Cobit 14 miercoles 06

ANÁLISIS COBIT

Entregar y dar soporte

DS1 Definir y administrar los Niveles de Servicio

DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio

DS1.2 Definición de Servicios

DS1.3 Acuerdos de Niveles de Servicio

DS1.4 Acuerdos de Niveles de Operación

DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio

DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos

La organización posee de manera formal la administración de niveles de servicio entre el cliente y el prestador de servicio. De modo que se tiene de manera definida los pasos a realizar para la ejecución de cada proceso referente a TI.La empresa no cuenta con un catálogo o portafolios de servicios, pero si cuentan con manuales que definen los servicios de TI con respecto a los servicios del negocio.La distribuidora tiene únicamente definido los niveles de servicio para todos los procesos de TI, pero tiene impedimentos con respecto a los convenios de SLA dentro de la organización, pues son únicamente usuarios de TI.

La empresa no cuenta con acuerdos de niveles de operación, ya que el sistema de información es restringido.La empresa no cuenta con un monitoreo y reporte del cumplimiento de los niveles de servicio.

La empresa no cuenta con una revisión de los acuerdos de niveles de servicio y de los contratos.

DS1 ACTIVIDAD PUNTUACIÓN

DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio

3

DS1.2 Definición de Servicios 2DS1.3 Acuerdos de Niveles de Servicio 0DS1.4 Acuerdos de Niveles de Operación 0DS1.5 Monitoreo y Reporte del Cumplimento de los

Niveles de Servicio0

DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos

0

TOTAL 5

Evaluación de modelo de madurez del DS1 = 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida. Si existen las medidas para medir el desempeño son solamente cualitativas con metas definidas de forma imprecisa. La notificación es informal, infrecuente e inconsistente.

Evaluación de modelo de madurez

DS2 Administrar los Administrar los Servicios de Terceros

DS2.1 Identificación de Todas las Relaciones con Proveedores

DS2.2 Gestión de Relaciones con Proveedores

DS2.3 Administración de Riesgos del Proveedor

DS2.4 Monitoreo del Desempeño del Proveedor

En la empresa todos los servicios prestados por terceros son propiamente identificados y categorizado de acuerdo al tipo de servicio que brinda y las relaciones con los proveedores son documentadas de manera formal.

La empresa no cuenta con una gestión de relaciones con proveedores.

La empresa verifica los antecedentes de los proveedores antes de su contratación, una vez contratado la empresa llega a un acuerdo lo cual se rige a la confidencialidad, garantía, penalizaciones.La gerencia un proceso de monitoreo sobre la prestación de servicios de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato, este proceso se realiza de manera informal.


DS2.1

Identificación de Todas las Relaciones con Proveedores

3

DS2.2

Administración de Riesgos del Proveedor 0

DS2.3

Acuerdos de Niveles de Servicio 2

DS2.4

Monitoreo del Desempeño del Proveedor 2

TOTAL 7

Evaluación de modelo de madurez del DS2= 2 (Repetible pero Intuitivo)

Repetible pero Intuitivo

Cuando el proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.


DS3 Administrar el Desempeño y la Capacidad

DS3.1 Planeación del Desempeño y la Capacidad

DS3.2 Capacidad y Desempeño Actual

DS3.3 Capacidad y Desempeño Futuros

DS3.4 Disponibilidad de Recursos de TI

DS3.5 Monitoreo y Reporte

La empresa realiza la revisión del desempeño y la capacidad de los recursos de Tecnologías de Información de manera informal. La empresa ejecuta la revisión de la capacidad y desempeño de los recursos de TI y lo clasifica según el nivel de magnitud de daño, para determinar si el recurso de TI es apropiado para el uso.La organización realiza un preveo sobre el desempeño y capacidad de todos los recursos de TI para identificar y minimizar los riesgos de interrupciones futuras.

La organización toma medidas cuando el desempeño de los recursos de TI no está en el nivel esperado. La gerencia toma decisiones sobre los planes de contingencia establecidos.La gerencia realiza un proceso que asegure que el desempeño de los recursos de TI sea continuamente monitoreado y que las excepciones sean reportadas de manera oportuna y completa.


DS3.1

Planeación del Desempeño y la Capacidad 2

DS3.2

Capacidad y Desempeño Actual 2

DS3.3

Capacidad y Desempeño Futuros 2

DS3.4

Disponibilidad de Recursos de TI 2

DS3.5

Monitoreo y Reporte 2

TOTAL 10

Evaluación de modelo de madurez del DS3= 3 (Definido) Definido Cuando los requerimientos de desempeño y capacidad están definidos a lo largo del ciclo de vida del sistema. Hay métricas y requerimientos de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeño operacional. Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño. Los problemas relacionados al desempeño y a la capacidad siguen siendo susceptibles a ocurrir y su resolución sigue consumiendo tiempo. A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escépticos acerca de la capacidad del servicio.


DS4 Garantizar la Continuidad del Servicio

DS4.1 Marco de Trabajo de Continuidad de TI

DS4.2 Planes de Continuidad de TI

DS4.3 Recursos Críticos de TI

DS4.4 Mantenimiento del Plan de Continuidad de TI

DS4.5 Pruebas del Plan de Continuidad de TI

La organización no cuenta con un marco de trabajo de continuidad de TI.La organización no cuenta con planes de continuidad de TI.

La organización no cuenta recursos críticos de TI.

En la organización no se practican planes de continuidad en caso del surgimiento de algún riesgo, por lo tanto no posee un mantenimiento de plan de continuidad de TILa empresa no realiza pruebas del plan de continuidad de TI para aseguramiento de los sistemas de TI, ya que no cuentan con dicho plan.

DS4.6 Entrenamiento del Plan de Continuidad de TI

DS4.7 Distribución del Plan de Continuidad de TI

DS4.8 Recuperación y Reanudación de los Servicios de TI

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones

DS4.10 Revisión Post Reanudación

La empresa no realiza un entrenamiento del plan de continuidad de TI.La distribución de la información se distribuye solo al personal autorizado manteniéndose de manera segura evitando su divulgación informalmente, pero esto no se aplica para el plan de continuidad.La organización no cuenta con un plan de reanudación y recuperación de los servicios de TI

La organización no cuenta con un almacenamiento de respaldo fuera de las instalaciones.

La empresa no realiza revisiones post reanudación después de algún desastre.


DS4.1 Marco de Trabajo de Continuidad de TI 0DS4.2 Planes de Continuidad de TI 0DS4.3 Recursos Críticos de TI 0DS4.4 Mantenimiento del Plan de Continuidad de TI 0DS4.5 Pruebas del Plan de Continuidad de TI 0DS4.6 Entrenamiento del Plan de Continuidad de TI 0DS4.7 Distribución del Plan de Continuidad de TI 2DS4.8 Recuperación y Reanudación de los Servicios de TI 0DS4.9 Almacenamiento de Respaldos Fuera de las

Instalaciones0

DS4.10

Revisión Post Reanudación 0

TOTAL 2Evaluación de modelo de madurez del DS4= 0 (No existe) No Existente

Cuando No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI o del impacto en el negocio por la pérdida de los servicios de TI. No se considera que la continuidad en los servicios deba tener atención de la gerencia.


DS5 Garantizar la Seguridad de los Sistemas

DS5.1 Administración de la seguridad de TI

DS5.2 Plan de seguridad de TI

DS5.3 Administración de identidad

DS5.4 Administración de cuentas del usuario

DS5.5 Pruebas, vigilancia y monitoreo de la seguridad

DS5.6 Definición del incidente de seguridad

La organización dirige la seguridad de TI de tal manera que la seguridad se encuentra al nivel de los requerimientos del negocio.La Empresa no cuenta con un plan formal de seguridad de TI, pero que se encuentra acorde con la estructura y usuarios de TI La organización establece procedimientos para asegurar acciones oportunas relacionadas con los privilegios de acceso de los usuarios de TI de manera formal.

La empresa realiza una administración de las cuentas de usuario, identificando claramente el rol que cumple cada perfil de usuario.La organización realiza pruebas de vigilancia y monitoreo a través de las cuentas de usuario de TI para detectar actividades inusuales o anormales.La organización realiza la revisión de los incidentes de seguridad y realiza la toma de decisiones a través de la persona encargada.

DS5.7 Protección de la tecnología de seguridad

DS5.8 Administración de llaves criptográficas

DS5.9 Prevención, detección y corrección de software malicioso

DS5.10 Seguridad de la red

DS5.11 Intercambio de datos sensitivos

La tecnología de seguridad de las TI es competente contra algún tipo de sabotaje que pueda surgir por externas a la organización. La empresa no cuenta con una administración de llaves criptográficas. Se realizan las prevenciones y detección de cualquier programa malicioso que puede perjudicar la integridad de la información del buen funcionamiento de las TI.

Las técnicas de seguridad de la red utilizadas dentro de la organización no están bien establecidas

Los intercambios de datos sensibles son propensos a cualquier sabotaje informático externo.


DS5.1 Administración de la seguridad de TI 2DS5.2 Plan de seguridad de TI 2DS5.3 Administración de identidad 3DS5.4 Administración de cuentas del usuario 3DS5.5 Pruebas, vigilancia y monitoreo de la seguridad 2DS5.6 Definición del incidente de seguridad 2DS5.7 Protección de la tecnología de seguridad 2DS5.8 Administración de llaves criptográficas 0DS5.9 Prevención, detección y corrección de software

malicioso2

DS5.10

Seguridad de la red 2

DS5.11

Intercambio de datos sensitivos 0

TOTAL 20

Evaluación de modelo de madurez del DS5= 3 (Definido) Definido Cuando existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la política de seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe entrenamiento en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.


DS6 Identificar y Asignar Costos

DS6.1 Definición de Servicios

DS6.2 Contabilización de TI

DS6.3 Modelación de costos y cargos

DS6.4 Mantenimiento del modelo de costos

La empresa no realiza una definición de los servicios

La empresa no realiza una contabilización ya que la tampoco realiza una definición de servicios.

La empresa no realiza una modelación de costos y cargosEn base a los anteriores puntos se determina que la empresa no realiza un mantenimiento del modelo de costos.


DS6.1

Administración de la seguridad de TI 0

DS6.2

Plan de seguridad de TI 0

DS6.3

Administración de identidad 0

DS6.4

Mantenimiento del modelo de costos 0

TOTAL 0 Evaluación de modelo de madurez del DS6= 0 (No Existente)

No Existente Cuando hay una completa falta de cualquier proceso reconocible de identificación y distribución de costos en relación a los servicios de información brindados. La organización no reconoce incluso que hay un problema que atender respecto a la contabilización de costos y que no hay comunicación respecto a este asunto.


DS7 Educar y Entrenar a los Usuarios

DS7.1 Identificación de necesidades de entrenamiento y educación

DS7.2 Impartición de entrenamiento y educación

DS7.3 Evaluación del entrenamiento recibido

AL empresa identifica establece los procedimientos para identificar las necesidades de entrenamiento de todo el personal que hace uso de TI, teniendo en cuenta el área en el cual se desempeñanLa organización imparte el entrenamiento correspondiente con tutores capacitados al personal tomando registro de asistencias informalmenteLa organización realiza la evaluación al personal teniendo en cuenta que estos contribuyan con los planes de sesiones de entrenamiento futuras de manera informal.


DS7.1

Identificación de necesidades de entrenamiento y educación

2

DS7.2

Impartición de entrenamiento y educación 2

DS7.3

Evaluación del entrenamiento recibido 2

TOTAL Evaluación de modelo de madurez del DS7= 3 (Definido)

Definido

Cuando el programa de entrenamiento y educación se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades de entrenamiento. Los procesos de entrenamiento y educación se estandarizan y documentan. Para soportar el programa de entrenamiento y educación, se establecen presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre conducta ética y sobre conciencia y prácticas de seguridad en los sistemas. La mayoría de los procesos de entrenamiento y educación son monitoreados, pero no todas las desviaciones son susceptibles de detección por parte de la gerencia. El análisis sobre problemas de entrenamiento y educación solo se aplica de forma ocasional.

DS8 Administrar la mesa de servicio y los Incidentes

DS8.1 Mesa de Servicios

DS8.2 Registro de consultas de clientes

DS8.3 Escalamiento de Incidentes

DS8.4 Cierre de incidentes

DS8.5 Análisis de tendencias

La empresa no cuenta temporalmente con una mesa de servicios.

La empresa no realiza un registro de consultas de clientes.

La organización no cuenta con un escalamiento de incidentes que pase a través de la mesa de servicios, pero realiza dicho proceso informalmente.

La empresa realiza este proceso pero no cuenta con una mesa de servicio.

La organización no realiza este proceso pues no cuenta con una mesa de servicios


DS8.1

Mesa de Servicios 0

DS8.2

Registro de consultas de clientes 0

DS8.3

Escalamiento de Incidentes 2

DS8.4

Cierre de incidentes 0

DS8.5

Análisis de tendencias 0

TOTAL 2 Evaluación de modelo de madurez del DS8= 0 (No

Existente) No Existente

Cuando no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administración de incidentes. La organización no reconoce que hay un problema que atender.


DS9 Administrar la Configuración

DS9.1 Repositorio y línea base de configuración

DS9.2 Identificación y mantenimiento de elementos de configuración

DS9.3 Revisión de integridad de la configuración

La organización no posee un repositorio y línea de base de configuración.

La organización no realiza ningún tipo de identificación y mantenimiento de elementos de configuración, ya que no posee repositorios La empresa no posee la revisión de integridad de la configuración.


DS9.1 Repositorio y línea base de configuración 0DS9.2 Identificación y mantenimiento de elementos de

configuración0

DS9.3 Revisión de integridad de la configuración 0TOTAL 0

Evaluación de modelo de madurez del DS9= 0 (No Existente) No Existente Cuando la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones

de la infraestructura de TI, tanto para configuraciones de hardware como de software.


DS10 Administración de Problemas

DS10.1 Identificación y clasificación de problemas

DS10.2 Rastreo y resolución de problemas

DS10.3 Cierre de problemas

DS10.4 Integración de la administración de cambios, configuración y problemas

La organización no realiza una identificación y clasificación de problemas La empresa no realiza un rastreo y resolución de problemas (la empresa realiza una solución de problemas informal al momento en el que suceden)

Se realiza un cierre de problemas informal.

La empresa no realiza una integración de la administración de cambios, configuración y problemas.


DS10.1

Identificación y clasificación de problemas 0

DS10.2

Rastreo y resolución de problemas 2

DS10.3

Cierre de problemas 0

DS10.4

Integración de la administración de cambios, configuración y problemas

0

TOTAL 2

Evaluación de modelo de madurez del DS10= 0 (No Existente) No Existente Cuando No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se han hecho intentos por identificar la causa raíz de los incidentes.


DS11 Administración de Datos

DS11.5 Respaldo y restauración

DS11.1 Requerimientos del negocio para administración de datos

DS11.2 Acuerdos de almacenamiento y conservación

DS11.3 sistema de administración de librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y restauración

DS11.6 Requerimientos de seguridad para la administración de datos

La Empresa realiza un proceso de entrada de datos que ayuda a minimizar los errores y las omisiones de información asegurándose de detectar y corregir errores.La Empresa asegura que la información sea procesada y almacenada apropiadamente por el personal autorizado .La empresa no realiza un inventario de los medios de almacenamiento de la información, con la excepción del aseguramiento de la integridad de la información.

Actualmente la empresa no ha realizado la eliminación de información sensitiva que ha sido borrada .La organización actualmente no cuenta con un plan de respaldo y restauración de datos.

La empresa no realiza requerimientos de seguridad para la administración de datos.


DS11.1

Requerimientos del negocio para administración de datos 3

DS11.2

Acuerdos de almacenamiento y conservación 2

DS11.3

sistema de administración de librerías de medios 0

DS11.4

Eliminación 0

DS11.5

Respaldo y restauración 0

DS11.5

Requerimientos de seguridad para la administración de datos 0

TOTAL 5

Evaluación de modelo de madurez del DS11= 1 (Inicial / Ad Hoc) Inicial / Ad Hoc Cuando la organización reconoce la necesidad de una correcta administración de los datos. Hay un método adecuado para especificar requerimientos de seguridad en la administración de datos, pero no hay procedimientos implementados de comunicación formal. No se lleva a cabo entrenamiento específica sobre administración de los datos. La responsabilidad sobre la administración de los datos no es clara. Los procedimientos de respaldo y recuperación y los acuerdos sobre desechos están en orden.


DS12 Administración del Ambiente Físico

DS12.1 Selección y diseño del centro de datos

DS12.2 Medidas de seguridad física

DS12.3 Acceso físico

DS12.4 Protección contra factores ambientales

DS12.5 Administración de instalaciones físicas

La Organización cuenta con un lugar acondicionado y que cumple con las leyes y regulaciones correspondientes para las TI en relación desastres naturales o ambientales.La empresa cuenta con medidas de seguridad física con respecto a las TI y a los usuarios de TI de manera informal.La organización cuenta con seguridad para el acceso físico de personas internas y externas a la organización.

La empresa no cuenta actualmente con algún dispositivo especializado de protección contra factores ambientales.La empresa sigue ciertas políticas de administración de instalaciones físicas para salvaguardar las TI y a los usuarios de TI.


DS12.1

Selección y diseño del centro de datos 3

DS12.2

Medidas de seguridad física 2

DS12.3

Acceso físico 2

DS12.4

Protección contra factores ambientales 0

DS12.5

Administración de instalaciones físicas 2

TOTAL 7

Evaluación de modelo de madurez del DS12= 2 (Repetible pero Intuitivo) Repetible pero Intuitivo Cuando los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas. Los procedimientos de mantenimiento de instalaciones no están bien documentados y dependen de las buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se basan en estándares formales y la gerencia no se asegura de que se cumplan los objetivos de seguridad.


DS13 Administración de Operaciones

DS13.1 Procedimientos e instrucciones de operación

DS13.2 Programación de tareas

DS13.3 Monitoreo de la infraestructura de TI

DS13.4 Documentos sensitivos y dispositivos de salida

DS13.5 Mantenimiento preventivo del hardware

El personal de TI está familiarizado con los procesos de TI y el cambio de turno no afecta a la continuidad de dicho proceso.La organización no cuenta con una programación de tareas.

La organización no realiza un monitoreo de la infraestructura de TI.

La organización realiza inventarios periódicamente sobre los activos de TI propensos a riesgos de manera informal.Se desarrollan periódicamente mantenimientos oportunos a las TI para verificar posibles fallas o errores.


DS13.1

Procedimientos e instrucciones de operación

2

DS13.2

Programación de tareas 0

DS13.3

Monitoreo de la infraestructura de TI 0

DS13.4

Documentos sensitivos y dispositivos de salida

2

DS13.5

Mantenimiento preventivo del hardware 2

TOTAL 6


Evaluación de modelo de madurez del DS13= 2 (Repetible pero Intuitivo)Repetible pero Intuitivo

Cuando la organización esta consiente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI. Se asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de qué hacer, cuándo y en qué orden no están documentadas. Existe algo de entrenamiento para el operador y hay algunos estándares de operación formales.

Gracias!...

Documents

Cobit 14 miercoles 06