanas.
Dpto. de desarrollo
En él se encuentran todos los profesionales asignados para el desarrollo de software,
contando con un personal humano entre ingenieros de sistemas e informáticos de 10
personas, entre presenciales y trabajadores a distancia.
Dpto. de soporte.
Este es el departamento encargado del soporte técnico de los sistemas.
1.2. Metodología COBIT
COBIT es un acrónimo para Control Objectives for Information and related
Technology (Objetivos de Control para tecnología de la información y relacionada);
desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT
GovernanceInstitute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
10
Figura 3. Marco de Trabajo de Metodología COBIT. Fuente:
http://computationeinformaticx.blogspot.com/2014/11/metodologia-cobit.html.
Consultada el 20 de Marzo del 2017.
1.2.1. Modelo de Madurez
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una organización pueda
calificarse desde Inexistente hasta Optimizada (de 0 a 5).
11
Este planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea
el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema
fuera difícil de usar y sugeriría una precisión que no es justificable.
Modelo Genérico de Madurez
0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El método general de la administración es desorganizado.
2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No hay
capacitación o comunicación formal de procedimientos estándar y la responsabilidad se
deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y
por lo tanto es probable que haya errores.
3 Definida: Los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalización de las prácticas
existentes.
4 Administrada: Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender acción donde los procesos parecen no estar funcionando
12
efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica.
Se usan la automatización y las herramientas en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejoramiento continuo y diseño de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.
Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los
administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos
para donde necesitan estar comparando las prácticas de control de su organización con los
ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los
objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de
madurez de control dependerá de la dependencia de TI que tenga la empresa, de la
sofisticación de la tecnología y, lo que es más importante, del valor de su información.
1.2.2. Auditoria de TICS Aplicando Cobit
1.2.2.1. Área a Auditar
La auditoría se realizara en el departamento de desarrollo de software de la empresa, ya
que es donde se centran las actividades principales de la empresa y donde se utilizan las
tecnologías de información y equipos informáticos.
1.2.2.2. Proceso de recolección de la información
A través de observación directa y una guía de entrevista estructurada realizada al
coordinador del depto. de desarrollo y posterior al equipo de desarrollo, se pudieron
determinar las fallas presentadas en el departamento y poder obtener mayor cantidad de
evidencias.
13
1.2.2.3. Documentos de gestión en el área de informática
No existen manuales de procedimientos para el desarrollo y documentación de código
de los sistemas de información, como tampoco manuales de convivencia, o uso de los
equipos de cómputo.
1.2.2.4. Plan de auditoria en el área de informática
Para el plan de auditoria en el área de informática que han evaluado ciertos
procedimientos para el mejor alcance y precisión de la auditoria y la recolección de
evidencias.
N° ACTIVIDADES
1 Observación directa de los procesos de desarrollo del depto.
2 Entrevista con el coordinador y los desarrolladores de software
3 Análisis de los manuales que contiene el departamento
4 Revisión de las metodologías de desarrollo de sistemas
5 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa
Cuadro 2. Actividades a efectuar. Elaboración propia (2016).
1.2.2.5. Herramientas y Técnicas
Herramientas Técnicas
Libreta para anotaciones
Lápices
Otros
Observación Directa
Entrevista No estructurada
Cuadro 3. Herramientas y Técnicas. Elaboración propia (2016).
14
1.2.2.6. Motivos o Necesidades de la Auditoria
Mala productividad en los procesos.
Desorganización en el desarrollo y plazos de tiempo de los proyectos.
Búsqueda de una mejor gestión en el desarrollo de sistemas.
Síntomas de fallas en integridad de la información.
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)
EL informe COSO, emitido por el Committee of Sponsoring Organization of Treadway
Commission (Comité de la Organización de Patrocinio de la comisión de Marcas) sobre
Control Interno, presenta la siguiente definición:
El control interno es un proceso, efectuado por el consejo de administración, la
dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
COMPONENTES DEL CONTROL INTERNO
Los componentes del sistema de Control Interno pueden considerarse como un
conjunto de normas que son utilizados para evaluar el control interno y determinar su
efectividad; la estructura de control interno en el sector gubernamental tiene los siguientes
componentes:
a) Ambiente de control
b) Evaluación de riesgos
c) Actividades de control
d) Información y comunicación
e) Supervisión y seguimiento
15
CAPITULO II
EJECUCIÓN DE LA AUDITORÍA
2.1. Situación actual del área de sistemas
El departamento de desarrollo de sistemas se encuentra ubicado en un área independiente
la cual dispone de los puestos de trabajo de cada programador, con sus equipos de cómputo.
Figura 4. Ubicación Física del departamento de Informática. Elaboración propia (2016).
16
Cargos Funcionales y Operativos:
Nombres personas del
departamento
Cargos operativos Cargos funcionales
Lic. Nelson Bracho Coordinador Su función es coordinar las
actividades y el desarrollo
de los sistemas de la
empresa
T.s.u. Kevin Hernández Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Alejandra Cruz Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. José Mata Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Jose Hernandez Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Lic. Francisco Rojas Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Carlos Salazar Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Lic. Rasec Casanova Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Josue Vera Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Ing. Marco Perez Desarrollador de sistemas Encargado de desarrollo de
software de la empresa.
Cuadro 4. Cargos y Funciones. Elaboración propia (2016)
17
2.1.1. Objetivos del departamento
Establecer una metodología de trabajo y desarrollo de software
Optimizar el rendimiento y productividad del departamento.
Estudiar las tecnologías necesarias para el desarrollo de los sistemas propuestas por
la gerencia de la empresa.
Analizar, y desarrollar los requerimientos para la programación de los módulos de
los sistemas propuestos.
Mantener la red de trabajo operativa (Comunicación y sistemas de información).
Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y
futuros usuarios de los recursos tecnológicos.
Establecer planes de mantenimiento en relación al hardware y software, hacer
levantamiento de información de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.
2.1.2. Organigrama del departamento
Figura 5. Organigrama del departamento de Informática. Elaboración propia (2016).
Coordinador general
Equipo de desarrollo
18
2.1.3. Seguridad del departamento
a. Seguridad física:
Contar con las instalaciones eléctricas adecuadas para resguardar la
integridad de los equipos.
b. Seguridad legal:
Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER, entre
otros) de manera tal que se garantice la ejecución de procesos blindados y
seguros.
Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual
forma con antivirus u otro software; esto para no incurrir en faltas legales.
c. Seguridad de datos:
Ejecutar las tareas de respaldo según la planificación.
Establecer niveles de acceso acordes a la realidad tanto para los sistemas de
información como la los servidores, para impedir acceso y manipulación no
autorizada a la información.
d. Seguridad de personas:
Instituir políticas de seguridad física y mental para el personal.
Dotar al departamento con las herramientas de protección necesarias para
garantizar la seguridad de los empleados.
Instruir a los empleados de cómo actuar ante situaciones de desastre
(incendios, inundaciones, sismos, entre otros).
19
2.1.4. Características de la plataforma tecnológica
Nombre de
equipo
Características Software Funcionalidad
Coordinador Laptop Lenovo, 4gb de RAM, 1000Gb
de disco duro, tarjeta gráfica nvida
2gb, Procesador Intel i7
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código
Sublime Text.
Equipo del
coordinador
Equipo1 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo2 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo3 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Equipo de
desarrollador
20
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo4 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 5 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 6 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 7 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Equipo de
desarrollador
21
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo 8 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Equipo 9 Laptop Lenovo, 4gb de RAM, 500Gb
de disco duro, Procesador Intel i5.
Sistema operativo
Windows 10.
Servidor local
Xamp.
Gestor de base de
datos.
Firebird y Mysql.
Editor de código Sublime
Text.
Equipo de
desarrollador
Cuadro 4. Hardware PC. Elaboración propia (2016).
2.1.5.1. Posibles problemas
Falta de una metodología para el desarrollo de los sistemas
Falta de manuales de procedimientos para documentación de código y desarrollo del
mismo.
Falta de organización en la ejecución de los procesos.
Fallas de comunicación entre las diferentes dependencias administrativas.
22
No se lleva un registro de las actividades realizadas, lo que dificulta su control y
monitoreo.
2.1.5.2. Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los procesos es
ineficiente. Así mismo, existen muchos procesos a la deriva, es decir, no se han
determinado responsabilidades y funciones; no se ha tomado importancia a temas referentes
a la seguridad de los datos ni a la metodología de trabajo, a la sustentabilidad y
mantenimiento del software desarrollado.
2.2. Aplicación de la auditoria
2.2.1. Modelo de madurez de los procesos
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Definir un plan
estrategia de TI
X
Definir la
arquitectura de la
información
X
Definir la dirección
tecnológica
X
Definir los procesos,
organización y
relaciones de TI
X
Administrar la
inversión en TI
X
23
Comunicar las metas
y la dirección de la
gerencia
X
Administrar los
recursos humanos de
TI
X
Administrar la
calidad
X
Evaluar y administrar
los riesgos TI
X
Administrar los
proyectos
X
Identificar las
soluciones
automatizadas
X
Adquirir y mantener
software aplicativo
X
Adquirir y mantener
la infraestructura
tecnológica
X
Facilitar la operación
y el uso
X
Procurar recursos de
TI
X
Administrar los
cambios
X
Instalar y acreditar
soluciones y cambios
X
Definir y administra X
24
los niveles de servicio
Administrar los
servicios de terceros
X
Administrar el
desempeño y
capacidad
X
Asegurar el servicio
continuo
X
Garantizar la
seguridad de los
sistemas
X
Identificar y asignar
costos
X
Educar y entrenar a
los usuarios
X
Administrar la mesa
de servicio y los
incidentes
X
Administrar la
configuración
X
Administrar los
problemas
X
Administrar los datos X
Administrar el
ambiente físico
X
Administrar las
operaciones
X
Monitoreo y evaluar el
desempeño de TI
X
25
Monitorear y evaluar
el control interno
X
Garantizar el
cumplimiento
regulatorio
X
Proporcionar
gobierno de TI
X
Cuadro 5. Modelo de Madurez. Elaboración propia (2016)
Existen varias actividades que presentan fallas en los modelos de madurez, además que en
el departamento no cuenta con el personal completo y calificado para el desempeño de
todas las actividades de desarrollo y gestión de proyectos, a continuación se muestra una
tabla con los resultados:
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantidad 1 5 4 6 7 7 2
Cuadro 6. Modelo de Madurez por tabla. Elaboración propia (2016)
En la escala de nivel de madurez de puede decir que el departamento cuenta con un
alto nivel 4 y nivel 5 de actividades.
2.2.2. Reporte general de los grados de madurez
Dominio Procesos Nivel de Madurez
Pla
nea
ción
y
Org
an
izaci
ón
Definir un plan estrategia de TI 3
Definir la arquitectura dela información 3
Definir la dirección tecnológica 1
Administrar la inversión en TI 4
Administrar los recursos humanos de TI 5
26
Administrar la calidad 6
Administrar los proyectos 4
Ad
qu
irir
e
imp
lem
enta
r Adquirir y mantener software aplicativo 6
Adquirir y mantener la infraestructura tecnológica 5
Administrar los cambios 2
En
treg
ar
y d
ar
sop
ort
e
Instalar y acreditar soluciones y cambios 1
Administrar los servicios de terceros 5
Administrar el desempeño y capacidad 5
Asegurar el servicio continuo 1
Garantizar la seguridad de los sistemas 4
Educar y entrenar a los usuarios 4
Administrar la mesa de servicio y los incidentes 5
Administrar la configuración 0
Administrar los problemas 2
Administrar los datos 3
Administrar las operaciones 1
Mon
itore
ar
y
evalu
ar
Monitoreo y evaluar el desempeño de TI 3
Garantizar el cumplimiento regulatorio 4
Proporcionar gobierno de TI 5
Cuadro 7. Reporte general de los grados de madurez. Elaboración propia (2016)
27
2.2.2.1 Análisis por dominio:
Planeación y organización
No se le están dando el uso correcto a las planificaciones y organizaciones
dentro del departamento, esto trae como consecuencia que la organización no
aproveche al máximo las TI.
Adquirir e implementar
A pesar que la organización cuenta con los recursos monetarios y la motivación
para optimizar los procesos tecnologías dentro de la empresa, el departamento
no cuenta con todo el personal capaz de manejar los distintos niveles de
tecnologías alojadas en la misma.
Entregar y dar soporte
Existe gran motivación en los usuarios por aprender acerca de los sistemas de
información utilizados en la organización, y el departamento cuenta con un
personal capacitado para brindar soluciones efectivas a los usuarios ante los
problemas que se puedan presentar.
Monitorear y evaluar
A pesar que existen manuales de monitoreo y evaluación, además, de llevar
algunos controles de accesos a las áreas de informática de la empresa, no se
cumple con cabalidad todas las medidas de seguridad sugeridas para mantener
en orden las actividades rutinarias del departamento.
28
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. Informe técnico
Alcance
Mediante esta auditoría se pretende evaluar el estado actual del Departamento de
desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, conclusiones y
recomendaciones para cada uno de los procesos evaluados en cada dominio según la
metodología COBIT 5.
Objetivo General
Realizar la auditoría de las tecnologías de la información en el departamento de
desarrollo de Sistemas de la empresa “Softmedia ve, C.A.”, utilizando como modelo de
referencia la metodología COBIT 5.
Objetivos Específicos
Identificar posibles problemas técnicos en las TI y dar soluciones viables.
Definir controles que permitan disminuir la pérdida de recursos y tiempos de
desarrollo en el departamento de desarrollo de sistemas.
A continuación se detalla los resultados de las evaluaciones en cada uno de los
dominios, basándonos en los niveles de madurez los cuales van desde el rango 0 hasta
el rango máximo 6.
29
Dominio de Planear y Organizar
El departamento no cuenta con manuales y planificaciones bien estructuradas, en
cuento a los mantenimientos de los equipos, respaldos de la información y revisión la
calidad e integridad de la información de los sistemas
A pesar que no se posee este tipo de planificación, se puede decir que el departamento
cuenta con la motivación y los conocimientos necesarios para realizar el mismo.
Recomendaciones COBIT:
Crear un plan general estratégico de procesos de cómo se deben efectuar las
actividades a nivel general.
Aumentar el rango de los planes estratégicos incluyendo revisiones de
inventario de equipos tecnológicos, aumento de la revisión de la seguridad de la
información y creación de los manuales para la realización del desarrollo de los
sistemas.
Dominio de Adquirir e implementar
El departamento cuenta con el apoyo de la gerencia general en cuanto a la adquisición
de nuevas tecnológicas y el refuerzo de las TI dentro de la organización, esto cuenta con un
punto favorable ya que se enmarca el interés por parte de la directiva del mejoramiento de
las tecnologías.
Por otro lado, el departamento no cuenta con una normativa de requerimiento de
equipos, además, de un manual de implementación de los sistemas de información, esto
dificultando el mejoramiento del mismo.
El personal del departamento no cuenta con la capacitación necesaria para mejorar e
implementar nuevas herramientas tecnológicas dentro de los sistemas de información, ni
una coordinación adecuada para la realización y cumplimiento de las actividades.
30
Recomendaciones COBIT:
Crear normativas de requerimientos basado en las tecnologías actuales dentro
de la organización.
Fomentar la capacitación del personal para así garantizar el mejoramiento de
las herramientas utilizadas para el desarollo de los sistemas de información.
Dominio Estratega y dar soporte
El departamento cuenta con el personal para el soporte a los usuarios que utilizan las
tecnologías así como los sistemas de información, además, cuenta con la motivación de
aprender día a día a utilizarlos y mejorarlos creando reglas y normas útil para el
mantenimiento de las mismas.
Recomendaciones COBIT:
Crear y diseñar una metodología de trabajo para la productividad y el desarrollo
de software.
Dominio Monitoreo y Evaluación
El departamento cuenta con actividades y procesos de monitoreo continuo en los
sistemas de información, además de controles de seguridad para mantener la integridad de
la data en los sistema de base de datos.
Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de
bitácoras para la revisión por parte de la auditoria de las actividades realizadas en los
servidores.
Por otro lado, no llevan un historial de acceso al área de servidores así como un control
de visitas por parte de entes externos para revisiones o mantenimientos.
Recomendaciones COBIT:
Diseñar un plan de seguimiento para el control de accesos a las distintas aéreas
dentro del departamento de informática.
31
Mejorar con manuales las actividades de monitoreo de los sistemas de
información así como de las tecnologías utilizadas dentro de la organización.
3.2. Informe ejecutivo
En este informe de detalla los resultados de la evaluación en cada uno de los dominios
y las recomendaciones que ofrece la metodología COBIT 5 evaluando el departamento de
desarrollo de sistemas de la empresa Softmedia ve, c.a.
La efectividad consiste en que la información relevante sea entregada de forma,
correcta, consistente y utilizable, este criterio tiene un porcentaje de 60%.
40% 60%
Efectividad
Efectividad
Deficit
70% 30%
Eficiencia
Efectividad
Deficit
32
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio de 70%.
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un porcentaje de 45%.
La integridad consiste en que la información debe se precisa, completa y valida, este
criterio tiene un promedio de 82%.
45% 55%
Cofidencialidad
Efectividad
Deficit
82% 18%
Integridad
Efectividad
Deficit
33
La disponibilidad consiste en que la información esté disponible cuando esta sea
requería por parte de las aéreas de la organización en cualquier momento, este criterio tiene
un porcentaje de 85%.
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos
contractuales a los que está sujeta el proceso de la organización con políticas interna, este
criterio tiene un porcentaje de 60%.
85%
15%
Disponibilidad
Efectividad
Deficit
60% 40%
Cumplimiento
Efectividad
Deficit
34
La confiabilidad consiste en que se debe respetar y proporcionar la información
apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un
porcentaje del 80%.
80%
20%
Confiablidad
Efectividad
Deficit
35
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES
Durante la ejecución de la auditoria aplicando la metodología COBIT 5, se determinó
la problemática que presentaba el departamento de desarrollo de la empresa Softmedia ve,
c.a, Lo que conllevo a proponer soluciones para el mejoramiento de las actividades que
realiza la empresa mediante sus sistemas de información y metodología de desarrollo.
Con la propuesta, se busca mejorar las condiciones y el rendimiento de la información
de los sistemas del departamento, estos con la finalidad de obtener una mejor confiabilidad,
disponibilidad, fiabilidad y resguardo de la información que es necesaria para la empresa,
para obtener un mejor rendimiento productividad creando procesos que agilicen y
supervisen las actividades de desarrollo de la empresa.
4.2. RECOMENDACIONES
La aplicación de la auditoría interna se efectúo con el fin de obtener un mejor
rendimiento del departamento de desarrollo.
Para alcanzar los objetivos establecidos, por tal motivo, se recomienda:
Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de
resultados.
Aplicar tareas de auditoría cada 9 meses.
Cumplir con los planes de mantenimiento.
Renovar la plataforma tecnológica a medida que se necesite.
Llevar registros de las actividades realizadas
Mantener informadas a las diferentes gerencias de las actividades a realizar.
Creación de manuales de procedimientos y supervisar su cumplimiento
36
GLOSARIO
Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,
2006).
Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los
procedimientos ejecutados son correctos y que cumplen con las normativas o políticas
existentes, permite dar a conocer el estatus actual de la empresa en cuanto a sus
operaciones. (Definición operacional).
Control: es una función administrativa: es la fase del proceso administrativo que mide y
evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).
Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o
una organización entera, con respecto a una tarea. (Stoner y Freeman, 1997).
Eficacia: capacidad para lograr el efecto que se desea o se espera tras la realización de una
acción. (Fernández y Otros, 1997).
Eficiencia: capacidad de reducir al mínimo los recursos usados para alcanzar los objetivos
de la organización. (Chiavenato, 2007).
Empresa: organización destinada a la producción o comercialización de bienes o servicios.
(Chiavenato, 2007).
Estrategia: En un proceso regulable, conjunto de las reglas que aseguran una decisión
óptima en cada momento. (Diccionario de la Real Academia Española, 2001).
Flujo de información: Desplazamiento de información dentro de una organización o entre
la organización y su entorno. (Definición operacional).
Gerencia: son los gerentes responsables de la administración general de la organización;
establecen políticas operativas y guían la interactuación de la organización y su entorno.
(Chiavenato, 2007).
Metas: fin de aprender alcanzar la organización; con una frecuencia, las organizaciones
tienen más de una meta; las metas son elementos fundamentales de las organizaciones.
(Stoner y Freeman, 1997).
37
Objetivos: son los resultados y fines esperados por personas o instituciones. (Definición
Operacional).
Organigrama: es un diagrama que ilustra las líneas de reporte entre unidades y personas
dentro de la organización, usando el término unidades para referirnos a equipos, grupos,
departamentos o divisiones. (Hellriegel, 2006).
Organización: es el proceso de gestión que combina los recursos materiales y humanos
con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2007).
Optimización: Buscar la mejor manera de realizar una actividad. (Diccionario de la Real
Academia Española, 2001).
Planeación: trazar un plan. (Diccionario de la Real Academia Española, 2001).
Planificador: que Hacer plan o proyecto de una acción. (Diccionario de la Real Academia
Española, 2001).
Proceso: Conjunto de las fases sucesivas de un fenómeno natural o de una operación
artificial. (Diccionario de la Real Academia Española, 2001).
38
REFERENCIAS
Referencias Bibliográficas
ISACA (2012). Cobit 5, USA: Editorial Isaca.
Referencias Electrónicas
Diccionario de la Real Academia Española (2001). Comercialización [online]. Disponible
en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Estrategia [online]. Disponible en:
http://lema.rae.es/drae/?val=estrategia [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Optimización [online]. Disponible en:
http://lema.rae.es/drae/?val=optimizacion [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Planeación [online]. Disponible en:
http://lema.rae.es/drae/?val=planeacion [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Planificador [online]. Disponible en:
http://lema.rae.es/drae/?val=planificador [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Proceso [online]. Disponible en:
http://lema.rae.es/drae/?val=proceso[Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:
http://lema.rae.es/drae/?val=producto [Consulta: 2017, Marzo 20].
Diccionario de la Real Academia Española (2001). Servicio [online]. Disponible en:
http://lema.rae.es/drae/?val=servicio [Consulta: 2017, Marzo 20].
Fuzi , C. (2013).APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE
INFORMÁTICA DE LA EMPRESA EKIPA, C.A. [online]. Disponible
enhttps://es.slideshare.net/mitcheljrn/trabajo-final-auditora [Consulta: 2017, Marzo 20].