Universidad Nacional Jos Faustino

Snchez Carrin
E.A.P: Ingeniera de Sistemas
Curso: Auditora
PROFESOR: Ing. Martn Figueroa Revilla

RESULTADOS DEL
CUESTIONARIO DE COBIT
Diagnstico de la Seguridad de
Informacin y Anlisis de Riesgos
2015
Presentado por:
- ngel acua, Manuel
- Durand silva, Carlos
- Leandro Mendoza, Martin
- Leandro Vsquez, Dugglas
- Navarro Rivera, Jairo
- Obispo Vizcano, Gilmar

CUESTIONARIO DE COBIT
Dominio 1: Planear Y Organizar (PO)
PO1: Definir un Plan Estratgico de TI
PO1.1 Administracin del Valor de TI
Existen inversiones obligatorias, de sustento y
discrecionales que difieren en complejidad y grado
de libertad en cuanto a la asignacin de fondos?
pg. 1

PO1.2 Alineacin de TI con el Negocio

Se encuentran integradas las estrategias de
negocio y de TI, relacionando de manera clara las
metas de la empresa y las metas de TI?
PO1.3 Evaluacin del Desempeo y la Capacidad Actual
Evalan el desempeo de los planes existentes y
de los sistemas de informacin?
PO1.4 Plan Estratgico de TI
Tienen creado un plan estratgico de TI?

PO1.5 Planes Tcticos de TI

Tienen creado un portafolio de planes tcticos de
TI que se deriven del plan estratgico de TI?
PO1.6 Administracin del Portafolio de TI
Llevan una buena administracin del portafolio
de programas de inversin de TI requerido para
lograr objetivos de negocio estratgicos?
PO2 Definir la Arquitectura de la Informacin
PO2.1 Modelo de Arquitectura de Informacin Empresarial
Cuentan con un modelo de informacin
empresarial que facilite el desarrollo de
aplicaciones y las actividades de soporte a la toma
de decisiones?
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
Manejan un diccionario de datos empresarial que
incluye las reglas de sintaxis de datos de la
organizacin?
PO2.3 Esquema de Clasificacin de Datos
Tienen establecido un esquema de clasificacin
de datos que se encuentre basado en lo sensible
de la informacin?
PO2.4 Administracin de Integridad
Tienen implementado procedimientos que
garanticen la integridad de la informacin dentro
de La empresa Agraria Azucarera Andahuasi?
PO3 Determinar la Direccin Tecnolgica
PO3.1 Planeacin de la Direccin Tecnolgica
Las tecnologas existentes son apropiadas para
tomar decisiones y sirve como potencial para crear
oportunidades de negocio?
PO3.2 Plan de Infraestructura Tecnolgica
La infraestructura tecnolgica est implementada
pg. 2

de manera correcta de acuerdo con los planes

estratgicos y tcticos de TI?
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
Manejan
procesos
para
monitorear
las
tendencias ambientales del sector / industria,
tecnolgicas, de infraestructura, legales y
regulatorias?
PO3.4 Estndares Tecnolgicos
Proporcionan a tiempo soluciones tecnolgicas
consistentes, efectivas y seguras para toda La
empresa Agraria Azucarera Andahuasi?
PO3.5 Consejo de Arquitectura de TI
Tienen establecido un comit de arquitectura de
TI que proporcione directrices sobre la arquitectura
y asesora sobre su aplicacin, y que verifique el
cumplimiento?
PO4 Definir los Procesos, Organizacin y Relaciones de TI
PO4.1 Marco de Trabajo de Procesos de TI
Tienen Definido un marco de trabajo para el
proceso de TI para ejecutar el plan estratgico de
TI?
PO4.2 Comit Estratgico de TI
Existe un comit estratgico de TI a nivel del
consejo?
PO4.3 Comit Directivo de TI
Existe un comit directivo de TI (o su
equivalente) compuesto por la gerencia ejecutiva,
del negocio y de TI?
PO4.4 Ubicacin Organizacional de la Funcin de TI
Se encuentra Ubicada la funcin de TI dentro de
la estructura organizacional general?
PO4.5 Estructura Organizacional
Se encuentra establecida una estructura
organizacional de TI interna y externa que refleje
las necesidades del negocio?
PO4.6 Establecimiento de Roles y Responsabilidades
Estn definidos los roles y las responsabilidades
para el personal de TI y los usuarios que delimiten
la autoridad entre el personal de TI y los usuarios
finales?
PO4.7 Responsabilidad de Aseguramiento de Calidad de TI
Existen Asignados las responsabilidades para el
desempeo de la funcin de aseguramiento de
calidad (QA)?
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento

pg. 3

Estn
Establecido
la
propiedad
y
la
responsabilidad de los riesgos relacionados con TI
a un nivel superior apropiado?
PO4.9 Propiedad de Datos y de Sistemas
Proporcionan al negocio los procedimientos y
herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos?
PO4.10 Supervisin
Implementan prcticas adecuadas de supervisin
dentro de la funcin de TI para garantizar que los
roles y las responsabilidades se ejerzan de forma
apropiada?
PO4.11 Segregacin de Funciones
Han Implementado una divisin de roles y
responsabilidades que reduzca la posibilidad de
que un solo individuo afecte negativamente un
proceso crtico?
PO4.12 Personal de TI
Evalan los requerimientos de personal de forma
regular o cuando existan cambios importantes en
el ambiente de negocios?
PO4.13 Personal Clave de TI
Est definido el personal clave de TI para
minimizar la dependencia en un solo individuo
desempeando una funcin de trabajo crtica?
PO4.14 Polticas y Procedimientos para Personal Contratado
Cmo aseguraran que los consultores y el
personal contratado que soporta la funcin de TI
cumplan con las polticas organizacionales de
proteccin de los activos de informacin de la
empresa?
PO4.15 Relaciones
Establecen y mantienen una estructura ptima de
enlace, comunicacin y coordinacin entre la
funcin de TI y otros interesados dentro y fuera de
la funcin de TI?
PO5 Administrar la Inversin en TI
PO5.1 Marco de Trabajo para la Administracin Financiera
Est establecido un marco de trabajo financiero
para administrar las inversiones y el costo de los
activos y servicios de TI?
PO5.2 Prioridades Dentro del Presupuesto de TI
Tienen implementado un proceso de toma de
decisiones para dar prioridades a la asignacin de
recursos a TI para operaciones, proyectos y
mantenimiento?
pg. 4

PO5.3 Proceso Presupuestal

Tienen Establecido un proceso para elaborar y
administrar un presupuesto que refleje las
prioridades
establecidas
en
el
portafolio
empresarial de programas de inversin en TI?
PO5.4 Administracin de Costos de TI
Tienen
Implementado
un
proceso
de
administracin de costos que compare los costos
reales con los presupuestados?
PO5.5 Administracin de Beneficios
Han Implementado un proceso de monitoreo de
beneficios?
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO6.1 Ambiente de Polticas y de Control
Estn bien definidos los elementos de un
ambiente de control para TI, alineados con la
filosofa administrativa y el estilo operativo de La
empresa Agraria Azucarera Andahuasi?
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
Cmo est elaborar el marco de trabajo que
establece el enfoque empresarial general hacia los
riesgos y el control que se alinee con la poltica de
T?
PO6.3 Administracin de Polticas para TI
Tienen elaborado un conjunto de polticas que
apoyen la estrategia de TI?
PO6.4 Implantacin de Polticas de TI
Cmo aseguran de que las polticas de TI se
implantan y se comuniquen a todo el personal
relevante?
PO6.5 Comunicacin de los Objetivos y la Direccin de TI
Cmo aseguran de que la conciencia y el
entendimiento de los objetivos y la direccin del
negocio y de TI se comunican a los interesados es
apropiado?
PO7 Administrar Recursos Humanos de TI
PO7.1 Reclutamiento y Retencin del Personal
Cmo realizan los procesos de reclutamiento del
personal de TI para que estn de acuerdo a las
polticas y procedimientos generales de personal
de la organizacin?
PO7.2 Competencias del Personal
De qu manera verifican que el personal tenga
las habilidades para cumplir sus roles con base en
su educacin, entrenamiento y/o experiencia?
PO7.3 Asignacin de Roles
pg. 5

Est Definido los marcos de trabajo para los

roles, responsabilidades y compensacin del
personal, incluyendo el requerimiento de adherirse
a las polticas y procedimientos administrativos?
PO7.4 Entrenamiento del Personal de TI
Cmo proporcionan a los empleados de TI la
orientacin necesaria al momento de la
contratacin y entrenamiento continuo para
conservar su conocimiento y aptitudes?
PO7.5 Dependencia Sobre los Individuos
Cmo minimizan la exposicin a dependencias
crticas sobre individuos clave por medio de la
captura del conocimiento?
PO7.6 Procedimientos de Investigacin del Personal
Aplican las verificaciones de antecedentes en el
proceso de reclutamiento de TI?
PO7.7 Evaluacin del Desempeo del Empleado
Se
realizan
de
manera
peridica
las
evaluaciones de desempeo al personal que
labora dentro de La empresa Agraria Azucarera
Andahuasi?
PO7.8 Cambios y Terminacin de Trabajo
Toman medidas preventivas respecto a los
cambios en los puestos, en especial las
terminaciones de los contratos del personal dentro
de La empresa Agraria Azucarera Andahuasi?
P08. Administrar la Calidad.
PO8.1 Sistema de Administracin de Calidad
Existe un sistema de administracin de calidad
que proporcione un estndar que este alineado
con los requerimientos del negocio?
PO8.2 Estndares y Prcticas de Calidad
Existen la presencia de estndares o buenas
prcticas para los procesos de TI?
PO8.3 Estndares de Desarrollo y de Adquisicin
Se realiza el seguimiento del ciclo de vida de
los proyectos a travs de un estndar?
PO8.4 Enfoque en el Cliente de TI
Existe un enfoque de calidad en el cliente, que
estn alineados con buenas prcticas?
PO8.5 Mejora Continua
Existe un plan de calidad que promueva la
mejora continua?
PO8.6 Medicin, Monitoreo y Revisin de la Calidad
Existe medicin, monitoreo y revisin de la
pg. 6

calidad en La empresa Agraria Azucarera

Andahuasi?
P09. Evaluar y Administrar los Riesgos de TI.
PO9.1 Marco de Trabajo de Administracin de Riesgos
Cmo administran el riesgo de TI? Existe un
plan?
PO9.2 Establecimiento del Contexto del Riesgo
Cuentan con un contexto o reas a las cuales se
evalan los riesgos que suceden normalmente?
PO9.3 Identificacin de Eventos
Cuentan con un registro de los riesgos
frecuentes o ms comunes que se suscitan?
PO9.4 Evaluacin de Riesgos de TI
Se realizan evaluacin de forma probabilstica y
las clasifican?
PO9.5 Respuesta a los Riesgos
Se ha desarrollado un proceso de respuesta
ante los riesgos que se tienen identificados para
poder mitigar los niveles de tolerancia de riesgos?
PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
Si ha creado un plan de riesgos este se le realiza
un mantenimiento o monitoreo?
P10. Administrar Proyectos.
PO10.1 Marco de Trabajo para la Administracin de Programas
Cmo organizan los proyectos de TI en portafolio
y programas?
PO10.2 Marco de Trabajo para la Administracin de Proyectos
Utilizan algn tipo de, metodologa para
administrar los proyectos?
PO10.3 Enfoque de Administracin de Proyectos
Los proyectos de TI tienen una estructura de
gobierno de proyecto?
PO10.4 Compromiso de los Interesados
Qu tan importante es la participacin de los
interesados dentro de PY?
PO10.5 Declaracin de Alcance del Proyecto
Los alcances del proyecto son documentados?
PO10.6 Inicio de las Fases del Proyecto
Qu criterios toman en cuenta para el inicio de
los proyectos?
PO10.7 Plan Integrado del Proyecto
Hay una documentacin para la integracin del
proyecto?
pg. 7

PO10.8 Recursos del Proyecto

Cmo asignan a los responsables de los
proyectos?
PO10.9 Administracin de Riesgos del Proyecto
Se realiza un anlisis de los riesgos que se
puedan suscitar?
PO10.10 Plan de Calidad del Proyecto
Dentro de todos los proyectos se crean un plan
de calidad?
PO10.11 Control de Cambios del Proyecto
Existe un control de cambios?
PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento
Existen sistemas acreditas por La empresa
Agraria Azucarera Andahuasi?
PO10.13 Medicin del Desempeo, Reporte y Monitoreo del Proyecto
Se realizan una medicin de sus proyectos
basndose en los alcances, cronogramas, clida,
costo y riesgos?
PO10.14 Cierre del Proyecto
Cmo se realiza el proceso de cierre de los
proyectos quienes intervienen?
Dominio 02: Adquirir e Implementar (AI)
AI1 Identificar Soluciones Automatizadas
AI1.1 Definicin y Mantenimiento de los Requerimientos Tcnicos y
Funcionales del Negocio
Identifican y priorizan los requerimientos de
negocio?
AI1.2 Reporte de Anlisis de Riesgos
Existen reportes de anlisis asociados a los
requerimientos del negocio?
AI1.3 Estudio de Factibilidad y Formulacin de Cursos de Accin
Alternativos
La implementacin de requerimientos son
puestos a un estudio de factibilidad?
AI1.4 Requerimientos, Decisin de Factibilidad y Aprobacin
El visto bueno de los requerimientos es dado por
el jefe del rea finanzas?
AI2 Adquirir y Mantener Software Aplicativo
AI2.1 Diseo de Alto Nivel
La aprobacin de los diseos de los nuevos
requerimientos es realizados por los gerentes?
AI2.2 Diseo Detallado
Se prepara el diseo detallado y
requerimientos
tcnicos
de
software

los
de
pg. 8

aplicacin?
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
Existen controles de aplicacin automatizados?
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
Existe la seguridad de las aplicaciones y los
requerimientos de disponibilidad ante la presencia
de los riesgos?
AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido
Se han adquiridos software de aplicaciones que
ayuden a lograr los objetivos del negocio, cmo
cules?
AI2.6 Actualizaciones Importantes en Sistemas Existentes
Se realizan procesos de desarrollo de sistemas
nuevos dentro de La empresa Agraria Azucarera
Andahuasi?
AI2.7 Desarrollo de Software Aplicativo
Cundo se realiza un software de aplicaciones
este es documentado y se aseguran todos los
aspectos legales?
AI2.8 Aseguramiento de la Calidad del Software
Existe un plan que asegure la calidad del
software?
AI2.9 Administracin de los Requerimientos de Aplicaciones
Se realiza un seguimiento a los cambios del
requerimiento a travs de la gestin de cambios?
AI2.10 Mantenimiento de Software Aplicativo
Se han creado estrategias para el mantenimiento
de software?
AI3 Adquirir y Mantener Infraestructura Tecnolgica
AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
Existe un plan al momento de adquirir e
implementar una infraestructura tecnolgica?
AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
Existen controles internos que ayuden a la
seguridad de los recursos informticos?
AI3.3 Mantenimiento de la Infraestructura
Se realiza mantenimientos de la infraestructura
tecnolgica?
AI3.4 Ambiente de Prueba de Factibilidad
Cuenta con herramientas de prueba de TI?

pg. 9

AI4 Facilitar la Operacin y el Uso

AI4.1 Plan para Soluciones de Operacin
Est documentado los aspectos tcnicos de cada
TI?
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
Se realiza la capacitacin a los ejecutivos para
que puede dan manejar de forma eficiente los
sistemas informticos par que pueden aceptar la
TI?
AI4.3 Transferencia de Conocimiento a Usuarios Finales
Se realizan capacitaciones a los usuarios finales
de las Tecnologas que se implementan?
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y
Soporte
El
personal
de
soporte
conoce
los
procedimientos para realizar mantenimiento de las
nuevas tecnologas que se implementen y le
puedan ayudar a su mantenimiento?
AI5 Adquirir recursos de TI
AI5.1 Control de Adquisicin
La empresa Agraria Azucarera Andahuasi emplea
una serie de procedimientos y estndares en el
proceso de adquisicin de nuevos activos o
servicios?
AI5.2 Administracin de Contratos con Proveedores
La empresa Agraria Azucarera Andahuasi emplea
procedimientos en los contratos con los
proveedores, ya sea en temas legales, financieros,
organizacionales?
AI5.3 Seleccin de Proveedores
La empresa Agraria Azucarera Andahuasi lleva a
cabo la seleccin de proveedores, teniendo en
cuenta los requerimientos actuales de la empresa
as como tambin la opcin ms viable para esta?
AI5.4 Adquisicin de Recursos de TI
La empresa Agraria Azucarera Andahuasi en la
parte contractual (adquisiciones) tiene en cuenta la
proteccin de sus propios intereses, a travs de
derechos u obligaciones planteadas en el
contrato?
AI6 Administrar Cambios
AI6.1 Estndares y Procedimientos para cambios
La empresa Agraria Azucarera Andahuasi
establece procedimientos de cambios formales
para manejar de manera estndar todas las
aplicaciones?
AI6.2 Evaluacin de Impacto, Priorizacin y Autorizacin
pg. 10

La empresa Agraria Azucarera Andahuasi luego

de implementar las aplicaciones, se evala y mide
el impacto en los usuarios?
AI6.3 Cambios de Emergencia
La empresa Agraria Azucarera Andahuasi lleva a
cabo cambios de emergencia con los procesos
que no siguen lo establecido?
AI6.4 Seguimiento y Reporte del Estatus de Cambio
La empresa Agraria Azucarera Andahuasi realiza
seguimiento y reporte de todos los cambios en las
aplicaciones?
AI6.5 Cierre y Documentacin del Cambio
La empresa Agraria Azucarera Andahuasi en la
parte contractual (adquisiciones) tiene en cuenta la
proteccin de sus propios intereses, a travs de
derechos u obligaciones planteadas en el
contrato?
AI7 Instalar y acreditar soluciones y cambios
AI7.1 Entrenamiento
La empresa Agraria Azucarera Andahuasi realiza
capacitacin y entrenamientos al grupo de
operaciones del rea de TI por cada proyecto de
sistema de informacin?
AI7.2 Plan de Prueba
La empresa Agraria Azucarera Andahuasi tiene
establecido algn plan de prueba que define roles,
responsabilidades? Esta se encuentra aprobada
por las partes relevantes?
AI7.3 Plan de Implantacin
La empresa Agraria Azucarera Andahuasi tiene
establecido algn plan de implantacin y
respaldo? Esta se encuentra aprobada por las
partes relevantes?
AI7.4 Ambiente de Prueba
La empresa Agraria Azucarera Andahuasi cuenta
con un entorno seguro de pruebas con las
medidas de seguridad, controles internos, etc.
necesarias?
AI7.5 Conversin de Sistemas y Datos
La empresa Agraria Azucarera Andahuasi cuenta
con un Plan de conversin de datos o migracin
de infraestructura, as como tambin pistas de
auditora, respaldo?
AI7.6 Pruebas de Cambios
La empresa Agraria Azucarera Andahuasi realiza
pruebas de Cambios, tomando en cuenta la
seguridad y el desempeo?

pg. 11

AI7.7 Prueba de Aceptacin Final

Los resultados de los procesos de pruebas son
evaluados por el dueo del proceso de negocio y
los interesados, de acuerdo a lo establecido en el
plan de pruebas?
AI7.8 Promocin a Produccin
La empresa Agraria Azucarera Andahuasi
controla la entrega de los sistemas cambiados a
operaciones, de acuerdo a lo establecido en el
plan de implantacin?
AI7.9 Revisin Posterior a la Implantacin
La empresa Agraria Azucarera Andahuasi
establece procedimientos en lnea con los
estndares
de
gestin
de
cambios
organizacionales?
Dominio 03: Entregar y dar Soporte (DS)
DS1 Definir administrar los niveles de servicio
DS1.1 Marco de Trabajo de la Administracin de los Niveles de Servicio
Actualmente La empresa Agraria Azucarera
Andahuasi cuenta un marco de trabajo formal de
administracin de niveles de servicio entre cliente
y el prestador de servicio?
DS1.2 Definicin de Servicios
La empresa Agraria Azucarera Andahuasi tiene
definido sus servicios de TI y estas se encuentran
almacenadas de manera centralizada por medio
de catlogo o portafolio de servicios?
DS1.3 Acuerdos de Niveles de Servicio
La empresa Agraria Azucarera Andahuasi define
y acuerda convenios de niveles de servicio para
todos los procesos crticos de TI?
DS1.4 Acuerdos de Niveles Operacin
Los acuerdos de niveles de operacin explican la
forma en que se va a entregar de los servicios?
DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio
La empresa Agraria Azucarera Andahuasi
monitorea continuamente los criterios de
desempeo para el nivel de servicio? Emite
reportes sobre el cumplimiento de niveles de
servicio?
DS1.6 Revisin de los Acuerdos de Niveles de Servicio y de los Contratos
La empresa Agraria Azucarera Andahuasi revisa
regularmente con los proveedores internos y
externos los acuerdos de servicio y contratos?
DS2 Administrar los servicios de terceros
DS2.1 Identificacin de Todas las Relaciones con Proveedores
La empresa Agraria Azucarera Andahuasi tiene
identificado todos los servicios de proveedores y
pg. 12

los tiene categorizados de acuerdo al tipo de

proveedor, significado y criticidad?
DS2.2 Gestin de Relaciones con Proveedores
Se tiene formalizado el proceso de gestin de
relaciones con los proveedores?
DS2.3 Administracin de Riesgos del Proveedor
Se tienen identificados y mitigados los riesgos
relacionados con la habilidad de los proveedores
para mantener un efectivo servicio de entrega de
forma segura y eficiente?
DS2.4 Monitoreo del Desempeo del Proveedor
Actualmente La empresa Agraria Azucarera
Andahuasi tiene establecido un proceso de
monitoreo a la prestacin del servicio del
proveedor para asegurarse de que est
cumpliendo con los requerimientos del negocio
actuales?
DS3 Administrar el desempeo y la capacidad
DS3.1 Planeacin del Desempeo y la Capacidad
La empresa Agraria Azucarera Andahuasi tiene
establecido un proceso de planeacin para la
revisin del desempeo y la capacidad de los
recursos de TI de acuerdo a lo establecido en los
niveles de servicio?
DS3.2 Capacidad y Desempeo Actual
La empresa Agraria Azucarera Andahuasi revisa
la capacidad y el desempeo actual de los
recursos de TI de forma regular, para asegurar que
pueda prestar servicios con base en los niveles de
servicios acordados?
DS3.3 Capacidad y Desempeo Futuro
La empresa Agraria Azucarera Andahuasi lleva a
cabo un pronstico de desempeo y capacidad de
los recursos de TI de forma regular, para tratar de
minimizar el riesgo de interrupciones de servicios?
DS3.4 Disponibilidad de Recursos de TI
La empresa Agraria Azucarera Andahuasi brinda
la capacidad y desempeo requeridos para estar
al nivel requerido de servicio?
DS3.5 Monitoreo y Reporte
La empresa Agraria Azucarera Andahuasi
monitorea constantemente el desempeo y la
capacidad de los recursos de TI?
DS4 Garantizar la continuidad del servicio
DS4.1 Marco de Trabajo de Continuidad de TI
La empresa Agraria Azucarera Andahuasi cuenta
con un marco de trabajo de continuidad de TI que
de soporte a la infraestructura organizacional y a
pg. 13

los planes de contingencias?

DS4.2 Planes de Continuidad de TI
La empresa Agraria Azucarera Andahuasi cuenta
con planes de continuidad de TI basados en el
marco de trabajo y que consideren los
requerimientos de resistencia, procesamiento
alternativo y capacidad de recuperacin de todos
los servicios crticos de TI?
DS4.3 Recursos Crticos de TI
La empresa Agraria Azucarera Andahuasi pone
nfasis en los puntos ms crticos del plan de
continuidad de TI y la alineacin de estas al
negocio?
DS4.4 Mantenimiento del Plan de Continuidad de TI
La gerencia de TI de La empresa Agraria
Azucarera Andahuasi tiene definido y actualmente
ejecutando los procedimientos de control de
cambios?
DS4.5 Pruebas del Plan de Continuidad de TI
Se realizan pruebas al plan de continuidad de TI
de forma constante en La empresa Agraria
Azucarera Andahuasi?
DS4.6 Entrenamiento del Plan de Continuidad de TI
Las partes involucradas en el plan de continuidad
de TI reciben sesiones de habilitacin de forma
constante respecto a los procesos y sus roles y
responsabilidades en caso de incidente o
desastre?
DS4.7 Distribucin del Plan Continuidad de TI
Actualmente en La empresa Agraria Azucarera
Andahuasi existe una estrategia de distribucin
definida para asegurar que los planes se
distribuyan de manera apropiada y segura y que
estn siempre disponibles cuando se requiera?
DS4.8 Recuperacin y Reanudacin de los Servicios de TI
Durante el perodo de recuperacin de TI, se
tienen activados sitios de respaldo, se realizan
procesamientos alternativos, se les comunica a los
cliente o terceros o se realizan procedimientos de
reanudacin?
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
Se tienen
almacenados fuera
de
las
instalaciones,
los
medios
de
respaldo,
documentacin y otros recursos de TI crticos,
necesarios para la recuperacin de TI y planes de
continuidad del negocio?
DS4.10 Revisin Post Reanudacin
La Gerencia de TI ha establecido procedimientos
para valorar lo adecuado del plan y actualizar el
plan si as lo requiere?
pg. 14

DS5 Garantizar la seguridad de los sistemas

DS5.1. Administracin de la Seguridad de TI
La empresa Agraria Azucarera Andahuasi
administra la seguridad de TI?
DS5.2. Plan de Seguridad de TI
La empresa Agraria Azucarera Andahuasi cuenta
con un plan de seguridad de TI?
DS5.3. Administracin de Identidad
Existen mecanismos y procedimientos que
aseguren que el usuario se autentique antes de
utilizar las funciones del sistema para la obtencin
de la informacin?
DS5.4. Administracin de Cuentas del Usuario
Se lleva a cabo una debida administracin de
cuentas de usuario por parte del administrador de
usuarios basado en procedimientos establecidos?
DS5.5. Pruebas, Vigilancia y Monitoreo de la Seguridad
Se lleva a cabo un adecuado monitoreo de la
seguridad de TI en La empresa Agraria Azucarera
Andahuasi, con la finalidad de garantizar un nivel
de seguridad adecuado?
DS5.6. Definicin de Incidente de Seguridad
Los incidentes que puedan ocurrir estn
definidos y clasificados con la finalidad de que
puedan ser tratados de la mejor manera?
DS5.7. Proteccin de la Tecnologa de Seguridad
Se utiliza tecnologa para la proteccin de
seguridad de la informacin de La empresa
Agraria Azucarera Andahuasi? y en caso de que
exista Qu medidas se toman para proteger
dicha tecnologa?
DS5.8. Administracin de Llaves Criptogrficas
La empresa Agraria Azucarera Andahuasi
administra el uso llaves criptogrficas con la
finalidad de protegerlas de modificaciones y
divulgaciones no autorizadas?
DS5.9. Prevencin, Deteccin y Correccin de Software Malicioso
Se utilizan antivirus u otro software relacionada a
la neutralizacin de software malicioso?
DS5.10. Seguridad de la Red
Qu medidas de seguridad en la red (firewall,
dispositivos de seguridad, segmentacin de la red)
se toman actualmente para proteger el flujo de
informacin en la misma?
DS5.11. Intercambio de Datos Sensitivos
Los datos sensibles se intercambian a travs de
medios seguros para asegurar la autenticidad de
la informacin?
DS6 Identificar y asignar costos
pg. 15

DS6.1. Definicin de Servicios

Se tienen identificados los costos de TI y su
relacin con los servicios de TI?
DS6.2. Contabilizacin de TI
La asignacin de costos de TI se realiza tomando
en cuenta la relacin que tienen estos con los
servicios TI y en base a un modelo de costos
establecido?
DS6.3. Modelacin de Costos y Cargos
El modelo de costos garantiza un uso adecuado
de recursos?
DS6.4. Mantenimiento del Modelo de Costos
El modelo de costos se revisa y compara de
forma regular con la finalidad de acreditar la
relevancia para el negocio y actividades de TI?
DS7 Educar y entrenar a los usuarios
DS7.1. Identificacin de Necesidades de Entrenamiento y Educacin
Se realizan la planificacin y actualizacin
peridica de programas de entrenamiento al
personal con la finalidad de lograr que cumplan
con los objetivos del negocio y a la vez sean
capacitados en el uso de TI?
DS7.2. Imparticin de Entrenamiento y Educacin
Se identifican a los grupos para el entrenamiento,
a los instructores, y se lleva un registro de
asistencias y evaluaciones de dichos eventos?
DS7.3. Evaluacin del Entrenamiento Recibido
Se analizan los resultados obtenidos en los
programas de entrenamiento con la finalidad de
que sirvan como base para la elaboracin de
programas posteriores?
DS8 Administrar la mesa de servicio y los incidentes
DS8.1. Mesa de Servicios
Se realizan la planificacin y actualizacin
peridica de programas de entrenamiento al
personal con la finalidad de lograr que cumplan
con los objetivos del negocio y a la vez sean
capacitados en el uso de TI?
DS8.2. Registro de Consultas de Clientes
Se identifican a los grupos para el entrenamiento,
a los instructores, y se lleva un registro de
asistencias y evaluaciones de dichos eventos?
DS8.3. Escalamiento de Incidentes
Se analizan los resultados obtenidos en los
programas de entrenamiento con la finalidad de
que sirvan como base para la elaboracin de
programas posteriores?
DS8.4. Cierre de Incidentes
Se analizan los resultados obtenidos en los
pg. 16

programas de entrenamiento con la finalidad de

que sirvan como base para la elaboracin de
programas posteriores?
DS8.5. Anlisis de Tendencias
Se emiten reportes a la gerencia con la finalidad
de mostrar el desempeo obtenido mediante los
servicios y sus tiempos de respuesta, as como
tambin las incidencias que se hayan presentado?
DS9 Administrar la configuracin
DS9.1. Repositorio y Lneas Base de Configuracin
Existen herramientas de soporte y un centro de
almacenamiento que contenga la informacin
relevante sobre los activos o elementos de
configuracin?
DS9.2. Identificacin y Mantenimiento de Elementos de Configuracin
Existen procedimientos de configuracin para dar
soporte y gestionar los cambios al repositorio de
configuracin?
DS9.3. Revisin de Integridad de la Configuracin
Se realizan revisiones peridicas de los datos de
configuracin para verificar y confirmar la
integridad de la configuracin actual e histrica, a
la vez se revisan las aplicaciones software
instalados con la finalidad de evitar malas
configuraciones en ellos?
DS10 Administrar los problemas
DS10.1. Identificacin y Clasificacin de Problemas
Se identifican los problemas tomando en cuenta
la categora, impacto, urgencia y prioridad de
estos, como su relacin con los elementos
relacionados con los mismos?
DS10.2. Rastreo y Resolucin de Problemas
Se consideran pistas de auditoria para poder
rastrear, analizar y determinar las posibles causas
de problemas que puedan reportarse?
DS10.3. Cierre de Problemas
Se dispone de procedimientos para el cierre de
registro de problemas ya sea luego de resolver el
error o tambin de acordar con el negocio como se
manejara dicho problema?
DS10.4. Integracin de las Administraciones de Cambios, Configuracin y
Problemas
La administracin de los problemas est
integrada con la administracin de cambios y
configuracin?
DS11 Administrar los Datos
DS11.1. Requerimientos del Negocio para Administracin de Datos
Para cada proceso solo se procesan los datos
necesarios y los resultados obtenidos se obtienen
pg. 17

de forma precisa y oportuna?

DS11.2. Acuerdos de Almacenamiento y Conservacin
Se tienen definidos procedimientos para archivar,
almacenar y retener los datos de forma efectiva y
eficiente?
DS11.3. Sistema de Administracin de Libreras de Medios
Se
tienen
definidos
e
implementados
procedimientos para mantener un inventario de
medios almacenados para asegurar la usabilidad e
integridad?
DS11.4. Eliminacin
Existen
procedimientos
de
eliminacin,
transferencias de datos y/o hardware que sirvan
para la proteccin de datos sensibles?
DS11.5. Respaldo y Restauracin
Existe un plan de continuidad de negocio que
respalde los sistemas, aplicaciones, los datos y
documentacin en lnea?
DS11.6. Requerimientos de Seguridad para la Administracin de Datos
Existen polticas de seguridad aplicables a la
recepcin, procesamiento, almacenamiento y
salida de los datos?
DS12 Administrar el ambiente fsico
DS12.1. Seleccin y Diseo del Centro de Datos
Existe un centro de datos que tome en cuenta el
riesgo asociado con desastres naturales y
causados por el hombre?
DS12.2. Medidas de Seguridad Fsica
Existen medidas de seguridad alineadas con los
requerimientos del negocio?
DS12.3. Acceso Fsico
Existe una administracin de acceso a las reas
de acuerdo con las necesidades del negocio?
DS12.4. Proteccin Contra Factores Ambientales
Se ha implementado medidas de proteccin
contra factores ambientales?
DS12.5. Administracin de Instalaciones Fsicas
Se administra las instalaciones fsicas de
acuerdo con las leyes y los reglamentos, los
requerimientos tcnicos y del negocio?
DS13 Administrar las operaciones
DS13.1. Procedimientos e Instrucciones de Operacin
Existe procedimiento estndar para operaciones
de TI que garantice que el personal de
operaciones est familiarizado con todas las
tareas de operacin?
pg. 18

DS13.2. Programacin de Tareas

Emplea un programa de trabajos que maximice
el desempeo para cumplir con los requerimientos
del negocio?
DS13.3. Monitoreo de la Infraestructura de TI
Se monitorea la infraestructura de TI y los
eventos relacionados?
DS13.4. Documentos Sensitivos y Dispositivos de Salida
Se da una administracin de inventarios
adecuado sobre los activos de TI ms sensitivos?
DS13.5. Mantenimiento Preventivo del Hardware
Existe procedimientos para garantizar el
mantenimiento oportuno del a infraestructura de TI
para as disminuir el impacto de las fallas o el
desempeo?
Dominio 04: Monitorear y Evaluar (ME)
ME1 Monitorear y Evaluar el Desempeo de TI
ME1.1. Enfoque del Monitoreo
Existe en La empresa Agraria Azucarera
Andahuasi un marco de trabajo que le permita
monitorear la contribucin de TI al negocio?
ME1.2. Definicin y Recoleccin de Datos de Monitoreo
Existen procesos dentro de La empresa Agraria
Azucarera Andahuasi para la recoleccin de
informacin precisa, que permita medir los
objetivos y poder compararlos con las metas?
ME1.3. Mtodo de Monitoreo
En la empresa el proceso de monitoreo tiene a
fin un mtodo que mida
el desempeo
importancia de TI en la organizacin?
ME1.4. Evaluacin del Desempeo
Se evala peridicamente el desempeo de La
empresa Agraria Azucarera Andahuasi
con
respecto a las metas?
ME1.5. Reportes al Consejo Directivo y a Ejecutivos
La empresa Agraria Azucarera Andahuasi realiza
reportes administrativos sobre el avance de la
organizacin hacia metas identificadas e identifica
las desviaciones?
ME1.6. Acciones Correctivas
La empresa Agraria Azucarera Andahuasi
identifica medidas correctivas basadas en el
monitoreo y aplica estas medidas?
ME2 Monitorear y Evaluar el Control Interno
ME2.1. Monitorizacin del Marco de Trabajo de Control Interno
Existe un ambiente adecuado para realizar el
control de Ti que permita monitorear de forma
continua y as cumplir los objetivos de La empresa
pg. 19

Agraria Azucarera Andahuasi?

ME2.2. Revisiones de Auditora
Se evala la eficiencia y efectividad de los
controles internos de revisin de la gerencia de TI?
ME2.3. Excepciones de Control
Existen excepciones de control y se reportan a
los interesados?
ME2.4. Control de Auto Evaluacin
Existe un programa de continuo de autoevolucin que evalu la completitud y efectividad
de los controles de gerencia sobre los procesos,
polticas y contratos de TI?
ME2.5. Aseguramiento del Control Interno
Existe una revisin de terceros de los controles
internos?
ME2.6. Control Interno para Terceros
La empresa Agraria Azucarera Andahuasi evala
el estado de los controles internos para servicios
externos (proveedor)?
ME2.7. Acciones Correctivas
En los controles de evaluacin y los informes se
identifican e implementan acciones correctivas?
ME3 Garantizar el Cumplimiento Regulatorio
ME3.1. Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
La empresa Agraria Azucarera Andahuasi tiene
una base continua
que permite identificar
requerimientos externos que deben cumplir para
incorporar en las polticas y metodologas de TI de
La empresa Agraria Azucarera Andahuasi?
ME3.2. Optimizar la Respuesta a Requerimientos Externos
Se revisa y ajusta las polticas, estndares y
metodologas de TI para garantizar los requisitos
legales y regulatorios?
ME3.3. Evaluacin del Cumplimiento con Requerimientos Externos
Existe una evaluacin del cumplimiento con
requerimientos externos?
ME3.4. Aseguramiento Positivo del Cumplimiento
Se toma acciones correctivas de forma oportuna
para resolver cualquier brecha de cumplimiento
del proceso?
ME3.5. Reportes Integrados
La empresa Agraria Azucarera Andahuasi integra
los reportes de TI sobre requerimientos legales,
regulatorios contractuales con las salidas similares
provenientes de otras funciones del negocio?
ME4 Proporcionar Gobierno de TI
ME4.1. Establecimiento de un Marco de Gobierno de TI
pg. 20

Existe un marco de gobierno de TI que

proporcione una visin completa de control y
gobierno corporativo que asegure el cumplimiento
leyes y regulaciones?
ME4.2. Alineamiento Estratgico
En la organizacin hay un comit estratgico de
TI encargado de brindar orientacin estratgica a
la gerencia respecto a TI, y que facilite la
alineacin de TI con el negocio?
ME4.3. Entrega de Valor
Los activos de TI apoyan las estrategias y los
objetivos de La empresa Agraria Azucarera
Andahuasi, y los resultados de las inversiones son
las esperadas?
ME4.4. Administracin de Recursos
Existe una evaluacin peridica hacia los activos
de TI para asegurar que siempre estn alineados
con los objetivos estratgicos de La empresa
Agraria Azucarera Andahuasi?
ME4.5. Administracin de Riesgos
La empresa Agraria Azucarera Andahuasi que
tipo de metodologa utiliza para definir nivel de
riesgo?
ME4.6. Medicin del Desempeo
La empresa Agraria Azucarera Andahuasi revisa
el progreso hacia las metas identificadas
basndose en el desempeo de las TI?
ME4.7. Aseguramiento Independiente
Existen medidas que garanticen de forma
independiente la conformidad de TI con la
legislacin y la regulacin relevante?

pg. 21