Hallazgos, Criterios y Recomendaciones en TI basado en Cobit 4.1

HALLAZGO	CRITERIOS	RECOMENDACIONES
No cuenta con el MOF (Manual de Organización y Funciones) y/o no hace una correcta aplicación de éste.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI.), de acuerdo con el Objetivo de Control 4.6	No basta con tener dentro de la empresa un MOF, se debe desarrollar un MOF específico para el área de sistemas, y por otra parte, informar sobre este a todos los miembros del área de sistemas.
No cuenta con el ROF (Reglamento de Organización y Funciones )	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI.), de acuerdo con el Objetivo de Control 4.6	Se debe desarrollar el ROF para poder definir claramente las funciones que tienen los miembros del área.
No han definido correctamente el Plan Estratégico de TI	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 1 (Definir un Plan Estratégico de TI.), de acuerdo con el Objetivo de 4Control 1.4. Plan Estratégico de TI.	Se debe realizar el Plan Estratégico del Negocio de TI, porque es uno de los documentos organizacionales indispensables para la continuidad del negocio.
No han desarrollado una correcta alineación de Ti con respecto al negocio.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 1 (Definir un Plan Estratégico de TI.),	Deben difundir correctamente cada lineamiento de negocio hacia las áreas de la empresa.
No han definido y divulgado la correcta distribución de las estructuras organizacionales en un organigrama.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir los Procesos, Organización y Relaciones de TI), de acuerdo con el Objetivo de Control 4.5. (Estructura Organizacional). Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio.	Deben establecer y difundir la estructura organizacional de la empresa, para que los miembros de ésta conozcan su jerarquía de negocio.
Dependencia de una sola persona para una función de trabajo crítica.	Según el primer dominio del estándar COBIT Planeamiento y Organización (PO) en su Proceso 4 (Definir lo procesos, organización y relaciones de TI), de acuerdo con el Objetivo de Control 4.13. Personal Clave de TI.	Se debe compartir el conocimiento y difundirlo hacia todos los miembros del área de sistemas, para que no se centralice la experiencia y los conocimientos en una sola persona.
No cuenta con un plan de Contingencia	En conformidad con el primer dominio del estándar COBIT; Planeamiento y Organización (PO) en su Proceso 3 (Determinar la Dirección Tecnológica), PO3.1 Planeación de la Dirección Tecnológica. El plan debe abarcar la arquitectura de sistemas, la dirección tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura.	Se deben generar planes de contingencias para combatir cualquier conflicto inesperado
Cuentas de usuario con privilegios de administración en el sistema	En conformidad con el tercer dominio del estándar COBIT, en su objetivo de control DS5.4 Administración de Cuentas del Usuario, se menciona: “Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados …”	Se deben administrar de manera adecuada las cuentas de usuario
TI no cuenta con planes con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio	Según el cuarto dominio del estándar COBIT  ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control 4.2 Planes de Continuidad de TI	Se deben realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.
No se realizan capacitaciones hacia las partes involucradas respecto al proceso a seguir en caso de un incidente	Según el cuarto dominio del estándar COBIT  ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control  4.6 Entrenamiento del Plan de Continuidad de TI	Es imprescindible capacitar de forma frecuente al personal involucrado en el negocio, ante un posible incidente con la red
No existen manuales o documentos que permitan orientar al personal involucrado ante un incidente en la red.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 4 Garantizar la Continuidad del Servicio  de acuerdo con el objetivo de control  4.6 Entrenamiento del Plan de Continuidad de TI	La generación de textos, con los pasos a seguir frente a un incidente ayuda de forma considerable a reducir el impacto de este.
No existe la configuración adecuada en el firewall que límite el  acceso remoto a los servidores.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 5 Garantizar la seguridad de los sistemas de acuerdo con el objetivo de control	Limitar el acceso a usuarios no autorizados por segmentos de red, minimiza el riesgo de intrusión a los servidores del negocio.
Presencia de recursos compartidos en red sin restricción de usuarios.	Según el cuarto dominio del estándar COBIT ENTREGAR Y DAR SOPORTE (DS) en su Proceso 5Garantizar la seguridad de los sistemas de acuerdo con el objetivo de control	Restringir el acceso de usuarios a información crítica, mejora el intercambio de información dentro de la organización
No cuentan con un marco de trabajo para la gestión de los servicios de TI ofrecidos según los niveles de servicios requeridos para el usuario final	Según el tercer dominio de COBIT (DS) en su proceso 1 Definir y administrar los niveles de servicio 1.1 Marco de trabajo de la Administración de los Niveles de servicio de TI.	Es necesario definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y prestador de servicio.
No se considera el monitoreo de la calidad de servicio o los niveles de servicio entregados al usuario final, ni el conocimiento de este al mismo.	Según el tercer dominio de COBIT (DS) en su proceso 1 Definir y administrar los niveles de servicio 1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio.	Es recomendable monitorear continuamente los criterios de desempeño y el nivel de servicio presentado al usuario final, y ser informado en un formato entendible a los interesados.
No existe procedimiento de clasificación de severidad e impacto o de escalamiento según incidencia	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.1 Mesa de Servicios	Debe trabajar estrechamente con los procesos de administración de incidentes, administración de capacidad y administración de disponibilidad.
No llevan registro de incidencias, reclamante, solución de los problemas reportados al área de TI.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.2 Registro de Consulta de Clientes	Es oportuno guardar las incidencias, reclamos, consultas o quejas de los usuarios finales
No cuentan con tablas de escalonamiento de incidentes o información de niveles de escalas para el usuario final.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.3 Escalamiento de incidentes	Es importante establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente según los niveles de servicio,
No generan reportes o guías de incidencias.	Según el tercer dominio de COBIT (DS) en su proceso 8 Administrar la mesa de servicios y los incidentes, 8.3 Análisis de tendencias	Es recomendable la generación de reportes de la actividad de la mesa de ayuda. Medir el desempeño de servicios y tiempos de respuesta. Identificar tendencias de problemas recurrentes.
Se observó que las redes inalámbricas no son identificadas con el nombre de la empresa y el area al que pertenece	COBIT 4.1 - PO2 “Las herramientas automatizadas tienen que estar definidas formalmente, siguiendo un estándar.”	Indicar en el nombre de la red inalambrica la empresa y el area al que pertenece la red.
Encuentran problemas con el ancho de banda	COBIT 4.1 - PO2 “definir los sistemas apropiados para optimizar el uso de esta información”	Identificar el ancho de banda requerido e incrementarlo.
Según lo observado la sala no cuenta con sensores o sistemas que indiquen el aumento de temperatura en la sala de servidor	COBIT 4.1 - PO9, DS5 “El marco de trabajo documenta un nivel común y acordado de riesgos de TI y estrategias de mitigación”	Adquirir cámaras de seguridad e instalar sensores de calor, para asi poder recibir alertas en cuanto la temperatura cambie bruscamente.
Cualquier usuario que tenga la contraseña de la red inalámbrica, puede conectarse a la red	COBIT 4.1 - DS5	Se debe configurar en el router con las direcciones Mac de cada dispositivo inalámbrico, para que aun contando con la contraseña de la red, solo se puedan conectar si este está registrado
El sistema presenta constantes saturaciones	COBIT  PO8.3Estándar de desarrollo y de adquisición: Adoptar y mantener estándares para probación en puntos clave con base en criterios de aceptación acordados.	Se recomienda tener un mejor ancho de banda que cubra las satisfacciones de uso que tiene la organización.
Encuentran problemas con el ancho de banda	COBIT 4.1 - PO2 “definir los sistemas apropiados para optimizar el uso de esta información”	Identificar el ancho de banda requerido e incrementarlo
No se mantiene una vigilancia constante sobre cualquier acción en la red.	Según el cuarto  dominio del estándar COBIT; Monitorear y Evaluar  (ME), en su Proceso 2 (Monitorear y Evaluar el Control Interno.),	Se recomienda tener en vigilancia constante cualquier acción sobre la red, teniendo así un mejor control y monitoreo de esta, evitando el mal uso o la vulneración de la misma.
El sistema presenta constantes saturaciones	COBIT  PO8.3 Estándar de desarrollo y de adquisición: Adoptar y escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión e integración.	Se recomienda tener un mejor ancho de banda que cubra las satisfacciones de uso que tiene la organización.