Universidad Nacional José Faustino Sánchez Carrión E.A.P: Inenier!a de Siste"as Curso: Auditor!a P#$FES$#: In. %art!n Fiueroa #evilla
#ESU #ESU&&'A($S A($S (E& (E& CUES'I$NA#I$ (E C$)I' (ianóstico de la Seuridad de In*or"ación In*or"ación + Análisis de #iesos ,-/ Presentado 0or: 1 2ne nel acu3 acu3a4 a4 %a %anue nuel 1 (ura (urand nd si silv lva4 a4 Ca Carl rlos os 1 &ea eand ndrro %en %endo doza za44 %ar %arti tin n 1 &ea eand ndrro 5ás 5ás6u 6uez ez44 (ul (ulas as 1 Na Nava varrro #i #ive vera ra44 Jair Jairo o 1 $7is $7is0o 0o 5izca izca!n !no4 o4 8il" 8il"ar ar CUESTIONARIO DE COBIT Dominio 1: Planear Y Organizar (PO) PO1: Definir un Plan E!ra!"gi#o $e TI PO1%1 A$mini!ra#i&n $el 'alor $e TI ¿Existen ¿Existen inversion inversiones es obligatoria obligatorias, s, de sustento sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la l a asignación de fondos?
0á.
PO1% Alinea#i&n $e TI #on el Nego#io ¿Se ¿Se encu encuen entr tran an inte integr grad adas as las las estra estrate tegi gias as de negocio y de TI, relacionando de manera clara las metas de la empresa y las l as metas de TI? PO1% E*alua#i&n $el Deem+e,o - la Ca+a#i$a$ A#!ual ¿Evalan el desempe!o de los planes existentes y de los sistemas de información? PO1%. Plan E!ra!"gi#o $e TI ¿Tienen creado un plan estrat"gico de TI?
PO1%/ Plane T0#!i#o $e TI ¿Tienen creado un portafolio de planes t#cticos de TI que se deriven del plan estrat"gico de TI? PO1% A$mini!ra#i&n $el Por!afolio $e TI ¿$levan ¿$levan una buena buena administra administración ción del portafolio portafolio de programas de inversión de TI requerido para lograr objetivos de negocio estrat"gicos? PO Definir la Ar2ui!e#!ura $e la Informa#i&n PO%1 3o$elo $e Ar2ui!e#!ura $e Informa#i&n Em+rearial ¿%uentan con un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones? PO% Di##ionario $e Da!o Em+rearial - Regla $e Sin!a4i $e Da!o ¿&anejan un diccionario de datos empresarial que incl incluy uye e las las regl reglas as de sinta intaxi xis s de dato datos s de la organi'ación? PO% E2uema $e Claifi#a#i&n $e Da!o ¿Tienen establecido un esquema de clasificación de datos que se encuentre basado en lo sensible de la información? PO%. A$mini!ra#i&n $e In!egri$a$ ¿Tie ¿Tiene nen n impl implem emen enta tado do proc proced edim imie ient ntos os que que garanticen la integridad de la información dentro de $a empresa (graria ('ucarera (nda)uasi? PO De!erminar la Dire##i&n Te#nol&gi#a PO%1 Planea#i&n $e la Dire##i&n Te#nol&gi#a ¿$as tecnolog*as existentes son apropiadas para tomar decisiones y sirve como potencial para crear oportunidades de negocio? PO% Plan $e Infrae!ru#!ura Te#nol&gi#a Te#nol&gi#a ¿$a infraestructura tecnológica est# implementada
0á. ,
de manera correcta de acuerdo con los planes estrat"gicos y t#cticos de TI? PO% 3oni!oreo $e Ten$en#ia - Regula#ione 5u!ura ¿&anejan procesos para monitorear las tendencias ambientales del sector + industria, tecnológicas, de infraestructura, legales y regulatorias? PO%. E!0n$are Te#nol&gi#o ¿roporcionan a tiempo soluciones tecnológicas consistentes, efectivas y seguras para toda $a empresa (graria ('ucarera (nda)uasi? PO%/ Cone6o $e Ar2ui!e#!ura $e TI ¿Tienen establecido un comit" de arquitectura de TI que proporcione directrices sobre la arquitectura y asesor*a sobre su aplicación, y que verifique el cumplimiento? PO. Definir lo Pro#eo7 Organiza#i&n - Rela#ione $e TI PO.%1 3ar#o $e Tra8a6o $e Pro#eo $e TI ¿Tienen -efinido un marco de trabajo para el proceso de TI para ejecutar el plan estrat"gico de TI? PO.% Comi!" E!ra!"gi#o $e TI ¿Existe un comit" estrat"gico de TI a nivel del consejo? PO.% Comi!" Dire#!i*o $e TI ¿Existe un comit" directivo de TI .o su equivalente/ compuesto por la gerencia ejecutiva, del negocio y de TI? PO.%. U8i#a#i&n Organiza#ional $e la 5un#i&n $e TI ¿Se encuentra 0bicada la función de TI dentro de la estructura organi'acional general? PO.%/ E!ru#!ura Organiza#ional ¿Se encuentra establecida una estructura organi'acional de TI interna y externa que refleje las necesidades del negocio? PO.% E!a8le#imien!o $e Role - Re+ona8ili$a$e ¿Est#n definidos los roles y las responsabilidades para el personal de TI y los usuarios que delimiten la autoridad entre el personal de TI y los usuarios finales? PO.%9 Re+ona8ili$a$ $e Aeguramien!o $e Cali$a$ $e TI ¿Existen (signados las responsabilidades para el desempe!o de la función de aseguramiento de calidad .1(/? PO.% Re+ona8ili$a$ o8re el Riego7 la Seguri$a$ - el Cum+limien!o
0á. 9
¿Est#n Establecido la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado? PO.%; Pro+ie$a$ $e Da!o - $e Si!ema ¿roporcionan al negocio los procedimientos y )erramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos? PO.%1< Su+er*ii&n ¿Implementan pr#cticas adecuadas de supervisión dentro de la función de TI para garanti'ar que los roles y las responsabilidades se ejer'an de forma apropiada? PO.%11 Segrega#i&n $e 5un#ione ¿2an Implementado una división de roles y responsabilidades que redu'ca la posibilidad de que un solo individuo afecte negativamente un proceso cr*tico? PO.%1 Peronal $e TI ¿Evalan los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios? PO.%1 Peronal Cla*e $e TI ¿Est# definido el personal clave de TI para minimi'ar la dependencia en un solo individuo desempe!ando una función de trabajo cr*tica? PO.%1. Pol=!i#a - Pro#e$imien!o +ara Peronal Con!ra!a$o ¿%ómo aseguraran que los consultores y el personal contratado que soporta la función de TI cumplan con las pol*ticas organi'acionales de protección de los activos de información de la empresa? PO.%1/ Rela#ione ¿Establecen y mantienen una estructura óptima de enlace, comunicación y coordinación entre la función de TI y otros interesados dentro y fuera de la función de TI? PO/ A$mini!rar la In*eri&n en TI PO/%1 3ar#o $e Tra8a6o +ara la A$mini!ra#i&n 5inan#iera ¿Est# establecido un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de TI? PO/% Priori$a$e Den!ro $el Preu+ue!o $e TI ¿Tienen implementado un proceso de toma de decisiones para dar prioridades a la asignación de recursos a TI para operaciones, proyectos y mantenimiento?
0á.
PO/% Pro#eo Preu+ue!al ¿Tienen Establecido un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial de programas de inversión en TI? PO/%. A$mini!ra#i&n $e Co!o $e TI ¿Tienen Implementado un proceso de administración de costos que compare los costos reales con los presupuestados? PO/%/ A$mini!ra#i&n $e Benefi#io ¿2an Implementado un proceso de monitoreo de beneficios? PO Comuni#ar la A+ira#ione - la Dire##i&n $e la >eren#ia PO%1 Am8ien!e $e Pol=!i#a - $e Con!rol ¿Est#n bien definidos los elementos de un ambiente de control para TI, alineados con la filosof*a administrativa y el estilo operativo de $a empresa (graria ('ucarera (nda)uasi? PO% Riego Cor+ora!i*o - 3ar#o $e Referen#ia $e Con!rol In!erno $e TI ¿%ómo est# elaborar el marco de trabajo que establece el enfoque empresarial general )acia los riesgos y el control que se alinee con la pol*tica de T? PO% A$mini!ra#i&n $e Pol=!i#a +ara TI ¿Tienen elaborado un conjunto de pol*ticas que apoyen la estrategia de TI? PO%. Im+lan!a#i&n $e Pol=!i#a $e TI ¿%ómo aseguran de que las pol*ticas de TI se implantan y se comuniquen a todo el personal relevante? PO%/ Comuni#a#i&n $e lo O86e!i*o - la Dire##i&n $e TI ¿%ómo aseguran de que la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a los interesados es apropiado? PO9 A$mini!rar Re#uro ?umano $e TI PO9%1 Re#lu!amien!o - Re!en#i&n $el Peronal ¿%ómo reali'an los procesos de reclutamiento del personal de TI para que est"n de acuerdo a las pol*ticas y procedimientos generales de personal de la organi'ación? PO9% Com+e!en#ia $el Peronal ¿-e qu" manera verifican que el personal tenga las )abilidades para cumplir sus roles con base en su educación, entrenamiento y+o experiencia? PO9% Aigna#i&n $e Role
0á. /
¿Est# -efinido los marcos de trabajo para los roles, responsabilidades y compensación del personal, incluyendo el requerimiento de ad)erirse a las pol*ticas y procedimientos administrativos? PO9%. En!renamien!o $el Peronal $e TI ¿%ómo proporcionan a los empleados de TI la orientación necesaria al momento de la contratación y entrenamiento continuo para conservar su conocimiento y aptitudes? PO9%/ De+en$en#ia So8re lo In$i*i$uo ¿%ómo minimi'an la exposición a dependencias cr*ticas sobre individuos clave por medio de la captura del conocimiento? PO9% Pro#e$imien!o $e In*e!iga#i&n $el Peronal ¿(plican las verificaciones de antecedentes en el proceso de reclutamiento de TI? PO9%9 E*alua#i&n $el Deem+e,o $el Em+lea$o ¿Se reali'an de manera periódica las evaluaciones de desempe!o al personal que labora dentro de $a empresa (graria ('ucarera (nda)uasi? PO9% Cam8io - Termina#i&n $e Tra8a6o ¿Toman medidas preventivas respecto a los cambios en los puestos, en especial las terminaciones de los contratos del personal dentro de $a empresa (graria ('ucarera (nda)uasi? P<% A$mini!rar la Cali$a$% PO%1 Si!ema $e A$mini!ra#i&n $e Cali$a$ ¿Existe un sistema de administración de calidad que proporcione un est#ndar que este alineado con los requerimientos del negocio? PO% E!0n$are - Pr0#!i#a $e Cali$a$ ¿Existen la presencia de est#ndares o buenas pr#cticas para los procesos de TI? PO% E!0n$are $e Dearrollo - $e A$2uii#i&n ¿Se reali'a el seguimiento del ciclo de vida de los proyectos a trav"s de un est#ndar? PO%. Enfo2ue en el Clien!e $e TI ¿Existe un enfoque de calidad en el cliente, que est"n alineados con buenas pr#cticas? PO%/ 3e6ora Con!inua ¿Existe un plan de calidad que promueva la mejora continua? PO% 3e$i#i&n7 3oni!oreo - Re*ii&n $e la Cali$a$ ¿Existe medición, monitoreo y revisión de la
0á. ;
calidad en $a empresa (graria ('ucarera (nda)uasi? P<;% E*aluar - A$mini!rar lo Riego $e TI% PO;%1 3ar#o $e Tra8a6o $e A$mini!ra#i&n $e Riego ¿%ómo administran el riesgo de TI? ¿Existe un plan? PO;% E!a8le#imien!o $el Con!e4!o $el Riego ¿%uentan con un contexto o #reas a las cuales se evalan los riesgos que suceden normalmente? PO;% I$en!ifi#a#i&n $e E*en!o ¿%uentan con un registro de los riesgos frecuentes o m#s comunes que se suscitan? PO;%. E*alua#i&n $e Riego $e TI ¿Se reali'an evaluación de forma probabil*stica y las clasifican? PO;%/ Re+ue!a a lo Riego ¿Se )a desarrollado un proceso de respuesta ante los riesgos que se tienen identificados para poder mitigar los niveles de tolerancia de riesgos? PO;% 3an!enimien!o - 3oni!oreo $e un Plan $e A##i&n $e Riego ¿Si )a creado un plan de riesgos este se le reali'a un mantenimiento o monitoreo? P1<% A$mini!rar Pro-e#!o% PO1<%1 3ar#o $e Tra8a6o +ara la A$mini!ra#i&n $e Programa ¿%ómo organi'an los proyectos de TI en portafolio y programas? PO1<% 3ar#o $e Tra8a6o +ara la A$mini!ra#i&n $e Pro-e#!o ¿0tili'an algn tipo de, metodolog*a para administrar los proyectos? PO1<% Enfo2ue $e A$mini!ra#i&n $e Pro-e#!o ¿$os proyectos de TI tienen una estructura de gobierno de proyecto? PO1<%. Com+romio $e lo In!erea$o ¿1u" tan importante es la participación de los interesados dentro de 3? PO1<%/ De#lara#i&n $e Al#an#e $el Pro-e#!o ¿$os alcances del proyecto son documentados? PO1<% Ini#io $e la 5ae $el Pro-e#!o ¿1u" criterios toman en cuenta para el inicio de los proyectos? PO1<%9 Plan In!egra$o $el Pro-e#!o ¿2ay una documentación para la integración del proyecto?
0á. <
PO1<% Re#uro $el Pro-e#!o ¿%ómo asignan a los responsables de los proyectos? PO1<%; A$mini!ra#i&n $e Riego $el Pro-e#!o ¿Se reali'a un an#lisis de los riesgos que se puedan suscitar? PO1<%1< Plan $e Cali$a$ $el Pro-e#!o ¿-entro de todos los proyectos se crean un plan de calidad? PO1<%11 Con!rol $e Cam8io $el Pro-e#!o ¿Existe un control de cambios? PO1<%1 Planea#i&n $el Pro-e#!o - 3"!o$o $e Aeguramien!o ¿Existen sistemas acreditas por $a empresa (graria ('ucarera (nda)uasi? PO1<%1 3e$i#i&n $el Deem+e,o7 Re+or!e - 3oni!oreo $el Pro-e#!o ¿Se reali'an una medición de sus proyectos bas#ndose en los alcances, cronogramas, c#lida, costo y riesgos? PO1<%1. Cierre $el Pro-e#!o ¿%ómo se reali'a el proceso de cierre de los proyectos quienes intervienen? Dominio <: A$2uirir e Im+lemen!ar (AI) AI1 I$en!ifi#ar Solu#ione Au!oma!iza$a AI1%1 Defini#i&n - 3an!enimien!o $e lo Re2uerimien!o T"#ni#o 5un#ionale $el Nego#io ¿Identifican y priori'an los requerimientos de negocio? AI1% Re+or!e $e An0lii $e Riego ¿Existen reportes de an#lisis asociados a los requerimientos del negocio? AI1% E!u$io $e 5a#!i8ili$a$ - 5ormula#i&n $e Curo $e A##i&n Al!erna!i*o ¿$a implementación de requerimientos son puestos a un estudio de factibilidad? AI1%. Re2uerimien!o7 De#ii&n $e 5a#!i8ili$a$ - A+ro8a#i&n ¿El visto bueno de los requerimientos es dado por el jefe del #rea finan'as? AI A$2uirir - 3an!ener Sof!@are A+li#a!i*o AI%1 Die,o $e Al!o Ni*el ¿$a aprobación de los dise!os de los nuevos requerimientos es reali'ados por los gerentes? AI% Die,o De!alla$o ¿Se prepara el dise!o detallado y requerimientos t"cnicos de soft4are
los de
0á. =
aplicación? AI% Con!rol - Poi8ili$a$ $e Au$i!ar la A+li#a#ione ¿Existen controles de aplicación automati'ados?
AI%. Seguri$a$ - Di+oni8ili$a$ $e la A+li#a#ione ¿Existe la seguridad de las aplicaciones y los requerimientos de disponibilidad ante la presencia de los riesgos? AI%/ Configura#i&n e Im+lan!a#i&n $e Sof!@are A+li#a!i*o A$2uiri$o ¿Se )an adquiridos soft4are de aplicaciones que ayuden a lograr los objetivos del negocio, cómo cu#les? AI% A#!ualiza#ione Im+or!an!e en Si!ema E4i!en!e ¿Se reali'an procesos de desarrollo de sistemas nuevos dentro de $a empresa (graria ('ucarera (nda)uasi? AI%9 Dearrollo $e Sof!@are A+li#a!i*o ¿%u#ndo se reali'a un soft4are de aplicaciones este es documentado y se aseguran todos los aspectos legales? AI% Aeguramien!o $e la Cali$a$ $el Sof!@are ¿Existe un plan que asegure la calidad del soft4are? AI%; A$mini!ra#i&n $e lo Re2uerimien!o $e A+li#a#ione ¿Se reali'a un seguimiento a los cambios del requerimiento a trav"s de la gestión de cambios? AI%1< 3an!enimien!o $e Sof!@are A+li#a!i*o ¿Se )an creado estrategias para el mantenimiento de soft4are? AI A$2uirir - 3an!ener Infrae!ru#!ura Te#nol&gi#a AI%1 Plan $e A$2uii#i&n $e Infrae!ru#!ura Te#nol&gi#a ¿Existe un plan al momento de adquirir e implementar una infraestructura tecnológica? AI% Pro!e##i&n - Di+oni8ili$a$ $el Re#uro $e Infrae!ru#!ura ¿Existen controles internos que ayuden a la seguridad de los recursos inform#ticos? AI% 3an!enimien!o $e la Infrae!ru#!ura ¿Se reali'a mantenimientos de la infraestructura tecnológica? AI%. Am8ien!e $e Prue8a $e 5a#!i8ili$a$ ¿%uenta con )erramientas de prueba de TI?
0á. >
AI. 5a#ili!ar la O+era#i&n - el Uo AI.%1 Plan +ara Solu#ione $e O+era#i&n ¿Est# documentado los aspectos t"cnicos de cada TI? AI.% Tranferen#ia $e Cono#imien!o a la >eren#ia $el Nego#io ¿Se reali'a la capacitación a los ejecutivos para que puede dan manejar de forma eficiente los sistemas inform#ticos par que pueden aceptar la TI? AI.% Tranferen#ia $e Cono#imien!o a Uuario 5inale ¿Se reali'an capacitaciones a los usuarios finales de las Tecnolog*as que se implementan? AI.%. Tranferen#ia $e Cono#imien!o al Peronal $e O+era#ione So+or!e ¿El personal de soporte conoce los procedimientos para reali'ar mantenimiento de las nuevas tecnolog*as que se implementen y le puedan ayudar a su mantenimiento? AI/ A$2uirir re#uro $e TI AI/%1 Con!rol $e A$2uii#i&n ¿$a empresa (graria ('ucarera (nda)uasi emplea una serie de procedimientos y est#ndares en el proceso de adquisición de nuevos activos o servicios? AI/% A$mini!ra#i&n $e Con!ra!o #on Pro*ee$ore ¿$a empresa (graria ('ucarera (nda)uasi emplea procedimientos en los contratos con los proveedores, ya sea en temas legales, financieros, organi'acionales? AI/% Sele##i&n $e Pro*ee$ore ¿$a empresa (graria ('ucarera (nda)uasi lleva a cabo la selección de proveedores, teniendo en cuenta los requerimientos actuales de la empresa as* como tambi"n la opción m#s viable para esta? AI/%. A$2uii#i&n $e Re#uro $e TI ¿$a empresa (graria ('ucarera (nda)uasi en la parte contractual .adquisiciones/ tiene en cuenta la protección de sus propios intereses, a trav"s de derec)os u obligaciones planteadas en el contrato? AI A$mini!rar Cam8io AI%1 E!0n$are - Pro#e$imien!o +ara #am8io ¿$a empresa (graria ('ucarera (nda)uasi establece procedimientos de cambios formales para manejar de manera est#ndar todas las aplicaciones?
AI% E*alua#i&n $e Im+a#!o7 Prioriza#i&n - Au!oriza#i&n
0á. -
¿$a empresa (graria ('ucarera (nda)uasi luego de implementar las aplicaciones, se evala y mide el impacto en los usuarios? AI% Cam8io $e Emergen#ia ¿$a empresa (graria ('ucarera (nda)uasi lleva a cabo cambios de emergencia con los procesos que no siguen lo establecido? AI%. Seguimien!o - Re+or!e $el E!a!u $e Cam8io ¿$a empresa (graria ('ucarera (nda)uasi reali'a seguimiento y reporte de todos los cambios en las aplicaciones? AI%/ Cierre - Do#umen!a#i&n $el Cam8io ¿$a empresa (graria ('ucarera (nda)uasi en la parte contractual .adquisiciones/ tiene en cuenta la protección de sus propios intereses, a trav"s de derec)os u obligaciones planteadas en el contrato? AI9 In!alar - a#re$i!ar olu#ione - #am8io AI9%1 En!renamien!o ¿$a empresa (graria ('ucarera (nda)uasi reali'a capacitación y entrenamientos al grupo de operaciones del #rea de TI por cada proyecto de sistema de información? AI9% Plan $e Prue8a ¿$a empresa (graria ('ucarera (nda)uasi tiene establecido algn plan de prueba que define roles, responsabilidades? ¿Esta se encuentra aprobada por las partes relevantes? AI9% Plan $e Im+lan!a#i&n ¿$a empresa (graria ('ucarera (nda)uasi tiene establecido algn plan de implantación y respaldo? ¿Esta se encuentra aprobada por las partes relevantes? AI9%. Am8ien!e $e Prue8a ¿$a empresa (graria ('ucarera (nda)uasi cuenta con un entorno seguro de pruebas con las medidas de seguridad, controles internos, etc5 necesarias? AI9%/ Con*eri&n $e Si!ema - Da!o ¿$a empresa (graria ('ucarera (nda)uasi cuenta con un lan de conversión de datos o migración de infraestructura, as* como tambi"n pistas de auditor*a, respaldo? AI9% Prue8a $e Cam8io ¿$a empresa (graria ('ucarera (nda)uasi reali'a pruebas de %ambios, tomando en cuenta la seguridad y el desempe!o?
0á.
AI9%9 Prue8a $e A#e+!a#i&n 5inal ¿$os resultados de los procesos de pruebas son evaluados por el due!o del proceso de negocio y los interesados, de acuerdo a lo establecido en el plan de pruebas? AI9% Promo#i&n a Pro$u##i&n ¿$a empresa (graria ('ucarera (nda)uasi controla la entrega de los sistemas cambiados a operaciones, de acuerdo a lo establecido en el plan de implantación? AI9%; Re*ii&n Po!erior a la Im+lan!a#i&n ¿$a empresa (graria ('ucarera (nda)uasi establece procedimientos en l*nea con los est#ndares de gestión de cambios organi'acionales? Dominio <: En!regar - $ar So+or!e (DS) DS1 Definir a$mini!rar lo ni*ele $e er*i#io DS1%1 3ar#o $e Tra8a6o $e la A$mini!ra#i&n $e lo Ni*ele $e Ser*i#io ¿(ctualmente $a empresa (graria ('ucarera (nda)uasi cuenta un marco de trabajo formal de administración de niveles de servicio entre cliente y el prestador de servicio? DS1% Defini#i&n $e Ser*i#io ¿$a empresa (graria ('ucarera (nda)uasi tiene definido sus servicios de TI y estas se encuentran almacenadas de manera centrali'ada por medio de cat#logo o portafolio de servicios? DS1% A#uer$o $e Ni*ele $e Ser*i#io ¿$a empresa (graria ('ucarera (nda)uasi define y acuerda convenios de niveles de servicio para todos los procesos cr*ticos de TI? DS1%. A#uer$o $e Ni*ele O+era#i&n ¿$os acuerdos de niveles de operación explican la forma en que se va a entregar de los servicios? DS1%/ 3oni!oreo - Re+or!e $el Cum+limien!o $e lo Ni*ele $e Ser*i#io ¿$a empresa (graria ('ucarera (nda)uasi monitorea continuamente los criterios de desempe!o para el nivel de servicio? ¿Emite reportes sobre el cumplimiento de niveles de servicio? DS1% Re*ii&n $e lo A#uer$o $e Ni*ele $e Ser*i#io - $e lo Con!ra!o ¿$a empresa (graria ('ucarera (nda)uasi revisa regularmente con los proveedores internos y externos los acuerdos de servicio y contratos? DS A$mini!rar lo er*i#io $e !er#ero DS%1 I$en!ifi#a#i&n $e To$a la Rela#ione #on Pro*ee$ore ¿$a empresa (graria ('ucarera (nda)uasi tiene identificado todos los servicios de proveedores y
0á. ,
los tiene categori'ados de acuerdo al tipo de proveedor, significado y criticidad? DS% >e!i&n $e Rela#ione #on Pro*ee$ore ¿Se tiene formali'ado el proceso de gestión de relaciones con los proveedores? DS% A$mini!ra#i&n $e Riego $el Pro*ee$or ¿Se tienen identificados y mitigados los riesgos relacionados con la )abilidad de los proveedores para mantener un efectivo servicio de entrega de forma segura y eficiente? DS%. 3oni!oreo $el Deem+e,o $el Pro*ee$or ¿(ctualmente $a empresa (graria ('ucarera (nda)uasi tiene establecido un proceso de monitoreo a la prestación del servicio del proveedor para asegurarse de que est" cumpliendo con los requerimientos del negocio actuales? DS A$mini!rar el $eem+e,o - la #a+a#i$a$ DS%1 Planea#i&n $el Deem+e,o - la Ca+a#i$a$ ¿$a empresa (graria ('ucarera (nda)uasi tiene establecido un proceso de planeación para la revisión del desempe!o y la capacidad de los recursos de TI de acuerdo a lo establecido en los niveles de servicio? DS% Ca+a#i$a$ - Deem+e,o A#!ual ¿$a empresa (graria ('ucarera (nda)uasi revisa la capacidad y el desempe!o actual de los recursos de TI de forma regular, para asegurar que pueda prestar servicios con base en los niveles de servicios acordados? DS% Ca+a#i$a$ - Deem+e,o 5u!uro ¿$a empresa (graria ('ucarera (nda)uasi lleva a cabo un pronóstico de desempe!o y capacidad de los recursos de TI de forma regular, para tratar de minimi'ar el riesgo de interrupciones de servicios? DS%. Di+oni8ili$a$ $e Re#uro $e TI ¿$a empresa (graria ('ucarera (nda)uasi brinda la capacidad y desempe!o requeridos para estar al nivel requerido de servicio? DS%/ 3oni!oreo - Re+or!e ¿$a empresa (graria ('ucarera (nda)uasi monitorea constantemente el desempe!o y la capacidad de los recursos de TI? DS. >aran!izar la #on!inui$a$ $el er*i#io DS.%1 3ar#o $e Tra8a6o $e Con!inui$a$ $e TI ¿$a empresa (graria ('ucarera (nda)uasi cuenta con un marco de trabajo de continuidad de TI que de soporte a la infraestructura organi'acional y a
0á. 9
los planes de contingencias? DS.% Plane $e Con!inui$a$ $e TI ¿$a empresa (graria ('ucarera (nda)uasi cuenta con planes de continuidad de TI basados en el marco de trabajo y que consideren los requerimientos de resistencia, procesamiento alternativo y capacidad de recuperación de todos los servicios cr*ticos de TI? DS.% Re#uro Cr=!i#o $e TI ¿$a empresa (graria ('ucarera (nda)uasi pone "nfasis en los puntos m#s cr*ticos del plan de continuidad de TI y la alineación de estas al negocio? DS.%. 3an!enimien!o $el Plan $e Con!inui$a$ $e TI ¿$a gerencia de TI de $a empresa (graria ('ucarera (nda)uasi tiene definido y actualmente ejecutando los procedimientos de control de cambios? DS.%/ Prue8a $el Plan $e Con!inui$a$ $e TI ¿Se reali'an pruebas al plan de continuidad de TI de forma constante en $a empresa (graria ('ucarera (nda)uasi? DS.% En!renamien!o $el Plan $e Con!inui$a$ $e TI ¿$as partes involucradas en el plan de continuidad de TI reciben sesiones de )abilitación de forma constante respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre? DS.%9 Di!ri8u#i&n $el Plan Con!inui$a$ $e TI ¿(ctualmente en $a empresa (graria ('ucarera (nda)uasi existe una estrategia de distribución definida para asegurar que los planes se distribuyan de manera apropiada y segura y que est"n siempre disponibles cuando se requiera? DS.% Re#u+era#i&n - Reanu$a#i&n $e lo Ser*i#io $e TI ¿-urante el per*odo de recuperación de TI, se tienen activados sitios de respaldo, se reali'an procesamientos alternativos, se les comunica a los cliente o terceros o se reali'an procedimientos de reanudación? DS.%; Alma#enamien!o $e Re+al$o 5uera $e la In!ala#ione ¿Se tienen almacenados fuera de las instalaciones, los medios de respaldo, documentación y otros recursos de TI cr*ticos, necesarios para la recuperación de TI y planes de continuidad del negocio? DS.%1< Re*ii&n Po! Reanu$a#i&n ¿$a 6erencia de TI )a establecido procedimientos para valorar lo adecuado del plan y actuali'ar el plan si as* lo requiere?
0á.
DS/ >aran!izar la eguri$a$ $e lo i!ema DS/%1% A$mini!ra#i&n $e la Seguri$a$ $e TI ¿$a empresa (graria ('ucarera (nda)uasi administra la seguridad de TI? DS/%% Plan $e Seguri$a$ $e TI ¿$a empresa (graria ('ucarera (nda)uasi cuenta con un plan de seguridad de TI? DS/%% A$mini!ra#i&n $e I$en!i$a$ ¿Existen mecanismos y procedimientos que aseguren que el usuario se autentique antes de utili'ar las funciones del sistema para la obtención de la información? DS/%.% A$mini!ra#i&n $e Cuen!a $el Uuario ¿Se lleva a cabo una debida administración de cuentas de usuario por parte del administrador de usuarios basado en procedimientos establecidos? DS/%/% Prue8a7 'igilan#ia - 3oni!oreo $e la Seguri$a$ ¿Se lleva a cabo un adecuado monitoreo de la seguridad de TI en $a empresa (graria ('ucarera (nda)uasi, con la finalidad de garanti'ar un nivel de seguridad adecuado? DS/%% Defini#i&n $e In#i$en!e $e Seguri$a$ ¿$os incidentes que puedan ocurrir est#n definidos y clasificados con la finalidad de que puedan ser tratados de la mejor manera? DS/%9% Pro!e##i&n $e la Te#nolog=a $e Seguri$a$ ¿Se utili'a tecnolog*a para la protección de seguridad de la información de $a empresa (graria ('ucarera (nda)uasi? y en caso de que exista ¿1u" medidas se toman para proteger dic)a tecnolog*a? DS/%% A$mini!ra#i&n $e la*e Cri+!ogr0fi#a ¿$a empresa (graria ('ucarera (nda)uasi administra el uso llaves criptogr#ficas con la finalidad de protegerlas de modificaciones y divulgaciones no autori'adas? DS/%;% Pre*en#i&n7 De!e##i&n - Corre##i&n $e Sof!@are 3ali#ioo ¿Se utili'an antivirus u otro soft4are relacionada a la neutrali'ación de soft4are malicioso? DS/%1<% Seguri$a$ $e la Re$ ¿1u" medidas de seguridad en la red .fire4all, dispositivos de seguridad, segmentación de la red/ se toman actualmente para proteger el flujo de información en la misma? DS/%11% In!er#am8io $e Da!o Seni!i*o ¿$os datos sensibles se intercambian a trav"s de medios seguros para asegurar la autenticidad de la información? DS I$en!ifi#ar - aignar #o!o
0á. /
DS%1% Defini#i&n $e Ser*i#io ¿Se tienen identificados los costos de TI y su relación con los servicios de TI? DS%% Con!a8iliza#i&n $e TI ¿$a asignación de costos de TI se reali'a tomando en cuenta la relación que tienen estos con los servicios TI y en base a un modelo de costos establecido? DS%% 3o$ela#i&n $e Co!o - Cargo ¿El modelo de costos garanti'a un uso adecuado de recursos? DS%.% 3an!enimien!o $el 3o$elo $e Co!o ¿El modelo de costos se revisa y compara de forma regular con la finalidad de acreditar la relevancia para el negocio y actividades de TI? DS9 E$u#ar - en!renar a lo uuario DS9%1% I$en!ifi#a#i&n $e Ne#ei$a$e $e En!renamien!o - E$u#a#i&n ¿Se reali'an la planificación y actuali'ación periódica de programas de entrenamiento al personal con la finalidad de lograr que cumplan con los objetivos del negocio y a la ve' sean capacitados en el uso de TI? DS9%% Im+ar!i#i&n $e En!renamien!o - E$u#a#i&n ¿Se identifican a los grupos para el entrenamiento, a los instructores, y se lleva un registro de asistencias y evaluaciones de dic)os eventos? DS9%% E*alua#i&n $el En!renamien!o Re#i8i$o ¿Se anali'an los resultados obtenidos en los programas de entrenamiento con la finalidad de que sirvan como base para la elaboración de programas posteriores? DS A$mini!rar la mea $e er*i#io - lo in#i$en!e DS%1% 3ea $e Ser*i#io ¿Se reali'an la planificación y actuali'ación periódica de programas de entrenamiento al personal con la finalidad de lograr que cumplan con los objetivos del negocio y a la ve' sean capacitados en el uso de TI? DS%% Regi!ro $e Conul!a $e Clien!e ¿Se identifican a los grupos para el entrenamiento, a los instructores, y se lleva un registro de asistencias y evaluaciones de dic)os eventos? DS%% E#alamien!o $e In#i$en!e ¿Se anali'an los resultados obtenidos en los programas de entrenamiento con la finalidad de que sirvan como base para la elaboración de programas posteriores? DS%.% Cierre $e In#i$en!e ¿Se anali'an los resultados obtenidos en los
0á. ;
programas de entrenamiento con la finalidad de que sirvan como base para la elaboración de programas posteriores? DS%/% An0lii $e Ten$en#ia ¿Se emiten reportes a la gerencia con la finalidad de mostrar el desempe!o obtenido mediante los servicios y sus tiempos de respuesta, as* como tambi"n las incidencias que se )ayan presentado? DS; A$mini!rar la #onfigura#i&n DS;%1% Re+oi!orio - =nea Bae $e Configura#i&n ¿Existen )erramientas de soporte y un centro de almacenamiento que contenga la información relevante sobre los activos o elementos de configuración? DS;%% I$en!ifi#a#i&n - 3an!enimien!o $e Elemen!o $e Configura#i&n ¿Existen procedimientos de configuración para dar soporte y gestionar los cambios al repositorio de configuración? DS;%% Re*ii&n $e In!egri$a$ $e la Configura#i&n ¿Se reali'an revisiones periódicas de los datos de configuración para verificar y confirmar la integridad de la configuración actual e )istórica, a la ve' se revisan las aplicaciones soft4are instalados con la finalidad de evitar malas configuraciones en ellos? DS1< A$mini!rar lo +ro8lema DS1<%1% I$en!ifi#a#i&n - Claifi#a#i&n $e Pro8lema ¿Se identifican los problemas tomando en cuenta la categor*a, impacto, urgencia y prioridad de estos, como su relación con los elementos relacionados con los mismos? DS1<%% Ra!reo - Reolu#i&n $e Pro8lema ¿Se consideran pistas de auditoria para poder rastrear, anali'ar y determinar las posibles causas de problemas que puedan reportarse? DS1<%% Cierre $e Pro8lema ¿Se dispone de procedimientos para el cierre de registro de problemas ya sea luego de resolver el error o tambi"n de acordar con el negocio como se manejara dic)o problema? DS1<%.% In!egra#i&n $e la A$mini!ra#ione $e Cam8io7 Configura#i&n Pro8lema ¿$a administración de los problemas est# integrada con la administración de cambios y configuración? DS11 A$mini!rar lo Da!o DS11%1% Re2uerimien!o $el Nego#io +ara A$mini!ra#i&n $e Da!o ¿ara cada proceso solo se procesan los datos necesarios y los resultados obtenidos se obtienen
0á. <
de forma precisa y oportuna? DS11%% A#uer$o $e Alma#enamien!o - Coner*a#i&n ¿Se tienen definidos procedimientos para arc)ivar, almacenar y retener los datos de forma efectiva y eficiente? DS11%% Si!ema $e A$mini!ra#i&n $e i8rer=a $e 3e$io ¿Se tienen definidos e implementados procedimientos para mantener un inventario de medios almacenados para asegurar la usabilidad e integridad? DS11%.% Elimina#i&n ¿Existen procedimientos de eliminación, transferencias de datos y+o )ard4are que sirvan para la protección de datos sensibles? DS11%/% Re+al$o - Re!aura#i&n ¿Existe un plan de continuidad de negocio que respalde los sistemas, aplicaciones, los datos y documentación en l*nea? DS11%% Re2uerimien!o $e Seguri$a$ +ara la A$mini!ra#i&n $e Da!o ¿Existen pol*ticas de seguridad aplicables a la recepción, procesamiento, almacenamiento y salida de los datos? DS1 A$mini!rar el am8ien!e f=i#o DS1%1% Sele##i&n - Die,o $el Cen!ro $e Da!o ¿Existe un centro de datos que tome en cuenta el riesgo asociado con desastres naturales y causados por el )ombre? DS1%% 3e$i$a $e Seguri$a$ 5=i#a ¿Existen medidas de seguridad alineadas con los requerimientos del negocio? DS1%% A##eo 5=i#o ¿Existe una administración de acceso a las #reas de acuerdo con las necesidades del negocio? DS1%.% Pro!e##i&n Con!ra 5a#!ore Am8ien!ale ¿Se )a implementado medidas de protección contra factores ambientales? DS1%/% A$mini!ra#i&n $e In!ala#ione 5=i#a ¿Se administra las instalaciones f*sicas de acuerdo con las leyes y los reglamentos, los requerimientos t"cnicos y del negocio? DS1 A$mini!rar la o+era#ione DS1%1% Pro#e$imien!o e In!ru##ione $e O+era#i&n ¿Existe procedimiento est#ndar para operaciones de TI que garantice que el personal de operaciones est" familiari'ado con todas las tareas de operación?
0á. =
DS1%% Programa#i&n $e Tarea ¿Emplea un programa de trabajos que maximice el desempe!o para cumplir con los requerimientos del negocio? DS1%% 3oni!oreo $e la Infrae!ru#!ura $e TI ¿Se monitorea la infraestructura de TI y los eventos relacionados? DS1%.% Do#umen!o Seni!i*o - Di+oi!i*o $e Sali$a ¿Se da una administración de inventarios adecuado sobre los activos de TI m#s sensitivos? DS1%/% 3an!enimien!o Pre*en!i*o $el ?ar$@are ¿Existe procedimientos para garanti'ar el mantenimiento oportuno del a infraestructura de TI para as* disminuir el impacto de las fallas o el desempe!o? Dominio <.: 3oni!orear - E*aluar (3E) 3E1 3oni!orear - E*aluar el Deem+e,o $e TI 3E1%1% Enfo2ue $el 3oni!oreo ¿Existe en $a empresa (graria ('ucarera (nda)uasi un marco de trabajo que le permita monitorear la contribución de TI al negocio? 3E1%% Defini#i&n - Re#ole##i&n $e Da!o $e 3oni!oreo ¿Existen procesos dentro de $a empresa (graria ('ucarera (nda)uasi para la recolección de información precisa, que permita medir los objetivos y poder compararlos con las metas? 3E1%% 3"!o$o $e 3oni!oreo ¿En la empresa el proceso de monitoreo tiene a fin un m"todo que mida el desempe!o importancia de TI en la organi'ación? 3E1%.% E*alua#i&n $el Deem+e,o ¿Se evala periódicamente el desempe!o de $a empresa (graria ('ucarera (nda)uasi con respecto a las metas? 3E1%/% Re+or!e al Cone6o Dire#!i*o - a E6e#u!i*o ¿$a empresa (graria ('ucarera (nda)uasi reali'a reportes administrativos sobre el avance de la organi'ación )acia metas identificadas e identifica las desviaciones? 3E1%% A##ione Corre#!i*a ¿$a empresa (graria ('ucarera (nda)uasi identifica medidas correctivas basadas en el monitoreo y aplica estas medidas? 3E 3oni!orear - E*aluar el Con!rol In!erno 3E%1% 3oni!oriza#i&n $el 3ar#o $e Tra8a6o $e Con!rol In!erno ¿Existe un ambiente adecuado para reali'ar el control de Ti que permita monitorear de forma continua y as* cumplir los objetivos de $a empresa
0á. >
(graria ('ucarera (nda)uasi? 3E%% Re*iione $e Au$i!or=a ¿Se evala la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI? 3E%% E4#e+#ione $e Con!rol ¿Existen excepciones de control y se reportan a los interesados? 3E%.% Con!rol $e Au!o E*alua#i&n ¿Existe un programa de continuo de auto7 evolución que evalu" la completitud y efectividad de los controles de gerencia sobre los procesos, pol*ticas y contratos de TI? 3E%/% Aeguramien!o $el Con!rol In!erno ¿Existe una revisión de terceros de los controles internos? 3E%% Con!rol In!erno +ara Ter#ero ¿$a empresa (graria ('ucarera (nda)uasi evala el estado de los controles internos para servicios externos .proveedor/? 3E%9% A##ione Corre#!i*a ¿En los controles de evaluación y los informes se identifican e implementan acciones correctivas? 3E >aran!izar el Cum+limien!o Regula!orio 3E%1% I$en!ifi#ar lo Re2uerimien!o $e la e-e7 Regula#ione Cum+limien!o Con!ra#!uale ¿$a empresa (graria ('ucarera (nda)uasi tiene una base continua que permite identificar requerimientos externos que deben cumplir para incorporar en las pol*ticas y metodolog*as de TI de $a empresa (graria ('ucarera (nda)uasi? 3E%% O+!imizar la Re+ue!a a Re2uerimien!o E4!erno ¿Se revisa y ajusta las pol*ticas, est#ndares y metodolog*as de TI para garanti'ar los requisitos legales y regulatorios? 3E%% E*alua#i&n $el Cum+limien!o #on Re2uerimien!o E4!erno ¿Existe una evaluación del cumplimiento con requerimientos externos? 3E%.% Aeguramien!o Poi!i*o $el Cum+limien!o ¿Se toma acciones correctivas de forma oportuna para resolver cualquier brec)a de cumplimiento del proceso? 3E%/% Re+or!e In!egra$o ¿$a empresa (graria ('ucarera (nda)uasi integra los reportes de TI sobre requerimientos legales, regulatorios contractuales con las salidas similares provenientes de otras funciones del negocio? 3E. Pro+or#ionar >o8ierno $e TI 3E.%1% E!a8le#imien!o $e un 3ar#o $e >o8ierno $e TI
0á. ,-
¿Existe un marco de gobierno de TI que proporcione una visión completa de control y gobierno corporativo que asegure el cumplimiento leyes y regulaciones? 3E.%% Alineamien!o E!ra!"gi#o ¿En la organi'ación )ay un comit" estrat"gico de TI encargado de brindar orientación estrat"gica a la gerencia respecto a TI, y que facilite la alineación de TI con el negocio? 3E.%% En!rega $e 'alor ¿$os activos de TI apoyan las estrategias y los objetivos de $a empresa (graria ('ucarera (nda)uasi, y los resultados de las inversiones son las esperadas? 3E.%.% A$mini!ra#i&n $e Re#uro ¿Existe una evaluación periódica )acia los activos de TI para asegurar que siempre est"n alineados con los objetivos estrat"gicos de $a empresa (graria ('ucarera (nda)uasi? 3E.%/% A$mini!ra#i&n $e Riego ¿$a empresa (graria ('ucarera (nda)uasi que tipo de metodolog*a utili'a para definir nivel de riesgo? 3E.%% 3e$i#i&n $el Deem+e,o ¿$a empresa (graria ('ucarera (nda)uasi revisa el progreso )acia las metas identificadas bas#ndose en el desempe!o de las TI? 3E.%9% Aeguramien!o In$e+en$ien!e ¿Existen medidas que garanticen de forma independiente la conformidad de TI con la legislación y la regulación relevante?
0á. ,