Proceso: AI2 Adquirir y mantener software aplicativo

Transcripción

1 Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para la selección de aplicaciones para la empresa. No se realizan licitaciones y exposiciones para la adquisición de software, aunque los encuestados dicen que dichas licitaciones a proveedores si se realizan; no se encontró evidencia de que en efecto se realice licitaciones a proveedores de software. El software adquirido por la empresa, satisface las necesidades de la misma. Si se realizan listas de necesidades por parte de las diferentes aéreas del negocio, la evidencia fue encontrada en el capitulo tecnologías de información como parte de la compañía, pagina 12. Las necesidades del negocio son obtenidas de forma planificada a la hora de adquirir nuevas tecnologías de información. No existen políticas de seguridad bajo ningún estándar internacional o nacional. Las soluciones de software implementadas apoyaron los objetivos de la empresa Hay definidos procesos para la actualización del software ya existente en caso de ser necesario. Establecimiento de estándares para el desarrollo de software, junto con toda la documentación necesaria para los mismos. Cumplimiento con los estándares de desarrollo y documentación de acuerdo con la metodología utilizada; a la hora de implementar software

2 No se nos describe el proceso a la hora de implementar una nueva herramienta de software La descripción del proceso de mantenimiento de software es la requerida. Es necesario definir los procesos de adquisición de software a proveedores. Dicho proceso debe quedar por escrito y definido dentro las diversas políticas empresariales además de quedar claramente establecido dentro del plan estratégico de TI. Se debe crear las políticas de seguridad de manera clara, y eficaz, para garantizar el uso, implementación y mantenimiento de las herramientas de TI, y evitar problemas legales. Nivel de Madurez del Proceso (0 a 5): 2 Proceso: AI5 Adquirir Recursos de TI Observar la forma de adquisición de TI en la empresa AudiLacteos SAS. Verificar si se están prestando correctamente el servicio de TI. Están definidos los procesos de adquisición de recursos de TI, también se establecido un estudio mensual de cada unas de las áreas de la empresa entorno a sus necesidades de TI. Se cuenta con Consultoría jurídica de la cual se recibe asesoramiento a los gerentes y directores de divisiones para cumplir con las normativas y/o reglamentos de órganos reguladores tanto de la empresa como el gobierno. No hay evidencia sobre el proceso oficial que se debe seguir dentro de la empresa para la selección de proveedores de recursos de TI.

3 No hay estándares de gestión y desarrollo de servicios de TI Se establece la capacitación al personal en las nuevas herramientas de TI No existen políticas de contratación de personal para la adquisición de herramientas de TI, ni se especifica si la empresa cuenta con el personal necesario. El área de sistemas es la definida como encargada de la administración de los recursos de TI. Es de suma importancia definir políticas de selección de proveedores, dichas políticas deben incluirse en los documentos estratégicos, y es recomendable que estos procesos se garanticen la trasparencia. Recomendamos la obtención de estándares en gestión y desarrollo de tecnologías de la información, dado que es de suma importancia para la empresa reducir lo casos de corrupción que podrían darse de no contar con estándares de desarrollo. Establecer clara mente los procesos de contratación de personal. Nivel de Madurez del Proceso (0 a 5): 1 Proceso: DS12 ADMINISTRACIÓN DEL AMBIENTE FÍSICO Verificar si el habiente físico sea el ideal para los empleados y las tecnologías de información en la empresa

4 Los documentos y datos de la empresa se encuentran de forma electrónica ubicados en una wiki de la organización y en servidores externos con un buen nivel de respaldo La responsabilidad de colocar la información de documental de la empresa en la wiki, es de quien realiza dichos documentos, que debe pertenecer a la empresa, la modificación de estos datos es exclusiva de los integrantes de la empresa Los datos son almacenados en una wiki empresarial y un grupo virtual privado Existe control de la información por perfiles de usuario en la wiki (de dominio público); el grupo virtual es de acceso privado con sus correspondientes perfiles de usuarios No hay normas para la seguridad física de las instalaciones y servidores No hay monitoreo de las instalaciones físicas No existen espacios físicos No hay planes de evacuación No hay planes de contingencia en caso de desastres naturales No hay salidas de emergencia en las instalaciones físicas de la empresa No existen plantas de energía de reserva Las instalaciones físicas se encuentran en buen estado, sin embargo al no haber salidas de emergencia se puede deducir que el diseño de la planta física no es el indicado. No existe un control establecido o administración establecida para la planta física. Es necesario mejorar los perfiles de usuario en la wiki de la empresa, para garantizar un mayor mejor control de los datos. Crear normas para la seguridad física de las instalaciones y servidores en la empresa. Tener políticas de monitoreo de las instalaciones físicas de la empresa Mejorar los espacios físicos de la empresa Diseñar planes de evacuación y contingencia en caso de desastres naturales

5 Mejorar la planta física para que cuente con salidas de emergencia, al igual que dar instrucciones de su uso a todo el personal de la empresa Adquirir plantas de energía de reserva, para garantizar el funcionamiento de los sistemas críticos de la empresa. Nivel de Madurez del Proceso (0 a 5): 0 Proceso: PO10 Administrar Proyectos Verificar en qué estado de madurez en que se encuentra la administración de proyectos dentro de la organización. No existe portafolio de programas, aunque se tiene en cuenta la necesidad de este. Existen proyectos de de capacitación y de determinación de necesidades tecnológicas. Se conoce los objetivos de los programas Los proyectos se encuentran relacionados con los objetivos del departamento y de la empresa Hay administración de proyectos, se designan tareas a los miembros del equipo de trabajo Scrum es la metodología utilizada en los proyectos. Se asignas responsables para la toma de requerimientos, desarrollo análisis, diseño y Cuenta con etapas definidas para el desarrollo de proyectos

6 Se designan las responsabilidades según las capacidades y conocimientos de los miembros del equipo de trabajo. Los proyectos aprobados cuentan con el compromiso de los miembros de la empresa Existen proyectos terminados. Se encuentra terminado es una aplicación que permita la administración de documentos de la auditoria que está en curso. Hay comunicación directa y personal con los integrantes de los proyectos a través de correos electrónicos. Se realiza controles de calidad y pruebas al desarrollo de proyectos. La definición de alcances se realiza mediante requerimientos y recursos que se encuentren disponibles para la ejecución de los proyectos Se hace seguimiento post-implantación a los proyectos terminados No existen estándares para la realización de proyectos, aunque si hay mención de la necesidad de tenerlos. Si existe tiempos de augura en los proyectos Se definen procesos de medición según los requisitos establecidos del proyecto. Cuenta con métodos de control, encargado por el departamento de control interno. Utilizan diversos métodos de comunicación electrónica Se cuenta con gestión de riesgos para los proyectos y factores de críticos de éxito Si existe administración de recursos No existe un proceso claro para la asignación de recursos Se establecen planes de emergencia para los proyectos. Se identifican los riesgos, al iniciar un nuevo proyecto, y se generan planes que mitiguen los riesgos. En cada fase del desarrollo de un proyecto se lleva a cabo la gestión y control de la calidad. No se reportan inconvenientes en las fases de los proyectos realizados hasta el día de hoy

7 No se realiza cierres de proyectos Crear un portafolio de programas, para conocer con que cuenta la empresa Obtener estándares para el desarrollo de proyectos, para el beneficio de la empresa Crear políticas para la asignación de recursos a proyectos de la empresa Realizar todos los cierres de proyectos pendientes, y futuros. Nivel de Madurez del Proceso (0 a 5): 2 PROCESO: ME4 Proporcionar Gobierno de TI - verificar el establecimiento de un marco de trabajo de TI efectivo, estructuras, procesos. - Evaluar la integración del gobierno de TI con los objetivos de gobierno corporativo y el cumplimiento de las leyes y regulaciones. No se encuentra definido un marco de trabajo orientado al gobierno de TI que proporcione una visión completa del entorno de control y el gobierno corporativo ni que asegure el cumplimiento con las leyes y regulaciones. Si bien existe alineamiento y entendimiento compartido entre el negocio y la función de TI sobre la contribución potencial de TI a la estrategia del negocio. No se encuentran definidos organismos de gobierno que brinden una orientación estratégica a la gerencia respecto a TI. Los procesos de entrega de valor no se administran de manera adecuada, los activos y servicios de TI no poseen una administración estructurada que asegure

8 que estos ofrecen mayor valor posible para apoyar la estrategia y los objetivos empresariales. No existe alguna estructura para la administración de riesgos de TI y su impacto dentro de la organización. No está establecido un procedimiento para la medición del desempeño ni la evaluación del avance de los objetivos y metas propuestos y aceptados. No se tiene conocimiento de la forma en que se asegura la conformidad de TI con la legislación y regulación relevante. Se debe formular un marco de trabajo que proporcione un gobierno de TI efectivo, incluyendo la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales. Nivel de Madurez del Proceso (0 a 5): 1