Ensayo GCR Aplicar Proceso COBIT 5

Universidad Mariano Gálvez de Guatemala
Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información
Gestión y Control de Riesgos
Cesar Minas
Ensayo
ENSAYO SOBRE LOS RIESGOS DE UN SERVIDOR DE ESCRITORIO

REMOTO PUBLICADO EN LA WEB BASADO EN LA EMPRESA AGRO, Y
COMO ALCANZAR EL GRADO DE MADUREZ 3 SEGÚN COBIT 5
Manuel Alfonso Jocop López

Carne: 1593-09-3312
Plan Sábado Matutino
Sección “A”
9 Junio de 2019
Contenido
AGRADECIMIENTO ........................................................................................................................ 3
DEDICATORIA ................................................................................................................................. 4
DECLARACIÓN EXPRESA ........................................................................................................... 5
INTRODUCCIÓN ............................................................................................................................... i
CAPITULO 1 ..................................................................................................................................... 1
1.1 Caracterización de la empresa ................................................................................... 1
1.2 Determinación de los procesos del negocio .......................................................... 3
1.3 Determinación informática .......................................................................................... 4
1.4 Determinación de los procesos de T.I .................................................................... 10
CAPÍTULO 2 ................................................................................................................................... 17
Evaluación de la madurez de los procesos de T.I. .......................................................... 17
2.1 Análisis del modelo de madurez y capacidad de Cobit 5.................................. 17
2.2 evaluación de la madurez de los procesos de TI:..................................................... 22
CAPÍTULO 3 ................................................................................................................................... 30
ESTRATEGIAS DE MEJORAMIENTO DE PROCESOS DE T.I. ...................................... 30
3.1 ESTRATEGIAS DE MEJORAMIENTO DE PROCESOS. ....................................... 30
3.2 Procedimiento para gestión de equipos de acceso remoto. ................................. 34
3.3 Determinación del modelo de madurez futuro. ......................................................... 37
CONCLUSIONES........................................................................................................................... 49
BIBLIOGRAFIA .............................................................................................................................. 50
2
AGRADECIMIENTO
Agradezco a nuestro Dios, por cada día de vida y por las oportunidades puestas
en el camino y haber permitido a este punto de la carrera en la Maestría de
Seguridad Informática.
Agradezco a mis padres, por la paciencia y ternura de nuestros primeros pasos,

por su guía y apoyo incansable durante estos años; por su amor incomparable, así
también por el apoyo brindado y por ese aliento de fuerza cuando me veían flaquear
en el camino; por su orgullo mal disimulado en cada obstáculo que dejábamos atrás.
Agradezco a mis hermanos, por su compañía en esta vida, por ser amigos y
confidentes, por simplemente estar allí.
DEDICATORIA
Me llena de alegría el poder dedicarle este ensayo a nuestro Dios que me ha

dado las fuerzas necesarias para poder llegar al final.
A mi familia, a cada uno de sus miembros, ya que de una u otra manera han
colaborado durante estos años a que no me rinda en el intento de superación al que
me comprometí al inicio de la Maestría.
DECLARACIÓN EXPRESA
La responsabilidad del contenido del presente ensayo, me corresponde

exclusivamente; y el patrimonio intelectual de la misma a la Universidad Mariano
Gálvez de Guatemala.
INTRODUCCIÓN
El presente ensayo tiene como objetivo realizar un análisis y evaluación riesgos
del proceso para conexión de escritorio Remoto del área de TI en de la empresa
Agro, bajo la metodología de COBIT 5, con la cual se podrá determinar el grado de
madurez a alcanzar en el corto y largo plazo, con estrategias de mejoramiento de
prevención de riesgos que serán definidas en dichos periodos, y en base a ello se
establecerán las conclusiones y recomendaciones necesarias para mejorar el grado
de madurez y alcanzar las metas propuestas.
La empresa Agro. Posee un sistema de conexión remota para el uso del sistema
principal, el cual nunca ha sido sometida a una evaluación informática, es por eso
se da la importancia de conocer la situación actual y sobre todo el Grado de Madurez
de los procesos del Área de TI para sugerir las recomendaciones necesarias que
aporten para el óptimo funcionamiento de la empresa Agro.
En base a todo el desarrollo de la evaluación, la empresa Agro deberá recoger

todas las recomendaciones y conclusiones para de esta forma poder alinear los
procesos del negocio con los procesos de TI garantizando la disponibilidad de los
servicios y otorgando la confianza necesaria a sus usuarios.
En el Capítulo 1 hace referencia a la identificación de la empresa, sus orígenes

y antecedentes, así como involucrarse más con su formulación estratégica,
principios y valores que promueven y sus objetivos y estrategias empresariales,
adicional se desglosa el proceso para el entendimiento de las metas y procesos de
TI en los que se debe hacer énfasis para lograr obtener una mejor calidad en los
servicios de conexión remota de TI.
En el Capítulo 2 incluye un análisis del modelo de madurez utilizado en el

presente ensayo, además un análisis de la herramienta utilizadas para la evaluación
del nivel de madurez y un análisis de la capacidad de la metodología empleada
(COBIT 5), la evaluación del nivel de madurez riesgos de conexión remota y
finalmente un análisis de los resultados obtenidos en la evaluación.
En el Capítulo 3 se presentan estrategias de mitigación de riesgos para el
proceso de conexión remota de TI para poder alcanzar el nivel de madurez deseado
en un futuro, así como también recomendaciones enfocadas en cómo alcanzar
dicho nivel de madurez, es decir, la determinación del nivel de madurez futuro.
Finalmente se presenta un análisis de impacto en el que se muestra el mejoramiento
de los procesos de TI relacionados con las metas de TI más relevantes para el
negocio.
ii
CAPITULO 1
1.1 Caracterización de la empresa
EMPRESA AGRO
Antecedentes
• Empresa Agro es una empresa dedicada a la exportación de vegetales frescos

fundada en 1978
• La Empresa Agro tiene como objetivo único y exclusivo el exportar vegetales

frescos y ser líder en el mercado norteamericano, así como la empresa número uno
en Guatemala.
• La Empresa Agro hoy no solo depende directamente del mercado norteamericano,

a través del Departamento de Mercadeo, también ha posicionado sus productos en
el mercado europeo, y aumentar su capacidad de manejar productos que no son
propios, la empresa Agro está siendo regulada por Asociación de Exportadores de
Guatemala (AGEXPORT).
• Es una de las 7 principales Empresas Agro del país
Objetivos
• Uno de los compromisos y necesidad de la Empresa Agro, además de manejar

sus principios de liquidez, operación, atención a clientes, entre otros, se encuentra
la necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnología y mejora continua en sus
servicios y atención a las sucursales.
• La Gestión de Riesgos se basa en un proceso estructurado que comprende un

conjunto de políticas, lineamientos, procesos y procedimientos, a través de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la Empresa Agro puede estar expuesta.
1
• Evaluar las solicitudes de conexiones remotos en base a las condiciones
establecidas para la operación de las sucursales y realizar las operaciones de
manera segura y exenta de errores.
Planteamiento de problema
Con el paso de los años se han ido desarrollando nuevos ataques cada vez más
sofisticados para explotar vulnerabilidades en la configuración y operación de
sistemas informáticos y redes de la empresa Agro. La seguridad de los sistemas
toma día a día mayor importancia, considerando que muchos atacantes no
necesitan estar físicamente en la institución para realizar intrusiones y poder
acceder a la información saltando los métodos de protección a la información y las
medidas de protección con el objetivo de llevar a cabo sus intereses particulares o
colectivos.
Los hackers pueden realizar sus intrusiones con un acceso físico al servidor de
conexiones del remoto, aprovechando en este los servicios ofrecidos por
computadoras de los distintos puntos fuera de las instalaciones, esto se ha
sospechado de aplicaciones desarrolladas por atacantes para el espionaje del
tráfico en estas conexiones. Sin embargo, existen medidas como antivirus, buenas
políticas de seguridad, firewall y aplicación de parches.
El propósito de realizar un análisis de riesgos más profundo basado en la ISO

27005 es reforzar el sistema de gestión de la seguridad informática, ya que con esto
se busca el asegurar la continuidad del negocio y minimizar posibles daños a la
empresa Agro previniendo o mitigando el impacto de incidentes de seguridad. Se
busca lograr una buena gestión de seguridad de la información y así permitir que
sea compartida, asegurando su confidencialidad, integridad y disponibilidad,
además de los activos comprendidos en el alcance del sistema.
A fin de brindar la más completa protección en la empresa Agro, es vital

implementar una política de Gestión de Riesgo, a manera que sea proactivo e
2
indique cómo sobrevivir a los múltiples escenarios y preparar las mismas en el
manejo de las amenazas inesperadas que podría afrontar en el futuro.
La empresa Agro ha invertido tiempo y dinero en la construcción de una

infraestructura para la tecnología de la información que soporte el giro del negocio,
esa infraestructura de TI podría resultar ser una gran debilidad si se ve
comprometida ante ataques.
1.2 Determinación de los procesos del negocio

Identificación Proceso Conexión Remoto de sucursales
Proceso Clave Retiro de capital.

Subproceso Procedimiento de giro del negocio en el interior del país.
Introducción Este procedimiento forma parte del proceso de
operaciones de la empresa Agro. La responsabilidad por
su ejecución y validación corresponde a las áreas
Comercial, TIC, Finanzas y Gerencia.
Alcance Este procedimiento será aplicable a todas las operaciones
de giro del negocio de la Empresa Agro. Las indicaciones
del procedimiento deben ser aplicadas por el área de
proceso y empaque y controladas por el área comercial.
Objetivos Evaluar las solicitudes de conexiones remotos en base a
las condiciones establecidas para la operación de las
sucursales y realizar las operaciones de manera segura y
exenta de errores.
Actividades 1. Ingreso de la solicitud de conexión.
descritas en el 2. Evaluación de la estación de trabajo
Procedimiento 3. Reconsideración de usuario y credenciales.
4. Autorización de usuario y equipo para conexion.
5. Mantener la sesión abierta mientras exista consumo.
6. Control de estados de la conexión.
Procesos  Manejo de Planta
Relacionados  Manejo de Inventarios
 Manejo de Recepcion de Materia Prima
Mediciones del  Cierre diario de órdenes de producción
Proceso  Revisión de cumplimiento y Contable (diaria)
3
1.3 Determinación informática
Hardware:
Descripción del Hardware
Se cuenta con un inventario, de hardware en el cual se detallan los equipos

según cada departamento, además se especifica el tipo de Hardware, la Marca o
Serie y si es portátil o no.
Como resumen del inventario tenemos la siguiente tabla:
TIPO CANTIDAD
CPU 25
LAPTOP 13
CENTRAL TELEFÓNICA 12
BATERÍA UPS 25
DVR 12
MONITOR 25
SERVIDOR 3
TIPO 4
CPU 2
LAPTOP 11
La empresa Agro cuenta con una infraestructura tecnológica capaz de solventar

las necesidades del negocio, para tener una visión de la misma nos hemos visto en
la necesidad de levantar un diagrama de Red lo cual nos permitirá identificar los
componentes necesarios para llevar a cabo los procesos del negocio:
DESCRIPCIÓN DE LA TOPOLOGÍA DE RED
En el diagrama de red se puede observar la distribución tanto de servidores,

switches, y terminales, de toda la red LAN de la empresa Agro además también
apreciamos la conectividad hacia la Internet.
4
FTP
Firewall
Dentro de la topología de Empresa Agro, se cuenta con 3 servidores,
- Servidor de Aplicaciones y Base de Datos (Gestor).
- Servidor FTP y Firewall.
- Servidor de conexiones remotas.
El servidor para nuestro estudio será el de Escritorio de Conexión Remota, pues

en este servidor se ejecuta el sistema RDP, el mismo que es la base para llevar los
procesos del negocio.
La red también cuenta con 2 switch’s, conectados uno con otro. El primer switch
conecta al Firewall con toda la LAN y el segundo switch tiene conexión directa con
el Servidor de Escritorio de conexión Remota.
Otra característica recolectada hace referencia al proveedor de Servicio de

Internet el cual es Claro.
En cuanto a los terminales, son 29 los que se encuentran actualmente con

conexión a la Red LAN.
5
Descripción de los servidores.
Los servidores con los que cuenta la empresa tienen las características que se
indican en la Tabla 29. El servidor que nosotros evaluaremos será el de Aplicaciones
y Base de Datos.
SERVIDOR MARCA PROCESADOR CAPACIDAD MEMORIA

Marca Velocidad DE DISCO
Aplicaciones HP Quad-Core 2,00 GHz 256GB; 2GB (2 x
y Base de Intel® 1GB)
Datos. Xeon® Standard;
Processor PC2-5300
E5405 Fully
Buffered
DIMMs
(DDR2-
667)
FTP Y HP Quad-Core 2,00 GHz 256GB; 2GB (2 x
Firewall Intel® 1GB)
Xeon® Standard;
Processor PC2-5300
E5405 Fully
Buffered
DIMMs
(DDR2-
667)
Escritorio de HP Quad-Core 2,00 GHz 256GB; 2GB (2 x
conexión Intel® 1GB)
remota Xeon® Standard;
Processor PC2-5300
E5405 Fully
Buffered
DIMMs
(DDR2-
667)
6
SOFTWARE:
Descripción del software.
Las máquinas de la empresa cuentan con software que varía según sean las
necesidades, entre los tipos de software general que se maneja tenemos:
- Escritorio de conexión Remota RDP.
- Paquete de Office 365
o Hoja de Cálculo – Excel.
o Procesador de Texto – Word.
o Procesador de Presentaciones – Power Point.
o Mensajería – Outlook.
o Administrador de Proyectos – Project.
- Antivirus
o Eset 7.0.
- Firewall.
o WebAdmin 1.500
- Navegadores.
o Firefox 24.0
o Google Chrome 2013.
o Internet Explorer 8.
7
- En cuanto a los sistemas Operativos se tienen10:
o Windows XP Professional 2002 SP3.
o Windows XP Professional 2002 SP2.
o Windows 7 Home Premium
o Windows 7 Professional
o Centos 5.3
o Windows Server 2003
Cabe mencionar que el servidor Conexión de Escritorio Remoto funciona sobre

la Plataforma Windows Server 2008 R2, en cuanto al servidor de Aplicaciones, FTP
y Firewall opera sobre el sistema operativo Centos 5.3. Referente a la Base de Datos
se la maneja con el Sistema Gestor de Base de Datos de Oracle.
La mayor parte de las licencias del software han sido legalmente adquiridas,
también se debe tomar en cuenta que Empresa Agro maneja licencias libres como
es el caso del sistema operativo Centos, permitiendo de ésta forma la operatividad
del negocio.
Conexión de Escritorio Remoto RDP
RDP es un innovador Sistema que permite un completo control sobre todos los
aspectos concernientes a la administración de un equipo computador a distancia.
Abarca el procesamiento de transacciones de aportes y desembolsos, manejo de
operaciones del ERP.
Características generales del RDP:
• Total control por parte del usuario,
• Altamente parametrizable,
8
• Navegación flexible e intuitiva,
• Construcción dinámica de fórmulas,
• Sólidos controles de seguridad.
Características Técnicas del Sistema RDP
• Modular,
• Ambiente Windows
Es importante señalar que el Software considerado esencial para el Negocio es

RDP, pues este sistema es desarrollado a medida ya que es adquirido por varias de
las empresas dedicadas al mercado Agro tanto a nivel nacional como internacional.
RECURSO HUMANO:
Descripción de recursos humanos de la unidad informática.
La Unidad Informática de la Empresa Agro. actualmente cuenta con diez

personas encargadas de toda la parte referente a las TICs, la misma que maneja el
perfil de Analista de Sistemas y se encarga de:
• Mantenimiento de Equipos y Soporte
• Redes y Servidores
• Gestión y Diseño de la Página Web
• Administración del manejo de datos
• Control de ingreso a los empleados
• Control de llamadas
• Administración de la aplicación “GESTOR”
9
1.4 Determinación de los procesos de T.I
Análisis de los elementos de COBIT 5 que permitan determinar el nivel de
riesgo del gobierno de TI
El enfoque principal de COBIT 5 se basa en el Gobierno de la Tecnología de

Información Empresarial, asegurando la alineación, realización de beneficios,
optimización de riesgos y optimización de recursos hacia los objetivos
empresariales y la satisfacción de necesidades de todas las partes interesadas.
Para enfocar aún más la evaluación en los riesgos de TI, dejando aparte posibles
elementos más operativos, se ha analizado y seleccionado, de entre todos los
elementos que provee COBIT 5, aquellos que tienen mayor influencia en la
consecución de un buen Gobierno Corporativo.
Entre los elementos de la empresa Agro para COBIT 5 destacan los procesos y
los catalizadores, con los cuales se conforma el sistema de gobierno al cual se
orienta este marco de trabajo, por lo que en las siguientes secciones se efectúa el
análisis de los mismos para la selección de aquellos más significativos que permitan
realizar una posterior evaluación en una matriz de riesgos, en la que se refleje la
situación de una institución de la Agro-Industria con respecto al sistema de Riesgos
de TI.
Análisis y selección de procesos de COBIT 5 relacionados con el Gobierno de

TI
Para la selección de los procesos de la empresa Agro relacionadas con COBIT

5 que apoyan más directamente al gobierno de TI, se consideran con la ayuda de
los siguientes criterios, que permitirán filtrar aquellos más relevantes con respecto
al Gobierno de TI:
10
1. Que el proceso esté en el dominio de gobierno EDM (Evaluar, Dirigir y
Monitorear).
2. Que el proceso mantenga alineación “total” con los objetivos de gobierno.
3. Que el proceso provea información de insumo para alguno de los procesos del
dominio de gobierno EDM.
Aplicando el numeral 1, los procesos se definirán de la siguiente manera EDM01,

EDM02, EDM03, EDM04 y EDM05 estos ítems se utilizarán directamente para este
análisis.
Para el análisis del criterio que indica el numeral 2, es relativo a la alineación

“total” con los objetivos de gobierno de TI y la Empresa Agro, se examinaron las 17
metas u objetivos de negocio que COBIT 5 provee en su cascada de metas, y su
relación principal (P) o secundaria (S) con los objetivos de gobierno: realización de
beneficios, optimización de riesgos y optimización de recursos. La tabla de lo
anterior descrito se observa a continuación.
Dimensión Meta Corporativa según Evaluar, Relación con los objetivos del Gobierno
de la Dirigir y Monitorear Realización Optimización Optimización
empresa de Beneficios de Riesgos de Recurso
Financiera Valor para las partes involucradas en P S
el proceso del Negocio
Transparencia Financiera P S S
Comercial Cultura de servicio orientado al P S
cliente
Cartelera de Productos exportables P P S
Optimización de estrategias P P
comerciales
Optimizacion de costos en el proceso P P
de la Agro-industria
Cultura de innovación de producto y P
negocio
Proceso Optimizacion de la funcionalidad de P P
los procesos productivos del negocio
11
Productividad operacional y de los P P
colaboradores
Gerencia Riesgos del negocio Gestionado P S
Toma estrategia de Decisiones P P P
basadas en Información
Cumplimiento de Leyes y Normas P
Internacionales
Respuestas Agiles al entorno P S
cambiante de la Agro-Industria
Cumplimiento con políticas internas P
Preparación y motivación de los P P
colaboradores para la utilización del
RDP
TIC Respuestas agiles al entorno de las P S
conexiones remotas para el
funcionamiento del negocio
Continuidad y disponibilidad del P
servicio RDP para el negocio
Programas gestionados para la P P S
adaptación y adecuación de la
conectividad conforme los cambios
de la Agro-Industria
Utilizando el marco de referencia COBIT 5, propone un mapeo el cual fue

adecuado al giro del negocio y se observa en la tabla anterior, se asignó un puntaje
de 5 puntos a las relaciones soportadas de manera principal (P), y 1 punto a las
relaciones soportadas de manera secundaria (S), para determinar aquellas metas
de negocio que aportan de manera más importante a los 3 objetivos de gobierno.
Los valores de 5 y 1 fueron elegidos por tener una distancia prudencial entre ellos,
que facilita la identificación de una relación más importante (P) de una de menor
importancia (S). Los objetivos de negocio provistos por COBIT 5 tienen su soporte
en objetivos relacionados con TI hacia los cuales se derivan en cascada; a su vez,
los objetivos o metas de TI se derivan en cascada hacia los 37 procesos del modelo
de referencia de procesos de COBIT 5
12
Gobierno
Estrategia
Organizar
Monitorear
interesados
Arquitectura
establecimiento y
Evaluar, Dirigir y
Alinear, Planear y
EDM05 Asegurar la
EDM04 Asegurar la
EDM03 Asegurar la
EDM02 Asegurar la
EDM01 Asegurar el
marco de trabajo de
APO03 Gestionar la
APO02 Gestionar la
transparencia de los
Administración de TI
marco de trabajo de
APO01 Gestionar el
mantenimiento de un
entrega de beneficios
PROCESOS DE TI
optimización de riesgos
optimización de recursos
5
5
1
1
1
1
5
5
1
1
1
Alineación entre TI y la estrategia de negocio Agro
Cumplimiento y soporte de TI para el cumplimiento con
2
2
2
0
leyes y regulaciones externas
Compromiso de la gerencia para tomar decisiones
1
1
3
5
1
1
1
5
3
3
1
relacionadas con TI
Administración de los riesgos del negocio Agro-Industria
4
4
4
0
relacionados con TI
Realización de beneficios del portafolio de productos y
1
5
1
5
1
5
5
1
servicios habilitados por TI
6
6
6
0
Transparencia de costos, beneficios y riesgos de TI
Entrega de servicios de TI en línea con los
5
1
7
5
1
1
5
5
7
7
1
requerimientos del negocio
Adecuado uso de aplicaciones, información y soluciones
8
8
8
0
de tecnología relacionada con TI
1
5
9
5
1
9
9
1
Agilidad de TI
que cumplen el criterio 1, quedando los siguientes:
Seguridad de información, infraestructura de
0
procesamiento y aplicaciones
0
Optimización de activos, recursos y capacidades de TI
OBJETIVOS DE TI
1
1
1
1
1
Habilitación y soporte de procesos de negocio a través de la
10 11 12
10 11 12
10 11 12
integración de aplicaciones y tecnología dentro de negocio

Entrega de programas que generan beneficios, en tiempo,
1
1
1
1
1
1
1
1
presupuesto y calidad
Disponibilidad de información confiable y útil para la
1
1
1
1
1
1
1
toma de decisiones
0 Cumplimiento de TI con políticas de la Empresa Agro
13 14 15
13 14 15
13 14 15
1
5
5
1
1
1
1
Personal de negocio y de TI competente y motivado
16
16
16
Conocimiento, pericia e iniciativas para la innovación del

1
5
5
1
1
1
5
1
17
17
17
negocio Agro-Industrial basado en las TI
22
25
14
16
25
22
TI, obteniendo un puntaje de alineación máximo de 25 y mínimo de 3, por lo que se
decir, de 20 puntos en adelante, más los 5 procesos del dominio de gobierno EDM
seleccionadas las metas de TI, las cuales fueron mapeadas hacia los procesos de
13
seleccionaron únicamente aquellos con un valor igual o superior al 80% de 25, es
Aplicando el mapeo entre las metas de negocio y las metas de TI, quedaron
Puntaje
Empresarial 5 1 1 1 5 1 1 1 16
APO04 Gestionar la
Innovación 1 5 5 1 1 5 18
APO05 Gestionar el
Portafolio 5 1 5 1 1 5 1 19
APO06 Gestionar el
Presupuesto y los
Costos 1 1 5 1 1 9
APO07 Gestionar los
Recursos Humanos 5 1 1 1 5 5 5 23
APO08 Gestionar las
Relaciones 5 1 1 5 5 1 1 5 24
APO09 Gestionar los
Acuerdos de Servicios 1 1 5 1 1 5 14
APO10 Gestionar los
Proveedores 1 5 5 1 1 1 14
APO11 Gestionar la
Calidad 1 5 5 1 5 1 1 1 20
APO12 Gestionar los
Riesgos 1 1 5 1 1 1 10
APO13 Gestionar la
Seguridad 1 5 6
Construir, Adquirir y
Operar 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
BAI01 Gestionar
Programas y Proyectos 5 1 5 1 5 1 1 19
BAI02 Gestionar la
Definición de
Requerimientos 5 1 1 5 1 5 1 1 1 21
BAI03 Gestionar la
Identificación y
Construcción de
Soluciones 1 1 5 1 1 1 1 11
BAI04 Gestionar la
Disponibilidad y
Capacidad 1 5 1 1 5 1 14
BAI05 Gestionar la
Habilitación del Cambio
Organizacional 1 1 1 1 1 1 5 5 16
BAI06 Gestionar los
Cambios 1 1 5 1 1 1 1 1 12
BAI07 Gestionar la
Aceptación y Transición
del Cambio 1 1 1 5 1 1 1 11
BAI08 Gestionar el
Conocimiento 1 1 1 5 1 1 5 15
BAI09 Gestionar los
Activos 1 1 1 3
BAI10 Gestionar la
Configuración 1 5 6
Entregar Servicio y
Soporte 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
DSS01 Gestionar las
Operaciones 1 5 1 1 1 1 10
DSS02 Gestionar las
Solicitudes de Servicio e
Incidentes 5 1 1 7
DSS03 Gestionar los
Problemas 1 5 1 1 5 1 14
DSS04 Gestionar la
Continuidad 1 1 5 1 1 5 1 1 16
14
DSS05 Gestionar los
Servicios de Seguridad 1 1 1 1 4
DSS06 Gestionar los
Controles de Procesos
del Negocio 5 1 1 1 1 9
Monitorear, Evaluar y
Valorar 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
MEA01 Monitorear,
Evaluar y Valorar el
Desempeño y
Conformidad 1 1 1 5 1 1 1 1 1 13
MEA02 Monitorear,
Sistema de Control
Interno 1 1 1 3
MEA03 Monitorear,
Cumplimiento con
Requerimientos
Externos 1 1 1 3
Fuente: ISACA MÁXIMO 25
MÍNIMO 3
PROMEDIO 14
NIVEL 1: Prestar servicios de conexión Remota
Representa el ciclo de vida de un producto, término utilizado para referirse a un

fondo. Este ciclo de vida, cuya secuencia de procesos representa el nivel 2, consta
de cuatro procesos que cubren las diferentes fases por las cuales pasa un producto
durante el período en que se encuentra vigente.
NIVEL 2: Negociar condiciones del producto:
A través de este proceso, se da inicio a las operaciones productivas operativas

como administrativas, esto implica el establecimiento de las condiciones
contractuales que requieran la administración del producto.
Implantar nuevo producto:
Una vez obtenida la conexión, el mismo debe ser analizado por un comité
internacional, el cual se encargará de extraer toda la información sobre parámetros
y requerimientos funcionales que deberán ser incorporados a Gestor para poder
administrar el producto adecuadamente. La descripción detallada de este proceso
15
será sujeto de otro manual, el cual cubrirá todos los aspectos correspondientes a la
parametrización y puesta en operación del producto.
Administrar producto:
Este proceso representa la actividad medular a ser apoyada por el Sistema

principal. Cubre el ciclo administrativo de un producto.
Desincorporar producto:
Una vez que se ha cumplido los términos del contrato y que el RDP haya cesado
en sus responsabilidades como administrador del producto, deberá proceder con
los cierres y demás actividades inherentes a la desincorporación del producto, con
la finalidad de cerrar el ciclo de vida de la administración de produccion.
NIVEL 3: Preparar flujo de caja:
Preparar los flujos de entradas y salidas de caja o efectivo, en un período dado.
Procesar Ingresos:
Recopilación, validación y registro de los ingresos de recursos provenientes del

Giro comercial del RDP.
Procesar Egresos:
Recopilación de soportes, validación de datos y documentos, manejo de liquidez,

para la generación de procesos destinados al Giro comercial Agro de los productos
administrados.
Procesar Colocaciones:
Conjunto de actividades a realizar para el registro y la administración de la

cartera de inversiones de cada uno de los usuarios.
16
CAPÍTULO 2
Evaluación de la madurez de los procesos de T.I.
2.1 Análisis del modelo de madurez y capacidad de Cobit 5.
Modelo de Madurez
El enfoque del modelo de madurez propuesto por COBIT 5 se deriva del modelo
de madurez del Software definió para la evaluación de los riesgos del Escritorio de
Conexión Remota en una organización. El propósito del análisis del nivel de
madurez de los procesos de TI es identificar donde se encuentran los problemas y
fijar prioridades para las mejoras, para esto no se usa una escala demasiado
granular o precisa debido a que no se podría justificar dicha precisión.
“Los niveles de madurez están diseñados como perfiles de procesos de TI que

una empresa reconocería como descripciones de estados posibles actuales y
futuros. No están diseñados para ser usados como un modelo limitante, donde no
se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones
del nivel inferior. Con los modelos de madurez de COBIT 5. Una evaluación de la
madurez de COBIT resultara en un perfil donde las condiciones relevantes a
diferentes niveles de madurez se han conseguido.
Niveles de Madurez
Existen seis niveles posibles en los que se puede ubicar un proceso:
0 - No se aplican procesos administrativos en lo absoluto
1 – Ejecutado – Rendimiento del proceso
2 – Gestionado – Gestión de Rendimiento, Gestión del producto de Trabajo
3 – Establecido – Definición del proceso, Implementación del proceso
4 – Predecible – Medición del proceso, Control del proceso
5 – Optimizado – Innovación del proceso, optimización del proceso.
17
Atributos de la Madurez
Para determinar el nivel de madurez de un proceso, COBIT 5 toma en cuenta los

siguientes atributos:
- Conciencia y comunicación
- Políticas, estándares y procedimientos
- Herramientas y automatización
- Habilidades y experiencia
- Responsabilidad y rendición de cuentas
- Establecimiento y medición de metas
Las tres dimensiones de la Madurez
Para determinar el nivel de madurez de un proceso es importante conocer el

riesgo y cumplimiento de ese proceso, es decir, conocer qué es lo que se debe
ejecutar para estar en dicho nivel, también es importante conocer la capacidad de
ese proceso, es decir, conocer las metas que se deben alcanzar para estar en dicho
nivel y finalmente conocer el retorno de la inversión y costo eficiencia provistas por
los recursos de TI, es decir, la cobertura en la organización dada por el cumplimiento
de las metas de TI. En la figura 6, se muestran las dimensiones de la Madurez.
Análisis del Modelo de Madurez
El análisis del modelo de madurez se está convirtiendo en una herramienta cada

vez más popular para guiar a las organizaciones en la correcta estructuración de un
gobierno de TI como también para manejar el problema eterno de equilibrar el riesgo
y el control de una manera costo-efectiva.
El Modelo de Madurez de COBIT es una herramienta de gobierno de TI, se usa para

medir qué tan correctamente desarrollados se encuentran los procesos de gestión
18
con respecto a los controles internos, como también para proyectarse a corto y largo
plazo el nivel que estos procesos deben llegar a tener. Para llegar a tener ese nivel
se deben cumplir tres objetivos clave que justamente pretende alcanzar la
gobernanza de TI, estos son: el aseguramiento del valor de TI, la administración de
los riesgos asociados a TI y el incremento de requerimientos para controlar la
información. El modelo de madurez permite a una organización evaluarse a sí
misma desde el grado inexistente (0) a el grado optimizado (5). Esta capacidad
puede ser explotada por los auditores para ayudar a la gerencia a cumplir con sus
responsabilidades de gobierno de TI, es decir, ejercer una responsabilidad efectiva
sobre el uso de las TI al igual que cualquier otra parte del negocio.
El propósito fundamental del modelo de madurez es definir su situación actual a

partir de un modelo de análisis de procesos de acuerdo a las áreas de
responsabilidad que son: planear, construir, ejecutar y monitorear, de ésta forma,
ésta metodología permite evaluar el nivel de madurez actual y a cual debe
proyectarse, así como los agujeros que se deben llenar. Como resultado, una
organización puede descubrir las mejores prácticas en el sistema de controles
internos de TI. Sin embargo, los niveles de madurez no son una meta, sino que son
un medio para evaluar la adecuación de los controles internos en relación con los
objetivos de negocio de la compañía.
CAPACIDAD DE COBIT 5
La evaluación de la capacidad de los procesos basada en los modelos de

madurez de COBIT es una parte clave de la implementación del gobierno de TI.
Después de identificar los procesos y controles críticos de TI, el modelo de madurez
permite identificar y demostrar a la Dirección de TI las brechas en la capacidad.
Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel
objetivo de capacidad deseado.
El marco de trabajo COBIT 5 tiene la capacidad de determinar el grado de

madurez de los procesos del negocio basándose en las metas del mismo con el
19
propósito de alinearlas con las metas de TI, una vez que se logra alinearlas se
requiere monitorearlas con métricas que son capturadas del proceso de TI, para de
ésta forma determinar la importancia de cada uno de los 34 procesos que se
encuentran agrupados en 4 dominios:
• Planear y Organizar (PO): Proporciona la dirección para AI y DS cubriendo

las estrategias y las tácticas del negocio; éste dominio consta de 10
procesos.
• Adquirir e Implementar (AI): Proporciona las soluciones, las mismas que
garantizan las satisfacciones de los objetivos del negocio; éste dominio
consta de 7 procesos.
• Entregar y dar Soporte (DS): Transforma las soluciones para que sean
utilizadas por los usuarios finales, cubriendo en sí la entrega de los servicios
requeridos; éste dominio consta de 13 procesos.
• Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que
se cumple con la dirección inicial a través de evaluaciones; éste dominio
consta de 4 procesos.
Para cada uno de los 34 procesos se proporcionan objetivos de control, metas y

métricas con la finalidad de decidir qué nivel de administración y control se debe
proporcionar. Para llegar a dicho nivel de decisión se debe priorizar los procesos en
dos grupos: Procesos primarios y Procesos secundarios.
Procesos Primarios:
Son todos aquellos procesos que son de vital importancia para el tipo de negocio
que estamos analizando, y que deben alcanzar un nivel de madurez adecuado a
corto plazo, con el propósito de ir afinando las brechas que existen entre las metas
de TI y las metas del negocio; Tenemos:
PO1.- Definir un Plan Estratégico de TI
PO2.- Definir la Arquitectura de la Información
20
PO4.- Definir los Procesos, Organización y Relaciones de TI
PO5.- Administrar la Inversión en TI
PO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia
PO9.- Evaluar y Administrar los Riesgos de TI
PO10.- Administrar Proyectos
AI6.- Administrar cambios
AI7.- Instalar y acreditar soluciones y cambios DS1.- Definir y administrar los niveles
de servicio DS2.- Administrar los servicios de terceros
DS4.- Garantizar la continuidad del servicio DS5.- Garantizar la seguridad de los

sistemas DS6.- Identificar y asignar costos
DS8.- Administrar la mesa de servicio y los incidentes
DS9.- Administrar la configuración DS10.- Administrar los problemas DS11.-

Administrar los datos
DS12.- Administrar el ambiente físico
DS13.- Administrar las operaciones
ME1.- Monitorear y Evaluar el Desempeño de TI ME2.- Monitorear y Evaluar el

Control Interno ME3.- Garantizar el Cumplimiento Regulatorio ME4.- Proporcionar
Gobierno de TI
Procesos Secundarios:
Son todos aquellos procesos que son importantes para el tipo de negocio que
estamos analizando, pero pueden alcanzar un nivel de madurez adecuado a largo
plazo, con el propósito de llegar al mismo nivel de los procesos primarios y de esta
forma mejorar el rendimiento de todos los procesos que se requieren en Empreso
Agro; tenemos:
21
PO3.- Determinar la Dirección Tecnológica PO7.- Administrar Recursos Humanos
de TI PO8.- Administrar la Calidad
AI1.- Identificar soluciones automatizadas
AI2.- Adquirir y mantener software aplicativo
AI3.- Adquirir y mantener infraestructura tecnológica
AI4.- Facilitar la operación y el uso
AI5.- Adquirir recursos de TI
DS3.- Administrar el desempeño y la capacidad
DS7.- Educar y entrenar a los usuarios
2.2 evaluación de la madurez de los procesos de TI:

Para llevar a cabo la evaluación de la madurez de los procesos de TI de Empresa
Agro, se procederá a asignar una puntuación o peso a cada sentencia de cada nivel
de madurez de cada proceso, que representará la importancia de dicha sentencia
respecto de los procesos del negocio en una escala del uno al diez, donde el valor
de diez es el peso máximo que se le otorgaría según las necesidades del negocio,
así como también determinar el grado de cumplimiento de cada sentencia respecto
del funcionamiento actual de la empresa (No del todo, Un poco, Casi De acuerdo, y
Completamente de acuerdo) marcando con una “X” según corresponda.
Posteriormente la herramienta calculará el cumplimiento por nivel, el mismo que se
multiplicará por la contribución para obtener la aportación de la madurez de cada
nivel; donde el valor de la contribución para el nivel cero será cero y para los demás
niveles el valor será de uno, con la finalidad de considerar cada nivel con la misma
importancia. La sumatoria del producto cumplimiento vs contribución de cada nivel
nos dará como resultado el nivel de madurez en el que se encuentra actualmente
cada proceso.
22
A continuación, se presentará el resultado de cada evaluación por medio de la
herramienta Maturity Assessment Tool realizada a cada proceso:
APO1.- Definir un Plan Estratégico de TI
Nivel Complicación Contribución Valores

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO2.- Definir la Arquitectura de la Información

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO3.- Determinar la Dirección Tecnológica

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO4.- Definir los Procesos, Organización y Relaciones de TI

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
23
APO5.- Administrar la Inversión en TI

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO7.- Administrar Recursos Humanos de TI

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
APO8.- Administrar la Calidad

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
24
APO9.- Evaluar y Administrar los Riesgos de TI

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
PO12.- Manejo del Riesgo

0 0,33 0,00 0,00
1 0,53 1,00 0,53
2 0,87 1,00 0,87
3 0,46 1,00 0,46
4 0,22 1,00 0,22
5 0,13 1,00 0,13
ANÁLISIS DE RESULTADOS:
En este subcapítulo se procederá a interpretar los resultados obtenidos por

medio de la herramienta de evaluación, es decir, el nivel de madurez obtenido de
cada proceso, tomando en cuenta que el propósito de ésta evaluación es de
identificar donde se encuentran los problemas y fijar prioridades para las mejoras;
la evaluación de la madurez de COBIT resultará en un perfil en el que aspectos
relevantes a diferentes niveles de madurez se han cumplido, siendo ésta una
ventaja para mejorar la madurez. En el siguiente análisis, por cada proceso, se
detallarán los aspectos relevantes que ubican en los niveles de madurez mostrados
en el subcapítulo anterior a su respectivo proceso, así como también los aspectos
relevantes que no permiten que un proceso se ubique en un nivel de madurez
superior al que se indicó en la evaluación.
25
APO1.- Definir un Plan Estratégico de TI
El nivel de madurez para este proceso calculado por la herramienta de

evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado
con la dirección de la Empresa Agro; debido a que la empresa no cuenta con un
plan estratégico de TI bien definido y documentado y se deja la responsabilidad a
una sola persona de TI para llevar a cabo este proceso, es decir, es evidente una
falta de comunicación entre las partes.
APO2.- Definir la Arquitectura de la Información

evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado
con la dirección de la Empresa Agro; puesto que la empresa está completamente
consiente de la importancia de organizar, disponer y estructurar la información que
es de vital importancia para el funcionamiento de la empresa, para esto la empresa
cuenta con un sistema que gestiona la información del negocio en todos sus
procesos, más no se da soporte al mismo a través de herramientas automatizadas
y tampoco se mantiene una mejora continua reforzando la consistencia de la
arquitectura de la información.
APO3.- Determinar la Dirección Tecnológica

con la dirección de la Empresa Agro; puesto que el análisis de cambios tecnológicos
se delega al analista de sistemas de la empresa y él lo realiza a través de procesos
intuitivos, aunque carece de un plan de infraestructura tecnológica bien definido y
documentado y una función de investigación de nuevas tecnologías.
26
APO4.- Definir los Procesos, Organización y Relaciones de TI

con la dirección de la Empresa Agro; debido a que la organización de TI se
encuentra casi en su totalidad de forma completa, pero no existe un apoyo constante
en cuanto al desarrollo profesional del personal y existe un leve proceso de mejora
continua en los procesos del negocio.
APO5.- Administrar la Inversión en TI

con la dirección de la Empresa Agro; debido a que existe una planificación
estratégica respecto del presupuesto con los planes de TI y del negocio,
favoreciendo en una mejor gobernanza de TI, pero esta planificación no es estándar,
al contrario, es reactiva dependiendo de los objetivos.
APO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia

con la dirección de la Empresa Agro; debido a que la empresa cuenta con
estándares y políticas de control, pero el monitoreo de las mismas no se aplica de
forma consistente, lo cual indica que no existe una comunicación continua con la
gerencia que permita garantizar el logro de objetivos de manera efectiva y el
cumplimiento de leyes y políticas.
27
APO7.- Administrar Recursos Humanos de TI

evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado
con la dirección de la Empresa Agro; debido a que el proceso de administración de
recursos humanos es reactivo e informal, lo que indica que en la empresa no se
siguen prácticas definidas para apoyar el reclutamiento, entrenamiento, motivación
y evaluación de desempeño del personal de TI que son importantes para la creación
y entrega de servicios de TI dentro de la empresa.
APO8.- Administrar la Calidad

evaluación es de cero (nivel de madurez 0 o No Existente), el mismo que fue
confirmado con la dirección de la Empresa Agro; debido a que la empresa no cuenta
con un proceso de administración de la calidad entre sus funciones, sin embargo, a
nivel de gerencia se considera un proceso secundario puesto que ésta labor la
realiza la empresa proveedor lo cual garantiza un producto software confiable.
APO9.- Evaluar y Administrar los Riesgos de TI

con la dirección de la Empresa Agro; debido a que existe un proceso de mitigación
de riesgos, pero éste se aplica reactivamente conforme se presentan riesgos, lo
cual indica que no hay un análisis y evaluación de riesgos que permita alinearlos a
un nivel aceptable de tolerancia.
28
APO12.- Manejo del Riesgo

con la dirección de la Empresa Agro; debido a que en un proyecto, las directrices
administrativas se dejan a criterio del gerente de proyecto, pero el proceso de
administración de proyectos no ha sido establecido ni comunicado, tampoco las
responsabilidades iniciales, lo cual no es un impedimento para lograr los objetivos
del proyecto pero obstaculizan de manera inicial su organización.
EDM3.- Asegurar la Optimización del Riesgo

con la dirección de Empresa Agro; Se tiene un control y actualización en cuanto a
las leyes y regulaciones de TI y de negocio, por medio de reportes de cumplimiento
con la finalidad de evitar sanciones o multas, garantizando las obligaciones
contractuales que demanda el negocio, a pesar que éste control en algunos casos
se presenta de forma informal.
DSS5.- Garantizar la seguridad de los sistemas

evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado
con la dirección de Empresa Agro; A pesar que en las aplicaciones existen niveles
de seguridad al igual que en los usuarios no se ha logrado detectar ningún incidente
de seguridad lo cual nos indica que no existen monitoreos que permitan tomar
acciones correctivas.
29
CAPÍTULO 3
ESTRATEGIAS DE MEJORAMIENTO DE PROCESOS DE T.I.
3.1 ESTRATEGIAS DE MEJORAMIENTO DE PROCESOS.
El enfoque principal de COBIT 5 se basa en el Gobierno de la Tecnología de
Información Empresarial, asegurando la alineación, realización de beneficios,
optimización de riesgos y optimización de recursos hacia los objetivos
empresariales y la satisfacción de necesidades de todas las partes interesadas.
Para enfocar aún más la evaluación en los riesgos de TI, dejando aparte posibles
elementos más operativos, se ha analizado y seleccionado, de entre todos los
elementos que provee COBIT 5, aquellos que tienen mayor influencia en la
consecución de un buen Gobierno Corporativo.
Entre los elementos de la empresa Agro para COBIT 5 destacan los procesos y
los catalizadores, con los cuales se conforma el sistema de gobierno al cual se
orienta este marco de trabajo, por lo que en las siguientes secciones se efectúa el
análisis de los mismos para la selección de aquellos más significativos que permitan
realizar una posterior evaluación en una matriz de riesgos, en la que se refleje la
situación de una institución de la Agro-Industria con respecto al sistema de Riesgos
de TI.
Análisis y selección de procesos de COBIT 5 relacionados con el Gobierno de

TI
Para la selección de los procesos de la empresa Agro relacionadas con COBIT

5 que apoyan más directamente al gobierno de TI, se consideran con la ayuda de
los siguientes criterios, que permitirán filtrar aquellos más relevantes con respecto
al Gobierno de TI:
1. Que el proceso esté en el dominio de gobierno EDM (Evaluar, Dirigir y

Monitorear).
2. Que el proceso mantenga alineación “total” con los objetivos de gobierno.
30
3. Que el proceso provea información de insumo para alguno de los procesos del
dominio de gobierno EDM.
Aplicando el numeral 1, los procesos se definirán de la siguiente manera EDM03,

APO12 Y DSS05 estos ítems se utilizarán directamente para este análisis.
Utilizando el marco de referencia COBIT 5, propone un mapeo el cual fue

adecuado al giro del negocio y se observa en la tabla anterior, se asignó un puntaje
de 5 puntos a las relaciones soportadas de manera principal (P), y 1 punto a las
relaciones soportadas de manera secundaria (S), para determinar aquellas metas
de negocio que aportan de manera más importante a los 3 objetivos de gobierno.
Los valores de 5 y 1 fueron elegidos por tener una distancia prudencial entre ellos,
que facilita la identificación de una relación más importante (P) de una de menor
importancia (S). Los objetivos de negocio provistos por COBIT 5 tienen su soporte
en objetivos relacionados con TI hacia los cuales se derivan en cascada; a su vez,
los objetivos o metas de TI se derivan en cascada hacia los 37 procesos del modelo
de referencia de procesos de COBIT 5
Aplicando el mapeo entre las metas de negocio y las metas de TI, quedaron
seleccionadas las metas de TI, las cuales fueron mapeadas hacia los procesos de
TI, obteniendo un puntaje de alineación máximo de 25 y mínimo de 3, por lo que se
seleccionaron únicamente aquellos con un valor igual o superior al 80% de 25, es
decir, de 20 puntos en adelante, más los 5 procesos del dominio de gobierno EDM
que cumplen el criterio 1, quedando los siguientes:
31
Costos
Gobierno
Portafolio
Estrategia
Organizar
Innovación
Relaciones
Monitorear
interesados
Empresarial
Arquitectura
establecimiento y
Presupuesto y los
Evaluar, Dirigir y
Alinear, Planear y
EDM05 Asegurar la
EDM04 Asegurar la
EDM03 Asegurar la
EDM02 Asegurar la
EDM01 Asegurar el
Recursos Humanos
APO06 Gestionar el
APO05 Gestionar el
marco de trabajo de
APO04 Gestionar la
APO03 Gestionar la
APO02 Gestionar la
transparencia de los
Administración de TI
marco de trabajo de
APO01 Gestionar el
mantenimiento de un
APO09 Gestionar los

APO08 Gestionar las
APO07 Gestionar los
entrega de beneficios
PROCESOS DE TI
optimización de recursos
5
5
1
5
1
5
5
5
1
1
1
1
5
5
1
1
1
2
2
2
0
1
1
1
1
1
1
1
3
5
1
1
1
5
3
3
1
relacionadas con TI
4
4
4
0
relacionados con TI
1
5
5
5
1
1
5
1
5
1
5
5
1
6
6
6
0
5
1
1
1
1
5
1
7
5
1
1
5
5
7
7
1 requerimientos del negocio

8
8
8
0
1
1
5
5
1
5
9
5
1
9
9
Agilidad de TI
0
0

OBJETIVOS DE TI
5
1
1
1
1
1
1
1
10 11 12
10 11 12
10 11 12

1
5
1
5
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
toma de decisiones
0
Cumplimiento de TI con políticas de la Empresa Agro
13 14 15
13 14 15
13 14 15
1
5
1
5
5
1
1
1
1
16
16
16

1
5
5
1
5
1
5
5
1
1
1
5
1
17
17
17
9
7
24
23
19
18
16
22
25
14
16
25
22
32
Puntaje
Acuerdos de Servicios 1 1 5 1 1 5 14
APO10 Gestionar los
Proveedores 1 5 5 1 1 1 14
APO11 Gestionar la
Calidad 1 5 5 1 5 1 1 1 20
APO12 Gestionar los
Riesgos 1 1 5 1 1 1 10
APO13 Gestionar la
Seguridad 1 5 6
Construir, Adquirir y
Operar 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
BAI01 Gestionar
Programas y Proyectos 5 1 5 1 5 1 1 19
BAI02 Gestionar la
Definición de
Requerimientos 5 1 1 5 1 5 1 1 1 21
BAI03 Gestionar la
Identificación y
Construcción de
Soluciones 1 1 5 1 1 1 1 11
BAI04 Gestionar la
Disponibilidad y
Capacidad 1 5 1 1 5 1 14
BAI05 Gestionar la
Habilitación del Cambio
Organizacional 1 1 1 1 1 1 5 5 16
BAI06 Gestionar los
Cambios 1 1 5 1 1 1 1 1 12
BAI07 Gestionar la
Aceptación y Transición
del Cambio 1 1 1 5 1 1 1 11
BAI08 Gestionar el
Conocimiento 1 1 1 5 1 1 5 15
BAI09 Gestionar los
Activos 1 1 1 3
BAI10 Gestionar la
Configuración 1 5 6
Entregar Servicio y
Soporte 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
DSS01 Gestionar las
Operaciones 1 5 1 1 1 1 10
DSS02 Gestionar las
Solicitudes de Servicio e
Incidentes 5 1 1 7
DSS03 Gestionar los
Problemas 1 5 1 1 5 1 14
DSS04 Gestionar la
Continuidad 1 1 5 1 1 5 1 1 16
DSS05 Gestionar los
Servicios de Seguridad 1 1 1 1 4
DSS06 Gestionar los
Controles de Procesos
del Negocio 5 1 1 1 1 9
Monitorear, Evaluar y
Valorar 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
MEA01 Monitorear,
Desempeño y
Conformidad 1 1 1 5 1 1 1 1 1 13
MEA02 Monitorear,
33
Sistema de Control
Interno 1 1 1 3
MEA03 Monitorear,
Cumplimiento con
Requerimientos
Externos 1 1 1 3
Fuente: ISACA MÁXIMO 25
MÍNIMO 3
PROMEDIO 14
3.2 Procedimiento para gestión de equipos de acceso remoto.

Propósito
El Propósito de este documento normativo es establecer las normas y

procedimientos que deberán seguirse para la seguridad en el servicio de acceso
remoto. Se busca con esto proteger la información electrónica de la Empresa Agro,
la cual puede resultar inadvertidamente comprometida por los riesgos que implican
las conexiones remotas a sus sistemas de información.
Alcance
Aplican a todo usuario autorizado por la Empresa Agro para operar una
computadora con capacidad de acceso remoto.
Definiciones.
Usuario autorizado. Personal de la Empresa Agro que tiene una cuenta en la red
con el propósito de ejercer funciones laborales con autorización de acceso remoto.
Personal externo a la Empresa Agro que requiere acceso remoto como parte de
un servicio que provee a la Empresa Agro.
VPN: Red virtual privada que proporciona un medio para aprovechar un canal
público como la Internet, para tener un canal privado o propio, que permita
comunicar datos privados. Esto se logra con un método de codificación y un túnel
seguro, que cree una vía privada y segura a través de la Internet.
34
Firewall: sistema o grupo de sistemas que establece una política común de
seguridad para red privada y la Internet, determinando a qué servicios de la red
pueden acceder los usuarios internos y externos.
Desarrollo.
1. Toda persona que requiera conectarse remotamente a algún sistema de

información deberá llenar la solicitud de acceso remoto para su debida autorización.
2. Un usuario, a quien se le conceda el privilegio de acceso remoto, deberá estar

consciente tanto de que la conexión entre su localidad y la Empresa Agro son
extensiones a la red de la Empresa Agro como de la responsabilidad que esto
conlleva.
3. Toda conexión remota debe coordinarse con la Dirección de Tecnologías.
4. El acceso remoto debe realizarlo con una herramienta tecnológica que permita
realizar trazabilidades (logs para realizar auditoria), con tecnología de encriptación
de datos.
5. Todo permiso otorgado a conexión remota deberá eliminarse una vez finalice el
trabajo autorizado.
Responsabilidades
Director de TI:
o De gestionar y mantener los recursos tecnológicos que se necesiten para la

Empresa Agro pueda proveer los servicios de acceso remoto, basados en el
servicio necesario o trabajo a realizarse, a los usuarios autorizados
o Ofrecer apoyo a las diferentes áreas que puedan requerir una conexión
remota para que la misma pueda establecerse adecuadamente y de acuerdo
con las normas de seguridad establecidas.
o Recibir, evaluar y procesar las solicitudes de acceso remoto.
35
o Hacer conocer el procedimiento aquí establecido al personal que pueda
requerir conectarse al acceso remoto.
o Los jefes departamentales tendrán la responsabilidad de solicitar acceso
remoto, utilizando las formas de solicitud de acceso remoto.
Administrador de la Red:
Configurar adecuadamente el firewall o cualquier herramienta tecnológica de modo

que solo los usuarios autorizados tengan acceso a los sistemas de la Empresa Agro.
Monitorear la red de forma que puedan detectar intentos de acceso no autorizado y

se pueda identificar cualquier actividad inusual en los servicios de acceso remoto.
Usuarios que requieran conectarse al acceso remoto:
Solicitar acceso remoto al Director de IT
Asegurarse de que personas ajenas no utilicen dicha conexión para lograr acceso
a los recursos informáticos de la Empresa Agro.
Utilizar herramientas tecnológicas con controles de seguridad para la conexión

remota que puede ser Teamviewer, AnyDesk entre otras.
Procedimiento.
1. El departamento de la Dirección de tecnología recibirá por correo electrónico la

solicitud de servicios de acceso remoto.
2. Si la solicitud es para acceder a información de índole confidencial, se verificará

que el usuario haya firmado un acuerdo de confidencialidad con la Empresa Agro o
que el acuerdo este incluido en el contrato firmado con la Empresa Agro.
3. El Director de Tecnología determinará si la solicitud procede y cumple con los

requerimientos, otorgando el acceso solicitado.
36
4. El administrador de la red o su delegado abrirá la cuenta del usuario, una vez
reciba la solicitud autorizada por el Director de TI.
5. El administrador de la red notificará a la persona solicitante los códigos y claves

de acceso correspondientes.
6. El administrador de la red desactivará la cuenta de usuario cuando el Director de

TI solicite la desactivación, o cuando el administrador de red detecte alguna
actividad sospechosa en la cuenta que pueda estar violando las normas de la
Institución.
7. La empresa que está realizando soluciones a incidentes y / o problemas de los

usuarios a través de una conexión segura a su equipo, tendrá la responsabilidad de
documentar los cambios de acuerdo a procedimientos de cambios de software, el
usuario que solicito el cambio debe validar el funcionamiento, y el administrador de
la red debe verificar que los cambios fueron implantados de conformidad con lo
documentado por el proveedor.
8. La empresa que está realizando soluciones a incidentes y /o problemas debe

verificar que el usuario se encuentra presente frente a su equipo durante toda la
sesión de asistencia remota (visualizando los cambios generados), el administrador
de la red debe también estar visualizando los cambios realizados.
3.3 Determinación del modelo de madurez futuro.

Como se había mencionado en el subcapítulo 3.1, el nivel de madurez futuro o
deseado para nuestro caso de estudio es el nivel de madurez 3 (Definido) para todos
los procesos de TI (primarios y secundarios) debido a los beneficios que implica
homogenizar el nivel de madurez de la empresa.
La determinación del nivel de madurez futuro se hará proceso por proceso

tomando en cuenta las estrategias de mejoramiento, exceptuando los procesos de
nivel 3 puesto que éstos ya se encuentran en el nivel de madurez deseado.
37
APO1.- Definir un Plan Estratégico de TI (Proceso Primario)
Del nivel 2 al nivel 3: Este proceso permanecerá recesivo durante los primeros 3
meses de la implementación, en los 9 meses posteriores pasará al nivel 3, para
lograrlo se procederá a realizar la planeación estratégica de TI de una manera más
estructurada y definida y distribuyendo de una mejor forma las responsabilidades
relevantes que deben ser atendidas por el personal más experimentado de la
empresa.
APO2.- Definir la Arquitectura de la Información (Proceso Primario)
Este proceso ya se encuentra en el nivel de madurez deseado.
APO3.- Determinar la Dirección Tecnológica (Proceso Secundario)
Del nivel 2 al nivel 3: Este proceso permanecerá recesivo durante los primeros
12 meses de la implementación, en los 24 meses posteriores pasará al nivel 3, para
lograrlo se procederá a realizar un plan de infraestructura tecnológica bien definido
y documentado que se difunda en la organización y que se aplique de forma
consistente además de incluir entrenamiento sobre planeación tecnológica.
APO4.- Definir los Procesos, Organización y Relaciones de TI (Proceso

Primario)
APO5.- Administrar la Inversión en TI (Proceso Primario)
APO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia (Proceso

Primario)
38
lograrlo se procederá a realizar o complementar políticas, procedimientos y
estándares de control consistentes además de monitorear su cumplimiento.
APO7.- Administrar Recursos Humanos de TI (Proceso Secundario)
Del nivel 1 al nivel 2: Esta transición está prevista a completarse en un periodo

de 12 meses, para lograrlo se procederá a realizar una planificación que contemple
criterios de contratación y administración de personal de TI en base a la
disponibilidad de personal interno y externo y de formalizar entrenamiento para
nuevo personal entrante
Del nivel 2 al nivel 3: Esta transición está prevista a completarse durante los 24
meses posteriores, para lograrlo se procederá a establecer un programa de rotación
de roles y actividades que permita el crecimiento en conocimiento y habilidades
tanto gerenciales como de negocio.
APO8.- Administrar la Calidad (Proceso Secundario)
Del nivel 0 al nivel 1: Esta transición está prevista a completarse durante los
primeros 3 meses, para lograrlo se procederá a promover o concientizar la
importancia de un sistema de administración de calidad entre el personal de TI y
que sea impulsado por los responsables e involucrados.
Del nivel 1 al nivel 2: Esta transición está prevista a completarse en los 9 meses
siguientes, para lograrlo se procederá a realizar un programa dedicado a monitorear
actividades relacionadas con actividades de TI.
meses posteriores, para lograrlo se procederá a definir expectativas básicas y
fundamentales de calidad relacionadas con TI aplicables a la mayor parte de
proyectos posibles.
39
APO9.- Evaluar y Administrar los Riesgos de TI (Proceso Primario)
lograrlo se procederá a definir un proceso mediante el cual se pueda llevar una
adecuada administración de los riesgos.
APO12.- Manejo de Riesgos (Proceso Primario)
lograrlo se procederá a establecer un proceso de administración de proyectos de TI
que se seguirá para todo proyecto de TI.
EDM3.- Asegurar la Optimización del Riesgo
DSS5.- Garantizar la seguridad de los sistemas (Proceso Secundario)
Del nivel 1 al nivel 2: Esta transición está prevista a completarse en un periodo de

12 meses, para lograrlo se procederá a medir la seguridad de la aplicación e
infraestructura, aunque sea de manera informal.
meses posteriores, para lograrlo se procederá a crear un plan de seguridad y a
asignar responsabilidades relacionadas con la seguridad.
DSS7.- Educar y entrenar a los usuarios (Proceso Secundario)
40
lograrlo se procederá a analizar necesidades de entrenamiento para posteriormente
crear un programa de entrenamiento.
Análisis de impacto.
Con el presente análisis vamos a determinar el beneficio en pasar de un nivel de

madurez a otro superior, con la finalidad de demostrar a Empresa Agro que el
impacto se va a reflejar directamente sobre las metas de TI. Para realizar el análisis
de impacto tenemos que primero conocer cómo las metas de TI están enlazadas
con los procesos de TI
El análisis de las metas de TI, nos permite determinar que procesos de TI se ven
involucrados y cuáles son sus criterios de información, primarios o secundarios.
Este enlace nos permitirá a su vez realizar nuestro análisis de impacto puesto que
conocemos el nivel de madurez actual y el nivel de madurez al que queremos
alcanzar en corto y largo plazo.
Para construir la matriz del enlace de metas de TI con los procesos de TI,
necesitamos conocer el nivel de importancia para el negocio (puntuación, 1 – 10
donde 10 es más importante) y el nivel de madurez actual y futuro (puntuación, 0–
5 donde 5 es el nivel más alto) de los 34 procesos de TI
Ahora como primer paso vamos a realizar el enlace de las metas de TI con los
procesos de TI en función de su nivel de madurez; en donde para obtener el
porcentaje del nivel actual, por cada proceso vamos a multiplicar su importancia por
su nivel de madurez, para obtener un valor proporcional sobre el 100%. Luego
promediaremos los procesos de TI que se vean involucrados por cada una de las
metas de TI, y así poder obtener un porcentaje por cada meta de TI el cual nos dará
un valor referencial para nuestro análisis, dicho porcentaje se correlaciona con el
grado de importancia de las metas de TI que cuantificamos inicialmente
41
Riesgos
Soporte
Organizar
Monitorear
Fuente: ISACA
Evaluar, Dirigir y
Alinear, Planear y
EDM03 Asegurar la
DSS05 Gestionar los

APO12 Gestionar los
Entregar Servicio y
Servicios de Seguridad
PROCESOS DE TI
1
1
1
1
1
1
1
cuantificaron inicialmente
2
2
2
2
0
3
3
1
3
3
1
relacionadas con TI
4
4
4
4
0
relacionados con TI
5
5
5
5
1
6
6
6
6
0
1
7
1
7
1
7
7
1
requerimientos del negocio
8
8
8
8
0
9
1
9
9
9
1
Agilidad de TI
0
0
OBJETIVOS DE TI
1
1
10 11 12
10 11 12
10 11 12
10 11 12

Enlace actual de las metas de TI con los procesos de TI:
5
1
1
1
1
1
1
toma de decisiones
0
Cumplimiento de TI con políticas de la Empresa Agro
13 14 15
13 14 15
13 14 15
13 14 15
1
1
1
16
16
16
16
MÍNIMO
MÁXIMO
PROMEDIO
1
1
17
17
17
17
4
7
3
10
14
25
porcentaje se correlaciona con el grado de importancia de las metas de TI que se
meta de TI el cual nos dará un valor referencial para nuestro análisis, dicho
respectivamente siendo el promedio de éstos dos el 44% el cual corresponde el
con los requerimientos del negocio” está compuesta por el promedio de los
Procesos de TI APO12 y DSS05 con una importancia del 48% y 40%
Ahora promediaremos los procesos de TI que se vean involucrados por cada una
de las metas de TI; Por ejemplo, la Meta de TI 7 “Entrega de servicios de TI en línea
valor de la Meta de TI analizada. Y así poder obtener un porcentaje inicial por cada
42
Puntaje
Análisis de impacto a corto plazo:
Una vez que determinamos y cuantificamos las metas de TI en base a la

evaluación actual; Como segundo paso vamos a volver a calcular el enlace de las
metas de TI con los procesos de TI, pero ahora en relación a su nivel de madurez a
alcanzar en corto plazo, por lo tanto, por cada proceso vamos a multiplicar su
importancia por su nivel de madurez para poder analizar el impacto en dicho periodo
Escenarios de Riesgos
• Se procede a selección de Escenarios de Riesgos más adecuados de los que

propone COBIT, como recomendación se sugiere elegir dos o tres escenarios que
sean los más representativos de acuerdo al proceso escogido
• Los escenarios escogidos fueron los siguientes:
– Escenario 6: Información (daños, fugas y acceso)
– Escenario 12: Cumplimiento Legal (cumplimiento normativo)
• Basado en los escenarios seleccionados se procederá a revisar grado de

cumplimiento de acuerdo a lo que este escenario señala para cada uno de los
habilitadores (catalizadores)
43
Evaluación del Riesgo
Evaluar Dirigir Monitorear

EL órgano de gobierno El órgano de gobierno EL órgano de
debe encargarse de debe dirigir la gobierno debe
evaluar la evolución de preparación y el uso de supervisar el
TI y los procesos de estrategias y políticas progreso de las
negocio para que garanticen que la propuestas que
asegurarse de que se organización se beneficia aprobó para
proporcionara apoyo a de la evolución de las TI, asegurar que están
las futuras necesidades también deben fomentar alcanzando objetivos
de negocio, la en plazos requeridos
considerando los planes presentación de utilizando los
y políticas, se debe propuestas para usos recursos asignados,
evaluar el uso de las TI innovadores de la misma además deben
Estrategia
y las actividades de TI, que permitan a la vigilar el uso de TI

para asegurar que se organización responder a para asegurarse de
alinean con los objetivos nuevas oportunidades o que está alcanzando
de la organización y desafíos, emprender sus beneficios
satisfacer los requisitos nuevos negocios o previstos.
de las partes mejorar los procesos.
interesadas. El órgano
de gobierno también
debería tener en cuenta
las buenas prácticas. El
órgano de gobierno
debe garantizar que el
uso de las TI está sujeto
a gestión de riesgos
adecuada.
44
EL órgano de gobierno El órgano de gobierno El órgano de
debe evaluar las debe ordenar que los gobierno debe
opciones de TI, activos de TI se controlar las
equilibrando los riesgos adquieran de forma inversiones de TI
y la rentabilidad de las adecuada, garantizando para asegurar que
inversiones propuestas que se cumplan con las proporcionan las
y aprobadas. capacidades requerida, capacidades
especificadas en la requeridas
Adquisición
documentación
adecuada, todas estas
adquisiciones deben
apoyar las necesidades
de negocio de la
organización. El órgano
de gobierno debe ordenar
que la organización y los
proveedores se
comprometan en la toma
de cualquier adquisición
de TI.
Tener en cuenta y proteger todos los activos de TI.
Para una pequeña empresa como la Empresa Agro es muy importante proteger
los activos, es por eso que al corto plazo la Empresa Agro tendría un control bien
definido y formalizado de los activos de TI así como de su inventario, garantizando
la seguridad y la disponibilidad de los mismos.
Proteger el logro de los objetivos de TI.
Actualmente los logros de TI no son medibles ni formalizados, es por eso que al

corto plazo Empresa Agro tendría un control de los objetivos de TI ya que éstos a
su vez estarían más alineados a los objetivos del negocio garantizando la
continuidad de los mismos.
45
Asegurar que las transacciones automatizadas del negocio y los cambios a la
información son confiables.
Empresa Agro al corto plazo tendría un mejor control en cuanto al cumplimiento

del SLA de la Aplicación Gestor Inc., y aseguraría el seguimiento en cuanto a los
cambios que sufra la aplicación en mejoras a los resultados y servicios esperados
por el negocio.
Entregar proyectos a tiempo dentro del presupuesto, reuniendo los

estándares de calidad
La Empresa Agro al corto plazo obtendría proyectos o soluciones por parte del
área de TI, que con el presupuesto apropiado y con la calidad deseada ofrecerían
nuevos servicios orientados al negocio, permitiéndole así a Empresa Agro mejorar
en sus tiempos de respuesta en cuanto al negocio fiduciario se refiere. Ya que en la
actualidad los proyectos de TI dependen mucho del tipo de fideicomiso y de su
magnitud de negocio, es decir no se cuenta con un presupuesto que permita
garantizar la calidad de los servicios.
Mantener la integridad de la información e infraestructura de procesamiento.
La Empresa Agro al corto plazo en base a la confidencialidad, confiabilidad,

eficiencia, efectividad y cumplimiento con la clasificación de la información logrará
garantizar la integridad e infraestructura del procesamiento de la información,
evitando que la competencia y fuentes ajenas al negocio hagan un mal uso de la
misma, brindando la confianza necesaria a sus clientes de que sus fondos y/o
inversiones se encuentran en buenas manos.
46
Análisis de impacto a largo plazo:
Después de conocer el impacto a corto plazo nos es importante identificar si a

largo plazo existen nuevas metas de TI que tengan un nivel de impacto alto. Como
tercer paso vamos a volver a calcular el enlace de las metas de TI con los procesos
de TI, pero ahora en relación a su nivel de madurez a alcanzar en largo plazo, por
lo tanto, por cada proceso vamos a multiplicar su importancia por su nivel de
madurez para poder analizar el impacto en dicho periodo
Enlace a largo plazo de las metas de TI con los procesos de TI:
Ahora promediaremos los procesos de TI que se vean involucrados por cada una
de las metas de TI, como se lo a hecho en los anteriores enlaces. Y así poder
obtener un porcentaje a largo plazo por cada meta de TI, el cual nos dará un valor
referencial para nuestro análisis,
Ahora procederemos a analizar el impacto a largo plazo de las Metas de TI en

relación a su estado actual, por lo cual utilizaremos los 3 niveles de impacto
definidos en la tabla 111 (Niveles de Impacto) para determinar que metas de TI
realmente presentan un considerable crecimiento o mejoramiento para la Empresa
Agro
Adquirir y mantener habilidades de TI que responden a la estrategia de TI
El área de TI de la Empresa Agro a largo plazo y una vez que se encuentre

definida y formalizada la estrategia de TI contará con las mejores prácticas que le
permitan llevar a cabo sus procesos de forma óptima.
Reducir los defectos de la solución y entrega de servicio y reelaboración.
La Empresa Agro a largo plazo mejoraría aún más en entregar una solución y
servicio de TI; exigiendo al proveedor de la aplicación el fiel cumplimiento del SLA,
47
ya que en la actualidad ni siquiera existe un control sobre dicho SLA y por otro lado
han existido algunos casos en que la aplicación del negocio no ha cumplido con los
resultados esperados hasta llegar al punto de buscar herramientas de cómputo
alternas, con la finalidad de reelaborar cierto procedimiento y de esta forma entregar
el resultado esperado por el cliente.
48
CONCLUSIONES
Los niveles de madurez son descripciones de estados posibles actuales y futuros

de los procesos de la conexión escritorio remoto que tiene a su cargo el
departamento de TI y no están diseñados para ser limitantes donde no se puede
pasar al próximo nivel superior sin haber cumplido todas las condiciones del nivel
inferior.
El modelo de nivel de madurez de COBIT 5 es una guía para los departamentos

de TI que se rigen bajo un gobierno, por lo cual no es limitante, aunque es importante
que todos los procesos alcancen el mismo nivel de madurez, ya que con ellos se
puede representar una ventaja competitiva para el giro del negocio, apoyado desde
las TI, pues los procesos de TI interdependientes pueden trabajar a la par,
incrementando así la eficiencia del departamento de TI en la empresa.
El nivel de riesgo del servidor de conexión remota departamento de TI de la

Empresa Agro se manejan de una forma clara y definida pero no existe una
formalización de los procedimientos organizacionales.
49
BIBLIOGRAFIA
ISACA.. (2012). COBIT 5. Rolling Meadows: Algonquin Road, Suite.
50

Ensayo GCR Aplicar Proceso COBIT 5

Cargado por

Copyright:

Formatos disponibles

Ensayo GCR Aplicar Proceso COBIT 5

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ensayo GCR Aplicar Proceso COBIT 5

Cargado por

Copyright:

Formatos disponibles

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

ENSAYO SOBRE LOS RIESGOS DE UN SERVIDOR DE ESCRITORIO

Manuel Alfonso Jocop López

Agradezco a mis padres, por la paciencia y ternura de nuestros primeros pasos,

Me llena de alegría el poder dedicarle este ensayo a nuestro Dios que me ha

La responsabilidad del contenido del presente ensayo, me corresponde

En base a todo el desarrollo de la evaluación, la empresa Agro deberá recoger

En el Capítulo 1 hace referencia a la identificación de la empresa, sus orígenes

En el Capítulo 2 incluye un análisis del modelo de madurez utilizado en el

• Empresa Agro es una empresa dedicada a la exportación de vegetales frescos

• La Empresa Agro tiene como objetivo único y exclusivo el exportar vegetales

• La Empresa Agro hoy no solo depende directamente del mercado norteamericano,

• Es una de las 7 principales Empresas Agro del país

• Uno de los compromisos y necesidad de la Empresa Agro, además de manejar

• La Gestión de Riesgos se basa en un proceso estructurado que comprende un

El propósito de realizar un análisis de riesgos más profundo basado en la ISO

A fin de brindar la más completa protección en la empresa Agro, es vital

La empresa Agro ha invertido tiempo y dinero en la construcción de una

1.2 Determinación de los procesos del negocio

Proceso Clave Retiro de capital.

Descripción del Hardware

Se cuenta con un inventario, de hardware en el cual se detallan los equipos

Como resumen del inventario tenemos la siguiente tabla:

La empresa Agro cuenta con una infraestructura tecnológica capaz de solventar

DESCRIPCIÓN DE LA TOPOLOGÍA DE RED

En el diagrama de red se puede observar la distribución tanto de servidores,

Dentro de la topología de Empresa Agro, se cuenta con 3 servidores,

- Servidor de Aplicaciones y Base de Datos (Gestor).

- Servidor FTP y Firewall.

- Servidor de conexiones remotas.

El servidor para nuestro estudio será el de Escritorio de Conexión Remota, pues

Otra característica recolectada hace referencia al proveedor de Servicio de

En cuanto a los terminales, son 29 los que se encuentran actualmente con

SERVIDOR MARCA PROCESADOR CAPACIDAD MEMORIA

Descripción del software.

- Escritorio de conexión Remota RDP.

- Paquete de Office 365

o Hoja de Cálculo – Excel.

o Procesador de Texto – Word.

o Procesador de Presentaciones – Power Point.

o Administrador de Proyectos – Project.

o Google Chrome 2013.

o Windows XP Professional 2002 SP3.

o Windows XP Professional 2002 SP2.

o Windows 7 Home Premium

o Windows Server 2003

Cabe mencionar que el servidor Conexión de Escritorio Remoto funciona sobre

Conexión de Escritorio Remoto RDP

Características generales del RDP:

• Total control por parte del usuario,

• Construcción dinámica de fórmulas,

• Sólidos controles de seguridad.

Características Técnicas del Sistema RDP

Es importante señalar que el Software considerado esencial para el Negocio es

Descripción de recursos humanos de la unidad informática.

La Unidad Informática de la Empresa Agro. actualmente cuenta con diez

• Mantenimiento de Equipos y Soporte

• Gestión y Diseño de la Página Web