Cobit Cuestionario

7/23/2019 Cobit Cuestionario

1/21

Universidad Nacional Jos Faustino

Snchez CarrinE.A.P: Inenier!a de Siste"as

Curso: Auditor!aP#$FES$#: In. %art!n Fiueroa #evilla

#ESU&'A($S (E&

CUES'I$NA#I$ (E C$)I'(ianstico de la Seuridad de

In*or"acin + Anlisis de #iesos

,-/

Presentado 0or:1 2nel acu3a4 %anuel1 (urand silva4 Carlos

1 &eandro %endoza4 %artin1 &eandro 5s6uez4 (ulas

1 Navarro #ivera4 Jairo

1 $7is0o 5izca!no4 8il"ar

CUESTIONARIO DE COBITDominio 1: Planear Y Organizar (PO)

PO1: Definir un Plan E!ra!"gi#o $e TI

PO1%1 A$mini!ra#i&n $el 'alor $e TI

Existen inversiones obligatorias, de sustento y

discrecionales que difieren en complejidad y gradode libertad en cuanto a la asignacin de fondos?

0.


2/21

PO1% Alinea#i&n $e TI #on el Nego#io

Se encuentran integradas las estrategias de

negocio y de TI, relacionando de manera clara las

metas de la empresa y las metas de TI?

PO1% E*alua#i&n $el Deem+e,o - la Ca+a#i$a$ A#!ual

Evalan el desempe!o de los planes existentes y

de los sistemas de informacin?

PO1%. Plan E!ra!"gi#o $e TI

Tienen creado un plan estrat"gico de TI?

PO1%/ Plane T0#!i#o $e TI

Tienen creado un portafolio de planes t#cticos de

TI que se deriven del plan estrat"gico de TI?

PO1% A$mini!ra#i&n $el Por!afolio $e TI

$levan una buena administracin del portafolio

de programas de inversin de TI requerido para

lograr objetivos de negocio estrat"gicos?

PO Definir la Ar2ui!e#!ura $e la Informa#i&n

PO%1 3o$elo $e Ar2ui!e#!ura $e Informa#i&n Em+rearial

%uentan con un modelo de informacin

empresarial que facilite el desarrollo de

aplicaciones y las actividades de soporte a la tomade decisiones?

PO% Di##ionario $e Da!o Em+rearial - Regla $e Sin!a4i $e Da!o

&anejan un diccionario de datos empresarial que

incluye las reglas de sintaxis de datos de la

organi'acin?

PO% E2uema $e Claifi#a#i&n $e Da!o

Tienen establecido un esquema de clasificacin

de datos que se encuentre basado en lo sensible

de la informacin?

PO%. A$mini!ra#i&n $e In!egri$a$Tienen implementado procedimientos que

garanticen la integridad de la informacin dentro

de $a empresa (graria ('ucarera (nda)uasi?

PO De!erminar la Dire##i&n Te#nol&gi#a

PO%1 Planea#i&n $e la Dire##i&n Te#nol&gi#a

$as tecnolog*as existentes son apropiadas para

tomar decisiones y sirve como potencial para crear

oportunidades de negocio?

PO% Plan $e Infrae!ru#!ura Te#nol&gi#a$a infraestructura tecnolgica est# implementada

0. ,


3/21

de manera correcta de acuerdo con los planes

estrat"gicos y t#cticos de TI?

PO% 3oni!oreo $e Ten$en#ia - Regula#ione 5u!ura

&anejan procesos para monitorear las

tendencias ambientales del sector + industria,

tecnolgicas, de infraestructura, legales y

regulatorias?

PO%. E!0n$are Te#nol&gi#o

roporcionan a tiempo soluciones tecnolgicas

consistentes, efectivas y seguras para toda $a

empresa (graria ('ucarera (nda)uasi?

PO%/ Cone6o $e Ar2ui!e#!ura $e TI

Tienen establecido un comit" de arquitectura de

TI que proporcione directrices sobre la arquitectura

y asesor*a sobre su aplicacin, y que verifique elcumplimiento?

PO. Definir lo Pro#eo7 Organiza#i&n - Rela#ione $e TI

PO.%1 3ar#o $e Tra8a6o $e Pro#eo $e TI

Tienen -efinido un marco de trabajo para el

proceso de TI para ejecutar el plan estrat"gico de

TI?

PO.% Comi!" E!ra!"gi#o $e TI

Existe un comit" estrat"gico de TI a nivel del

consejo?

PO.% Comi!" Dire#!i*o $e TIExiste un comit" directivo de TI .o su

equivalente/ compuesto por la gerencia ejecutiva,

del negocio y de TI?

PO.%. U8i#a#i&n Organiza#ional $e la 5un#i&n $e TI

Se encuentra 0bicada la funcin de TI dentro de

la estructura organi'acional general?

PO.%/ E!ru#!ura Organiza#ional

Se encuentra establecida una estructura

organi'acional de TI interna y externa que refleje

las necesidades del negocio?PO.% E!a8le#imien!o $e Role - Re+ona8ili$a$e

Est#n definidos los roles y las responsabilidades

para el personal de TI y los usuarios que delimiten

la autoridad entre el personal de TI y los usuarios

finales?

PO.%9 Re+ona8ili$a$ $e Aeguramien!o $e Cali$a$ $e TI

Existen (signados las responsabilidades para el

desempe!o de la funcin de aseguramiento de

calidad .1(/?

PO.% Re+ona8ili$a$ o8re el Riego7 la Seguri$a$ - el Cum+limien!o

0. 9


4/21

Est#n Establecido la propiedad y la

responsabilidad de los riesgos relacionados con TI

a un nivel superior apropiado?

PO.%; Pro+ie$a$ $e Da!o - $e Si!ema

roporcionan al negocio los procedimientos y

)erramientas que le permitan enfrentar sus

responsabilidades de propiedad sobre los datos?

PO.%1< Su+er*ii&n

Implementan pr#cticas adecuadas de supervisin

dentro de la funcin de TI para garanti'ar que los

roles y las responsabilidades se ejer'an de forma

apropiada?

PO.%11 Segrega#i&n $e 5un#ione

2an Implementado una divisin de roles y

responsabilidades que redu'ca la posibilidad deque un solo individuo afecte negativamente un

proceso cr*tico?

PO.%1 Peronal $e TI

Evalan los requerimientos de personal de forma

regular o cuando existan cambios importantes en

el ambiente de negocios?

PO.%1 Peronal Cla*e $e TI

Est# definido el personal clave de TI para

minimi'ar la dependencia en un solo individuo

desempe!ando una funcin de trabajo cr*tica?PO.%1. Pol=!i#a - Pro#e$imien!o +ara Peronal Con!ra!a$o

%mo aseguraran que los consultores y el

personal contratado que soporta la funcin de TI

cumplan con las pol*ticas organi'acionales de

proteccin de los activos de informacin de la

empresa?

PO.%1/ Rela#ione

Establecen y mantienen una estructura ptima de

enlace, comunicacin y coordinacin entre la

funcin de TI y otros interesados dentro y fuera dela funcin de TI?

PO/ A$mini!rar la In*eri&n en TI

PO/%1 3ar#o $e Tra8a6o +ara la A$mini!ra#i&n 5inan#iera

Est# establecido un marco de trabajo financiero

para administrar las inversiones y el costo de los

activos y servicios de TI?

PO/% Priori$a$e Den!ro $el Preu+ue!o $e TI

Tienen implementado un proceso de toma de

decisiones para dar prioridades a la asignacin de

recursos a TI para operaciones, proyectos y

mantenimiento?

0.


5/21

PO/% Pro#eo Preu+ue!al

Tienen Establecido un proceso para elaborar y

administrar un presupuesto que refleje las

prioridades establecidas en el portafolio

empresarial de programas de inversin en TI?

PO/%. A$mini!ra#i&n $e Co!o $e TI

Tienen Implementado un proceso de

administracin de costos que compare los costos

reales con los presupuestados?

PO/%/ A$mini!ra#i&n $e Benefi#io

2an Implementado un proceso de monitoreo de

beneficios?

PO Comuni#ar la A+ira#ione - la Dire##i&n $e la >eren#ia

PO%1 Am8ien!e $e Pol=!i#a - $e Con!rol

Est#n bien definidos los elementos de un

ambiente de control para TI, alineados con la

filosof*a administrativa y el estilo operativo de $a

empresa (graria ('ucarera (nda)uasi?PO% Riego Cor+ora!i*o - 3ar#o $e Referen#ia $e Con!rol In!erno $e TI

%mo est# elaborar el marco de trabajo que

establece el enfoque empresarial general )acia los

riesgos y el control que se alinee con la pol*tica de

T?

PO% A$mini!ra#i&n $e Pol=!i#a +ara TI

Tienen elaborado un conjunto de pol*ticas queapoyen la estrategia de TI?

PO%. Im+lan!a#i&n $e Pol=!i#a $e TI

%mo aseguran de que las pol*ticas de TI se

implantan y se comuniquen a todo el personal

relevante?

PO%/ Comuni#a#i&n $e lo O86e!i*o - la Dire##i&n $e TI

%mo aseguran de que la conciencia y el

entendimiento de los objetivos y la direccin del

negocio y de TI se comunican a los interesados es

apropiado?PO9 A$mini!rar Re#uro ?umano $e TI

PO9%1 Re#lu!amien!o - Re!en#i&n $el Peronal

%mo reali'an los procesos de reclutamiento del

personal de TI para que est"n de acuerdo a las

pol*ticas y procedimientos generales de personal

de la organi'acin?

PO9% Com+e!en#ia $el Peronal

-e qu" manera verifican que el personal tenga

las )abilidades para cumplir sus roles con base en

su educacin, entrenamiento y+o experiencia?PO9% Aigna#i&n $e Role

0. /


6/21

Est# -efinido los marcos de trabajo para los

roles, responsabilidades y compensacin del

personal, incluyendo el requerimiento de ad)erirse

a las pol*ticas y procedimientos administrativos?

PO9%. En!renamien!o $el Peronal $e TI

%mo proporcionan a los empleados de TI la

orientacin necesaria al momento de la

contratacin y entrenamiento continuo para

conservar su conocimiento y aptitudes?

PO9%/ De+en$en#ia So8re lo In$i*i$uo

%mo minimi'an la exposicin a dependencias

cr*ticas sobre individuos clave por medio de la

captura del conocimiento?

PO9% Pro#e$imien!o $e In*e!iga#i&n $el Peronal

(plican las verificaciones de antecedentes en elproceso de reclutamiento de TI?

PO9%9 E*alua#i&n $el Deem+e,o $el Em+lea$o

Se reali'an de manera peridica las

evaluaciones de desempe!o al personal que

labora dentro de $a empresa (graria ('ucarera

(nda)uasi?

PO9% Cam8io - Termina#i&n $e Tra8a6o

Toman medidas preventivas respecto a los

cambios en los puestos, en especial las

terminaciones de los contratos del personal dentrode $a empresa (graria ('ucarera (nda)uasi?

P


7/21

calidad en $a empresa (graria ('ucarera(nda)uasi?

P


8/21

PO1


9/21

aplicacin?

AI% Con!rol - Poi8ili$a$ $e Au$i!ar la A+li#a#ione

Existen controles de aplicacin automati'ados?

AI%. Seguri$a$ - Di+oni8ili$a$ $e la A+li#a#ione

Existe la seguridad de las aplicaciones y los

requerimientos de disponibilidad ante la presencia

de los riesgos?

AI%/ Configura#i&n e Im+lan!a#i&n $e Sof!@are A+li#a!i*o A$2uiri$o

Se )an adquiridos soft4are de aplicaciones queayuden a lograr los objetivos del negocio, cmocu#les?

AI% A#!ualiza#ione Im+or!an!e en Si!ema E4i!en!e

Se reali'an procesos de desarrollo de sistemasnuevos dentro de $a empresa (graria ('ucarera(nda)uasi?

AI%9 Dearrollo $e Sof!@are A+li#a!i*o

%u#ndo se reali'a un soft4are de aplicacioneseste es documentado y se aseguran todos losaspectos legales?

AI% Aeguramien!o $e la Cali$a$ $el Sof!@are

Existe un plan que asegure la calidad delsoft4are?

AI%; A$mini!ra#i&n $e lo Re2uerimien!o $e A+li#a#ioneSe reali'a un seguimiento a los cambios del

requerimiento a trav"s de la gestin de cambios?

AI%1< 3an!enimien!o $e Sof!@are A+li#a!i*o

Se )an creado estrategias para el mantenimiento

de soft4are?

AI A$2uirir - 3an!ener Infrae!ru#!ura Te#nol&gi#a

AI%1 Plan $e A$2uii#i&n $e Infrae!ru#!ura Te#nol&gi#a

Existe un plan al momento de adquirir e

implementar una infraestructura tecnolgica?

AI% Pro!e##i&n - Di+oni8ili$a$ $el Re#uro $e Infrae!ru#!ura

Existen controles internos que ayuden a laseguridad de los recursos inform#ticos?

AI% 3an!enimien!o $e la Infrae!ru#!ura

Se reali'a mantenimientos de la infraestructura

tecnolgica?

AI%. Am8ien!e $e Prue8a $e 5a#!i8ili$a$

%uenta con )erramientas de prueba de TI?

0. >


10/21

AI. 5a#ili!ar la O+era#i&n - el Uo

AI.%1 Plan +ara Solu#ione $e O+era#i&n

Est# documentado los aspectos t"cnicos de cada

TI?

AI.% Tranferen#ia $e Cono#imien!o a la >eren#ia $el Nego#io

Se reali'a la capacitacin a los ejecutivos paraque puede dan manejar de forma eficiente los

sistemas inform#ticos par que pueden aceptar la

TI?

AI.% Tranferen#ia $e Cono#imien!o a Uuario 5inale

Se reali'an capacitaciones a los usuarios finales

de las Tecnolog*as que se implementan?

AI.%. Tranferen#ia $e Cono#imien!o al Peronal $e O+era#ione -So+or!e

El personal de soporte conoce los

procedimientos para reali'ar mantenimiento de lasnuevas tecnolog*as que se implementen y lepuedan ayudar a su mantenimiento?

AI/ A$2uirir re#uro $e TI

AI/%1 Con!rol $e A$2uii#i&n

$a empresa (graria ('ucarera (nda)uasi empleauna serie de procedimientos y est#ndares en elproceso de adquisicin de nuevos activos oservicios?

AI/% A$mini!ra#i&n $e Con!ra!o #on Pro*ee$ore

$a empresa (graria ('ucarera (nda)uasi empleaprocedimientos en los contratos con losproveedores, ya sea en temas legales, financieros,organi'acionales?

AI/% Sele##i&n $e Pro*ee$ore

$a empresa (graria ('ucarera (nda)uasi lleva acabo la seleccin de proveedores, teniendo encuenta los requerimientos actuales de la empresaas* como tambi"n la opcin m#s viable para esta?

AI/%. A$2uii#i&n $e Re#uro $e TI

$a empresa (graria ('ucarera (nda)uasi en la

parte contractual .adquisiciones/ tiene en cuenta laproteccin de sus propios intereses, a trav"s dederec)os u obligaciones planteadas en elcontrato?

AI A$mini!rar Cam8io

AI%1 E!0n$are - Pro#e$imien!o +ara #am8io

$a empresa (graria ('ucarera (nda)uasiestablece procedimientos de cambios formalespara manejar de manera est#ndar todas lasaplicaciones?

AI% E*alua#i&n $e Im+a#!o7 Prioriza#i&n - Au!oriza#i&n

0. -


11/21

$a empresa (graria ('ucarera (nda)uasi luegode implementar las aplicaciones, se evala y mideel impacto en los usuarios?

AI% Cam8io $e Emergen#ia

$a empresa (graria ('ucarera (nda)uasi lleva a

cabo cambios de emergencia con los procesosque no siguen lo establecido?

AI%. Seguimien!o - Re+or!e $el E!a!u $e Cam8io

$a empresa (graria ('ucarera (nda)uasi reali'aseguimiento y reporte de todos los cambios en lasaplicaciones?

AI%/ Cierre - Do#umen!a#i&n $el Cam8io

$a empresa (graria ('ucarera (nda)uasi en laparte contractual .adquisiciones/ tiene en cuenta laproteccin de sus propios intereses, a trav"s dederec)os u obligaciones planteadas en elcontrato?

AI9 In!alar - a#re$i!ar olu#ione - #am8io

AI9%1 En!renamien!o

$a empresa (graria ('ucarera (nda)uasi reali'acapacitacin y entrenamientos al grupo deoperaciones del #rea de TI por cada proyecto desistema de informacin?

AI9% Plan $e Prue8a

$a empresa (graria ('ucarera (nda)uasi tiene

establecido algn plan de prueba que define roles,responsabilidades? Esta se encuentra aprobadapor las partes relevantes?

AI9% Plan $e Im+lan!a#i&n

$a empresa (graria ('ucarera (nda)uasi tieneestablecido algn plan de implantacin yrespaldo? Esta se encuentra aprobada por laspartes relevantes?

AI9%. Am8ien!e $e Prue8a

$a empresa (graria ('ucarera (nda)uasi cuentacon un entorno seguro de pruebas con las

medidas de seguridad, controles internos, etc5necesarias?

AI9%/ Con*eri&n $e Si!ema - Da!o

$a empresa (graria ('ucarera (nda)uasi cuentacon un lan de conversin de datos o migracinde infraestructura, as* como tambi"n pistas deauditor*a, respaldo?

AI9% Prue8a $e Cam8io

$a empresa (graria ('ucarera (nda)uasi reali'apruebas de %ambios, tomando en cuenta la

seguridad y el desempe!o?

0.


12/21

AI9%9 Prue8a $e A#e+!a#i&n 5inal

$os resultados de los procesos de pruebas sonevaluados por el due!o del proceso de negocio ylos interesados, de acuerdo a lo establecido en elplan de pruebas?

AI9% Promo#i&n a Pro$u##i&n$a empresa (graria ('ucarera (nda)uasicontrola la entrega de los sistemas cambiados aoperaciones, de acuerdo a lo establecido en elplan de implantacin?

AI9%; Re*ii&n Po!erior a la Im+lan!a#i&n

$a empresa (graria ('ucarera (nda)uasiestablece procedimientos en l*nea con losest#ndares de gestin de cambiosorgani'acionales?

Dominio


13/21

los tiene categori'ados de acuerdo al tipo deproveedor, significado y criticidad?

DS% >e!i&n $e Rela#ione #on Pro*ee$ore

Se tiene formali'ado el proceso de gestin derelaciones con los proveedores?

DS% A$mini!ra#i&n $e Riego $el Pro*ee$or

Se tienen identificados y mitigados los riesgosrelacionados con la )abilidad de los proveedorespara mantener un efectivo servicio de entrega deforma segura y eficiente?

DS%. 3oni!oreo $el Deem+e,o $el Pro*ee$or

(ctualmente $a empresa (graria ('ucarera(nda)uasi tiene establecido un proceso demonitoreo a la prestacin del servicio delproveedor para asegurarse de que est"cumpliendo con los requerimientos del negocioactuales?

DS A$mini!rar el $eem+e,o - la #a+a#i$a$

DS%1 Planea#i&n $el Deem+e,o - la Ca+a#i$a$

$a empresa (graria ('ucarera (nda)uasi tieneestablecido un proceso de planeacin para larevisin del desempe!o y la capacidad de losrecursos de TI de acuerdo a lo establecido en losniveles de servicio?

DS% Ca+a#i$a$ - Deem+e,o A#!ual

$a empresa (graria ('ucarera (nda)uasi revisala capacidad y el desempe!o actual de losrecursos de TI de forma regular, para asegurar quepueda prestar servicios con base en los niveles deservicios acordados?

DS% Ca+a#i$a$ - Deem+e,o 5u!uro

$a empresa (graria ('ucarera (nda)uasi lleva acabo un pronstico de desempe!o y capacidad delos recursos de TI de forma regular, para tratar deminimi'ar el riesgo de interrupciones de servicios?

DS%. Di+oni8ili$a$ $e Re#uro $e TI

$a empresa (graria ('ucarera (nda)uasi brindala capacidad y desempe!o requeridos para estaral nivel requerido de servicio?

DS%/ 3oni!oreo - Re+or!e

$a empresa (graria ('ucarera (nda)uasimonitorea constantemente el desempe!o y lacapacidad de los recursos de TI?

DS. >aran!izar la #on!inui$a$ $el er*i#io

DS.%1 3ar#o $e Tra8a6o $e Con!inui$a$ $e TI

$a empresa (graria ('ucarera (nda)uasi cuenta

con un marco de trabajo de continuidad de TI quede soporte a la infraestructura organi'acional y a

0. 9


14/21

los planes de contingencias?

DS.% Plane $e Con!inui$a$ $e TI

$a empresa (graria ('ucarera (nda)uasi cuentacon planes de continuidad de TI basados en elmarco de trabajo y que consideren los

requerimientos de resistencia, procesamientoalternativo y capacidad de recuperacin de todoslos servicios cr*ticos de TI?

DS.% Re#uro Cr=!i#o $e TI

$a empresa (graria ('ucarera (nda)uasi pone"nfasis en los puntos m#s cr*ticos del plan decontinuidad de TI y la alineacin de estas alnegocio?

DS.%. 3an!enimien!o $el Plan $e Con!inui$a$ $e TI

$a gerencia de TI de $a empresa (graria('ucarera (nda)uasi tiene definido y actualmenteejecutando los procedimientos de control decambios?

DS.%/ Prue8a $el Plan $e Con!inui$a$ $e TI

Se reali'an pruebas al plan de continuidad de TIde forma constante en $a empresa (graria('ucarera (nda)uasi?

DS.% En!renamien!o $el Plan $e Con!inui$a$ $e TI

$as partes involucradas en el plan de continuidadde TI reciben sesiones de )abilitacin de formaconstante respecto a los procesos y sus roles y

responsabilidades en caso de incidente odesastre?

DS.%9 Di!ri8u#i&n $el Plan Con!inui$a$ $e TI

(ctualmente en $a empresa (graria ('ucarera(nda)uasi existe una estrategia de distribucindefinida para asegurar que los planes sedistribuyan de manera apropiada y segura y queest"n siempre disponibles cuando se requiera?

DS.% Re#u+era#i&n - Reanu$a#i&n $e lo Ser*i#io $e TI

-urante el per*odo de recuperacin de TI, setienen activados sitios de respaldo, se reali'an

procesamientos alternativos, se les comunica a loscliente o terceros o se reali'an procedimientos dereanudacin?

DS.%; Alma#enamien!o $e Re+al$o 5uera $e la In!ala#ione

Se tienen almacenados fuera de lasinstalaciones, los medios de respaldo,documentacin y otros recursos de TI cr*ticos,necesarios para la recuperacin de TI y planes decontinuidad del negocio?

DS.%1< Re*ii&n Po! Reanu$a#i&n

$a 6erencia de TI )a establecido procedimientospara valorar lo adecuado del plan y actuali'ar elplan si as* lo requiere?

0.


15/21

DS/ >aran!izar la eguri$a$ $e lo i!ema

DS/%1% A$mini!ra#i&n $e la Seguri$a$ $e TI

$a empresa (graria ('ucarera (nda)uasiadministra la seguridad de TI?

DS/%% Plan $e Seguri$a$ $e TI

$a empresa (graria ('ucarera (nda)uasi cuentacon un plan de seguridad de TI?

DS/%% A$mini!ra#i&n $e I$en!i$a$

Existen mecanismos y procedimientos queaseguren que el usuario se autentique antes deutili'ar las funciones del sistema para la obtencinde la informacin?

DS/%.% A$mini!ra#i&n $e Cuen!a $el Uuario

Se lleva a cabo una debida administracin decuentas de usuario por parte del administrador de

usuarios basado en procedimientos establecidos?DS/%/% Prue8a7 'igilan#ia - 3oni!oreo $e la Seguri$a$

Se lleva a cabo un adecuado monitoreo de laseguridad de TI en $a empresa (graria ('ucarera(nda)uasi, con la finalidad de garanti'ar un nivelde seguridad adecuado?

DS/%% Defini#i&n $e In#i$en!e $e Seguri$a$

$os incidentes que puedan ocurrir est#ndefinidos y clasificados con la finalidad de quepuedan ser tratados de la mejor manera?

DS/%9% Pro!e##i&n $e la Te#nolog=a $e Seguri$a$

Se utili'a tecnolog*a para la proteccin deseguridad de la informacin de $a empresa(graria ('ucarera (nda)uasi? y en caso de queexista 1u" medidas se toman para protegerdic)a tecnolog*a?

DS/%% A$mini!ra#i&n $e la*e Cri+!ogr0fi#a

$a empresa (graria ('ucarera (nda)uasiadministra el uso llaves criptogr#ficas con lafinalidad de protegerlas de modificaciones ydivulgaciones no autori'adas?

DS/%;% Pre*en#i&n7 De!e##i&n - Corre##i&n $e Sof!@are 3ali#ioo

Se utili'an antivirus u otro soft4are relacionada ala neutrali'acin de soft4are malicioso?

DS/%1


16/21

DS%1% Defini#i&n $e Ser*i#io

Se tienen identificados los costos de TI y surelacin con los servicios de TI?

DS%% Con!a8iliza#i&n $e TI

$a asignacin de costos de TI se reali'a tomando

en cuenta la relacin que tienen estos con losservicios TI y en base a un modelo de costosestablecido?

DS%% 3o$ela#i&n $e Co!o - Cargo

El modelo de costos garanti'a un uso adecuadode recursos?

DS%.% 3an!enimien!o $el 3o$elo $e Co!o

El modelo de costos se revisa y compara deforma regular con la finalidad de acreditar larelevancia para el negocio y actividades de TI?

DS9 E$u#ar - en!renar a lo uuarioDS9%1% I$en!ifi#a#i&n $e Ne#ei$a$e $e En!renamien!o - E$u#a#i&n

Se reali'an la planificacin y actuali'acinperidica de programas de entrenamiento alpersonal con la finalidad de lograr que cumplancon los objetivos del negocio y a la ve' seancapacitados en el uso de TI?

DS9%% Im+ar!i#i&n $e En!renamien!o - E$u#a#i&n

Se identifican a los grupos para el entrenamiento,a los instructores, y se lleva un registro deasistencias y evaluaciones de dic)os eventos?

DS9%% E*alua#i&n $el En!renamien!o Re#i8i$oSe anali'an los resultados obtenidos en losprogramas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?

DS A$mini!rar la mea $e er*i#io - lo in#i$en!e

DS%1% 3ea $e Ser*i#io

Se reali'an la planificacin y actuali'acinperidica de programas de entrenamiento alpersonal con la finalidad de lograr que cumplancon los objetivos del negocio y a la ve' seancapacitados en el uso de TI?

DS%% Regi!ro $e Conul!a $e Clien!e

Se identifican a los grupos para el entrenamiento,a los instructores, y se lleva un registro deasistencias y evaluaciones de dic)os eventos?

DS%% E#alamien!o $e In#i$en!e

Se anali'an los resultados obtenidos en losprogramas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?

DS%.% Cierre $e In#i$en!eSe anali'an los resultados obtenidos en los

0. ;


17/21

programas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?

DS%/% An0lii $e Ten$en#ia

Se emiten reportes a la gerencia con la finalidad

de mostrar el desempe!o obtenido mediante losservicios y sus tiempos de respuesta, as* comotambi"n las incidencias que se )ayan presentado?

DS; A$mini!rar la #onfigura#i&n

DS;%1% Re+oi!orio - =nea Bae $e Configura#i&n

Existen )erramientas de soporte y un centro dealmacenamiento que contenga la informacinrelevante sobre los activos o elementos deconfiguracin?

DS;%% I$en!ifi#a#i&n - 3an!enimien!o $e Elemen!o $e Configura#i&n

Existen procedimientos de configuracin para darsoporte y gestionar los cambios al repositorio deconfiguracin?

DS;%% Re*ii&n $e In!egri$a$ $e la Configura#i&n

Se reali'an revisiones peridicas de los datos deconfiguracin para verificar y confirmar laintegridad de la configuracin actual e )istrica, ala ve' se revisan las aplicaciones soft4areinstalados con la finalidad de evitar malasconfiguraciones en ellos?

DS1< A$mini!rar lo +ro8lema

DS1


18/21

de forma precisa y oportuna?

DS11%% A#uer$o $e Alma#enamien!o - Coner*a#i&n

Se tienen definidos procedimientos para arc)ivar,almacenar y retener los datos de forma efectiva yeficiente?

DS11%% Si!ema $e A$mini!ra#i&n $e i8rer=a $e 3e$ioSe tienen definidos e implementadosprocedimientos para mantener un inventario demedios almacenados para asegurar la usabilidad eintegridad?

DS11%.% Elimina#i&n

Existen procedimientos de eliminacin,transferencias de datos y+o )ard4are que sirvanpara la proteccin de datos sensibles?

DS11%/% Re+al$o - Re!aura#i&nExiste un plan de continuidad de negocio querespalde los sistemas, aplicaciones, los datos ydocumentacin en l*nea?

DS11%% Re2uerimien!o $e Seguri$a$ +ara la A$mini!ra#i&n $e Da!o

Existen pol*ticas de seguridad aplicables a larecepcin, procesamiento, almacenamiento ysalida de los datos?

DS1 A$mini!rar el am8ien!e f=i#o

DS1%1% Sele##i&n - Die,o $el Cen!ro $e Da!o

Existe un centro de datos que tome en cuenta elriesgo asociado con desastres naturales ycausados por el )ombre?

DS1%% 3e$i$a $e Seguri$a$ 5=i#a

Existen medidas de seguridad alineadas con losrequerimientos del negocio?

DS1%% A##eo 5=i#o

Existe una administracin de acceso a las #reasde acuerdo con las necesidades del negocio?

DS1%.% Pro!e##i&n Con!ra 5a#!ore Am8ien!ale

Se )a implementado medidas de proteccin

contra factores ambientales?

DS1%/% A$mini!ra#i&n $e In!ala#ione 5=i#a

Se administra las instalaciones f*sicas deacuerdo con las leyes y los reglamentos, losrequerimientos t"cnicos y del negocio?

DS1 A$mini!rar la o+era#ione

DS1%1% Pro#e$imien!o e In!ru##ione $e O+era#i&n

Existe procedimiento est#ndar para operacionesde TI que garantice que el personal de

operaciones est" familiari'ado con todas lastareas de operacin?

0. =


19/21

DS1%% Programa#i&n $e Tarea

Emplea un programa de trabajos que maximiceel desempe!o para cumplir con los requerimientosdel negocio?

DS1%% 3oni!oreo $e la Infrae!ru#!ura $e TI

Se monitorea la infraestructura de TI y loseventos relacionados?

DS1%.% Do#umen!o Seni!i*o - Di+oi!i*o $e Sali$a

Se da una administracin de inventariosadecuado sobre los activos de TI m#s sensitivos?

DS1%/% 3an!enimien!o Pre*en!i*o $el ?ar$@are

Existe procedimientos para garanti'ar elmantenimiento oportuno del a infraestructura de TIpara as* disminuir el impacto de las fallas o el

desempe!o?Dominio


20/21

(graria ('ucarera (nda)uasi?

3E%% Re*iione $e Au$i!or=a

Se evala la eficiencia y efectividad de loscontroles internos de revisin de la gerencia de TI?

3E%% E4#e+#ione $e Con!rol

Existen excepciones de control y se reportan alos interesados?

3E%.% Con!rol $e Au!o E*alua#i&n

Existe un programa de continuo de auto7evolucin que evalu" la completitud y efectividadde los controles de gerencia sobre los procesos,pol*ticas y contratos de TI?

3E%/% Aeguramien!o $el Con!rol In!erno

Existe una revisin de terceros de los controlesinternos?

3E%% Con!rol In!erno +ara Ter#ero$a empresa (graria ('ucarera (nda)uasi evalael estado de los controles internos para serviciosexternos .proveedor/?

3E%9% A##ione Corre#!i*a

En los controles de evaluacin y los informes seidentifican e implementan acciones correctivas?

3E >aran!izar el Cum+limien!o Regula!orio

3E%1% I$en!ifi#ar lo Re2uerimien!o $e la e-e7 Regula#ione -Cum+limien!o Con!ra#!uale

$a empresa (graria ('ucarera (nda)uasi tieneuna base continua que permite identificarrequerimientos externos que deben cumplir paraincorporar en las pol*ticas y metodolog*as de TI de$a empresa (graria ('ucarera (nda)uasi?

3E%% O+!imizar la Re+ue!a a Re2uerimien!o E4!erno

Se revisa y ajusta las pol*ticas, est#ndares ymetodolog*as de TI para garanti'ar los requisitoslegales y regulatorios?

3E%% E*alua#i&n $el Cum+limien!o #on Re2uerimien!o E4!erno

Existe una evaluacin del cumplimiento con

requerimientos externos?3E%.% Aeguramien!o Poi!i*o $el Cum+limien!o

Se toma acciones correctivas de forma oportunapara resolver cualquier brec)a de cumplimientodel proceso?

3E%/% Re+or!e In!egra$o

$a empresa (graria ('ucarera (nda)uasi integralos reportes de TI sobre requerimientos legales,regulatorios contractuales con las salidas similaresprovenientes de otras funciones del negocio?

3E. Pro+or#ionar >o8ierno $e TI3E.%1% E!a8le#imien!o $e un 3ar#o $e >o8ierno $e TI

0. ,-


21/21

Existe un marco de gobierno de TI queproporcione una visin completa de control ygobierno corporativo que asegure el cumplimientoleyes y regulaciones?

3E.%% Alineamien!o E!ra!"gi#o

En la organi'acin )ay un comit" estrat"gico deTI encargado de brindar orientacin estrat"gica ala gerencia respecto a TI, y que facilite laalineacin de TI con el negocio?

3E.%% En!rega $e 'alor

$os activos de TI apoyan las estrategias y losobjetivos de $a empresa (graria ('ucarera(nda)uasi, y los resultados de las inversiones sonlas esperadas?

3E.%.% A$mini!ra#i&n $e Re#uro

Existe una evaluacin peridica )acia los activosde TI para asegurar que siempre est"n alineadoscon los objetivos estrat"gicos de $a empresa(graria ('ucarera (nda)uasi?

3E.%/% A$mini!ra#i&n $e Riego

$a empresa (graria ('ucarera (nda)uasi quetipo de metodolog*a utili'a para definir nivel deriesgo?

3E.%% 3e$i#i&n $el Deem+e,o

$a empresa (graria ('ucarera (nda)uasi revisael progreso )acia las metas identificadas

bas#ndose en el desempe!o de las TI?3E.%9% Aeguramien!o In$e+en$ien!e

Existen medidas que garanticen de formaindependiente la conformidad de TI con lalegislacin y la regulacin relevante?

0 ,

Cobit Cuestionario

Documents

Transcript of Cobit Cuestionario