Hallazgos, Criterios y Recomendaciones en TI basado en Cobit 4.1

HALLAZGO	CRITERIOS	RECOMENDACIONES
No cuenta con el MOF (Manual de Organización y Funciones) y/o no hace una correcta aplicación de éste.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI.), de acuerdo con el Objetivo de Control 4.6	No basta con tener dentro de la empresa un MOF, se debe desarrollar un MOF específico para el área de sistemas, y por otra parte, informar sobre este a todos los miembros del área de sistemas.
No cuenta con el ROF (Reglamento de Organización y Funciones )	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI.), de acuerdo con el Objetivo de Control 4.6	Se debe desarrollar el ROF para poder definir claramente las funciones que tienen los miembros del área.
No han definido correctamente el Plan Estratégico de TI	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 1 (Definir un Plan Estratégico de TI.), de acuerdo con el Objetivo de 4Control 1.4. Plan Estratégico de TI.	Se debe realizar el Plan Estratégico del Negocio de TI, porque es uno de los documentos organizacionales indispensables para la continuidad del negocio.
No han desarrollado una correcta alineación de Ti con respecto al negocio.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 1 (Definir un Plan Estratégico de TI.),	Deben difundir correctamente cada lineamiento de negocio hacia las áreas de la empresa.
No han definido y divulgado la correcta distribución de las estructuras organizacionales en un organigrama.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI), de acuerdo con el Objetivo de Control 4.5. (Estructura Organizacional). Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio.	Deben establecer y difundir la estructura organizacional de la empresa, para que los miembros de ésta conozcan su jerarquía de negocio.
Dependencia de una sola persona para una función de trabajo crítica.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir lo procesos, organización y relaciones de TI), de acuerdo con el Objetivo de Control 4.13. Personal Clave de TI.	Se debe compartir el conocimiento y difundirlo hacia todos los miembros del área de sistemas, para que no se centralice la experiencia y los conocimientos en una sola persona.
No cuenta con un plan de Contingencia	En conformidad con el primer dominio del estándar COBIT; Planeamiento y Organización (PO) en su Proceso 3 (Determinar la Dirección Tecnológica), PO3.1 Planeación de la Dirección Tecnológica. El plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura.	Se deben generar planes de contingencias para combatir cualquier conflicto inesperado
Cuentas de usuario con privilegios de administración en el sistema	En conformidad con el tercer dominio del estándar COBIT, en su objetivo de control DS5.4 Administración de Cuentas del Usuario, se menciona: “Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados …”	Se deben administrar de manera adecuada las cuentas de usuario
TI no cuenta con planes con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio	Según el cuarto dominio del estándar COBIT  ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control 4.2 Planes de Continuidad de TI	Se deben realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.
No se realizan capacitaciones hacia las partes involucradas respecto al proceso a seguir en caso de un incidente	Según el cuarto dominio del estándar COBIT  ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control  4.6 Entrenamiento del Plan de Continuidad de TI	Es imprescindible capacitar de forma frecuente al personal involucrado en el negocio, ante un posible incidente con la red
No existen manuales o documentos que permitan orientar al personal involucrado ante un incidente en la red.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control  4.6 Entrenamiento del Plan de Continuidad de TI	La generación de textos, con los pasos a seguir frente a un incidente ayuda de forma considerable a reducir el impacto de este.
No existe la configuración adecuada en el firewall que límite el  acceso remoto a los servidores.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 5 Garantizar la seguridad de los sistemas de acuerdo con el objetivo de control	Limitar el acceso a usuarios no autorizados por segmentos de red, minimiza el riesgo de intrusión a los servidores del negocio.
Presencia de recursos compartidos en red sin restricción de usuarios.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 5Garantizar la seguridad de los sistemas de acuerdo con el objetivo de control	Restringir el acceso de usuarios a información crítica, mejora el intercambio de información dentro de la organización
No cuentan con un marco de trabajo para la gestión de los servicios de TI ofrecidos según los niveles de servicios requeridos para el usuario final	Según el tercer dominio de COBIT (DS) en su proceso 1 Definir y administrar los niveles de servicio 1.1 Marco de trabajo de la Administración de los Niveles de servicio de TI.	Es necesario definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y prestador de servicio.
No se considera el monitoreo de la calidad de servicio o los niveles de servicio entregados al usuario final, ni el conocimiento de este al mismo.	Según el tercer dominio de COBIT (DS) en su proceso 1 Definir y administrar los niveles de servicio 1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio.	Es recomendable monitorear continuamente los criterios de desempeño y el nivel de servicio presentado al usuario final, y ser informado en un formato entendible a los interesados.
No existe procedimiento de clasificación de severidad e impacto o de escalamiento según incidencia	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.1 Mesa de Servicios	Debe trabajar estrechamente con los procesos de administración de incidentes, administración de capacidad y administración de disponibilidad.
No llevan registro de incidencias, reclamante, solución de los problemas reportados al área de TI.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.2 Registro de Consulta de Clientes	Es oportuno guardar las incidencias, reclamos, consultas o quejas de los usuarios finales
No cuentan con tablas de escalonamiento de incidentes o información de niveles de escalas para el usuario final.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.3 Escalamiento de incidentes	Es importante establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente según los niveles de servicio,
No generan reportes o guías de incidencias.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.3 Análisis de tendencias	Es recomendable la generación de reportes de la actividad de la mesa de ayuda. Medir el desempeño de servicios y tiempos de respuesta. Identificar tendencias de problemas recurrentes.
Se observó que las redes inalámbricas no son identificadas con el nombre de la empresa y el area al que pertenece	COBIT 4.1 - PO2 “Las herramientas automatizadas tienen que estar definidas formalmente, siguiendo un estándar.”	Indicar en el nombre de la red inalambrica la empresa y el area al que pertenece la red.
Encuentran problemas con el ancho de banda	COBIT 4.1 - PO2 “definir los sistemas apropiados para optimizar el uso de esta información”	Identificar el ancho de banda requerido e incrementarlo.
Según lo observado la sala no cuenta con sensores o sistemas que indiquen el aumento de temperatura en la sala de servidor	COBIT 4.1 - PO9, DS5 “El marco de trabajo documenta un nivel común y acordado de riesgos de TI y estrategias de mitigación”	Adquirir cámaras de seguridad e instalar sensores de calor, para asi poder recibir alertas en cuanto la temperatura cambie bruscamente.
Cualquier usuario que tenga la contraseña de la red inalámbrica, puede conectarse a la red	COBIT 4.1 - DS5	Se debe configurar en el router con las direcciones Mac de cada dispositivo inalámbrico, para que aun contando con la contraseña de la red, solo se puedan conectar si este está registrado
El sistema presenta constantes saturaciones	COBIT  PO8.3Estándar de desarrollo y de adquisición: Adoptar y mantener estándares para probación en puntos clave con base en criterios de aceptación acordados.	Se recomienda tener un mejor ancho de banda que cubra las satisfacciones de uso que tiene la organización.
Encuentran problemas con el ancho de banda	COBIT 4.1 - PO2 “definir los sistemas apropiados para optimizar el uso de esta información”	Identificar el ancho de banda requerido e incrementarlo
No se mantiene una vigilancia constante sobre cualquier acción en la red.	Según el cuarto  dominio del estándar COBIT; Monitorear y Evaluar  (ME), en su Proceso 2 (Monitorear y Evaluar el Control Interno.),	Se recomienda tener en vigilancia constante cualquier acción sobre la red, teniendo así un mejor control y monitoreo de esta, evitando el mal uso o la vulneración de la misma.
El sistema presenta constantes saturaciones	COBIT  PO8.3 Estándar de desarrollo y de adquisición: Adoptar y escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión e integración.	Se recomienda tener un mejor ancho de banda que cubra las satisfacciones de uso que tiene la organización.

EL MODELO DE CONTROL INTERNO COSO

MAPA CONCEPTUAL

ANOTACIONES SOBRE AUDITORÍA DE TIC

COBIT 4,1 y la administración del recurso humano en TIC. Referencia PO.07

Las organizaciones están compuestas de personas. El estudio de las personas constituye la unidad básica para el estudio de las organizaciones y principalmente del Área de Recursos Humanos. Para Thompson “el actor humano es un fenómeno multidimensional, sujeto a las influencias de una enormidad de variables”.

Cómo instalar Dropbox en un terminal Android.

1. Descarga la aplicación de Dropbox en tu terminal Android.

Dropbox es una aplicación que te permite guardar tus archivos en la nube. Tienes una capacidad de almacenamiento gratuita de hasta 2 GB. Puedes instalar su aplicación móvil en tu terminal Android y así tener acceso a la misma todo momento.

Entra en el 'Play Store' pulsando sobre su icono en la pantalla de tu teléfono. A continuación pulsa sobre el icono 'Buscar', en la esquina superior derecha. Escribe la palabra 'Dropbox' y a continuación haz clic sobre su icono. Ya sólo te queda pulsar sobre 'Descargar'.

2. Introduce tu nombre de usuario y tu contraseña de Dropbox.

Inicia la aplicación Dropbox pulsando sobre su icono, en la pantalla de tu terminal Android. Puesto que es la primera vez que usas el 'app' tiene que registrarte con tu nombre de usuario y contraseña.

Ten en cuenta que para usar Dropbox tienes que haberte dado de alta.

3. ¿Quieres más información?

Si quieres saber más entra en  'Aplicaciones Android', dentro de la categoría 'Internet y Ordenadores'. Por otra parte, también te recomendamos que consultes todo el contenido que al que puedas tener acceso sobre 'Dropbox' y sus aplicaciones en Android.

Evolución de los discos virtuales

Es un servicio bastante reciente, ya en funcionamiento. Primero surgieron servidores web donde la gente subía el archivo deseado y obtenía un enlace que le permitía bajárselo a cualquier persona desde cualquier ordenador. Algunos ejemplos de estos servicios son ImageShack, Megaupload, Mediafire. o Rapidshare.  Más recientemente han surgido iniciativas de servidores de correos como Google con su servicio Gmail o Windows con su servicio Windows Live, que dan al usuario una unidad virtual de disco duro para su propio uso.

Pero, aun se cree que el uso de los CD, DVD, discos duros USB, memorias flash USB, etc. perdurará por mucho tiempo, en especial las últimas.

Nueva Generación de Discos Virtuales

Con la presentación de [Windows 8] Consumer Preview, [Microsoft] Presento el nuevo formato .vhdx el cual elimina el límite de 2 TB y por defecto es extensible, es decir se extiende cuando lo necesita, esta función puede ser desactivada.

Otros Usos

Una unidad virtual se puede crear a partir de la memoria RAM (Disco RAM), utilizando una parte de esta como unidad de almacenamiento. También puede ser un lector de CD o DVD mediante un software emulador. Estos emuladores permiten montar un DVD o un CD directamente desde su imagen de disco, sin que se tenga que grabar físicamente. Se suele utilizar para instalar o hacer funcionar juegos y programas de ordenador, utilizando programas como Alcohol 120%, Daemon tools o Isobuster.

5 SERVICIOS DE DISCO DURO VIRTUAL CON PLANES GRATUITOS

1. DropBox es uno de los más populares. Se puede utilizar desde el navegador web o a través de su aplicación, disponible para numerosas plataformas móviles y sistemas operativos. Ofrece gratis hasta 3 GB de espacio.
2. SkyDrive de Microsoft. Basta con tener una cuenta de Windows Live (o Hotmail) para disponer de 25 GB de espacio gratuito. El tamaño de archivo se limita a 100 MB cada uno y la aplicación para integrarlo con el sistema operativo sólo está disponible para Windows.
3. OpenDrive ofrece 5 GB gratuitos con un límite de 100 MB por archivo. Disponible para   Mac, Windows y iPhone.
4. SpiderOak, 2 GB gratuitos. Además de almacenar, sincronizar y compartir archivos, cuenta con función de copia de seguridad automática para un número ilimitado de ordenadores Windows, Mac y Linux.
5. IDrive ofrece 5 GB de almacenamiento gratuito y dispone de aplicación compatible para con MWindows. También permite el acceso desde móviles iPhone y Android.

DISCO DURO VIRTUAL (VHD)

¿Qué es un disco virtual? 

Un disco duro virtual (VHD son sus siglas en inglés) es un espacio ofrecido por empresas para sus clientes como una solución al almacenamiento de datos. Emula a un disco duro/rígido de computadora/ordenador y gracias a la conexión a Internet, permite el acceso desde cualquier lugar por lo que dependen de un servidor para el almacenamiento de nuestros archivos en la WEB. 

Generalidades 

Este emulador de disco duro, funciona con algunas de las características de un disco duro externo, es una idea parecida a la de el alojamiento web (en inglés: web hosting) el cual es un servicio que provee a los usuarios de Internet un sistema para poder almacenar información, imágenes, vídeo, o cualquier contenido accesible vía web.  . Se utiliza para prevenir problemas informáticos, ya que permite tener la información guardada externamente al ordenador, móvil, pda habitual, en un servidor especialmente dedicado a eso. Además, se puede utilizar como sistema de backup. Existen diferentes tipos de discos virtuales, dependiendo qué emulan. Por ejemplo, se puede simular un discoduro usando como medio de almacenamiento la memoria RAM, obteniéndose así un disco ultrarrápido. También se puede simular un disco duro empleando un servicio de almacenamiento online. Por ejemplo, emplear una cuenta de Gmail (que ofrece varios GB de almacenamiento), como si se tratara de un disco duro local. En otros casos, se simula una unidad de DVD o CD empleando una aplicación emuladora. Esto permite utilizar una imagen de un CD/DVD (un archivo que contiene todos los datos del CD/DVD y que está almacenado en un disco duro) como si realmente se estuviese manipulando un CD/DVD. Esto permite ejecutar el CD/DVD exactamente como si se tuviese el disco óptico insertado en una lectora de CD/DVD, aunque no exista realmente. Ventajas. Algunas empresas ofrecen como servicio para sus clientes o como negocio para la gente un espacio virtual de almacenamiento. Utilizan como características principales para sus clientes  algunas de las siguientes... 

Ventajas:

• Compatibilidad con programas de aceleración de descargas.
• Subida múltiple de archivos.
• Sistema de progreso de subida.
• Usuarios anónimos pueden subir archivos.
• Diferentes niveles para cuando se tengan que compartir archivos.
• Continuación de transferencia interrumpida.
• Poder cambiar la descripción del archivo entre otras...

Desventajas.

• Debemos tener acceso a Internet para su uso.
• Debemos tener cuidado en el manejo de nuestras contraseñas. Ya que al igual que ocurre con nuestra cuenta de correo, la pérdida de la contraseña implica el no tener acceso a los datos, ya que los sistemas utilizados son bastante parecidos, y las posibilidades de recuperar estas contraseñas son bastante escasas.
• Dependiendo la cantidad de archivos en algunos casos el servicio es costoso
• Suelen existir limitaciones de acuerdo al proveedor y las plataformas o aplicaciones que el ofrece.  En el caso de apple se requieren dispositivos con iOS
• En muchos casos es lento el acceso de datos.

.