FACULTAD DE INGENIERÍA DE SISTEMASbibdigital.epn.edu.ec/bitstream/15000/2408/1/CD-3140.pdf ·...
139
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACÍON EN EL GOBIERNO MUNICIPAL DE SAN MIGUEL DE URCUQUÍ UTILIZANDO COMO MODELO DE REFERENCIA COBIT 4.0 PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN LLUMIHUASI QUISPE JUAN MIGUEL [email protected] DIRECTOR: ING. JAIME NARANJO [email protected] Quito, Septiembre 2010
Transcript of FACULTAD DE INGENIERÍA DE SISTEMASbibdigital.epn.edu.ec/bitstream/15000/2408/1/CD-3140.pdf ·...
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACÍON EN EL GOBIERNO MUNICIPAL DE SAN MIGUEL
DE URCUQUÍ UTILIZANDO COMO MODELO DE REFERENCIA COBIT 4.0
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
LLUMIHUASI QUISPE JUAN MIGUEL [email protected]
DIRECTOR: ING. JAIME NARANJO [email protected]
Quito, Septiembre 2010
ii
DECLARACIÓN
Yo, Juan Miguel Llumihuasi Quispe, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.
A través de la presente declaro ceder mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Juan Miguel Llumihuasi Quispe
iii
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Juan Miguel Llumihuasi
Quispe, bajo mi supervisión.
Ing. Jaime Naranjo
DIRECTOR DE PROYECTO
iv
AGRADECIMIENTOS
v
DEDICATORIA
vi
CONTENIDO
CAPÍTULO 1. ............................................................................................................................. 1
DEFINICIÓN DEL PROBLEMA Y JUSTIFICACIÓN DEL USO DE LA METODOLOGÍA .. 1
1.1 DEFINICIÓN DEL PROBLEMA .............................................................................................................. 1
1.2 JUSTIFICACIÓN DEL USO DEL MODELO DE REFERENCIA COBIT 4.0. .................................................... 4
1.3 CRITERIOS DE INFORMACIÓN DE COBIT ............................................................................................. 5 1.3.1 RECURSOS DE TI. ....................................................................................................................... 6 1.3.2 MARCO DE TRABAJO GENERAL DE COBIT ................................................................................... 6 1.3.3 CONCLUSIÓN............................................................................................................................. 9
CAPITULO 2. ...........................................................................................................................10
AUDITORÍA DE LA GESTIÓN DE TI ...................................................................................10
2.1 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE SISTEMAS .................................................................... 10 2.1.1 PLAN ESTRATÉGICO DEL DEPARTAMENTO DE SISTEMAS .......................................................... 10 2.1.2 ESTRUCTURA ORGANIZACIONAL DEL GMU .............................................................................. 13 2.1.3 INFRAESTRUCTURA TECNOLÓGICA .......................................................................................... 14
2.2 REALIZACIÓN DE LA AUDITORÍA ......................................................................................................... 26 2.2.1 OBJETIVOS DE LA AUDITORÍA........................................................................................................ 26 2.2.2 MODELOS DE MADUREZ ............................................................................................................... 26
CAPITULO 3. ...........................................................................................................................86
INFORMES DE AUDITORÍA .................................................................................................86
3.1 INFORME PRELIMINAR .................................................................................................................... 86
3.2 INFORME TÉCNICO........................................................................................................................... 87
3.3 INFORME EJECUTIVO ..................................................................................................................... 109
CAPITULO 4. ........................................................................................................................ 114
CONCLUSIONES Y RECOMENDACIONES ....................................................................... 114
4.1 CONCLUSIONES. ............................................................................................................................. 114
4.2 RECOMENDACIONES. ..................................................................................................................... 115
vii
INDICE DE TABLAS
TABLA 1. MODELO DE MADUREZ GENÉRICO ............................................................................................................. 28 TABLA 2. RESUMEN DE LOS OBJETIVOS DE CONTROL DE COBIT ...................................................................... 29 TABLA 3. PROMEDIO DE IMPACTOS .............................................................................................................................. 29 TABLA 4. IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN .................................................................... 31 TABLA 5. MODELO DE MADUREZ PO1 .......................................................................................................................... 32 TABLA 6. MODELO DE MADUREZ PO2 .......................................................................................................................... 33 TABLA 7. MODELO DE MADUREZ PO3 .......................................................................................................................... 34 TABLA 8. MODELO DE MADUREZ PO4 .......................................................................................................................... 35 TABLA 9. MODELO DE MADUREZ PO5 .......................................................................................................................... 36 TABLA 10. MODELO DE MADUREZ PO6........................................................................................................................ 37 TABLA 11. MODELO DE MADUREZ PO7........................................................................................................................ 38 TABLA 12. MODELO DE MADUREZ PO8........................................................................................................................ 39 TABLA 13. MODELO DE MADUREZ PO9........................................................................................................................ 40 TABLA 14. MODELO DE MADUREZ PO10 ..................................................................................................................... 41 TABLA 15. MODELO DE MADUREZ AI1 ......................................................................................................................... 42 TABLA 16. MODELO DE MADUREZ AI2 ......................................................................................................................... 43 TABLA 17. MODELO DE MADUREZ AI3 ......................................................................................................................... 44 TABLA 18. MODELO DE MADUREZ AI4 ......................................................................................................................... 45 TABLA 19. MODELO DE MADUREZ AI5 ......................................................................................................................... 46 TABLA 20. MODELO DE MADUREZ AI6 ......................................................................................................................... 47 TABLA 21. MODELO DE MADUREZ AI7 ......................................................................................................................... 48 TABLA 22. MODELO DE MADUREZ DS1 ........................................................................................................................ 49 TABLA 23. MODELO DE MADUREZ DS2 ........................................................................................................................ 50 TABLA 24. MODELO DE MADUREZ DS3 ........................................................................................................................ 51 TABLA 25. MODELO DE MADUREZ DS4 ........................................................................................................................ 52 TABLA 26. MODELO DE MADUREZ DS5 ........................................................................................................................ 53 TABLA 27. MODELO DE MADUREZ DS6 ........................................................................................................................ 54 TABLA 28. MODELO DE MADUREZ DS7 ........................................................................................................................ 55 TABLA 29. MODELO DE MADUREZ DS8 ........................................................................................................................ 56 TABLA 30. MODELO DE MADUREZ DS9 ........................................................................................................................ 57 TABLA 31. MODELO DE MADUREZ DS10 ..................................................................................................................... 58 TABLA 32. MODELO DE MADUREZ DS11 ..................................................................................................................... 59 TABLA 33. MODELO DE MADUREZ DS12 ..................................................................................................................... 60 TABLA 34. MODELO DE MADUREZ DS13 ..................................................................................................................... 61 TABLA 35. MODELO DE MADUREZ ME1 ....................................................................................................................... 62 TABLA 36. MODELO DE MADUREZ ME2 ....................................................................................................................... 63 TABLA 37. MODELO DE MADUREZ ME3 ....................................................................................................................... 64 TABLA 38. MODELO DE MADUREZ ME4 ....................................................................................................................... 65 TABLA 39. RESULTADO NIVELES DE MADUREZ ....................................................................................................... 81 TABLA 40. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO ............................... 83 TABLA 41. CONCLUSIÓN IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN .................................. 108
viii
INDICE DE FIGURAS
FIGURA 1 ÁREAS FOCALES DEL GOBIERNO DE TI .......................................................................................................4 FIGURA 2 MARCO GENERAL DE TRABAJO DE COBIT .................................................................................................7 FIGURA 3 UBICACIÓN DE LA UNIDAD DE SERVICIOS INFORMATICOS ............................................................. 11 FIGURA 4 ESTRUCTURA ORGANIZACIONAL ............................................................................................................... 14 FIGURA 5 DIAGRAMA DE RED PLANTA BAJA ............................................................................................................. 15 FIGURA 6 DIAGRAMA DE RED PRIMER PISO .............................................................................................................. 16 FIGURA 7. IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN .................................................................. 85 FIGURA 8. CRITERIO DE LA INFORMACIÓN EFECTIVIDAD ................................................................................ 110 FIGURA 9. CRITERIO DE LA INFORMACIÓN EFICIENCIA ..................................................................................... 111 FIGURA 10. CRITERIO DE LA INFORMACIÓN CONFIDENCIALIDAD ................................................................ 111 FIGURA 11. CRITERIO DE LA INFORMACIÓN INTEGRIDAD ............................................................................... 112 FIGURA 12. CRITERIO DE LA INFORMACIÓN DISPONIBILIDAD ....................................................................... 112 FIGURA 13. CRITERIO DE LA INFORMACIÓN CUMPLIMIENTO ......................................................................... 112 FIGURA 14. CRITERIO DE LA INFORMACIÓN CONFIABILIDAD ......................................................................... 113
ix
RESUMEN
Se ha desarrollado una auditoría de las TI al Gobierno Municipal de San Miguel
de Urcuquí, con el fin de aportar con posibles soluciones a inconvenientes que se
encuentren en este estudio.
Esta tesis cuenta con cuatro capítulos.
Capitulo 1, en este capítulo se encuentra la definición del problema, así como la
justificación de la metodología utilizada la cual es COBIT 4.0., mostrando cada
uno de los criterios de la información que son vitales en una empresa.
Capitulo 2, en este capítulo se analiza la situación actual del departamento de
sistemas, mediante entrevistas al jefe de este, analizamos el plan estratégico,
estructura organizacional e infraestructura tecnológica, para luego proceder a la
realización de la auditoría, mediarte los modelos de madurez evaluando los
procesos correspondientes.
Capitulo 3, Se presentan los resultados de la auditoría realizadas mediante un
informe preliminar, un informe técnico y un ejecutivo.
Capitulo 4, se procede a realizar las conclusiones y recomendación respectivas
de esta auditoría.
x
INTRODUCCIÓN
En la actualidad, Las organizaciones exitosas entienden los beneficios de las
Tecnologías de Información (TI) y usan este conocimiento para conducir el valor
de sus beneficiarios. Por lo tanto se realiza una auditoría informática en el
Gobierno Municipal de San Miguel de Urcuquí que se tome muy en cuenta la
dependencia crítica de muchos procesos de negocios sobre las TI, el objetivo
cumplir con los crecientes requerimientos regulatorios y los beneficios de
administrar los riesgos efectivamente, se utiliza como modelo de referencia
COBIT 4.0, mediante la evaluación de 34 procesos que define esta
metodología, agrupados en 4 dominios, (Planear y organizar, Adquirir e
implementar, entregar y dar soporte , Monitorear y evaluar), estos procesos son
ubicados en los niveles de madurez en los cuales se encuentran en la
actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT
4.0, mediante este trabajo se pretende solucionar varios problemas en la
entrega de servicios a los habitantes de Urcuquí.
CAPÍTULO 1.
DEFINICIÓN DEL PROBLEMA Y JUSTIFICACIÓN DEL
USO DE LA METODOLOGÍA
1.1 DEFINICIÓN DEL PROBLEMA
De acuerdo a las entrevistas realizadas al Ing. Daniel López, Jefe del
Departamento de Sistemas del Gobierno Municipal de San Miguel de Urcuquí, se
puede definir como problemas fundamentales en el área de de sistemas los
siguientes:
En el Gobierno Municipal de San Miguel de Urcuquí, se utiliza los sistemas
Olympo, el cual es utilizado por el sector financiero del Gobierno, El sistema
A.M.E. encargado de la comercialización y servicios que se presta al cantón, el
sistema A.M.E. cuenta con dos subsistemas los cuales son: COSEM, encargado
de todo lo referente a la administración del agua potable, y SIC que es el
encargado de llevar la administración de los catastros, El problema surge pues los
dos sistemas no trabajan juntos es decir la información del un A.M.E no es
compartida a Olympo, en esta auditoría se pretende demostrar la necesidad de
que los dos sistemas y los dos subsistemas trabajen juntos.
El Gobierno Municipal cuenta con una infraestructura de red completa, la cual
varía dependiendo de la creación de nuevos departamentos, sin un previo estudio
de la topología, también se presta el servicio de dotación de internet mediante
radio enlace a los a las Instituciones Educativas del Cantón, denominado
“Proyecto Infocentro” este servicio es administrado por el departamento de
sistemas del Gobierno Municipal.
Existe un Plan Informático el cual aun no es puesto en práctica, puesto que se
trabaja a medida como sucedan los eventos, por lo cual no se cuenta con un plan
de respaldos estos se realizan una vez por semana o cuando se los necesite.
2
En cuanto a la Seguridad Física y Lógica del departamento informático, cuentan
con un firewall (Software) el cual es el único que controla el trafico y demás
factores de riesgo lógico en el Gobierno Municipal, no existen planes de
capacitación a los usuarios de los sistemas, por lo tanto la manipulación de estos
es intuitiva y a menudo producen daños al software con el que cuenta el Gobierno
Municipal, y también al hardware por la incorrecta manipulación de los equipos
informáticos.
En cuanto a la seguridad del “Proyecto Infocentro” presenta la seguridad lógica
mediante el control de enlaces por direcciones Mac, se trabaja bajo dos
frecuencias, y no existe seguridades físicas, pues el sitio donde se encuentran
alojados los puntos de repetición están a la intemperie, y esto puede producir el
robo de hardware, así como la destrucción de este sea por consecuencias
naturales o vandalismo, no hay UPS en los puntos de repetición, por tal motivo en
el instante en que falle el suministro de energía eléctrica los equipos se apagan
bruscamente lo que puede producir que estos sufra daños permanentes en su
funcionamiento, de igual manera esto sucede en el Gobierno Municipal, el cual no
cuenta con una planta de energía eléctrica propia para brindar soporte y un mejor
servicios a los habitantes del Cantón, por lo que cuando existen cortes de energía
la mayor parte de los servicios que presta el Gobierno Municipal se suspenden,
de igual manera como lo sucedido en los puntos de repetición este inconveniente
a veces causa daños irreparables en el equipamiento informático.
Al realizar esta auditoría al Gobierno Municipal de San Miguel de Urcuquí, se
definirán controles que permitan disminuir los riesgos informáticos, se identificarán
los posibles problemas técnicos en el departamento de las TI, para dar la correcta
solución a estos, de una manera óptima, estos objetivos los realizaremos
ejecutando un análisis crítico de los procesos, tareas y actividades que se realizan
en TI, mediante este análisis se realizará la evaluación de la infraestructura
informática del Gobierno Municipal de San Miguel de Urcuquí.
Al aplicar las directrices planteadas sobre el “Plan Estratégico del GMU”,
relacionando las metas del negocio con las TI, se tendrá una unión eficaz entre
3
los procesos del negocio y los sistemas de información lo cual contribuirá al
bienestar del cantón, con la optimización del tiempo del contribuyente al realizar
trámites de los servicios municipales en el GMU, esto mediante el correcto
mantenimiento de los sistemas de uso general, y privados, brindando
organización en las actividades del GMU, también se pretende que la
municipalidad goce de prestigio, confianza en los tramites, credibilidad en la
calidad de los servicios mediante la transparencia de estos y que la información
para la ciudadanía y de uso interno se encuentre disponible 24/7, y sea integra.
Se brindará apoyo en la toma de decisiones en la elaboración de planes de
desarrollo estratégico, presupuestos participativos cantonales, proyectos
parroquiales, así como en la modernización de las operaciones y servicios
brindados.
4
1.2 JUSTIFICACIÓN DEL USO DEL MODELO DE REFERENCIA
COBIT 4.0.
Para la realización de esta auditoría se toma como marco de referencia COBIT
4.0, el cual es un marco de gobernabilidad de TI y un conjunto de herramientas de
ayuda que permite a los administradores tener en cuenta y asociar los conceptos
de requerimientos de control, consideraciones técnicas y riesgos del negocio.
Este conjunto de las mejores prácticas permiten evaluar la seguridad, eficacia,
calidad y eficiencia de las TI., mediante esto se determinan los riesgos, tener una
gestión efectiva de los recursos, medir el desempeño y cumplimiento de metas, y
de manera principal medir el nivel de madurez de los procesos de la organización.
COBIT satisface las necesidades que tiene la organización en lo referente a las TI
de la siguiente manera:
• Tomando en cuenta los requerimientos del negocio.
• Mediante el modelo de procesos organiza las actividades de TI.
• Identifica los recursos de TI prioritarios a ser utilizados.
• Definiendo los controles de TI.
El la (figura 1) se muestra como COBIT da soporte al gobierno de las TI
FIGURA 1 ÁREAS FOCALES DEL GOBIERNO DE TI
Fuente: Documento COBIT 4.0
5
• Alineación Estratégica.- Garantiza la relación entre los Planes de Negocio y
TI.
• Entrega de Valor.- Asegurar que TI entregue todos los beneficios
pronosticados en la estrategia
• Administración de Recursos.- Se refiere a la administración óptima de los
recursos críticos.
• Administración de Riesgos.- Tener muy en cuenta por parte de los altos
ejecutivos de la empresa los riesgos a los cuales esta comprometida esta.
• Medición del Desempeño.- Monitorea y rastrea la estrategia de
implementación, el uso de recursos, la terminación del proyecto,
desempeño de procesos y la entrega del servicio.
1.3 CRITERIOS DE INFORMACIÓN DE COBIT
Realizando el análisis del negocio para satisfacer los objetivos de este, para
asegurar los requerimientos de calidad, fiduciarios y seguridad, se tiene los
siguientes criterios:
• Efectividad.- La información debe de ser relevante y pertinente a los
procesos del negocio y debe ser entregada de manera oportuna, correcta,
consistente y utilizable.
• Eficiencia.- La información debe ser generada de manera óptima enfocada
en los recursos (Más productivo y económico).
• Confidencialidad.- Proteger la información sensible contra una divulgación
no autorizada.
• Integridad.- La información debe estar de forma concreta y precisa y su
validez de acurdo a los valores y expectativas del negocio.
• Disponibilidad.- La información debe estar disponible cuando los procesos
del negocio lo requieran, así como la protección de los recursos necesarios
y capacidades asociadas.
6
• Cumplimiento.- Acatar leyes, reglamentos y acuerdos contractuales a los
cuales están sujetos los procesos del negocio, por ejemplo políticas
internas.
• Confiabilidad.- Proporcionar a la gerencia la información apropiada para
que sea utilizada en la correcta administración de la entidad.
1.3.1 RECURSOS DE TI.
Para el cumplimiento de los objetivos del negocio COBIT toma en cuenta los
siguientes recursos de TI, los cuales son de ayuda para constituir la arquitectura
empresarial de TI.
• Aplicaciones.- Se toman en cuenta sistemas de usuario automatizados así
como los procedimientos manuales que son usados para el procesamiento
de la información.
• Información.- Son los datos en todas sus formas de entrada, los cuales
son procesados y generados por los sistemas de información.
• Infraestructura.- Contempla la tecnología e instalaciones (Hardware,
sistemas operativos, sistemas de administración de bases de datos, redes,
multimedia, etc. así como el sitio donde se encuentran y el lugar que los
soporta) permitiendo el procesamiento de aplicaciones.
• Personas.- Es el recurso humano encargado de planear, organizar,
adquirir, implementar, entregar, soportar, monitorear, evaluar los sistemas
y los servicios de información, este recurso puede ser contratados o
outsourcing, internas o de acuerdo como lo requiera la organización.
1.3.2 MARCO DE TRABAJO GENERAL DE COBIT
En la (figura 2) se muestra en marco de trabajo general de COBIT, el cual está
compuesto de cuatro dominios que contienen 34 procesos genéricos,
administrando los recursos de TI para proporcionar información al negocio de
acuerdo con los requerimientos del negocio y de gobierno.
7
FIGURA 2 MARCO GENERAL DE TRABAJO DE COBIT
Fuente: Documento COBIT 4.0
A continuación se lista los cuatro dominios existentes en Cobit, con sus
respectivos procesos.
8
PLANEAR Y ORGANIZAR
• PO1 Definir un plan estratégico de TI
• PO2 Definir la arquitectura de la información
• PO3 Determinar la dirección tecnológica
• PO4 Definir los procesos, organización y relaciones de TI
• PO5 Administrar la inversión en TI
• PO6 Comunicar las aspiraciones y la dirección de la gerencia
• PO7 Administrar recursos humanos de TI
• PO8 Administrar la calidad
• PO9 Evaluar y administrar los riesgos de TI
• PO10 Administrar proyectos
ADQUIRIR E IMPLEMENTAR
• AI1 Identificar soluciones automatizadas
• AI2 Adquirir y mantener software aplicativo
• AI3 Adquirir y mantener infraestructura tecnológica
• AI4 Facilitar la operación y el uso
• AI5 Adquirir recursos de TI
• AI6 Administrar cambios
• AI7 Instalar y acreditar soluciones y cambios
ENTREGAR Y DAR SOPORTE
• DS1 Definir y administrar los niveles de servicio
• DS2 Administrar los servicios de terceros
• DS3 Administrar el desempeño y la capacidad
• DS4 Garantizar la continuidad del servicio
• DS5 Garantizar la seguridad de los sistemas
• DS6 Identificar y asignar costos
• DS7 Educar y entrenar a los usuarios
• DS8 Administrar la mesa de servicio y los incidentes
• DS9 Administrar la configuración
• DS10 Administrar los problemas
9
• DS11 Administrar los datos
• DS12 Administrar el ambiente físico
• DS13 Administrar las operaciones
MONITOREAR Y EVALUAR
• ME1 Monitorear y evaluar el desempeño de TI
• ME2 Monitorear y evaluar el control interno
• ME3 Garantizar el cumplimiento regulatorio
• ME4 Proporcionar gobierno de TI
1.3.3 CONCLUSIÓN
Las organizaciones exitosas toman en cuenta los beneficios que prestan las TI a
la consecución de sus metas, por lo tanto para alcanzar las metas de Gobierno
Municipal de San Miguel de Urcuquí manteniendo un control adecuado de las
tecnologías de la información y que estas sean de beneficio a la organización, se
toma como modelo de referencia COBIT 4.0 la cual toma muy en cuenta los
principales componentes de la administración de las tecnologías de la
información, y mediante el enfoque interno dirigido a las área de TI de la
organización se puede lograr el objetivo de llevar un correcto control interno de la
organización, puesto que este modelo de referencia que contiene políticas claras
y buenas prácticas para establecer controles y seguridades sobre los sistemas de
tecnologías de la información, es independiente de la tecnología y no se
encuentra orientado a una sola plataforma por esto es de mucha utilidad para
auditores así como para administradores de TI y alta gerencia.
La metodología COBIT es parte del silabo propuesto en la materia de Auditoría y
Evaluación de Sistemas Informáticos, dictada en la carrera de Ingeniería en
Sistemas requisito para la obtención del título de Ingeniero en Sistemas, por lo
tanto tenemos una guía útil en la elaboración de este proyecto de titulación.
10
CAPITULO 2.
AUDITORÍA DE LA GESTIÓN DE TI
2.1 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE SISTEMAS
2.1.1 PLAN ESTRATÉGICO DEL DEPARTAMENTO DE SISTEMAS
El Departamento Informático del Gobierno Municipal de San Miguel de Urcuquí,
no presenta un a Plan Estratégico definido, pero tiene entre sus documentos
aprobados en última asamblea, los objetivos de dicho departamento son los
siguientes.
OBJETIVOS:
• Elaborar, planificar y ejecutar el mantenimiento preventivo y correctivo a
nivel de Hardware como de Software.
• Preparar las especificaciones técnicas y funcionales de las aplicaciones
para la adquisición de paquetes pre elaborados, o para contratar el
desarrollo externo de los sistemas, utilizando las metodologías aprobadas
por la municipalidad.
• Brindar capacitación continua a los usuarios de paquetes informáticos pre
elaborado, externo adquirido, de desarrollo interno, ofimáticos, etc. para
contribuir en la optimización de recursos y tiempo empleado en los
procesos que estos realizan.
• Desarrollar u optimizar software para satisfacer las necesidades
tecnológicas inmediatas de la municipalidad.
Las funciones globales que desempeña este departamento es la siguiente:
• Implementar y administrar un sistema de información institucional que
permita el flujo de información interna.
11
• Planificación y desarrollo de Sistemas y Servicios Informáticos.
• Administración de Hardware, Software y Redes de comunicación.
• Velar por la integridad y permanente integración de los datos y sistemas de
información de la Municipalidad.
UBICACIÓN:
La Unidad de Servicios Informáticos se encuentra ubicada en el Cantón de
Urcuquí, en el primer piso de la Municipalidad, desde ahí presta sus servicios a la
red interna, y a su vez cualquier consulta de unidades educativas que reciben el
servicio de internet por parte del Municipio.
En la (Figura 3) se muestra la ubicación física del la Unidad de Servicios
Informáticos.
FIGURA 3 UBICACIÓN DE LA UNIDAD DE SERVICIOS INFORMATICOS
Fuente: Gobierno Municipal de San Miguel de Urcuquí
FUNCIONES DEL DEPARTAMENTO:
Las funciones específicas que desempeña este departamento son las siguientes
• Planificar, desarrollar, dirigir y controlar el desarrollo, mantenimiento,
operación y optimización de los sistemas de información del Municipio.
12
• Proponer y velar por la aplicación de estrategias y políticas institucionales,
para fortalecer el desarrollo de tecnologías de Información (IT) a corto,
mediano y largo plazo.
• Formular, ejecutar y actualizar el plan estratégico del sistema de
información del Municipio, con base al estudio permanente de las
necesidades de todos los niveles y áreas, en coordinación con cada una de
las direcciones.
• Asesorar, administrar y proporcionar con oportunidad, el soporte
tecnológico necesario al personal vinculado con los sistemas informáticos
de las diferentes unidades del Municipio parta solucionar problemas
emergentes, asegurando la adecuada y óptima utilización y mantenimiento
de los mismos.
• Recomendar la adquisición de hardware, software básico y software de
aplicaciones conveniente y necesario para optimizar la gestión operativa y
administrativa de la municipalidad, señalando las especificaciones técnicas
básicas.
• Proporcionar mecanismos de seguridad lógica y física del ambiente de
hardware y software de la municipalidad.
• Administrar y precautelar la calidad de la red de procesamiento de datos
del Municipio a fin de maximizar la disponibilidad de las aplicaciones y
garantizar tiempos de respuesta adecuados en el procesamiento de
transacciones acorde con los recursos utilizados por las mismas.
• Mantener actualizado el inventario y distribución del software, hardware
propio y externo o adquirido así como la documentación técnica y de
usuario de la municipalidad.
• Desarrollar y mantener actualizados los sistemas de información,
investigación y estadísticas institucionales en materia administrativa y
financiera, de tal forma que apoyen los procesos de planificación,
programación, ejecución, regulación y evaluación de las actividades del
Municipio, en todos sus niveles, así como sus procesos de decisión.
• Coordinar la implantación de los sistemas de información desarrollados
internamente y supervisar la implantación de paquetes adquiridos o
13
desarrollados externamente, siguiendo los procedimientos establecidos
para el efecto.
• Promover la utilización de tecnología avanzada relacionada tanto con
Hardware como con Software.
• Programar, ejecutar y supervisar los procesos de mantenimiento preventivo
y correctivo de los equipos computacionales, de telecomunicación y
auxiliares.
• Planificar y mantener actividades de Back-Up (copias de respaldo)
periódicos en medios físicos de almacenamiento masivo idóneos de los
sistemas de información de la municipalidad.
• Actualizar permanentemente el sitio Web del Municipio.
• Establecer las políticas y estándares informáticos acordes a las normas
internacionales y los requerimientos de la municipalidad.
• Asesorar en la implementación de hardware y software considerados por la
municipalidad.
• Elaborar y ejecutar los programas de capacitación en el área de informática
a ser implementados en el municipio.
2.1.2 ESTRUCTURA ORGANIZACIONAL DEL GMU
ESTRUCTURA ORGANIZACIONAL
La Unidad de Servicios Informáticos se encuentra dentro de la Dirección
Administrativa, con el fin de ayudar al cumplimiento de los objetivos y metas
planteadas por esta dirección en beneficio del Gobierno Municipal de San Miguel
de Urcuquí y por ende del Cantón a la cual representa.
En la (figura 4) se muestra la estructura básica.
14
FIGURA 4 ESTRUCTURA ORGANIZACIONAL
Fuente: Gobierno Municipal de San Miguel de Urcuquí
2.1.3 INFRAESTRUCTURA TECNOLÓGICA
HARDWARE
El inventario del hardware se encuentra en el Anexo 1.
15
SOFTWARE
En lo referente a software se cuenta con:
• Software base de Windows XP.
• Windows 2003 Server R2.
• Utilitarios.
• Olympo.- utilizado en el sector financiero.
• El sistema A.M.E. encargado de la comercialización y servicios, el cual a su
vez cuenta con dos subsistemas COSEM, encargado de la administración
del agua potable, y SIC encargado de la administración de los catastros,
cabe destacar que solo los sistemas Olympo y A.M.E cuentan con
licencias, pues los demás sistemas no son licenciados.
INTERCONECTIVIDAD.
Para mantener enlazada en una sola red a todo el sistema computacional del
GMU, en el planta baja se cuenta con dos Swicht, los cuales comunican de
manera hotizontal los equipos de computo de este sector, un swicht se conecta
con el RAC que se encuentra en el primer piso en cual cuenta igual con 2 swicht
para la comunicación de los equipos de cómputo, y mediante un router wireless
marca TrendNet, los empleados del GMU cuentan con el servicio de internet.
En las (Figura 5, Figura 6) se muestra los diagramas de red correspondientes:
FIGURA 5 DIAGRAMA DE RED PLANTA BAJA
Fuente: Gobierno Municipal de San Miguel de Urcuquí
16
Otro
59 m cuadr
Otro
6 m cuadr
Arriba
Arr iba
Salón Múltiple
Dep. Jurídico
Dep. Cultura
Dir. Cultura
Ar rib a
Oficina Presidenta
del Patronato
Dirección Financiera
Contabilidad
Tesorería
Arr iba
Secretaría
Salón de Sesiones
Alcaldía
FIGURA 6 DIAGRAMA DE RED PRIMER PISO
Fuente: Gobierno Municipal de San Miguel de Urcuquí
RECURSOS HUMANOS TÉCNICOS.
La Unidad de Servicios Informáticos solo es administrada por el jefe del
departamento, se cuenta con RRHH de apoyo los cuales son pasantes asignados
por la Universidad Técnica del Norte, así como pasantes del Colegio Nacional
Técnico Urcuquí, los cuales se encargan en su mayor parte de brindar el apoyo
en soporte a usuarios en las aplicaciones y dudas que estos tengan.
SEGURIDADES
Para realizar el análisis de seguridades nos basamos en la norma ISO27001 –
2005
Este estándar contiene 11 controles de seguridad clasificados de la siguiente
forma que se encuentran en su anexo A:
Los controles se encuentran detallados de la misma manera y numeración que
mantiene la norma:
17
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
Política de seguridad
• La Unidad de Servicios Informáticos no cuenta con políticas de seguridad
definidas, no obstante el GMU está consciente de la creación de estas
políticas para lo cual se encuentran en un estudio previo a ser aprobado
en asamblea para la aceptación de este.
Organización de la información de seguridad
Organización interna:
• La dirección informática tiene en cuenta el compromiso de elaborar
cronogramas de actividades, coordinar responsabilidades.
Partes externas:
• No se mantiene actualizada la cadena de contactos externos o internos al
GMU, es decir no se existe una sencilla base de datos que es lo
recomendable para mantener la influencia de estas personas, ya sea como
sus responsabilidades, necesidades, riesgos, activos, o modificaciones de
la información de los proveedores de los servicios.
Administración de recursos
Responsabilidad en los recursos:
18
La Unidad de Servicios Informáticos cuenta con un inventario detallado de
hardware no así de software instalado, se tiene un inventario con las
configuraciones de red, los inventarios no tienen un formato en particular
• Los equipos no se encuentran asignados por usuarios, estos están
asignados por departamentos y se aumenta equipos de acuerdo a la
necesidad.
• Los activos del GMU que deben ser inventariados por el Jefe del
departamento de sistema son:
§ Activos de software ya sean estos de sistema o de aplicación.
§ Activos de información, como bases de datos, convenios, acuerdos,
contratos, manuales de usuario, material de capacitación, información
confidencial.
§ Activos físicos como medios de comunicación, medios de respaldo
físicos, equipos de cómputo adquiridos y dados de baja.
Clasificación de la información
• No se posee reglas definidas en lo referente al uso de la información y
equipos de cómputo, por lo consiguiente la información del GMU no se
encuentra clasificada de forma óptima para agilitar los procesos.
Seguridad de los recursos humanos
Antes del empleo:
• Se debe definir de forma eficiente las responsabilidades y roles así como
los términos y condiciones de empleo todo esto durante el proceso de
contratación.
Durante el empleo:
• En la Unidad de Servicios Informáticos no se encuentran definidos los roles
puesto que es solo una persona la encargada de llevar la administración de
esta, y los demás integrantes son pasantes los cuales no se encuentran de
forma permanente en el área, por lo tanto las actividades las realizan de
acuerdo a la presencia de los involucrados y las necesidades que se
presenten en ese momento.
19
• No se tiene una capacitación a los usuarios por departamento de la
seguridad de la información así como riesgos que se pueden presentar si
no se cumplen estos, es decir un plan de formación del nuevo personal.
Finalización o cambio de empleo:
• No existe un correcto control de entrega de recursos por parte del ex
empleado, se lleva muy en cuenta lo referente a la finalización de
responsabilidades del antes mencionado.
• Para la consecución de estos controles se debe tomar muy en cuenta la
cooperación entre el departamento de RRHH y la Unidad de Servicios
Informáticos, los cuales son los responsables de la seguridad de la
información del GMU.
Seguridad física y del entorno
Áreas de seguridad.
• El acceso físico a terceras personas se realiza por las puertas principales,
para lo cual el guardia realiza una inspección a la entrada y salida del GMU
de las pertenecías de las personas propias y externas al municipio.
• No se cuenta con un área de entrega y carga de equipos de cómputo, o
zonas de mantenimiento de estas.
• Una vez situados en la Unidad de Servicios Informáticos, no existe una
seguridad básica salvo el control visual por parte de los pasantes o Jefe de
Departamento.
Seguridad de elementos.
• No existen medidas de protección contra incendios, salvo el método de
evacuación del recurso humano.
• No se tiene un correcto empleo del material informático, ya sea como
hardware permitido, aplicaciones permitidas, seguridades físicas de los
equipos, conexiones eléctricas.
20
• La salida de materiales informáticos así como la entrada de estos se las
verifica mediante el guardia el cual no tiene capacitación adecuada para
verificar los dispositivos de dichos materiales o su valor intrínseco.
• En cuanto a las seguridades de red, el cableado se encuentra asegurado
mediante canales, no se posee un cuarto adecuado de servidores.
Administración de las comunicaciones y operaciones.
Procedimientos operacionales y responsabilidades.
• No se posee un plan de correcta manipulación de la información, para
documentar procedimientos del uso de la información por parte de los
usuarios para de esta forma prevenir el mal uso de esta.
Administración de prestación de servicios de terceras partes:
• No se mantiene un estándar adecuado de documentación de servicios
prestados, como son acuerdos, obligaciones, responsabilidades,
confidencialidad operación y mantenimiento, con lo cual podemos
mantener y regularizar un control eficiente de cambios en estos servicios.
Planificación y aceptación de sistemas:
• El momento de implementar un nuevo sistema, no se toma en cuenta la
realización de una utilización temporánea de dicho sistema por parte de los
usuarios para así poder evitar fallos en la manipulación de esta, y así evitar
la implementación a ciegas del sistema.
Protección contra el código móvil y maligno:
• No se toma muy en cuenta la transferencia de información una forma móvil
ya sea mediante pen drives o cd´s, para así evitar la fuga de información, o
la contaminación con código maligno a las estaciones de cómputo.
• Se debe tomar en cuenta medidas en caso de que un código malicioso
infecte a las estaciones, mediante la detección, prevención y recuperación
de la información.
21
Resguardo
• Al momento no se cuenta con una política de respaldos, se los realiza de
acuerdo a la ocasión en caso extremo de formatear una maquina.
Administración de las seguridades de las redes
• Actualmente el administrador de la red realiza el monitoreo y protección de
esta, sin embargo no se cuenta con controles documentados.
Manejo de medios.
• No se cuenta con un estándar definido para prevenir la difusión, borrado o
destrucción de los dispositivos físicos (discos, cintas, papeles, etc.) o lo
que en ellos se guarda.
Intercambio de información.
• No se tiene una política, procedimientos y controles definidos en el
intercambio de información, sino cada persona es encargada de manipular
la información que le pertenece para realizar una tarea específica.
Servicios de correo electrónico
• No se cuenta con el servicio de correo electrónico en el GMU, se usa
correos alternativos como Hotmail o yahoo, ya sea para el intercambio de
información, o por simple asunto de comunicación, puesto que no se
cuenta con una intranet, no se administra de manera eficiente este
aspecto.
Monitoreo.
• El monitoreo se realiza mediante rastros de auditoría, para tener en cuenta
al acceso a la base de datos, y a la vez cada usuario se autentifica para asi
para poder llevar a cabo un registro de fallos.
Control de accesos
Requerimientos del negocio para control de acceso
• No existe una política de control de acceso, cada jefe de departamento
tiene a cargo la información pertinente a cada uno de ellos y es
22
responsable del buen o mal uso de esta, por lo tanto no se puede asegurar
un nivel de riesgo efectivo a cada activo del GMU.
Administración de acceso a usuarios.
• El acceso debe ser asegurado mediante login y password para prevenir el
acceso no autorizado, el acceso lógico se realiza mediante claves de
usuario las cuales tampoco presentan una política de seguridad o estándar
definido.
• La única persona que conoce las claves de acceso a los servidores es el
Jefe de departamento lo cual puede presentar problemas al instante de que
se presente un problema y este se encuentre ausente.
Responsabilidad de los usuarios.
• Cada usuario debe tener muy en cuenta sus obligaciones dentro de la
seguridad de la información, los usuarios del GMU el momento en que
dejan los equipos desatendidos no poseen la regla de dejar bloqueándolos,
de igual manera no están al tanto de las medidas fundamentales de
cuidado y protección de la información en sus pantalla, escritorios y medios
removibles.
Control de acceso a redes.
• El acceso a las red interna es administrada por el jefe del departamento,
los usuarios registrados ingresan mediante un dominio y password, no se
implementen herramientas de administración remota, por lo cual para cada
problema existente el administrador debe acercarse a cada equipo para
localizar el problema y solucionarlo, pero en si no existe una política de
control de acceso.
Control de acceso a sistemas operativos
• Los usuarios acceden al sistema operativo mediante su login y password,
pero no lleva políticas de intentos exitosos y fallidos de acceso, así como
por usuarios externos a la red, se los identifica una vez ya realizado el
acceso y las secuelas que este deja
23
Control de acceso a información y aplicaciones.
• No se cuenta con un plan de control de acceso a aplicaciones, los usuarios
acceden mediante claves de acceso a usuarios autorizados y cada uno de
estos posee un perfil de acuerdo a la tarea que desempeña este sobre la
aplicación.
Movilidad y teletrabajo
• No existe una política de computación móvil, pero cuando un usuario ya
sea este interno o externo al GMU utiliza una laptop esta es autentificada y
monitoreada mediante el jefe de sistemas, de igual manera el usuario de la
laptop es el encargado de realizar respaldos según sea el caso.
Adquisición de sistemas de información, desarrollo y mantenimiento.
Requerimientos de seguridad de los sistemas de información.
• Cuando se requiere sistemas de información de terceros, estos pasa por
una fase de pruebas para verificar la compatibilidad con los otros sistemas,
y de igual manera evaluar la seguridad de estos y asi asegurar el
cumplimiento de las necesidades del GMU.
Procesamiento correcto en aplicaciones.
• Para asegurar el correcto trato de la información del GMU mediante las
aplicaciones, se valida la entrada de datos, así como identificar errores
ocasionales o intencionales en el procesamiento de la información de igual
manera se valida la salida de la información, los cuales son almacenados
en la base de datos, para esto se realiza una capacitación a los usuarios
de la aplicación.
Controles criptográficos.
• Las únicas técnicas de criptografía que se usan en el departamento son las
que brindan los motores de las bases de datos, la criptografía asegura la
integridad, confidencialidad y autenticidad de la información.
• No se posee una política de empleo de controles criptográficos y de su uso.
24
Seguridad en los sistemas de archivos
• No se controla la instalación de software adicional, por lo tanto los usuarios
no toman en cuenta que archivos deben o no ser modificado, solo el jefe de
sistemas tiene el acceso y almacenamiento de códigos fuente.
Seguridad en el desarrollo y soporte de procesos.
• El jefe de sistemas se encarga de controlar los cambios en las
aplicaciones, así como de su correcto uso, en caso de ser un software de
terceros para el soporte de este se llama a las personas especializadas de
la empresa que provee la aplicación, los cuales son monitoreados por el
jefe de sistemas, para que no existan modificaciones que afecten al
cumplimiento de las necesidades del GMU.
Administración técnica de vulnerabilidades
• En el caso de que exista una vulnerabilidad de la aplicación, el jefe de
sistemas comunica a los desarrolladores de esta para encontrar la
solución, o caso contrario investiga mediante el internet y trata de
solucionar los problemas personalmente.
Administración de los incidentes de seguridad
Reportes de eventos de seguridad de la información y debilidades
• No se tiene una metodología de reportes de seguridad y debilidades, sino
al instante en que sucede algún contratiempo o emergencia en la
aplicación el jefe de sistemas lo resuelve o reporta a los desarrolladores
externos del sistema, no se lleva una reporte de las eventualidades para
una mejor administración de estas.
• Lo recomendable es poseer herramientas de detección de vulnerabilidades
y generar, monitorear y llevar un seguimiento de estos reportes de
vulnerabilidad y seguridad de la información
Administración de incidentes de seguridad de la información y mejoras
25
• No se cuenta con la administración de los incidentes la cual debería
describir pasos, acciones, responsabilidades, funciones y medidas
concretas en caso de que ocurra un incidente similar, para evitar que estas
vuelvan a suceder.
Administración de la continuidad del negocio
Aspectos de la seguridad de la información en la continuidad del negocio.
• No se cuenta con un plan de continuidad del negocio para prevenir que los
sistemas sufran interrupciones sobre las actividades que realiza el GMU.
Marco legal y buenas prácticas (legales, de estándares y auditorías)
• No se cuenta con licencias de los sistemas operativos, así como de
utilitarios.
• Los sistemas de financieros, administración de agua potable y catastros
cuentan con su licencia respectiva.
• El jefe de sistemas asegura que se lleve a cabo los procedimientos de
seguridad implementados, para asegurar las políticas y estándares de
seguridad.
• No se ha realizado una auditoría de las tecnologías de la información, ni
de forma interna ni externa al GMU.
26
2.2 REALIZACIÓN DE LA AUDITORÍA
2.2.1 OBJETIVOS DE LA AUDITORÍA.
• Realizar el análisis y la auditoría del departamento de sistemas del GMU.
• Utilizando como marco de referencia Cobit 4.0 aportar al avance de este
departamento mediante recomendaciones realizadas mediante un análisis
exhaustivo.
• Presentar un informe técnico y ejecutivo que muestre los puntos fuertes y
débiles de este departamento.
2.2.2 MODELOS DE MADUREZ
En la actualidad se pide a los directivos y ejecutivos de las empresas que tomen
muy en cuenta una correcta administración de las TI. Para esto se debe realizar
un plan de negocio para alcanzar un nivel óptimo de administración y control de
las tecnologías de la información, para esto la gerencia de TI busca
constantemente herramientas de evaluación de benchmarking y herramientas de
autoevaluación.
Estos modelos de madurez están diseñados como perfiles de procesos de TI que
una empresa los reconocería como estados posiblemente actuales y futuros,
estos modelos no están diseñados para ser limitantes, donde no se puede pasar a
los niveles superiores sin haber cumplido antes los niveles antecesores, al usar
los modelos de madurez para los 34 procesos de TI de Cobit, la administración
podrá identificar:
• “El desempeño real de la empresa – Dónde se encuentra la empresa hoy.
• El estatus actual de la industria – La comparación.
• El objetivo de la mejora de la empresa – Dónde desea estar la empresa.
Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI,
con una escala de medición creciente a partir de 0, no existente, hasta 5,
optimizado”1, la ventaja es que es relativamente fácil para la dirección ubicarse a
1 Tomado de COBIT 4.0, pag.20
27
sí misma en una escala y de esta forma evaluar que se debe hacer sui se
requiere una mejora.
A continuación se presenta la tabla de modelo de madurez genérico (Tabla 1) a
usarse en esta auditoría:
0
NO EXISTENTE
Carencia completa de cualquier proceso reconocible. La
empresa no ha reconocido siquiera que existe un problema a
resolver
1
INICIAL
Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no
existen procesos estándar en su lugar existen enfoques ad
hoc que tienden a ser aplicados de forma individual o caso
por caso. El enfoque general hacia la administración es
desorganizado.
2
REPETIBLE
Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes áreas que
realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se
deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto,
los errores son muy probables.
3
DEFINIDO
Los procedimientos se han estandarizado y documentado, y
se han difundido a través de entrenamiento. Sin embargo, se
deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos
en sí no son sofisticados pero formalizan las prácticas
existentes.
4
ADMINISTRADO
Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no
estén trabajando de forma efectiva. Los procesos están bajo
constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada o
28
fragmentada.
5
OPTIMIZADO
Los procesos se han refinado hasta el nivel de mejor práctica,
se basan en los resultados de mejoras continuas y en un
modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.
TABLA 1. Modelo de Madurez Genérico Realizado: Por el autor, Fuente: Documento COBIT 4.0
A continuación se representa en una tabla el impacto de los objetivos de control
de COBIT sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para esta tabla es la
siguiente (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es
decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo
de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se
encuentra con (X) significa que los objetivos de control tienen impacto en los
recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no
tienen ningún impacto con los recursos.
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE
COBIT RECURSOS DE TI
DE COBIT
EFEC
TIV
IDA
D
EFIC
IEN
CIA
CO
NFI
DEN
CIA
LID
AD
INTE
GR
IDA
D
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NFI
AB
ILID
AD
PER
SON
AS
INFO
RM
AC
IÓN
AP
LIC
AC
IÓN
INFR
AES
TR
UC
TUR
A
PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico de TI. P S X X X X
PO2 Definir la arquitectura de la información S P S P X X
PO3 Definir la dirección tecnológica. P P X X
PO4 Definir los procesos, organización y relaciones de TI. P P X
PO5 Administrar la inversión en TI. P P S X X X
PO6 Comunicar las metas y la dirección de la gerencia. P S X X
PO7 Administrar los recursos humanos de TI. P P X PO8 Administrar la calidad. P P S S X X X X PO9 Evaluar y administrar los riegos de TI. S S P P P S S X X X X
29
TABLA 2. Resumen de los objetivos de control de COBIT Realizado: Por el autor, Fuente: Documento COBIT 4.0
Para tener un porcentaje de los criterios de la información, asignamos un valor
para el impacto primario, de igual forma tendremos un valor para el impacto
secundario.
Este porcentaje lo estableceremos en base a la propuesta metodológica para el
manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se
muestra en la tabla (3).
CALIFICACION IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86 TABLA 3. Promedio de Impactos
Realizado: Por el autor Fuente: Tesis Auditoría de la Gestión de las TIC’s para la empresa DIPAC utilizando COBIT
PO10 Administrar los proyectos. P P X X X ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas. P S X X
AI2 Adquirir y mantener software aplicativo. P P S S X
AI3 Adquirir y mantener la infraestructura tecnológica. S P S S X
AI4 Facilitar la operación y el uso. P P S S S S X X X AI5 Procurar recursos de TI. S P S X X X X
AI6 Administrar los cambios. P P P P S X X X X
AI7 Instalar y acreditar soluciones y cambios. P S S S X X X X
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio. P P S S S S S X X X X
DS2 Administrar los servicios de terceros. P P S S S S S X X X X DS3 Administrar el desempeño y capacidad. P P S X X
DS4 Asegurar el servicio continuo. P S P X X X X
DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X
DS6 Identificar y asignar costos. P P X X X X
DS7 Educar y entrenar a los usuarios. P S X
DS8 Administrar la mesa de servicio y los incidentes. P P X X
DS9 Administrar la configuración. P S S S X X X
DS10 Administrar los problemas. P P S X X X X
DS11 Administrar los datos. P P X
DS12 Administrar el ambiente físico. P P X DS13 Administrar las operaciones. P P S S X X X X
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI. P P S S S S S X X X X
ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X
ME3 Garantizar el cumplimiento regulatorio. P S X X X X
ME4 Proporcionar gobierno de TI. P P S S S S S X X X X
30
Mediante la propuesta dada por COSO, podemos dar un valor promedio al
impacto de los criterios de la información, con los promedios obtenidos,
procedemos a asignar estos valores en la tabla (4), para cual asignamos un valor
de 86% cuando el grado de impacto es primario, 63% cuando el grado de impacto
es secundario, y “blanco”, cuando el grado de impacto es nulo.
A continuación mostramos la tabla (4).
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT
EFEC
TIV
IDA
D
EFIC
IEN
CIA
CO
NFI
DEN
CIA
LID
AD
INTE
GR
IDA
D
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NFI
AB
ILID
AD
PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. 0,86 0,63
PO2 Definir la arquitectura de la información 0,63 0,86 0,63 0,86
PO3 Definir la dirección tecnológica. 0,86 0,86
PO4 Definir los procesos, organización y relaciones de TI. 0,86 0,86
PO5 Administrar la inversión en TI. 0,86 0,86 0,63
PO6 Comunicar las metas y la dirección de la gerencia. 0,86 0,63
PO7 Administrar los recursos humanos de TI. 0,86 0,86
PO8 Administrar la calidad. 0,86 0,86 0,63 0,63
PO9 Evaluar y administrar los riegos de TI. 0,63 0,63 0,86 0,86 0,86 0,63 0,63
PO10 Administrar los proyectos. 0,86 0,86
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas. 0,86 0,63
AI2 Adquirir y mantener software aplicativo. 0,86 0,86 0,63 0,63
AI3 Adquirir y mantener la infraestructura tecnológica. 0,63 0,86 0,63 0,63
AI4 Facilitar la operación y el uso. 0,86 0,86 0,63 0,63 0,63 0,63
AI5 Procurar recursos de TI. 0,63 0,86 0,63
AI6 Administrar los cambios. 0,86 0,86 0,86 0,86 0,63
AI7 Instalar y acreditar soluciones y cambios. 0,86 0,63 0,63 0,63
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio. 0,86 0,86 0,63 0,63 0,63 0,63 0,63
DS2 Administrar los servicios de terceros. 0,86 0,86 0,63 0,63 0,63 0,63 0,63
DS3 Administrar el desempeño y capacidad. 0,86 0,86 0,63
DS4 Asegurar el servicio continuo. 0,86 0,63 0,86
DS5 Garantizar la seguridad de los sistemas. 0,86 0,86 0,63 0,63 0,63
DS6 Identificar y asignar costos. 0,86 0,86
31
DS7 Educar y entrenar a los usuarios. 0,86 0,63
DS8 Administrar la mesa de servicio y los incidentes. 0,86 0,86
DS9 Administrar la configuración. 0,86 0,63 0,63 0,63
DS10 Administrar los problemas. 0,86 0,86 0,63
DS11 Administrar los datos. 0,86 0,86
DS12 Administrar el ambiente físico. 0,86 0,86
DS13 Administrar las operaciones. 0,86 0,86 0,63 0,63
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI. 0,86 0,86 0,63 0,63 0,63 0,63 0,63
ME2 Monitorear y evaluar el control interno. 0,86 0,86 0,63 0,63 0,63 0,63 0,63
ME3 Garantizar el cumplimiento regulatorio. 0,86 0,63
ME4 Proporcionar gobierno de TI. 0,86 0,86 0,63 0,63 0,63 0,63 0,63 TABLA 4. Impacto sobre los criterios de la información Realizado: Por el autor, Fuente: Documento COBIT 4.0
A continuación procedemos a elaborar las tablas de los procesos de madurez,
tomando en cuenta la situación actual del Departamento de Sistemas del
Gobierno Municipal de San Miguel de Urcuquí, analizado los riesgos tomados
anteriormente.
Para la realización de esta auditoría tomamos en cuenta todos los procesos de los
dominios de COBIT.
32
T
AB
LA
5.
Mo
del
o d
e m
adu
rez
PO
1 R
ealiz
ado
: P
or
el a
uto
r, F
uen
te:
Do
cum
ent
o C
OB
IT 4
.0
OB
SER
VA
CIO
NES
SIN
O
0N
o se
llev
a a
cabo
la p
lane
ació
n es
trat
égic
a de
TI.
No
exis
te c
onci
enci
a po
r pa
rte
de la
ger
enci
a de
que
la p
lane
ació
n es
trat
égic
a de
TI e
s re
quer
ida
para
da
r so
port
e a
las
met
as d
el n
egoc
io.
X
1La
ger
enci
ade
TI
cono
cela
nece
sida
dde
una
plan
eaci
ónes
trat
égic
ade
TI.
Lapl
anea
ción
deT
Ise
real
iza
segú
nse
nece
site
com
ore
spue
sta
aun
requ
isito
de
neg
ocio
espe
cífic
o.La
plan
eaci
ónes
trat
égic
ade
TI
sedi
scu
tede
form
aoc
asio
nale
nla
sre
unio
nes
dela
gere
ncia
deT
I.L
aal
inea
ción
delo
sre
quer
imie
nto
sde
las
aplic
acio
nes
yte
cnol
ogía
del
nego
cio
selle
vaa
cab
ode
mod
ore
activ
oen
luga
rde
hace
rlopo
rm
edio
deun
aes
trat
egia
orga
niza
cion
al. L
a po
sici
ón d
e rie
sgo
estr
atég
ico
se id
entif
ica
de m
aner
a in
form
al p
roye
cto
por
proy
ecto
.
XE
l pro
ceso
de
Dif
inir
un
pla
n
est
rate
gico
se
en
cue
ntr
a e
n e
l
niv
el 1
2La
plan
eaci
ónes
trat
égic
ade
TI
seco
mpa
rte
con
lage
renc
iade
lneg
ocio
segú
nse
nece
site
.La
actu
aliz
ació
nde
los
plan
esde
TI
ocur
reco
mo
resp
uest
aa
las
solic
itude
sde
ladi
recc
ión.
Las
deci
sion
eses
trat
égic
asse
tom
anpr
oyec
topo
rpr
oyec
to,
sin
ser
cons
iste
ntes
con
una
estr
ateg
iagl
obal
dela
orga
niza
ción
. Los
rie
sgos
y b
enef
icio
s al
usu
ario
, res
ulta
do d
e de
cisi
ones
est
raté
gica
s im
port
ante
s se
rec
onoc
en d
e fo
rma
intu
itiva
.X
3
Una
polít
ica
defin
ecó
mo
ycu
ando
real
izar
lap
lane
ació
nes
trat
égic
ade
TI.
Lapl
anea
ción
estr
atég
ica
deT
Isi
gue
unen
foqu
ees
truc
tura
do,
elcu
alse
docu
men
tay
seda
aco
noce
ra
todo
eleq
uipo
.Elp
roce
sode
plan
eaci
ónde
TIe
sra
zona
blem
ente
sólid
oy
gara
ntiz
aqu
ees
fact
ible
real
izar
una
plan
eaci
ónad
ecua
da.
Sin
emba
rgo,
seot
orga
disc
reci
onal
idad
age
rent
esin
divi
dual
eses
pecí
ficos
con
resp
ecto
ala
impl
anta
ción
del
proc
eso,
yno
exis
ten
proc
edim
ient
ospa
raan
aliz
arel
pro
ceso
.La
estr
ateg
iage
nera
lde
TI
incl
uye
una
defin
ició
nco
nsis
tent
ede
los
riesg
osqu
ela
orga
niza
ción
está
disp
uest
aa
tom
arco
mo
inno
vado
ro
com
ose
guid
or.
Las
estr
ateg
ias
dere
curs
oshu
man
os,
técn
icos
yfin
anci
eros
deT
Iin
fluen
cian
cada
vez
más
laad
quis
ició
nde
nuev
os p
rodu
ctos
y te
cnol
ogía
s. L
a pl
anea
ción
est
raté
gica
de
TI s
e di
scut
e en
reu
nion
es d
e la
dire
cció
n de
l neg
ocio
.
X
4
Lapl
anea
ción
estr
atég
ica
deT
Ies
una
prác
tica
está
ndar
yla
sex
cepc
ione
sso
nad
vert
idas
por
ladi
recc
ión.
Lapl
anea
ción
estr
atég
ica
deT
Ies
una
func
ión
adm
inis
trat
iva
defin
ida
con
resp
onsa
bilid
ades
de
alto
nive
l.La
dire
cció
npu
ede
mon
itore
arel
proc
eso
estr
atég
ico
deT
I,to
mar
deci
sion
esin
form
adas
con
base
enel
plan
ym
edir
suef
ectiv
idad
.La
plan
eaci
ónde
TI
deco
rto
yla
rgo
plaz
osu
cede
yse
dist
ribuy
een
form
ade
casc
ada
haci
ala
org
aniz
ació
n,y
las
actu
aliz
acio
nes
sere
aliz
anse
gún
son
nece
sari
as.
Laes
trat
egia
deT
Iy
laes
trat
egia
orga
niza
cion
alse
vuel
ven
cada
vez
más
coor
dina
das
alab
orda
rpr
oces
osde
nego
cio
yca
paci
dade
sde
valo
rag
rega
doy
alap
rove
char
elus
od
eap
licac
ione
sy
tecn
olog
ías
por
med
iode
lare
-inge
nier
íade
proc
esos
dene
goci
o.E
xist
enpr
oces
osb
ien
defin
idos
para
dete
rmin
are
uso
dere
curs
osin
tern
osy
exte
rnos
requ
erid
osen
elde
sarr
ollo
yla
sop
erac
ione
sde
los
sist
emas
.
X
5
Lapl
anea
ción
estr
atég
ica
deT
Ies
unpr
oces
odo
cum
enta
doy
vivo
,qu
eca
da
vez
más
seto
ma
encu
enta
enel
esta
blec
imie
nto
dela
sm
etas
deln
egoc
ioy
daco
mo
resu
ltado
unva
lor
obse
rvab
lede
nego
cios
por
med
iode
las
inve
rsio
nes
enT
I.La
sco
nsid
erac
ione
sde
riesg
oy
deva
lor
agre
gado
seac
tual
izan
dem
odo
cons
tant
een
elpr
oces
ode
plan
eaci
ónes
trat
égic
ade
TI.
Se
desa
rrol
lan
plan
esre
alis
tas
ala
rgo
plaz
ode
TIy
seac
tual
izan
dem
aner
aco
nsta
nte
par
are
fleja
rlo
sca
mbi
ante
sav
ance
ste
cnol
ógic
osy
elp
rog
reso
rela
cion
ado
alne
goci
o.S
ere
aliz
anev
alua
cion
espo
rco
mpa
raci
ónco
ntra
norm
asin
dust
riale
sbi
enen
tend
idas
yco
nfia
bles
yse
inte
gran
con
elpr
oces
ode
form
ulac
ión
dela
estr
ateg
ia.E
lpla
nes
trat
égic
oin
cluy
ecó
mo
los
nuev
osav
ance
ste
cnol
ógic
ospu
eden
impu
lsar
cre
ació
n de
nue
vas
capa
cida
des
de n
egoc
io y
mej
orar
la v
enta
ja c
omp
etiti
va d
e la
org
aniz
ació
n.
X
DO
MIN
IO P
LAN
EAR
Y O
RG
AN
IZA
RP
O1:
DEF
INIR
UN
PLA
N E
STR
ATE
GIC
O D
E TI
NIV
ELES
DE
LOS
MO
DEL
OS
DE
MA
DU
REZ
CU
MP
LE
33
TABLA 6. Modelo de madurez PO2
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0No existe conciencia de la importancia de la arquitectura de la información para la organización. El conocimiento, la experiencia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en la organización. X
1 La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre demanera ad hoc. Las definiciones abarcan datos en lugar de información, y son impulsadas por ofertas de proveedores de software aplicativo. Existe unacomunicación esporádica e inconsistente de la necesidad de una arquitectura de información.
XEl proceso de definir la
arquitectura de la información se
encuentra en el nivel 1
2Surge un proceso de arquitectura de información y existen procedimientos similares, aunque intuitivos e informales, que se siguen por distintos individuosdentro de la organización. Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y laaplicación repetida de técnicas. Los requerimientos tácticos impulsan el desarrollo de los componentes de la arquitectura de la información por parte de losindividuos.
X
3
La importancia de la arquitectura de la información se entiende y se acepta, y la responsabilidad de su aplicación se asigna y se comunica de forma clara.Los procedimientos, herramientas y técnicas relacionados, aunque no son sofisticados, se han estandarizado y documentado y son parte de actividadesinformales de entrenamiento. Se han desarrollado políticas básicas de arquitectura de información, incluyendo algunos requerimientos estratégicos, aunqueel cumplimiento de políticas, estándares y herramientas no se refuerza de manera consistente. Existe una función de administración de datos definidaformalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. Lasherramientas automatizadas se empiezan a utilizar, aunque los procesos y reglas son definidos por los proveedores de software de bases de datos. Sedefinen, documentan y aplican actividades formales de entrenamiento de manera formal.
X
4
Se da soporte completo al desarrollo e implantación de la arquitectura de información por medio de métodos y técnicas formales. La responsabilidad sobreel desempeño del proceso del desarrollo de la arquitectura se refuerza y se mide el éxito de la arquitectura de información. Las herramientas automatizadasde soporte están ampliamente generalizadas, pero todavía no están integradas. Se han identificado métricas básicas y existe un sistema de medición. Elproceso de definición de la arquitectura de información es pro-activo y se enfoca en resolver necesidades futuras del negocio. La organización deadministración de datos está activamente involucrada en todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. Unrepositorio automatizado está totalmente implantado. Se encuentran en implantación modelos de datos más complejos para aprovechar el contenidoinformativo de las bases de datos. Los sistemas de información ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la informaciónexistente.
X
5
La arquitectura de información es reforzada de forma consistente a todos los niveles. El valor de la arquitectura de la información para el negocio seenfatiza de forma continua. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitecturade información robusta y sensible que refleje todos los requerimientos del negocio. La información provista por la arquitectura se aplica de modoconsistente y amplio. Se hace un uso amplio de las mejores prácticas de la industria en el desarrollo y mantenimiento de la arquitectura de informaciónincluyendo un proceso de mejora continua. La estrategia para el aprovechamiento de la información por medio de un almacén de datos y tecnologías deminería de datos está bien definida. La arquitectura de la información se encuentra en mejora continua y toma en cuenta información no tradicional sobrelos procesos, organizaciones y sistemas.
X
DOMINIO PLANEAR Y ORGANIZARPO2: DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
34
TABLA 7. Modelo de madurez PO3
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0No existe conciencia sobre la importancia de la planeación de la infraestructura tecnológica para la entidad. El conocimiento y la experiencia necesariospara desarrollar dicho plan de infraestructura tecnológica no existen. Hay una carencia de entendimiento de que la planeación del cambio tecnológico escrítica para asignar recursos de manera efectiva. X
1La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologíasemergentes son ad hoc y aisladas. Existe un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura. La dirección tecnológica estáimpulsada por los planes evolutivos, con frecuencia contradictorios, del hardware, del software de sistemas y de los proveedores de software aplicativo. Lacomunicación del impacto potencial de los cambios en la tecnología es inconsistente.
XEl proceso de Difinir un plan
estrategico se encuentra en el
nivel 1
2 Se difunde la necesidad e importancia de la planeación tecnológica. La planeación es táctica y se enfoca en generar soluciones técnicas a problemastécnicos, en lugar de usar la tecnología para satisfacer las necesidades del negocio. La evaluación de los cambios tecnológicos se delega a individuos quesiguen procesos intuitivos, aunque similares. Las personas obtienen sus habilidades sobre planeación tecnológica a través de un aprendizaje práctico y deuna aplicación repetida de las técnicas. Están surgiendo técnicas y estándares comunes para el desarrollo de componentes de la infraestructura.
X
3
La gerencia está consciente de la importancia del plan de infraestructura tecnológica. El proceso para el plan de infraestructura tecnológica esrazonablemente sólido y está alineado con el plan estratégico de TI. Existe un plan de infraestructura tecnológica definido, documentado y bien difundido,aunque se aplica de forma inconsistente. La orientación de la infraestructura tecnológica incluye el entendimiento de dónde la empresa desea ser líder ydónde desea rezagarse respecto al uso de tecnología, con base en los riesgos y en la alineación con la estrategia organizacional. Los proveedores clave seseleccionan con base en su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la direcciónde la organización.
X
4
La dirección garantiza el desarrollo del plan de infraestructura tecnológica. El equipo de TI cuenta con la experiencia y las habilidades necesarias paradesarrollar un plan de infraestructura tecnológica. El impacto potencial de las tecnologías cambiantes y emergentes se toma en cuenta. La dirección puedeidentificar las desviaciones respecto al plan y anticipar los problemas. La responsabilidad del desarrollo y mantenimiento del plan de infraestructuratecnológica ha sido asignada. El proceso para desarrollar el plan de infraestructura tecnológica es sofisticado y sensible a los cambios. Se han incluidobuenas prácticas internas en el proceso. La estrategia de recursos humanos está alineada con la dirección tecnológica, para garantizar que el equipo de TIpueda administrar los cambios tecnológicos. Los planes de migración para la introducción de nuevas tecnologías están definidos. Los recursos externos ylas asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La dirección ha evaluado la aceptación del riesgo de usarla tecnología como líder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o eficiencias operativas.
X
5
Existe una función de investigación que revisa las tecnologías emergentes y evolutivas y para evaluar la organización por comparación contra las normasindustriales. La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar deestar orientada por los proveedores de tecnología. El impacto potencial de los cambios tecnológicos sobre el negocio se revisa al nivel de la alta dirección.Existe una aprobación ejecutiva formal para el cambio de la dirección tecnológica o para adoptar una nueva. La entidad cuenta con un plan robusto deinfraestructura tecnológica que refleja los requerimientos del negocio, es sensible a los cambios en el ambiente del negocio y puede reflejar los cambios enéste. Existe un proceso continuo y reforzado para mejorar el plan de infraestructura tecnológica. Las mejores prácticas de la industria se usan de formaamplia para determinar la dirección técnica.
X
DOMINIO PLANEAR Y ORGANIZARPO3: DETERMINAR LA DIRECCIÓN TECNOLÓGICA
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
35
TABLA 8. Modelo de madurez PO4
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La organización de TI no está establecida de forma efectiva para enfocarse en el logro de los objetivos del negocio. X
1Las actividades y funciones de TI son reactivas y se implantan de forma inconsistente. IT se involucra en los proyectos solamente en las etapas finales. Lafunción de TI se considera como una función de soporte, sin una perspectiva organizacional general. Existe un entendimiento explícito de la necesidad deuna organización de TI; sin embargo, los roles y las responsabilidades no están formalizadas ni reforzadas.
X
2La función de TI está organizada para responder de forma táctica aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones conlos proveedores. La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavíadependen del conocimiento y habilidades de individuos clave. Surgen técnicas comunes para administrar la organización de TI y las relaciones con losproveedores.
XEl proceso de Definir los procesos,
la organización y las relaciones de
TI se encuentra en el nivel 2
3
Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y sealinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección,auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a serrealizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidosy satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida eimplantada.
X
4
La organización de TI responde de forma pro-activa al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. Laadministración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. Se han aplicado buenas prácticasinternas en la organización de las funciones de TI. La gerencia de TI cuenta con la experiencia y habilidades apropiadas para definir, implantar y monitorearla organización deseada y las relaciones. Las métricas medibles para dar soporte a los objetivos del negocio y los factores críticos de éxito definidos por elusuario siguen un estándar. Existen inventarios de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre lashabilidades y los recursos disponibles internamente, y los que se requieren de organizaciones externas están definidos y reforzados. La estructuraorganizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos delnegocio, en lugar de estar alineados con tecnologías aisladas.
X
5La estructura organizacional de TI es flexible y adaptable. Se ponen en funcionamiento las mejores prácticas de la industria. Existe un uso amplio de latecnología para monitorear el desempeño de la organización y de los procesos de TI. La tecnología se aprovecha para apoyar la complejidad y distribucióngeográfica de la organización. Un proceso de mejora continua existe y está implantado. X
DOMINIO PLANEAR Y ORGANIZARPO4: DEFINIR LOS PROCESOS, LA ORGANIZACIÓN Y LAS RELACIONES DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
36
TABLA 9. Modelo de madurez PO5
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No existe conciencia de la importancia de la selección y presupuesto de las inversiones en TI. No existe seguimiento o monitoreo de las inversiones ygastos de TI X
1
La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente. La asignación deresponsabilidades de selección de inversiones en TI y de desarrollo de presupuestos se hace de una forma ad hoc. Existen implantaciones aisladas deselección y presupuesto de inversiones en TI, con documentación informal. Las inversiones en TI se justifican de una forma ad hoc. Se toman decisionespresupuestales enfocadas de modo reactivo y operativo.
X2
Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección ypresupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de la organización. Surgen técnicas comunes para desarrollarcomponentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y tácticas. X
3
Las políticas y los procesos para inversiones y presupuestos están definidas, documentadas y comunicadas y cubren temas clave de negocio y detecnología. El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los procesos de selección de inversiones enTI y de presupuestos están formalizados, documentados y comunicados. Surge el entrenamiento formal aunque todavía se basa de modo principal eniniciativas individuales. Ocurre la aprobación formal de la selección de inversiones en TI y presupuestos. El personal de TI cuenta con la experiencia yhabilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas en TI.
X
4
La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en elpresupuesto se identifican y se resuelven. Se realizan análisis formales de costos que cubren los costos directos e indirectos de las operacionesexistentes, así como propuestas de inversiones, considerando todos los costos a lo largo del ciclo completo de vida. Se usa un proceso de presupuestospro-activo y estándar. El impacto en los costos operativos y de desarrollo debidos a cambios en hardware y software, hasta cambios en integración desistemas y recursos humanos de TI, se reconoce en los planes de inversión. Los beneficios y los retornos se calculan en términos financieros y nofinancieros.
XEl proceso de Administrar la
inversión de TI se encuentra en el
nivel 4
5
Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisisde los avances tecnológicos en el proceso de selección y presupuesto de inversiones. El proceso de administración de inversiones se mejora de formacontinua con base en las lecciones aprendidas provenientes del análisis del desempeño real de las inversiones. Las decisiones de inversiones incluyen lastendencias de mejora de precio/desempeño. Se investigan y evalúan formalmente las alternativas de financiamiento dentro del contexto de la estructura decapital existente en la organización, mediante el uso de métodos formales de evaluación. Existe la identificación pro-activa de varianzas. Se incluye unanálisis de los costos y beneficios a largo plazo del ciclo de vida total en la toma de decisiones de inversión.
X
DOMINIO PLANEAR Y ORGANIZARPO5: ADMINISTRAR LA INVERSIÓN DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
37
TABLA 10. Modelo de madurez PO6
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La gerencia no ha establecido un ambiente positivo de control de información. No hay reconocimiento de la necesidad de establecer un conjunto depolíticas, procedimientos, estándares y procesos de cumplimiento. X
1 La gerencia es reactiva al resolver los requerimientos del ambiente de control de información. Las políticas, procedimientos estándares se elaboran ycomunican de forma ad hoc de acuerdo a los temas. Los procesos de elaboración, comunicación y cumplimiento son informales e inconsistentes.
XEl proceso de Comunicar las
aspiraciones y la dirección de
gerencia se encuentra en el nivel 1
2 La gerencia tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque lasprácticas son en su mayoría informales. La gerencia ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboraciónse delega a la discreción de gerentes y áreas de negocio individuales. La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas sedejan a discreción de gerentes individuales. El entrenamiento se realiza de forma individual, según se requiera.
X
3
La gerencia ha elaborado, documentado y comunicado un ambiente completo de administración de calidad y control de la información, que incluye unmarco para las políticas, procedimientos y estándares. El proceso de elaboración de políticas es estructurado, mantenido y conocido por el personal, y laspolíticas, procedimientos y estándares existentes son razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la importancia de laconciencia de la seguridad de TI y ha iniciado programas de concientización. El entrenamiento formal está disponible para apoyar al ambiente de control deinformación, aunque no se aplica de forma rigurosa. Aunque existe un marco general de desarrollo para las políticas y estándares de control, el monitoreodel cumplimiento de estas políticas y estándares es inconsistente. Las técnicas para fomentar la conciencia de la seguridad están estandarizadas yformalizadas.
X
4La gerencia asume la responsabilidad de comunicar las políticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantenerel ambiente en línea con los cambios significativos. Se ha establecido un ambiente de control de información positivo y proactivo. Se ha establecido unjuego completo de políticas, procedimientos y estándares, los cuales se mantienen y comunican, y forman un componente de buenas prácticas internas. Seha establecido un marco de trabajo para la implantación y las verificaciones subsiguientes de cumplimiento.
X
5
El ambiente de control de la información está alineado con el marco administrativo estratégico y con la visión, y con frecuencia se revisa, actualiza y mejora.Se asignan expertos internos y externos para garantizar que se adoptan las mejores prácticas de la industria, con respecto a las guías de control y a lastécnicas de comunicación. El monitoreo, la auto-evaluación y las verificaciones de cumplimiento están extendidas en la organización. La tecnología se usapara mantener bases de conocimiento de políticas y de concientización y para optimizar la comunicación, usando herramientas de automatización deoficina y de entrenamiento basado en computadora.
X
DOMINIO PLANEAR Y ORGANIZARPO6: COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
38
TABLA 11. Modelo de madurez PO7
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No existe conciencia sobre la importancia de alinear la administración de recursos humanos de TI con el proceso de planeación de la tecnología para laorganización. No hay persona o grupo formalmente responsable de la administración de los recursos humanos de TI. X
1La gerencia reconoce la necesidad de contar con administración de recursos humanos de TI. El proceso de administración de recursos humanos de TI esinformal y reactivo. El proceso de recursos humanos de TI está enfocado de manera operacional en la contratación y administración del personal de TI. Seestá desarrollando la conciencia con respecto al impacto que tienen los cambios rápidos de negocio y de tecnología, y las soluciones cada vez máscomplejas, sobre la necesidad de nuevos niveles de habilidades y de competencia.
X
2 Existe un enfoque táctico para contratar y administrar al personal de TI, dirigido por necesidades específicas de proyectos, en lugar de hacerlo con base enun equilibrio entendido de disponibilidad interna y externa de personal calificado. Se imparte entrenamiento informal al personal nuevo, quienes despuésreciben entrenamiento según sea necesario. X
El proceso de Administrar los
recursos humanos de TI se
encuentra en el nivel 2
3Existe un proceso definido y documentado para administrar los recursos humanos de TI. Existe un plan de administración de recursos humanos. Existe unenfoque estratégico para la contratación y la administración del personal de TI. El plan de entrenamiento formal está diseñado para satisfacer lasnecesidades de los recursos humanos de TI. Está establecido un programa de rotación, diseñado para expandir las habilidades gerenciales y de negocio.
X
4
La responsabilidad de la elaboración y el mantenimiento de un plan de administración de recursos humanos para TI ha sido asignado a un individuo o grupo con las habilidades y experiencia necesarias para elaborar y mantener el plan. El proceso para elaborar y mantener el plan de administración de recursoshumanos de TI responde al cambio. La organización cuenta con métricas estandarizadas que le permiten identificar desviaciones respecto al plan deadministración de recursos humanos de TI con énfasis especial en el manejo del crecimiento y rotación del personal. Las revisiones de compensación y dedesempeño se están estableciendo y se comparan con otras organizaciones de TI y con las mejores prácticas de la industria. La administración derecursos humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera.
X
5
El plan de administración de recursos humanos de TI se actualiza de forma constante para satisfacer los cambiantes requerimientos del negocio. Laadministración de recursos humanos de TI está integrada y responde a la dirección estratégica de la entidad. Los componentes de la administración derecursos humanos de TI son consistentes con las mejores prácticas de la industria, tales como compensación, revisiones de desempeño, participación enforos de la industria, transferencia de conocimiento, entrenamiento y adiestramiento. Los programas de entrenamiento se desarrollan para todos los nuevosestándares tecnológicos y productos antes de su implantación en la organización.
X
DOMINIO PLANEAR Y ORGANIZARPO7: ADMINISTRAR LOS RECURSOS HUMANOS DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
39
TABLA 12. Modelo de madurez PO8
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La organización carece de un sistema de un proceso de planeación de QMS y de una metodología de ciclo de vida de desarrollo de sistemas. La altadirección y el equipo de TI no reconocen que un programa de calidad es necesario. Nunca se revisa la calidad de los proyectos y las operaciones. X El proceso de Administrar la
calidad se encuentra en el nivel 0
1 Existe conciencia por parte de la dirección de la necesidad de un QMS. El QMS es impulsado por individuos cuando éste ocurre. La dirección realizajuicios informales sobre la calidad. X
2 Se establece un programa para definir y monitorear las actividades de QMS dentro de TI. Las actividades de QMS que ocurren están enfocadas eniniciativas orientadas a procesos, no a procesos de toda la organización. X
3
La dirección ha comunicado un proceso definido de QMS e involucra a TI y a la gerencia del usuario final. Un programa de educación y entrenamiento estásurgiendo para instruir a todos los niveles de la organización sobre el tema de la calidad. Se han definido expectativas básicas de calidad y estas secomparten dentro de los proyectos y la organización de TI. Están surgiendo herramientas y prácticas comunes para administrar la calidad. Las encuestasde satisfacción de la calidad se planean y ocasionalmente se aplican.
X
4
El QMS está incluido en todos los procesos, incluyendo aquellos que dependen de terceros. Se está estableciendo una base de conocimientoestandarizada para las métricas de calidad. Se usan métodos de análisis de costo/beneficio para justificar las iniciativas de QMS, Surge el uso debenchmarking contra la industria y con los competidores. Se ha institucionalizado un programa de educación y entrenamiento para educar a todos losniveles de la organización en el tema de la calidad. Se están estandarizando herramientas y prácticas y el análisis de causas raíz se aplica de formaperiódica. Se conducen encuestas de satisfacción de calidad de manera consistente. Existe un programa bien estructurado y estandarizado para medir lacalidad. La gerencia de TI está construyendo una base de conocimiento para las métricas de calidad
X
5El QMS está integrado y se aplica a todas las actividades de TI. Los procesos de QMS son flexibles y adaptables a los cambios en el ambiente de TI. Semejora la base de conocimientos para métricas de calidad con las mejores prácticas externas. Se realiza benchmarking contra estándares externosrutinariamente. Las encuestas de satisfacción de la calidad constituyen un proceso constante y conducen al análisis de causas raíz y a medidas de mejora.Existe aseguramiento formal sobre el nivel de los procesos de administración de la calidad.
X
DOMINIO PLANEAR Y ORGANIZARPO8: ADMINISTRAR LA CALIDAD
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
40
TABLA 13. Modelo de madurez PO9
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La evaluación de riesgos para los procesos y las decisiones de negocio no ocurre. La organización no toma en cuenta los impactos en el negocio asociadosa las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. La administración de riesgos no se ha identificado como algorelevante para adquirir soluciones de TI y para prestar servicios de TI X
El proceso de Evaluar y
administrar los riesgos de TI se
encuentra en el nivel 0
1
Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales de riesgos según lo determine cada proyecto. En algunasocasiones se identifican evaluaciones de riesgos en un plan de proyectos pero se asignan a gerentes específicos con poca frecuencia. Los riesgosespecíficos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgosrelativos a TI que afectan las operaciones del día con día, son rara vez discutidas en reuniones gerenciales. Cuando se toman en cuenta los riesgos, lamitigación es inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados.
X
2Existe un enfoque de evaluación de riesgos inmaduro y en evolución y se implanta a discreción de los gerentes de proyecto. La administración de riesgosse da por lo general a altos niveles y se aplica de manera típica solo a proyectos grandes o como respuesta a problemas. Los procesos de mitigación deriesgos están en implantación donde se identifican riesgos. X
3
Una política de administración de riesgos para toda la organización define cuándo y cómo realizar las evaluaciones de riesgos. La administración de riesgossigue un proceso definido el cual está documentado. El entrenamiento sobre administración de riesgos está disponible para todo el personal. La decisión deseguir el proceso de administración de riesgos y de recibir entrenamiento se delega a la discreción del individuo. La metodología para la evaluación deriesgos es convincente y sólida, y garantiza que los riesgos claves sean identificados. Un proceso para mitigar los riesgos clave por lo general seinstitucionaliza una vez que los riesgos se identifican. Las descripciones de puestos toman en cuenta las responsabilidades de administración de riesgos.
X
4
La evaluación y administración de riesgos son procesos estándar. Las excepciones al proceso de administración de riesgos se reportan a la gerencia de TI.La administración de riesgos de TI es una responsabilidad de alto nivel. Los riesgos se evalúan y se mitigan a nivel de proyecto individual y también por loregular se hace con respecto a la operación global de TI. La gerencia recibe notificación sobre los cambios en el ambiente de negocios y de TI quepudieran afectar de manera significativa los escenarios de riesgo relacionados con la TI. La gerencia puede monitorear la posición de riesgo y tomardecisiones informadas respecto a la exposición que está dispuesta a aceptar. Todos los riesgos identificados tienen un propietario denominado, y la altadirección, así como la gerencia de TI han determinado los niveles de riesgo que la organización está dispuesta a tolerar. La gerencia de TI ha elaboradomedidas estándar para evaluar el riesgo y para definir las proporciones riesgo/retorno. La gerencia presupuesta para que un proyecto operativo deadministración de riesgos re-evalúe los riesgos de manera regular. Se establece una base de datos administrativa y parte del proceso de administración deriesgos se empieza a automatizar. La gerencia de TI toma en cuenta las estrategias de mitigación de riesgo.
X
5
La administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implantado en toda la organización y es bien administrado. Lasbuenas prácticas se aplican en toda la organización. La captura, análisis y reporte de los datos de administración de riesgos están altamenteautomatizados. La orientación se toma de los líderes en el campo y la organización de TI participa en grupos de interés para intercambiar experiencias. Laadministración de riesgos está altamente integrada en todo el negocio y en las operaciones de TI está bien aceptada, y abarca a los usuarios de serviciosde TI. La dirección detectará y actuará cuando se realicen decisiones grandes de inversión, operación o de TI, sin tomar en cuenta el plan deadministración de riesgos. La dirección evalúa las estrategias de mitigación de riesgos de manera continua.
X
DOMINIO PLANEAR Y ORGANIZARPO9: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
41
TABLA 14. Modelo de madurez PO10
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Las técnicas de administración de proyectos no se usan y la organización no toma en cuenta los impactos al negocio asociados con la mala administraciónde los proyectos y con las fallas de desarrollo en el proyecto. X
1
El uso de técnicas y enfoques de administración de proyectos dentro de TI es una decisión individual que se deja a los gerentes de TI. Existe una carenciade compromiso por parte de la gerencia hacia la propiedad de proyectos y hacia la administración de proyectos. Las decisiones críticas sobreadministración de proyectos se realizan sin la intervención de la gerencia usuaria ni del cliente. Hay poca o nula participación del cliente y del usuario paradefinir los proyectos de TI. No hay una organización clara dentro de TI para la administración de proyectos. Los roles y responsabilidades para laadministración de proyectos no están definidas. Los proyectos, calendarios y puntos clave están definidos pobremente, si es que lo están. No se haceseguimiento al tiempo y a los gastos del equipo del proyecto y no se comparan con el presupuesto.
X
2La alta dirección ha obtenido y comunicado la conciencia de la necesidad de una administración de los proyectos de TI. La organización está en proceso dedesarrollar y utilizar algunas técnicas y métodos de proyecto a proyecto. Los proyectos de TI han definido objetivos técnicos y de negocio de manerainformal. Hay participación limitada de los interesados en la administración de los proyectos de TI. Las directrices iniciales se han elaborado para muchosaspectos de la administración de proyectos. La aplicación a proyectos de las directrices administrativas se deja a discreción del gerente de proyecto.
X
3
El proceso y la metodología de administración de proyectos de TI han sido establecidos y comunicados. Los proyectos de TI se definen con los objetivostécnicos y de negocio adecuados. La alta dirección del negocio y de TI, empiezan a comprometerse y a participar en la administración de los proyectos deTI. Se ha establecido una oficina de administración de proyectos dentro de TI, con roles y responsabilidades iniciales definidas. Los proyectos de TI semonitorean, con puntos clave, calendarios y mediciones de presupuesto y desempeño definidos y actualizados. Existe entrenamiento para la administraciónde proyectos. El entrenamiento en administración de proyectos es un resultado principalmente de las iniciativas individuales del equipo. Los procedimientosde aseguramiento de calidad y las actividades de implantación post-sistema han sido definidos, pero no se aplican de manera amplia por parte de losgerentes de TI. Los proyectos se empiezan a administrar como portafolios.
XEl proceso de Administrar
proyectos se encuentra en el nivel
3
4
La gerencia requiere que se revisen métricas y lecciones aprendidas estandarizadas y formales después de terminar cada proyecto. La administración deproyectos se mide y evalúa a través de la organización y no solo en TI. Las mejoras al proceso de administración de proyectos se formalizan y comunican ylos miembros del equipo reciben entrenamiento sobre estas mejoras. La gerencia de TI ha implantado una estructura organizacional de proyectos con roles,responsabilidades y criterios de desempeño documentados. Los criterios para evaluar el éxito en cada punto clave se han establecido. El valor y el riesgo se miden y se administran, antes, durante y al final de los proyectos. Cada vez más, los proyectos abordan las metas organizacionales, en lugar de abordarsolamente las específicas a TI. Existe un apoyo fuerte y activo a los proyectos por parte de los patrocinadores de la alta dirección, así como de losinteresados. El entrenamiento relevante sobre administración de proyectos se planea para el equipo en la oficina de proyectos y a lo largo de la función deTI.
X
5
Se encuentra implantada una metodología comprobada de ciclo de vida de proyectos, la cual se refuerza y se integra en la cultura de la organizacióncompleta. Se ha implantado una iniciativa continua para identificar e institucionalizar las mejores prácticas de administración de proyectos. Se ha definido eimplantado una estrategia de TI para contratar el desarrollo y los proyectos operativos. La oficina integrada de administración de proyectos es responsablede los proyectos y programas desde su concepción hasta su post-implantación. La planeación de programas y proyectos en toda la organización garantizaque los recursos de TI y del usuario se utilizan de la mejor manera para apoyar las iniciativas estratégicas.
X
DOMINIO PLANEAR Y ORGANIZARPO10: ADMINISTRAR PROYECTOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
42
TABLA 15. Modelo de madurez AI1
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones,tales como sistemas, servicios, infraestructura y datos. La organización no está consciente de las soluciones tecnológicas disponibles que sonpotencialmente relevantes para su negocio.
X
1Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas. Grupos individuales se reúnen para analizar lasnecesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican soluciones con base en una conciencialimitada de mercado o como respuesta a ofertas de proveedores. Existe una investigación o análisis estructurado mínimo de la tecnología disponible.
XEl proceso de identificar
soluciones automatizadas se
encuentra en el nivel 1
2Existen algunos enfoques intuitivos para identificar que existen soluciones de TI y éstos varían a lo largo del negocio. Las soluciones se identifican demanera informal con base en la experiencia interna y en el conocimiento de la función de TI. El éxito de cada proyecto depende de la experiencia de unoscuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable. Se usan enfoques no estructurados paradefinir los requerimientos e identificar las soluciones tecnológicas.
X
3
Existen enfoques claros y estructurados para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere laconsideración de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades tecnológicas, la factibilidad económica, lasevaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales comolas decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negociooriginal. Se usan enfoques estructurados para definir requerimientos e identificar soluciones de TI.
X
4
Existe una metodología establecida para la identificación y la evaluación de las soluciones de TI y se usa para la mayoría de los proyectos. Ladocumentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos están bien articulados y de acuerdo conlas estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el análisis de costos y beneficios. La metodología es clara, definida,generalmente entendida y medible. Existe una interfaz definida de forma clara entre la gerencia de TI y la del negocio para la identificación y evaluación delas soluciones de TI.
X
5
La metodología para la identificación y evaluación de las soluciones de TI está sujeta a una mejora continua. La metodología de adquisición e implantacióntiene la flexibilidad para proyectos de grande y de pequeña escala. La metodología está soportada en bases de datos de conocimiento internas y externasque contienen material de referencia sobre soluciones tecnológicas. La metodología en sí misma genera documentación en una estructura predefinida quehace que la producción y el mantenimiento sean eficientes. Con frecuencia, se identifican nuevas oportunidades de uso de la tecnología para ganar unaventaja competitiva, ejercer influencia en la re-ingeniería de los procesos de negocio y mejorar la eficiencia en general. La gerencia detecta y toma medidassi las soluciones de TI se aprueban sin considerar tecnologías alternativas o los requerimientos funcionales del negocio.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI1: IDENTIFICAR SOLUCIONES AUTOMATIZADAS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
43
TABLA 16. Modelo de madurez AI2
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No existe un proceso de diseño y especificación de aplicaciones. Típicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en elreconocimiento de la marca o en la familiaridad del personal de TI con productos específicos, considerando poco o nada los requerimientos actuales. X
1Existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición ymantenimientos de software aplicativo varían de un proyecto a otro. Es probable que se hayan adquirido en forma independiente una variedad de solucionesindividuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Se tiene poca consideraciónhacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.
X
2 Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI. Elmantenimiento es a menudo problemático y se resiente cuando se pierde el conocimiento interno de la organización. Se tiene poca consideración hacia laseguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.
XEl proceso de Adquirir y mantener
software aplicativo se encuentra
en el nivel 2
3
Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con laestrategia de TI y del negocio. Se intenta aplicar los procesos de manera consistente a través de diferentes aplicaciones y proyectos. Las metodologías sonpor lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se salten pasos. Las actividades de mantenimiento seplanean, programan y coordinan.
X
4
Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba yrequerimientos para la documentación. Existen mecanismos de aprobación documentados y acordados, para garantizar que se sigan todos los pasos y seautoricen las excepciones. Han evolucionado prácticas y procedimientos para ajustarlos a la medida de la organización, los utilizan todo el personal y sonapropiados para la mayoría de los requerimientos de aplicación.
X
5
Las prácticas de adquisición y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es con base en componentes, conaplicaciones predefinidas y estandarizadas que corresponden a las necesidades del negocio. El enfoque se extiende para toda la empresa. La metodologíade adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción yflexibilidad para responder a requerimientos cambiantes del negocio. La metodología de adquisición e implantación de software aplicativo ha sido sujeta amejora continua y se soporta con bases de datos internas y externas que contienen materiales de referencia y las mejores prácticas. La metodologíaproduce documentación dentro de una estructura predefinida que hace eficiente la producción y mantenimiento.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI2: ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
44
TABLA 17. Modelo de madurez AI3
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto. X
1Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructurade TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente deproducción es el ambiente de prueba
XEl proceso de Adquirir y mantener
infraestructura tecnológica se
encuentra en el nivel 1
2No hay consistencia entre enfoques tácticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisición y mantenimiento de la infraestructurade TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. Se tiene la noción deque la infraestructura de TI es importante, que se apoya en algunas prácticas formales. Algunos mantenimientos se programan, pero no se programa ni secoordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado.
X
3Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura TI. El proceso respalda las necesidadesde las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. Se planea, programa ycoordina el mantenimiento. Existen ambientes separados para prueba y producción. X
4
Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones,se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. Elproceso está bien organizado y es preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad eintegración se han optimizado parcialmente.
X
5
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas delnegocio y con la arquitectura de la tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de lasúltimas plataformas desarrolladas y herramientas de administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructuray con el uso de la automatización. Con un alto nivel de conciencia se pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva,incluyendo el considerar la opción de contratar servicios externos. La infraestructura de TI se entiende como el apoyo clave para impulsar el uso de TI
X
DOMINIO ADQUIRIR E IMPLEMENTARAI3: ADQUIRIR Y MANTENER INFRAESTRUCTURA DE TECNOLOGÍA
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
45
TABLA 18. Modelo de madurez AI4
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento. Los únicos materiales existentes son aquellos que se suministran con los productos que se adquieren. X
1Existe la percepción de que la documentación de proceso es necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual agrupos limitados. Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemasúnicos con calidad variable. Virtualmente no existen procedimientos de integración a través de los diferentes sistemas y unidades de negocio. No hayaportes de las unidades de negocio en el diseño de programas de entrenamiento.
X El proceso de Facilitar la operación
y el uso se encuentra en el nivel 1
2Se utilizan enfoques similares para generar procedimientos y documentación, pero no se basan en un enfoque estructural o marco de trabajo. No hay unenfoque uniforme para el desarrollo de procedimientos de usuario y de operación. Individuos o equipos de proyecto generan los materiales deentrenamiento, y la calidad depende de los individuos que se involucran. Los procedimientos y la calidad del soporte al usuario van desde pobre a muybuena, con una consistencia e integración muy pequeña a lo largo de la organización. Se proporcionan o facilitan programas de entrenamiento para elnegocio y los usuarios, pero no hay un plan general para ofrecer o dar entrenamiento.
X
3
Existe un esquema bien definido, aceptado y comprendido para documentación del usuario, manuales de operación y materiales de entrenamiento. Seguardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella. Las correcciones a ladocumentación y a los procedimientos se realizan por reacción. Los procedimientos se encuentran disponibles fuera de línea y se pueden acceder ymantener en caso de desastre. Existe un proceso que especifica las actualizaciones de procedimientos y los materiales de entrenamiento para que sea unentregable explícito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido actual varía debido a que no hay un control parareforzar el cumplimiento de estándares. Los usuarios se involucran en los procesos informalmente. Cada vez se utilizan más herramientas automatizadasen la generación y distribución de procedimientos. Se planea y programa tanto el entrenamiento del negocio como de los usuario.
X
4
Existe un esquema definido para los procedimientos de mantenimiento y para los materiales de entrenamiento que cuentan con el soporte de laadministración de TI. El enfoque considerado para los procedimientos de mantenimiento y los manuales de entrenamiento cubren todos los sistemas y lasunidades de negocio, de manera que se pueden observar los procesos desde una perspectiva de negocio. Los procedimientos y materiales deentrenamiento se integran para que contengan interdependencias e interfases. Existen controles para garantizar que se adhieren los estándares y que sedesarrollan y mantienen procedimientos para todos los procesos. La retroalimentación del negocio y del usuario sobre la documentación y el entrenamientose recopila y evalúa como parte de un proceso continuo de mejora. Los materiales de documentación y entrenamiento se encuentran generalmente a unbuen nivel, predecible, de confiabilidad y disponibilidad. Se implanta un proceso emergente para el uso de documentación y administración automatizada deprocedimiento. El desarrollo automatizado de procedimientos se integra cada vez más con el desarrollo de sistemas aplicativos, facilitando la consistencia yel acceso al usuario. El entrenamiento de negocio y usuario es sensible a las necesidades del negocio. La administración de TI está desarrollando medidaspara el desarrollo y la entrega de documentación, materiales y programas de entrenamiento.
X
5
El proceso para la documentación de usuario y de operación se mejora constantemente con la adopción de nuevas herramientas o métodos. Los materialesde procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, con el uso deadministración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener. El material dedocumentación y entrenamiento se actualiza para reflejar los cambios en la organización, en la operación y en el software. Tanto el desarrollo de materialesde documentación y entrenamiento como la entrega de programas de entrenamiento, se encuentran completamente integrados con el negocio y con lasdefiniciones de proceso del negocio, siendo así un apoyo a los requerimientos de toda la organización y no tan sólo procedimientos orientados a TI.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI4: FACILITAR LA OPERACIÓN Y EL USO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
46
TABLA 19. Modelo de madurez AI5
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No existe un proceso definido de adquisición de recursos de TI. La organización no reconoce la necesidad de tener políticas y procedimientos claros deadquisición para garantizar que todos los recursos de TI se encuentren disponibles y de forma oportuna y rentable. X
1
La organización ha reconocido la necesidad de tener políticas y procedimientos documentados que enlacen la adquisición de TI con el proceso general deadquisiciones de la organización. Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otraspersonas que ejercen su juicio profesional más que seguir resultados de procedimientos y políticas formales. Sólo existe un relación ad hoc entre losprocesos de administración de adquisiciones y contratos corporativos y TI. Los contratos de adquisición se administran a la terminación de los proyectosmás que sobre una base continua.
X
2Existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI. Las políticas y procedimientos seintegran parcialmente con el proceso general de adquisición de la organización del negocio. Los procesos de adquisición se utilizan principalmente enproyectos mayores y bastante visibles. Se determinan responsabilidades y rendición de cuentas para la administración de adquisición y contrato de TIsegún la experiencia particular del gerente de contrato. Se reconoce la importancia de administrar proveedores y las relaciones con ellos, pero se manejancon base en la iniciativa individual. Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles.
X
3
La administración establece políticas y procedimientos para la adquisición de TI. Las políticas y procedimientos toman como guía el proceso general deadquisición de la organización. La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio. Existen estándares deTI para la adquisición de recursos de TI. Los proveedores de recursos de TI se integran dentro de los mecanismos de administración de proyectos de laorganización desde una perspectiva de administración de contratos. La administración de TI comunica la necesidad de contar con una administraciónadecuada de adquisiciones y contratos en toda la función de TI.
X
4
La adquisición de TI se integra totalmente con los sistemas generales de adquisición de la organización. Se utilizan los estándares para la adquisición derecursos de TI en todos los procesos de adquisición. Se toman medidas para la administración de contratos y adquisiciones relevantes para los casos denegocio que requiran la adquisición de TI. Se dispone de reportes que sustentan los objetivos de negocio. La administración está consciente por lo general,de las excepciones a las políticas y procedimientos para la adquisición de TI. Se está desarrollando una administración estratégica de relaciones. Laadministración de TI implanta el uso de procesos de administración para adquisición y contratos en todas las adquisiciones mediante la revisión demedición al desempeño.
X El proceso de Adquirir recursos de
TI se encuentra en el nivel 4
5
La administración instituye y da recursos a procesos exhaustivos para la adquisición de TI. La administración impulsa el cumplimiento de las políticas yprocedimientos de adquisición de TI. Se toman las medidas en la administración de contratos y adquisiciones, relevantes en casos de negocio paraadquisición de TI. Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estasrelaciones. Se manejan las relaciones en forma estratégica. Los estándares, políticas y procedimientos de TI para la adquisición de recursos TI se manejanestratégicamente y responden a la medición del proceso. La administración de TI comunica la importancia estratégica de tener una administraciónapropiada de adquisiciones y contratos, a través de la función TI.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI5: ADQUIRIR RECURSOS DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
47
TABLA 20. Modelo de madurez AI6
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No existe un proceso definido de administración de cambio y los cambios se pueden realizar virtualmente sin control. No hay conciencia de que el cambiopuede causar una interrupción para TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administración de cambio. X
1Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Haydocumentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable. Es posible que ocurran errores junto coninterrupciones al ambiente de producción, provocados por una pobre administración de cambios. X El proceso de Administrar cambios
se encuentra en el nivel 1
2Existe un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado, esrudimentario y propenso a errores. La exactitud de la documentación de la configuración es inconsistente y de planeación limitada y la evaluación deimpacto se da previa al cambio. X
3
Existe un proceso formal definido para la administración del cambio, que incluye la categorización, asignación de prioridades, procedimientos deemergencia, autorización del cambio y administración de liberación, y va surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y losprocesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El análisis deimpacto de los cambios de TI en operaciones de negocio se está volviendo formal, para apoyar la implantación planeada de nuevas aplicaciones ytecnologías.
X
4
El proceso de administración de cambio se desarrolla bien y es consistente para todos los cambios, y la gerencia confía que hay excepciones mínimas. Elproceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para garantizar el logro de la calidad. Todos loscambios están sujetos a una planeación minuciosa y a la evaluación del impacto para minimizar la probabilidad de tener problemas de post-producción. Seda un proceso de aprobación para cambios. La documentación de administración de cambios es vigente y correcta, con seguimiento formal a los cambios.La documentación de configuración es generalmente exacta. La planeación e implantación de la administración de cambios en TI se van integrando con loscambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad delnegocio. Existe una coordinación creciente entre la administración de cambio de TI y el rediseño del proceso de negocio. Hay un proceso consistente paramonitorear la calidad y el desempeño del proceso de administración de cambios.
X
5
El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas. El proceso derevisión refleja los resultados del monitoreo. La información de la configuración es computarizada y proporciona un control de versión. El rastreo del cambioes sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambio de TI se integra con la administraciónde cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades denegocio para la organización.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI6: ADMINISTRAR CAMBIOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
48
TABLA 21. Modelo de madurez AI7
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Hay una ausencia completa de procesos formales de instalación o acreditación y ni la gerencia senior ni el personal de TI reconocen la necesidad deverificar que las soluciones se ajustan para el propósito deseado. X
1Existe la percepción de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizanpara algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían. La acreditaciónformal y la autorización son raras o no existentes.
XEl proceso de Instalar y acreditar
soluciones y cambios se encuentra
en el nivel 1
2Existe cierta consistencia entre los enfoques de prueba y acreditación, pero por lo regular no se basan en ninguna metodología. Los equipos individuales dedesarrollo deciden normalmente el enfoque de prueba y casi siempre hay ausencia de pruebas de integración. Hay un proceso de aprobación informal. X
3Se cuenta con una metodología formal en relación con la instalación, migración, conversión y aceptación. Los procesos de TI para instalación y acreditación están integrados dentro del ciclo de vida del sistema y están automatizados hasta cierto punto. El entrenamiento, pruebas y transición y acreditación aproducción tienen muy probablemente variaciones respecto al proceso definido, con base en las decisiones individuales. La calidad de los sistemas quepasan a producción es inconsistente, y los nuevos sistemas a menudo generan un nivel significativo de problemas posteriores a la implantación.
X
4
Los procedimientos son formales y se desarrollan para ser organizados y prácticos con ambientes de prueba definidos y con procedimientos deacreditación. En la práctica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluación de la satisfacción a los requerimientos delusuario es estándar y medible, y produce mediciones que la gerencia puede revisar y analizar de forma efectiva. La calidad de los sistemas que entran enproducción es satisfactoria para la gerencia, aún con niveles razonables de problemas posteriores a la implantación. La automatización del proceso es adhoc y depende del proyecto. Es posible que la gerencia esté satisfecha con el nivel actual de eficiencia a pesar de la ausencia de una evaluación posterior ala implantación. El sistema de prueba refleja adecuadamente el ambiente de producción. La prueba de stress para los nuevos sistemas y la prueba deregresión para sistemas existentes se aplican para proyectos mayores.
X
5
Los procesos de instalación y acreditación se han refinado a un nivel de buena práctica, con base en los resultados de mejora continua y refinamiento. Losprocesos de TI para la instalación y acreditación están totalmente integrados dentro del ciclo de vida del sistema y se automatizan cuando es apropiado,arrojando el estatus más eficiente de entrenamiento, pruebas y transición a producción para los nuevos sistemas. Los ambientes de prueba biendesarrollados, los registros de problemas y los procesos de resolución de fallas aseguran la transición eficiente y efectiva al ambiente de producción. Laacreditación toma lugar regularmente sin repetición de trabajos, y los problemas posteriores a la implantación se limitan normalmente a correccionesmenores. Las revisiones posteriores a la implantación son estándar, y las lecciones aprendidas se canalizan nuevamente hacia el proceso para asegurar elmejoramiento continuo de la calidad. Las pruebas de stress para los nuevos sistemas y las pruebas de regresión para sistemas modificados se aplican enforma consistente.
X
DOMINIO ADQUIRIR E IMPLEMENTARAI7: INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
49
TABLA 22. Modelo de madurez DS1
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio. La responsabilidad y la rendición de cuentas sobre el monitoreo noestá asignada. X
1Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la rendición de cuentassobre para la definición y la administración de servicios no está definida. Si existen las medidas para medir el desempeño son solamente cualitativas conmetas definidas de forma imprecisa. La notificación es informal, infrecuente e inconsistente.
XEl proceso de Definir y administrar
los niveles de servicio se
encuentra en el nivel 1
2 Los niveles de servicio están acordados pero son informales y no están revisados. Los reportes de los niveles de servicio están incompletos y pueden serirrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de losadministradores. Está designado un coordinador de niveles de servicio con responsabilidades definidas, pero con autoridad limitada. Si existe un procesopara el cumplimiento de los acuerdos de niveles de servicio es voluntario y no está implementado.
X
3
Las responsabilidades están bien definidas pero con autoridad discrecional. El proceso de desarrollo del acuerdo de niveles de servicio esta en orden ycuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente. Los servicios y los niveles de servicio están definidos,documentados y se ha acordado utilizar un proceso estándar. Las deficiencias en los niveles de servicio están identificadas pero los procedimientos pararesolver las deficiencias son informales. Hay un claro vínculo entre el cumplimiento del nivel de servicio esperado y el presupuesto contemplado. Losniveles de servicio están acordados pero pueden no responder a las necesidades del negocio.
X
4
Aumenta la definición de los niveles de servicio en la fase de definición de requerimientos del sistema y se incorporan en el diseño de la aplicación y de losambientes de operación. La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño reflejan las necesidades delcliente, en lugar de las metas de TI. Las medidas para la valoración de los niveles de servicio se vuelven estandarizadas y reflejan los estándares de laindustria. Los criterios para la definición de los niveles de servicio están basados en la criticidad del negocio e incluyen consideraciones de disponibilidad,confiabilidad, desempeño, capacidad de crecimiento, soporte al usuario, planeación de continuidad y seguridad. Cuando no se cumplen los niveles deservicio, se llevan a cabos análisis causa-raíz de manera rutinaria. El proceso de reporte para monitorear los niveles de servicio se vuelve cada vez másautomatizado. Los riesgos operacionales y financieros asociados con la falta de cumplimiento de los niveles de servicio, están definidos y se entiendenclaramente. Se implementa y mantiene un sistema formal de medición de los KPIs y los KGIs.
X
5
Los niveles de servicio son continuamente reevaluados para asegurar la alineación de TI y los objetivos del negocio, mientras se toma ventaja de latecnología incluyendo le relación costo-beneficio. Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los nivelesde satisfacción del cliente son administrados y monitoreados de manera continua. Los niveles de servicio esperados reflejan metas estratégicas de lasunidades de negocio y son evaluadas contra las normas de la industria. La administración de TI tiene los recursos y la asignación de responsabilidadesnecesarias para cumplir con los objetivos de niveles de servicio y la compensación está estructurada para brindar incentivos por cumplir con dichosobjetivos. La alta gerencia monitorea los KPIs y los KGIs como parte de un proceso de mejora continua.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS1: DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
50
TABLA 23. Modelo de madurez DS2
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Losservicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan. A falta de una obligacióncontractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.
X
1La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios deterceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medición de losservicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).
X2
El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza uncontrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán). Los reportes sobre losservicios existen, pero no apoyan los objetivos del negocio. X
3Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores. Cuando sehace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en elcontrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términoscontractuales se basan en formatos estandarizados. El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.
XEl proceso de Administrar servicois
de terceros se encuentra en el
nivel 3
4
Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables asuministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades para la administración delcontrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua. Los requerimientos del servicio estándefinidos y alineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales, lo cual proporcionainformación para evaluar los servicios actuales y futuros del tercero. Se utilizan modelos de fijación de precios de transferencia en el proceso deadquisición. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs yKGIs para la supervisión del servicio.
X
5
Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos. La responsabilidad de administrar a los proveedores yla calidad de los servicios prestados está asignada. Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantanacciones correctivas. El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación delservicio. Las mediciones varían como respuesta a los cambios en las condiciones del negocio. Las mediciones ayudan a la detección temprana deproblemas potenciales con los servicios de terceros. La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada conla compensación del tercero. La gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs yKGIs.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS2: ADMINISTRAR SERVICIOS DE TERCEROS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
51
TABLA 24. Modelo de madurez DS3
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos deservicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un proceso de planeación de la capacidad. X
1
Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para resolver las limitaciones de desempeño y capacidad. Los responsables delos procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar eldesempeño y la capacidad son típicamente reactivas. El proceso de planeación de la capacidad y el desempeño es informal. El entendimiento sobre lacapacidad y el desempeño de TI, actual y futuro, es limitado.
XEl proceso de Administrar el
desempeño y la capacidad se
encuentra en el nivel 1
2
Los responsables del negocio y la gerencia de TI están concientes del impacto de no administrar el desempeño y la capacidad. Las necesidades dedesempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyecto. Algunasherramientas individuales pueden utilizarse para diagnosticar problemas de desempeño y de capacidad, pero la consistencia de los resultados depende dela experiencia de individuos clave. No hay una evaluación general de la capacidad de desempeño de TI o consideración sobre situaciones de carga pico ypeor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos ycorregirlos. Cualquier medición de desempeño se basa primordialmente en las necesidades de TI y no en las necesidades del cliente.
X
3
Los requerimientos de desempeño y capacidad están definidos a lo largo del ciclo de vida del sistema. Hay métricas y requerimientos de niveles de serviciobien definidos, que pueden utilizarse para medir el desempeño operacional. Los pronósticos de la capacidad y el desempeño se modelan por medio de unproceso definido. Los reportes se generan con estadísticas de desempeño. Los problemas relacionados al desempeño y a la capacidad siguen siendosusceptibles a ocurrir y su resolución sigue consumiendo tiempo. A pesar de los niveles de servicio publicados, los usuarios y los clientes pueden sentirseescépticos acerca de la capacidad del servicio.
X
4
Hay procesos y herramientas disponibles para medir el uso del sistema, el desempeño y la capacidad, y los resultados se comparan con metas definidas.Hay información actualizada disponible, brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta dedesempeño o de capacidad. Los problemas de falta de desempeño y de capacidad se enfrentan de acuerdo con procedimientos definidos yestandarizados. Se utilizan herramientas automatizadas para monitorear recursos específicos tales como espacios en disco, redes, servidores ycompuertas de red. Las estadísticas de desempeño y capacidad son reportadas en términos de los procesos de negocio, de forma que los usuarios y losclientes comprendan los niveles de servicio de TI. Los usuarios se sienten por lo general satisfechos con la capacidad del servicio actual y pueden solicitarnuevos y mejores niveles de disponibilidad. Se han acordado los KGIs y KPIs para medir el desempeño y la capacidad de TI, pero puede ser que se aplicanusta la planeación del desempeño y l
X
5
Los planes de desempeño y capacidad están completamente sincronizados con las proyecciones de demanda del negocio. La infraestructura de TI y lademanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible. Las herramientaspara monitorear recursos críticos de TI han sido estandarizadas y usadas a través de diferentes plataformas y vinculadas a un sistema de administraciónde incidentes a lo largo de toda la organización. Las herramientas de monitoreo detectan y pueden corregir automáticamente problemas relacionados con lacapacidad y el desempeño. Se llevan a cabo análisis de tendencias, los cuales muestran problemas de desempeño inminentes causados por incrementosen los volúmenes de negocio, lo que permite planear y evitar problemas inesperados. Las métricas para medir el desempeño y la capacidad de TI han sidobien afinadas dentro de los KGIs y KPIs para todos los procesos de negocio críticos y se miden de forma regular. La gerencia ajde forma esporádica einconsistente.a capacidad siguiendo los análisis de los KGIs y KPIs.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS3: ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
52
TABLA 25. Modelo de madurez DS4
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI o del impacto en el negocio por la pérdida de los servicios de TI.No se considera que la continuidad en los servicios deba tener atención de la gerencia. X
1
Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. La gerencia comienzaa darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios. El enfoque de la gerencia sobre la continuidad delservicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI. Los usuarios utilizan soluciones alternas como respuesta a lainterrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación. Las pérdidas de energía planeadas estánprogramadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
XEl proceso de Garantizar la
continuidad del servicio se
encuentra en el nivel 1
2
Se asigna la responsabilidad para mantener la continuidad del servicio. Los enfoques para asegurar la continuidad están fragmentados. Los reportes sobrela disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio. No hay un plan de continuidad de TIdocumentado, aunque hay compromiso para mantener disponible la continuidad del servicio y sus principios más importantes se conocen. Existe uninventario de sistemas y componentes críticos, pero puede no ser confiable. Las prácticas de continuidad en los servicios emergen, pero el éxito dependede los individuos.
X
3
La responsabilidad sobre la administración de la continuidad del servicio es clara. Las responsabilidades de la planeación y de las pruebas de lacontinuidad de los servicios están claramente asignadas y definidas. El plan de continuidad de TI está documentado y basado en la criticidad de lossistemas y el impacto al negocio. Hay reportes periódicos de las pruebas de continuidad. Los individuos toman la iniciativa para seguir estándares y recibircapacitación para enfrentarse con incidentes mayores o desastres. La gerencia comunica de forma regular la necesidad de planear el aseguramiento de lacontinuidad del servicio. Se han aplicado componentes de alta disponibilidad y redundancia. Se mantiene un inventario de sistemas y componentes críticos.
X
4
Se hacen cumplir las responsabilidades y los estándares para la continuidad de los servicios. Se asigna la responsabilidad de mantener un plan decontinuidad de servicios. Las actividades de mantenimiento están basadas en los resultados de las pruebas de continuidad, en las buenas prácticasinternas y en los cambios en el ambiente del negocio y de TI. Se recopila, analiza y reporta documentación estructurada sobre la continuidad en losservicios y se actúa en consecuencia. Se brinda capacitación formal y obligatoria sobre los procesos de continuidad. Se implementan regularmente buenasprácticas de disponibilidad de los sistemas. Las prácticas de disponibilidad y la planeación de la continuidad de los servicios tienen influencia una sobre laotra. Se clasifican los incidentes de discontinuidad y la ruta de escalamiento es bien conocida por todos los involucrados. Se han desarrollado y acordadoKGIs y KPIs para la continuidad de los servicios, aunque pueden ser medidos de manera inconsistente.
X
5
Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas. El plan de continuidad de TIestá integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria. El requerimiento para asegurar continuidad esgarantizado por los proveedores y principales distribuidores. Se realizan pruebas globales de continuidad del servicio, y los resultados de las pruebas seutilizan para actualizar el plan. La recopilación y el análisis de datos se utilizan para mejorar continuamente el proceso. Las prácticas de disponibilidad y lacontinua planeación de la continuidad están totalmente alineadas. La gerencia asegura que un desastre o un incidente mayor no ocurrirá como resultado deun punto único de falla. Las prácticas de escalamiento se entienden y se hacen cumplir a fondo. Los KGIs y KPIs sobre el cumplimiento de la continuidadde los servicios se miden de manera sistemática. La gerencia ajusta la planeación de continuidad como respuesta a los KGIs y KPIs.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS4: GARANTIZAR LA CONTINUIDAD DEL SERVICIO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
53
TABLA 26. Modelo de madurez DS5
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La organización no reconoce la necesidad de la seguridad para TI. Las responsabilidades y la rendición de cuentas no están asignadas para garantizar laseguridad. Las medidas para soportar la administrar la seguridad de TI no están implementadas. No hay reportes de seguridad de TI ni un proceso derespuesta para resolver brechas de seguridad de TI. Hay una total falta de procesos reconocibles de administración de seguridad de sistemas.
X
1La organización reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. Laseguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusacionespersonales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.
XEl proceso de Garantizar la
seguridad de los sistemas se
encuentra en el nivel 1
2
Las responsabilidades y la rendición de cuentas sobre la seguridad, están asignadas a un coordinador de seguridad de TI, pero la autoridad gerencial delcoordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevanterespecto a la seguridad, ésta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa.Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de TI sonincompletos, engañosos o no aplicables. La capacitación sobre seguridad está disponible pero depende principalmente de la iniciativa del individuo. Laseguridad de TI es vista primordialmente como responsabilidad y disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia disciplina.
X
3
Existe conciencia sobre la seguridad y ésta es promovida por la gerencia. Los procedimientos de seguridad de TI están definidos y alineados con la políticade seguridad de TI. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan deseguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizanpruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe capacitación en seguridad para TI y para el negocio, pero se programa y secomunica de manera informal.
X
4
Las responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara. Regularmente se lleva a cabo un análisisde impacto y de riesgos de seguridad. Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas. El contacto conmétodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios está estandarizada. Lacertificación en seguridad es buscada por parte del personal que es responsable de la auditoría y la administración de la seguridad. Las pruebas deseguridad se hacen utilizando procesos estándares y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI estáncoordinados con la función de seguridad de toda la organización. Los reportes de seguridad están ligados con los objetivos del negocio. La capacitaciónsobre seguridad se imparte tanto para TI como para el negocio. La capacitación sobre seguridad de TI se planea y se adminispro-activa de riesgos para lamejora continua de procesos. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización.
X
5
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y está integrada con los objetivos de seguridad del negocio en lacorporación. Los requerimientos de seguridad de TI están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Losusuarios y los clientes se responsabilizan cada vez más de definir requerimientos de seguridad, y las funciones de seguridad están integradas con lasaplicaciones en la fase de diseño. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportadospor herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan deseguridad. La información sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemática. Se recolectan e implementan de formaoportuna controles adecuados para mitigar riesgos. Se llevan acabo pruebas de seguridad, análisis de causa-efecto e identificación pro-activa de riesgospara la mejora continua de procesos. Los procesos de seguridad y la tecnología están integrados a lo largo de toda la organización. Los KGIs y KPIs paraadministración de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejoracontinua.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS5: GARANTIZAR LA SEGURIDAD DE LOS SITEMAS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
54
TABLA 27. Modelo de madurez DS6
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0Hay una completa falta de cualquier proceso reconocible de identificación y distribución de costos en relación a los servicios de información brindados. Laorganización no reconoce incluso que hay un problema que atender respecto a la contabilización de costos y que no hay comunicación respecto a esteasunto. X El proceso de Identificar y asignar
costos se encuentra en el nivel 0
1
Hay un entendimiento general de los costos globales de los servicios de información, pero no hay una distribución de costos por usuario, cliente,departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. Es casi nulo el monitoreo de los costos, sólo se reportan a la gerencialos costos agregados. La distribución de costos de TI se hace como un costo fijo de operación. Al negocio no se le brinda información sobre el costo o losbeneficios de la prestación del servicio.
X
2 Hay conciencia general de la necesidad de identificar y asignar costos. La asignación de costos esta basada en suposiciones de costos informales orudimentarios, por ejemplo, costos de hardware, y prácticamente no hay relación con los generadores de valor. Los procesos de asignación de costospueden repetirse. No hay capacitación o comunicación formal sobre la identificación de costos estándar y sobre los procedimientos de asignación. No estáasignada la responsabilidad sobre la recopilación o la asignación de los costos.
X
3Hay un modelo definido y documentado de costos de servicios de información. Se ha definido un proceso para relacionar costos de TI con los serviciosprestados a los usuarios. Existe un nivel apropiado de conciencia de los costos atribuibles a los servicios de información. Al negocio se le brindainformación muy básica sobre costos. X
4
Las responsabilidades sobre la administración de costos de los servicios de información están bien definidas y bien entendidas a todos los niveles, y sonsoportadas con capacitación formal. Los costos directos e indirectos están identificados y se reportan de forma oportuna y automatizada a la gerencia, a lospropietarios de los procesos de negocio y a los usuarios. Por lo general, hay monitoreo y evaluación de costos, y se toman acciones cuando se detectandesviaciones de costos. El reporte del costo de los servicios de información esta ligado a los objetivos del negocio y los acuerdos de niveles de servicio, yson vigilados por los propietarios de los procesos de negocio. Una función financiera revisa que el proceso de asignación de costos sea razonable. Existeun sistema automatizado de distribución de costos, pero se enfoca principalmente en la función de los servicios de información en vez de hacerlo en losprocesos de negocio. Se acordaron los KPIs y KGIs para mediciones de costos, pero son medidos de manera inconsistente.
X
5
Los costos de los servicios prestados se identifican, registran, resumen y reportan a la gerencia, a los propietarios de los procesos de negocio y a losusuarios. Los costos se identifican como productos cobrables y pueden soportar un sistema de cobro que cargue a los usuarios por los serviciosprestados, con base en la utilización. Los detalles de costos soportan los acuerdos de niveles de servicio. El monitoreo y la evaluación del costo de losservicios se utilizan para optimizar el costo de los recursos de TI. Las cifras obtenidas de los costos se usan para verificar la obtención de beneficios y parael proceso de presupuesto de la organización. Los reportes sobre el costo de los servicios de información brindan advertencias oportunas de cambios enlos requerimientos del negocio, por medio del uso de sistemas de reporte inteligentes. Se utiliza un modelo de costos variables, derivado de los volúmenesde datos procesados de cada servicio prestado. La administración de costos se ha llevado a un nivel de práctica industrial, basada en el resultado demejoras continuas y de comparación con otras organizaciones. La optimización de costos es un proceso constante. La gerencia revisa los KPIs y KGIscomo parte de un proceso de mejora continua en el rediseño de los sistemas de medición de costos.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS6: IDENTIFICAR Y ASIGNAR COSTOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
55
TABLA 28. Modelo de madurez DS7
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Hay una total falta de programas de entrenamiento y educación. La organización no reconoce que hay un problema a ser atendido respecto alentrenamiento y no hay comunicación sobre el problema. X
El proceso de Educar y entrenar a
los usuarios se encuentra en el
nivel 0
1
Hay evidencia de que la organización ha reconocido la necesidad de contar con un programa de entrenamiento y educación, pero no hay procedimientosestandarizados. A falta de un proceso organizado, los empleados han buscado y asistido a cursos de entrenamiento por su cuenta. Algunos de estoscursos de entrenamiento abordan los temas de conducta ética, conciencia sobre la seguridad en los sistemas y prácticas de seguridad. El enfoque globalde la gerencia carece de cohesión y sólo hay comunicación esporádica e inconsistente respecto a los problemas y enfoques para hacerse cargo delentrenamiento y la educación.
X
2
Hay conciencia sobre la necesidad de un programa de entrenamiento y educación, y sobre los procesos asociados a lo largo de toda la organización. Elentrenamiento está comenzando a identificarse en los planes de desempeño individuales de los empleados. Los procesos se han desarrollado hasta la faseen la cual se imparte entrenamiento informal por parte de diferentes instructores, cubriendo los mismos temas de materias con diferentes puntos de vista.Algunas de las clases abordan los temas de conducta ética y de conciencia sobre prácticas y actividades de seguridad en los sistemas. Hay una grandependencia del conocimiento de los individuos. Sin embargo, hay comunicación consistente sobre los problemas globales y sobre la necesidad deatenderlos.
X
3
El programa de entrenamiento y educación se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las necesidades deentrenamiento. Los procesos de entrenamiento y educación se estandarizan y documentan. Para soportar el programa de entrenamiento y educación, seestablecen presupuestos, recursos, instructores e instalaciones. Se imparten clases formales sobre conducta ética y sobre conciencia y prácticas deseguridad en los sistemas. La mayoría de los procesos de entrenamiento y educación son monitoreados, pero no todas las desviaciones son susceptiblesde detección por parte de la gerencia. El análisis sobre problemas de entrenamiento y educación solo se aplica de forma ocasional.
X
4
Hay un programa completo de entrenamiento y educación que produce resultados medibles. Las responsabilidades son claras y se establece la propiedadsobre los procesos. El entrenamiento y la educación son componentes de los planes de carrera de los empleados. La gerencia apoya y asiste a sesiones de entrenamiento y de educación. Todos los empleados reciben entrenamiento sobre conducta ética y sobre conciencia y prácticas de seguridad en lossistemas. Todos los empleados reciben el nivel apropiado de entrenamiento sobre prácticas de seguridad en los sistemas para proteger contra dañosoriginados por fallas que afecten la disponibilidad, la confidencialidad y la integridad. La gerencia monitorea el cumplimiento por medio de revisión constantey actualización del programa y de los procesos de entrenamiento. Los procesos están en vía de mejora y fomentan las mejores prácticas internas.
X
5
El entrenamiento y la educación dan como resultado la mejora del desempeño individual. El entrenamiento y la educación son componentes críticos de losplanes de carrera de los empelados. Se asignan suficientes presupuestos, recursos, instalaciones e instructores para los programas de entrenamiento yeducación. Los procesos se afinan y están en continua mejora, tomando ventaja de las mejores prácticas externas y de modelos de madurez de otrasorganizaciones. Todos los problemas y desviaciones se analizan para identificar las causas de raíz, se identifican y llevan a cabo acciones de formaexpedita. Hay una actitud positiva con respecto a la conducta ética y respecto a los principios de seguridad en los sistemas. La TI se utiliza de maneraamplia, integral y óptima para automatizar y brindar herramientas para los programas de entrenamiento y educación. Se utilizan expertos externos enentrenamiento y se utilizan benchmarks del mercado como orientación.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS7: EDUCAR Y ENTRENAR A LOS USUARIOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
56
TABLA 29. Modelo de madurez DS8
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administración de incidentes. Laorganización no reconoce que hay un problema que atender. X
1La gerencia reconoce que requiere un proceso soportado por herramientas y personal para responder a las consultas de los usuarios y administrar laresolución de incidentes. Sin embargo, se trata de un proceso no estandarizado y sólo se brinda soporte reactivo. La gerencia no monitorea las consultasde los usuarios, los incidentes o las tendencias. No existe un proceso de escalamiento para garantizar que los problemas se resuelvan.
XEl proceso de Administrar la mesa
de servicios y los incidentes se
encuentra en el nivel 1
2Hay conciencia organizacional de la necesidad de una función de mesa de servicio y de un proceso de administración de incidentes. Existe ayudadisponible de manera informal a través de una red de individuos expertos. Estos individuos tienen a su disposición algunas herramientas comunes paraayudar en la resolución de incidentes. No hay entrenamiento formal y la comunicación obre procedimientos estándar y la responsabilidad es delegada alindividuo.
X
3
Se reconoce y se acepta la necesidad de contar con una función de mesa de servicio y un proceso para la administración de incidentes. Losprocedimientos se estandarizan y documentan, pero se lleva acabo entrenamiento informal. Se deja la responsabilidad al individuo de conseguirentrenamiento y de seguir los estándares. Se desarrollan guías de usuario y preguntas frecuentes (FAQs), pero los individuos deben encontrarlas y puedeser que no las sigan. Las consultas y los incidentes se rastrean de forma manual y se monitorean de forma individual, pero no existe un sistema formal dereporte. No se mide la respuesta oportuna a las consultas e incidentes y los incidentes pueden quedar sin resolución. Los usuarios han recibidoindicaciones claras de dónde y cómo reportar problemas e incidentes.
X
4
En todos los niveles de la organización hay un total entendimiento de los beneficios de un proceso de administración de incidentes y la función de mesa deservicio se ha establecido en las unidades organizacionales apropiadas. Las herramientas y técnicas están automatizadas con una base de conocimientoscentralizada. El personal de la mesa de servicio interactúa muy de cerca con el personal de administración de problemas. Las responsabilidades son clarasy se monitorea su efectividad. Los procedimientos para comunicar, escalar y resolver incidentes han sido establecidos y comunicados. El personal de lamesa de servicio está capacitado y los procesos se mejoran a través del uso de software para tareas específicas. La gerencia ha desarrollado los KPIs yKGIs para el desempeño de la mesa de servicio.
X
5
El proceso de administración de incidentes y la función de mesa de servicio están bien organizados y establecidos y se llevan a cabo con un enfoque deservicio al cliente ya que son expertos, enfocados al cliente y útiles. Los KPIs y KGIs son medidos y reportados sistemáticamente. Una amplia y extensacantidad de preguntas frecuentes son parte integral de la base de conocimientos. Existen a disposición del usuario, herramientas para llevar a caboautodiagnósticos y para resolver incidentes. La asesoría es consistente y los incidentes se resuelven de forma rápida dentro de un proceso estructurado deescalamiento. La gerencia utiliza una herramienta integrada para obtener estadísticas de desempeño del proceso de administración de incidentes y de lafunción de mesa de servicio. Los procesos han sido afinados al nivel de las mejores prácticas de la industria, con base en los resultados del análisis de losKPIs y KGIs, de la mejora continua y de benchmarking con otras organizaciones.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS8: ADMINISTRAR LA MESA DE SERVICIOS Y LOS INCIDENTES
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
57
TABLA 30. Modelo de madurez DS9
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura deTI, tanto para configuraciones de hardware como de software. X
1 Se reconoce la necesidad de contar con una administración de configuración. Se llevan a cabo tareas básicas de administración de configuraciones, talescomo mantener inventarios de hardware y software pero de manera individual. No están definidas prácticas estandarizadas. X
El proceso de Administrar la
configuración se encuentra en el
nivel 1
2
La gerencia esta conciente de la necesidad de controlar la configuración de TI y entiende los beneficios de mantener información completa y precisa sobrelas configuraciones, pero hay una dependencia implícita del conocimiento y experiencia del personal técnico. Las herramientas para la administración deconfiguraciones se utilizan hasta cierto grado, pero difieren entre plataformas. Además no se han definido prácticas estandarizadas de trabajo. El contenidode la información de la configuración es limitado y no lo utilizan los procesos interrelacionados, tales como administración de cambios y administración deproblemas.
X
3
Los procedimientos y las prácticas de trabajo se han documentado, estandarizado y comunicado, pero la capacitación y la aplicación de estándaresdependen del individuo. Además se han implementado herramientas similares de administración de configuración entre plataformas. Es poco probabledetectar las desviaciones de los procedimientos y las verificaciones físicas se realizan de manera inconsistente. Se lleva a cabo algún tipo deautomatización para ayudar a rastrear cambios en el software o en el hardware. La información de la configuración es utilizada por los procesosinterrelacionados.
X
4
En todos los niveles de la organización se reconoce la necesidad de administrar la configuración y las buenas prácticas siguen evolucionando. Losprocedimientos y los estándares se comunican e incorporan a la capacitación y las desviaciones son monitoreadas, rastreadas y reportadas. Se utilizanherramientas automatizadas para fomentar el uso de estándares y mejorar la estabilidad. Los sistemas de administración de configuraciones cubren lamayoría de los activos de TI y permiten una adecuada administración de liberaciones y control de distribución. Los análisis de excepciones, así como lasverificaciones físicas, se aplican de manera consistente y se investigan las causas desde su raíz.
X
5
Todos los activos de TI se administran en un sistema central de configuraciones que contiene toda la información necesaria acerca de los componentes,sus interrelaciones y eventos. La información de las configuraciones está alineada con los catálogos de los proveedores. Hay una completa integración delos procesos interrelacionados, y estos utilizan y actualizan la información de la configuración de manera automática. Los reportes de auditoría de lospuntos de referencia, brindan información esencial sobre el software y hardware con respecto a reparaciones, servicios, garantías, actualizaciones yevaluaciones técnicas de cada unidad individual. Se fomentan las reglas para limitar la instalación de software no autorizado. La gerencia proyecta lasreparaciones y las actualizaciones utilizando reportes de análisis que proporcionan funciones de programación de actualizaciones y de renovación detecnología. El rastreo de activos y el monitoreo de activos individuales de TI los protege y previene de robo, de mal uso y de abusos.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS9: ADMINISTRAR LA CONFIGURACIÓN
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
58
TABLA 31. Modelo de madurez DS10
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se han hecho intentospor identificar la causa raíz de los incidentes. X
1Los individuos reconocen la necesidad de administrar los problemas y de revolver las causas de fondo. Algunos individuos expertos clave brindan asesoríasobre problemas relacionados a su área de experiencia, pero no está asignada la responsabilidad para la administración de problemas. La información nose comparte, resultando en la creación de nuevos problemas y la pérdida de tiempo productivo mientras se buscan respuestas.
XEl proceso de Administración de
problemas se encuentra en el nivel
1
2Hay una amplia conciencia sobre la necesidad y los beneficios de administrar los problemas relacionados con TI, tanto dentro de las áreas de negociocomo en la función de servicios de información. El proceso de resolución ha evolucionado un punto en el que unos cuantos individuos clave sonresponsables de identificar y resolver los problemas. La información se comparte entre el personal de manera informal y reactiva. El nivel de servicio haciala comunidad usuaria varía y es obstaculizado por la falta de conocimiento estructurado a disposición del administrador de problemas.
X
3
Se acepta la necesidad de un sistema integrado de administración de problemas y se evidencia con el apoyo de la gerencia y la asignación de presupuestopara personal y capacitación. Se estandarizan los procesos de escalamiento y resolución de problemas. El registro y rastreo de problemas y de sussoluciones se dividen dentro del equipo de respuesta, utilizando las herramientas disponibles sin centralizar. Es poco probable detectar las desviaciones delos estándares y de las normas establecidas. La información se comparte entre el personal de manera formal y proactiva. La revisión de incidentes y losanálisis de identificación y resolución de problemas son limitados e informales.
X
4
El proceso de administración de problemas se entiende a todos los niveles de la organización. Las responsabilidades y la propiedad de los problemas estánclaramente establecidas. Los métodos y los procedimientos son documentados, comunicados y medidos para evaluar su efectividad. La mayoría de losproblemas están identificados, registrados y reportados, y su solución ha iniciado. El conocimiento y la experiencia se cultivan, mantienen y desarrollanhacia un nivel más alto a medida que la función es vista como un activo y una gran contribución al logro de las metas de TI y a la mejora de los servicios deTI. La administración de problemas está bien integrada con los procesos interrelacionados, tales como administración de incidentes, de cambios, y deconfiguración, y ayuda a los clientes para administrar información, instalaciones y operaciones. Se han acordado los KPIs y KGIs para el proceso deadministración de problemas.
X
5
El proceso de administración de problemas ha evolucionado a un proceso proactivo y preventivo, que contribuye con los objetivos de TI. Los problemas seanticipan y previenen. El conocimiento respecto a patrones de problemas pasados y futuros se mantiene a través de contactos regulares con proveedores yexpertos. El registro, reporte y análisis de problemas y soluciones está integrado por completo con la administración de datos de configuración. Los KPIs yKGIs son medidos de manera consistente. La mayoría de los sistemas están equipados con mecanismos automáticos de advertencia y detección, loscuales son rastreados y evaluados de manera continua. El proceso de administración de problemas se analiza para buscar la mejora continua con base enlos KPIs y KGIs y se reporta a los interesados.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS10: ADMINISTRACIÓN DE PROBLEMAS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
59
TABLA 32. Modelo de madurez DS11
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Los datos no son reconocidos como parte de los recursos y los activos de la empresa. No está asignada la propiedad sobre los datos o sobre la rendiciónde cuentas individual sobre la administración de los datos. La calidad y la seguridad de los datos son deficientes o inexistentes. X
1
La organización reconoce la necesidad de una correcta administración de los datos. Hay un método adecuado para especificar requerimientos de seguridad en la administración de datos, pero no hay procedimientos implementados de comunicación formal. No se lleva a cabo capacitación específica sobreadministración de los datos. La responsabilidad sobre la administración de los datos no es clara. Los procedimientos de respaldo y recuperación y losacuerdos sobre desechos están en orden.
X
2A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos. A un alto nivel empieza a observarsela propiedad o responsabilidad sobre los datos. Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos (respaldos, recuperación y desecho).Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI.
X El proceso de Administración de
datos se encuentra en el nivel 2
3
Se entiende y acepta la necesidad de la administración de datos, tanto dentro de TI como a lo largo de toda la organización. Se establece la responsabilidadsobre la administración de los datos. Se asigna la propiedad sobre los datos a la parte responsable que controla la integridad y la seguridad. Losprocedimientos de administración de datos se formalizan dentro de TI y se utilizan algunas herramientas para respaldos / recuperación y desecho deequipo. Se lleva a cabo algún tipo de monitoreo sobre la administración de datos. Se definen métricas básicas de desempeño. Comienza a aparecer elentrenamiento sobre administración de información.
X
4
Se entiende la necesidad de la administración de los datos y las acciones requeridas son aceptadas a lo largo de toda la organización. La responsabilidadde la propiedad y la administración de los datos están definidas, asignada y comunicada de forma clara en la organización. Los procedimientos seformalizan y son ampliamente conocidos, el conocimiento se comparte. Comienza a aparecer el uso de herramientas. Se acuerdan con los clientes losindicadores de desempeño y meta y se monitorean por medio de un proceso bien definido. Se lleva a cabo entrenamiento formal para el personal deadministración de los datos.
X
5
Se entiende y acepta dentro de la organización la necesidad de realizar todas las actividades requeridas para la administración de datos. Las necesidades ylos requerimientos futuros son explorados de manera proactiva. Las responsabilidades sobre la propiedad de los datos y la administración de los mismosestán establecidas de forma clara, se conocen ampliamente a lo largo de la organización y se actualizan periódicamente. Los procedimientos se formalizany se conocen ampliamente, la compartición del conocimiento es una práctica estándar. Se utilizan herramientas sofisticadas con un máximo deautomatización de la administración de los datos. Se acuerdan con los clientes los indicadores de desempeño y meta, se ligan con los objetivos del negocioy se monitorean de manera regular utilizando un proceso bien definido. Se exploran constantemente oportunidades de mejora. El entrenamiento para elpersonal de administración de datos se institucionaliza.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS11: ADMINISTRACIÓN DE DATOS
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
60
TABLA 33. Modelo de madurez DS12
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 No hay conciencia sobre la necesidad de proteger las instalaciones o la inversión en recursos de cómputo. Los factores ambientales tales como proteccióncontra fuego, polvo, tierra y exceso de calor y humedad no se controlan ni se monitorean. X
1La organización reconoce la necesidad de contar con un ambiente físico que proteja los recursos y el personal contra peligros naturales y causados por elhombre. La administración de instalaciones y de equipo depende de las habilidades de individuos clave. El personal se puede mover dentro de lasinstalaciones sin restricción. La gerencia no monitorea los controles ambientales de las instalaciones o el movimiento del personal.
X
2 Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad física es un proceso informal, realizado por unpequeño grupo de empleados con alto nivel de preocupación por asegurar las instalaciones físicas. Los procedimientos de mantenimiento de instalacionesno están bien documentados y dependen de las buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se basan en estándaresformales y la gerencia no se asegura de que se cumplan los objetivos de seguridad.
XEl proceso de Administración del
ambiente físico se encuentra en el
nivel 2
3
Se entiende y acepta a lo largo de toda la organización la necesidad de mantener un ambiente de cómputo controlado. Los controles ambientales, elmantenimiento preventivo y la seguridad física cuentan con presupuesto autorizado y rastreado por la gerencia. Se aplican restricciones de acceso,permitiendo el ingreso a las instalaciones de cómputo sólo al personal aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Lasinstalaciones físicas mantienen un perfil bajo y no son reconocibles de manera fácil. Las autoridades civiles monitorean al cumplimiento con losreglamentos de salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar los costos del seguro.
X
4
Se entiende por completo la necesidad de mantener un ambiente de cómputo controlado y se evidencia en la estructura organizacional y en la distribucióndel presupuesto. Los requerimientos de seguridad físicos y ambientales están documentados y el acceso se monitorea y controla estrictamente. Seestablecen y comunican las responsabilidades. El personal de las instalaciones ha sido entrenado por completo respecto a situaciones de emergencia, asícomo en prácticas de salud y seguridad. Están implementados mecanismos de control estandarizados para la restricción de accesos a instalaciones y paracontrarrestar los factores ambientales y de seguridad. La gerencia monitorea la efectividad de los controles y el cumplimiento de los estándaresestablecidos. La gerencia ha establecido KPIs y KGIs para medir la administración del ambiente de cómputo. La capacidad de recuperación de losrecursos de cómputo se incorpora en un proceso organizacional de administración de riesgos. La información integrada se usa para optimiza instalacionesy de estándares están alineadas con las m
X
5
Hay un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente cómputo de la organización. Los estándares están definidospara todas las instalaciones, incluyendo la selección del centro de cómputo, construcción, vigilancia, seguridad personal, sistemas eléctricos y mecánicos,protección contra factores ambientales (por ejemplo, fuego, rayos, inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones deacuerdo con el proceso continuo de administración de riesgos de la organización. El acceso es monitoreado continuamente y controlado estrictamente conbase en las necesidades del trabajo, los visitantes son acompañados en todo momento. El ambiente se monitorea y controla por medio de equipoespecializado y las salas de equipo funcionan sin operadores humanos. Los KPIs y KGIs se miden regularmente. Los programas de mantenimientopreventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles. Las estrategias der la cobertura de los segurosy de los costos asociados.etas de disponibilidad de los servicios de TI y están integradas con la administración de crisis y con la planeación de continuidaddel negocio. La gerencia revisa y optimiza las instalaciones utilizando los KPIs y KGIs de manera continua, capitalizando oportunidades para mejorar lacontribución al negocio.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS12: ADMINISTRACIÓN DEL AMBIENTE FÍSICO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
61
TABLA 34. Modelo de madurez DS13
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La organización no dedica tiempo y recursos al establecimiento de soporte básico de TI y a actividades operativas. X
1
La organización reconoce la necesidad de estructurar las funciones de soporte de TI. Se establecen algunos procedimientos estándar y las actividades deoperaciones son de naturaleza reactiva. La mayoría de los procesos de operación son programados de manera informal y el procesamiento de peticiones seacepta sin validación previa. Las computadoras, sistemas y aplicaciones que soportan los procesos del negocio con frecuencia no están disponibles, seinterrumpen o retrasan. Se pierde tiempo mientras los empleados esperan recursos. Los medios de salida aparecen ocasionalmente en lugaresinesperados o no aparecen.
X
2La organización esta conciente del rol clave que las actividades de operaciones de TI juegan en brindar funciones de soporte de TI. Se asignanpresupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una alta dependenciasobre las habilidades de los individuos. Las instrucciones de qué hacer, cuándo y en qué orden no están documentadas. Existe algo de capacitación para el operador y hay algunos estándares de operación formales.
XEl proceso de Administración
operaciones se encuentra en el
nivel 2
3
Se entiende y acepta dentro de la organización la necesidad de administrar las operaciones de cómputo. Se han asignado recursos y se lleva a cabo algunacapacitación durante el trabajo. Las funciones repetitivas están definidas, estandarizadas, documentadas y comunicadas de manera formal. Los resultadosde las tareas completadas y de los eventos se registran, con reportes limitados hacia la gerencia. Se introduce el uso de herramientas de programaciónautomatizadas y de otras herramientas para limitar la intervención del operador. Se introducen controles para colocar nuevos trabajos en operación. Sedesarrolla una política formal para reducir el número de eventos no programados. Los acuerdos de servicio y mantenimiento con proveedores siguen siendode naturaleza informal.
X
4
Las operaciones de cómputo y las responsabilidades de soporte están definidas de forma clara y la propiedad está asignada. Las operaciones se soportana través de presupuestos de recursos para gastos de capital y de recursos humanos. La capacitación se formaliza y está en proceso. Las programacionesy las tareas se documentan y comunican, tanto a la función interna de TI como a los clientes del negocio. Es posible medir y monitorear las actividadesdiarias con acuerdos estandarizados de desempeño y de niveles de servicio establecidos. Cualquier desviación de las normas establecidas es atendida ycorregida de forma rápida. La gerencia monitorea el uso de los recursos de cómputo y la terminación del trabajo o de las tareas asignadas. Existe unesfuerzo permanente para incrementar el nivel de automatización de procesos como un medio de mejora continua. Se establecen convenios formales demantenimiento y servicio con los proveedores. Hay una completa alineación con los procesos de administración de problemas, capacidad y disponibilidad,soportados por un análisis de causas de errores y fallas.
X
5
Las operaciones de soporte de TI son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de servicio con unapérdida de productividad mínima. Los procesos de administración de operaciones de TI están estandarizados y documentados en una base deconocimiento, y están sujetos a una mejora continua. Los procesos automatizados que soportan los sistemas contribuyen a un ambiente estable. Todos losproblemas y fallas se analizan para identificar la causa que los originó. Las reuniones periódicas con los responsables de administración del cambiogarantizan la inclusión oportuna de cambios en las programaciones de producción. En colaboración con los proveedores, el equipo se analiza respecto aposibles síntomas de obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva.
X
DOMINIO ENTREGAR Y DAR SOPORTEDS13: ADMINISTRACIÓN DE OPERACIONES
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
62
TABLA 35. Modelo de madurez ME1
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 La organización no cuenta con un proceso implantado de monitoreo. TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No secuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce. X
El proceso de Monitorear y
evaluar el desempeño de TI se
encuentra en el nivel 0
1La gerencia reconoce una necesidad de recolectar y evaluar información sobre los procesos de monitoreo. No se han identificado procesos estándar derecolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos yprocesos de TI específicos. El monitoreo por lo general se implanta de forma reactiva a algún incidente que ha ocasionado alguna perdida o vergüenza a laorganización. La función de contabilidad monitorea mediciones financieras básicas para TI.
X
2 Se han identificado algunas mediciones básicas a ser monitoreadas. Los métodos y las técnicas de recolección y evaluación existen, pero los procesos nose han adoptado en toda la organización. La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave. Herramientaslimitadas son seleccionadas y se implantan para recolectar información, pero esta recolección no se basa en un enfoque planeado.
X
3
La gerencia ha comunicado e institucionalizado un procesos estándar de monitoreo. Se han implantado programas educacionales y de entrenamiento parael monitoreo. Se ha desarrollado una base de conocimiento formalizada del desempeño histórico. Las evaluaciones todavía se realizan al nivel de procesosy proyectos individuales de TI y no están integradas a través de todos los procesos. Se han definido herramientas para monitorear los procesos y losniveles de servicio de TI. Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido,usando criterios financieros y operativos tradicionales. Las mediciones del desempeño específicas de TI, las mediciones no financieras, las estratégicas,las de satisfacción del cliente y los niveles de servicio están definidas. Se ha definido un marco de trabajo para medir el desempeño.
X
4
La gerencia ha definido las tolerancias bajo las cuales los procesos deben operar. Los reportes de los resultados del monitoreo están en proceso deestandarizarse y normalizarse. Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de laadministración de TI están formalizados. Las herramientas automatizadas están integradas y se aprovechan en toda la organización para recolectar ymonitorear la información operativa de las aplicaciones, sistemas y procesos. La gerencia puede evaluar el desempeño con base en criterios acordados yaprobados por las terceras partes interesadas. Las mediciones de la función de TI están alienadas con las metas de toda la organización.
X
5
Un proceso de mejora continua de la calidad se ha desarrollado para actualizar los estándares y las políticas de monitoreo a nivel organizacionalincorporando mejores prácticas de la industria. Todos los procesos de monitoreo están optimizados y dan soporte a los objetivos de toda la organización.Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos,tales como el Balanced Scorecard. El monitoreo de los procesos y el rediseño continuo son consistentes con los planes de mejora de los procesos denegocio en toda la organización. Benchmarks contra la industria y los competidores clave se han formalizado, con criterios de comparación bienentendidos.
X
DOMINIO MONITOREAR Y EVALUARME1: MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
63
TABLA 36. Modelo de madurez ME2
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0La organización carece de procedimientos para monitorear la efectividad de los controles internos. Los métodos de reporte de control interno gerenciales noexisten. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI. La gerencia y los empleadosno tienen conciencia general sobre el control interno. X
El proceso de Monitorear y
evaluar el control interno se
encuentra en el nivel 0
1
La gerencia reconoce la necesidad de administrar y asegurar el control de TI de forma regular. La experiencia individual para evaluar la suficiencia delcontrol interno se aplica de forma ad hoc. La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de loscontroles internos. Las evaluaciones de control interno de TI se realizan como parte de las auditorías financieras tradicionales, con metodologías yhabilidades que no reflejan las necesidades de la función de los servicios de información.
X
2
La organización utiliza reportes de control informales para comenzar iniciativas de acción correctiva. La evaluación del control interno depende de lashabilidades de individuos clave. La organización tiene una mayor conciencia sobre el monitoreo de los controles internos. La gerencia de servicios deinformación realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías yherramientas para monitorear los controles internos, aunque no se basan en un plan. Los factores de riesgo específicos del ambiente de TI se identificancon base en las habilidades de individuos.
X
3
La gerencia apoya y ha institucionalizado el monitoreo del control interno. Se han desarrollado políticas y procedimientos para evaluar y reportar lasactividades de monitoreo del control interno. Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definidotambién un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de laadministración del negocio y de TI. Se usan herramientas, aunque no necesariamente están integradas en todos los procesos. Las políticas de evaluaciónde riesgos de los procesos de TI se utilizan dentro de los marcos de trabajo desarrollados de manera específica para la función de TI. Se han definidopolíticas para el manejo y mitigación de riesgos específicos de procesos.
X
4
La gerencia tiene implantado un marco de trabajo para el monitoreo del control interno de TI. La organización ha establecido niveles de tolerancia para elproceso de monitoreo del control interno. Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática lasexcepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan unmarco de trabajo de control formal avalado por la alta dirección. Un equipo calificado de TI participa de forma rutinaria en las evaluaciones de controlinterno. Se ha establecido una base de datos de métricas para información histórica sobre el monitoreo del control interno. Se realizan revisiones entrepares para verificar el monitoreo del control interno.
X
5
La gerencia ha implantado un programa de mejora continua en toda la organización que toma en cuenta las lecciones aprendidas y las mejores prácticas dela industria para monitorear el control interno. La organización utiliza herramientas integradas y actualizadas, donde es apropiado, que permiten unaevaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI. La compartición del conocimiento, específico de lafunción de servicios de información, se encuentra implantada de manera formal. El benchmarking con los estándares de la industria y las mejores prácticasestá formalizado.
X
DOMINIO MONITOREAR Y EVALUARME2: MONITOREAR Y EVALUAR EL CONTROL INTERNO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
64
TABLA 37. Modelo de madurez ME3
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legalesy contractuales. X
1 Existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organización. Se siguen procesos informalespara mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones. X
El proceso de Garantizar el
cumplimiento regulatorio se
encuentra en el nivel 1
2
Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. En los casos en que el cumplimiento se haconvertido en un requerimiento recurrente., como en los reglamentos regulatorios o en la legislación de privacidad, se han desarrollado procedimientosindividuales de cumplimiento y se siguen año con año. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento yresponsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas decumplimiento.
X
3
Se han desarrollado, documentado y comunicado políticas, procedimientos y procesos, .para garantizar el cumplimiento de los reglamentos y de lasobligaciones contractuales y legales, pero algunas quizá no se sigan y algunas quizá estén desactualizadas o sean poco prácticas de implantar. Se realizapoco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se brinda entrenamiento sobre requisitos legales y regulatorios externosque afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos. Existen contratos pro forma y procesos legales estándarpara minimizar los riesgos asociados con las obligaciones contractuales
X
4
Existe un entendimiento completo de los eventos y de la exposición a requerimientos externos, y la necesidad de asegurar el cumplimiento a todos losniveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo esté consciente de sus obligaciones de cumplimiento. Lasresponsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientosexternos y cambios recurrentes. Existe un mecanismo implantado para monitorear el no cumplimiento de los requisitos externos, reforzar las prácticasinternas e implantar acciones correctivas. Los eventos de no cumplimiento se analizan de forma estándar en busca de las causas raíz, con el objetivo deidentificar soluciones sostenibles. Buenas prácticas internas estandarizadas se usan para necesidades específicas tales como reglamentos vigentes ycontratos recurrentes de servicio.
X
5
Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola función central que brindaorientación y coordinación a toda la organización. Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futurasy cambios anticipados, así como la necesidad de nuevas soluciones. La organización participa en discusiones externas con grupos regulatorios y de laindustria para entender e influenciar los requerimientos externos que la puedan afectar. Se han desarrollado mejores prácticas que aseguran elcumplimiento de los requisitos externos, y esto ocasiona que haya muy pocos casos de excepciones de cumplimiento. Existe un sistema central de rastreopara toda la organización, que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo delcumplimiento. Un proceso externo de auto-evaluación de requerimientos existe y se ha refinado hasta alcanzar el nivel de buena práctica. El estilo y lacultura administrativa de la organización referente al cumplimiento es suficientemente fuerte, y se elaboran los procesos suficientemente bien para que elentrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.
X
DOMINIO MONITOREAR Y EVALUARME3: GARANTIZAR EL CUMPLIMIENTO REGULATORIO
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
65
TABLA 38. Modelo de madurez ME4
Realizado: Por el autor, Fuente: Documento COBIT 4.0
OBSERVACIONES
SI NO
0 Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema aresolver; por lo tanto, no existe comunicación respecto al tema. X
El proceso de Proporcionar
gobierno de TI se encuentra en el
nivel 0
1
Se reconoce que el tema del gobierno de TI existe y que debe ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso por caso. El enfoquede la gerencia es reactivo y solamente existe una comunicación esporádica e inconsistente sobre los temas y los enfoques para resolverlos. La gerenciasolo cuenta con una indicación aproximada de cómo TI contribuye al desempeño del negocio. La gerencia solo responde de forma reactiva a los incidentesque hayan causado pérdidas o vergüenza a la organización.
X
2
Existe una conciencia sobre los temas de gobierno de TI. Las actividades y los indicadores de desempeño del gobierno de TI, los cuales incluyen procesosplaneación, entrega y supervisión de TI, están en desarrollo. Los procesos de TI seleccionados se identifican para ser mejorados con base en decisionesindividuales. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de evaluación y técnicas; sin embargo, el procesono ha sido adoptado a lo largo de la organización. La comunicación respecto a los estándares y responsabilidades de gobierno se deja a los individuos. Losindividuos impulsan los procesos de gobierno en varios proyectos y procesos de TI. Los procesos, herramientas y métricas para medir el gobierno de TIestán limitadas y pueden no usarse a toda su capacidad debido a la falta de experiencia en su funcionalidad.
X
3
La importancia y la necesidad de un gobierno de TI se reconocen por parte de la gerencia y se comunican a la organización. Un conjunto de indicadoresbase de gobierno de TI se elaboran donde se definen y documentan los vínculos entre las mediciones de resultados y los impulsores del desempeño. Losprocedimientos se han estandarizado y documentado. La gerencia ha comunicado los procedimientos estandarizados y el entrenamiento está establecido.Se han identificado herramientas para apoyar a la supervisión del gobierno de TI. Se han definido tableros de control como parte de los Balanced Scorecardde TI. Sin embargo, se delega al individuo su entrenamiento, el seguimiento de los estándares y su aplicación. Puede ser que se monitoreen los procesossin embargo la mayoría de desviaciones, se resuelven con iniciativa individual y es poco probable que se detecten por parte de la gerencia.
X
4
Existe un entendimiento completo de los temas de gobierno a todos los niveles. Hay un entendimiento claro de quién es el cliente y se definen y supervisanlas responsabilidades por medio de acuerdos de niveles de servicio. Las responsabilidades son claras y la propiedad de procesos está establecida. Losprocesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI se basa principalmenteen un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos. Todos los interesados en losprocesos están conscientes de los riesgos, de la importancia de TI, y de las oportunidades que ésta puede ofrecer. La gerencia ha definido niveles detolerancia bajo los cuales los procesos pueden operar. Existe un uso limitado, principalmente táctico, de la tecnología con base en técnicas maduras yherramientas estándar ya implantadas. El gobierno de TI ha sido integrado a los procesos de planeación estratégica y operativa, así como a los procesosde monitoreo. Los indicadores de desempeño de todas las actividades de gobierno de TI se registran y siguen, y esto lidera mejoras a nivel de toda laempresa. La rendición general de cuentas del desempeño de los procesos clave es clara, y la gerencia recibe recompensas con base en las medicionesclave de desempeño.
X
5
Existe un entendimiento avanzado y a fututo de los temas y soluciones del gobierno de TI. El entrenamiento y la comunicación se basan en conceptos ytécnicas de vanguardia. Los procesos se han refinado hasta un nivel de mejor práctica de la industria, con base en los resultados de las mejoras continuasy en el modelado de madurez con respecto a otras organizaciones. La implantación de las políticas de TI ha resultado en una organización, personas yprocesos que se adaptan rápidamente, y que dan soporte completo a los requisitos de gobierno de TI. Todos los problemas y desviaciones se analizan pormedio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida. La TI se utiliza de forma amplia, integrada yoptimizada para automatizar el flujo de trabajo y brindar herramientas para mejorar la calidad y efectividad. Los riesgos y los retornos de los procesos de TIestán definidos, balanceados y comunicados en toda la empresa. Se aprovechan a los expertos externos y se usan evaluaciones por comparación paraorientarse. El monitoreo, la auto-evaluación y la comunicación respecto a las expectativas de gobierno están en toda la organización y se de un uso óptimo a la tecnología para apoyar las mediciones, el análisis, la comunicación y el entrenamiento. El gobierno empresarial y el gobierno de TI están vinculados deforma estratégica, aprovechando la tecnología y los recursos humanos y financieros para mejorar la ventaja competitiva de la empresa. Las actividades degobierno de TI están integradas al proceso de gobierno empresarial.
X
DOMINIO MONITOREAR Y EVALUARME4: PROPORCIONAR GOBIERNO DE TI
NIVELES DE LOS MODELOS DE MADUREZ CUMPLE
66
A continuación se detalla el porqué del nivel de madurez para cada proceso.
DOMINIO PLANEAR Y ORGANIZAR
PO1. DEFINIR UN PLAN ESTRATEGICO DE TI.
El GMU, no tiene bien definido un plan estratégico de TI, más bien tienen
enfocados los objetivos del departamento de sistemas los cuales no se rigen a
ningún plan estratégico real, esto hace que el GMU no tome en cuenta el
beneficio que le pueden brindar las TI, para la brindar un servicio eficiente a los
ciudadanos, en ocasiones cuando se realiza un plan temporal dependiendo de las
necesidades actuales del GMU y con relación al Departamento de Sistemas.
Se recomienda realizar un plan estratégico el cual es de vital importancia para la
administración y dirección de los recursos de TI, mediante esta planificación, el
GMU así como el Departamento de Sistemas son los responsables directos de
que los proyectos e investigaciones se realizan de una forma optima para la
satisfacción de los ciudadanos, así como de los mismos empleados del GMU.
PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN.
La arquitectura de la información en el GMU no se encuentra realmente definida
se tiene la conciencia que se necesita tener una arquitectura de información pero
esta no se la ha realizado, más bien el Jefe de sistemas lleva la documentación
como él cree que es conveniente y de igual forma la archiva.
El GMU no cuenta con un diccionario corporativo de datos el cual debe contener
las reglas de sintaxis de dichos datos en la el GMU, por lo tanto no se cuenta con
una ayuda en la toma de decisiones gerenciales lo cual ayudaría a proporcionar
una información confiable y a la vez segura, como parte de esto no se puede
realizar eficientemente la racionalización de los recursos de los sistemas de
información para igualarlos con las estrategias del negocio, y agilizar la respuesta
de requerimientos
67
PO3: DETERMINAR LA DIRECCIÓN TECNOLÓGICA.
Este proceso no se encuentra definido en el GMU, al igual que los procesos
anteriores, El GMU tiene en cuenta que es importante determinar la dirección
tecnológica, pero no elabora un plan de infraestructura tecnológica, por lo tanto
algunos sistemas aplicativos que son usados en GMU no guardan un estándar y
no se encuentran estables.
Al no determinar una dirección tecnológica no se cuenta con todos los recursos y
necesidades que satisfagan los requerimientos actuales y futuros del GMU.
PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
En el GMU la organización de TI se encuentra organizada pero de una forma
inconsistente, por lo tanto la agilización de respuestas a las estrategias del GMU
no es efectiva.
No se ha establecido un Comité estratégico de TI a nivel de consejo directivo,
para las tomas de decisiones dependiendo del grado de importancia del proceso a
implementarse se consulta su factibilidad con el Jefe de sistemas, como no se
cuenta con este comité, tampoco se cuenta con un comité directivo de TI, los
roles y responsabilidades para el personal del GMU no se encuentran bien
definidos, más bien se lo realiza en charlas o a medida que existe algún
problema, con respecto a los sistemas de información, no existe una correcta
educación acerca de la responsabilidad sobre el riesgo, y la seguridad de la
información.
No hay divisiones de roles y responsabilidades para el caso en que exista un error
mediante algún individuo, este no afecte a todo el proceso.
PO5: ADMINISTRAR LA INVERSION DE TI.
En el GMU la responsabilidad y la rendición de cuentas de la selección y
presupuestos de las inversiones son realizadas por un solo individuo, el cual está
68
a cargo a todo lo concerniente a inversiones ya sea en el ámbito tecnológico
como en los otros ámbitos sean estos los administrativos, RRHH, etc.
Este individuo que forma parte del Departamento Financiero conjuntamente con el
Jefe de sistemas, están a cargo del análisis de costos, propuestas, recursos
humanos de TI, por lo tanto se tienen claros los planes de inversión.
Existe una mejora de forma continua y demostrable de la rentabilidad de TI.
PO6: COMUNICAR LAS ASPIRACIONES Y LA DIRECCION DE LA GERENCIA.
En el GMU no existe un marco de trabajo de control empresarial de TI, por lo
tanto solo los altos mandos son conocedores de las políticas, objetivos de servicio
y procedimientos es decir estas no se comunican de forma eficiente a todos los
involucrados en el GMU, más bien son comunicadas solo a los jefes de
departamento, por lo tanto corre mucho riesgo el cumplimiento de los objetivos de
TI.
PO7: ADMINISTRAR LOS RECURSOS HUMANOS DE TI.
La administración de recursos humanos de TI en el departamento de sistemas del
GMU tiene un enfoque táctico, pues el responsable de la contratación es el Jefe
de la Dirección Administrativa, esta contratación se realiza de acuerdo a la
necesidad de personal en los proyectos a realizarse en el GMU, cabe destacar
que la contratación de este personal para el área de TI es temporal. Las
capacitaciones o cursos que se brindan se los realiza a medida que el personal
necesita aprender algo referente al proyecto y es útil para la culminación del este.
PO8: ADMINISTRAR LA CALIDAD
El proceso de administrar la calidad en el GMU no asegura la mejora continua y
medible de la calidad de los servicios prestados por TI, puesto que los sistemas
no son desarrollados dentro del departamento de sistemas del GMU, ni
actualizados estos son realizados por proveedores externos los cuales se
69
encargan de realizar las actualizaciones de los sistemas a partir de las demandas
del GMU.
PO9: EVALUAR Y ADMINISTRAR LOS RIEGOS DE TI.
No existe una evaluación y administración de riesgos en el Departamento
Informático, pues se piensa que no es de mucha importancia, por lo tanto no se
realiza un análisis de riesgos, por ende tampoco la comunicación de estos, en
consecuencia no se tiene idea del impacto potencial de estos riegos sobre las
metas del negocio.
El departamento esta susceptible a todo tipo de amenazas, y en caso de que
exista un incidente no se lo puede mitigar de forma inmediata, y esto puede
paralizar parte de las funciones del departamento y así afectar el desempeño de
otros departamentos.
PO10: ADMINISTRAR PROYECTOS
El departamento informático del GMU maneja procesos de administración de
proyectos con el compromiso de la Dirección Administrativa, por lo tanto la
administración de proyectos de TI se encuentran establecidos y comunicados, se
definen los objetivos a cumplirse con los proyectos y su beneficio para el GMU, se
tiene establecidos los roles que desempeñan cada persona en la consecución del
proyecto, el jefe de sistemas siempre está a cargo de los proyectos, así como su
administración.
Una vez implantado el proyecto no se realiza un seguimiento del sistema en
funcionamiento.
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1: IDENTIFICAR SOLUCIONES AUTOMATIZADAS
El departamento informático no ha desarrollado metodologías para identificar
soluciones automatizadas, así como para la captura de requerimientos, no existen
estudios de factibilidad, de todos modos el jefe del departamento informático
70
tiende a buscar requerimientos pero no de una forma estandarizada, es decir
estos se realizan de informalmente.
AI2: ADQUIRIR Y MANTENER SOFTWARE APLICATICO.
Se cuenta con un proceso de adquisición de software aplicativo, pero esto se
realiza a medida de que lo que se necesite agilizar en el GMU, este software
aplicativo se es adquirido en consenso entre el jefe del departamento informático
y el Director Administrativo, una vez adquirido este el mantenimiento lo realiza el
Jefe del Departamento Informático dependiendo de la necesidad y la capacitación
que él tuvo en el uso del software aplicativo, en caso de existir un problema grave
o que escape de sus manos, este es comunicado a la empresa que desarrollo el
aplicativo para su mantenimiento y corrección.
AI3: ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
No se cuenta con un plan de adquisición de tecnología mediante el cual se
controlaría los procesos para adquirir, implantar y actualizar la infraestructura
tecnológica, al igual que la adquisición de software lo realizan en conjunto el jefe
del departamento administrativo y el jefe del departamento de sistemas, los
cambios en la infraestructura tecnológica se realiza a medida que se necesite ya
sea por actualización de equipos o por requerimientos de nuevo software
aplicativo, se realiza el mantenimiento de los equipos tecnológicos pero no de una
forma calendarizada ese mantenimiento se lo realiza a medida que surge algún
fallo en los equipos, no existe mantenimiento preventivo, la auditoría de esta
infraestructura así como el software se lo realiza cada cambio de alcalde.
AI4: FACILITAR LA OPERACIÓN Y EL USO.
En el Departamento Informático, no se manejan políticas para proporcionar
manuales efectivos de usuarios, de operación y materiales de entrenamiento, se
realizan una pequeña charla mostrando lo principal de las herramientas
instaladas, o se realiza un manual básico, el usuario a medida que va utilizando el
71
sistema o las herramientas va encontrando nuevas dudas las mismas que son
despejadas a medida que estas suceden, mediante este procedimiento el GMU
pierde mucho tiempo en que el personal domine el sistema implantado, la poca
documentación que se tiene es informal y se la entrega a ciertas personas no a
todo el personal involucrado en el uso de esta infraestructura o sistema, los
manuales de usuario que se conservan son los que vienen con el software o
infraestructura adquirida.
AI5: ADQUIRIR RECURSOS DE TI.
La adquisición de recursos de TI se integra totalmente con los sistemas generales
de adquisición del gobierno, puesto que esta realiza mediante el proceso de
compras públicas, para esto se realiza la selección de proveedores, evaluando
costos, calidad, cumplimiento de requerimientos específicos, licencias del
software y la legalidad de estos proveedores.
En la contratación de personal se basa en el presupuesto establecido para el
GMU y de ahí ellos establecen un presupuesto para el Departamento Informático.
AI6: ADMINISTRAR CAMBIOS.
El Departamento Informático reconoce que debe existir una administración y
control de cambios, no se establecen estándares y procedimientos de cambio,
estos los realiza el Jefe del departamento mediante la solicitud de un usuario
acerca de algún inconveniente suscitado en el desempeño de las labores diarias.
No existe una evaluación del impacto, priorización y autorización de estas
solicitudes como la mayoría son realizadas de modo verbal no existe
documentación sobre la solicitud, por lo tanto los cambios de emergencia los
realizan dependiendo la necesidad inmediata de este cambio.
El seguimiento de estos cambios se los hace el instante en que este sucede no
periódicamente o basándose en un estándar, simplemente se pregunta al usuario
si el cambio realiza la función que él deseaba o solucionó el problema que tenia.
72
AI7: INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS.
No existe un correcto entrenamiento a los usuarios afectados por el cambio, esto
es resultado de que no existe un plan de pruebas e implementación, no hay un
monitoreo constante de los cambios realizados, las pruebas se realizan de modo
rápido es decir sin tomar en cuenta los errores que se pueden suscitar solo se
basa en la satisfacción de los requerimientos, estas pruebas son realizadas por
los usuarios mas no por el Jefe Informático quien tiene todo el conocimiento de la
estructura de los cambios realizados, por lo tanto los usuarios pueden dejar pasar
errores sin que estos sean atendidos a tiempo para prevenir algún fallo, se
desconoce el nivel de satisfacción de los usuarios.
DOMINIO ENTREGAR Y DAR SOPORTE
DS1: DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO.
Se tiene una conciencia clara que se debe formalizar los acuerdos internos y
externos en línea con los requerimientos y las capacidades de entrega, este
proceso se realiza informalmente, no existe un responsable directo en la rendición
de cuentas sobre la administración y definición de servicios, por lo tanto no existe
una administración de niveles de servicio.
DS2: ADMINISTRAR LOS SERVICIOS DE TERCEROS
El proceso se encuentra definido con procedimientos bien documentados
mediante los cuales controlan los servicios de terceros, pues cuenta con la
documentación donde se encuentran legalmente definidos los requerimientos, el
Jefe del Departamento Informático está a cargo de controlar que se cumplan en
detalle todos puntos establecidos en el contrato, esto se realiza para tener un
menor riesgo en la contratación de terceros, se encuentra identificadas las
relaciones con los proveedores, la documentación es formal, se realiza la
coordinación con los proveedores con el fin de que todo el proceso sea llevado
con transparencia, la evaluación de riesgos de contratación no se encuentra
plenamente estandarizada, se cuenta con contratos de garantía basados en los
73
términos del proveedor, el monitoreo del desempeño del proveedor es pobre, solo
se realiza la aprobación a la conclusión del servicio contratado.
DS3: ADMINISTRAR EL DESEMPEÑO Y CAPACIDAD.
Los usuario a veces tienen que resolver problemas que estén a su alcance para
solucionar problemas de desempeño y capacidad, no existe una administración
del desempeño y la capacidad de recursos de TI, no existe un plan para
monitorear el desempeño, cuando los usuarios no pueden solucionar un problema
que se encuentra mermando el desempeño de las TI, recurren al Jefe del
Departamento de Informática, quien está a cargo de solucionar los
inconvenientes, los sistemas por el hecho de no estar monitoreados no se
encuentran disponibles todo el tiempo, el instante que surge un problema se
paraliza las actividades que dependen de un sistema en particular, Pocas veces
se monitorea los sistemas que son de vital importancia para el GMU, no se tiene
un plan de desempeño y capacidad futura de las TI, solo el instante en que exista
mayor demanda estas TI son tratadas.
No se toma en cuenta la carga sobre las TI motivo por el cual existen muchos
inconvenientes en las actividades diarias, no hay un plan de contingencia para
garantizar la disponibilidad, capacidad y desempeño de los recursos individuales
de TI.
DS4: GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
No se cuenta con un plan de continuidad de los servicios, este proceso se realiza
de forma informal, los respaldos de la información vital para el GMU los realiza el
Jefe del Departamento Informático cada 15 días, y los usuarios a medida que
ellos vean conveniente mediante unidades de almacenamiento externas como
pendrives, Cd, etc. Como no se cuenta con un plan de continuidad existen
interrupciones que afectan a los procesos claves del GMU, solo el Jefe
Informático tiene acceso a la información respaldada, por lo tanto en una
emergencia deben de ubicar a como dé lugar a esta persona.
74
De igual forma no se cuenta con un plan definido de seguridad física de la
infraestructura de TI.
DS5: GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La seguridad de los sistemas se encuentra a cargo de un solo individuo, el cual es
el Jefe Informático, el cual está a cargo de mantener esta seguridad, en cuanto a
la seguridad física es deficiente, el acceso físico a terceras personas no es
controlado de manera eficiente, igual no existe políticas de seguridad, los cuales
deben cumplir los usuarios con respecto a la información, en cuanto a desastres
solo se cuenta con un método de evacuación del recurso humano, la información
acerca del GMU es visible mediante la pagina web del GMU, la cual no cuenta
con seguridades.
No se cuenta con un plan de vulnerabilidades y amenazas, el cual seria de
beneficio para mantener la integridad de la información y de la infraestructura de
TI, no se administra las identidades y usuarios de forma estandarizada.
No se realiza un monitoreo de seguridad, el departamento informático se entera
de estas vulnerabilidades cuando suceden y ahí toma medidas para mitigarlas.
DS6: IDENTIFICAR Y ASIGNAR COSTOS.
No existe un proceso reconocible de identificación y distribución de costos en
relación a los servicios de información brindados, por lo tanto los usuarios no
hacen un uso bien informado de los servicios de TI, caso contrario mejorarían la
rentabilidad, es decir no hay un modelo de costos completo por lo tanto no se
pueden aplicar cargos basados en el mal uso de los sistemas, a pesar que el
Departamento Informático forma parte de la dirección administrativa, no existe un
emparejamiento entre las TI y su costo real para el GMU.
DS7: EDUCAR Y ENTRENAR A LOS USUARIOS.
No hay un plan de capacitación a los usuarios, salvo el que se da en la
implementación de algún sistema, esta capacitación es muy ligera y solo cubre los
aspectos principales.
75
Cada usuario se preocupa de cuidar su información.
Al contratar personal nuevo este no tiene entrenamiento del uso eficiente y
efectivo de las soluciones y aplicaciones informáticas, más bien ellos van
aprendiendo el uso de estos con el pasar del tiempo o realizando consultas a sus
compañeros de labores.
Los valores éticos, cultura de control, seguridad, etc. No son difundidos a los
usuarios.
DS8: ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
No se tiene una política de reporte de incidentes, al momento de existir un
incidente el usuario lo reporta vía telefónica al Jefe del departamento Informático,
el cual realiza la ayuda telefónicamente, en caso de no encontrar solución por esa
vía el jefe informático se dirige al sitio donde ocurrió el incidente para encontrar
una solución y si no es así lo deja para el siguiente día, lapso en el cual el busca
la solución.
No existe un proceso de escalamiento de incidentes, ni reporte de estos, salvo los
informes diarios que realiza el jefe de sistemas donde consta el incidente y su
solución, el cual es archivado en su ordenador principal.
Al no haber personal suficiente no se ha instalado una mesa de servicios.
El cierre de incidentes se lo realiza de manera informal, una vez encontrada la
solución no existe el monitoreo.
DS9: ADMINISTRAR LA CONFIGURACIÓN.
No se cuenta con un repositorio de configuración de los activos.
Estas configuraciones las realiza solamente el Jefe del Departamento Informático,
basándose en los seguimientos de los proveedores o manuales que traen los
sistemas o la infraestructura a ser configurada.
Las configuraciones las realiza desde cero, con lo cual se pierde mucho tiempo
valioso.
76
No existe un registro de los elementos configurados, con sus respectivos
atributos, dicho registro sería de mucha ayuda al momento de realizar las mismas
configuraciones en otros elementos.
En caso de existir una nueva configuración para el beneficio de las TI, el jefe
informático no las documenta, la realiza a memoria.
Se cuenta con un inventario de hardware y software.
DS10: ADMINISTRACIÓN DE PROBLEMAS
El Departamento Informático está consciente de llevar una correcta administración
de los problemas, pero actualmente cuando existir un problema el Jefe informático
es el encargado de solucionarlos, sin llevar un reporte de estos, o sino los
usuarios con mayor experiencia intentan resolverlo.
Con este método se pierde mucho tiempo de trabajo, pues también no se
investiga o indaga la causa raíz de los problemas.
DS11: ADMINISTRACIÓN DE DATOS.
La administración de datos no se la realiza de forma óptima, cada departamento
es dueño de su información y solo el personal autorizado los puede manipular.
Los respaldos los realiza cada usuario dependiendo el grado de importancia de
estos.
El jefe informático realiza respaldos con herramientas especializadas cada 15
días, o en caso extremo cada semana cuando la información es crítica para el
GMU.
Algunas aplicaciones realizan respaldos automáticamente al finalizar la jornada
esto con el fin de mantener la información disponible en caso de algún incidente.
El proceso de eliminación de datos no es efectivo, se lo elimina de la manera
común conocida, no con herramientas especializas las cuales no permiten la
recuperación de esta información.
No existen procesos de seguridad en la recepción, procesamiento y
almacenamiento de la información, esto se realiza de manera informal.
77
DS12: ADMINISTRACIÓN DEL AMBIENTO FÍSICO
La protección del los equipos de computo no es completa, en caso de suscitar un
incendio solo se cuenta con un extinguidor de fuego.
El acceso a las instalaciones del personal del GMU es controlado por el Jefe
Informático.
El acceso a terceros es controlado en la puerta principal por un guardia de
seguridad, no se pide identificación al ingreso.
Existe un plan de evacuación de personal en caso de alguna eventualidad
ambiental.
No se cuenta con UPS para los equipos de cómputo, salvo para los servidores.
DS13: ADMINISTRACIÓN DE OPERACIONES.
La administración de operaciones se realiza de manera informal, esto depende de
la habilidad de los usuarios.
No hay documentación de procesos de información, el instante en que un proceso
falla las operaciones se detienen.
El personal no se encuentra familiarizado con las tareas de relación relativas a
ellos.
No existe una programación de tareas formal solo las previstas días atrás sin una
calendarización de estas.
El mantenimiento preventivo de hardware no se realiza, solo se supervisa el
hardware cuando existe un inconveniente.
DOMINIO MONITOREAR Y EVALUAR
ME1: MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI.
El GMU no cuenta con un proceso establecido de TI, a veces el jefe del
departamento Informático, realiza un monitoreo pero esto sucede cuando la
herramienta usada es de vital importancia para otros procesos base del GMU.
No se cuenta con indicadores de desempeño, reportes sistemáticos, por lo tanto
la toma de decisiones tomadas por el Departamento Informático no es realizada
acorde a las necesidades del GMU.
78
ME2: MONITOREAR Y EVALUAR EL CONTROL INTERNO
El Departamento Informático no posee un programa de control interno efectivo
para TI, no existe un reporte y monitoreo de excepciones de control.
Tampoco se realiza auto-evaluaciones, por lo tanto no se proporciona seguridad
respecto a las operaciones eficientes, efectivas y el cumplimiento de las leyes y
regulaciones aplicables.
ME3: GARANTIZAR EL CUMPLIMIENTO REGULATORIO.
El departamento informático sigue procesos informales para mantener el
cumplimiento, se siguen acciones una vez que se realizan nuevas auditorías o
cambios de alcalde.
Se cumplen los procedimientos que proporcionan los proveedores de
infraestructura tecnológica y software.
La mayor parte del software que posee el GMU no se encuentra con licencias.
ME4: PROPORCIONAR GOBIERNO DE TI.
El GMU no cuenta con un marco de trabajo de gobierno efectivo, por lo tanto no
cuentan con la definición de estructuras, procesos, liderazgo, roles y
responsabilidades organizacionales para garantizar que las inversiones en TI
estén alineadas y de acuerdo con las estrategias y objetivos del GMU
RESUMEN DEL ANÁLISIS POR DOMINIOS. DOMINIO PLANEAR Y ORGANIZAR (PO)
“Este Dominio cubre las estrategias y las tácticas y tiene que ver con la manera
en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio.”
Mediante la evaluación de los procesos de este dominio se llega a definir que no
se encuentran alineadas las estrategias de TI y del negocio que viene a ser el
GMU.
79
El GMU no está alcanzando el uso optimo de los recursos ya que estos no son
aprovechados al máximo o de también no se cuenta con los recursos necesarios
para el desempeño de ciertas tareas.
No todo el personal del GMU entiende los objetivos de TI, son pocos los usuarios
que comprenden la importancia de estos para el cumplimiento de las metas del
GMU.
No se administran, ni evalúan los riesgos de TI, no se tiene una idea clara del
impacto potencial de los riesgos al GMU.
Como se dijo anteriormente se necesita la actualización de algunos sistemas para
el correcto desempeño de las tareas encomendadas al personal del GMU, por
consiguiente no se cubre de forma eficiente las necesidades del negocio.
ADQUIRIR E IMPLEMENTAR. (AI)
Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir
las soluciones de TI, así como la implementación e integración en los procesos
del negocio.
En la realización de nuevos proyectos no se toma en cuenta al personal que
utilizará el sistema o infraestructura a implementarse solo es un consenso entre el
jefe del área informática y el jefe administrativo.
Los proyectos a menudo no cumplen a cabalidad con el presupuesto estipulado
para este, o en el tiempo definido.
Una vez implementados los sistemas, la capacitación a los usuarios de no son
extensas, por lo tanto no se garantiza que lo sistemas trabajen adecuadamente
para el cumplir las metas del GMU
Puesto que no se establecen estándares y procedimientos de cambio y tampoco
existe una evaluación del impacto, los cambios afectan al desempeño del GMU a
corto plazo,
DOMINIO ENTREGAR Y DAR SOPORTE (DS)
En este dominio cubrimos la entrega de los servicios requeridos, incluida la
prestación de los servicios, administración de la seguridad y de la continuidad, el
80
soporte del servicio a los usuarios, administración de datos e instalaciones
operacionales.
Los servicios de TI son medianamente entregados de acuerdo a las prioridades
del negocio.
Los costos de TI no se encuentran totalmente optimizados.
La fuerza de trabajo no garantiza de forma completa el uso de los sistemas de TI
de manera productiva y segura, puesto que no se tiene una capacitación completa
a los usuarios de los sistemas.
Puesto que no existe un plan de continuidad no es implementada la disponibilidad
de forma completa de los sistemas de TI, de igual forma la integridad y la
confidencialidad no se encuentran implementadas de forma óptima.
MONITOREAR Y EVALUAR (ME)
Este dominio se encarga de la administración del desempeño, el monitoreo del
control interno, el cumplimiento regulatorio y la aplicación del gobierno.
No se mide el desempeño de TI, para poder detectar problemas antes de que
esto sea demasiado tarde.
La gerencia no monitorea ni evalúa el control interno en el GMU.
Existe un poco vinculación en el desempeño de TI con las metas del negocio.
No existe una medición óptima de riesgos y el reporte de estos, así como el
cumplimiento, desempeño y control.
En la tabla que se muestra a continuación (Tabla 39.) están presentes los niveles
de madurez para cada proceso, obtenidos a partir de la evaluación de estos.
REPORTE DE NIVELES DE MADUREZ
PROCESO
GRADO DE
MADUREZ
DOMINIO PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico 1
PO2 Definir la arquitectura de información 1
PO3 Determinar la dirección tecnológica 1
PO4 Definir los procesos, organización y relaciones de TI 2
81
PO5 Administrar la inversión de TI 4
PO6 Comunicar las aspiraciones y la dirección de la gerencia 1
PO7 Administrar recursos humanos de TI 2
PO8 Administrar la calidad 0
PO9 Evaluar y administrar los riesgos de TI 0
PO10 Administrar proyectos 3
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas 1
AI2 Adquirir y mantener software aplicativo 2
AI3 Adquirir y mantener infraestructura tecnológica 1
AI4 Facilitar la operación y el uso 1
AI5 Adquirir recursos de TI 4
AI6 Administrar cambios 1
AI7 Instalar y acreditar soluciones y cambios 1
DOMINIO ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio 1
DS2 Administrar los servicios de terceros 3
DS3 Administrar el desempeño y la capacidad 1
DS4 Garantizar la continuidad del servicio 1
DS5 Garantizar la seguridad de los sistemas 1
DS6 Identificar y asignar costos 0
DS7 Educar y entrenar a los usuarios 0
DS8 Administrar la mesa de servicio y los incidentes 1
DS9 Administrar la configuración 1
DS10 Administrar los problemas 1
DS11 Administrar los datos 2
DS12 Administrar el ambiente físico 2
DS13 Administrar las operaciones 2
DOMINIO MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI 0
ME2 Monitorear y evaluar el control interno 0
ME3 Garantizar el cumplimiento regulatorio 1
ME4 Proporcionar gobierno de TI 0 TABLA 39. Resultado niveles de madurez
Realizado: Por el autor
RESULTADO FINAL DEL IMPACTO SOBRE LOS CRITERIOS DE
INFORMACIÓN
A continuación se presenta la tabla con el resultado final del impacto sobre los
criterios de información, los valores en la tabla se obtienen mediante la
multiplicación de los valores que asigna COSO para el impacto de los criterios de
82
la información y los valores del reporte de los niveles de madurez, esto para cada
uno de los 34 procesos de Cobit, el total real lo obtenemos realizando una suma
de cada columna de los criterios, luego realizamos una comparación con el total
ideal el cual se obtiene de la suma de la columna para cada criterio asumiendo
que el grado de madurez es el optimo (5), finalmente se realiza el cálculo del
porcentaje dividiendo el valor real para el valor ideal correspondiente a cada
criterio y el resultado multiplicándolo por 100, para de esta forma obtener los
porcentajes finales de los criterios de la información.
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT
EFEC
TIV
IDA
D
EFIC
IEN
CIA
CO
NFI
DEN
CIA
LID
AD
INTE
GR
IDA
D
DIS
PON
IBIL
IDA
D
CU
MP
LIM
IEN
TO
CO
NFI
AB
ILID
AD
PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico de TI. 0,86 0,63 0,00 0,00 0,00 0,00 0,00
PO2 Definir la arquitectura de la información 0,63 0,86 0,63 0,86 0,00 0,00 0,00
PO3 Definir la dirección tecnológica. 0,86 0,86 0,00 0,00 0,00 0,00 0,00
PO4 Definir los procesos, organización y relaciones de TI. 1,72 1,72 0,00 0,00 0,00 0,00 0,00
PO5 Administrar la inversión en TI. 3,44 3,44 0,00 0,00 0,00 0,00 2,52
PO6 Comunicar las metas y la dirección de la gerencia. 0,86 0,00 0,00 0,00 0,00 0,63 0,00
PO7 Administrar los recursos humanos de TI. 1,72 1,72 0,00 0,00 0,00 0,00 0,00
PO8 Administrar la calidad. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
PO9 Evaluar y administrar los riegos de TI. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
PO10 Administrar los proyectos. 2,58 2,58 0,00 0,00 0,00 0,00 0,00
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas. 0,86 0,63 0,00 0,00 0,00 0,00 0,00
AI2 Adquirir y mantener software aplicativo. 1,72 1,72 0,00 1,26 0,00 0,00 1,26
AI3 Adquirir y mantener la infraestructura tecnológica.
0,63 0,86 0,00 0,63 0,63 0,00 0,00
AI4 Facilitar la operación y el uso. 0,86 0,86 0,00 0,63 0,63 0,63 0,63
AI5 Procurar recursos de TI. 2,52 3,44 0,00 0,00 0,00 2,52 0,00
AI6 Administrar los cambios. 0,86 0,86 0,00 0,86 0,86 0,00 0,63
AI7 Instalar y acreditar soluciones y cambios. 0,86 0,63 0,00 0,63 0,63 0,00 0,00
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio. 0,86 0,86 0,63 0,63 0,63 0,63 0,63
DS2 Administrar los servicios de terceros. 2,58 2,58 1,89 1,89 1,89 1,89 1,89
DS3 Administrar el desempeño y capacidad. 0,86 0,86 0,00 0,00 0,63 0,00 0,00
DS4 Asegurar el servicio continuo. 0,86 0,63 0,00 0,00 0,86 0,00 0,00
83
DS5 Garantizar la seguridad de los sistemas. 0,00 0,00 0,86 0,86 0,63 0,63 0,63
DS6 Identificar y asignar costos. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
DS7 Educar y entrenar a los usuarios. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
DS8 Administrar la mesa de servicio y los incidentes. 0,86 0,86 0,00 0,00 0,00 0,00 0,00
DS9 Administrar la configuración. 0,86 0,63 0,00 0,00 0,63 0,00 0,63
DS10 Administrar los problemas. 0,86 0,86 0,00 0,00 0,63 0,00 0,00
DS11 Administrar los datos. 0,00 0,00 0,00 1,72 0,00 0,00 1,72
DS12 Administrar el ambiente físico. 0,00 0,00 0,00 1,72 1,72 0,00 0,00
DS13 Administrar las operaciones. 1,72 1,72 0,00 1,26 1,26 0,00 0,00
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
0,00 0,00 0,00 0,00 0,00 0,00 0,00
ME2 Monitorear y evaluar el control interno. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
ME3 Garantizar el cumplimiento regulatorio. 0,00 0,00 0,00 0,00 0,00 0,86 0,63
ME4 Proporcionar gobierno de TI. 0,00 0,00 0,00 0,00 0,00 0,00 0,00
TOTAL REAL: 30,44 29,81 4,01 12,95 11,63 7,79 11,17
TOTAL IDEAL: 120,1 116,7 27,5 60,5 58,2 35,8 52,7
PROMEDIO
25,35 25,54 14,6 21,41 19,98 21,76 21,20
PROMEDIO GENERAL DE LOS CRITERIOS DE LA INFORMACIÓN
21,41
TABLA 40. Resumen de procesos y criterios de información por impacto Realizado: Por el autor. Fuente: Tabla 4
REPRESENTACIÓN GRÁFICA DEL IMPACTO DE LOS CRITERIOS DE
INFORMACIÓN.
Para la realización de la representación grafica del impacto del impacto de los
criterios de información tomamos en cuenta los porcentajes obtenidos en la tabla
(40).
A continuación analizamos cada uno de los criterios de la información.
EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del
25,35% sobre 100%, es decir que la información que es de importancia para el
GMU, que tiene incidencia en los procesos del negocio y debe ser entregada de
forma oportuna, consistente, y veraz tiene un porcentaje del 25,35%.
EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del
25,54% sobre el 100%, es decir que la información que debe generar el uso
óptimo de los recursos del GMU tiene un porcentaje del 25,54%.
84
CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentaje
del 14,6% sobre el 100%, es decir que la protección de la información del GMU
para que esta no sea divulgada a personas o sectores extraños a este tiene un
porcentaje del 14,6%.
INTEGRIDAD.- Para este criterio de información se obtuvo un porcentaje del
21,41% sobre el 100%, es decir la distribución de la información exacta y correcta,
así como su validez con las expectativas de la empresa tiene un porcentaje del
21,41%.
DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje
del 19,98% sobre el 100%, es decir la accesibilidad de la información cuando
esta sea requerida por los procesos del negocio y a la salvaguarda de los
recursos y capacidades asociadas a la misma en el GMU, tiene porcentaje del
19,98%.
CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje
del 21,76% sobre el 100%, es decir que el cumplimiento de las leyes,
regulaciones, y compromisos contractuales con los cuales está comprometido el
GMU, tiene un porcentaje del 21,76%.
CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje
del 21,20% sobre el 100%, es decir proveer la información apropiada para que la
administración tome decisiones adecuadas para manejar el GMU y cumplir con
sus responsabilidades, tiene porcentaje del 21,20%.
A continuación se detalla mediante un gráfico el análisis realizado anteriormente.
85
FIGURA 7. IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN
Realizado: Por el autor
En lo referente al promedio general de los criterios de información está en un
21,41%, para lo cual hay una insuficiencia general en la integridad, disponibilidad,
eficiencia, efectividad, cumplimiento, confidencialidad y confiabilidad del 78,59%.
0 10 20 30 40 50 60 70 80 90 100
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
86
CAPITULO 3.
INFORMES DE AUDITORÍA
3.1 INFORME PRELIMINAR
Con el fin de obtener la realimentación del Departamento informático del GMU se
presentó el informe preliminar de la auditoría, el cual tiene la finalidad de dar a
conocer los resultados de la práctica realizada en el Área Informática del
Gobierno Municipal de San Miguel de Urcuquí.
Este documento se encuentra en el ANEXO B, en el mismo que consta la carta de
respuesta de las autoridades.
El criterio de las autoridades del Gobierno Municipal de San Miguel de Urcuquí
fue completamente satisfactorio, en relación al trabajo. No hubo observaciones de
fondo, por lo que se procedió a elaborar el informe final que consta en el numeral
3.2 Informe Técnico y 3.3 Informe Ejecutivo.
87
3.2 INFORME TÉCNICO
ALCANCE Mediante esta auditoría se pretende evaluar el estado actual del Departamento
Informático del Gobierno Municipal de San Miguel de Urcuquí, ,mediante este
proceso se podrá brindar al GMU sus respectivas conclusiones y
recomendaciones para cada uno de los procesos evaluados en cada dominio
según la metodología COBIT.
OBJETIVOS
OBJETIVO GENERAL
• Realizar la auditoría de las tecnologías de la información del Gobierno
Municipal de San Miguel de Urcuquí, utilizando como modelo de referencia
COBIT 4.0.
OBJETIVOS ESPECIFICOS
• Realizar un análisis crítico de los procesos, tareas y actividades de TI.
• Realizar un análisis y evaluación de la infraestructura informática.
• Definir controles que permitan disminuir riesgos
• Identificar problemas técnicos en las TI y dar posibles soluciones.
• Realizar un informe técnico y ejecutivo.
A continuación se detalla los resultados de la evaluación de cada uno de los 34
procesos divididos en sus respectivos dominios (Planear y organizar, adquirir e
implementar, entregar y dar soporte, monitorear y evaluar.), basándonos en los
niveles de madurez los cuales van desde el grado 0 ( no existente) al grado
máximo 5 ( administrado).
DOMINIO PLANEAR Y ORGANIZAR.
PO1. DEFINIR UNPLAN ESTARTEGICO (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que
no se cuenta con un plan estratégico definido.
RECOMENDACIONES COBIT
• La recomendación principal es ascender al siguiente nivel ( nivel 2 ).
88
• Administrar el valor de TI, es decir garantizar el portafolio de inversiones de
TI del GMU.
• Alinear las TI con el negocio, instruir a los jefes de departamento sobre las
capacidades tecnológicas actuales y el futuro de estas, así como las
oportunidades que prestan las TI, para el mejor desempeño de las labores
diarias.
• Evaluar el desempeño actual, es decir realizar una evaluación de los
planes existentes, así como de los sistemas de información y su impacto
en los objetivos del GMU.
• Crear un plan estratégico de TI para definir una cooperación de las TI con
los objetivos estratégicos del GMU así como los costos y riesgos
relacionados.
• Crear planes tácticos de TI, que se resulten del plan estratégico de TI,
estos servirán para describir las iniciativas y los requerimientos de recursos
que necesitados por TI, estos planes deben ser bien detallados para poder
realizar la definición de planes proyectados.
• Administrar el portafolio de TI, es decir realizar una administración efectiva
del portafolio de programas de inversión de TI necesarios para la
consecución de los objetivos estratégicos del GMU.
PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN. (Nivel de madurez
1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que
se reconoce no tener una arquitectura de información, pero a pesar de reconocer
su importancia no se la elabora.
RECOMENDACIONES COBIT.
• La principal recomendación es ascender al nivel superior (nivel 2)
• Establecer y mantener un modelo de arquitectura de la información para
facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de
decisiones, este modelo será útil para la creación, uso y compartición
óptimas de la información vital del GMU.
• Mantener un diccionario de datos que contenga las reglas de sintaxis de
los datos del GMU.
89
• Establecer un diseño de clasificación de datos que aplique a todo el GMU,
basado en la información crítica y sensible.
• Definir e implementar procedimientos para brindar integridad y consistencia
de todos los datos que se encuentran almacenado en formato electrónico,
como bases de datos, almacenamiento de datos y archivos.
PO3. DETERMINAR LA DIRECCIÓN TECNOLÓGICA. (Nivel de madurez 1)
CONCLUSIÓN. Este proceso se encuentra en el nivel de madurez 1, puesto que
el desarrollo de componentes tecnológicos y la implantación de tecnologías
emergentes son ad hoc y aisladas.
RECOMENDACIONES COBIT.
• La principal recomendación es ascender al siguiente nivel (nivel 2)
• Planear la dirección tecnológica, es decir analizar las tecnologías
existentes y emergentes, para tomar en cuenta cual dirección tecnológica
es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura
de sistemas del negocio.
• Crear y mantener un plan de infraestructura tecnológica que este
emparejado con los planes estratégicos y tácticos de TI.
• Realizar un proceso de monitoreo de tendencias ambientales del sector/
tecnológicas, industria, legales y regulatorias.
• Brindar soluciones tecnológicas consistentes, efectivas y seguras para el
GMU, si es posible establecer un foro tecnológico, para de esta forma
brindar directrices tecnológicas.
PO4. DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES
DE TI (Nivel de madurez 2)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 puesto
que las necesidades de los usuarios y relaciones con proveedores se
responden de forma táctica aunque inconsistentemente.
RECOMENDACIONES COBIT.
• La principal recomendación es ascender al siguiente nivel (nivel 3)
90
• Definir un marco de trabajo para el proceso de TI para la ejecución del
plan estratégico de TI, incluyendo la estructura y relaciones de procesos
de TI.
• Establecer un comité estratégico de TI a nivel del consejo directivo,
para garantizar que el gobierno de TI se maneje de forma efectiva.
• Ubicar a la función de TI dentro de la estructura organizacional general.
• Establecer una estructura organizacional de TI interna y externa para
reflejar las necesidades del GMU.
• Definir y comunicar rolles y responsabilidades de estos en todo el GMU
con respecto a los sistemas de información.
• Definir roles críticos para la administración de riesgos de TI, incluyendo
la responsabilidad específica de la seguridad de la información y
seguridad física.
• Establecer propiedad de los datos y de sistemas así de esta forma los
propietarios tomaran decisiones sobre como clasificar la información y
los sistemas y su respectiva protección.
• Implantar métodos de supervisión dentro de las funciones de TI para
asegurar que los roles y responsabilidades se ejerzan correctamente.
• Mediante la división de roles se reducirá la posibilidad de que un solo
individuo afecte negativamente un proceso crítico.
• Realizar una evaluación permanente de personal, para así asegurar
que el personal involucrado en las TI sea el pertinente para la función
asignada.
• Definir políticas y procedimientos para el personal contratado.
PO5. ADMINISTRAR LA INVERSIÓN DE TI (Nivel de madurez 4)
CONCLUSIÓN.- Las responsabilidades y rendición de cuentas para la selección
de presupuestos de inversiones son asignadas en específico al Jefe del
departamento informático y el jefe del departamento financiero.
RECOMENDACIONES COBIT.-
• La principal recomendación es avanzar al siguiente nivel (nivel 5)
91
• Utilizar las mejores prácticas de la industria para evaluar costos por
comparación.
• Identificar efectividad de las inversiones.
• Mejorar de forma continua la administración de inversiones en base a las
lecciones aprendidas del análisis del desempeño real de las inversiones.
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida
en la toma de decisiones de inversiones.
PO6. COMUNICAR LASASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
(Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 , puesto que
solo los altos mandos son conocedores de las políticas, procedimientos y
estándares que se elaboran.
RECOMENDACIONES COBIT.-
• La principal recomendación es avanzar al siguiente nivel (nivel 2).
• Definir un ambiente de control de TI alineados con la filosofía administrativa
y la forma de operar del GMU.
• Elabora y mantener un marco de trabajo que establezca el enfoque
empresarial general hacia los riesgos y el control interno.
• Elaborar y mantener un conjunto de políticas para apoyar a la estrategia de
TI.
• Asegurarse que las políticas de TI sean difundidas al personal relevante.
• Asegurar que los objetivos y la dirección del negocio de TI se comuniquen
a toda la organización de forma efectiva.
PO7. ADMINISTRAR LOS RECURSOS HUMANOS DE TI (Nivel de madurez 2).
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2, puesto que
la administración de TI en el GMU tiene un enfoque táctico dirigido por
necesidades específicas de proyecto y no por un equilibrio entendido de
disponibilidad interna y externa de personal calificado.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madures (nivel
3).
92
• Asegurar que los procesos de reclutamiento de personal de Ti estén de
acuerdo a las políticas y procedimientos generales de la organización.
• Verificar de forma periódica que el personal tenga las habilidades
especificas para el cumplimiento de sus roles específicos.
• Asignar roles.
• Brindar al nuevo personal de TI la orientación necesaria al momento de la
contratación y entrenamiento continuo para conservar su conocimiento ,
aptitudes y habilidades
• Priorizar en disminuir la dependencia de individuos clave, por medio de la
documentación, así como compartir el conocimiento, planeamiento de una
sucesión.
• Incluir verificación a profundidad de antecedentes en el proceso de
reclutamiento de personal de TI.
• Evaluar el desempeño del personal de TI de forma periódica.
• Realizar la transferencia de conocimiento respecto al cambio de puestos,
así como reasignar responsabilidades.
• Eliminar privilegios de acceso una vez realizado un cambio de puesto o
terminación de trabajo.
PO8. ADMINISTRAR LA CALIDAD (Nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 puesto que
el GMU no asegura la mejora continua y medible de la calidad de servicios, pues
carece de un sistema de un proceso de planeación de QMS.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Establecer y mantener un QMS que proporcione a la calidad un enfoque
estándar, formal y continuo.
• Identificar estándares, procedimientos y prácticas para los procesos
primordiales de TI así como asegurar estos.
• Acoger y mantener estándares para todo desarrollo a los largo de su ciclo
de vida.
93
• Garantizar que la administración de calidad se enfoque a los
contribuyentes del GMU.
• Realizar un plan global de calidad que se enfoque en la mejora continua.
• Medir, monitorear y revisar el cumplimiento continuo de la calidad.
PO9. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI (Nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 puesto que
no se realiza una evaluación de riesgos para los procesos y las decisiones de
negocio por lo tanto el departamento es blanco perfecto de amenazas.
RECOMENDACIONES COBIT.
• La recomendación primordial es avanzar al siguiente nivel de madurez
(nivel 1)
• Administrar los riesgos de TI, y el marco de control de este.
• Identificar amenazas y vulnerabilidades con in impacto potencial sobre los
objetivos y operaciones del GMU.
• Evaluar de forma recurrente todos los riesgos identificados.
• Identificar los dueños de los riesgos así como los dueños de los procesos
afectados en caso de que estos sucedan, para elaborar y mantener
respuestas a estos riesgos con el fin de generar controles rentables y las
medidas de seguridad que los mitigaran.
• Realizar un monitoreo del plan de acción de riesgos, asignando
prioridades y planeando actividades de control, incluyendo costos,
beneficios y la responsabilidad de la ejecución.
PO10. ADMINISTRAR PROYECTOS (Nivel de madurez 3)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 3 puesto que
el proceso y metodología de la administración de los proyectos son establecidos y
comunicados, estos proyectos son definidos con los objetivos técnicos y de
negocio adecuados.
RECOMENDACIONES COBIT.
• La recomendación principal es avanzar al siguiente nivel de madurez (nivel
4).
94
• Revisar métrica y lecciones aprendidas después de la terminación de cada
proyecto.
• Mejorar el proceso de administración de proyectos formalizándolos y
procurar que los miembros del equipo reciban entrenamiento sobre estas
mejoras.
• Establecer criterios para evaluar el éxito en cada punto clave.
• Obtener un apoyo fuerte y activo por parte de los patrocinadores de alta
dirección.
• Establecer un correcto control de cambios en cada proyecto.
• Medir el desempeño del proyecto acorde el alcance, calendario, calidad,
costos y riesgos.
• Verificar que al cierre de los proyectos estos hayan proporcionado los
resultados y beneficios esperados.
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que
existe la conciencia de la necesidad de definir requerimientos y de identificar
soluciones tecnológicas, las necesidades son analizadas de manera informal y
por ciertos individuos.
RECOMENDACIONES COBIT.
• La recomendación principal de avanzar al siguiente nivel de madurez (nivel
2)
• Determinar de forma clara las soluciones de TI.
• Resaltar, priorizar, especificar los requerimientos funcionales y técnicos del
GMU, priorizando el desempeño, el costo, la confiabilidad, la
compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la
ergonomía, funcionalidad y la legislación del GMU.
• Establecer procesos para administrar y garantizar la integridad, exactitud y
la validez de los requerimientos del negocio.
• Que exista el alineamiento con las estrategias del GMU y de TI.
95
• Identificar, documentar y analizar los riesgos relacionados con los procesos
del negocio para el desarrollo de los requerimientos.
• Realizar un estudio de factibilidad que examine la posibilidad de implantar
los requerimientos encontrados.
• El patrocinador del negocio es el encargado de aprobar y autorizar los
requisitos del negocio, funcionales y técnicos así como los reportes de
estudio de factibilidad en las etapas clave.
AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO (Nivel de madurez 2)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto
existen procesos de adquisición y mantenimiento de software aplicativo en base a
la experiencia de TI, el mantenimiento a menudo es problemático.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
3)
• Traducir los requerimientos del negocio a una especificación de diseño de
un nivel alto para el desarrollo del software.
• Realizar un diseño detallado, y los requerimientos técnicos del software.
• Garantizar integridad de la información, control de acceso, respaldo y
pistas de auditoría.
• Asegurar que el software diseñado sea de calidad.
• Desarrollar estrategia y planes de mantenimiento del software aplicativo en
el GMU.
AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA (Nivel de
madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, ya que no
se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan
los procesos de adquirir, implantar y actualizar infraestructura tecnológica.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (Nivel
2)
96
• Crear un plan de adquisición de infraestructura tecnológica.
• Garantizar la disponibilidad de la infraestructura tecnológica.
• Proteger la infraestructura tecnológica mediante medidas de control
interno, seguridad y auditabilidad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
• Desarrollar un plan de mantenimiento de la infraestructura y garantizar el
control de cambios de esta.
AI4. FACILITAR LA OPERACIÓN Y EL USO. (Nivel de madurez 1).
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que
no existe una generación de documentación, ni políticas de generación de
manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de
la documentación y procedimientos ya se encuentran caducados o
desactualizados.
RECOMENDACIONES COBIT.
• La recomendación principal es avanzar al siguiente nivel de madurez (nivel
2)
• Se debe desarrolla un plan para realizar soluciones de operación el cual
sirva para identificar y documentar todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos.
• Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitirá que estos tomen posesión del sistema y los datos.
• Mediante la transferencia de conocimientos a los usuarios finales se
lograra que estos usen los sistemas con efectividad y eficiencia para el
apoyo a los procesos del GMU.
AI5. ADQUIRIR RECURSOS DE TI. (Nivel de madurez 4)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 4 ya que la
adquisición de TI se integra totalmente con los sistemas generales del gobierno,
ya que se sigue el proceso de compras públicas en la adquisición de algún
recurso de TI.
RECOMENDACIONES COBIT.
97
• La principal recomendación es avanzar al siguiente nivel de madurez, (nivel
5)
• Tomar medidas en la administración de contratos y adquisiciones.
• Establecer buenas relaciones con la mayoría de proveedores y socios.
• Manejar estratégicamente los estándares, políticas y procedimientos de TI
para adquirir recursos de TI.
• Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en
los términos contractuales.
AI6. ADMINISTRACIÓN DE CAMBIOS (Nivel de madurez 1)
CONCLUSIÓN.- este proceso se encuentra en el nivel de madurez 1 ya que no se
establecen estándares y procedimientos de cambios, a menudo se dan cambios
sin autorización.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Realizar procedimientos de la administración de cambios formales.
• Manejar todas las solicitudes de cambio incluyendo mantenimiento y
parches, para aplicaciones, procesos, parámetros de sistemas, servicios,
plataformas.
• Evaluar las solicitudes de impacto enfocándose al impacto, priorización y
autorización de estas.
• Tomar muy en cuenta un proceso para atender cambios de emergencia.
• Realizar un seguimiento de cambios así como un reporte del estatus de los
cambios realizados.
• Realizar un cierre y documentación una vez realizado un cambio, y
garantizar un proceso de revisión de este cambio.
AI7. INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS. (Nivel de madurez
1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que
la verificación y confirmación de soluciones implementadas se realiza para solo
algunos proyectos y no de manera completa.
98
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Se debe entrenar al personal afectado por los cambios, de acuerdo al plan
de entrenamiento e implementación.
• Realizar un plan de pruebas de los sistemas implantados.
• Establecer un plan de implementación.
• Garantizar que los usuarios se encuentren satisfechos con los cambios
generados.
• Distribuir el sistema o el cambio según procedimientos de control.
• Mantener un registro y rastreo de cambios.
DOMINIO ESTREGAR Y DAR SOPORTE.
DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO (Nivel de
madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que no
se administra los niveles de servicio, la rendición de cuentas no se encuentra
definido realmente.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Se debe definir un marco de trabajo para la administración de los niveles
de servicio.
• Mantener alineados los requerimientos y prioridades del negocio.
• Realizar un portafolio de servicios.
• Realizar acuerdos de niveles de servicio.
• Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio,
estos reporte deben mantener un formato entendible por parte de los
interesados.
• Realizar a menudo una revisión con los proveedores internos y externos
los acuerdos de niveles de servicio.
99
DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS. (Nivel de Madurez 3)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 3 por cuanto
existen procedimientos documentados para controlar los servicios de terceros, los
procesos son claros para realizar la negociación con los proveedores.
RECOMENDACIONES COBIT.
• La recomendación principal es avanzar al siguiente nivel de madurez (nivel
4)
• Establecer criterios formales y estandarizados para realizar la definición de
los términos del acuerdo.
• Asignar responsables para la administración del contrato y del proveedor.
• Mantener acuerdos de confidencialidad con los proveedores.
DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD. (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que
los usuarios regularmente tienen que resolver los inconvenientes que se
presenten para aplacar las limitaciones de desempeño y capacidad.
RECOMENDACIONES COBIT.
• Tomar en cuenta un proceso de planeación para revisar el desempeño y la
capacidad de los recursos de TI.
• Tener en cuenta la capacidad y el desempeño actual de los recursos de TI.
• Realizar pronósticos de la capacidad y el desempeño futuros de los
recursos de TI en intervalos regulares.
• Establecer métricas de desempeño y evaluación de la capacidad.
• Brindar disponibilidad completa de los recursos de TI, tomando en cuenta
cargas normales.
• Realizar un monitoreo continuo del desempeño y la capacidad de los
recursos de TI.
DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO. (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez ,1 por cuanto
no se cuenta con un plan de continuidad de servicios.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
100
• Realizar un marco de trabajo de continuidad.
• Desarrollar y tomar muy en cuenta planes de continuidad.
• Tomar en cuenta de forma primordial en los recursos críticos para el
desempeño del GMU.
• Mantener actualizado el plan de continuidad.
• Realizar pruebas regulares del plan de continuidad, de esta forma se
asegura que los sistemas de TI sean recuperados de forma efectiva.
• Realizar un entrenamiento del plan de continuidad a todas las personas
involucradas en llevar a cabo este plan.
• Distribuir este plan de continuidad a las personas involucradas.
• Realizar almacenamiento de información vital u otros recursos críticos
fuera de las instalaciones.
• Una vez realizada la reanudación exitosa de las funciones de TI,
determinar la efectividad del plan de continuidad y realiza actualizaciones a
este según amerite.
DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS. (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que la
seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el
Jefe del departamento Informático, no existen responsabilidades claras.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Se debe administrar la seguridad TI.
• Realizar un plan de seguridad de TI.
• Todos los usuarios de los sistemas deben ser identificados de manera
única.
• Administrar las cuentas de usuario.
• Realizar pruebas a la implementación de la seguridad, de igual forma
monitorear esta.
• Garantizar que las características de posibles incidentes de seguridad sean
definidas y comunicadas de forma clara y oportuna.
101
• Implementar llaves criptográficas a la información.
• Realizar la prevención, detección y corrección de software malicioso, esto
mediante parches de seguridad y un control actualizado de virus.
• Implementar seguridad en la red como por ejemplo firewalls, dispositivos
de seguridad, detección de intrusos, etc.)
• Certificar que el intercambio de información sensible solo se la realiza
mediante una ruta confiable.
DS6. IDENTIFICAR Y ASIGNAR COSTOS (Nivel de Madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, ya que no
existe un proceso que identifique los costos y la distribución de estos, así como la
difusión a los usuarios implicados, por lo tanto los usuarios no hacen un buen uso
de los servicios de TI.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Realizar una identificación de los costos de TI y emparejarlos a los
servicios de TI.
• Realizar una asignación de costos.
• Definir un modelo de costos (costos directos, indirectos y fijos de los
servicios), con base a un la definición de servicio.
• Realizar un mantenimiento del modelo de costos.
• Informar a los usuarios el costo real de TI.
DS7. EDUCAR Y ENTRENAR A LOS USUARIOS. (Nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto
hay una falta de entrenamiento a los usuarios de los sistemas, no existe un plan
de capacitación a los usuarios.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Identificar las necesidades de entrenamiento y educación del personal
acerca de las TI.
102
• Impartir entrenamiento a los usuarios.
• Realizar una evaluación después del entrenamiento realizado.
• Dar a conocer a los usuarios los valores corporativos (valores éticos,
cultura de seguridad y control, etc.).
DS8. ENTREGAR Y DAR SOPORTE (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto
se tiene conciencia de la necesidad de tener personal enfocado en responder
consultas de los usuarios y administrar la resolución de incidentes, pero no se
tiene políticas de reportes de incidentes.
RECOMNEDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Crear una mesa de servicios, la cual servirá como conexión entre los
usuarios de los sistemas con TI.
• Realizar un registro y rastreo de llamadas, incidentes, solicitudes de
servicio y las necesidades de la información.
• Los incidentes deben estar clasificados de acuerdo al departamento donde
estos suceden.
• Realizar un escalonamiento de incidentes, para los que no se puedan
resolver inmediatamente.
• Realizar el cierre de incidentes, registrando la causa raíz, si se tiene el
conocimiento de esta, y realizar una confirmación si el usuario acepto la
solución encontrada.
• Emitir reporte sobre la inmediatez de la solución de los incidentes y el nivel
de satisfacción de los usuarios en la resolución de estos.
DS9. ADMINISTRAR LA CONFIGURACIÓN (Nivel de madurez 1).
CONCLUSIÓN. Este proceso se encuentra en el nivel de madurez 1 puesto que,
solo se realizan tareas básicas como realizar inventarios de hardware (cada año),
no se tienen definidas prácticas estandarizadas.
RECOMENDACIONES COBIT.
103
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Generar un repositorio central, que cuente con la información de los
elementos de configuración, entre los cuales tenemos hardware, software
aplicativo, middleware, herramientas para el operar, acceder y utilizar los
servicios de igual forma los sistemas.
• Realizar el registro de activos el preciso instante en que estos se
adquieran.
• Prevenir la inclusión de software no autorizado.
• Verificar continuamente la existencia de cualquier software personal no
autorizado.
DS10. ADMINISTRACIÓN DE PROBLEMAS (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto,
el único responsable en la administración de problemas es el Jefe del
departamento informático, y esto se realiza de manera informal, sin llevar un
reporte de los problemas.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
• Implementar procesos para la identificación y clasificación de los
problemas, mediante los cuales se reporten los problemas que han sido
identificados como parte de la administración de incidentes.
• Realizar un rastreo y resolución de los problemas.
• Tener un procedimiento de cierre de problemas una vez confirmada la
eliminación del error de forma exitosa.
• Realizar una integración entre la administración de cambios, configuración
y problemas.
DS11. ADMINISTRACIÓN DE DATOS (Nivel de madurez 2)
CONCLUSIÓN.- este proceso se encuentra en el nivel de madurez 2 por cuanto
esta administración no se realiza de forma optima, no se realiza un monitoreo
sobre los respaldos de datos, recuperación y desecho de estos.
104
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
3)
• Realizar con los usuarios acuerdos de almacenamiento y conservación de
datos.
• Mantener un inventario de medios en sitio, garantizando la integridad de los
datos.
• Prevenir el acceso a personas no autorizadas a los datos sensitivos.
• Realizar la eliminación de datos mediante herramientas especializadas,
para prevenir la recuperación de estos por persona ajenas al GMU.
• Reconoces e implementar procesos de respaldo y restauración de
sistemas, datos y configuraciones.
• Establecer mecanismos de entrega, recepción, procesamiento,
almacenamiento físico y entrega de la información.
• Establece políticas de administración de datos.
• Definir responsables en la responsabilidad sobre la propiedad de los datos.
DS12. ADMINISTRACIÓN DEL AMBIENTE FÍSICO (Nivel de madurez 2)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto,
las operaciones de seguridad son monitoreadas por parte del Jefe del
departamento informático pero no eficientemente, no existe una buena
documentación de los procedimientos de mantenimiento de las instalaciones, la
gerencia no toma en cuenta los objetivos de seguridad.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al próximo nivel de madurez (nivel
3)
• Realizar el diseño de un centro de datos tomando en cuenta el riesgo
asociado a desastres naturales así como causados por el hombre.
• Realizar medidas de seguridad física de acceso al Departamento de TI.
• Delimitar zonas de seguridad, ubicación de equipos críticos y áreas de
envío y recepción.
• Implementar medidas de protección contra factores ambientales.
105
• Realizar inspecciones periódicas de instalaciones físicas.
• Administrar de forma eficiente las instalaciones como equipo de cómputo,
suministro de energía.
• Regirse a las normas de seguridad y salud diseñadas para las TI.
DS13. ADMINISTRACIÓN DE OPERACIONES (Nivel de madurez 2)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 puesto que
las operaciones de soporte de TI son informales e intuitivas, hay una alta
dependencia de un solo individuo.
RECOMENDACIONES COBIT.
• La principal recomendación es ascender al siguiente nivel de madurez
(nivel 3).
• Definir procedimientos estándar para las operaciones de TI, así como
analizar e implementar estos procedimientos.
• Tener en cuenta un calendario de tareas, trabajos y procesos en una
secuencia eficiente.
• Monitorear la infraestructura de TI y los eventos relacionados a esta.
• Determinar resguardo físico, registro y administración de inventario sobre
los activos de TI más sensitivos.
• Realizar de forma eficiente el mantenimiento preventivo de hardware y asi
reducir la frecuencia de fallos en estos.
DOMINIO MONITOREAR Y EVALUAR.
ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI (nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto
no se cuenta con un proceso implementado de monitoreo, así como con reporte
útiles, oportunos y precisos sobre el desempeño.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Realizar una marco de trabajo de monitoreo general garantizado por la
gerencia.
106
• Definir y recolectar los datos del monitoreo mediante un conjunto de
objetivos, mediciones, metas y comparaciones de desempeño.
• Definir un método de monitoreo como Balance Scorecard.
• Evaluar el desempeño comparándolo periódicamente con las metas.
• Entregar reporte administrativos al consejo directivo y ejecutivos.
• Identificar e iniciar medidas correctivas sobre el desempeño de TI.
ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO (Nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto,
No se tiene procedimientos para monitorear la efectividad de los controles
internos.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Monitorear el marco de trabajo de control interno de forma continua.
• Mediante las revisiones de auditoría reportar la efectividad de los controles
internos sobre las TI.
• Realizar una auto-evaluación del control interno de la administración de
procesos, políticas y contratos de TI.
• Si es necesario, mediante revisiones de terceros asegurar la completitud y
efectividad de los controles internos.
• Verificar que los proveedores externos cumplan con los requerimientos
legales y regulatorios y con las obligaciones contractuales.
• Iniciar medidas correctivas basadas en evaluaciones y reportes de control.
ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO. (Nivel de madurez 1)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto,
se siguen procesos informales para mantener el cumplimiento regulatorio.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
2)
107
• Garantizar la identificación de requerimientos locales e internacionales
legales, contractuales de políticas, y regulatorios.
• Tener muy en cuenta las leyes y reglamentos del comercio electrónico,
privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.
• Evaluar el cumplimiento de las políticas, estándares y procedimientos de
TI.
• Integrar los reporte de TI sobre el cumplimiento regulatorio.
ME4. PROPORCIONAR GOBIERNO DE TI (Nivel de madurez 0)
CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 por cuanto
no existe procesos de gobierno de TI.
RECOMENDACIONES COBIT.
• La principal recomendación es avanzar al siguiente nivel de madurez (nivel
1)
• Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,
procesos, roles y responsabilidades.
• Contribuir al entendimiento del consejo directivo y de los ejecutivos sobre
temas estratégicos de TI tales como el rol de TI.
• Garantizar la optimización de la inversión, uso y asignación de los activos
de TI mediante evaluaciones periódicas.
• Administrar los riesgos de forma eficiente.
• Conformar un comité de auditoría para asegurar el cumplimiento de TI.
En la tabla (42) se detalla el impacto sobre los criterios de la información.
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN CRITERIOS DE LA INFORMACIÓN PORCENTAJE OBSERVACIONES
EFECTIVIDAD 25,35% El objetivo es alcanzar el 100% para esto la información en el GMU debe ser entregada de forma oportuna, correcta, consistente y utilizable.
EFICIENCIA 25,54% El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos.
108
CONFIDENCIALIDAD 14,60% El objetivo es alcanzar el 100%, para lo cual se debe proteger la información sensitiva contra revelación no autorizada.
INTEGRIDAD 21,41%
El objetivo es alcanzar el 100%, para lo cual la información debe ser precisa y completa, así como debe de ser válida de acuerdo a los valores y expectativas del GMU.
DISPONIBILIDAD 19,98%
El objetivo es alcanzar el 100% para lo cual la información debe estar disponible cuando esta se requiera por parte de los procesos dl negocio en cualquier momento, de igual forma proteger los recursos.
CUMPLIMIENTO 21,76%
El objetivo es alcanzar el 100%, para lo cual se debe respetar leyes, reglamentos y acuerdos contractuales a los que está sujeto el proceso del negocio, como políticas internas.
CONFIABILIDAD 21,20% El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la información apropiada, con el fin de que la gerencia administre la entidad.
TABLA 41. Conclusión Impacto sobre los criterios de la información Realizado: Por el autor.
El objetivo de alcanzar el 100% en cada criterios de la información es en un casi
ideal, el porcentaje aceptable es del 80% en adelante.
109
3.3 INFORME EJECUTIVO
En el informe que se presenta a continuación se detalla los resultados de la
evaluación a cada uno de los 34 procesos que recomienda COBIT a ser
evaluados en el Gobierno Municipal de San Miguel de Urcuquí.
REPORTE DE NIVELES DE MADUREZ
PROCESO
GRADO DE
MADUREZ
DOMINIO PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico 1
PO2 Definir la arquitectura de información 1
PO3 Determinar la dirección tecnológica 1
PO4 Definir los procesos, organización y relaciones de TI 2
PO5 Administrar la inversión de TI 4
PO6 Comunicar las aspiraciones y la dirección de la gerencia 1
PO7 Administrar recursos humanos de TI 2
PO8 Administrar la calidad 0
PO9 Evaluar y administrar los riesgos de TI 0
PO10 Administrar proyectos 3
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas 1
AI2 Adquirir y mantener software aplicativo 2
AI3 Adquirir y mantener infraestructura tecnológica 1
AI4 Facilitar la operación y el uso 1
AI5 Adquirir recursos de TI 4
AI6 Administrar cambios 1
AI7 Instalar y acreditar soluciones y cambios 1
DOMINIO ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio 1
DS2 Administrar los servicios de terceros 3
DS3 Administrar el desempeño y la capacidad 1
DS4 Garantizar la continuidad del servicio 1
DS5 Garantizar la seguridad de los sistemas 1
DS6 Identificar y asignar costos 0
DS7 Educar y entrenar a los usuarios 0
DS8 Administrar la mesa de servicio y los incidentes 1
DS9 Administrar la configuración 1
DS10 Administrar los problemas 1
DS11 Administrar los datos 2
DS12 Administrar el ambiente físico 2
110
DS13 Administrar las operaciones 2
DOMINIO MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI 0
ME2 Monitorear y evaluar el control interno 0
ME3 Garantizar el cumplimiento regulatorio 1
ME4 Proporcionar gobierno de TI 0 TABLA 39. Resultado niveles de madurez
Realizado: Por el autor
Para lo cual se ha tomado como referencia los siguientes niveles de madurez.
• 0 No existente.- La empresa tiene una carencia en cualquier proceso
reconocible.
• 1 Inicial.- La empresa reconoce la necesidad de solucionar problemas, no
existen procesos estándar.
• 2 Repetible.- Se han desarrollado procesos que siguen patrones similares.
• 3 Definido.- Se ha estandarizado y documentado la mayor parte de los
procedimientos.
• 4 Administrado.- Los procesos se encuentran en una mejora continua,
porque se monitorea y se mide el cumplimiento de estos.
• 5 Optimizado.- Los procesos se encuentran totalmente refinados.
Los criterios de información se encuentran en el siguiente porcentaje todos sobre
el 100%.
FIGURA 8. CRITERIO DE LA INFORMACIÓN EFECTIVIDAD
Realizado: Por el autor
25,54%
74,46%
Criterio de información: efectividad
Efectividad
Déficit
111
La efectividad consiste en que la información relevante sea entregada
oportunamente, correcta, consistente y utilizable, tiene un promedio del 25,30%.
FIGURA 9. CRITERIO DE LA INFORMACIÓN EFICIENCIA
Realizado: Por el autor
La eficiencia consiste en que la información generada, se la obtenga optimizando
recursos, este criterio tiene un promedio del 25,54%.
FIGURA 10. CRITERIO DE LA INFORMACIÓN CONFIDENCIALIDAD
Realizado: Por el autor
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio de información se encuentra en un
promedio del 14,6%.
25,54%
74,46%
Criterio de información eficiencia
Eficiencia
Déficit
14,60%
85,40%
Criterio de información: Confidencialidad
Confidencialidad
Déficit
21,41%
78,59%
Criterio de información: integridad
Integridad
Déficit
112
FIGURA 11. CRITERIO DE LA INFORMACIÓN INTEGRIDAD
Realizado: Por el autor
La integridad se refiere a que la información debe ser precisa y completa, este
criterio de la información cuenta con un promedio del 21,41%.
FIGURA 12. CRITERIO DE LA INFORMACIÓN DISPONIBILIDAD
Realizado: Por el autor
La disponibilidad concierne en que la información esté disponible cuando esta sea
requerida por los procesos del negocio, y que cumpla con las políticas internas,
este criterio de la información tiene un porcentaje del 19,98%.
FIGURA 13. CRITERIO DE LA INFORMACIÓN CUMPLIMIENTO
Realizado: Por el autor
El cumplimiento tiene relación en respetar las leyes, reglamentos y acuerdos
contractuales a los cuales esta dependiendo los procesos del negocio, este
criterio de información tiene en promedio un porcentaje del 21,76%.
19,98%
80,02%
Criterio de la información: Disponibilidad
Disponibilidad
Déficit
21,76%
78,24%
Criterio de la información: Cumplimiento
Cumplimiento
Déficit
113
FIGURA 14. CRITERIO DE LA INFORMACIÓN CONFIABILIDAD
Realizado: Por el autor
La confiabilidad consiste en que la información sea la apropiada para que la parte
gerencial administre de manera óptima la entidad, este criterio de la información
tiene un promedio del 21,20%.
21,20%
78,80%
Criterio de la información: Confiabilidad
Confiabilidad
Déficit
114
CAPITULO 4.
CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES.
• Mediante el marco de referencia COBIT, se ha podido evaluar y
diagnosticar los procesos de TI en el Gobierno Municipal de San Miguel de
Urcuquí. También se ha diagnosticado cada uno de los criterios de la
información, los cuales son efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
• Con este estudio se ha dado un conjunto de directrices las cuales pueden
ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar
recursos y medir el desempeño, así como el nivel de madurez de cada uno
de los procesos del GMU.
• Mediante COBIT la toma de decisiones es más eficaz en: la definición de
un plan estratégico, definición de la información, definición de la
arquitectura, adquisición de hardware necesario, adquisición de software,
el aseguramiento del servicio continuo, y la supervisión de los sistemas de
TI.
• Los gerentes, usuarios, interventores son beneficiados con el desarrollo de
COBIT, ya que este marco de referencia ayuda a estos individuos entender
sus sistemas de TI, de igual forma decidir el nivel de seguridad y control
para proteger los activos (información, hardware, etc.) del GMU mediante
un modelo de desarrollo de gobernación de TI.
• La auditoría no solo se enfoca al departamento informático, sino a la vez al
control y manejo de la información de los demás departamentos del GMU.
115
• COBIT independientemente de la realidad tecnológica, permite una realizar
evaluaciones de TI de forma efectiva, sin tomar en cuenta una gran
inversión financiera.
• El análisis del informe preliminar con el personal de sistemas fue de gran
apoyo para entrar a asamblea la aprobación de ciertos proyectos que
involucran los procesos evaluados en esta auditoría.
• Este trabajo tuvo un tiempo de para puesto que en el cambio de
autoridades del GMU, se tuvo que presentar el estudio del trabajo y
explicar cada uno de los avances obtenidos en la administración anterior.
4.2 RECOMENDACIONES.
• Tener muy en cuenta los porcentajes obtenidos para cada uno de los
criterios de información de COBIT, los cuales son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad y
tomar las medidas pertinentes para que estos criterios de información
lleguen al valor óptimo del 100%.
• Se debe utilizar software aplicativo con licenciamiento, así como adecuar
las instalaciones del departamento informático, puesto que el espacio de
trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.
• Tomar en cuenta los procesos que se encuentran con el nivel de madurez
de 0 y 1, que son los de factor crítico.
• Hacer el uso del presente trabajo, con el fin de tomarlo como guía para
futuras mejoras en TI.
• Capacitar al personal informático sobre el marco de referencia COBIT, para
el mejor entendimiento de este trabajo.
• Realizar evaluaciones periódicas con el fin de medir el avance de cada uno
de los procesos estudiados en este trabajo.
116
• Tener disponible toda la información necesaria para un proceso de
auditoría o que no se oculte nada de información vital para este proceso,
con lo cual se asegura un resultado óptimo de la auditoría.
117
GLOSARIO
Arquitectura de la información.- Es la disciplina y arte encargada del estudio,
análisis, organización, disposición y estructuración de la información en espacios
de información, y de la selección y presentación de los datos en los sistemas de
información interactivos y no interactivos.
Auditoría Informática.- Proceso de recoger, agrupar, evaluar evidencias para
evidenciar si un sistema informático o estructura informática protege los activos
intangibles o tangibles de la empresa.
Estándares.- Son normas y protocolos que debe cumplir productos de cualquier
índole en este caso informáticos.
G.M.U.- Gobierno Municipal de San Miguel de Urcuquí
COBIT.- (Control Objetives Information Technologies), modelo de referencia
utilizado en el control de tecnologías de la información así como su control.
Control Interno.- Es un conjunto de áreas funcionales con políticas,
procedimientos, practicas las cuales son diseñadas para garantizar el logro de los
objetivos de la empresa.
COSO. – (Committee Of Sponsoring Organizations), es un modelo de control de
negocios, que proporciona un estándar a partir del cual las organizaciones
(grandes o pequeñas, en el sector público o privado, con fines de lucro o sin él)
pueden evaluar sus procesos de control y determinar cómo mejorar su
desempeño
Criptografía.- Es cifrar o descifrar información mediante técnicas especiales.
HOC.- Locución latina que significa “para esto”, solución para un problema o fin
especifico.
Incidente.- Es un suceso inesperado, no planeado que afecta o pudiera afectar la
seguridad de los datos.
KGI.- (Key Goal Indicator), indicadores de metas. Definen mediciones para
informar a la dirección general si un proceso TIC ha alcanzado sus requisitos de
negocio, y se expresan por lo general en términos de criterios de información.
KPI.- (Key Performance Indicator), indicadores clave de rendimiento. Más allá de
la eficacia, se definen unos valores que nos explican en qué rango óptimo de
118
rendimiento nos deberíamos situar al alcanzar los objetivos. Son métricas del
proceso.
Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una
empresa.
Pen drive.- (Flash memory), dispositivo de almacenamiento.
Plan Estratégico.- Es un plan a largo plazo aprobado por una empresa.
Problema.- Es la causa desconocida de uno o varios incidentes.
Proceso.- Es un conjunto de acciones integradas y dirigidas hacia un objetivo con
un fin.
TI.- Tecnologías de la Información.
Riesgo.- Es un problema el cual es potencial y puede suceder en los sistemas
informáticos.
Sistema Operativo.- Es un software que actúa de interfaz entre los dispositivos
de hardware y los programas usados por el usuario para utilizar un computador.
Es responsable de gestionar, coordinar las actividades y llevar a cabo el
intercambio de los recursos y actúa como estación para las aplicaciones que se
ejecutan en la máquina.
119
BIBLIOGRAFIA
Textos:
• IT Governance Institute COBIT 4.0 Objetivo de Control, Directrices Gerenciales y Modelos de Madurez. Glanser Services 2007
• Brand Koen, BOONEN Harry. IT Governance base don Cobit 4.0 –A Managment Guide. Van Haren Publishing. Febrero 2007
• COBIT MARCO REFERENCIAL; 3a Edición. Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2001.
• Girard, Jergensen, Cobit 4.0: Causes & Changes. CISA. Office of the State Auditor & Inspector. Febrero 2007.
• Velasteguí, Talina, Análisis de la gestión de las tecnologías de la información en la unidad de gestión de la información de la EPN utilizando COBIT, Quito, Escuela Politécnica Nacional, 2007
• Analuisa Enríquez, Patricio Vicente, Auditoría Informática al departamento de Tecnología de la Información (TI) de Hidropaute., Quito, Escuela Politécnica Nacional, 2007
• Carrión Toro, Mayra del Cisne, Coronado Cabezas, Luz Margarita, Auditoría de la Gestión de las TIC’s en la empresa DIPAC utilizando Cobit. Quito, Escuela Politécnica Nacional, 2008
Direcciones electrónicas:
• ISACA ORG. Obtain Cobit http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008.
• WIKIPEDIA. Objetivos de control para la información y tecnologías
relacionadas. http://es.wikipedia.org/wiki/COBIT Noviembre 2008.
• Rojas Córsico, Ivana Soledad, Trabajo de Auditoría normas COBIT. http://site.ebrary.com/lib/epnsp/search.action?subject=BUSINESS+%26+ECONOMICS+%2f+Economics+%2f+General&p00=COBIT Marzo 2005.
• WIKIPEDIA. Definiciones. http://es.wikipedia.org/
120
ANEXOS
Anexo A.
Informe de equipos y sistemas informáticos del Gobierno Municipal de Urcuquí Detalle de equipos: Dpto. Nº Tipo Marca Observaciones Ubicación
Un
idad
de
Serv
icio
s
Info
rmát
ico
s
1 Servidor HP NetServer E800 M, T,P-Nor (inactivo)
Oficina Sistemas
1 Servidor IBM System x3400 M, T, P-Nor 1 PC escritorio Intel C2Q M, T, P, P-LCD 4 Switch 24p. D-Link 1024D 1 Inactivo 1 Router Wireless TrendNet TEW652BRP 1 Impresora Lexmark x2530 Multifuncional 10 UPS Tripp-lite 750VA 1 UPS ADP Smart UPS 3000VA
Dep
arta
me
nto
Fin
anci
ero
1 PC escritorio Pentium IV M, T, P, P-LCD
Dirección 1 UPS Tripp-Lite 750VA 1 Impresora Lexmark x1190 Multifuncional
1 PC escritorio Pentium IV M, T, P, P-Nor
Secretaría 1 Impresora Lexmark z715 1 Regulador PC-NET
De
par
tam
en
to d
e C
on
tab
ilid
ad
1 PC escritorio Core 2 Duo M, T, P, P-LCD
Contador 1 1 UPS Tripp-Lite 750VA 1 Impresora Epson FX-2190 Matricial 1 PC escritorio Pentium D M, T, P, P-Nor
Tesorera 1 UPS Tripp-Lite 750VA
1 Impresora Lexmark z715 1 PC escritorio Pentium IV M, T, P, P-Nor
Jefe Presupuesto
1 UPS Tripp-Lite 750VA
1 Impresora Epson FX-2190 Matricial
1 PC escritorio Pentium IV M, T, P, P-Nor
Auxiliar 1 1 UPS Tripp-Lite 750VA
1 Impresora Epson LX-300+II Matricial
1 PC escritorio Pentium III M, T, P, P-Nor Auxiliar 2
1 UPS Tripp-Lite Omnismart 700
1 PC escritorio Pentium IV M, T, P, P-Nor
Contador 1 1 UPS Tripp-Lite 750VA
1 Impresora HP DJ D-1560 1 PC escritorio Pentium IV M, T, P, P-Nor Contador
General
1 UPS Tripp-Lite 750VA
Dir
ecc
ión
de
des
arro
llo
so
ste
nib
le
1 PC escritorio Pentium IV M, T, P, P-Nor Dirección
1 UPS Tripp-Lite 750VA
1 PC escritorio Core 2 Duo M, T, P, P-Nor Comunicador social 1 UPS Tripp-Lite 750VA
1 PC escritorio Core 2 Duo M, T, P, P-LCD Secretaría
1 UPS Tripp-Lite 750VA
121
Dpto. Nº Tipo Marca Observaciones Ubicación 1 Impresora Laser Samsung ML-2010 Monocolor
1 PC escritorio Core 2 Duo M, T, P, P-LCD Promotor cultural
1 Regulador Klip 1 Impresora HP DJ-1022
1 Laptop Acer 1640z M, Maleta, Cargador Técnico UNIDEL 1 PC escritorio Pentium IV M, T, P, P-Nor
Facilitador Alfabetización
1 Regulador CDP
1 Impresora HP DJ 840C
5 PC escritorio Pentium IV M, T, P, P-Nor Biblioteca
Pro
cura
du
ría 1 PC escritorio Core 2 Duo M, T, P, P-Nor
Procurador 1 Regulador CDP 1 PC escritorio Core 2 Duo M, T, P, P-LCD
Secretaría 1 UPS Tripp-Lite 750VA
1 Impresora Lexmark X2650 Multifuncional
Secr
eta
ría
Ge
ne
ral
1 PC escritorio Core 2 Duo M, T, P, P-Nor
Secretaría General
1 Impresora Samsung ML-1610 Laser Monocolor
1 Impresora Samsung CPL-315 Laser Color
1 UPS Tripp-Lite 750VA
1 PC escritorio Pentium IV M, T, P, P-Nor
Prosecretaría 1 Impresora Samsung ML-1610 Laser Monocolor
1 UPS Tripp-Lite 750VA
1 PC escritorio Core 2 Duo M, T, P, P-LCD
Recepción 1 UPS Tripp-Lite 750VA
1 Impresora Epson LX-300+II Matricial
Re
cau
da
cio
ne
s 1 PC escritorio Pentium IV M, T, P, P-Nor
Recaudador 1 1 UPS Tripp-Lite 750VA
1 Impresora Epson FX-880+ Matricial
1 PC escritorio Core 2 Duo M, T, P, P-LCD Recaudador 2
1 UPS Tripp-Lite 750VA
1 Impresora Epson LX-300+II Matricial
Ava
lúo
s y
cata
stro
s
1 PC escritorio Pentium IV M, T, P, P-Nor
Auxiliar 1 UPS Tripp-Lite 750VA
1 Impresora HP DJ-1220C
1 PC escritorio Pentium D M, T, P, P-LCD
Jefatura 1 UPS Tripp-Lite 750VA
1 Impresora HP DJ-9800
Rec
urs
os
Hu
ma
no
s 1 PC escritorio Pentium IV M, T, P, P-Nor
Jefatura 1 Impresora Epson LX-300+ Matricial
1 Regulador Jetech 1 Impresora HP DJ-1300
De
par
t
ame
nt
o d
e
1 PC escritorio Pentium IV M, T, P, P-Nor
Secretaría 1 Regulador TL-LS 1 Impresora Lexmark X1185 Multifuncional
122
Dpto. Nº Tipo Marca Observaciones Ubicación 1 PC escritorio Pentium D M, T, P, P-Nor
Planificación 1 Impresora HP DJ-9800
1 Regulador Thor 1 PC escritorio Core 2 Duo M, T, P, P-LCD
Fiscalización 1 Regulador Thor 1 Impresora HP K8600
1 Plotter HP DJ-500
1 PC escritorio Pentium IV M, T, P, P-Nor Topografía
1 Regulador Thor
1 PC escritorio Pentium D M, T, P, P-Nor
Dirección 1 Regulador Thor 1 Impresora Lexmark z615 1 PC escritorio Pentium IV M, T, P, P-LCD
Jefatura 1 Regulador Thor 1 Impresora Lexmark x1270 1 PC escritorio Core 2 Duo M, T, P, P-LCD
Secretaría 1 Impresora Xerox 3119 Multifunción
1 Regulador Klip 1 PC escritorio Pentium IV M, T, P, P-Nor
Inspector 1 1 UPS Tripp-Lite Omnismart
1 PC escritorio Core 2 Duo M, T, P, P-LCD
Inspector 2 1 Regulador Thor 1 Impresora Lexmark X2650 Multifunción
Pat
ron
ato
1 PC escritorio Core 2 Duo M, T, P, P-LCD
Dirección 1 UPS Tripp-Lite 750VA
1 Impresora HP- DJ F4280 Multifunción
1 PC escritorio Pentium III M, T, P, P-Nor Auxiliar
1 Impresora Epson LX-300 Matricial
1 PC escritorio Core 2 Duo M, T, P, P-Nor. Farmacia
1 Regulador Thor
Resumen: Tipo Nº
Servidor 2
PC escritorio 42
Laptop 1
Impresora 31
UPS 32
Regulador 14
Plotter 1
Switch 4
Router Wi-Fi 1
123
Anexo: Abreviaciones:
M Mouse (Ratón) T Teclado P Parlantes P-Nor Monitor de pantalla Normal (CRT) P-LCD Monitor de pantalla LCD (Flat)
124
Anexo B.
INFORME PRELIMINAR.
Quito, 24 de junio del 2010
Señores
Gobierno Municipal de San Miguel de Urcuquí.
ATENTAMENTE.
Economista Arturo García
Me dirijo a usted con la finalidad de poner en conocimiento el trabajo de Auditoría
de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de
San Miguel de Urcuquí utilizando como modelo de referencia COBIT 4.0
practicadas desde lunes 27 de abril del 2009 hasta el viernes 23 de abril del 2010.
Auditor.
Juan Miguel Llumihuasi Quispe.
El presente informe tiene la finalidad de dar a conocer los resultados de la
práctica realizada en el Arrea Informática del Gobierno Municipal de San Miguel
de Urcuquí.
Una vez realizada la evaluación a cada uno de los 34 procesos que establece
COBIT en su marco de referencia, tenemos los siguientes resultados.
REPORTE DE NIVELES DE MADUREZ
PROCESO
GRADO DE
MADUREZ
DOMINIO PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico 1
PO2 Definir la arquitectura de información 1
PO3 Determinar la dirección tecnológica 1
PO4 Definir los procesos, organización y relaciones de TI 2
PO5 Administrar la inversión de TI 4
PO6 Comunicar las aspiraciones y la dirección de la gerencia 1
Pa Administrar recursos humanos de TI 2
125
PO8 Administrar la calidad 0
PO9 Evaluar y administrar los riesgos de TI 0
PO10 Administrar proyectos 3
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas 1
AI2 Adquirir y mantener software aplicativo 2
AI3 Adquirir y mantener infraestructura tecnológica 1
AI4 Facilitar la operación y el uso 1
AI5 Adquirir recursos de TI 4
AI6 Administrar cambios 1
AI7 Instalar y acreditar soluciones y cambios 1
DOMINIO ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio 1
DS2 Administrar los servicios de terceros 3
DS3 Administrar el desempeño y la capacidad 1
DS4 Garantizar la continuidad del servicio 1
DS5 Garantizar la seguridad de los sistemas 1
DS6 Identificar y asignar costos 0
DS7 Educar y entrenar a los usuarios 0
DS8 Administrar la mesa de servicio y los incidentes 1
DS9 Administrar la configuración 1
DS10 Administrar los problemas 1
DS11 Administrar los datos 2
DS12 Administrar el ambiente físico 2
DS13 Administrar las operaciones 2
DOMINIO MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI 0
ME2 Monitorear y evaluar el control interno 0
ME3 Garantizar el cumplimiento regulatorio 1
ME4 Proporcionar gobierno de TI 0
A continuación se detalla los niveles de madurez que están diseñados como
perfiles de procesos de TI que se reconocería como estados posibles actuales y
futuros.
0
NO EXISTENTE
Carencia completa de cualquier proceso reconocible. La
empresa no ha reconocido siquiera que existe un problema a
resolver
Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos. Sin embargo; no
126
1
INICIAL
existen procesos estándar en su lugar existen enfoques ad
hoc que tienden a ser aplicados de forma individual o caso
por caso. El enfoque general hacia la administración es
desorganizado.
2
REPETIBLE
Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes áreas que
realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se
deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto,
los errores son muy probables.
3
DEFINIDO
Los procedimientos se han estandarizado y documentado, y
se han difundido a través de entrenamiento. Sin embargo, se
deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos
en sí no son sofisticados pero formalizan las prácticas
existentes.
4
ADMINISTRADO
Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no
estén trabajando de forma efectiva. Los procesos están bajo
constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada o
fragmentada.
En base a estos niveles de madurez evaluamos cada proceso.
La evaluación realizada a cada proceso se encuentra en el documento anexo a
este, con sus respectivas justificaciones.
127
Anexo C.
PLAN ESTRATÉGICO DEL GMU.
EL GOBIERNO MUNICIPAL DE SAN MIGUEL DE URCUQUÍ
CONSIDERANDO: Que es necesario implementar una organización flexible, ágil y dinámica que permita al Gobierno Local, responder a los objetivos ciudadanos. Que es necesario dotar al Gobierno Municipal de San Miguel de Urcuquí de una nueva estructura orgánica funcional que responda a las expectativas de la comunidad y este acorde con los conceptos que exigen la administración moderna. Que los Art., 225, 226, y 228 de la Constitución Política del Estado, en concordancia con el Art. 16 de la Ley Orgánica de Régimen Municipal, establecen que los gobiernos cantonales gozan de autonomía funcional, administrativa y financiera; Que el Art. 69 ordinal 26 de la Ley Orgánica de Régimen Municipal dice: “Formular los reglamentos orgánicos funcionales de las distintas dependencias municipales y someterlos a la aprobación del Concejo”. Que para los retos que se ha planteado el Gobierno Municipal de San Miguel de Urcuquí, se requieres definir, delimitar, así como coordinar las actividades y funciones del Gobierno Municipal, y por consiguiente de cada una de sus áreas. Que es necesario brindar a los usuarios externos e internos servicios de calidad a través de la aplicación de los conceptos de eficacia, eficiencia y economía, administrativas; En ejercicio de las atribuciones establecidas en la Ley de Régimen Municipal, Art. 123, 156, como el Art. 63 numeral 49; y 157, concomitantemente con el parágrafo 5o del mismo cuerpo Legal: RESUELVE: Expedir el siguiente Reglamento que pone en vigencia el Orgánico Funcional del Gobierno Municipal de San Miguel de Urcuquí, que se describe a continuación:
CAPITULO I MISION, VISIÓN, POLITICAS, OBJETIVOS Y VALORES Misión Contribuir al bienestar de la sociedad del Cantón San Miguel de Urcuquí y fortalecer su economía a través de la dotación, desarrollo y conservación de la
128
infraestructura vial, servicios de alcantarillado, agua potable, salud, higiene, saneamiento ambiental, seguridad ciudadana, educación, cultura y demás servicios municipales. Ser actores sociales comprometidos con el cambio del cantón, propugnamos el desarrollo social, económico y ambiental de manera equitativa y sostenible, generando junto al pueblo propuestas, proyectos y programas que mejoren su calidad de vida, sobre el respeto y fortalecimiento de la identidad cultural. Promover e incentivar los espacios de participación ciudadana y sus organizaciones de manera propositiva para que conjuntamente con el Gobierno Municipal, eje coordinador, mejore su calidad de vida en el marco del desarrollo humano integral, cuidando su ambiente, privilegiando satisfacer las necesidades intelectuales, físicas y espirituales, garantizando la continuidad en el tiempo siendo las y los ciudadanos constructores de su propio bienestar, sujetándose a las políticas, estrategias y objetivos que se fijen en las Asambleas. Visión El Gobierno Municipal de San Miguel de Urcuquí evidencia una mejor calidad de vida de sus habitantes, producto de la aplicación de políticas participativas de desarrollo, aprovechando sus potencialidades y oportunidades, en el marco de la interculturalidad, solidaridad, tolerancia, reciprocidad y transparencia. Será una institución líder en la prestación de servicios públicos a la comunidad del Cantón, que goce de prestigio, confianza y credibilidad por la calidad de sus servicios, por la seguridad laboral que brinda a sus empleados, por su preocupación permanente por lograr la satisfacción de las necesidades de la comunidad, sustentando bajo la premisa del deber y derecho que tienen los ciudadanos. En el 2016 llegar a ser un gobierno local eficiente, transparente que integre todos sus estamentos en beneficio de la colectividad con tecnología de punta y con participación ciudadana real. Buscamos construir junto a los otros actores y sectores del Cantón un nuevo Urcuquí equitativo, participativo y desarrollado económica, social y ambiental en donde se generen valores y principios de Democracia, igualdad y solidaridad y una vida práctica en la aplicación de los Derechos Humanos. Políticas Elaboración de planes de desarrollo estratégico y presupuestos participativos cantonales que despliegue programas, proyectos parroquiales para lograr metas y objetivos propuestos. Satisfacer las necesidades de la comunidad mediante la dotación de servicios básicos de calidad en armonía con el medio ambiente y respetando las realidades y condiciones propias de los ciudadanos y su sector.
129
Mejorar las condiciones de vida de la población del cantón mejorando la salud, educación y el medio ambiente; procurando reducir la pobreza, propiciando el empleo e impulsando el desarrollo económico. Garantizando el cumplimiento de los derechos de las personas que viven en el catón. Objetivos El Gobierno Municipal de San Miguel de Urcuquí, sustenta su gestión, en la consecución de los siguientes objetivos básicos: 1. Elaborar los planes, programas y proyectos municipales, en base de los estudios y evaluación técnicos, económicos, ambientales y sociales necesarios que los justifiquen de manera adecuada. 2. Institucionalizar un canal de comunicación permanente entre los actores del desarrollo: sociedad civil, gobierno local, autoridades y empresa privada, para plantear propuestas y lograr consensos con la finalidad de sostener el Buen Gobierno de Urcuquí, impulsando alianzas estratégicas con organismos públicos y privados, que garanticen los espacios de concertación y cogestión. 3. Legitimar y cumplir los espacios de participación ciudadana entre autoridades y comunidad, para un perdurable y buen ejercicio de la democracia participativa asumiendo derechos y responsabilidades. 4. Organizar e involucrar a la mayoría de la niñez y la juventud del cantón en el plan de buen gobierno, motivándolos, organizándolos y capacitándolos para que participen activamente en la toma de decisiones que los relacionan directamente. 5. Gestionar y concretar fuentes de financiamiento externas e internas, que permitan la aplicación de las políticas, estrategias, programas y proyectos municipales. 6. Modernizar adecuadamente sus operaciones y servicios, en base de la legislación vigente y la aplicación de procesos de desconcentración y descentralización. 7. Formular políticas de comunicación transparentes que fortalezcan la imagen institucional y permitan la incorporación de las demandas ciudadanas. Valores El Gobierno Municipal de San Miguel de Urcuquí sustenta su gestión, en los siguientes valores corporativos: Honestidad, Solidaridad, Respeto, Equidad, Justicia, Puntualidad, Eficiencia, Ética profesional.
