Documente Academic
Documente Profesional
Documente Cultură
TRABAJO DE TITULACIN
2014
i
DEDICATORIA
Esta tesis se la dedico a mi Dios quin supo guiarme por el buen camino, darme fuerzas
para seguir adelante y no desmayar en los problemas que se presentaban, ensendome a
encarar las adversidades sin perder nunca la dignidad ni desfallecer en el intento.
Para mis padres por su apoyo, consejos, comprensin, amor, ayuda en los momentos
difciles, y por ayudarme con los recursos necesarios para estudiar. Me han dado todo lo
que soy como persona, mis valores, mis principios, mi carcter, mi empeo, mi
perseverancia, mi coraje para conseguir mis objetivos.
Mil palabras no bastaran para agradecerles su apoyo, su comprensin y sus consejos en los
momentos difciles.
A mis hermanos por estar siempre presentes, acompandome para poderme realizar. A
mis sobrinas que son una motivacin, inspiracin y felicidad.
ii
AGRADECIMIENTO
Primero y antes que nada, dar gracias a Dios, por estar conmigo en cada paso que doy, por
fortalecer mi corazn e iluminar mi mente
Agradecer hoy y siempre a mi familia por el esfuerzo realizado por ellos. El apoyo en mis
estudios, de ser as no hubiese sido posible. A mis padres y dems familiares ya que me
brindan el apoyo, la alegra y me dan la fortaleza necesaria para seguir adelante.
iii
UNIVERSIDAD TECNOLGICA ISRAEL
AUTORA DE TESIS
CC: 171641633-2
iv
UNIVERSIDAD TECNOLGICA ISRAEL
TUTOR
v
RESUMEN
El presente proyecto de titulacin est compuesto de cuatro captulos y anexos, que tienen
como principal objetivo, presentar los resultados de la auditoria informtica realizada a una
institucin aseguradora, utilizando las directrices de auditoria de COBIT 5.
vi
ABSTRACT
This graduation project is composed of four chapters and appendices, which are aimed to
present the results of the computer audit on an insurance institution, using guidelines audit
COBIT 5.
In Chapter I the background research and scientific and technical detailing duly
substantiated grounds, plus some concepts and parameters that define the Computer Audit
exposed, related to the control environment, processes and IT controls.
In Chapter II the methodology Cobit 5 (Control Objectives for Information and Related
Technology), generally accepted standard for good practice in safety technology and
management and control of information technology is datalla. In this chapter the type of
research to be carried out is detailed, and the like that will be held instrument for a
particular research population and sample.
The execution of computer audit, the risk analysis of the findings of vulnerabilities and the
preparation of the final audit report with recommendations issued by the insurance
institution is presented in Chapter III, to mitigate the risks identified in the institution.
Finally in the last chapter the conclusions and recommendations of this project are
presented.
vii
INDICE GENERAL
DEDICATORIA ......................................................................................................................................ii
AGRADECIMIENTO .............................................................................................................................iii
AUTORA DE TESIS .............................................................................................................................. iv
APROBACIN DEL TUTOR....................................................................................................................v
RESUMEN ........................................................................................................................................... vi
ABSTRACT .......................................................................................................................................... vii
INDICE GENERAL............................................................................................................................... viii
NDICE DE TABLAS .............................................................................................................................. xi
NDICE DE FIGURAS .......................................................................................................................... xiii
INTRODUCCIN ................................................................................................................................... I
Introduccin General ...................................................................................................................... I
Antecedentes ................................................................................................................................. II
Descripcin del problema a resolver............................................................................................. IV
Objeto de estudio.......................................................................................................................... IV
Campo de investigacin ................................................................................................................ IV
Objetivo General ........................................................................................................................... IV
Objetivos Especficos ..................................................................................................................... IV
Ideas a Defender ............................................................................................................................ V
CAPITULO I ......................................................................................................................................... 1
1. MARCO TEORICO ........................................................................................................................ 1
1.1. Antecedentes Investigativos ............................................................................................... 1
1.2. Fundamentacin Cientfico Tcnica ................................................................................. 2
1.2.1. Auditora ....................................................................................................................... 2
1.2.1.1. Clasificacin de las auditorias ............................................................................... 2
1.2.2. Auditora Informtica ................................................................................................... 3
1.2.2.1 Objetivos de la Auditoria Informtica .................................................................... 3
1.2.2.2 Bases de la Auditoria Informtica .......................................................................... 3
1.2.2.3 Tipos y Clases de Auditoria Informtica ................................................................. 4
1.2.3. COBIT ............................................................................................................................ 5
1.2.4. COBIT 5 ......................................................................................................................... 6
1.2.5 COSO............................................................................................................................ 12
1.2.6 ITIL ............................................................................................................................... 14
viii
CAPTULO II ...................................................................................................................................... 17
2. METODOLOGA Y DIAGNSTICO DE LA INVESTIGACIN ......................................................... 17
2.1. Fuentes de informacin .................................................................................................... 17
2.2. Metodologa de la investigacin ....................................................................................... 17
2.3. Tcnicas e instrumentos de recoleccin de datos ............................................................ 18
2.4. Plan de Muestreo .............................................................................................................. 18
2.5. Trabajo de campo .............................................................................................................. 19
2.6. Procesamiento de la informacin ..................................................................................... 20
2.7. Anlisis e interpretacin de resultados. ............................................................................ 28
2.8. Problemas y especificacin de requerimientos. ............................................................... 29
2.9. Estudio de Factibilidad ...................................................................................................... 29
2.9.1. Estudio de Factibilidad Operativa .............................................................................. 29
2.9.1.1 Resistencia al cambio ........................................................................................... 29
2.9.1.2. Viabilidad de la Implementacin......................................................................... 30
2.9.1.3. Impacto Tecnolgico ........................................................................................... 30
2.9.2. Estudio de Factibilidad Tecnolgica ........................................................................... 30
2.9.2.1. Plataforma, Sistemas, Interconectividad. ........................................................... 30
2.9.3. Estudio de Factibilidad Econmica ............................................................................. 36
2.9.3.1. Costo de la Auditoria ........................................................................................... 36
2.9.3.2. Recurso Humano ................................................................................................. 36
2.9.3.3 Recursos Materiales ............................................................................................. 36
2.9.3.4. Recursos Varios ................................................................................................... 36
2.9.3.5. Tabla Resumen .................................................................................................... 37
CAPTULO III ..................................................................................................................................... 38
3. PROPUESTA .............................................................................................................................. 38
3.1. Antecedentes de la propuesta .......................................................................................... 38
3.2. Justificacin ....................................................................................................................... 39
3.3. Objetivos de la propuesta ................................................................................................. 40
3.3.1. General ....................................................................................................................... 40
3.3.2. Especficos .................................................................................................................. 40
3.4. Desarrollo de la Propuesta. ............................................................................................... 40
3.4.1. Estudio Preliminar del Entorno a Auditar .................................................................. 40
3.4.2. Estudio del Departamento de Tecnologa de la Informacin .................................... 49
3.4.3. Planeacin de la auditoria informtica a Seguros del Pichincha ............................... 55
ix
3.4.3.1. Planeacin Previa ................................................................................................ 55
3.4.3.2. Estudio preliminar ............................................................................................... 56
3.4.3.3. Desarrollo de la estrategia de la auditoria .......................................................... 56
3.4.3.4 Descripcin del Mapa de Relacin COBIT SEGUROS DEL PICHINCHA ............... 65
3.4.3.5 Descripcin de las Matrices.................................................................................. 66
3.4.3.6 Determinacin de Resultados y Productos de la Auditora ................................. 71
3.4.3.7 Recursos para la auditora .................................................................................... 73
3.4.3.8 Programa de auditora ......................................................................................... 76
3.4.3.9 Cronograma de actividades para la Auditora...................................................... 77
3.5 Informe de Auditora .......................................................................................................... 78
3.5.1 Carta de Presentacin de la Auditora Informtica ..................................................... 78
Anlisis de la Seguridad de la informacin de Seguros del Pichincha.............................................. 82
CONCLUSIONES ................................................................................................................................ 96
RECOMENDACIONES ........................................................................................................................ 97
BIBLIOGRAFIA ................................................................................................................................... 98
ANEXOS .......................................................................................................................................... 100
Anexo 1: Tabulacin de encuestas A para la empresa Seguros del Pichincha s.a ..................... 100
Anexo 2: Tabulacin de encuesta B para la empresa Seguros del Pichincha s.a ....................... 110
Anexo 3: Tabulacin de encuesta C para la empresa Seguros del Pichincha s.a ....................... 120
Anexo 4: Estndares de Software y Hardware ........................................................................... 125
Anexo 5: Planos y Matrices COBIT Desarrollados durante la ejecucin de la Auditoria de Seguros
del Pichincha .............................................................................................................................. 129
x
NDICE DE TABLAS
Tabla 2.1. Caractersticas de los Sistemas Operativos ..................................................................... 31
Tabla 2.2. Caractersticas de los Sistemas Operativos en los Servidores ......................................... 32
Tabla 2.3. Caractersticas del Paquete de Programas Informticos................................................. 32
Tabla 2.4. Caractersticas de los Programas Internos. ..................................................................... 33
Tabla 2.5. Costo de desarrollo de la Auditoria Recursos humanos.................................................. 36
Tabla 2.6. Costo de desarrollo de la Auditoria Recursos Materiales ............................................... 36
Tabla 2.7. Costo de desarrollo de la Auditoria Recursos Varios ...................................................... 36
Tabla 2.8. Costo total del desarrollo de la Auditoria........................................................................ 37
Tabla 3.1. Objetivos del Departamento de TI de Seguros del Pichincha ......................................... 50
Tabla 3.2. Matriz Foda del Departamento de TI. SDP ...................................................................... 52
Tabla 3.3. Recursos Humanos de TI ................................................................................................. 52
Tabla 3.4. Recursos Humanos de DTI-Regionales ............................................................................ 53
Tabla 3.5. Presupuesto Referencial .................................................................................................. 55
Tabla 3.6. Procesos y Objetivos de Gobierno COBIT. ....................................................................... 58
Tabla 3.7. Metas Generales de TI de Seguros del Pichincha ............................................................ 59
Tabla 3.8. Metas de TI COBIT (COBIT 5, 2012) .............................................................................. 59
Tabla 3.9. Mtricas y Mediciones de la Auditoria Informtica a Seguros del Pichincha ................. 60
Tabla 3.10. Componentes del Mapa de Relacin COBIT-Seguros del Pichincha.............................. 60
Tabla 3.11.Equivalencias del Impacto .............................................................................................. 62
Tabla 3.12. Parmetros del indicador de Madurez .......................................................................... 63
Tabla 3.13. Parmetros del Indicador de Desempeo ..................................................................... 64
Tabla 3.14. Parmetros del Indicador de Cumplimiento de Objetivos ............................................ 64
Tabla 3.15. Parmetros del Indicador de Impacto ........................................................................... 65
Tabla 3.16. Modelo Genrico de Madurez COBIT.(COBIT,2012) .................................................. 67
Tabla 3.17. Equivalencias de Desempeo ........................................................................................ 68
Tabla 3.18. Interpretacin de los Impactos de acuerdo a COSO ..................................................... 69
Tabla 3.19. Equivalencias del Impacto ............................................................................................. 70
Tabla 3.20. Equivalencias Cuantitativas de la Importancia .............................................................. 71
Tabla 3.21. Seleccin de la muestra. ................................................................................................ 76
Tabla 3.22. Programa de Auditoria .................................................................................................. 77
Tabla 3.23 Cronograma de Auditoria ............................................................................................... 78
Tabla 3.24. Catalogo de Servicios ..................................................................................................... 81
Tabla 3.25. Dominio para pruebas de Hacking Etico Externo .......................................................... 83
Tabla 3.26. Vulnerabilidades Seguros del Pichincha para pruebas externas ................................... 84
Tabla 3.27. Objetivos de anlisis para pruebas internas de Hacking Etico ...................................... 85
Tabla 3.28. Objetivo de anlisis para pruebas internas de Hacking Etico........................................ 91
Tabla 3.29. Informacion recolectada en pruebas de ingeniera social............................................. 92
Tabla 3.30. Recomendaciones Hacking Etico ................................................................................... 93
Tabla A5.1. Plano de enlace de las metas de la institucin, metas TI y Criterios de Informacion . 129
Tabla A5.2. Plano de enlace de las metas TI, Procesos COBIT y Criterios de informacin ............ 130
Tabla A5.3. Plano de enlace de las metas relacionados con las TI y los Procesos relacionados con TI
........................................................................................................................................................ 131
xi
Tabla A5.4. Plano de enlace de las metas relacionados con las TI y los procesos relacionados con TI
........................................................................................................................................................ 132
Tabla A5.5. Plano de enlace de las metas corporativas de COBIT 5 y las metas relacionadas con TI
........................................................................................................................................................ 138
Tabla A5.6. Plano de responsabilidades de Procesos COBIT.......................................................... 139
Tabla A5.7. Matriz de Grados de Procesos Seguros del Pichincha.............................................. 140
Tabla A5.8. Matriz de Nivel de usuarios Seguros del Pichincha .................................................. 141
Tabla A5.9. Matriz de Cumplimiento de Objetivos de Gobierno ................................................... 142
Tabla A5.10. Matriz de Impacto de Procesos frente a los criterios de Informacion de COBIT ...... 143
xii
NDICE DE FIGURAS
Figura 1. Organigrama Seguros del Pichincha. ................................................................................. III
Figura 1.1. A.I. como interseccin de otras disciplinas. ..................................................................... 4
Figura 1.2. Principios de COBIT 5 ....................................................................................................... 7
Figura 1.3. Habilitadores de COBIT 5.................................................................................................. 8
Figura 1.4. Marco de Trabajo Completo de COBIT. .......................................................................... 10
Figura 1.5. Familia de Productos COBIT. .......................................................................................... 11
Figura 1.6. Categoras de Catalizadores COBIT. ............................................................................... 11
Figura 1.7. Componentes de COSO-ERM. ........................................................................................ 13
Figura 1.8. Flujos de Informacin ERM. ........................................................................................... 14
Figura 1.9. Biblioteca de Infraestructura de la Informacin ............................................................ 16
Figura 2.1. Pirmide de Procesos ..................................................................................................... 19
Figura 2.2. Niveles de descripcin de requerimientos utilizados en las diferentes fases del proceso
de ingeniera de requerimientos. ..................................................................................................... 29
Figura 2.3. Diagrama de Servidores ................................................................................................. 34
Figura 2.4.Topologia de Red Seguros del Pichincha......................................................................... 35
Figura 3.1. Cadena de Valor de Seguros del Pichincha .................................................................... 51
Figura 3.2. Dimensiones del Estado del Proceso.............................................................................. 61
Figura 3.3. Productos de Auditoria Informtica para Seguros del Pichincha................................... 72
Figura 3.4. Resultados de Auditoria Informtica para Seguros del Pichincha ................................. 73
Figura 3.5. Seleccin de la Muestra de Auditados ........................................................................... 75
Figura 3.6. Equipos externos afectados por vulnerabilidades ......................................................... 83
Figura 3.7. Plan para definir las polticas y procedimientos de Seguridad de la Informacin ......... 94
Figura 3.8. Plan para creacin del rea de Seguridad de la Informacin......................................... 95
Figura A4.1. Estndares de Software ............................................................................................. 125
Figura A4.2. Estndares de Hardware Servidor tipo Blade ......................................................... 126
Figura A4.3. Estndares de Hardware-Computadores de Escritorio ............................................. 126
Figura A4.4. Estndares de Hardware-Computadores Porttiles .................................................. 127
Figura A4.5. Estndares de Hardware Impresoras ...................................................................... 127
Figura A4.6. Estndares de Hardware - Telfonos ......................................................................... 128
xiii
INTRODUCCIN
Introduccin General
En el Ecuador existen compaas aseguradoras divididas en los siguientes sectores: seguros
generales 11 compaas, seguros generales y de vida 22 compaas y netamente seguros de
vida 7 compaas. La competencia de las empresas de seguros en el pas crece, ante lo cual
se realizan alianzas para captar mayores clientes y poder fortalecer las posiciones
situacionales de las organizaciones.
Seguros del Pichincha es una organizacin que cuenta con ms de 19 aos de experiencia
en asegurar lo ms trascendental que tiene las personas su vida. Es una empresa lder en el
mercado asegurando personas
La auditora est alcanzando un rol cada vez ms importante en diferentes reas como son
de desempeo, privacidad y seguridad. Satisfacer las regulaciones de cumplimiento y
mitigar los riesgos relacionados con las amenazas internas son algunos de los retos de
seguridad ms significativos a los que se afrontan las empresas.
I
Antecedentes
SEGUROS DEL PICHINCHA S.A. COMPAA DE SEGUROS Y REASEGUROS., es
una empresa binacional, de capital Colombo Ecuatoriano, constituida mediante escritura
pblica el 24 de enero de 1995, aprobada por la Superintendencia de Bancos segn
resolucin 95 035 s del 03 de febrero de 1995 e inscrita en el Registro Mercantil el 17
de febrero del mismo ao. Su casa matriz est ubicada en la Av. Gonzlez Suarez N32-346
y Corua en la ciudad de Quito, Repblica del Ecuador.
SEGUROS DEL PICHINCHA S.A. opera en todos los ramos o modalidades de seguros de
vida y generales que se encuentran vigentes en el mercado, aprobados por la
Superintendencia de Bancos.
La empresa decidi trabajar con mayor nfasis en los ramos de seguros personales en los
que brinda mayor servicio y sobre todo en proteccin econmica familiar.
SEGUROS DEL PICHINCHA S.A. su lema una familia para la familia se dedica a
Seguros de Vida individuales y colectivos.
II
El organigrama de Seguros del Pichincha es:
III
Descripcin del problema a resolver
El departamento tecnolgico de Seguros del Pichincha S.A. ha delatado fallas en sus
Sistemas de Informacin, en los procedimientos de seguridad en la informacin de sus
sistemas informticos, los que ocasionan retrasos en las operaciones de la empresa, por
lo cual necesitan verificar las vulnerabilidades y oportunidades de mejora en sus
sistemas, ya que prdidas de tiempo y dinero se ven constantemente relacionadas con
problemas con los sistemas.
Objeto de estudio
Aplicacin de la Ingeniera Informtica para la revisin prctica de los recursos
informticos con que cuentan las empresas aseguradoras.
Campo de investigacin
Anlisis, de la verificacin y de exposicin de debilidades y disfunciones de los sistemas
de informacin de la sociedad annima Seguros del Pichincha.
Objetivo General
Realizar una Auditora Informtica del Sistema de Informacin de SEGUROS DEL
PICHINCHA S.A. COMPAIA DE SEGUROS Y REASEGUROS, utilizando el estndar
internacional COBIT 5, a fin de identificar debilidades y emitir informes que permitan la
toma de decisiones por parte de la gerencia.
Objetivos Especficos
Realizar una investigacin bibliogrfica que permita conocer las principales tendencias en
cuanto a procedimientos y estndares internacionales de Tecnologas de la Informacin, los
mismos que servirn como fundamento terico del proyecto.
Diagnosticar y Analizar la informacin obtenida de la situacin actual en relacin a la
recurrencia de los incidentes, mediante la aplicacin del mtodo cientfico.
Realizar el procedimiento de auditoria aplicando el estndar COBIT 5 en la evaluacin y
auditoria de sistemas en Seguros del Pichincha s.a.
Conocer, categorizar, priorizar y documentar los problemas, exigidos por el estndar
internacional adoptada para el diseo del presente proyecto, que permita la evaluacin de
los expertos.
IV
Ideas a Defender
Mediante la elaboracin de una Auditoria Informtica, utilizando el estndar internacional
COBIT 5, se identificara las debilidades en la seguridad en los sistemas de informacin y
emitir informes que permitan la toma de decisiones por parte de la gerencia.
V
CAPITULO I
1. MARCO TEORICO
1.1. Antecedentes Investigativos
Se ha determinado que la Compaa de Seguros del Pichincha s.a., ubicada su matriz en
la ciudad de Quito, no ha planificado, ni ejecutado ningn proyecto de investigacin
sobre el problema de estudio de una Auditoria Informtica, este juicio permite asegurar
que este trabajo investigativo planteado tiene un enfoque de originalidad y sus
resultados permitirn poner las bases para un futuro exitoso de la compaa.
SEGUROS DEL PICHINCHA S.A. opera en todos los ramos o modalidades de seguros
de vida y generales que se encuentran vigentes en el mercado, aprobadas por la
Superintendencia de Bancos.
La empresa decidio trabajar con mayor enfasis en los ramos de seguros personales en
los que brinda mayor servicio y sobre todo proteccion familiar.
1
1.2. Fundamentacin Cientfico Tcnica
1.2.1. Auditora
A la auditora se la vincula como una rendicin de cuentas con el fin de descubrir
errores pero la explicacin de auditoria va ms lejos.
2
1.2.2. Auditora Informtica
3
Figura 1.1. A.I. como interseccin de otras disciplinas.
Basado en Caridad Simon, (2006,p.18).
El Marco referencial COBIT, adaptado a Seguros del Pichincha s.a., que se sujeta a
prcticas de administracin a travs de objetivos de control de Alto Nivel,
organizadas en
Cada uno de estos dominios contiene declaraciones de los resultados que se deseen
obtener, mediante la implementacin de procedimientos de controles especficos y
relacionados a la actividad TI, en funcin de los riesgos identificados y focalizados en el
departamento de recursos informticos de Seguros del Pichincha s.a.
La tcnica que se propone servir para entender los numerosos aspectos que se
relacionan con los procedimientos de una auditoria informtica en seguridad de la
informacin lo que permitir realizar de forma adecuada. Cabe mencionar que para el
adecuado desarrollo de los procedimientos se estudiaran algunas tcnicas que existen en
la actualidad.
1.2.4. COBIT 5
Isaca (2012) Conjunto de mejores prcticas para el manejo de informacin creado
por la Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA), y el
Instituto de Administracin de las Tecnologas de la Informacin (ITGI). COBIT 5
provee un Framework de Gobierno y Gestin de TI para las empresas.
6
Beneficios de COBIT 5:
Mantiene informacin de alta calidad para soportar las decisiones de negocio.
Alcanzar los objetivos estratgicos y obtener los beneficios de negocio a travs del uso
efectivo e innovador de TI.
Lograr la excelencia operativa a travs de una aplicacin fiable y eficiente de la
tecnologa.
Mantener los riesgos relacionados con TI a un nivel aceptable.
Optimizar el costo de servicios de TI y tecnologa.
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las
polticas.
Principios de COBIT 5
El marco de COBIT 5 se basa en 5 principios clave que incluyen una amplia gua para
los facilitadores de gobierno y gestin de TI en la empresa. En la Figura 1.2 se muestran
estos 5 principios.
7
COBIT 5 define 7 categoras de habilitadores que se pueden ver en la Figura 1.3:
8
Personas, Habilidades y Competencias: Requeridas para completar con xito las
actividades y para tomar las decisiones correctas y acciones correctivas.
COBIT 5 hace una clara distincin entre gobierno y gestin. Estas dos disciplinas
abarcan diferentes tipos de actividades, requieren de estructuras organizativas diferentes
y tienen objetivos diferentes. Para este marco la diferencia clave entre gobierno y
gestin es:
Gobierno: asegura que las necesidades de los Stakeholders, condiciones y opciones son
evaluadas para determinar un balance entre el logro de los objetivos estratgicos de la
organizacin; establecer direccin de la organizacin a travs de priorizacin y toma de
decisiones; y monitorear el desempeo y cumplimiento contra la direccin y los
objetivos acordados. En la mayora de las empresas, el gobierno es responsabilidad de la
junta directiva bajo el mando del presidente.
Gestin: planea, construye, ejecuta y monitorea actividades en alineamiento con la
direccin establecida por gobierno, para alcanzar los objetivos estratgicos de la
organizacin. En la mayora de las organizaciones, gestin es responsabilidad de la
direccin ejecutiva bajo el mando del CEO.
Procesos de TI.
COBIT se divide en tres niveles:
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.
9
Figura 1.4. Marco de Trabajo Completo de COBIT.
Fuente: (COBIT 5,2012, p. 33)
El Marco de Trabajo COBIT 5.
COBIT 5 es un marco de trabajo integral para el gobierno y gestin de las TI
corporativas. Tiene como objetivo principal, ayudar a las empresas a generar el valor
ptimo desde las TI manteniendo el equilibrio entre los beneficios y la optimizacin
de los niveles de riesgo y el uso de recursos. (ISACA, 2012)
COBIT 5 corresponde a la ltima versin del marco de trabajo publicado y mantenido
por ISACA, una asociacin global, independiente sin fines de lucro que se involucra en
el desarrollo, adopcin y uso, de conocimiento y prcticas mundialmente aceptadas en
la industria de los SI.
La Figura 1.5 detalla los productos que conforman la familia COBIT 5, la cual incluye
el propio marco de trabajo y otras publicaciones que proporcionan orientacin adicional
sobre los catalizadores dentro del marco o guas profesionales que se pueden utilizar de
acuerdo a las necesidades de cada empresa.
10
Figura 1.5. Familia de Productos COBIT.
Fuente: (COBIT 5,2012, p. 36)
11
1.2.5 COSO, Committee Of Sponsoring Organizations Of The Treadway
Commission COSO Report o COSO I fue un informe sobre control interno elaborado
en 1992 por el Committee of Sponsoring Organizations of the Treadway Commission
de los EEUU., con el objetivo fundamental de especificar un marco conceptual de
control interno de las organizaciones, capaz de integrar las diferentes polticas y
lineamientos que permitan a la alta direccin mejorar sus sistemas de control interno.
De acuerdo a COSO I, el control interno se basa en los siguientes componentes:
ambiente de control, evaluacin de riesgos, actividades de control, informacin y
comunicacin, y supervisin.
Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora
como parte de l, permitiendo a las organizaciones mejorar sus prcticas de control
interno o decidir encaminarse hacia un proceso ms completo de gestin de riesgo.
Marco del Control Interno (COSO-ERM: La definicin del marco del control interno se
entiende como el proceso que ejecuta la administracin con el fin de evaluar
operaciones especficas con seguridad razonable en tres principales categoras:
Efectividad y eficiencia operacional, confiabilidad de la informacin financiera y
cumplimiento de polticas, leyes y normas. (COSO, 2004)
12
Existe tambin una relacin directa entre los objetivos y los ocho componentes
referenciados, la que se manifiesta permanentemente en el campo de la gestin: las
unidades operativas y cada agente de la organizacin conforman secuencialmente un
esquema orientado a los resultados que se buscan. Un cuadro de las componentes se
muestra en la Figura 1.7 (COSO, 2004)
13
Figura 1.8. Flujos de Informacin ERM.
Fuente: (COSO, 2004, p.87)
1.2.6 ITIL
Information Technology Infrastructure Library (Biblioteca de Infraestructura de
Tecnologas de Informacin), frecuentemente abreviada ITIL, es un marco de trabajo
de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la
informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de
gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han sido
desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y
operaciones de TI.
Aunque se desarroll durante los aos 1980, ITIL no fue ampliamente adoptada hasta
mediados de los aos 1990. SI es una certificacin. ITIL se considera a menudo junto
14
con otros marcos de trabajo de mejores prcticas como la Information Services
Procurement Library (ISPL, Biblioteca de adquisicin de servicios de informacin), la
Application Services Library (ASL, Biblioteca de servicios de aplicativos), el mtodo
de desarrollo de sistemas dinmicos (DSDM, Dynamic Systems Development Method),
el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la
gobernanza de tecnologas de la informacin mediante COBIT (Control Objectives for
Information and related Technology).
ITIL se construye en torno a una vista basada en proceso-modelo del control y gestin
de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de
ITIL fueron desarrolladas en los aos 1980 por la Central Computer and
Telecommunications Agency (CCTA) del gobierno britnico como respuesta a la
creciente dependencia de las tecnologas de la informacin y al reconocimiento de que
sin prcticas estndar, los contratos de las agencias estatales y del sector privado
creaban independientemente sus propias prcticas de gestin de TI y duplicaban
esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores
costes.
ITIL fue publicado como un conjunto de libros, cada uno dedicado a un rea especfica
dentro de la Gestin de TI. Los nombres ITIL e IT Infrastructure Library (Biblioteca de
infraestructura de TI) son marcas registradas de la Office of Government Commerce
(Oficina de comercio gubernamental, OGC), que es una divisin del Ministerio de
Hacienda del Reino Unido.
Uno de los principales beneficios propugnado por los defensores de ITIL dentro de la
comunidad de TI es que proporciona un vocabulario comn, consistente en un glosario
de trmino precisamente definidos y ampliamente aceptados.
15
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de las
TI para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como
resultado una necesidad creciente de servicios TI de calidad que se correspondan con
los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente. A
travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la
gestin de servicios TI.
16
CAPTULO II
- En base a los resultados obtenidos, se llevaron a cabo las entrevistas que constituye un
mtodo de auditora personalizada, para profundizar en la indagacin.
- Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas
sustantivas (checklist) y se recopilaron evidencias.
17
propone COBIT, se presentaron las observaciones y recomendaciones emitidas en un
informe a la Gerencia. (ISACA, 2014).
2.3. Tcnicas e instrumentos de recoleccin de datos
En la Auditoria Informtica vamos hacer referencia a las siguientes tcnicas e
instrumentos de recoleccin de datos:
Anlisis y revisin bibliogrficos.- Para recopilar informacin de libros, textos y
documentos relacionados y apropiados con la problemtica de la investigacin.
Lectura crtica.- Para determinar los contenidos tericos y metodolgicos que permiten
de forma adecuada la investigacin y sus instrumentos respectivos.
Consulta de fuentes secundarias.- en caso de que sea necesario incrementar la
informacin en las diferentes etapas y captulos de la investigacin.
Entrevistas.- De manera especial a los Funcionarios de alto rango de la institucin,
objeto de estudio y a quienes directa o indirectamente tienen relacin con los Sistemas
de Informacin que soporta la infraestructura tecnolgica.
Cuestionarios.- Para obtener informacin puntual de quienes participan en los procesos
que permiten dar cumplimiento a los objetivos de control y objetivos institucionales
Listas de Verificacin.- Servirn para determinar el nivel de cumplimiento de Seguros
del Pichincha de los objetivos de control planteados por el modelo de gestin y control
COBIT 5.
2.4. Plan de Muestreo
La encuesta ser aplicada a los empleados de Seguros del Pichincha de la matriz.
Z2 * p*q
n
e2 N 1 o2 * p * q
Dnde:
N = Tamao de la muestra.
P y Q = Probabilidad de xito. P y Q = 0.25
e = error muestra 5% = 0,05
Z = Constante = 1.96
o = Nivel de confianza
18
No se utilizar la frmula debido a que la encuesta fue realizada a los empleados de
Seguros del Pichincha de la matriz, donde n= 100 personas.
Otro punto para no aplicar la frmula es porque se aplica a una poblacin finita y por
qu el tamao de la muestra es una parte representativa de la poblacin de Seguros del
Pichincha.
2.5. Trabajo de campo
El proceso de la auditora informtica es similar al que se lleva a cabo a los de estados
financieros, en el cual, los objetivos principales son: salvaguardar los activos, asegurar
la integridad de los datos, la consecucin de los objetivos gerenciales y, la utilizacin
racional de los recursos, con eficiencia y eficacia, para lo que se realiza la recoleccin y
evaluacin de evidencias.
Para que una auditora sea exitosa, debe tomar en cuenta muchos de los aspectos
tratados en el punto anterior. A continuacin se muestra un grfico que muestra cmo
actan conjuntamente todos los componentes, tanto de la empresa como del auditor,
para que se genere una auditora efectiva y eficaz.
19
2.6. Procesamiento de la informacin
Una vez recolectada la informacin necesaria se proceder al anlisis de los datos
obtenidos los cuales son parte medular para la propuesta. Los datos sern cuantificados
y presentados grficamente y de esta forma se lograr obtener las respectivas
conclusiones.
Por lo cual se realiza las siguientes encuestas las cuales estn representadas
grficamente en los Anexos 1, 2, 3.
ENCUESTA A
CARGO: _________________
DEPARTAMENTO:_________________
Instrucciones: Contestar claramente y con honestidad, cada una de las preguntas que se
presentan a continuacin.
1. La estructura actual esta ptima para que se realicen con eficiencia las
funciones encomendadas?
a. Si b. No
Comentario: ........................................................................................................................
distributivo de trabajo?
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
20
4. De acuerdo a la estructura jerrquica de la empresa se tiene una adecuada
a. Si b. No
Comentario: ........................................................................................................................
responsabilidades?
a. Si b. No
Comentario: ........................................................................................................................
6. Los puestos de trabajo van acordes con las necesidades del rea para realizar
sus funciones?
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
10. Las funciones del rea van acorde al reglamento interno de la organizacin?
a. Si b. No
Comentario: ........................................................................................................................
21
11. En caso de no encontrarse el jefe, un miembro inmediato puede realizar sus
funciones?
a. Si b. No
Comentario: ........................................................................................................................
12. Para cumplir con las funciones del rea se requiere apoyo de otras?
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
16. Se da cumplimiento por parte del personal con las polticas, procedimientos y
a. Si b. No
Comentario: ........................................................................................................................
17. Existen polticas para la seguridad cuando termina la relacin laboral con un
empleado?
a. Si b. No
Comentario: ........................................................................................................................
22
18. Se adapta el personal al mejoramiento administrativo del rea?
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
a. Si b. No
Comentario: ........................................................................................................................
..
23
ENCUESTA B
CUESTIONARIO DE CONTROLES Y SEGURIDADES FISICAS DE SEGUROS
DEL PICHINCHA
CARGO: _________________
DEPARTAMENTO: _________________
Instrucciones: Contestar claramente y con honestidad, cada una de las preguntas que se
presentan a continuacin.
1. El departamento donde usted trabaja tiene seguridades contra desastres
naturales?
a. Si b. No
Comentario: ........................................................................................................................
2. Existe un plan de evacuacin para el departamento?
a. Si b. No
Comentario: ........................................................................................................................
3. Cuentan con horarios fijos de entrada y salida?
a. Si b. No
Comentario: ........................................................................................................................
4. Se registra el acceso al departamento de personas ajenas a el?
a. Si b. No
Comentario: ........................................................................................................................
5. Existe alarmas para detectar el fuego, agua, calor o humo en forma
automtica?
a. Si b. No
Comentario: ........................................................................................................................
6. Existe en el departamento extintores de fuego?
a. Si b. No
Comentario: ........................................................................................................................
7. Se ha adiestrado al personal para el manejo de extintores?
a. Si b. No
Comentario: ........................................................................................................................
8. Los extintores automticos son activados por detectores automticos?
a. Si b. No
Comentario: ........................................................................................................................
24
9. Los interruptores de energa elctrica estn debidamente protegidos,
etiquetados, sin obstculos para alcanzarlos?
a. Si b. No
Comentario: ........................................................................................................................
10. Saben que hacer los brigadistas de cada departamento en caso que ocurra una
emergencia ocasionada por fuego?
a. Si b. No
Comentario: ........................................................................................................................
11. Se ha adiestrado a todo el personal en la forma en que se debe desalojar las
instalaciones en caso de emergencia?
a. Si b. No
Comentario: ........................................................................................................................
12. Se han tomado medidas para minimizar la posibilidad de fuego?
a. Si b. No
Comentario: ........................................................................................................................
13. Se hace mantenimiento peridico a los computadores?
a. Si b. No
Comentario: ........................................................................................................................
14. Tiene conocimiento de la existencia de un plan de contingencia?
a. Si b. No
Comentario: ........................................................................................................................
15. Los cables de red, switch, hubs, etc. Se encuentran debidamente etiquetados?
a. Si b. No
Comentario: ........................................................................................................................
16. El personal de limpieza est preparado para manipular los dispositivos
informticos?
a. Si b. No
Comentario: ........................................................................................................................
17. Existen salidas de emergencia en caso de desastres?
a. Si b. No
Comentario: ........................................................................................................................
25
18. Se vigila la moral y el comportamiento del personal con el fin de mantener
una buena imagen?
a. Si b. No
Comentario: ........................................................................................................................
19. Existe una persona responsable de la seguridad informtica en su
departamento?
a. Si b. No
Comentario: ........................................................................................................................
20. Existen alarmas para detectar otras condiciones anormales en el ambiente?
a. Si b. No
Comentario: ........................................................................................................................
..
26
ENCUESTA C
CUESTIONARIO DE SEGURIDADES LOGICAS DE SEGUROS DEL
PICHINCHA
CARGO: _________________
DEPARTAMENTO: _________________
Instrucciones: Contestar claramente y con honestidad, cada una de las preguntas que se
presentan a continuacin.
1. Si tiene algn problema informtico
Usted comunica al Departamento de Sistemas
Lo soluciona solo
Ambos
Ninguno
2. Cuando usted abandona su lugar de trabajo
Apaga el computador
Coloca un ingreso de contrasea para reiniciar las actividades
Ninguna de las dos alternativas
27
8. Tiene conocimiento de todos los software instalados en su computador
Poco
Mucha
Nada
9. Cree que necesita una capacitacin para el uso de sistemas nuevos en la empresa
a. Si b. No
10. Para instalar nuevo software en su computador
Solicita permiso al Departamento de Sistemas
Lo instala usted y lo comunica al Departamento de Sistemas
Simplemente lo instala
No lo instala
Conclusiones:
..........................................................................................................................
..
28
2.8. Problemas y especificacin de requerimientos.
Es importante analizar estos aspectos, para poder establecer cmo mejorar la calidad del
anlisis de requerimientos. Para esto, se debe partir de la siguiente premisa: el factor
ms relevante en el xito de un proceso de ingeniera de requerimientos, es la calidad
con que se desarrolla el mismo. Por esto la herramienta de software se relaciona con el
modelo, de manera que acta como un elemento de soporte, para facilitar algunas
actividades definidas en el modelo, nicamente en la fase de anlisis de requerimientos.
Figura 2.2. Niveles de descripcin de requerimientos utilizados en las diferentes fases del proceso
de ingeniera de requerimientos.
Fuente: http://www.javeriana.edu.co/biblos/tesis/ingenieria/Tesis189.pdf
2.9. Estudio de Factibilidad
2.9.1. Estudio de Factibilidad Operativa
29
2.9.1.2. Viabilidad de la Implementacin
La implementacin de la auditoria depende bsicamente de tres puntos principales que
son: plataformas de hardware, software y comunicaciones.
Seguros del Pichincha s.a Compaa de seguros y reaseguros posee actualmente toda la
tecnologa de telecomunicaciones necesaria para la correcta implementacin de
software sobre la cual se encuentra funcionando su red.
En cuanto al hardware la Empresa tiene a su disponibilidad varios computadores en los
cuales se puede desarrollar e implementar diferentes aplicacin, adems de esto tiene la
intencin de adquirir nuevos equipos con este propsito, en caso de ser necesario.
En lo referente al software, el establecimiento est dispuesto en incurrir en gastos para
la implementacin del producto de software as como la compra de licencias.
30
Sistemas Operativos
Sistemas Operativos
Caractersticas
Multitarea
Seguridad
Soporte de diferentes
protocolos
Soporte cliente y
servidor
Servicios Web
Portabilidad
Requisitos de hardware
Tabla 2.1. Caractersticas de los Sistemas Operativos
Elaborado por el Autor
Software de Control
Tanto los servidores de Correo, Dominio, Firewall, Archivos, Impresiones que son
Windows 2008 cuentan con Performance Monitor la cual es una herramienta que
permite medir el desempeo de los computadores de una red.
31
TABLA DE CARACTERISTICAS DE LOS SISTEMAS OPERATIVOS DE LOS
SERVIDORES
Sistemas Operativos de los
Servidores
CARACTERISTICAS
Estabilidad
Seguridad
Facilidad de uso
Disponibilidad de Programas
Interfaz Web
Tabla 2.2. Caractersticas de los Sistemas Operativos en los Servidores
Elaborado por el Autor
Software de Aplicacin
Las computadoras utilizadas en el rea de sistemas como en toda la institucin tienen
generalmente las siguientes herramientas: Microsoft Office, Sistemas de Inventario,
Sistemas de Control y Automatizacin para Seguros, etc.
TABLA DE CARACTERISTICAS DEL PAQUETE DE PROGRAMAS
INFORMATICOS
PAQUETES DE PROGRAMAS
INFORMATICOS
CARACTERISTICAS
Facilidad de uso
Mltiple Funciones
Presentacin en Lnea
32
TABLA DE CARACTERISTICAS DE LOS PROGRAMAS INTERNOS
SOFTWARE DESCRIPCION
Sistema informtico que colabora al usuario en la visualizacin
de la informacin relevante del cliente, llevando registro de las
TeleSoft interacciones con el mismo y permitiendo generar campaas
para su mantenimiento.
Esta herramienta permite el ingreso de informacin a travs de
la web, para todos los productos empaquetados del modelo
B2C. As en tiempo real se puede expedir certificados de los
diferentes productos, en cualquier parte del mundo. Adems,
BSSeguros permite imprimir los certificados, las facturas y el documento:
Conocer a tu cliente. Estos documentos se encuentran
firmados electrnicamente.
Sistel: Sistema de tarificacin Este aplicativo permite el control y racionalizacin del gasto
telefnico de la empresa. Por medio de reportes se logra un
Avaya mejor control y optimizacin del uso telefnico, como
herramienta de trabajo
Tabla 2.4. Caractersticas de los Programas Internos.
Elaborado por el Autor
33
Hardware
El Departamento de Sistemas de Seguros del Pichincha cuenta con el siguiente tipo de
hardware:
Servidores Principal (S.O. Windows 2008, 2 procesadores XEON, 4 GB Memoria,
RAID 5, Fuentes redundantes, dispositivos de cinta magntica)
Proxy Server (S.O. Windows 2008, procesador core 2 duo, 1Gb)
MAIL Server (S.O. Windows 2008, procesador core 2 duo, 1 Gb)
Servidor de desarrollo (S.O. Windows 8, 1procesador XEOM, 1 GB Memoria,
dispositivos de cinta magntica)
Computadores Personales y Laptops Hp 240 en total
Impresoras Lexmark, Epson, Hp.
34
Red
Cableado estructurado categora 5 6.
Red Inalmbrica
BACKBONE de comunicaciones
Topologa de Red
A continuacin se describe la Topologa de la red de Seguros del Pichincha s.a
Topologa de Red de Quito y Guayaquil, estn interconectadas con dos enlaces de 256
Kbps cada uno, mediante microondas para la tecnologa Frame Relay y fibra ptica para
Clear Channel; Bravco es el ISP encargado de los enlaces entre Quito y Guayaquil
El Servidor de Internet se encuentra en Quito desde el cual se enva la seal a Guayaquil
y dems sucursales; se tiene dos proveedores de Internet Telconet y Te Uno.
En cuanto al medio de transmisin interno utilizan UTP categora 5 y 6, externamente
fibra ptica y microondas.
35
2.9.3. Estudio de Factibilidad Econmica
TOTAL 3300
TOTAL 11,10
Tabla 2.6. Costo de desarrollo de la Auditoria Recursos Materiales
Elaborado por: El Autor.
Energa Elctrica 1 50 50
Internet 1 30 30
Telfono 1 15 15
Movilizacin 20 5 100
TOTAL 195
Tabla 2.7. Costo de desarrollo de la Auditoria Recursos Varios
Elaborado por: EL Autor.
36
2.9.3.5. Tabla Resumen
RECURSO COSTO COSTO COSTO TOTAL
INVERSION MENSUAL ANUAL
INICIAL
HUMANO 1.100 3.300
MATERIALES 11,10 - 11,10
RECURSOS 195 - 195
VARIOS
COSTO TOTAL 206,10 1.100 3506,10
37
CAPTULO III
3. PROPUESTA
3.1. Antecedentes de la propuesta
Los Sistemas Informticos, estn integrados a la gestin empresarial por ende las
normas y estndares informticos deben estar alineados e implantados previa a la
aprobacin del Departamento de Sistemas de la organizacin, misma que se encargara
de la implementacin de controles de acceso a la informacin, que se maneja en los
diversos procesos de Seguros del Pichincha s.a. en conclusin, se debe destacar que las
organizaciones informticas forman parte de la gestin de la empresa y se constituye en
un elemento de apoyo en la toma de decisiones.
Actualmente la informacin empresarial se ha convertido en un activo fijo real
invaluable, similar a la materia prima, sin embargo se debe considerar que a pesar de la
capacidad que pueden tener los miembros del Departamento de Sistemas de Seguros del
Pichincha s.a., la cantidad de trabajo centrado mayormente en el desarrollo de sistemas
y redes, sin el personal suficiente hace que necesariamente se tomen alternativas rpidas
para ganar tiempo, afectando de esta manera el servicio y por ende la calidad del
producto.
Solo el 4 por ciento de los profesionales de TI han consolidado que sus empresas estn
preparadas para garantizar asegurar la privacidad y gobierno de Big Data 1, de acuerdo
con una encuesta global hecha por la asociacin profesional ISACA. Hoy la
informacin es la divisa y las empresas no solo deben resguardarla y gestionarla, si no
tambin usarla para generar valor para el negocio.
Para ayudar a las empresas a vencer este desafo y en el caso particular a Seguros
Pichincha s.a que es nuestra entidad a utilizar el marco de negocio COBIT 5 la cual nos
ofrece los siguientes beneficios principales:
Un modelo de informacin completo que incluye todos los aspectos de la informacin:
usuarios, objetivos y buenas prcticas.
Una gua sobre cmo usar COBIT 5 para enfrentar los problemas frecuentes del
gobierno de la informacin, como Big Data y las preocupaciones de privacidad.
1
Big Data: Es un conjunto de herramientas informticas destinadas a la manipulacin, gestin y anlisis
de grandes volmenes de datos de todo tipo los cuales no pueden ser gestionados por las herramientas
informticas tradicionales.
38
Una compresin profunda de por qu la informacin necesita controlarse y
administrarse, junto con pasos concretos de cmo lograrlo
En Seguros del Pichincha, la informacin est dividida en distintos puntos aislados, se
reitera en copias redundantes difundidas en la compaa y esta subutilizada por lo cual
un objetivo de usar COBIT es ayudar a las compaas a simplificar el gobierno de la
informacin para que no solo pueda manejar este trascendental activo que procede de un
vasto nmero de canales si no tambin encontrar el valor de ella.
3.2. Justificacin
Debido a las necesidades cada vez ms cambiantes y el avance vertiginoso que a diario
presenta la tecnologa; se hace imprescindible que constantemente las unidades
productivas y dems agentes econmicos innoven sus procedimientos y tcnicas para
controlar sus recursos e informacin de manera que puedan ser ms competitivos y
productivos de mercado.
Por la naturaleza de Seguros del Pichincha s.a, por el volumen del flujo de fondos que
administra y la rotacin constante de sus transacciones se torna indispensable adoptar
medidas de control de infraestructura tecnolgica y herramientas de Gestin de los
Sistemas que faciliten la consecucin adecuada de sus operaciones y objetivos
organizacionales.
Estamos frente al proceso de globalizacin, que si bien es cierto nos brinda la
oportunidad de comercializar nuestros productos, sin embargo nos obliga a generar
bienes y servicios de mayor calidad, cada vez ms enmarcados en normas y estndares.
Por tal motivo, surge la necesidad de implementar en las organizaciones modelos
aceptados a nivel mundial que permita controlar los recursos y aprovechar la tecnologa.
Es por esto que las instituciones deben recurrir a revisiones, evaluaciones y auditorias
de sistemas que se efecten en forma peridica y que contribuyan al logro de los
objetivos organizacionales, minimizando los riesgos del negocio a los que se enfrentan a
diario.
Para este proyecto de investigacin se utilizara el Modelo de Gestin y Control COBIT
5 para constituirse como un conjunto de las mejores prcticas de gobernabilidad de
tecnologas de informacin, que permite a los directivos, alinear los objetivos de la
infraestructura tecnolgica con los objetivos propios del negocio.
Este marco de trabajo, permitir evaluar la confidencialidad, seguridad, eficiencia,
efectividad y desempeo que la institucin tiene trminos de tecnologas de
39
informacin, determinando los riesgos a travs de niveles de madurez de los procesos
con los que debera contar Seguros del Pichincha s.a para proteger sus activos mediante
el cumplimiento de sus objetivos de gobierno.
Para recopilar informacin se realiz un estudio observacional (encuesta) en el cual
buscamos recaudar datos por medio de cuestionarios previamente diseados para
obtener informacin primordial para un estudio preliminar de cmo se encuentra
Seguros del Pichincha.
40
Visin
Respeto
Acepta, valora y acta con mente abierta ante las diversas opiniones, creencias, culturas
y formas de ser de las personas que lo rodean.
Honestidad
Capacidad para interiorizar valores ticos y morales y comportarse consecuentemente
con estos.
Compromiso
Capacidad de responder con alto sentido del deber en todas las situaciones, entregando
su empeo para el xito de la empresa.
Trabajo en Equipo
Liderazgo
Posee autoridad moral. Dirige, orienta, gua, tiene credibilidad, contagia entusiasmo y
compromiso, obtiene eficacia del equipo; mueve la empresa. (Seguros del Pichincha,
2012)
41
Objetivos Estratgicos
En resumen:
EN QUE OPERA
SEGUROS DEL PICHINCHA S.A. opera en todos los ramos o modalidades de seguros
de vida y generales que se encuentran vigentes en el mercado, aprobados por la
Superintendencia de Bancos. La empresa decidi trabajar con mayor nfasis en los
ramos de seguros personales en los que brinda mayor servicio y, sobre todo, proteccin
econmica familiar.
A continuacin se detalla los ramos que ofrece:
SEGUROS GENERALES:
Son aquellos que cubren los riesgos que causan prdida o daos a los bienes o
patrimonios y los riesgos de fianzas, garantas y fidelidad.
- Incendio y lneas aliadas.
- Robo.
- Cumplimiento.
- Responsabilidad civil.
- Todo riesgo contratista.
42
- Todo riesgo montaje.
- Rotura de maquinaria y lucro cesante.
- Equipo electrnico.
SEGUROS DE VIDA:
Son los que cubren los riesgos de las personas para reducir los problemas econmicos
derivados de la muerte del asegurado.
- Accidentes personales.
- Vida grupo
- Seguros exequial.
- Seguro educativo.
- Vida individual.
PRODUCTOS QUE COMERCIALIZA
Le empresa Seguros del Pichincha, ofrece una combinacin de productos financieros y
de seguros, siendo la ms importante fuente de ingresos para la compaa con el
producto Vida Protegida, alcanzando una penetracin y desarrollo en el mercado en
varios Bancos (Pichincha, Loja, Rumiahui, ) y en la entidad financiera Diners Club del
Ecuador.
Seguros Vida Protegida: VIDA PROTEGIDA es un seguro de vida que cubre
muerte por cualquier causa, no preexistente, enfermedades graves (cncer, accidente
cerebro vascular, insuficiencia renal, infarto al corazn, ciruga de arterias coronarias)
anticipando hasta 50% del monto asegurado en vida, 90 das despus de iniciada la
videncia, y adicionalmente una asistencia en viajes que cubre al portador del seguro y a
su familia en primer grado de consanguinidad en cualquier parte del mundo,
protegiendo riesgos de urgencias y hospitalizacin en el exterior, repatriacin, prdida
de equipaje y otros beneficios.
43
Seguros de vida educativa: es un seguro de vida que va dirigido hacia los estudiantes
de varios Colegios de Quito que cubre muerte por accidentes personales, gastos mdicos
y beca estudiantil.
ESTRUCTURA ORGANIZACIONAL
La estructura organizacional de la Empresa es un pilar muy importante en la
organizacin.
MANDOS EJECUTIVOS:
Junta General de Accionistas. Representada por los socios fundadores de la compaa,
estos son Banco del Pichincha Ecuador y Compaa de Seguros Colmena S.A. de
Colombia.
Auditora Externa. Son los encargados de verificar y controlar los registros contables y
sistemas de control interno, evaluando la razonabilidad, consistencia y veracidad de las
transacciones a fin de determinar desviaciones y establecer responsabilidades
econmico administrativas.
Directorio. Est representado por personas nombradas por la Junta General de
Accionistas como delegados de cada uno de los accionistas en la administracin de la
compaa.
Asesora laboral y tributaria. Son personas externas a la compaa quienes se
constituyen en un soporte para el desarrollo de las actividades relacionadas en los
campos tanto laboral como tributario, por la informacin y conocimiento que brindan en
sus asesoras.
Presidencia Ejecutiva. Tiene como misin hacer cumplir los estatutos de la Compaa,
leyes, reglamentos, disposiciones y polticas fijadas por los organismos de control del
Estado, la Junta General de Accionistas y el Directorio.
Gerencias. Existen ochos gerencias que tienen bajo su responsabilidad todas las
funciones afines a cada rea, se efecta un proceso lgico, coherente, cronolgico entre
ellas y la gestin que realizan es el producto de una toma de decisiones acertada en
forma continua, utilizando las mejores estrategias canalizadas hacia un objetivo comn,
cuyos resultados finales son presentados al Presidente Ejecutivo y ste, a su vez,
presenta al Directorio y Junta General de Accionistas. Cada gerencia tiene bajo su
responsabilidad a cada unidad de trabajo que es manejado por el personal calificado en
cada rea. Las gerencias son:
44
Gerencia de Planeacin y Desarrollo Humano.
Gerencia Financiera.
Gerencia Tcnica.
Gerencia de Marketing
Gerencia Auditoria Interna
Gerencia Austro
Gerencia Comercial.
Gerencia de Tecnologa.
MANDOS OPERATIVOS:
Desarrollo Humano.
Seguros del Pichincha S.A., manteniendo criterios de calidad humana, profesionalismo
y tica ha contratado personal que contribuya al desarrollo de la organizacin y que se
identifique plenamente con sus objetivos de largo plazo.
La contratacin del personal es consecuentemente con las necesidades de la compaa,
as cuenta con una nmina de 200 personas de las cuales el 76% corresponden al rea de
mercadeo y ventas, y un 24% al rea administrativa, proporcin que guarda consistencia
en el esquema de comercializacin que mantienen.
El nivel de profesionales en la empresa ha sido una constante preocupacin, ya que de
ello depende en parte el dinamismo y los resultados de la empresa, es as que el 39% de
los empleados tienen ttulo universitario y el 41% se encuentran cursando una carrera
universitaria o tcnica.
La empresa ha sido consciente del desarrollo integral de sus empleados y que la imagen
y eficiencia de la institucin depende en gran medida del grado de satisfaccin laboral
de las personas que en ella se desenvuelven y no solo de su grado de capacitacin
tcnica, por lo cual ha emprendido en un programa de Desarrollo Profesional y
Personal, asesorado por un profesional en el campo de psicologa industrial, con el
propsito de alcanzar dos objetivos que son la excelencia en el trabajo y el
mejoramiento de las relaciones laborales.
Otro aspecto importante es la capacitacin externa al personal en temas de aplicacin
directa en el desempeo de funciones, propiciando as elevar el nivel de productividad.
(Duque Tobar Ivonne, 2005)
45
GERENCIA FINANCIERA
Se desarrolla bajo los conceptos de calidad y mejoramiento continuo de procesos,
procedimientos y servicios, el crecimiento de la organizacin fue ordenado, se cumpli
con lo planificado y se dio eficiente respuesta a los requerimientos de los clientes.
Esta gerencia, realiz grandes logros para el 2013 que aportaron a los resultados de la
compaa y que se reflejan en las siguientes cifras:
Con respecto a la gestin financiera, el valor del portafolio de inversiones al cierre del
ao alcanz los USD $2.629.134,00, un crecimiento del 26% frente al ao anterior que
fue de USD $2.083.962,00. Igualmente se aprecia un crecimiento en las inversiones
obligatorias de 26%, las cuales representan el 73% del total del portafolio y que
ascendieron a USD $1.907.573,00, representadas principalmente en obligaciones
bancarias, certificados de inversin, avales y valores fiduciarios; el 27% est constituido
por inversiones voluntarias las cuales ascienden a USD $721.561,00 las mismas que
crecieron en 27% con respecto al ao anterior.
El producto de inversiones para el ejercicio fue de USD $117.901,00. se termin el ao
2013 encajados en inversiones obligatorias con un excedente de USD $362.563,00.
Cabe destacar que por efecto del incremento en ventas, mayor recaudo de cartera y
disminucin de costos financieros proyectados, en el segundo semestre de 2003 la
compaa realiz un abono anticipado de USD $150.000,00 al prstamo de largo plazo
que mantiene con el Banco del Pichincha.
Con respecto al control de los costos operativos y administrativos, al cierre del ao
tuvimos un cumplimiento del 87% con respecto al presupuesto.
GERENCIA TCNICA
El ao 2013 fue un ao positivo para la gerencia tcnica en cuanto a la consolidacin de
los resultados que se empezaron a ver en el ao inmediatamente anterior.
En la direccin de siniestros, se gener mejoramiento y documentacin de los procesos
a travs del Sistema Integrado de seguros. Igualmente ya estamos en capacidad de
obtener estadsticas de siniestralidad por diferentes perfiles para la toma oportuna de
decisiones. Tambin se logr mejorar el tiempo de respuesta a los clientes en la
definicin de siniestros.
El ao 2013 gracias a la aplicacin de todo lo anterior, se cerr con una siniestralidad
del 29% comparado con el 36% del ao anterior.
46
La direccin tcnica y de mercadeo e investigacin est a cargo de un director con dos
ejecutivos. Esta direccin adems de encargarse del anlisis tcnico de todos los
productos actuales que soporten la generacin de negocios siempre enfocados a los
productos de seguros para personas.
En el ao 2013 el resultado tcnico de la compaa lleg a USD. $649.083 ubicndose
como la segunda compaa con mejor resultado tcnico dentro de las compaas de
vida.
La renovacin de los contratos de reaseguros nos permiti aumentar nuestra retencin
de primas modificando el esquema de reaseguros en los contratos de vida sin disminuir
el nivel de proteccin de la compaa. Nuestros contratos estn colocados con
reaseguradores de primera lnea a nivel mundial.
GERENCIA MARKETING
La Gerencia de Marketing cuenta con diferentes estudios de mercado entre otros para
cumplir los objetivos de su mercadotecnia Nuestro objetivo es el diseo, estrategias de
ventas de los productos de Seguros del Pichincha s.a.
GERENCIA AUDITORIA INTERNA
La Gerencia de Auditora Interna es proporcionar servicios de aseguramiento (auditora)
y consultora independientes y objetivos, concebidos para agregar valor y modernizar
las operaciones de la compaa. Asimismo, contribuir al cumplimiento de sus
propsitos, cooperando una perspectiva sistemtica y disciplinada para estimar y
mejorar la efectividad y eficacia de los procesos de gestin de riesgos, control y
gobierno corporativo. As mismo, realizar seguimiento y evaluacin a los procesos para
mejorar continuamente la eficacia y eficiencia de los sistemas de gestin de la
organizacin con el fin de tomar acciones de mejora.
Teniendo en cuenta que todas las actividades, las operaciones y los procesos pueden
someterse a un examen de auditora interna, el alcance del trabajo de la Gerencia de
Auditoria Interna ser determinar si los procesos de gestin de riesgos, control y
gobierno corporativo son adecuados y funcionan asegurando que:
Los riesgos estn correctamente reconocidos y tratados.
Esta interaccin entre los distintos grupos de direccin de acuerdo con las exigencias.
La informacin financiera, de gestin y operativa valiosa es concreta, confiable y
exacta.
Las acciones de los funcionarios ejecutan con las polticas, normas, principios,
procedimientos, leyes y regulaciones aplicables.
47
Los recursos se adquieren en forma econmica, se utilizan eficientemente, y estn
adecuadamente protegidos.
Se cumplen los programas, planes y objetivos.
Las leyes o regulaciones aplicables estn siendo aplicadas apropiadamente.
Durante las diferentes auditoras se identifican mejoras a la gestin del control, a los
rendimientos e imagen de la Empresa. Estas mejoras se comunican al Comit de
Presidencia y al Comit de Auditora respectivamente.
GERENCIA AUSTRO
Esta Gerencia es la cabeza visible de la compaa en la Regin Austral del pas, por lo
tanto replica y coordina con todas las Gerencias de Matriz
GERENCIA COMERCIAL
La Gerencia Comercial cuenta con diferentes canales de distribucin as: redes
financieras, mercadeo tradicional (brokers), y otros. Nuestro objetivo es siempre la
bsqueda de alternativas de seguridad y proteccin para la familia ecuatoriana, de la
mano con la rentabilidad de nuestros accionistas.
48
DESCRIPCIN DE PROCEDIMIENTOS
Un ejecutivo de Seguros del Pichincha atiende al cliente en la operacin que necesite e
informa del nuevo beneficio (seguro de vida), que ha creado el Banco para todos sus
clientes, lo invita a pasar a su escritorio donde le explica al cliente las coberturas y
amparos que tiene la pliza de Seguro de VIDA PROTEGIDA y cotiza el valor de la
prima a pagar segn la edad y el monto ser asegurado, tratando de persuadirlo y
despertando en l la necesidad de proteccin con el fin de que adquiera el seguro,
convencido de sus ventajas.
Una vez que el cliente accede a tomar la pliza, el ejecutivo le solicita un documento de
identidad con el que verifica que el interesado cumpla con los requisitos de
asegurabilidad, y que tenga el saldo necesario para el dbito en la cuenta corriente o de
ahorros.
El seguro entra en vigencia a partir de las 00:00 horas del da hbil siguiente en que el
solicitante firme y selle la pliza, y que adems le realicen el dbito correspondiente.
3.4.2. Estudio del Departamento de Tecnologa de la Informacin
Atribuciones y responsabilidades del Departamento de Tecnologa de la Informacin
OBJETIVOS ESTRATEGICOS TI
Innovar tecnolgicamente la institucin Desarrollar Sistemas Informticos
Dar Mantenimiento a todos los sistemas de informacin que lo
requieran
Proporcionar lneas de comunicacin efectivas hacia los usuarios
Dotar de herramientas tecnolgicas a los usuarios, que permitan
incrementar su productividad
Proporcionar asesora tecnolgica para la ejecucin de todos los
proyectos, para que se realicen en el tiempo indicado
Anticipar las necesidades tecnolgicas Investigar tendencias que cumplan con estndares internacionales y
de la institucin que puedan proporcionar nuevas alternativas de servicio de valor
agregado a Seguros del Pichincha s.a.
Mantener una estructura dinmica Hacer el seguimiento del marco regulatorio para el uso,
administracin y control del recurso tecnolgico informtico de la
institucin
Optimizar los procesos de la Direccin
Tabla 3.1. Objetivos del Departamento de TI de Seguros del Pichincha
Elaborado por TI Seguros del Pichincha
50
Cadena de Valor
51
FORTALEZAS OPORTUNIDADES
Servidores de ltima tecnologa, robustos y escalables, Disponibilidad en el mercado de nuevos proveedores y
con altos niveles de fiabilidad y soporte directo de los servicios de comunicacin que ofrecen servicios de mejor
fabricantes calidad a menores costos
Diseo e implementacin de un plan de tolerancia a Disponibilidad actual o de adquisicin de herramientas que
fallos y continuidad del negocio permiten reducir y controlar fugas de informacin interna y
Disponibilidad de herramientas de productividad del externa
usuario de ltima generacin. Adquisiciones de software de manejo y control de
Redes internas de alta velocidad (Categora 6 E) requerimientos que cumpla con polticas, estndares de
Alta inversin en renovacin tecnolgica documentacin y SLAs.
Adquisicin de herramientas automatizadas de auditoria
informtica
DEBILIDADES AMENAZAS
Percepcin deficiente de ciertos usuarios de las Ataques externos a las instalaciones de la empresa
aplicaciones Ataques de virus y nuevas variantes de spam al correo de la
Falta de administracin de red que deriva en problemas empresa
estructurales , de configuracin y seguridad de la red Altos costos de renovacin tecnolgica
Accesos remotos dbilmente controlados Mal servicio de proveedores de comunicaciones
Deficiente aplicacin de las polticas y estndares para Errores y altos costos de servicios de proveedores externos
manejo de contraseas por los usuarios Incumplimiento de proveedores
Desconocimiento de los usuarios sobre el uso de las
aplicaciones y del giro del negocio
Falta de un plan de capacitacin permanente orientado
al mejoramiento continuo del personal rea
Dependencia parcial de terceros sobre las aplicaciones
CORE del negocio
Falta de metodologas y herramientas adecuadas para
manejo y documentacin de requerimientos
Falta de polticas de manejo de la criticidad de
requerimientos y SLAs
Falta de Monitoreo continuo y control de
vulnerabilidades a las instalaciones de la empresa como
red, centro de cmputo.
Tabla 3.2. Matriz Foda del Departamento de TI. SDP
Elaborado por TI de Seguros del Pichincha
52
Adicionalmente, para el cumplimiento de la descentralizacin de funciones que se
contemplan en Seguros del Pichincha s.a., se han nombrado funcionarios en las
unidades regionales como muestra la Tabla 3.4
La Direccin de TI, organiza su gestin por procesos, los mismos que se ajustan a ITIL
V3. Una descripcin detallada de ITIL se encuentra en el Captulo 1.
Estndares de Software.
Estndares de Hardware
Los computadores de Seguros del Pichincha s.a. deben estar en condiciones mnimas de
ser conectados a la red LAN principal de datos de cada administracin zonal. Los
dispositivos telefnicos deben ser compatibles con la central telefnica IP de CISCO.
Los dispositivos y equipos que la institucin compre deben cumplir requisitos mnimos
de especificacin de hardware. Las Figuras A1.2, a A1.6, del Anexo 1, presentan una
muestra de especificaciones mnimas de hardware institucional.
53
Servicios Tecnolgicos
Desarrollo
Los nuevos servicios tecnolgicos de Seguros del Pichincha que se requiera, son
desarrollados por el Departamento de Tecnologa de la Informacin o por terceros bajo
su coordinacin y supervisin directa. Los servicios a desarrollarse, la priorizacin y
todos sus detalles se encuentra especificados en el portafolio de servicios que forma
parte del proceso de Diseo de Servicios.
Mantenimiento
Los servicios tecnolgicos que posee Seguros del Pichincha necesitan mantenimiento
preventivo as como la implementacin de mejoras y/o control de correcto
funcionamiento. Este mantenimiento lo proporciona el Departamento de Tecnologa de
la Informacin o el desarrollador del servicio con supervisin directa de ste
Departamento. Se da mantenimiento de los servicios tecnolgicos desarrollados por el
Departamento y se proporciona asistencia, en los lmites de lo posible, a todos aquellos
servicios que son de desarrollo externo y que no poseen soporte contratado con el
desarrollador original. En lo referente al software comercial, se solicita asistencia a los
vendedores del producto o directamente a los fabricantes, de ser posible y si el caso lo
requiere.
Plan de Inversin
54
PRESUPUESTO REFERENCIAL
ITEM VALOR ANUAL
Recurso Humano 436.890,00
Remuneracin 419.250,00
Viticos 17.640,00
Plan de Inversiones 2011 2.659.420,00
Plan de Inversiones 2012 3.765.950,00
Plan de Inversiones 2013 4.945.650,00
Tabla 3.5. Presupuesto Referencial
(Seguros del Pichincha Plan de Inversiones, 2013)
55
alcance: sistemas de informacin en operacin; metodologa de desarrollo o adquisicin
de sistemas de informacin; administracin de hardware; y administracin de
telecomunicaciones. En cada una de las reas se evaluar el desempeo y los riesgos en
base al cumplimiento de los principios de seguridad, confiabilidad y eficiencia;
cumplimiento de polticas y procedimientos; y en base al grado de satisfaccin de la alta
direccin y del personal usuario.
56
3.4.3.3.3. Determinacin del Marco de Trabajo de la Auditora a Seguros del
Pichincha s.a. bajo COBIT
El marco de trabajo de la auditora a Seguros del Pichincha se enfoca y orienta hacia
cuatro elementos determinantes:
1. La institucin
2. Los procesos
3. Los controles
4. Las mtricas, mediciones e indicadores
Orientado a la Institucin: Como se vio en el Captulo I, el marco de trabajo COBIT
plantea que la institucin debe invertir en controlar y administrar los recursos de TI,
usando un conjunto de procesos que garanticen la alineacin con los requerimientos
institucionales.
Orientado a Procesos: El marco de trabajo de la auditora informtica a Seguros del
Pichincha estar basado en 37 procesos definidos por COBIT, que garantizan la
alineacin con los requerimientos de la institucin y de TI. Estos procesos se encuentran
organizados en cinco dominios que se equiparan a las reas tradicionales de Tecnologia
de la Informacin de planear, construir, ejecutar y monitorear. Como se vio en el
captulo II estos dominios son: Evaluar, Orientar y Supervisar, Alinear, Planificar y
Organizar, Construir, Adquirir e Implementar, Entregar, dar Servicio y Soporte,
Supervisar, Evaluar y Valorar. (Ver figura 1.4.)
Basado en controles: La auditora empleara 37 objetivos de gobierno generales, una
para cada proceso de TI, que son polticas, procedimientos, prcticas en controles: La
auditora emplear 32 objetivos de gobierno o de gestin, uno para cada y estructuras
organizacionales que proporcionan un conjunto completo de requerimientos de alto
nivel para un control efectivo de cada proceso de TI.
57
esta relacin entre procesos COBIT y Seguros del Pichincha, se emplearn una serie de
planos que se listan en la Tabla 3.9, y se describen ms adelante.
PROCESOS DE GOBIERNO DE TI
EVALUAR, ORIENTAR Y SUPERVISAR
EDM01 Asegurar el establecimiento y mantenimiento del marco de gobierno
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la optimizacin del riesgo
EDM04 Asegurar la optimizacin de los recursos
EDM05 Asegurar la transparencia hacia las partes interesadas
ALINEAR, PLANIFICAR Y ORGANIZAR
APO01 Gestionar el marco de gestin de TI
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura empresarial
APO04 Gestionar la innovacin
APO05 Gestionar portafolio
APO06 Gestionar el presupuesto y los costes
APO07 Gestionar los recursos humanos
APO08 Gestionar las relaciones
APO09 Gestionar los acuerdos de servicio
APO10 Gestionar los proveedores
APO11 Gestionar la calidad
APO12 Gestionar el riesgo
APO13 Gestionar la seguridad
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
BAI01 Gestionar los programas y proyectos
BAI02 Gestionar la definicin de requisitos
BAI03 Gestionar la identificacin y la construccin de soluciones
BAI04 Gestionar la disponibilidad y la capacidad
BAI05 Gestionar la introduccin de cambios organizativos
BAI06 Gestionar los cambios
BAI07 Gestionar la aceptacin del cambio y de la transicin
BAI08 Gestionar el conocimiento
BAI09 Gestionar los activos
BAI10 Gestionar la configuracin
ENTREGAR, DAR SERVICIO Y SOPORTE
DSS01 Gestionar las operaciones
DSS02 Gestionar las peticiones y los incidentes del servicio
DSS03 Gestionar los problemas
DSS04 Gestionar la continuidad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los controles de los procesos del negocio
SUPERVISAR, EVALUAR Y VALORAR
MEA01 Supervisar, evaluar y valorar rendimiento y conformidad
MEA02 Supervisar, evaluar y valorar el sistema de control interno
MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos
Tabla 3.6. Procesos y Objetivos de Gobierno COBIT.
Fuente: (COBIT 5,2012)
58
Metas Generales de TI-Seguros del Pichincha
1 Proporcionar un buen retorno de inversin de TI
Perspectiva Financiera 2 Gestionar los riesgos de TI que afectan a la institucin
3 Fomentar la Transparencia
4 Mejorar la orientacin y servicio al usuario
5 Ofrecer productos y servicios competitivos
6 Establecer continuidad y disponibilidad de servicios
Perspectiva del Cliente 7 Crear agilidad en la respuesta a los cambios de los requerimientos institucionales
8 Lograr optimizacin de costos en la entrega de servicios
9 Obtener informacin fiable y til para tomar decisiones estratgicas
10 Mejorar y mantener funcionalidad de los procesos institucionales
11 Reducir el costo de los procesos
12 Proporcionar cumplimiento con leyes, reglamentos y regulaciones
Perspectiva Interna 13 Proporcionar cumplimiento con polticas internas
14 Gestionar cambios institucionales
15 Mejorar y mantener operatividad en el control de las telecomunicaciones
Perspectiva de Aprendizaje 16 Gestionar productos e innovacin en la institucin
y Crecimiento 17 Adquirir y mantener personal cualificado y motivado
Tabla 3.7. Metas Generales de TI de Seguros del Pichincha
Elaborado por TI de Seguros del Pichincha
Metas de Informacin y Tecnologa Relacionada
1 Alineamiento de TI y estrategia de negocio
2 Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y
regulaciones externas
3 Compromiso de la direccin ejecutiva para tomar decisiones relacionas con TI
Financiera 4 Riesgo del negocio relacionados con la TI gestionados
5 Realizacin de beneficios del portafolio de inversiones y servicios relacionados
con las TI
6 Transparencia de los costes, beneficios y riesgos de la TI
7 Entrega de servicios de TI de acuerdo a los requisitos del negocio
Cliente 8 Uso adecuado de aplicaciones, informacin y soluciones tecnolgicas
9 Agilidad de las TI
10 Seguridad de la informacin, infraestructura de procesamiento y aplicaciones
11 Optimizacin de activos, recursos y capacidades de las TI
12 Capacitacin y soporte de procesos de negocio integrando aplicaciones y
Interna tecnologa en procesos de negocio
13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del
presupuesto y satisfaciendo los requisitos y normas de calidad
14 Disponibilidad de informacin til y fiable para la toma de decisiones
15 Cumplimiento de las polticas internas por parte de las TI
16 Personal del negocio y de las TI competente y motivado
Aprendizaje y Crecimiento 17 Conocimiento, experiencia e iniciativas para la innovacin de negocio
Tabla 3.8. Metas de TI COBIT
(COBIT 5, 2012)
59
Mtricas y Mediciones de la Auditoria Informtica a Seguros del Pichincha
CALIFICADORES MODELOS MATRICES
Calificador Real del Estado del MODELO MADUREZ Matriz de Grados de Madurez de
Proceso Procesos- Seguros del Pichincha
60
Figura 3.2. Dimensiones del Estado del Proceso
Elaborado por el Autor
La magnitud del vector resultante con valor de 100% en los indicadores de cada
dimensin seria:
Calificador Real
61
Si consideramos el caso ideal
62
El incremento en la madurez reduce el riesgo y mejora la eficiencia, generando menores
errores, ms procesos predecibles y en uso rentable de los recursos,
tanto . Esto es para el Nivel 0 = 0%, Nivel 1 = 20%, Nivel 2= 40%, Nivel 3
63
Indicador de Desempeo (d)
El indicador de desempeo se conseguir en base a los parmetros y matrices
especificados en la Tabla 3.13.
INDICADOR DE DESEMPEO
PARAMETRO MATRIZ
1 Grado de Desempeo Real Matriz de Nivel de Servicio Seguros del Pichincha
2 Grado de Desempeo COBIT
Tabla 3.13. Parmetros del Indicador de Desempeo
(COBIT 5, 2012)
MODELO DE IMPACTO
Este modelo implica tanto la importancia de un proceso dentro de Seguros del Pichincha
como el impacto determinado por el marco de referencia COBIT para cada uno de ellos.
64
Una mezcla de estos dos parmetros aportar un impacto real de un determinado
proceso dentro de TI.
Indicador de Impacto
Se calcular efectuando un promedio del Impacto de los procesos frente a los criterios
de informacin de COBIT, con el valor de la importancia del proceso dentro de la
institucin, como lo muestra la Tabla 3.15.
INDICADOR DE IMPACTO
PARAMETRO MATRIZ
1 Grado de Impacto Matriz de Impactos de Procesos frente a los criterios de
informacin de COBIT
2 Grado de Importancia Matriz de Diagnostico de Procesos Seguros del Pichincha
Tabla 3.15. Parmetros del Indicador de Impacto
(COBIT 5, 2012)
65
disponibilidad, cumplimiento y confiabilidad. La informacin lograda durante la
ejecucin de la auditora sobre ste plano se encuentra en el: Anexo 5 - Tabla A5.1.
66
hasta una capacidad optimizada (5).El modelo genrico de madurez propuesto por
COBIT se muestra en la Tabla 3.16
El modelo de madurez a emplear para la auditora informtica a Seguros del Pichincha,
tomar los principios de COBIT. Una evaluacin de la madurez bajo COBIT resultar
en un perfil donde condiciones relevantes a diferentes niveles de madurez se han
adquirido, es decir algunos procesos estarn en diferentes grados de madurez de acuerdo
a como se han completado los objetivos, metas y actividades proporcionados a dicho
proceso
Dnde:
67
Los datos sern plasmados en una tabla que guarde un control de niveles por cada
proceso. El nivel de madurez logrado corresponder a aquel nivel que tenga el mayor
grado de madurez calculado. Esto es debido a que cada una de las caractersticas de los
niveles detallan el cumplimiento de hechos que sitan a un proceso en determinado
nivel.
EQUIVALENCIAS DE DESEMPEO
CUMPLIMIENTO DE OBJETIVOS COBIT
DESEMPEO
GENERALES
No existe 0 No cumple
Deficiente 1 20 Cumple Levemente
Regular 21 40 Cumple Parcialmente
Satisfactorio 41 60 Cumple Mayoritariamente
Muy bueno 61 80 Cumple casi totalmente
Excelente 81 100 Cumple Totalmente
Tabla 3.17. Equivalencias de Desempeo
(COBIT 5, 2012)
Para las encuestas a los usuarios se manejar una descripcin del proceso y se evaluar
su nivel de cumplimiento, para que exista un mejor entendimiento de los encuestados.
Los resultados sern tabulados empleando las equivalencias correspondientes.
68
Matriz de Cumplimiento de Objetivos de Control COBIT
COBIT plantea una cadena de objetivos de control para cada uno de los 37 procesos
listados en la Tabla 3.6. Durante la realizacin de la auditora se determin el
cumplimiento de cada objetivo de control, esto se muestra en la Tabla A5.9 del Anexo
5.
Esta matriz corresponde al impacto de los procesos frente a los siete criterios de
informacin y recursos de TI bajo COBIT.
La relacin cualitativa utilizada en los criterios de informacin para esta tabla ser la
que se expuso anteriormente en la Tabla 3.14. Sin embargo se har una correspondencia
cuantitativa para obtener los porcentajes de los criterios de informacin o el porcentaje
de utilidad, usabilidad, seguridad, libre de error, accesibilidad, conformidad y
credibilidad. Se asignar un valor al grado de impacto Primario cuyo efecto es alto o
fuerte, Secundario cuyo efecto es leve o medio. Este porcentaje se determina en base a
una propuesta metodolgica establecida por una metodologa de manejo de riesgos
como es COSO.
Medio 51%-75%
Alto 76%-95%
Vaco -
Tabla 3.18. Interpretacin de los Impactos de acuerdo a COSO
(COBIT 5, 2012)
Tomando en cuenta la propuesta de COSO se ha generado una tabla de ponderaciones
mediante la cual se plantea asignar un valor numrico al impacto de los criterios de
69
informacin de cada proceso, para esto se ha determinado tomar el valor promedio de
cada uno de los rangos, eliminando as la subjetividad el momento en que se asigna un
valor numrico al impacto, dando como resultado la Tabla 3.19.
70
Matriz de Diagnstico de Procesos COBIT
EQUIVALENCIAS DE IMPORTANCIA
Poco Importante 33%
Importante 67%
Muy Importante 100%
Tabla 3.20. Equivalencias Cuantitativas de la Importancia
(COBIT 5, 2012)
Productos de la Auditoria
PLANOS MATRICES
Plano de Enlace de las Metas de la institucion, Metas Matriz de grados de Madurez de Procesos -
TI y Criterios de Informacion Seguros del Pichincha
Plano de Enlace Procesos de las Metas relacionadas Matriz de Nivel de Servicio - Seguros del
con las TI y los Procesos relacionados con TI Pichincha
Resultados
72
Informe de Carta de
Auditoria Presentacion
Auditoria
Informatica a
Seguros del
Pichincha
73
Auditor: Cumplir con las tareas de coleccin, recopilacin, categorizacin, y anlisis
de la informacin. Deber tener conocimiento de la metodologa COBIT y su
aplicacin. Sr. Patricio Auquilla Chavez
Auditados: Brindarn la informacin requerida y coordinarn actividades que se
requieran para el cumplimiento del plan y programa de auditora. La seleccin de la
muestra de auditados se realizar a continuacin
Seleccin de la Muestra de Auditados
De acuerdo al nmero de empleados de Seguros del Pichincha que son 200, es necesario
aplicar una teora de muestreo con enfoque matemtico para la tabulacin, se usar una
seleccin de la muestra especificada a partir de la poblacin seleccionada.
Dnde:
: Error asumido en el clculo. Para N > 10. Se asume =0.05 (un error del 5%).
74
probalidad de que la poblacin considerada no represente las caractersticas comunes
ser la mnima recomendada.
Nivel de
confianza
Poblacion a (95%). Muestra
Investigar Error(5%). Representativa
q(5%).
DIRECTORIO: Para conocer la opinin de cules son los temas de mayor inters a
nivel de autoridades y directivos
DEPARTAMENTO DE TI: Constituye el ente que est siendo evaluado, por lo tanto es
importante la opinin de ellos en las prioridades de la informacin recopilada
75
SELECCIN DE LA MUESTRA
GRUPOS PARTICIPANTES POBLACION MUESTRA
DIRECTORIO Directivos 10 6
TECNOLOGIA DE LA INFORMACION Informticos 20 5
Administrativos 60 11
Tcnicos 20 10
USUARIOS
Jurdicos 25 5
Financiero 25 3
TOTAL MUESTRA 160 40
OTROS 40 0
TOTAL FUNCIONARIOS 200
Tabla 3.21. Seleccin de la muestra.
Elaborado por el Autor
Con esto estamos indicando que 40 usuarios sern encuestados bajo diferentes
cuestionarios, lo que definir las prioridades y la profundidad con la que se tratarn los
procesos del marco de referencia COBIT sujetos a la auditora. Antes de empezar a
procesar los datos se ha preparado a los funcionarios y a los directivos para describir lo
que implica aplicar la metodologa COBIT en la institucin, qu beneficios se pueden
obtener, cules son las reas en las cuales se enfocar el estudio y cul es el proceso que
se seguir. De acuerdo a la planificacin, la auditora emplear cuestionarios,
entrevistas, recopilacin de informacin, y anlisis de la misma. Por lo tanto se
requerir lo siguiente:
76
PROGRAMA DE AUDITORIA
MODELO PRODUCTO TECNICA
Plano de Enlace de las Metas de la
Institucin, Metas TI y Criterios de
Informacin
Plano de Enlace de las Metas TI,
Se obtiene del anlisis de la
Procesos COBIT y Criterios de
informacin de Seguros del
Informacin
Mapa de Relacin COBIT- Pichincha, observaciones,
Plano de Enlace Procesos de COBIT
Seguros del Pichincha indagacin, entrevistas y
a Metas de TI
encuestas para recabar
Plano de Enlace de Procesos COBIT
informacin
a Gobierno de TI y Criterios de
Informacin
Plano de Responsabilidades de
Procesos COBIT
Se obtiene del anlisis la
Matriz de Grados de Madurez de informacin, observaciones,
Procesos Seguros del Pichincha entrevistas y encuestas realizadas
Modelo de Madurez para recabar informacin
Obtenida del nivel de exigencia
Matriz de Grados de Madurez de
de los usuarios de TI de Seguros
Referencia
del Pichincha
Matriz de Nivel de Servicio
Obtenida mediante encuestas
Seguros del Pichincha
Modelo de Desempeo Obtenida mediante mediciones,
Matriz de Evaluacin de Procesos
evaluaciones, observaciones y
bajo Mtricas COBIT
anlisis
Obtenida del anlisis y
Modelo de Cumplimiento de Matriz de Cumplimiento de observacin del cumplimiento y
Objetivos Objetivos de Gobierno COBIT desempeo de cada objetivo de
control detallado.
Matriz de Impactos de Procesos
Marco de Referencia COBIT
frente a los criterios de informacin
aplicado a Seguros del Pichincha
Modelo de Impactos de COBIT
Matriz de Diagnostico de Procesos Se obtiene mediante encuestas y
COBIT anlisis de informacin.
Tabla 3.22. Programa de Auditoria
Elaborado por el Autor
77
CRONOGRAMA DE ACTIVIDADES
TAREA TIEMPO
AUDITORIA SEGUROS DEL PICHINCHA Das
ESTUDIO PRELIMINAR 15
Solicitud de la Informacin 3
Recopilacin de la Informacin 2
Ordenamiento de la Informacin 1
Elaboracin de Cuestionarios 4
Realizacin de Encuestas y Entrevistas 5
PLANEACION DE LA AUDITORIA 20
Comprensin del Control Interno 3
Desarrollo de la estrategia de Auditoria 5
Determinacin de los resultados y productos de la auditoria 2
Determinacin de los recursos necesarios para realizar la auditoria de sistemas 5
Elaboracin los Programas de Trabajo 3
Cronograma 2
EJECUCION DE LA AUDITORIA 27
Entrevista a lderes y usuarios ms relevantes de la direccin de TI 3
Entrevistas y encuestas a usuarios 3
Determinacin del Mapa Relacin COBIT Seguros del Pichincha 3
Ejecucin de los Modelos de Madurez, Desempeo, Impacto y Riesgo 3
Evaluacin y anlisis del dominio evaluar, orientar y supervisar 3
Evaluacin y anlisis del dominio alinear, planificar y organizar 3
Evaluacin y anlisis del dominio cconstruir, adquirir e implementar 3
Evaluacin y anlisis del dominio eentregar, dar servicio y soporte 3
Evaluacin y anlisis del dominio ssupervisar, evaluar y valorar 3
INFORME FINAL 10
Revisin de los papeles de trabajo 4
Elaboracin de Informe 4
Elaboracin de la carta de presentacin 2
TOTAL 72
Tabla 3.23 Cronograma de Auditoria
Elaborado por El Autor
78
la informacin en los procesos institucionales, y determinar indicadores de la situacin
actual, analizar tendencias, puntos dbiles y amenazas, para emitir recomendaciones que
permitan mantener una optimizacin constante de las tecnologas de la informacin en
la institucin.
Los temas que han sido objeto de la auditora corresponden a treinta y siete procesos
COBIT, que cubren todos los aspectos involucrados en Tecnologa de la informacin y
se agrupan en cinco categoras: EVALUAR, ORIENTAR Y SUPERVISAR (EDM),
ALINEAR, PLANIFICAR Y ORGANIZAR (APO), CONSTRUIR, ADQUIRIR E
IMPLEMENTAR (BAI), ENTREGAR, DAR SERVICIO Y SOPORTE (DSS),
SUPERVISAR, EVALUAR Y VALORAR (MEA).
Modelos de madurez, que han permitido determinar la situacin actual de los procesos
de TI e identificar las mejoras necesarias. Interviene:
Matriz de Grados de Madurez de Procesos Seguros del Pichincha
Metas y mediciones de desempeo para los procesos de TI, que han permitido evaluar
cmo los procesos satisfacen las necesidades de Seguros del Pichincha y de TI.
Intervienen las siguientes matrices:
Matriz de Nivel de Servicio Seguros del Pichincha. Parmetro Desempeo
Matriz de Evaluacin de Procesos bajo Mtricas COBIT
79
Mediciones de objetivos de control de manera que determinen el estado real de la
ejecucin de los procesos para facilitar su desempeo. Interviene la siguiente matriz:
Matriz de Cumplimiento de Objetivos de Gobierno COBIT
80
FAMILIA DE SERVICIOS CORPORATIVOS
SERVICIO DESCRIPCION DEL SERVICIO AREA RESPONSABLE OBSERVACIONES
Equipos de cmputo de oficina Mantenimiento de equipos de escritorio, Soporte a Usuarios(investigar) El mantenimiento de impresoras lo realiza el proveedor
porttiles, escaners, impresoras, proyectores, Fesa Ecuador()
entre otros.
Aplicaciones de escritorio Instalacin, actualizacin y configuracin de Soporte a usuarios Incluye: antivirus, clientes de correo, aplicaciones
los programas y utilitarios empresariales ofimticas, entre otras.
Impresin Impresin de boletines, certificados, etc. FesaEcuador
relacionados de Seguros del Pichincha
Correo electrnico Sistema para intercambio de informacin por Soporte a usuarios Se considera dentro de este servicio, la emisin de
va electrnica, a travs de las aplicaciones comunicados corporativos y boletines electrnicos.
cliente o el portal web
Alojamiento WEB Brinda almacenamiento y pone a disposicin Senior de Datos Este servicio est disponible para todos los servicios y
de los usuarios material multimedia, aplicaciones propias de Seguros del Pichincha,
aplicaciones, archivos, entre otros. Senior de Aplicaciones desplegadas en intranet e internet
Servicios de Internet Es el conjunto de redes interconectadas, Soporte a usuarios, TE UNO El mantenimiento correctivo y preventivo de la red est a
internas y externas, que da soporte a cargo del Proveedor TeUno
protocolos para transmisin e intercambio de
imgenes, archivos, telefona, correo
electrnico etc.
Telefona Es el servicio telefnico como tal Infraestructura y comunicacin
Video Conferencia Comunicacin multimedia en tiempo real, Soporte a usuarios
para la realizacin de reuniones desde
mltiple servicios remotos de forma
simultanea
Data Warehouse/Data Mantenimiento de los repositorios de Senior de Datos
informacin y los programas de inteligencia
Senior de Aplicaciones
de negocios
Gestin Documental Gestin de contenido y flujos de trabajo Senior de Aplicaciones
Aplicaciones complementarias Desarrollo,soporte,mantenimiento de Senior de aplicaciones Incluye los siguientes aplicativos: Agenda, control de
mltiples aplicaciones que complementan los asistencia, control de bodega, control de gastos mdicos,
sistemas corporativos o atienden necesidades control de plizas y seguros, registro de proveedores,
puntuales de las reas de la empresa auditora y control, rdenes de pago, sistema para acceso a
documentos, viticos.
Tabla 3.24. Catlogo de Servicios
Elaborado de Seguros del Pichincha
81
Anlisis de la Seguridad de la informacin de Seguros del Pichincha
Anlisis de los informes de Hacking tico
Seguros del Pichincha, como parte de las iniciativas de modernizacin tecnolgica que
se est ejecutando, contrato en el ao 2013 los servicios de consultora para la
realizacin de pruebas de Hacking tico2en la infraestructura tecnolgica de la empresa.
Los objetivos principales de la consultora fueron los siguientes:
Los equipos utilizados para las pruebas de Hacking tico comprenden computadores
porttiles con software de virtualizacin para la ejecucin de distribucin Windows. Las
distribuciones Windows son sistemas operativos a los cuales se les ha instalado y
configurado un conjunto de herramientas de software que han sido desarrolladas y
seleccionadas por profesionales en seguridad. Las herramientas que normalmente son
incluidas en estas distribuciones se clasifican, segn la funcionalidad en los siguientes
grupos:
Recoleccin de informacin
Evaluacin de vulnerabilidades
Herramientas de explotacin
Escalamiento de Privilegios
Mantenimiento o persistencia de acceso
Ingeniera inversa
2
HACKIN ETICO: Actividad realizada por un experto que conoce y entiende las vulnerabilidades de los
sistemas informticos, que tiene como objetivo realizar pruebas de penetracin con herramientas y
tcnicas similares a las usadas por intrusos o hackers
82
Pruebas de estrs
Informtica Forense
Las pruebas externas fueron realizadas sobre los siguientes dominios pblicos
DOMINIO GERENCIA/UBICACIN
seg-pichincha.com Gerencia General, Matriz
Tabla 3.25. Dominio para pruebas de Hacking tico Externo
Elaborado por el autor
El nmero de equipos analizados, dentro de los dominios ates detallados, fue de 23, de
los cuales el 39% se encuentra afectado por vulnerabilidades, como se detalla en la
Figura 3.6.
Ventas
39%
Afectados
61%
No afectados
83
Vulnerabilidad Equipos CVE3 Descripcin de la vulnerabilidad
Afectados
Inyeccin SQL Blind 1 OWASP-DV-005 Permite realizar consultas sobre el servidor de base de
datos utilizando la interfaz de la aplicacin, de esta
manera un atacante puede obtener informacin de
retorno de los objetos y tablas existentes
Stored Cross Site 1 OWASP-DV-002 Ocurre cuando una aplicacin web solicita informacin
Scripting (XSS) y la almacena para un uso posterior, si esta informacin
no es filtrada, un atacante puede ingresar cdigo
malicioso que luego puede ser ejecutado como parte de
la aplicacin web
Servicio FTP con 2 1999-0497 Permite ingresar al servidor FTP sin utilizar credenciales
usuario anonymous de autentificacin, exponiendo la informacin
habilitado empresarial que se encuentre en este servidor, o
permitiendo la carga de exploits.4
Usuarios y 2 N/A Las contraseas o claves utilizadas para la validacin en
Contraseas dbiles las consolas de administracin de las aplicaciones
utilizan palabras comunes y pueden ser susceptibles a
ataques
Acceso a 1 N/A Las aplicaciones web exponen componentes que pueden
configuracin del ejecutar cdigo de configuracin. Estos componentes
servidor mediante normalmente no estn disponibles en un ambiente de
componente produccin.
instalado en el
mismo
Servicio SMTP relay 2 CVE-1999-0512 Los servidores SMTP5 permiten l envi de correos
habilitado CVE-2002-1278 mediante lnea de comandos, de esta manera un atacante
CVE-2003-0285 puede suplantar la identidad del remitente para obtener
informacin, transmitir informacin falsa, generar
eventos inmorales, entre otros.
Consolas de acceso 1 OWASP-CM-007 Las aplicaciones web exponen sus consolas de
permiten acceder a administracin sin filtrado de direcciones IP o con
informacin privada autentificacin dbil.
o confidencial
Divulgacin de 1 OWASP-CM-006 Algunas aplicaciones web permiten la indexacin de
informacin a travs directorios, de esta manera se puede obtener gran
de archivos no cantidad de archivos y los metadatos asociados. Son
referenciados fuente de informacin para ataques ms elaborados.
Directorio de 1 OWASP-CM-004 Las aplicaciones exponen directorios con cdigo fuente
publicacin de y archivos de configuracin de las aplicaciones, lo cual
scripts y cdigo permite obtener informacin de otros equipos de la red
fuente PHP interna
Archivo Robots.txt 1 N/A Los sitios web tiene habilitado el archivo robots.text,
se encuentra que se utiliza para la indexacin de pginas a travs de
habilitado en el sitio buscadores. Puede proveer a un atacante, la ruta de los
web directorios que contiene el sitio, facilitando la bsqueda
de archivos que brinden informacin sobre
configuracin.
Puntos de 1 N/A Las pginas de login o autentificacin no utilizan un
acceso/login web protocolo seguro que cifre la comunicacin entre el
podran permitir la cliente y el servidor. La informacin de usuario y
intercepcin de contrasea viajan por la red en texto plano y podran ser
informacin en texto recuperados por un atacante que se encuentre analizando
claro el trfico de red.
Mtodos tipo 1 CVE-2003-1567 Los servidores tienen habilitados los mtodos de tipo
TRACE habilitados CVE-2004-2320 HTTP TRACE, mediante la cual un atacante podra
en el servidor CVE-2010-0386 extraer informacin sensible respecto a la configuracin
del servidor o informacin relacionada con las sesiones
de los usuarios conectados.
Tabla 3.26. Vulnerabilidades Seguros del Pichincha para pruebas externas
Elaborado por el Autor
3
CVE: Vulnerabilidades y Exposiciones Comunes, Common Vulnerabilities and Exposures por sus siglas
en ingles. Es un diccionario de nombres comunes para las vulnerabilidades de seguridad de informacin
de conocimiento pblico.
4
EXPLOIT: Es un fragmento de cdigo o conjunto de comandos que se utiliza para aprovechar una
vulnerabilidad de seguridad de un sistema de informacin, logrando que este se comporte de una
manera determinada
5
SMTP: Protocolo simple para transferencia de correo, Simple Mail Tranfer Protocol por sus siglas en
Ingles
84
Resultados de las pruebas internas de Hacking tico de Seguros del Pichincha
Las pruebas internas fueron realizadas sobre los siguientes objetivos de anlisis:
6
VLAN: Red de rea local virtual. Virtual Local Area Network, por sus siglas en ingles
7
DATA FUZZING:Tecnica que consiste en proporcionar a los sistemas y aplicaciones informacin
incorrecta, incompleta o aleatoria con el objetivo de detectar vulnerabilidades o fallas de prdida de
memoria
85
Las vulnerabilidades detectadas en la infraestructura interna de Seguros del Pichincha se
resumen en la siguiente tabla:
Esta informacin
permite planificar un
ataque ms elaborado
8
RDP: Protocolo de escritorio remoto, Remote Desktop Protocol por sus siglas en ingles.
9
DNS: Servicio de nombre de dominio, Domain Name Service por sus siglas en ingles.
86
Escritorio remoto 168 CVE-2005-1794 Esta vulnerabilidad
susceptible a podra permitir que un
ataques de hombre atacante tome el
en el medio control del equipo
afectado, debido a un
manejo inadecuado del
manejo de sesiones
CVE-2011-1733
CVE-2011-1734
CVE-2011-1735
CVE-2011-1736
CVE-2011-2399
CVE-2009-1378
CVE-2009-1379
CVE-2009-1386
CVE-2009-1387
CVE-2009-4185
CVE-2010-1034
87
CVE-2010-1917
CVE-2010-2531
CVE-2010-2939
CVE-2010-2950
CVE-2010-3709
CVE-2010-4008
CVE-2010-4156
CVE-2011-1540
CVE-2011-1541
88
Server CVE-2008-0107 sus privilegios y
tomar control de
objetos y esquemas de
la base de datos a los
cuales no fue
autorizado
Credenciales por 5 CVE-1999-0508 La cuenta sa, que
defecto en forma parte de la
Microsoft SQL instalacin por defecto
Server de Microsoft SQL
Server, est
configurada con la
contrasea
por defecto
permitiendo que
cualquier usuario
ingrese con privilegios
elevados a la base de
datos.
Credenciales por 36 CVE-2001-0051 La instalacin de DB2
defecto db2admin crea por defecto la
en Windows cuenta db2admin, la
cual puede ser usada
para comprometer los
servicios, bases de
datos, credenciales de
otros usuarios, e
informacin
almacenada.
Mltiples 27 ms08-067 Permite ejecucin de
vulnerabilidades en ms05-039 cdigo remoto,
Windows permiten ms06-040 debido a la falta de
la ejecucin de ms04-022 instalacin de parches
cdigo remoto ms10-054 de seguridad, o a fallas
ms05-043 en los servicios
ms04-011 Plug and Play
Sistema operativo 3 N/A La versin de
Obsoleto Windows XP se
considera obsoleta,
debido a que su soporte
oficial extendido
finaliz el 8 de abril de
2014, y existen
vulnerabilidades que
ya no sern corregidas
Mltiples 5 CVE-2007-6750 Varias vulnerabilidades
vulnerabilidades en CVE-2009-3555 que permiten:
Apache CVE-2010-0408 evadir controles de
CVE-2010-0425 acceso, denegacin de
CVE-2010-0434 servicio, ataques de
89
CVE-2009-2699 hombre en el medio
por falla en la
renegociacin de
sesiones,
elevacin de
privilegios, etc.
Mltiples 2 CVE-2011-1184 Versiones de Tomcat,
vulnerabilidades en CVE-2011-2204 anteriores a la 2.2.34,
Apache Tomcat CVE-2011-2526 son susceptibles a
CVE-2011-2729 vulnerabilidades
CVE-2011-3190 de ejecucin de cdigo
CVE-2011-5062 remoto y cross site
CVE-2011-5063 scripting y denegacin
CVE-2011-5064 de servicio
CVE-2010-4172
CVE-2008-5515
Credenciales por 2 CVE-2009-3099 La contrasea de la
defecto en Tomcat CVE-2009-3548 consola administrativa
CVE-2010-0557 est configurada con
CVE-2010-4094 los valores por
defecto, permitiendo el
despliegue de
cualquier aplicacin
que ejecute comandos
a nivel de sistema
operativo.
Mltiples 2 CVE-2011-4566 Varias vulnerabilidades
Vulnerabilidades CVE-2011-4885 que permiten
en PHP < 5.3.11 CVE-2012-0057 ejecucin de cdigo
CVE-2012-0781 remoto y denegacin
CVE-2012-0788 de servicio.
CVE-2012-0789
CVE-2012-0831
CVE-2012-1172
Credenciales por 2 CVE-2001-0051 Las claves por defecto
permiten el acceso
defecto en
total a la configuracin
dispositivo Cisco del equipo, y por
infraestructura de
comunicaciones
90
CVE-2011-0946 mediante la
manipulacin de
paquetes.
DoS10 89 CVE-2011-1473 El protocolo TLS/SSL,
requiere gran
por capacidad computacional
para renegociar
renegociacin en la sesiones de los
usuarios, por tanto sino
protocolos se controla la
renegociacin y el
TLS/SSL11 nmero de
sesiones simultneas, es
fcilmente lograr
una negacin de servicio.
10
DoS: Denegacin de servicio, Deny of service por sus siglas en ingls
11
TSL/SSL: Transport Socket layer/Secure Socket, por sus siglas en ingls son protocolos que
permiten encriptar comunicaciones a travs de redes.
12
SNMP: Protocolo simple de administracin de redes, Simple Network Management Protocol por
sus siglas en ingls
91
Informacin Condicin
Usuarios y contraseas de equipos Notas adhesivas colocadas sobre los
propios equipos
Diagramas de red explcitos Colocados en paredes y divisiones
modulares de las oficinas
Documentos con informacin oficial de Arrojados en los basureros sin ser
la empresa destruidos de forma adecuada
Tablas de direccionamiento IP Abandonados sobre escritorios o mesas
de trabajo
Tabla 3.29. Informacin recolectada en pruebas de ingeniera social
Elaborado por el Autor
De la misma manera los consultores verificaron que los centros de datos permanecen
abiertos y sin control a determinadas horas, en las cuales incluso se verific que varios
equipos son dejados encendidos sin bloquear sus respectivas sesiones.
92
mbito Recomendacin Responsables
Aplicacin / Instalar parches y actualizaciones de los sistemas Coordinaciones de
Software operativos. aplicaciones, datos
Renovar software obsoleto. y soporte usuarios
Desactivar los servicios no utilizados
Instalar y actualizar software anti virus
Cambiar contraseas y parmetros por defecto
Utilizar una poltica de contraseas fuertes
Utilizar tcnicas de programacin segura
Eliminar o desactivar cuentas y usuarios por defecto
Utilizar del criterio de menor privilegio en la
asignacin de permisos
Depurar el contenido de los servidores web, publicar el
contenido estrictamente necesario para servicios de
intranet e internet.
Utilizar protocolos de comunicacin segura donde sea
posible
Personalizar las instalaciones de software, o no utilizar
las instalaciones por defecto.
Activar opciones de seguridad opcionales
Infraestructura Instalar sistemas de prevencin de intrusos Coordinacin de
Actualizar el firmware de los dispositivos de red infraestructura y
Configurar equipos de seguridad perimetral utilizando telecomunicaciones
el criterio de menor privilegio
Cambiar usuarios y contraseas por defecto
Controlar el acceso a los puntos de red
Restringir el acceso fsico a los centros de datos y
equipos de red
Gestin Elaborar polticas y procedimientos de seguridad de la STIC, procesos,
informacin coordinaciones de
Definir polticas y estndares para el desarrollo y aplicaciones, datos,
publicacin de aplicaciones soporte usuarios, e
Establecer pruebas peridicas de seguridad de infraestructura y
aplicaciones e infraestructura comunicaciones
Establecer mtodos de control y cumplimiento de las
polticas y procedimientos de seguridad
Establecer polticas para el uso de contraseas
Capacitar al personal y socializar las iniciativas de
seguridad
Tabla 3.30. Recomendaciones Hacking tico
Elaborado por el Autor
Plan para definir las polticas y procedimientos faltantes relacionados con la seguridad
de la informacin
El objetivo principal de este plan de mejora es establecer un marco de trabajo que
permita administrar la seguridad de los activos de TI, en el que se definan las polticas,
objetivos, procesos y procedimientos relacionados con la Seguridad de la Informacin
con el fin de manejar el riesgo, mejorar la seguridad y entregar resultados alineados a
93
los objetivos de la organizacin. El plan propuesto de esta iniciativa se detalla en la
Figura 3.7.
Alinear el marco
de trabajo en el
COBIT como
que se estan
marco de
definiendo los
referencia
procesos, politicas
y procedimientos
Planificar la
estrategia con la Relacionadas con las
cual se llevara a metas corporativas
cabo la alineacion
Consolidacin y
difusin de Se integra al
dichos procesos portafolio de
en TI procesos
Controlar y dar
seguimiento del Es parte de la
cumplimiento de los normativa de
procesos,politicas y gestin
procedimientos
Figura 3.7. Plan para definir las polticas y procedimientos de Seguridad de la Informacin
Elaborado por el Autor
En la Figura 3.8 se define el plan de mejora para la creacin del rea de Seguridad de la
Informacin de acuerdo a un esquema que resalta las principales fases de
implementacin, desde una definicin en la cual participa el gobierno corporativo y la
alta gerencia, hasta la definicin de roles y actividades, de esta manera se pretende
generar un rea que responda a las necesidades empresariales de Seguridad de la
Informacin y tenga el soporte y aceptacin de todas las partes interesadas.(Mera
Sebastian, 2014)
94
Definir el rea en
conjunto con el Requiere el
Gobierno apoyo de la
Corporativo y TIC alta gerencia
Establecer el rea de
Seguridad de la Genera un
Informacin fuera de cambio
TICS y su jerarquia metodolgico
95
CONCLUSIONES
Al culminar el proyecto de la evaluacin tcnica e informtica de los sistemas
tecnolgicos de informacin de Seguros del Pichincha, se han cumplido con los
objetivos propuestos en el presente trabajo, por lo tanto se exponen a continuacin las
siguientes conclusiones
96
RECOMENDACIONES
97
BIBLIOGRAFIA
Barros Gabriela, Cadena Andrea (2012) Auditoria Informtica de la cooperativa de ahorro crdito Alianza del
ValleLtda. Aplicando Cobit 4.0. (Disertacin de Ingeniera de Sistemas e Informtica) Recuperada de
repositorio.espe.edu.ec/xmlui/handle/21000/5197
Caridad Simn. S. (2006). Auditora Informtica. Espaa. Obtenida el 18 de Noviembre del 2013, de
http://www.scaridad.com/files/Apuntes%20de%20AI.pdf
Camacho, Antonio (2005) Herramienta para el anlisis de requerimientos dentro de la pequea empresa
desarrolladora de software en Bogot. (Disertacin de Ingeniera de Sistemas). Recuperada de
http://www.javeriana.edu.co/biblos/tesis/ingenieria/Tesis189.pdf
COSO (Commite of Sponsoring Organization of the Theadway Commission, comite creado en 1985).
Informe emitido en 1992 y modificado en 2204.
Duque, Natalia (2005) Comercializacin de Seguros de vida a travs del canal de mercadeo empresarial en
Quito. Caso: Seguros del Pichincha. (Disertacin de Licenciatura en Mercadotecnia). Recuperada de
http://repositorio.ute.edu.ec/bitstream/123456789/10938/1/24966_1.pdf
98
Mera, Sebastin (2014) Diseo del modelo de gestin de seguridad de la informacin del sistema erp de Ep
Petroecuador de acuerdo a norma ISO/IEC 27002 y COBIT 5. (Disertacin de Maestra en gerencia de redes
y telecomunicaciones) Recuperada de http://repositorio.espe.edu.ec/handle/21000/8073
Piattini, M. G., Del Peso, E. Auditoria Informtica: Un Enfoque Prctico. computec RAMA. Espaa. (2003).
Seguros del Pichincha. (2014). Pgina web de Seguros del Pichincha. Recuperado de
http://www.segurosdelpichincha.com/
Yaez Carlos., Ibsen Sigfrid (2011) Trabajo de Investigacin: Enfoque Metodolgico de la Auditora a las
Tecnologas de Informacin y Comunicaciones. Recuperada de
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120
829_1.pdf
99
ANEXOS
SI; 20%
NO; 80%
SI NO
SI; 10%
NO; 90%
SI NO
SI NO
SI; 40%
NO; 60%
SI NO
101
5. Las reas y subdepartamentos tienen
claramente establecidas sus
responsabilidades
NO; 20%
SI; 80%
SI NO
SI NO
Al revisar se verifica que la mayora de los empleados est dividida ya que ellos
manifiestan que no existe un reparto funcional en la carga de trabajo en cada rea.
102
7. Dividen el trabajo del rea en funciones
SI; 20%
NO; 80%
SI NO
SI; 10%
NO; 90%
SI NO
Los empleados verifican que las funciones del rea no se encuentran impresas o
registradas en algn documento.
103
9. El personal del rea participa en la
elaboracin de las funciones
NO; 40%
SI; 60%
SI NO
NO; 30%
SI; 70%
SI NO
Se identifica que las funciones de cada rea se encuentran en el reglamento interno pero
no se cumplen las mismas.
104
11. En caso de no encontrarse el jefe, un
miembro inmediato puede realizar sus
funciones
SI; 10%
NO; 90%
SI NO
Como se dan cuenta en la organizacin ellos recomiendan que a falta del jefe inmediato
no existe persona que realice sus funciones en la organizacin.
NO; 24%
SI; 76%
SI NO
Se identifica que para el funcionamiento de cada rea se necesita el apoyo de otras para
un correcto funcionamiento de la organizacin
105
13. Tiene conocimiento si existe doble
asignacin de funciones en otras areas
NO; 34%
SI; 66%
SI NO
NO; 18%
SI; 82%
SI NO
Se distingue que la mayora est de acuerdo que las funciones del rea estn de acuerdo
a sus objetivos estratgicos.
106
15. Se deja de realizar alguna actividad por
falta de personal en el area
SI; 25%
NO; 75%
SI NO
NO; 34%
SI; 66%
SI NO
107
17. Existen polticas para la seguridad
cuando termina la relacin laboral con un
empleado
SI; 40%
NO; 60%
SI NO
SI NO
108
19. Conoce el personal el reglamento
interno de trabajo del area
SI; 36%
No; 64%
SI No
SI; 10%
NO; 90%
SI NO
109
Anexo 2: Tabulacin de encuesta B para la empresa Seguros del
Pichincha s.a
NO
90
SI 10
desastres naturales.
NO
18
SI
82
Pichincha.
110
3. Cuentan con horarios fijos de entrada y
salida
SI NO
NO
5
SI
95
departamento de la empresa.
NO
50
SI
50
111
5. Existe alarmas para detectar el fuego,
agua, calor o humo en forma automatica
SI NO
NO
10
SI
90
En la empresa los empleados indican que existen alarmas identificas por cualquier
NO
50
SI
50
112
7. Se ha adiestrado al personal para el
manejo de extintores
SI NO
NO
25
SI
75
No
70
SI 30
Los usuarios informan que no se posee detectores automticos para la activacin de los
113
9. Los interruptores de energa elctrica
estn debidamente protegidos, etiquetados,
sin obstculos para alcanzarlos
SI NO
NO
44
SI
66
NO
8
SI
92
Los brigadistas estn debidamente capacitados para cualquier siniestro que ocurra en
Seguros Pichincha
114
11. Se ha adiestrado a todo el personal en la
forma en que se debe desalojar las
instalaciones en caso de emergencia
SI NO
NO
40
SI
60
NO
28
SI
72
dentro de la compaa.
115
13. Se hace mantenimiento peridico a los
computadores
SI NO
NO
95
5
SI
NO
97
3
SI
116
15. Los cables de red, switch, hubs, etc. Se
encuentran debidamente etiquetados
SI NO
NO
22
SI
78
NO
98
2
SI
117
17. Existen salidas de emergencia en caso de
desastres
SI NO
NO
3
SI
97
NO
83
SI 17
118
19. Existe una persona responsable de la
seguridad informtica en su departamento
SI NO
NO
50
SI
50
NO
92
8
SI
en el ambiente.
119
Anexo 3: Tabulacin de encuesta C para la empresa Seguros del
Pichincha s.a
35 Usted Comunica al
Departamento de Sistemas
25 Lo Soluciona Solo
25
Ambos
15
Ninguno
50 Apaga el Computador
120
3. Cada cuanto tiempo modifica la
contrasea de su computador
60
Cada Semana
30 Cada Mes
10 Nunca
50
50 SI
No
Es Seguros del Pichincha se informa que la mitad de los equipos no poseen o no estn
conectados al ups de la empresa.
121
5. Como apaga su computador
50
20 Otro
En SDP la mayoria apaga su computadora correctamente pero existe una parte que no
apaga su computadora generando desperdicio de energia electrica.
80
SI
NO
20
122
7. Para el uso del Internet usted necesita
50
Otro
15
35
35
Poco
Mucha
30 Nada
123
9. Cree que necesita una capacitacin para el
uso de sistemas nuevos en la empresa
90
SI
No
10
35
Solicita Permiso al Departamento
de Sistemas
Lo instala usted y lo comunica al
25 Departamento de Sistemas
15 25
Simplemente lo instala
No lo instala
En SDP existe un alto porcentaje de software instalado en los equipos que no tienen
nada que ver con el giro del negocio.
124
Anexo 4: Estndares de Software y Hardware
Sistemas Operativos:
Estaciones de Trabajo Windows 8
Windows 7
Windows XP
Software de Desarrollo:
Definido en las polticas de diseo de servicios(Proceso Diseo de Servicios)
Software de Escritorio:
Oficina Ms OfficeProfessional
Otros Ms Project
WinRAR
Adobe Acrobat Professional
Software de Soporte:
Administracin de Red
Ip Route
PRTG
VNC
WS_FTP
Tivoli
TeamViewer
125
Servidor Tipo BLADE
Computadores de Escritorio
Tipo Desktop small form fractor
Procesador Core 2 Duo desde 2.33 Ghz, cache 4Mb L2
Disco SATA desde 250 Gb, 7200 rpm
Memoria RAM 4 Gb DDR2, exp 8 Gb desde 667 Mhz
Unidad de DVD-RW desde 52x16x52
2 Ranuras PCI para expansin
4 Puertos USB 2.0
1 Tarjeta de red 10/100/100 con puerto RJ-45
Fuente de poder desde 240 watt, con alimentacin elctrica 120VAC, 60hz
Monitor Lcd de 15 de la misma marca del CPU
Teclado PS/2 Latinoamericano de la misma marca que el CPU
Mouse PS/2 de 2 botones con scroll de la misma marca que el CPU
Licencia de Sistema Operativo Windows 8 Professional, 64 bits
Licencia de Sistema Operativo Windows 7 Professional, 64bits
Figura A4.3. Estndares de Hardware-Computadores de Escritorio
Elaborado por el Autor
126
Computadores Porttiles
Procesador Core 2 Duo desde 1.8 Ghz, cache 2 MB L2
Disco SATA desde 320 Gb, 5400 rpm
Memoria RAM 4Gb DDR2, exp 8Gb desde 667 Mhz
Unidad de DVD-RW desde 52x16x52
3 Puertos USB 2.0 incorporados
1 Puerto Gigabit Ethernet incorporada con conector RJ-45
Wireless 802.11 a/b/g incorporado
Conectividad Bluetooth
Lector de Huella Digital
Alimentacin Elctrica 120VAC, 60Hz
Batera de Litio para 3 horas mnimo
Monitor WXGA de 14
Teclado latinoamericano o espaol
Mouse touchpad incorporado de 2 o 3 botones
Licencia de Sistema Operativo Windows 7 Professional
Licencia de Sistema Operativo Windows 8 Professional
Impresoras:
Lser Color
Velocidad mnima 25 ppm a Color
Velocidad mnima 25 ppm a B/N
Resolucin de Impresin 1200 x 1200 dpi
Tamao de Papel A4
Memoria Mnima 128 MB
Tarjeta de red 10/100/1000
Administracin Web
Bandeja de Papel de 250 hojas
127
Telfonos:
Tipo Business o Bsico
Soporte VozIp
Funcin de Transferencia y captura de llamadas
Manejo de correo de voz
Switch 10/100 TX incorporado
Alimentacin Elctrica PoE conforme al estndar IEEE 802.3af
128
Anexo 5: Planos y Matrices COBIT Desarrollados durante la ejecucin
de la Auditoria de Seguros del Pichincha
PLANO DE ENLACE DE LAS METAS DE LA INSTITUCION, METAS TI Y CRITERIOS DE
INFORMACION
METAS DE LA INSTITUCION METAS DE TI CRITERIOS DE
INFORMACION DE COBIT
UTILIDAD
USABILIDAD
CREDIBILIDAD
LIBRE DE ERROR
ACCESIBILIDAD
CONFORMIDAD
SEGURIDAD
1 Proporcionar un buen retorno de inversin 2 2 X
de TI 4 8
Perspectiva
2 Gestionar los riesgos de TI que afectan a la 2 1 1 1 1 2 2 2 X X X
Financiera
institucin 4 7 8 9 0 1 2
3 Fomentar la Transparencia 2 1 X
8
4 Mejorar la orientacin y servicio al usuario 3 2 X
3
5 Ofrecer productos y servicios competitivos 5 2 X X
4
6 Establecer continuidad y disponibilidad de 1 1 2 2 X X
servicios 0 6 2 3
Tabla A5.1. Plano de enlace de las metas de la institucin, metas TI y Criterios de Informacin
(COBIT 5, 2012)
129
PLANO DE ENLACE DE LAS METAS TI Y CRITERIOS DE INFORMACION
CRITERIOS DE INFORMACION
DE COBIT
ACCESIBILIDAD
CONFORMIDAD
CREDIBILIDAD
USABILIDAD
SEGURIDAD
UTILIDAD
LIBRE DE
METAS DE LA INSTITUCION PROCESOS DE TI-COBIT
ERROR
1 Alineamiento de TI y estrategia de negocio EDM01 EDM02 APO01 APO02 APO03 APO05 BAI01 BAI02 P P S S
Cumplimiento y soporte de la TI al cumplimiento del
2 APO01 APO12 APO13 BAI10 DSS05 MEA02 MEA03 P P
negocio de las leyes y regulaciones externas
Compromiso de la direccin ejecutiva para tomar
3 EDM01 EDM05 P P S S
Financiera decisiones relacionas con TI
4 Riesgo del negocio relacionados con la TI gestionados EDM03 APO10 APO12 APO13 BAI01 BAI06 DSS01 MEA01 S P S
Realizacin de beneficios del portafolio de inversiones y
5 EDM02 APO04 APO05 APO06 APO11 BAI01 P P S
servicios relacionados con las TI
6 Transparencia de los costes, beneficios y riesgos de la TI EDM02 EDM03 EDM05 APO06 APO12 APO13 BAI09 P P S
Entrega de servicios de TI de acuerdo a los requisitos del
7 BAI02 BAI03 BAI04 DSS01 DSS02 DSS04 DSS06 MEA01 P P S
negocio
Cliente
Uso adecuado de aplicaciones, informacin y soluciones
8 APO04 BAI05 BAI07 S P
tecnolgicas
9 Agilidad de las TI EDM04 APO01 APO03 APO04 APO10 BAI08 P P
Seguridad de la informacin, infraestructura de
10 EDM03 APO12 APO13 BAI06 DSS05 P P S S S S S
procesamiento y aplicaciones
11 Optimizacin de activos, recursos y capacidades de las TI EDM04 APO01 APO07 BAI04 BAI10 DSS01 DSS03 MEA01 P P S S
Capacitacin y soporte de procesos de negocio integrando
12 APO08 BAI02 BAI07 P P S S
aplicaciones y tecnologa en procesos de negocio
Interna
Entrega de Programas que proporcionen beneficios a
13 tiempo, dentro del presupuesto y satisfaciendo los APO05 APO07 APO11 APO12 BAI01 BAI05 P S
requisitos y normas de calidad
Disponibilidad de informacin til y fiable para la toma de
14 APO09 APO13 BAI04 BAI10 DSS03 DSS04 S S P P P S S
decisiones
15 Cumplimiento de las polticas internas por parte de las TI EDM03 APOO1 MEA01 MEA02 S P
Aprendizaje 16 Personal del negocio y de las TI competente y motivado EDM04 APO01 APO07 P P S S
y Conocimiento, experiencia e iniciativas para la innovacin
Crecimiento 17 EDM02 APO01 APO02 APO04 APO07 APO08 BAI05 BAI08 P P S S S S S
de negocio
Tabla A5.2. Plano de enlace de las metas TI, Procesos COBIT y Criterios de informacin
(COBIT 5,2012)
130
Evaluar, Orientar y
Alinear, Planificar y Organizar
Supervisar
AP013
APO12
APO11
APO10
APO09
APO08
APO07
APO06
APO05
APO04
APO03
APO02
APO01
EDM05
EDM04
EDM03
EDM02
EDM01
interesadas
Gestionar el riesgo
Gestionar la calidad
Gestionar portafolio
Gestionar la estrategia
del marco de gobierno
Gestionar la seguridad
Gestionar las relaciones
Gestionar la innovacin
PROCESOS DE COBIT 5
S
S
P
P
S
P
S
P
P
P
S
S
S
P
P
1
Alineamiento de TI y estrategia de negocio
P
P
S
S
S
P
S
S
S
2
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
S
S
S
S
S
S
S
P
S
S
S
P
3
Compromiso de la direccin ejecutiva para tomar decisiones relacionas con TI
P
P
S
P
S
S
S
S
S
S
S
S
S
S
P
S
4
Riesgo del negocio relacionados con la TI gestionados
(COBIT 5, 2012)
FINANCIERA
P
S
S
S
P
P
P
S
S
S
P
S
5
Realizacin de beneficios del portafolio de inversiones y servicios relacionados con las TI
P
P
S
S
S
P
S
S
P
S
P
P
S
6
Transparencia de los costes, beneficios y riesgos de la TI
S
S
P
P
P
P
S
S
S
S
P
S
P
S
S
P
P
7
Entrega de servicios de TI de acuerdo a los requisitos del negocio
S
S
S
S
S
S
S
S
P
S
S
S
S
S
8
Uso adecuado de aplicaciones, informacin y soluciones tecnolgicas
CLIENTE
S
S
P
S
S
S
P
P
S
P
P
S
9
Agilidad de las TI
P
P
S
S
S
S
S
P
S
10
Seguridad de la informacin, infraestructura de procesamiento y aplicaciones
P
S
S
S
S
S
S
12
INTERNA
Negocio
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y
P
P
S
S
S
P
S
P
S
S
S
S
S
S
S
13
normas de calidad
METAS RELACIONADAS CON LAS TI
PLANO DE ENLACE DE LAS METAS TI Y CRITERIOS DE INFORMACION
P
S
S
S
P
S
S
S
S
S
S
S
S
14
Tabla A5.3. Plano de enlace de las metas relacionados con las TI y los Procesos relacionados con TI
Disponibilidad de informacin til y fiable para la toma de decisiones
131
S
S
S
S
S
S
S
P
S
P
S
15
S
S
S
P
S
P
P
S
S
S
16
S
S
S
P
P
S
P
S
P
P
S
S
S
P
S
17
CRECIMIENTO
APRENDIZAJE Y
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo
Capacitacin y soporte de procesos de negocio integrando aplicaciones y tecnologa en procesos de
Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
negocio
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
APRENDIZAJE
PROCESOS DE COBIT 5 FINANCIERA CLIENTE INTERNA Y
CRECIMIENTO
Construccin, Adquisicin e Implementacin
MEA02
Supervisar, evaluar y valorar el sistema de control P P S S S S S P S
interno
MEA03 Supervisar, evaluar y valorar la conformidad con
los requerimientos externos P P S S S S S
Tabla A5.4. Plano de enlace de las metas relacionados con las TI y los procesos relacionados con TI
(COBIT 5, 2012)
132
Actividades especficas de seguridad para los procesos de COBIT 5
Actividades:
Analizar e identificar factores legales, regulatorios y obligaciones contractuales que
influencien en el diseo de gobierno de Seguridad de la Informacin.
Definir principios que guen el diseo de catalizadores para Seguridad de la
Informacin y promocione un ambiente adecuado.
Obtener comprometimiento de los niveles ejecutivos con la Seguridad de la
Informacin y la gestin de riesgos.
Alinear la estrategia de seguridad con la estrategia de negocio.
Actividades:
Identificar y registrar los requerimientos de las partes interesadas para
proteger sus intereses a travs de la Seguridad de la Informacin.
Establecer un mtodo para demostrar el valor de la Seguridad de la Informacin,
incluyendo una coleccin de informacin relevante.
Dar seguimiento a las iniciativas de Seguridad de la Informacin y verificar la entrega
de beneficios
133
EDM03 Asegurar la optimizacin de riesgos.
Actividades:
Controlar el nivel de integracin de la gestin de riesgos de la informacin con la
gestin de riesgos corporativa.
Definir niveles de riesgo aceptados, para mantener un equilibrio entre los riesgos y las
oportunidades de negocio.
134
APO08 Gestionar las Relaciones
Actividades:
Entender el negocio y como la Seguridad de la Informacin afecta o facilita las
actividades de este.
Establecer un enfoque para influir contactos claves con respecto a la Sistemas de
Informacin
Incorporar requerimientos de Seguridad de la Informacin en los procesos de mejora
contina.
135
Establecer un proceso para asegurar que toda la informacin relacionada al proyecto,
recolectada o generada, sea segura.
Desarrollar un plan de Seguridad de la Informacin que identifique el ambiente y
controles a ser implementados para proteger los activos organizacionales.
Integrar Seguridad de la Informacin en la gestin de proyectos de TI y de negocio.
Realizar evaluaciones peridicas para asegurar que los requerimientos de Seguridad
de la Informacin estn siendo implementados.
136
Instalar herramientas para proteccin contra software malicioso con opciones de
actualizacin de definiciones activadas.
Distribuir todo el software de proteccin centralizado, con opciones de configuracin
y actualizacin centralizada.
Filtrar el trfico entrante, para protegerse contra informacin no solicitada.
Realizar actividades de entrenamiento relacionado con malware y mtodos para
navegacin segura en internet.
Establecer y mantener una poltica de seguridad para la conectividad en relacin a la
valoracin de riesgos de la empresa.
Cifrar la informacin en trnsito de acuerdo a su clasificacin.
Establecer mecanismos confiables para soportar la transmisin y recepcin de
informacin.
Llevar a cabo pruebas peridicas de la seguridad de los sistemas para determinar
idoneidad de las configuraciones realizadas.
Configurar los sistemas operativos de forma segura.
Implementar mecanismos de bloqueo automtico.
Cifrar la informacin en discos y respaldos de acuerdo a la clasificacin de la
informacin.
Gestionar las conexiones remotas y accesos (VPN, oficinas remotas).
Proteger la integridad de los equipos
Disponer o desechar equipos terminales de forma segura.
Mantener accesos a los sistemas de acuerdo a los roles y responsabilidades asignadas.
Realizar revisiones peridicas de las cuentas y privilegios asignados.
Asegurarse que todos los usuarios y sus actividades, sean identificadas de forma
nica.
Registrar toda la informacin relacionada con incidentes de Seguridad de la
Informacin, que permitan realizar anlisis de causa-efecto.
137
PLANO DE ENLACE DE LAS METAS CORPORATIVAS DE COBIT 5 Y LAS METAS RELACIONADAS DE
TI
METAS RELACIONADAS CON LAS TI
9 Agilidad de las TI S P S S P P S S S P
10 Seguridad de la informacin, infraestructura de
procesamiento y aplicaciones P P P P
Tabla A5.5. Plano de enlace de las metas corporativas de COBIT 5 y las metas relacionadas con TI
(COBIT 5, 2012)
138
PLANO DE RESPONSABILIDADES DE COBIT
RESPONSABLE
PROCESOS DE TI COBIT Departamento
Dentro de
No se sabe
la Externo
de TI Institucin con certeza
139
MATRIZ DE GRADOS DE MADUREZ DE PROCESOS - SEGUROS DEL PICHINCHA
Grado de
PROCESOS DE TI COBIT Madurez
Nivel de Madurez
140
MATRIZ DE NIVEL DE SERVICIO - SEGUROS DEL PICHINCHA
DESEMPEO
CUMPLE MAYORITARIAMENTE
CUMPLE TOTALMENTE
CUMPLE LEVEMENTE
NO CUMPLE
PROCESOS DE TI COBIT
%
Evaluar, Orientar y Supervisar: Gobierno asegura que los objetivos de la empresa se logren mediante la evaluacin de las
necesidades de las partes interesadas teniendo en cuenta las condiciones y opciones, estableciendo la direccin a travs de la 62,93%
priorizacin y decisin, monitoreando el desempeo, el cumplimiento y el progreso comparando con la direccin y objetivos
EDM01 Asegurar el establecimiento y mantenimiento del marco de gobierno X 92,89%
EDM02 Asegurar la entrega de beneficios X 56,69%
EDM03 Asegurar la optimizacin del riesgo X 62,96%
EDM04 Asegurar la optimizacin de los recursos X 62,96%
EDM05 Asegurar la transparencia hacia las partes interesadas X 39,17%
Alinear, Planificar y Organizar: Cubre el uso de la informacin y la tecnologa y como esta puede ser usada para lograr los
63,32%
objetivos y las metas de la compaa.
APO01 Gestionar el marco de gestin de TI X 67,78%
APO02 Gestionar la estrategia X 61,11%
APO03 Gestionar la arquitectura empresarial X 67,33%
APO04 Gestionar la innovacin X 75,83%
APO05 Gestionar portafolio X 50,67%
APO06 Gestionar el presupuesto y los costes X 54,17%
APO07 Gestionar los recursos humanos X 67,78%
APO08 Gestionar las relaciones X 67,33%
APO09 Gestionar los acuerdos de servicio X 71,48%
APO10 Gestionar los proveedores X 54,07%
APO11 Gestionar la calidad X 45,19%
APO12 Gestionar el riesgo X 74,67%
AP013 Gestionar la seguridad X 65,71%
Construccin, Adquisicin e Implementacin: Cubre la identificacin de requerimientos de TI, adquiere la tecnologa y la
58,59%
implementa dentro de los procesos de negocio actuales de la compaa
BAI01 Gestionar los programas y proyectos X 62,96%
BAI02 Gestionar la definicin de requisitos X 39,17%
BAI03 Gestionar la identificacin y la construccin de soluciones X 48,00%
BAI04 Gestionar la disponibilidad y la capacidad
X 44,81%
BAI05 Gestionar la introduccin de cambios organizativos X 75,00%
BAI06 Gestionar los cambios X 75,19%
BAI07 Gestionar la aceptacin del cambio y de la transicin X 75,19%
BAI08
Gestionar el conocimiento X 60,00%
BAI09 Gestionar los activos X 48,89%
BAI10 Gestionar la configuracin X 56,67%
Entregar, dar Servicio y Soporte: Entrega, Soporte y Servicio., Asegura la continuidad de la operacin desde la gestin y
atencin de incidentes y problemas mitigando los riesgos y aportando la seguridad necesaria para que las funciones importantes de 57,14%
soporte de TI se realicen regularmente y en forma debida
DSS01 Gestionar las operaciones X 48,33%
DSS02 Gestionar las peticiones y los incidentes del servicio X 50,83%
DSS03 Gestionar los problemas X 61,85%
DSS04 Gestionar la continuidad X 69,26%
DSS05 Gestionar los servicios de seguridad X 69,63%
DSS06 Gestionar los controles de los procesos del negocio X 42,96%
Supervisin, Evaluacin y Verificacin: Evala las necesidades de la empresa si el actual sistema de TI cumple con los objetivos
para los cuales fue diseado y si estn establecidos los controles necesarios para cumplir con los requerimientos regulatorios. 64,22%
141
MATRIZ DE IMPACTO DE PROCESOS FRENTE A LOS CRITERIOS DE INFORMACIN DE COBIT
CRITERIOS DE R IMPACTO
INFORMACION DE COBIT ECURSOS DE TI
INFRAESTRUCTURA
LIBRE DE ERROR
ACCESIBILIDAD
CONFORMIDAD
INFORMACIN
CREDIBILIDAD
APLICACIN
USABILIDAD
SEGURIDAD
PERSONAS
UTILIDAD
%
PROCESOS DE TI - COBIT
142
MATRIZ DE DIAGNOSTICO DE PROCESOS COBIT
FORMALIZADO/ CONTROL
IMPORTANCIA AUDITADO
NORMADO INTERNO
MUY IMPORTANTE
NO FORMALIZADO
DOCUMENTADO
FORMALIZADO
NO AUDITADO
IMPORTANTE
NO APLICA
AUDITADO
PROCESOS DE TI COBIT
%
Evaluar,Orientar y Supervisar 100,00%
EDM01 Asegurar el establecimiento y mantenimiento del marco de gobierno X 100,00% x X X
EDM02 Asegurar la entrega de beneficios X 100,00% x X X
EDM03 Asegurar la optimizacin del riesgo X 100,00% x X X
EDM04 Asegurar la optimizacin de los recursos X 67,00% x X X
EDM05 Asegurar la transparencia hacia las partes interesadas X 33,00% x X X
Alinear, Planificar y Organizar 53,85%
APO01 Gestionar el marco de gestin de TI X 67,00% x x x
APO02 Gestionar la estrategia X 33,00% x x x
APO03 Gestionar la arquitectura empresarial X 33,00% x x x
APO04 Gestionar la innovacin X 100,00% x x x
APO05 Gestionar portafolio X 67,00% x x x
APO06 Gestionar el presupuesto y los costes X 67,00% x x x
APO07 Gestionar los recursos humanos X 33,00% x x x
APO08 Gestionar las relaciones X 33,00% x x x
APO09 Gestionar los acuerdos de servicio X 67,00% x x x
APO10 Gestionar los proveedores X 33,00% x x x
APO11 Gestionar la calidad X 67,00% x x x
APO12 Gestionar el riesgo X 33,00% x x x
AP013 Gestionar la seguridad X 67,00% x x x
Construccin, Adquisicin e Implementacin 70,10%
BAI01 Gestionar los programas y proyectos X 100,00% X X X
BAI02 X 100,00%
Gestionar la definicin de requisitos X X X
BAI03 Gestionar la identificacin y la construccin de soluciones 100,00%
X X X X
BAI04 Gestionar la disponibilidad y la capacidad X 67,00% X X X
BAI05 Gestionar la introduccin de cambios organizativos X 33,00% X X X
BAI06
Gestionar los cambios X 67,00% X X X
BAI07 Gestionar la aceptacin del cambio y de la transicin X 67,00% X X X
BAI08 X 33,00%
Gestionar el conocimiento X X X
BAI09 X 67,00%
Gestionar los activos X X X
BAI10 X
Gestionar la configuracin 67,00% X X X
Entregar, dar Servicio y Soporte 77,83%
DSS01 Gestionar las operaciones X 100,00% X X X
DSS02 Gestionar las peticiones y los incidentes del servicio X 100,00% X X X
DSS03 Gestionar los problemas X 67,00% X X X
DSS04 Gestionar la continuidad X 33,00% X X
DSS05
Gestionar los servicios de seguridad X 100,00% X X X
DSS06 Gestionar los controles de los procesos del negocio X 67,00% X X X
Supervisin, Evaluacin y Verificacin 66,67%
MEA01 Supervisar, evaluar y valorar rendimiento y conformidad X 67,00% X X X
MEA02
Supervisar, evaluar y valorar el sistema de control interno X 33,00% X X X
MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos
externos X 100,00% X X X
Tabla A5.10. Matriz de Impacto de Procesos frente a los criterios de Informacin de COBIT
(COBIT 5,2012)
143