Apo DSS

ECUACOPIA CIA. LTDA.
ProgA
AUDITORIA INFORMÁTICA
Del 01 de enero al 31 de diciembre 2016
PROGRAMA DE AUDITORIA
DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
Protección de información con firewall Sophos

PROCESO RELACIONADO CON TI
para software.
NOMBRE DEL SUBPROCESO
AP012 GESTIONAR EL RIESGO
GERENCIA RESPONSABLE DEL
GESTOR DE TI
PROCESO
DESCRIPCIÓN DEL PROCESO
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles
de tolerancia establecidos por la dirección ejecutiva de la empresa.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos
empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales
relacionados con TI.
OBJETIVO DEL PROCESO
4. Las acciones de gestión de riesgos están efectivamente implementados.
RESPONSABLE
 Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
ENTRADAS DEL PROCESO
Revisión de eficiencia de firewall Sophos en el sistema de la empresa.
ACTIVIDADES DEL PROCESO
1. Revisar políticas de TI
2. Verificar puertos en el sistema
3. Informar el funcionamiento del firewall
4. Revisar la eficiencia de firewall Sophos
5. Extraer comandos de pc’s
6. Verificar comandos maliciosos
7. Ejecutar firewall
SALIDAS DEL PROCESO
 Elaboración de informe a la Gerencia de TI de funcionamiento de Firewall Sophos.
INDICADOR DE ÉXITO
- Numero de servicios de TI con los requisitos de seguridad pendientes.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. ProgA
APO12 GESTIONAR EL RIESGO
SISTEMA SEGURIDAD
Inicio
Inicio
Revisar
Revisar
políticas
políticas de
de
TI
TI
Gestor de Proyectos
Verificar
Verificar puertos
puertos
del
del sistema
sistema
Informar
Informar el
el
funcionamiento
funcionamiento dede
Firewall
Firewall Sophos
Sophos
Revisar
Revisar la
la eficiencia
eficiencia
FIREWALL
FIREWALL
SOPHOS
SOPHOS
Extraer
Extraer NO
comandos
comandos de
de
PC’s
PC’s
Comandos
Comandos
maliciosos
maliciosos
SI
Analista TI
Eliminar
Eliminar comandos
comandos
maliciosos
maliciosos
Ejecutar
Ejecutar Firewall
Firewall
Elaborar
Elaborar informe
informe
FIN
FIN

APO12 GESTIONAR EL RIESGO
GESTOR DE PROYECTOS DE TI (REDES)
ANALISTA DE TI (REDES)
MATRIZ RACI
No. ACTIVIDADES - -
1 Revisar políticas de TI R
2 Verificar puertos en el sistema R C
3 Informar el funcionamiento del firewall R C
4 Revisar la eficiencia de firewall Sophos R
5 Extraer comandos de pc’s R
6 Verificar comandos maliciosos R
7 Ejecutar firewall R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

MÉTRICAS RELACIONADAS
DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

PROCESO AP012 GESTIONAR EL RIESGO
METAS TI MÉTRICAS RELACIONADAS INDICADOR Porcentaje
10. Seguridad de la información,
Numero de servicios de TI con los requisitos No. De requerimientos atendidos con firewall X 100 1 X 100
infraestructura de procesamiento y No. Requerimientos solicitados con firewall 17%
aplicaciones de seguridad pendientes. 12
MATRIZ DE NIVEL DE CAPACIDAD

INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
PORCENTAJE El proceso no se El proceso realizado se El proceso gestionado El proceso

El proceso logra El proceso definido
encuentra implementado implementa de manera se implementa de predecible se mejora
su propósito opera en los límites
o no logra el propósito gestionada manera definitiva continuamente
PROCESO
DOMINIO 0 1 2 3 4 5
APO12 Gestionar el Riesgo 17% 17%

CONCLUSIÓN Y RECOMENDACIÓN
AP012 GESTIONAR EL RIESGO
Protección de información con firewall Sophos para software.
Condición:
No se llevó a cabo la actualización del Firewall Shopos por esta situación se presentó
fallas el en 1 pc. Llevando hasta la encriptación de la información de la misma
Criterio:
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
Conclusión:
1. Al revisar y analizar la eficiencia del firewall Sophos en el sistema TI, identificó
incidentes en evaluaciones y procesos específicamente en software e Internet por
ello se llevó a cabo el control al acceso de la información con la finalidad de
monitorear el tráfico en internet, acceso a correos electrónicos y descargas no
permitidas en ECUACOPIA CIA. LTDA. con (contrafuegos) Firewall Sophos
adquirido por la empresa.
Recomendación:
1. Integrar a todas las pc’s con firewall para reducir los del incidente en Software
e internet.
2. Verificar constantemente la eficiencia de Firewall, para evitar malware, virus
informáticos y riesgos de perdida de información en los sistemas de
3. Asegurar que la información de los medios electrónicos, puestos USB y otros
dispositivos de entrada externos.

DOMINIO ALINEAR, PLANIFICAR Y

ORGANIZAR
PROCESO RELACIONADO CON TI Respaldos de información

APO13 GESTIONAR LA SEGURIDAD

INFORMÁTICA
PROCESO
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Entregar los respaldos de información requeridos por el servicio operativo de TI, según lo
planificado.
Garantizar y salvaguardar la recuperación de toda la información relevante de la organización
que ha sido generada en los servidores, en caso de que haya sido eliminada, dañada o alterada
al presentarse alguna contingencia.
RESPONSABLE
Gerencia Ténica, Seguridad informática.
Información guardada en los computadores.
1. Se determina e identifica la información que se va a respaldar en los equipos de las diferentes áreas.
2. Obtener una autorización de la gerencia técnica para operar, implementar y operar el sistema de
seguridad de información.
3. Se define un sistema de seguridad de información de acuerdo con la política de la empresa.
4. Alinear el sistema de seguridad de la información con el enfoque global de la gestión de la seguridad
de la empresa.
5. Prepara una declaración de la información que será respaldada.
6. Verifica la información para las copias de restauración.
7. Si el archivo del servidor indica un error se realiza una copia por segunda vez.
8. Se graba las copias de respaldos de acuerdo a las políticas, en un dispositivo de almacenamiento.
9. Se almacena la copia y para el caso de ser magnético se marca con la fecha respectiva, usuario y
nombre del equipo.
10. Comunicar el enfoque del sistema de seguridad de la información.
SALIDAS DEL PROCESO
 Respaldos de información disponible para su recuperación.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con la seguridad.

GERENTE DE TI (DESARROLLO)
COORDINADOR DE TI (REDES)
MATRIZ RACI
No. ACTIVIDADES
Se determina e identifica la información que se va a respaldar
1 en los equipos de las diferentes áreas. A
Obtener una autorización de la gerencia técnica para operar,
2 implementar y operar el sistema de seguridad de información. C R
Se define un sistema de seguridad de información de acuerdo con
3 la política de la empresa.
C R
Alinear el sistema de seguridad de la información con el enfoque
4 global de la gestión de la seguridad de la empresa.
C R
5 Prepara una declaración de la información que será respaldada. C R
6 Verifica la información para las copias de restauración. C
Si el archivo del servidor indica un error se realiza una copia por
7 segunda vez.
C R
Se graba las copias de respaldos de acuerdo a las políticas, en un
8 dispositivo de almacenamiento.
C R
Se almacena la copia y para el caso de ser magnético se marca con
9 la fecha respectiva, usuario y nombre del equipo. C
Comunicar el enfoque del sistema de seguridad de la información.
10 C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

APO 13 GESTIONAR LA SEGURIDAD

GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Identificar archivos de
respaldo
Autorización
Definición de sistema de
seguridad
COORDINADOR DE TI
Alineación del sistema
Recibe el enfoque de Declaración de información NO

seguridad
Verificar copias de
restauración
Aprueba
¿Existe error de
FIN
información?
SI
Grabar Copias
Almacena Copias
ANALISTA DE TI
Comunicar el enfoque del

sistema


PROCESO: APO13 Gestionar la Seguridad
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
Disponibilidad de
Nivel de satisfacción de los usuarios del negocio y Número de respaldos realizados
información útil y relevante
52
0,14%
para la toma de decisiones disponibilidad de la información de gestión. Número de respaldos solicitados
354

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada
DOMINIO
APO 13 Gestionar la Seguridad 0,14% 0,14%

APO13 RESPALDO DE INFORMACIÓN
Respaldos de información
Condición:
Se evidencio que no existe un adecuado control en la toma de copias de seguridad y
un almacenamiento seguro, existe almacenamiento en discos duros externos, sin las
medidas físicas y de seguridad. Tampoco se evidenció alertas automáticas de éxito o
fallo de las copias tomadas, así como no se realiza pruebas sobre toda la información
capturada por componente.
Criterio:
Definir, operar y supervisar un sistema para la gestión de la seguridad de la
información.
Conclusión:
De acuerdo a lo establecido en manual de políticas y lineamiento del Uso de Tecnología
Informática se establece que se debe de realizar respaldos de información de forma
diaria es decir los 354 días laborables del año, se observó que la compañía incumple
esta política y solo se realiza de manera mensual es decir 12 veces año, es por eso que
han generado problemas en los respaldos de información dentro de la organización.
Además la información es guardada por cada uno de los departamentos en discos duros
externos y no se manejan el sistema de seguridad de información por la nube.
Recomendación:
 Mantener tres copias del archivo: la original y dos respaldos. Esto disminuirá la
probabilidad de perder información por tener unidades dañadas por malware o
problema físico.
 Los empleados deben de cumplir las políticas acordadas en los manuales debido a
que existe un alto riesgo de pérdida de información.
 Deberá tener un almacenamiento de los Backups en centros adecuados con
seguridad física y ambiental.
 Mantener una de las copias “fuera de sitio” (offsite), es decir, en un lugar físico
distinto al lugar de trabajo (casa, taller, bodega, caja fuerte, etc.). Si por algún
motivo la contingencia es mayor, por ejemplo, un sismo o un incendio y se daña o
se destruye por completo el equipo de cómputo, al menos existirá en algún otro
lugar la información respaldada, y podrá ser recuperada.
 Realizar pruebas periódicas sobre cada componente copiado.
DOMINIO CONSTRUIR, ADQUIRIR E

IMPLEMENTAR
Requerimiento de hardware
META TI
(Infraestructura TI).
NOMBRE DEL SUBPROCESO BAI02 GESTIONAR LA DEFINICIÓN
DE REQUISITOS.
GERENCIA DE TI
PROCESO
Identificar soluciones y analizar requerimientos antes de la adquisición o creación para
asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren
los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Coordinar con las partes relacionadas afectadas la revisión de las opciones viables, incluyendo
costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y
soluciones propuestas.
Crear soluciones viables y óptimas que cumplan con las necesidades de la organización
mientras minimizan el riesgo.
(01) Los requerimientos funcionales y técnicos del negocio reflejan las necesidades y
expectativas de la empresa.
RESPONSABLE
Gerencia de TI, Gestor de Proyectos, Coordinador interno de TI.
Solicitudes de requerimiento del hardware.
1. Recepción de solicitudes de requerimiento de Hardware.
2. Análisis de las solicitudes requerimiento de Hardware.
3. Gestionar los riesgos de los requerimientos.
4. Estudiar la viabilidad para la adquisición
5. Elección del hardware.
6. Aprobación de la solicitud.
7. Compra de los hardware.
SALIDAS DEL PROCESO
 Aprobación del requerimiento de hardware por las partes interesadas.
 Compra de los hardware.
INDICADOR DE ÉXITO
- Nivel de satisfacción de las partes interesadas con los requerimientos.

BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
GERENCIA TI PROYECTOS COORDINACIÓN
Inicio
Recepción de
Gerente TI
solicitudes de
Hardware
Solicitudes
Análisis de las
solicitudes
Hardware
Gestionar los
riesgos de los
requerimientos
Estudiar la
viabilidad para
la adquisición
Gestor de Proyectos
Elección de los
Hardware
NO
Aprobación de
la solicitud
¿Aprueba? SI
NO
FIN
Solicitud
aprobada
Coordinandor TI interno
¿Si esta
correcta?
SI
Compra de los
hardware
FIN

Gestor de Proyectos
Coordinador de TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES CIO -

1 Recepción de solicitudes de requerimiento de Hardware. A I C
2 Análisis de las solicitudes requerimiento de Hardware. C R
3 Gestionar los riesgos de los requerimientos. C R I
4 Estudiar la viabilidad para la adquisición C R I
5 Elección del hardware. C R
6 Aprobación de la solicitud. A R C
7 Compra de los hardware C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTAR
I INFORMA

DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR

BAI 02 GESTIONAR LA DEFINICIÓN DE
PROCESO: REQUISITOS.
(07) Entrega de servicios de 1
(03) Porcentaje de usuarios satisfechos con la calidad No. de usuarios satisfechos
TI de acuerdo a los
de los servicios de TI entregados. Total de usuarios que solicitaron el hardware 16,67%
requisitos del negocio. 6

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
DOMINIO 0 1 2 3 4 5
BAI 03 Gestionar la definición de requisitos. 16,67% 16,67%

BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
Requerimiento de hardware (Infraestructura TI).
Condición
Hay hardware obsoleto y depreciado que ya no tienen un funcionamiento los cuales
requieren ser remplazados por otros nuevos que cumplan la función que la empresa
requiera.
Criterio
Identificar soluciones y analizar requerimientos antes de la adquisición para asegurar
que estén en línea con los requerimientos estratégicos de la organización y que cubren
los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Coordinar con las partes relacionadas afectadas la revisión de las opciones viables,
incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los
requerimientos y soluciones propuestas.
Conclusión:
Al responder a los 6 requerimientos de hardware se observa que el 16.67% equivalente
a una persona se encuentra satisfecha con su nuevo equipo, debido que al adquirir,
instalar y utilizar los mismos no responden a las necesidades de la empresa, es por ello
que ahí insatisfacción por partes de los usuarios en los nuevos equipos adquirido.
Recomendación:
Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice un plan de
mantenimiento, supervisión y actualización de las aplicaciones que usa la empresa para
una buena eficaz y eficiente gestión en la empresa, además que se informe al inmediato
superior cada trimestre en reuniones de juntas la eficiencia y eficaz de los mismos, con
el fin de que se puedan tomar decisiones de mejora en los hardware.

DOMINIO
OPERACIÓN SERVICIO Y SOPORTE
PROCESO RELACIONADO CON TI Mantenimiento De Equipos Informáticos
NOMBRE DEL SUBPROCESO DSS02 GESTIONAR PETICIONES E

INCIDENTES DE SERVICIO
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el
servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver
incidentes.
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de
consultas de usuarios e incidentes

Los servicios relacionados con TI están disponibles para ser utilizados
RESPONSABLE
Usuario, Gerente de TI, Coordinador de TI, Analista TI
Equipos informáticos con daños y fallos

1. Registro de incidencia en el Sistema para genera un ticket de mantenimiento
2. asigna responsable para el mantenimiento y envió de notificación
3. Verifica si el equipo tiene garantía
4. Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI
5. Buscar y analizar la solución
6. Aplicar y realizar pruebas de verificación
7. Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI
8. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
SALIDAS DEL PROCESO
 Equipo de cómputo reparado
INDICADOR DE ÉXITO
- Equipos de cómputo en buen funcionamiento

AUDITORIA INFORMÁTICA ProgA
Del 01 de enero al 31 de diciembre
2016
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)
DESARROLLO SISTEMA OPERACIONES
Inicio
GERENTE TI
Registro de incidencia
en el Sistema
Generar ticket de
mantenimiento
Asignación de
responsable y
envió de
notificación
Verifica si el
quipo tiene
garantía
Esta en
SI
garantía?
NO
Envío notificación
Buscar y analizar
la solución
Analista TI
Efectiviza la
garantía
Aplicar y realizar
pruebas de
verificación
SI
Fin
Genera reporte de
Resultados
mantenimiento y
satisfechos ?
envió notificación
Cierre de ticket
Fin

MATRIZ RACI
No. ACTIVIDADES
1 Registro de incidencia en el Sistema para genera un ticket de mantenimiento A R
2 asigna responsable para el mantenimiento R
3 Verifica si el equipo tiene garantía C R
Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de
4 TI A R
5 Buscar y analizar la solución C R
6 Aplicar y realizar pruebas de verificación C R
Si el equipo es reparado genera un reporte de mantenimiento y notifica al
7 coordinador de TI R
Cerrar ticket en Sistema de Registro de Requerimientos ingresando el
8 motivo de cierre. A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE

PROCESO: DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Entrega de servicios de TI de acuerdo a los Porcentaje de las partes interesadas satisfechas con el cumplimiento del 𝒏º𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒂𝒍𝒊𝒛𝒂𝒅𝒐𝒔 𝒂𝒍 𝒂ñ𝒐 1
17%
requisitos de negocio servicio de TI entregado respecto a los niveles de servicio acordado 12
𝑵ª 𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒑𝒍𝒂𝒏𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝒂𝒏𝒖𝒂𝒍𝒆𝒔

INCOMPLET EJECUTAD ESTABLECID PREDECIBL OPTIMIZAD
GESTIONADO
NIVELES O O O E O
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso El proceso
PORCENTAJ El proceso
encuentra El proceso realizado se gestionado se El proceso
E predecible se
implementado o logra su implementa de implementa de definido opera
mejora
no logra el propósito manera manera en los límites
continuamente
PROCESO propósito gestionada definitiva
DOMINIO 0 1 2 3 4 5
GESTIONAR PETICIONES E INCIDENTES
DSS02 17%
DE SERVICIO 17%

DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Mantenimiento De Equipos Informáticos
Condición
De acuerdo a las planificaciones establecidas los mantenimientos a los equipos
informáticos se los debe realizar mensualmente y se los debe registrar en el sistema de
requerimiento como constancia de cada actividad realizada.
Criterio
Realizar una planificación de mantenimientos mensualmente para cada área llevar un
registro adicional de todos los equipos para la solución de problemas en caso q sea
necesario.
Conclusión:
Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas

por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los
mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el
sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año
produciendo aumento de daños en los equipos dejando varios equipos sin
funcionamiento o concluida su vida útil
Recomendación:
1. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo

planificado para satisfacer las necesidades de los usuarios
2. Definir e implementar procedimientos para garantizar el mantenimiento oportuno

DOMINIO
PROCESO RELACIONADO CON TI Soporte De Usuarios Internos

DSS03 GESTIONAR LOS PROBLEMAS

Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes recurrentes.
Proporcionar recomendaciones de mejora.
Mejorar los niveles de servicio, reducir costes y mejorar la comodidad para la satisfacción del cliente
reduciendo el número de problemas

Garantizar que problemas relativos a TI sean resueltos de forma que no vuelvan a suceder
RESPONSABLES
gerente de TI, coordinador de TI analista TI
Solicitudes de requerimientos de soporte
8. Registrar solicitud de soporte en el Sistema de Registro de Requerimientos
seleccionando el TIPO DE REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
9. El Sistema de Registro de Requerimientos genera un ticket de soporte y envía notificación
al mail del usuario.
10. Identificación del problema
11. Direcciona el responsable
12. Analizar requerimiento y validar la información
15. Cerrar ticket en Sistema y envió de notificación al usuarios
SALIDAS DEL PROCESO
 Solicitudes resueltos
INDICADOR DE ÉXITO
- Número de requerimientos atendidos y mostrados en el reporte de Sistema Requerimientos.

2016
DSS03 GESTIONAR PROBLEMAS ( SOPORTE USUARIOS INTERNOS)
DESARROLLO REGISTRO OPERACIONES
Inicio
Registra solicitud
GERENTE TI
de soporte sist. RR
Generar ticket de
solicitud de soporte
Identificación de
problema
direccionar a
responsable
Analiza
requerimiento y
valida informacion
Busca y analiza
solución
NO
Aplica solución
Analista TI
Realiza pruebas de
verificación
SI
Registra solución Resultados

en el sistema satisfechos ?
Envío de
Recibe la
notificación al
notificacion de
usuario y cierra
cierre de ticket
ticket
Fin

MATRIZ RACI
No. ACTIVIDADES CIO

Registrar solicitud de soporte en el Sistema de Registro de
Requerimientos seleccionando el TIPO DE REQUERIMIENTO,
1 datos del usuario y del inconveniente presentado, si es el caso el
usuario adjuntará imagen. A C R
El Sistema de Registro de Requerimientos genera un ticket de soporte
2 y envía notificación al mail del usuario. A R
3 Identificación del problema R
4 Direcciona el responsable R
5 Analizar requerimiento y validar la información R
C Buscar y analizar la solución C R
7 Aplicar y realizar pruebas de verificación R
8 Cerrar ticket en Sistema y envió de notificación al usuarios A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA


PROCESO: DSS03 GESTIONAR PROBLEMAS
Entrega de
servicios TI 15
Porcentaje de usuarios satisfechos con la calidad de los 𝒏º 𝒓𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐 𝒂𝒕𝒆𝒏𝒅𝒊𝒅𝒐𝒔
de acuerdo a 𝑵ª 𝒓𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒈𝒊𝒔𝒕𝒓𝒂𝒅𝒐𝒔 𝒆𝒏 𝒆𝒍 𝒔𝒊𝒕𝒆𝒎𝒂
20%
servicios de TI entregados 74
los requisitos
de negocio

GESTIONADO
NIVELES O O O E O
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso
PORCENTAJE encuentra El proceso realizado se gestionado se El proceso
predecible se
mejora
continuamente
DOMINI PROCESO propósito gestionada definitiva
O 0 1 2 3 4 5
DSS03 GESTIONAR PROBLEMAS 20% 20%

DSS03 GESTIONAR PROBLEMAS.
Soporte De Usuarios Internos
Condición
Los requerimientos de soporte de usuario de acuerdo a las políticas se los debe
realizar a través de sistema de requerimientos TI validara la información y establecerá
el soporte necesario
Criterio
los requerimientos registrados en el sistema deben ser revisados contantemente para
brindar una solución oportuna
Conclusión:
El personal de la empresa presentó quejas de soporte técnico que realiza el departamento

de TI, debido a que tardan horas en solucionar los problemas y en algunos casos no han
sido atendidos, generando así demora el cumplimiento de sus actividades. Al llevar
acabo el análisis del proceso de altas y bajas de usuarios identificamos que no existe un
proceso adecuado para gestionar los requerimientos de soporte a los usuarios
Observando que existe tan solo una persona encargada para resolver incidentes que se
presenten en la compañía.
Recomendación:
1. Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice monitorios

preventivos para verificar que los sistemas se encuentren en buen estado.
2. Clasificar adecuadamente los problemas de acuerdo a su prioridad para determinar
su causa raíz y dar una solución oportuna.
3. Realizar los soportes en el menor tiempo posible para evitar paralización de
funciones

DOMINIO
PROCESO RELACIONADO CON TI Mantenimiento de equipos informáticos
NOMBRE DEL SUBPROCESO DSS02 GESTIONAR PETICIONES E

INCIDENTES DE SERVICIO
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el
servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver
incidentes.
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de
consultas de usuarios e incidentes

Los servicios relacionados con TI están disponibles para ser utilizados
RESPONSABLE
Usuario, Gerente de TI (Desarrollo), Coordinador de TI ( analista TI
Equipos informáticos con daños y fallos

9. Registro de incidencia en el Sistema para genera un ticket de mantenimiento
10. asigna responsable para el mantenimiento y envió de notificación
11. Verifica si el equipo tiene garantía
12. Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI
15. Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI
16. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
SALIDAS DEL PROCESO
 Equipo de cómputo reparado
INDICADOR DE ÉXITO
- Equipos de cómputo en buen funcionamiento

2016
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)
DESARROLLO SIST DE REGISTRO DE REQUEIMIENTOS OPERACIONES
Inicio
GERENTE TI
Registro de incidencia
en el Sistema
Generar ticket de
mantenimiento
Asignación de
responsable y
envió de
notificación
Verifica si el
quipo tiene
garantía
Esta en
Envío notificación SI
garantía?
NO
Efectiviza la
garantía Buscar y analizar
la solución
Analista TI
Fin Aplicar y realizar

pruebas de
verificación
Genera reporte de
Resultados
mantenimiento y SI
satisfechos ?
envió notificación
Cierre de ticket
Fin

MATRIZ RACI
No. ACTIVIDADES CIO

Registro de incidencia en el Sistema para genera un
1 ticket de mantenimiento A R
2 asigna responsable para el mantenimiento R
3 Verifica si el equipo tiene garantía C R
Si el equipo tiene garantía hace efectiva la garantía
4 y notifica a Gerencia de TI A R
5 Buscar y analizar la solución C R
6 Aplicar y realizar pruebas de verificación C R
Si el equipo es reparado genera un reporte de
7 mantenimiento y notifica al coordinador de TI R
Cerrar ticket en Sistema de Registro de
8 Requerimientos ingresando el motivo de cierre. A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA


PROCESO: DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
entrega de servicios de TI de acuerdo a los Porcentaje de las partes interesadas satisfechas con el cumplimiento del 𝒏º𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒂𝒍𝒊𝒛𝒂𝒅𝒐𝒔 𝒂𝒍 𝒂ñ𝒐 1
17%
requisitos de negocio servicio de TI entregado respecto a los niveles de servicio acordado 12
𝑵ª 𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒑𝒍𝒂𝒏𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝒂𝒏𝒖𝒂𝒍𝒆𝒔

GESTIONADO
NIVELES O O O E O
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
PORCENTAJ El proceso
encuentra El proceso realizado se gestionado se El proceso
E predecible se
mejora
continuamente
PROCESO propósito gestionada definitiva
DOMINIO 0 1 2 3 4 5
GESTIONAR PETICIONES E INCIDENTES
DSS02 17%
DE SERVICIO 17%

DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Mantenimiento De Equipos Informáticos
Condición
De acuerdo a las planificaciones establecidas los mantenimientos a los equipos
informáticos se los debe realizar mensualmente y se los debe registrar en el sistema
de requerimiento como constancia de cada actividad realizada.
Criterio
Realizar una planificación de mantenimientos mensualmente para cada área llevar un
registro adicional de todos los equipos para la solución de problemas en caso q sea
necesario.
Conclusión:
1. Se realizó un análisis en base a los manuales, políticas y planificaciones

establecidas por la empresa ECUACOPIA CIA. LTDA donde podemos
conocer que los mantenimientos de equipos informáticos no se realizan de
acuerdo a lo planificado, el sistema de requerimientos reporto que se ha
realizado 2 mantenimientos al año produciendo aumento de daños en los
equipos dejando varios equipos sin funcionamiento o concluida su vida útil
2. Recomendación:
3. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo

planificado para satisfacer las necesidades de los usuarios
4. Definir e implementar procedimientos para garantizar el mantenimiento oportuno

DOMINIO
Elaboración de plan de contingencia para

PROCESO RELACIONADO CON TI
pérdida de información.
NOMBRE DEL SUBPROCESO DSS04 GESTIONAR LA

CONTINUIDAD.
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para el
negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un
nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable pata la empresa ante el evento de una interrupción
significativa
3. Las pruebas de continuidad del servicio han verificado la efectividad del plan.
RESPONSABLE
Gerente de TI (Desarrollo), Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
 Elaboración de plan de contingencia para pérdida de información.
1. Definir la política de plan de contingencia y alcance.
2. Mantener una estrategia para recuperar la información.
3. Desarrollar e implementar una respuesta para la información.
4. Ejercitar, probar y revisar el plan.
5. Revisar, mantener y mejorar el plan.
6. Gestionar acuerdos de respaldo.
7. Ejecutar revisiones de información recuperada.
SALIDAS DEL PROCESO
 Probar los resultados de copias de seguridad de datos.
INDICADOR DE ÉXITO
- Porcentaje de proceso de negocios críticos, servicios TI, y programas de negocios
habilitados por las TI cubiertos por evaluaciones de riesgo
- Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados

DSS04 GESTIONAR LA CONTINUIDAD.
COORDINADOR DE TI (SISTEMA)
ANALISTA DE TI (SEGURIDAD)
MATRIZ RACI
No. ACTIVIDADES CIO - -
1 Definir la política de plan de contingencia y alcance. R C

2 Mantener una estrategia para recuperar la información. R C
3 Desarrollar e implementar una respuesta para la información. R C
4 Ejercitar, probar y revisar el plan. R C
5 Revisar, mantener y mejorar el plan. I R
6 Gestionar acuerdos de respaldo. I R
7 Ejecutar revisiones de información recuperada. I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

DSS04 GESTIONAR LA CONTINUIDAD
DESARROLLO GESTION SEGURIDAD
Inicio
Inicio
Definir
Definir políticas
políticas de
de
Plan
Gerente TI
Plan
Alcance
Alcance de
de plan
plan
Estrategia
Estrategia para
para
recuperación
recuperación dede
información
información
Desarrollar
Desarrollar ee
implementar
implementar
respuestas
respuestas
Ejercitar,
Ejercitar, aprobar
aprobar yy
revisar
revisar plan
plan
¿Plan
¿Plan aprueba?
aprueba? SI
NO
FIN
FIN
Revisar,
Revisar, mantener
mantener yy
mejorar
mejorar el
el plan
plan
Gestionar
Gestionar acuerdos
acuerdos
Analista TI
de
de respaldo
respaldo
Ejecutar
Ejecutar revisiones
revisiones
de
de información
información
recuperada
recuperada
Fin

DOMINIO: OPERACIÓN SERVICIO Y SOPORTE

PROCESO DSS04 GESTIONAR LA CONTINUIDAD.
Porcentaje de proceso de negocios críticos,
04 Riesgo de negocio relacionado servicios TI, y programas de negocios
con las TI gestionadas habilitados por las TI cubiertos por No. De tareas en planes ejecutados x100 2 x100
evaluaciones de riesgo Total tareas en planes planteados 10 20%
07 Entrega de servicios TI de
Porcentaje de usuarios satisfechos con la
acuerdo a los requerimientos del No. De usuarios satisfechos x 100 11 x100 15%
calidad de los servicios de TI entregados
negocio Total de usuarios 74
PROMEDIO 17%

NIVELES INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se
PORCENTAJE El proceso realizado El proceso gestionado El proceso definido El proceso
encuentra El proceso logra
se implementa de se implementa de opera en los predecible se mejora
implementado o no su propósito
manera gestionada manera definitiva límites continuamente
logra el propósito
PROCESO
DOMINIO 0 1 2 3 4 5
DSS04 Gestionar la Continuidad 17% 17%

DSS02 GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL
SERVICIO.
Elaboración de plan de contingencia para pérdida de información.

Condición:
Continuar las operaciones para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa o perdida de la información inesperada.
Criterio:
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones en el servicio para la operación continua de sus procesos en la empresa
y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel
aceptable.
Conclusión:
1. Al llevar acabo el análisis del plan de contingencia para la seguridad de
información en el departamento de TI se presenta el riego debido a que la empresa
ECUACOPIA CIA. LTDA., no cuenta con un seguro en caso de ocurrir un siniestro
o algún hecho que puede incurrir en pérdida de información, debido a que la misma
solo se respalda en discos duros externos y cuenta con un Datacenter que será
reubicado.
2. Se han ejecutado únicamente 2 tareas del plan elaborado con 10 actividades anuales
propuestas.
Recomendación:
1. Se recomienda a la empresa que podría adquirir mayor seguridad de su información
al contratar servicios en la nube de carácter privado para el respaldo de la misma.
2. Elaborar planes de contingencia donde señale también planes en caso de siniestros.
3. Incrementar el presupuesto para operaciones del departamento de TI.

DOMINIO
ENTREGA, SERVICIO, SOPORTE
PROCESO RELACIONADO CON TI Creación de claves y cuentas de usuario
NOMBRE DEL SUBPROCESO DSS05 GESTIONAR LOS SERVICIOS

DE SEGURIDAD
GERENCIA TI
PROCESO
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad
de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de
seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
seguridad en la información.
Otorgar un identificador y clave de acceso a un empleado de acuerdo a la asignación de
funciones para que pueda operar en el Sistema, restringiendo los accesos de los usuarios
creados con la finalidad que solo pueda operar en los módulos autorizados.
RESPONSABLE
Gerencia TI, Coordinador TI, Analista TI
Definición de roles y responsabilidades relacionadas con TI
1. La gerencia Técnica solicita la creación de claves.
2. Se realiza la creación de usuario con las iniciales de su primer nombre y apellido del
empleado.
3. Se asignan los roles, detallados en la solicitud de gerencia de creación de usuario.
4. Se realiza un oficio dirigido a la gerencia Técnica para la realización de la clave de
usuario.
5. Se verifica los roles y restricciones
6. Entrega el oficio al nuevo personal que utilizará la nueva clave.
SALIDAS DEL PROCESO
 Informe de contraseñas entregadas al personal.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con accesos no autorizados a la información.

SEGURIDAD INFORMÁTICA
MATRIZ RACI
No. ACTIVIDADES
1 Ingresar al Sistema C R
2 Crear usuario A R
3 Asignación de Roles R
4 Realizar el oficio R I
5 Verifica los roles R
6 Entrega las claves R C
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

DSS 05 GESTIONAR EL SERVICIO DE SEGURIDAD

(Creación de Claves y Usuarios)
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Solitud de creación de
claves
Autorización
Ingresar al Sistema
COORDINADOR DE TI
NO
Crear usuario
Asignación de roles y
claves
Asignación de Clave
Personal
Verifica los roles y

restricciones
¿Esta correcto?
ANALISTA DE TI
SI
Oficio con clave
Entrega de claves al
nuevo personal
FIN


PROCESO: APO 13 Gestionar la Seguridad
10 Disponibilidad
de información 6
Número de incidentes en los procesos de negocios causados Número de incidentes significativos encontrados
útil y relevante Número de incidentes de seguridad en los procesos 80 0,08%
para la toma de por indisponibilidad de la información.
decisiones
15 Cumplimiento
de las políticas Números de Normas Cumplidas 1 0,17%
internas por parte
Cumplimiento de las evaluaciones de conformidad Número de Normas Existentes 6
de las TI
total 0,24%

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
DOMINIO
DSS05 Gestionar Servicios de Seguridad 24% 24%
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD
Creación de claves y usuarios
Condición:
Se carece de un formulario específico para la creación y administración de cuentas de
usuarios, que gestione las modificaciones o eliminaciones de usuarios existentes. No se
maneja un reporte mensual que enliste y verifique los usuarios existentes y de un
responsable asignado a comprobar el personal que se encuentra laborando y requiere de
una clave de acceso.
Criterio:
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.
Conclusión:
La falta de un procedimiento y la asignación de un responsable que aplique las
regulaciones corporativas, puede generar duplicidad de usuarios con perfiles de acceso
no requeridos a sus funciones, y hasta existencias de cuentas activas para ex
funcionarios de la organización. Esto puede ocasionar un riesgo elevado de acceso o
transmisión de claves de usuarios, inclusive la utilización de usuarios no
correspondientes.
Recomendación:
 Se recomienda la creación, aprobación y comunicación del procedimiento sobre

gestión de cuentas de usuarios a nivel local. A la vez generar el proceso de
capacitación del mismo a los responsables de área en cuestión, y mando medios.
 Se debe asignar un responsable específico, ya sea de TI o de Control Interno, para

que verifique mensualmente la creación de usuarios nuevos, las modificaciones que
hayan realizado y las eliminaciones solicitadas y efectuadas en el mes, a su vez que
este comunique los resultados de tal verificación mediante reporte dirigido a las
Gerencia de TI y Control Interno


Apo DSS

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Apo DSS

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apo DSS

Cargado por

Copyright:

Formatos disponibles

ECUACOPIA CIA. LTDA.

Protección de información con firewall Sophos

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

APO12 GESTIONAR EL RIESGO

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

APO12 GESTIONAR EL RIESGO

GESTOR DE PROYECTOS DE TI (REDES)

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

MATRIZ DE NIVEL DE CAPACIDAD

PORCENTAJE El proceso no se El proceso realizado se El proceso gestionado El proceso

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Protección de información con firewall Sophos para software.

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO ALINEAR, PLANIFICAR Y

PROCESO RELACIONADO CON TI Respaldos de información

NOMBRE DEL SUBPROCESO

GERENCIA RESPONSABLE DEL

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

APO 13 GESTIONAR LA SEGURIDAD

Alineación del sistema

Recibe el enfoque de Declaración de información NO

Comunicar el enfoque del

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

MATRIZ DE NIVEL DE CAPACIDAD

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO CONSTRUIR, ADQUIRIR E

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.

GERENCIA TI PROYECTOS COORDINACIÓN

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

No. ACTIVIDADES CIO -

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR

MATRIZ DE NIVEL DE CAPACIDAD

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Requerimiento de hardware (Infraestructura TI).

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

PROCESO RELACIONADO CON TI Mantenimiento De Equipos Informáticos

NOMBRE DEL SUBPROCESO DSS02 GESTIONAR PETICIONES E

OBJETIVO DEL PROCESO

ACTIVIDADES DEL PROCESO

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)

DESARROLLO SISTEMA OPERACIONES

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE

MATRIZ DE NIVEL DE CAPACIDAD

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

Mantenimiento De Equipos Informáticos

Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas

1. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017

PROCESO RELACIONADO CON TI Soporte De Usuarios Internos