ESCUELA POLITÉCNICA NACIONAL

Transcripción

1 ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACÍON EN EL GOBIERNO MUNICIPAL DE SAN MIGUEL DE URCUQUÍ UTILIZANDO COMO MODELO DE REFERENCIA COBIT 4.0 PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN LLUMIHUASI QUISPE JUAN MIGUEL juanmiguel113@hotmail.com DIRECTOR: ING. JAIME NARANJO jaime.naranjo@epn.edu.ec Quito, Septiembre 2010

2 ii DECLARACIÓN Yo, Juan Miguel Llumihuasi Quispe, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaro ceder mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Juan Miguel Llumihuasi Quispe

3 iii CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Juan Miguel Llumihuasi Quispe, bajo mi supervisión. Ing. Jaime Naranjo DIRECTOR DE PROYECTO

4 AGRADECIMIENTOS iv

5 DEDICATORIA v

6 vi CONTENIDO CAPÍTULO DEFINICIÓN DEL PROBLEMA Y JUSTIFICACIÓN DEL USO DE LA METODOLOGÍA DEFINICIÓN DEL PROBLEMA JUSTIFICACIÓN DEL USO DEL MODELO DE REFERENCIA COBIT CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI MARCO DE TRABAJO GENERAL DE COBIT CONCLUSIÓN... 9 CAPITULO AUDITORÍA DE LA GESTIÓN DE TI SITUACIÓN ACTUAL DEL DEPARTAMENTO DE SISTEMAS PLAN ESTRATÉGICO DEL DEPARTAMENTO DE SISTEMAS ESTRUCTURA ORGANIZACIONAL DEL GMU INFRAESTRUCTURA TECNOLÓGICA REALIZACIÓN DE LA AUDITORÍA OBJETIVOS DE LA AUDITORÍA MODELOS DE MADUREZ CAPITULO INFORMES DE AUDITORÍA INFORME PRELIMINAR INFORME TÉCNICO INFORME EJECUTIVO CAPITULO CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES

7 vii INDICE DE TABLAS TABLA 1. MODELO DE MADUREZ GENÉRICO TABLA 2. RESUMEN DE LOS OBJETIVOS DE CONTROL DE COBIT TABLA 3. PROMEDIO DE IMPACTOS TABLA 4. IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN TABLA 5. MODELO DE MADUREZ PO TABLA 6. MODELO DE MADUREZ PO TABLA 7. MODELO DE MADUREZ PO TABLA 8. MODELO DE MADUREZ PO TABLA 9. MODELO DE MADUREZ PO TABLA 10. MODELO DE MADUREZ PO TABLA 11. MODELO DE MADUREZ PO TABLA 12. MODELO DE MADUREZ PO TABLA 13. MODELO DE MADUREZ PO TABLA 14. MODELO DE MADUREZ PO TABLA 15. MODELO DE MADUREZ AI TABLA 16. MODELO DE MADUREZ AI TABLA 17. MODELO DE MADUREZ AI TABLA 18. MODELO DE MADUREZ AI TABLA 19. MODELO DE MADUREZ AI TABLA 20. MODELO DE MADUREZ AI TABLA 21. MODELO DE MADUREZ AI TABLA 22. MODELO DE MADUREZ DS TABLA 23. MODELO DE MADUREZ DS TABLA 24. MODELO DE MADUREZ DS TABLA 25. MODELO DE MADUREZ DS TABLA 26. MODELO DE MADUREZ DS TABLA 27. MODELO DE MADUREZ DS TABLA 28. MODELO DE MADUREZ DS TABLA 29. MODELO DE MADUREZ DS TABLA 30. MODELO DE MADUREZ DS TABLA 31. MODELO DE MADUREZ DS TABLA 32. MODELO DE MADUREZ DS TABLA 33. MODELO DE MADUREZ DS TABLA 34. MODELO DE MADUREZ DS TABLA 35. MODELO DE MADUREZ ME TABLA 36. MODELO DE MADUREZ ME TABLA 37. MODELO DE MADUREZ ME TABLA 38. MODELO DE MADUREZ ME TABLA 39. RESULTADO NIVELES DE MADUREZ TABLA 40. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO TABLA 41. CONCLUSIÓN IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN

8 viii INDICE DE FIGURAS FIGURA 1 ÁREAS FOCALES DEL GOBIERNO DE TI...4 FIGURA 2 MARCO GENERAL DE TRABAJO DE COBIT...7 FIGURA 3 UBICACIÓN DE LA UNIDAD DE SERVICIOS INFORMATICOS FIGURA 4 ESTRUCTURA ORGANIZACIONAL FIGURA 5 DIAGRAMA DE RED PLANTA BAJA FIGURA 6 DIAGRAMA DE RED PRIMER PISO FIGURA 7. IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN FIGURA 8. CRITERIO DE LA INFORMACIÓN EFECTIVIDAD FIGURA 9. CRITERIO DE LA INFORMACIÓN EFICIENCIA FIGURA 10. CRITERIO DE LA INFORMACIÓN CONFIDENCIALIDAD FIGURA 11. CRITERIO DE LA INFORMACIÓN INTEGRIDAD FIGURA 12. CRITERIO DE LA INFORMACIÓN DISPONIBILIDAD FIGURA 13. CRITERIO DE LA INFORMACIÓN CUMPLIMIENTO FIGURA 14. CRITERIO DE LA INFORMACIÓN CONFIABILIDAD

9 ix RESUMEN Se ha desarrollado una auditoría de las TI al Gobierno Municipal de San Miguel de Urcuquí, con el fin de aportar con posibles soluciones a inconvenientes que se encuentren en este estudio. Esta tesis cuenta con cuatro capítulos. Capitulo 1, en este capítulo se encuentra la definición del problema, así como la justificación de la metodología utilizada la cual es COBIT 4.0., mostrando cada uno de los criterios de la información que son vitales en una empresa. Capitulo 2, en este capítulo se analiza la situación actual del departamento de sistemas, mediante entrevistas al jefe de este, analizamos el plan estratégico, estructura organizacional e infraestructura tecnológica, para luego proceder a la realización de la auditoría, mediarte los modelos de madurez evaluando los procesos correspondientes. Capitulo 3, Se presentan los resultados de la auditoría realizadas mediante un informe preliminar, un informe técnico y un ejecutivo. Capitulo 4, se procede a realizar las conclusiones y recomendación respectivas de esta auditoría.

10 x INTRODUCCIÓN En la actualidad, Las organizaciones exitosas entienden los beneficios de las Tecnologías de Información (TI) y usan este conocimiento para conducir el valor de sus beneficiarios. Por lo tanto se realiza una auditoría informática en el Gobierno Municipal de San Miguel de Urcuquí que se tome muy en cuenta la dependencia crítica de muchos procesos de negocios sobre las TI, el objetivo cumplir con los crecientes requerimientos regulatorios y los beneficios de administrar los riesgos efectivamente, se utiliza como modelo de referencia COBIT 4.0, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios, (Planear y organizar, Adquirir e implementar, entregar y dar soporte, Monitorear y evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.0, mediante este trabajo se pretende solucionar varios problemas en la entrega de servicios a los habitantes de Urcuquí.

11 CAPÍTULO 1. DEFINICIÓN DEL PROBLEMA Y JUSTIFICACIÓN DEL USO DE LA METODOLOGÍA 1.1 DEFINICIÓN DEL PROBLEMA De acuerdo a las entrevistas realizadas al Ing. Daniel López, Jefe del Departamento de Sistemas del Gobierno Municipal de San Miguel de Urcuquí, se puede definir como problemas fundamentales en el área de de sistemas los siguientes: En el Gobierno Municipal de San Miguel de Urcuquí, se utiliza los sistemas Olympo, el cual es utilizado por el sector financiero del Gobierno, El sistema A.M.E. encargado de la comercialización y servicios que se presta al cantón, el sistema A.M.E. cuenta con dos subsistemas los cuales son: COSEM, encargado de todo lo referente a la administración del agua potable, y SIC que es el encargado de llevar la administración de los catastros, El problema surge pues los dos sistemas no trabajan juntos es decir la información del un A.M.E no es compartida a Olympo, en esta auditoría se pretende demostrar la necesidad de que los dos sistemas y los dos subsistemas trabajen juntos. El Gobierno Municipal cuenta con una infraestructura de red completa, la cual varía dependiendo de la creación de nuevos departamentos, sin un previo estudio de la topología, también se presta el servicio de dotación de internet mediante radio enlace a los a las Instituciones Educativas del Cantón, denominado Proyecto Infocentro este servicio es administrado por el departamento de sistemas del Gobierno Municipal. Existe un Plan Informático el cual aun no es puesto en práctica, puesto que se trabaja a medida como sucedan los eventos, por lo cual no se cuenta con un plan de respaldos estos se realizan una vez por semana o cuando se los necesite.

12 2 En cuanto a la Seguridad Física y Lógica del departamento informático, cuentan con un firewall (Software) el cual es el único que controla el trafico y demás factores de riesgo lógico en el Gobierno Municipal, no existen planes de capacitación a los usuarios de los sistemas, por lo tanto la manipulación de estos es intuitiva y a menudo producen daños al software con el que cuenta el Gobierno Municipal, y también al hardware por la incorrecta manipulación de los equipos informáticos. En cuanto a la seguridad del Proyecto Infocentro presenta la seguridad lógica mediante el control de enlaces por direcciones Mac, se trabaja bajo dos frecuencias, y no existe seguridades físicas, pues el sitio donde se encuentran alojados los puntos de repetición están a la intemperie, y esto puede producir el robo de hardware, así como la destrucción de este sea por consecuencias naturales o vandalismo, no hay UPS en los puntos de repetición, por tal motivo en el instante en que falle el suministro de energía eléctrica los equipos se apagan bruscamente lo que puede producir que estos sufra daños permanentes en su funcionamiento, de igual manera esto sucede en el Gobierno Municipal, el cual no cuenta con una planta de energía eléctrica propia para brindar soporte y un mejor servicios a los habitantes del Cantón, por lo que cuando existen cortes de energía la mayor parte de los servicios que presta el Gobierno Municipal se suspenden, de igual manera como lo sucedido en los puntos de repetición este inconveniente a veces causa daños irreparables en el equipamiento informático. Al realizar esta auditoría al Gobierno Municipal de San Miguel de Urcuquí, se definirán controles que permitan disminuir los riesgos informáticos, se identificarán los posibles problemas técnicos en el departamento de las TI, para dar la correcta solución a estos, de una manera óptima, estos objetivos los realizaremos ejecutando un análisis crítico de los procesos, tareas y actividades que se realizan en TI, mediante este análisis se realizará la evaluación de la infraestructura informática del Gobierno Municipal de San Miguel de Urcuquí. Al aplicar las directrices planteadas sobre el Plan Estratégico del GMU, relacionando las metas del negocio con las TI, se tendrá una unión eficaz entre

13 3 los procesos del negocio y los sistemas de información lo cual contribuirá al bienestar del cantón, con la optimización del tiempo del contribuyente al realizar trámites de los servicios municipales en el GMU, esto mediante el correcto mantenimiento de los sistemas de uso general, y privados, brindando organización en las actividades del GMU, también se pretende que la municipalidad goce de prestigio, confianza en los tramites, credibilidad en la calidad de los servicios mediante la transparencia de estos y que la información para la ciudadanía y de uso interno se encuentre disponible 24/7, y sea integra. Se brindará apoyo en la toma de decisiones en la elaboración de planes de desarrollo estratégico, presupuestos participativos cantonales, proyectos parroquiales, así como en la modernización de las operaciones y servicios brindados.

14 4 1.2 JUSTIFICACIÓN DEL USO DEL MODELO DE REFERENCIA COBIT 4.0. Para la realización de esta auditoría se toma como marco de referencia COBIT 4.0, el cual es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda que permite a los administradores tener en cuenta y asociar los conceptos de requerimientos de control, consideraciones técnicas y riesgos del negocio. Este conjunto de las mejores prácticas permiten evaluar la seguridad, eficacia, calidad y eficiencia de las TI., mediante esto se determinan los riesgos, tener una gestión efectiva de los recursos, medir el desempeño y cumplimiento de metas, y de manera principal medir el nivel de madurez de los procesos de la organización. COBIT satisface las necesidades que tiene la organización en lo referente a las TI de la siguiente manera: Tomando en cuenta los requerimientos del negocio. Mediante el modelo de procesos organiza las actividades de TI. Identifica los recursos de TI prioritarios a ser utilizados. Definiendo los controles de TI. El la (figura 1) se muestra como COBIT da soporte al gobierno de las TI FIGURA 1 ÁREAS FOCALES DEL GOBIERNO DE TI Fuente: Documento COBIT 4.0

15 5 Alineación Estratégica.- Garantiza la relación entre los Planes de Negocio y TI. Entrega de Valor.- Asegurar que TI entregue todos los beneficios pronosticados en la estrategia Administración de Recursos.- Se refiere a la administración óptima de los recursos críticos. Administración de Riesgos.- Tener muy en cuenta por parte de los altos ejecutivos de la empresa los riesgos a los cuales esta comprometida esta. Medición del Desempeño.- Monitorea y rastrea la estrategia de implementación, el uso de recursos, la terminación del proyecto, desempeño de procesos y la entrega del servicio. 1.3 CRITERIOS DE INFORMACIÓN DE COBIT Realizando el análisis del negocio para satisfacer los objetivos de este, para asegurar los requerimientos de calidad, fiduciarios y seguridad, se tiene los siguientes criterios: Efectividad.- La información debe de ser relevante y pertinente a los procesos del negocio y debe ser entregada de manera oportuna, correcta, consistente y utilizable. Eficiencia.- La información debe ser generada de manera óptima enfocada en los recursos (Más productivo y económico). Confidencialidad.- Proteger la información sensible contra una divulgación no autorizada. Integridad.- La información debe estar de forma concreta y precisa y su validez de acurdo a los valores y expectativas del negocio. Disponibilidad.- La información debe estar disponible cuando los procesos del negocio lo requieran, así como la protección de los recursos necesarios y capacidades asociadas.

16 6 Cumplimiento.- Acatar leyes, reglamentos y acuerdos contractuales a los cuales están sujetos los procesos del negocio, por ejemplo políticas internas. Confiabilidad.- Proporcionar a la gerencia la información apropiada para que sea utilizada en la correcta administración de la entidad RECURSOS DE TI. Para el cumplimiento de los objetivos del negocio COBIT toma en cuenta los siguientes recursos de TI, los cuales son de ayuda para constituir la arquitectura empresarial de TI. Aplicaciones.- Se toman en cuenta sistemas de usuario automatizados así como los procedimientos manuales que son usados para el procesamiento de la información. Información.- Son los datos en todas sus formas de entrada, los cuales son procesados y generados por los sistemas de información. Infraestructura.- Contempla la tecnología e instalaciones (Hardware, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. así como el sitio donde se encuentran y el lugar que los soporta) permitiendo el procesamiento de aplicaciones. Personas.- Es el recurso humano encargado de planear, organizar, adquirir, implementar, entregar, soportar, monitorear, evaluar los sistemas y los servicios de información, este recurso puede ser contratados o outsourcing, internas o de acuerdo como lo requiera la organización MARCO DE TRABAJO GENERAL DE COBIT En la (figura 2) se muestra en marco de trabajo general de COBIT, el cual está compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno.

17 7 FIGURA 2 MARCO GENERAL DE TRABAJO DE COBIT Fuente: Documento COBIT 4.0 A continuación se lista los cuatro dominios existentes en Cobit, con sus respectivos procesos.

18 8 PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir los procesos, organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos ADQUIRIR E IMPLEMENTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas

19 9 DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones MONITOREAR Y EVALUAR ME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno de TI CONCLUSIÓN Las organizaciones exitosas toman en cuenta los beneficios que prestan las TI a la consecución de sus metas, por lo tanto para alcanzar las metas de Gobierno Municipal de San Miguel de Urcuquí manteniendo un control adecuado de las tecnologías de la información y que estas sean de beneficio a la organización, se toma como modelo de referencia COBIT 4.0 la cual toma muy en cuenta los principales componentes de la administración de las tecnologías de la información, y mediante el enfoque interno dirigido a las área de TI de la organización se puede lograr el objetivo de llevar un correcto control interno de la organización, puesto que este modelo de referencia que contiene políticas claras y buenas prácticas para establecer controles y seguridades sobre los sistemas de tecnologías de la información, es independiente de la tecnología y no se encuentra orientado a una sola plataforma por esto es de mucha utilidad para auditores así como para administradores de TI y alta gerencia. La metodología COBIT es parte del silabo propuesto en la materia de Auditoría y Evaluación de Sistemas Informáticos, dictada en la carrera de Ingeniería en Sistemas requisito para la obtención del título de Ingeniero en Sistemas, por lo tanto tenemos una guía útil en la elaboración de este proyecto de titulación.

20 10 CAPITULO 2. AUDITORÍA DE LA GESTIÓN DE TI 2.1 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE SISTEMAS PLAN ESTRATÉGICO DEL DEPARTAMENTO DE SISTEMAS El Departamento Informático del Gobierno Municipal de San Miguel de Urcuquí, no presenta un a Plan Estratégico definido, pero tiene entre sus documentos aprobados en última asamblea, los objetivos de dicho departamento son los siguientes. OBJETIVOS: Elaborar, planificar y ejecutar el mantenimiento preventivo y correctivo a nivel de Hardware como de Software. Preparar las especificaciones técnicas y funcionales de las aplicaciones para la adquisición de paquetes pre elaborados, o para contratar el desarrollo externo de los sistemas, utilizando las metodologías aprobadas por la municipalidad. Brindar capacitación continua a los usuarios de paquetes informáticos pre elaborado, externo adquirido, de desarrollo interno, ofimáticos, etc. para contribuir en la optimización de recursos y tiempo empleado en los procesos que estos realizan. Desarrollar u optimizar software para satisfacer las necesidades tecnológicas inmediatas de la municipalidad. Las funciones globales que desempeña este departamento es la siguiente: Implementar y administrar un sistema de información institucional que permita el flujo de información interna.

21 11 Planificación y desarrollo de Sistemas y Servicios Informáticos. Administración de Hardware, Software y Redes de comunicación. Velar por la integridad y permanente integración de los datos y sistemas de información de la Municipalidad. UBICACIÓN: La Unidad de Servicios Informáticos se encuentra ubicada en el Cantón de Urcuquí, en el primer piso de la Municipalidad, desde ahí presta sus servicios a la red interna, y a su vez cualquier consulta de unidades educativas que reciben el servicio de internet por parte del Municipio. En la (Figura 3) se muestra la ubicación física del la Unidad de Servicios Informáticos. FIGURA 3 UBICACIÓN DE LA UNIDAD DE SERVICIOS INFORMATICOS Fuente: Gobierno Municipal de San Miguel de Urcuquí FUNCIONES DEL DEPARTAMENTO: Las funciones específicas que desempeña este departamento son las siguientes Planificar, desarrollar, dirigir y controlar el desarrollo, mantenimiento, operación y optimización de los sistemas de información del Municipio.

22 12 Proponer y velar por la aplicación de estrategias y políticas institucionales, para fortalecer el desarrollo de tecnologías de Información (IT) a corto, mediano y largo plazo. Formular, ejecutar y actualizar el plan estratégico del sistema de información del Municipio, con base al estudio permanente de las necesidades de todos los niveles y áreas, en coordinación con cada una de las direcciones. Asesorar, administrar y proporcionar con oportunidad, el soporte tecnológico necesario al personal vinculado con los sistemas informáticos de las diferentes unidades del Municipio parta solucionar problemas emergentes, asegurando la adecuada y óptima utilización y mantenimiento de los mismos. Recomendar la adquisición de hardware, software básico y software de aplicaciones conveniente y necesario para optimizar la gestión operativa y administrativa de la municipalidad, señalando las especificaciones técnicas básicas. Proporcionar mecanismos de seguridad lógica y física del ambiente de hardware y software de la municipalidad. Administrar y precautelar la calidad de la red de procesamiento de datos del Municipio a fin de maximizar la disponibilidad de las aplicaciones y garantizar tiempos de respuesta adecuados en el procesamiento de transacciones acorde con los recursos utilizados por las mismas. Mantener actualizado el inventario y distribución del software, hardware propio y externo o adquirido así como la documentación técnica y de usuario de la municipalidad. Desarrollar y mantener actualizados los sistemas de información, investigación y estadísticas institucionales en materia administrativa y financiera, de tal forma que apoyen los procesos de planificación, programación, ejecución, regulación y evaluación de las actividades del Municipio, en todos sus niveles, así como sus procesos de decisión. Coordinar la implantación de los sistemas de información desarrollados internamente y supervisar la implantación de paquetes adquiridos o

23 13 desarrollados externamente, siguiendo los procedimientos establecidos para el efecto. Promover la utilización de tecnología avanzada relacionada tanto con Hardware como con Software. Programar, ejecutar y supervisar los procesos de mantenimiento preventivo y correctivo de los equipos computacionales, de telecomunicación y auxiliares. Planificar y mantener actividades de Back-Up (copias de respaldo) periódicos en medios físicos de almacenamiento masivo idóneos de los sistemas de información de la municipalidad. Actualizar permanentemente el sitio Web del Municipio. Establecer las políticas y estándares informáticos acordes a las normas internacionales y los requerimientos de la municipalidad. Asesorar en la implementación de hardware y software considerados por la municipalidad. Elaborar y ejecutar los programas de capacitación en el área de informática a ser implementados en el municipio ESTRUCTURA ORGANIZACIONAL DEL GMU ESTRUCTURA ORGANIZACIONAL La Unidad de Servicios Informáticos se encuentra dentro de la Dirección Administrativa, con el fin de ayudar al cumplimiento de los objetivos y metas planteadas por esta dirección en beneficio del Gobierno Municipal de San Miguel de Urcuquí y por ende del Cantón a la cual representa. En la (figura 4) se muestra la estructura básica.

24 14 FIGURA 4 ESTRUCTURA ORGANIZACIONAL Fuente: Gobierno Municipal de San Miguel de Urcuquí INFRAESTRUCTURA TECNOLÓGICA HARDWARE El inventario del hardware se encuentra en el Anexo 1.

25 15 SOFTWARE En lo referente a software se cuenta con: Software base de Windows P. Windows 2003 Server R2. Utilitarios. Olympo.- utilizado en el sector financiero. El sistema A.M.E. encargado de la comercialización y servicios, el cual a su vez cuenta con dos subsistemas COSEM, encargado de la administración del agua potable, y SIC encargado de la administración de los catastros, cabe destacar que solo los sistemas Olympo y A.M.E cuentan con licencias, pues los demás sistemas no son licenciados. INTERCONECTIVIDAD. Para mantener enlazada en una sola red a todo el sistema computacional del GMU, en el planta baja se cuenta con dos Swicht, los cuales comunican de manera hotizontal los equipos de computo de este sector, un swicht se conecta con el RAC que se encuentra en el primer piso en cual cuenta igual con 2 swicht para la comunicación de los equipos de cómputo, y mediante un router wireless marca TrendNet, los empleados del GMU cuentan con el servicio de internet. En las (Figura 5, Figura 6) se muestra los diagramas de red correspondientes: FIGURA 5 DIAGRAMA DE RED PLANTA BAJA Fuente: Gobierno Municipal de San Miguel de Urcuquí

26 Arriba 16 Otro 6 m cuadr Alcaldía Arriba Dep. Jurídico Secretaría Salón de Sesiones Otro Salón Múltiple 59 m cuadr Dir. Cultura Arriba Arrib a Dep. Cultura Oficina Presidenta del Patronato Contabilidad Tesorería Dirección Financiera FIGURA 6 DIAGRAMA DE RED PRIMER PISO Fuente: Gobierno Municipal de San Miguel de Urcuquí RECURSOS HUMANOS TÉCNICOS. La Unidad de Servicios Informáticos solo es administrada por el jefe del departamento, se cuenta con RRHH de apoyo los cuales son pasantes asignados por la Universidad Técnica del Norte, así como pasantes del Colegio Nacional Técnico Urcuquí, los cuales se encargan en su mayor parte de brindar el apoyo en soporte a usuarios en las aplicaciones y dudas que estos tengan. SEGURIDADES Para realizar el análisis de seguridades nos basamos en la norma ISO Este estándar contiene 11 controles de seguridad clasificados de la siguiente forma que se encuentran en su anexo A: Los controles se encuentran detallados de la misma manera y numeración que mantiene la norma:

27 17 A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) Política de seguridad La Unidad de Servicios Informáticos no cuenta con políticas de seguridad definidas, no obstante el GMU está consciente de la creación de estas políticas para lo cual se encuentran en un estudio previo a ser aprobado en asamblea para la aceptación de este. Organización de la información de seguridad Organización interna: La dirección informática tiene en cuenta el compromiso de elaborar cronogramas de actividades, coordinar responsabilidades. Partes externas: No se mantiene actualizada la cadena de contactos externos o internos al GMU, es decir no se existe una sencilla base de datos que es lo recomendable para mantener la influencia de estas personas, ya sea como sus responsabilidades, necesidades, riesgos, activos, o modificaciones de la información de los proveedores de los servicios. Administración de recursos Responsabilidad en los recursos:

28 18 La Unidad de Servicios Informáticos cuenta con un inventario detallado de hardware no así de software instalado, se tiene un inventario con las configuraciones de red, los inventarios no tienen un formato en particular Los equipos no se encuentran asignados por usuarios, estos están asignados por departamentos y se aumenta equipos de acuerdo a la necesidad. Los activos del GMU que deben ser inventariados por el Jefe del departamento de sistema son: Activos de software ya sean estos de sistema o de aplicación. Activos de información, como bases de datos, convenios, acuerdos, contratos, manuales de usuario, material de capacitación, información confidencial. Activos físicos como medios de comunicación, medios de respaldo físicos, equipos de cómputo adquiridos y dados de baja. Clasificación de la información No se posee reglas definidas en lo referente al uso de la información y equipos de cómputo, por lo consiguiente la información del GMU no se encuentra clasificada de forma óptima para agilitar los procesos. Seguridad de los recursos humanos Antes del empleo: Se debe definir de forma eficiente las responsabilidades y roles así como los términos y condiciones de empleo todo esto durante el proceso de contratación. Durante el empleo: En la Unidad de Servicios Informáticos no se encuentran definidos los roles puesto que es solo una persona la encargada de llevar la administración de esta, y los demás integrantes son pasantes los cuales no se encuentran de forma permanente en el área, por lo tanto las actividades las realizan de acuerdo a la presencia de los involucrados y las necesidades que se presenten en ese momento.

29 19 No se tiene una capacitación a los usuarios por departamento de la seguridad de la información así como riesgos que se pueden presentar si no se cumplen estos, es decir un plan de formación del nuevo personal. Finalización o cambio de empleo: No existe un correcto control de entrega de recursos por parte del ex empleado, se lleva muy en cuenta lo referente a la finalización de responsabilidades del antes mencionado. Para la consecución de estos controles se debe tomar muy en cuenta la cooperación entre el departamento de RRHH y la Unidad de Servicios Informáticos, los cuales son los responsables de la seguridad de la información del GMU. Seguridad física y del entorno Áreas de seguridad. El acceso físico a terceras personas se realiza por las puertas principales, para lo cual el guardia realiza una inspección a la entrada y salida del GMU de las pertenecías de las personas propias y externas al municipio. No se cuenta con un área de entrega y carga de equipos de cómputo, o zonas de mantenimiento de estas. Una vez situados en la Unidad de Servicios Informáticos, no existe una seguridad básica salvo el control visual por parte de los pasantes o Jefe de Departamento. Seguridad de elementos. No existen medidas de protección contra incendios, salvo el método de evacuación del recurso humano. No se tiene un correcto empleo del material informático, ya sea como hardware permitido, aplicaciones permitidas, seguridades físicas de los equipos, conexiones eléctricas.

30 20 La salida de materiales informáticos así como la entrada de estos se las verifica mediante el guardia el cual no tiene capacitación adecuada para verificar los dispositivos de dichos materiales o su valor intrínseco. En cuanto a las seguridades de red, el cableado se encuentra asegurado mediante canales, no se posee un cuarto adecuado de servidores. Administración de las comunicaciones y operaciones. Procedimientos operacionales y responsabilidades. No se posee un plan de correcta manipulación de la información, para documentar procedimientos del uso de la información por parte de los usuarios para de esta forma prevenir el mal uso de esta. Administración de prestación de servicios de terceras partes: No se mantiene un estándar adecuado de documentación de servicios prestados, como son acuerdos, obligaciones, responsabilidades, confidencialidad operación y mantenimiento, con lo cual podemos mantener y regularizar un control eficiente de cambios en estos servicios. Planificación y aceptación de sistemas: El momento de implementar un nuevo sistema, no se toma en cuenta la realización de una utilización temporánea de dicho sistema por parte de los usuarios para así poder evitar fallos en la manipulación de esta, y así evitar la implementación a ciegas del sistema. Protección contra el código móvil y maligno: No se toma muy en cuenta la transferencia de información una forma móvil ya sea mediante pen drives o cd s, para así evitar la fuga de información, o la contaminación con código maligno a las estaciones de cómputo. Se debe tomar en cuenta medidas en caso de que un código malicioso infecte a las estaciones, mediante la detección, prevención y recuperación de la información.

31 21 Resguardo Al momento no se cuenta con una política de respaldos, se los realiza de acuerdo a la ocasión en caso extremo de formatear una maquina. Administración de las seguridades de las redes Actualmente el administrador de la red realiza el monitoreo y protección de esta, sin embargo no se cuenta con controles documentados. Manejo de medios. No se cuenta con un estándar definido para prevenir la difusión, borrado o destrucción de los dispositivos físicos (discos, cintas, papeles, etc.) o lo que en ellos se guarda. Intercambio de información. No se tiene una política, procedimientos y controles definidos en el intercambio de información, sino cada persona es encargada de manipular la información que le pertenece para realizar una tarea específica. Servicios de correo electrónico No se cuenta con el servicio de correo electrónico en el GMU, se usa correos alternativos como Hotmail o yahoo, ya sea para el intercambio de información, o por simple asunto de comunicación, puesto que no se cuenta con una intranet, no se administra de manera eficiente este aspecto. Monitoreo. El monitoreo se realiza mediante rastros de auditoría, para tener en cuenta al acceso a la base de datos, y a la vez cada usuario se autentifica para asi para poder llevar a cabo un registro de fallos. Control de accesos Requerimientos del negocio para control de acceso No existe una política de control de acceso, cada jefe de departamento tiene a cargo la información pertinente a cada uno de ellos y es

32 22 responsable del buen o mal uso de esta, por lo tanto no se puede asegurar un nivel de riesgo efectivo a cada activo del GMU. Administración de acceso a usuarios. El acceso debe ser asegurado mediante login y password para prevenir el acceso no autorizado, el acceso lógico se realiza mediante claves de usuario las cuales tampoco presentan una política de seguridad o estándar definido. La única persona que conoce las claves de acceso a los servidores es el Jefe de departamento lo cual puede presentar problemas al instante de que se presente un problema y este se encuentre ausente. Responsabilidad de los usuarios. Cada usuario debe tener muy en cuenta sus obligaciones dentro de la seguridad de la información, los usuarios del GMU el momento en que dejan los equipos desatendidos no poseen la regla de dejar bloqueándolos, de igual manera no están al tanto de las medidas fundamentales de cuidado y protección de la información en sus pantalla, escritorios y medios removibles. Control de acceso a redes. El acceso a las red interna es administrada por el jefe del departamento, los usuarios registrados ingresan mediante un dominio y password, no se implementen herramientas de administración remota, por lo cual para cada problema existente el administrador debe acercarse a cada equipo para localizar el problema y solucionarlo, pero en si no existe una política de control de acceso. Control de acceso a sistemas operativos Los usuarios acceden al sistema operativo mediante su login y password, pero no lleva políticas de intentos exitosos y fallidos de acceso, así como por usuarios externos a la red, se los identifica una vez ya realizado el acceso y las secuelas que este deja

33 23 Control de acceso a información y aplicaciones. No se cuenta con un plan de control de acceso a aplicaciones, los usuarios acceden mediante claves de acceso a usuarios autorizados y cada uno de estos posee un perfil de acuerdo a la tarea que desempeña este sobre la aplicación. Movilidad y teletrabajo No existe una política de computación móvil, pero cuando un usuario ya sea este interno o externo al GMU utiliza una laptop esta es autentificada y monitoreada mediante el jefe de sistemas, de igual manera el usuario de la laptop es el encargado de realizar respaldos según sea el caso. Adquisición de sistemas de información, desarrollo y mantenimiento. Requerimientos de seguridad de los sistemas de información. Cuando se requiere sistemas de información de terceros, estos pasa por una fase de pruebas para verificar la compatibilidad con los otros sistemas, y de igual manera evaluar la seguridad de estos y asi asegurar el cumplimiento de las necesidades del GMU. Procesamiento correcto en aplicaciones. Para asegurar el correcto trato de la información del GMU mediante las aplicaciones, se valida la entrada de datos, así como identificar errores ocasionales o intencionales en el procesamiento de la información de igual manera se valida la salida de la información, los cuales son almacenados en la base de datos, para esto se realiza una capacitación a los usuarios de la aplicación. Controles criptográficos. Las únicas técnicas de criptografía que se usan en el departamento son las que brindan los motores de las bases de datos, la criptografía asegura la integridad, confidencialidad y autenticidad de la información. No se posee una política de empleo de controles criptográficos y de su uso.

34 24 Seguridad en los sistemas de archivos No se controla la instalación de software adicional, por lo tanto los usuarios no toman en cuenta que archivos deben o no ser modificado, solo el jefe de sistemas tiene el acceso y almacenamiento de códigos fuente. Seguridad en el desarrollo y soporte de procesos. El jefe de sistemas se encarga de controlar los cambios en las aplicaciones, así como de su correcto uso, en caso de ser un software de terceros para el soporte de este se llama a las personas especializadas de la empresa que provee la aplicación, los cuales son monitoreados por el jefe de sistemas, para que no existan modificaciones que afecten al cumplimiento de las necesidades del GMU. Administración técnica de vulnerabilidades En el caso de que exista una vulnerabilidad de la aplicación, el jefe de sistemas comunica a los desarrolladores de esta para encontrar la solución, o caso contrario investiga mediante el internet y trata de solucionar los problemas personalmente. Administración de los incidentes de seguridad Reportes de eventos de seguridad de la información y debilidades No se tiene una metodología de reportes de seguridad y debilidades, sino al instante en que sucede algún contratiempo o emergencia en la aplicación el jefe de sistemas lo resuelve o reporta a los desarrolladores externos del sistema, no se lleva una reporte de las eventualidades para una mejor administración de estas. Lo recomendable es poseer herramientas de detección de vulnerabilidades y generar, monitorear y llevar un seguimiento de estos reportes de vulnerabilidad y seguridad de la información Administración de incidentes de seguridad de la información y mejoras

35 25 No se cuenta con la administración de los incidentes la cual debería describir pasos, acciones, responsabilidades, funciones y medidas concretas en caso de que ocurra un incidente similar, para evitar que estas vuelvan a suceder. Administración de la continuidad del negocio Aspectos de la seguridad de la información en la continuidad del negocio. No se cuenta con un plan de continuidad del negocio para prevenir que los sistemas sufran interrupciones sobre las actividades que realiza el GMU. Marco legal y buenas prácticas (legales, de estándares y auditorías) No se cuenta con licencias de los sistemas operativos, así como de utilitarios. Los sistemas de financieros, administración de agua potable y catastros cuentan con su licencia respectiva. El jefe de sistemas asegura que se lleve a cabo los procedimientos de seguridad implementados, para asegurar las políticas y estándares de seguridad. No se ha realizado una auditoría de las tecnologías de la información, ni de forma interna ni externa al GMU.

36 REALIZACIÓN DE LA AUDITORÍA OBJETIVOS DE LA AUDITORÍA. Realizar el análisis y la auditoría del departamento de sistemas del GMU. Utilizando como marco de referencia Cobit 4.0 aportar al avance de este departamento mediante recomendaciones realizadas mediante un análisis exhaustivo. Presentar un informe técnico y ejecutivo que muestre los puntos fuertes y débiles de este departamento MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de las empresas que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de las tecnologías de la información, para esto la gerencia de TI busca constantemente herramientas de evaluación de benchmarking y herramientas de autoevaluación. Estos modelos de madurez están diseñados como perfiles de procesos de TI que una empresa los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de Cobit, la administración podrá identificar: El desempeño real de la empresa Dónde se encuentra la empresa hoy. El estatus actual de la industria La comparación. El objetivo de la mejora de la empresa Dónde desea estar la empresa. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado 1, la ventaja es que es relativamente fácil para la dirección ubicarse a 1 Tomado de COBIT 4.0, pag.20

37 27 sí misma en una escala y de esta forma evaluar que se debe hacer sui se requiere una mejora. A continuación se presenta la tabla de modelo de madurez genérico (Tabla 1) a usarse en esta auditoría: 0 NO EISTENTE 1 INICIAL 2 REPETIBLE 3 DEFINIDO 4 ADMINISTRADO Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o

38 28 5 OPTIMIZADO fragmentada. Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. TABLA 1. Modelo de Madurez Genérico Realizado: Por el autor, Fuente: Documento COBIT 4.0 A continuación se representa en una tabla el impacto de los objetivos de control de COBIT sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con () significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos. OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI DE COBIT EFECTIVIDAD PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. P S PO2 Definir la arquitectura de la información S P S P PO3 Definir la dirección tecnológica. P P Definir los procesos, organización y PO4 relaciones de TI. P P PO5 Administrar la inversión en TI. P P S Comunicar las metas y la dirección de la PO6 gerencia. P S PO7 Administrar los recursos humanos de TI. P P PO8 Administrar la calidad. P P S S PO9 Evaluar y administrar los riegos de TI. S S P P P S S EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD PERSONAS INFORMACIÓN APLICACIÓN INFRAESTRUCTURA

39 29 PO10 Administrar los proyectos. P P ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. P S AI2 Adquirir y mantener software aplicativo. P P S S Adquirir y mantener la infraestructura AI3 tecnológica. S P S S AI4 Facilitar la operación y el uso. P P S S S S AI5 Procurar recursos de TI. S P S AI6 Administrar los cambios. P P P P S AI7 Instalar y acreditar soluciones y cambios. P S S S ENTREGAR Y DAR SOPORTE Definir y administrar los niveles de DS1 servicio. P P S S S S S DS2 Administrar los servicios de terceros. P P S S S S S DS3 Administrar el desempeño y capacidad. P P S DS4 Asegurar el servicio continuo. P S P DS5 Garantizar la seguridad de los sistemas. P P S S S DS6 Identificar y asignar costos. P P DS7 Educar y entrenar a los usuarios. P S Administrar la mesa de servicio y los DS8 incidentes. P P DS9 Administrar la configuración. P S S S DS10 Administrar los problemas. P P S DS11 Administrar los datos. P P DS12 Administrar el ambiente físico. P P DS13 Administrar las operaciones. P P S S MONITOREAR Y EVALUAR Monitorear y evaluar el desempeño de ME1 TI. P P S S S S S ME2 Monitorear y evaluar el control interno. P P S S S S S ME3 Garantizar el cumplimiento regulatorio. P S ME4 Proporcionar gobierno de TI. P P S S S S S TABLA 2. Resumen de los objetivos de control de COBIT Realizado: Por el autor, Fuente: Documento COBIT 4.0 Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla (3). CALIFICACION IMPACTO PROMEDIO 15% 50% BAJO 32 51% 75% MEDIO 63 76% 95% ALTO 86 TABLA 3. Promedio de Impactos Realizado: Por el autor Fuente: Tesis Auditoría de la Gestión de las TIC s para la empresa DIPAC utilizando COBIT

40 30 Mediante la propuesta dada por COSO, podemos dar un valor promedio al impacto de los criterios de la información, con los promedios obtenidos, procedemos a asignar estos valores en la tabla (4), para cual asignamos un valor de 86% cuando el grado de impacto es primario, 63% cuando el grado de impacto es secundario, y blanco, cuando el grado de impacto es nulo. A continuación mostramos la tabla (4). OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. 0,86 0,63 PO2 Definir la arquitectura de la información 0,63 0,86 0,63 0,86 PO3 Definir la dirección tecnológica. 0,86 0,86 PO4 Definir los procesos, organización y relaciones de TI. 0,86 0,86 PO5 Administrar la inversión en TI. 0,86 0,86 0,63 PO6 Comunicar las metas y la dirección de la gerencia. 0,86 0,63 PO7 Administrar los recursos humanos de TI. 0,86 0,86 PO8 Administrar la calidad. 0,86 0,86 0,63 0,63 PO9 Evaluar y administrar los riegos de TI. 0,63 0,63 0,86 0,86 0,86 0,63 0,63 PO10 Administrar los proyectos. 0,86 0,86 ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. 0,86 0,63 AI2 Adquirir y mantener software aplicativo. 0,86 0,86 0,63 0,63 AI3 Adquirir y mantener la infraestructura tecnológica. 0,63 0,86 0,63 0,63 AI4 Facilitar la operación y el uso. 0,86 0,86 0,63 0,63 0,63 0,63 AI5 Procurar recursos de TI. 0,63 0,86 0,63 AI6 Administrar los cambios. 0,86 0,86 0,86 0,86 0,63 AI7 Instalar y acreditar soluciones y cambios. 0,86 0,63 0,63 0,63 ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 DS2 Administrar los servicios de terceros. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 DS3 Administrar el desempeño y capacidad. 0,86 0,86 0,63 DS4 Asegurar el servicio continuo. 0,86 0,63 0,86 DS5 Garantizar la seguridad de los sistemas. 0,86 0,86 0,63 0,63 0,63 DS6 Identificar y asignar costos. 0,86 0,86

41 31 DS7 Educar y entrenar a los usuarios. 0,86 0,63 DS8 Administrar la mesa de servicio y los incidentes. 0,86 0,86 DS9 Administrar la configuración. 0,86 0,63 0,63 0,63 DS10 Administrar los problemas. 0,86 0,86 0,63 DS11 Administrar los datos. 0,86 0,86 DS12 Administrar el ambiente físico. 0,86 0,86 DS13 Administrar las operaciones. 0,86 0,86 0,63 0,63 MONITOREAR Y EVALUAR ME1 Monitorear y evaluar el desempeño de TI. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 ME2 Monitorear y evaluar el control interno. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 ME3 Garantizar el cumplimiento regulatorio. 0,86 0,63 ME4 Proporcionar gobierno de TI. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 TABLA 4. Impacto sobre los criterios de la información Realizado: Por el autor, Fuente: Documento COBIT 4.0 A continuación procedemos a elaborar las tablas de los procesos de madurez, tomando en cuenta la situación actual del Departamento de Sistemas del Gobierno Municipal de San Miguel de Urcuquí, analizado los riesgos tomados anteriormente. Para la realización de esta auditoría tomamos en cuenta todos los procesos de los dominios de COBIT.