Auditoria COBIT 4.1

DECLARACIÓN

Nosotros, Silvio David Navarro Vásquez, Carlos Xavier Talavera y Erick Javier Ruiz

Treminio declaramos bajo juramento que el trabajo aquí descrito es nuestra autoría; que

no ha sido previamente presentado para ningún grado o calificación profesional; y, que

hemos consultado las referencias bibliográficas que se incluyen en este documento.

A través de la presente declaración cedemos nuestros derechos de propiedad intelectual

correspondientes a este trabajo, al programa académico de la universidad nacional de

ingeniería (UNI-IES), según lo establecido por la Ley de Propiedad Intelectual, por su

reglamento y por la normatividad institucional vigente.

Silvio David Navarro Vásquez

Carlos Xavier Talavera Zepeda

Erick Javier Ruiz Treminio

INTRODUCCIÓN

El presente documento tiene por objetivo presentar los resultados obtenidos del análisis del nivel

de madurez de los procesos de gestión de las Tecnologías de Comunicación e Información (TI)

en la UNI-IES (Universidad Nacional de Ingeniería-Instituto de Estudios Superiores) la metodología

COBIT que se basa en métricas y modelos de madurez para emitir conclusiones y recomendaciones

útiles para mejorar el desempeño del negocio y de sus procesos.

La Universidad Nacional de Ingeniería es una Institución de la Educación Superior, estatal y

autónoma, en búsqueda permanente de la excelencia académica, dedicada a formar profesionales en

el campo de la Ciencia, la Ingeniería y la Arquitectura para que generen y difunden conocimientos

con conciencia social, ética y humanística, con la finalidad de contribuir a la transformación

tecnológica y al desarrollo sustentable de Nicaragua y la región Centroamericana.

Cuya experiencia de muchos años le ha permitido ofrecer el servicio de la educación con excelencia

académica en Managua con UNI-RUSB, UNI-IES, UNI-RUPAP y en Estelí con UNI-RUACS.

UNI-IES nace por los acuerdos del Consejo Universitario No 2 del año 1998, en la sesión No.01-98,

es un centro educativo moderno de enseñanza superior y con una visión tecnológica que ofrece

carreras vinculadas al campo de la ciencia, la ingeniería y la arquitectura.

Por nuestro origen y naturaleza, somos un programa académico de estudios superiores de la

Universidad Nacional de Ingeniería, económicamente autofinanciado sin menoscabo de los

estándares de calidad y excelencia académica.

El programa UNI-IES se caracteriza por brindar no solo una enseñanza de excelente calidad en

materia de ingeniería y arquitectura, ya que cuenta entre su planta docente con profesores de la

Universidad Nacional de Ingeniería.

Las carreras que actualmente se ofertan son:

Ingeniería Civil, Ingeniería Industrial, Ingeniería en Computación, Ingeniería de Sistemas, Ingeniería

en Telecomunicaciones y Arquitectura

Se recomienda que antes de leer el documento vaya a anexos y aprópiese de la información de la entrevista y nivel de madurez (Ver Anexos)

DIAGNOSTICO

A través del estudio y el diagnostico ejecutado en el área se han detectado deficiencias, clasificadas

de la siguiente manera:

Deficiencias Tecnológicas Encontradas

1. La institución no cuenta con un servidor de respaldo

2. En el caso del sistema académico los respaldos se almacenan dentro del disco duro donde se

encuentra alojada la base de datos. Para el caso del sistema contable el respaldo se guarda

dentro del servidor de base de datos y en un disco externo asignado al área de

administración

3. La institución no cuenta con un cuarto de servidores

4. El servidor de Base de datos académico, servidor Proxy y servidor de Antivirus se localizan

en el área de los laboratorios de computo en un ambiente abierto de fácil acceso al público

con condiciones climatológicas inestables; Lo anterior se justifica que durante el día 3 aires

acondicionados mantienen la temperatura de 15 grados Celsius, pero durante la noche

dichos aires son apagados. El servidor de base de datos de administración se encuentra en el

área de administración (apartado de los demás servidores) donde el administrador de los

sistemas no tiene acceso total ya que requiere apertura de la puerta desde adentro. Dicho

servidor se encuentra a vista y fácil manipulación de los usuarios dentro del área, donde el

único obstáculo es la contraseña de Windows del servidor como tal.

5. La institución no cuenta con una infraestructura de red protegida. (Canalización)

6. Procedentes de un patch panel y swtich a través de un rack ubicado en el área de los

laboratorios de computo, los cables salen sin ninguna protección y llegan a su destino de

igual manera.

Deficiencias Organizacionales

La Institución no cuenta con un departamento de sistemas acondicionado.

El personal dentro del área de los laboratorios de cómputo es el personal encargado de la solución

de los problemas técnicos y lógicos encaminados a los sistemas de información y recursos

tecnológicos de la institución. Aunque existe un POA para el área, los recortes de presupuesto no

permiten contar con los recursos necesarios para la ejecución de soluciones satisfactorias a los

problemas emergentes del día a día.

La Institución no cuenta con planes de Contingencia, respaldo, seguridad, mantenimiento, riesgos y

estándares

Las altas autoridades no son conscientes de la necesidad de invertir y ejecutar planes. Cada

problema se soluciona de manera correctiva por parte del área de los laboratorios de cómputo a

espera de la compra de equipos repositorios para solucionar en caso de ser necesario.

La Institución no cuenta con varios de los procedimientos definidos

Ciertos procedimientos no se encuentran documentado, permitiendo que los implicados realicen las

tareas según su intuición y manera de trabajar con el fin de lograr el objetivo, el cual se ve afectado

en calidad por seguir un procedimiento fuera de lo que debe estar establecido.

La Institución no cuenta con seguridad lógica ni de datos

En cuanto a la seguridad lógica del servidor de base de datos académico el administrador de los

sistemas asigna “usuarios” y “contraseñas” a los miembros de la institución que utilicen el sistema

desde la base de datos. Cuando ingresa un nuevo trabajador, el registro del nombre de usuario y

contraseña se sustituyen por el nuevo elemento más no permite que queden registros desde la base

de datos; quedando al final los registros impresos pero no los digitales.

La institución no cuenta con una clasificación apropiada de grupos con restricciones de acceso a

internet.

Existe un servidor proxy que filtra las salidas al mundo o internet, el cual tiene configurado accesos

a la red a través de grupos, sin embargo no existe un control consciente de esta política, puesto que

se ha permitido habilitar el acceso total a la red de solicitudes a páginas indebidas, sociales y

descargas a usuarios que no necesitan tales recursos. Lo cual se traduce a constantes descargas y

mal uso del ancho de banda según reportes del servidor Proxy.

La institución no cuenta con el diseño de distribución física de la red interna de cableado.

Se desconoce las direcciones, recorridos y ubicaciones del cableado de la institución, cuyo origen

son las instalaciones de los laboratorios de cómputo. Se conoce que hay cableado a nivel de concreto

bajo el suelo, lo cual dificulta en un gran grado la sustitución de dicho elemento de ser necesario. Sin

embargo no se tiene documentado dichas excavadoras ni direcciones.

La institución no cuenta con una cultura que se encuentre identificada o que conozca los

procedimientos internos así como el uso apropiado de los canales de comunicación.

Objetivos del Trabajo

I. Identificar procesos y controles que presenten problemas.

II. Evaluar el nivel de madurez de los procesos identificados en la gestión de las TIC a través de

la metodología COBIT

III. Analizar los resultados obtenidos.

IV. Elaborar un informe técnico para administradores.

V. Elaborar un informe ejecutivo para administradores y ejecutivos de la empresa.

APLICACIÓN DE COBIT 4.1

Elementos COBIT 4.1 dentro del Análisis

El marco de trabajo de COBIT se basa en controles y mediciones bajo cuatro dominios:

PLANEAR Y ORGANIZAR (PO)

10 PROCESOS DE GESTIÓN DE TI

ADQUIRIR E IMPLEMENTAR (AI)

7 PROCESOS DE GESTIÓN DE TI

ENTREGAR Y DAR SOPORTE (DS)

13 PROCESOS DE GESTIÓN DE TI,

MONITOREAR Y EVALUAR (ME)

4 PROCESOS DE GESTIÓN DE TI.

Se han analizado uno a uno los procesos de cada dominio dentro de la metodología COBIT 4.1 y

en coordinación con el administrador de los sistemas de información y el director de la

institución examinamos la situación actual de los procesos de gestión de TI en la empresa para

poder emitir recomendaciones que ayuden a mejorar los procesos de gestión de TI y así alcanzar

los objetivos del negocio.

La aplicación de la metodología COBIT en la UNI-IES permite evaluar y mejorar los procesos de

gestión de TI. La evaluación de los procesos de gestión de TI consiste en realizar un análisis de la

situación actual de la organización que determine el nivel de madurez de los procesos de la

empresa con respecto a la metodología aplicada y así poder emitir recomendaciones que expliquen

qué hacer para que un determinado proceso mejore.

Inicialmente haremos una clasificación de los procesos para especificar la prioridad de

implementación de los mismos, para ello realizamos lo siguiente:

Para examinar la situación actual de los procesos de gestión de TI se ha realizado una reunión con

el director de la institución y el administrador de los sistemas de la UNI-IES, así como también

encuentros informales con los usuarios de TI.

A través de COBIT se determinó que la institución no posee una cultura de Gestión definida.

Dominio: PLANEAR Y ORGANIZAR

PO1- Definir un plan estratégico de TI.

El nivel gerencial considera que manejar adecuadamente las tecnologías de información ayudará a

alcanzar las metas del negocio; En este punto se ha estipulado que es necesario contar con un

portafolio de inversiones más específico en los ámbitos del presente y el futuro, haciendo

conciencia sobre las autoridades de las oportunidades que ofrecen las tecnologías salientes,

pensando en pro de las metas y objetivos de la institución.

Cada punto dentro del portafolio debe estar sujeto a evaluaciones de funcionabilidad, costos,

fortalezas, debilidades, análisis de riesgo y transparencia. Se establece que los elementos del plan

estratégicos se deben cambiar según el rumbo de los objetivos de la institución, manteniendo una

administración activa en cuanto a su definición, evaluación, asignación de prioridades, selección y

control de los programas.

La unidad Informática es responsable de desarrollar e implementar planes a corto y largo plazo

que satisfagan la misión y las metas generales de la organización.

En el inventario de soluciones tecnológicas e infraestructura actual se deben evaluar los planes

existentes en términos de:

Nivel de automatización de la institución.

Funcionalidad

Estabilidad

Complejidad

Costos, Fortalezas y debilidades.

En cuanto a los cambios organizacionales se debe asegurar que se establezca un proceso para

modificar oportunamente y con precisión el plan a largo plazo de tecnología de Información con el

objetivo de adaptar los cambios al plan y a las TI

PO2 -Definir la arquitectura de la información.

El nivel gerencial considera que la información de la empresa debe administrarse de mejor

manera y que deben estar sujetas a políticas de seguridad internas. Con el objetivo de que permita

satisfacer los requerimientos del área en cuestión se debe organizar de la mejor manera posible los

sistemas de información, a través de la creación y mantenimiento de un modelo de información de

negocio, asegurándose que se definan los sistemas apropiados para la utilización de esta

información.

Para lo cual se establece lo siguiente:

La documentación deberá conservar consistencia con las necesidades permitiendo a los

responsables llevar a cabo sus tareas eficientes en cuanto a la recuperación de la información,

respaldos y depuración de la información.

La propiedad de la información y la clasificación de la misma debe permitir establecer un marco de

referencia de la ubicación de la información.

Se debe realizar la documentación del diccionario de datos, el cual incorpora reglas de la

organización y que debe ser actualizado según los cambios en el sistema, así como nuevos

requerimientos.

Los requerimientos dentro del plan estratégico deben integrarse con los procesos establecidos en

el área para corroborar que no existan colisiones de información, redundancia de datos y verificar

la confiabilidad de los mismos.

PO3-Determinar la dirección tecnológica.

La institución considera que se necesita una infraestructura tecnológica apropiada que sea soporte

para que la Unidad Informática en pro del desarrollo de la misma según el desarrollo de la

empresa; Con el plan estratégico en unión con los procesos de la empresa se debe determinar la

dirección de la tecnología, la cual se implica la estandarización de sistemas aplicativos.

Para lo anterior se debe establecer un grupo selecto que dirija la arquitectura de la información y

que verifique el cumplimiento de los objetivos de la empresa a través de la misma. Con PO1y PO2,

en PO3 se establece la infraestructura tecnológica que enfoca los aspectos que enfocan el sistema

de información que sustentan la operación de la institución.

En este punto el grupo selecto debe evaluar la infraestructura tecnológica, basándose en los

requerimientos de la arquitectura de la información, la cual se verá afectada por los giros dentro de

los objetivos de la institución; Dichos cambios están ligados a las tendencias del futuro como lo

son:

Factores Ambientales

Factores Energéticos

Paradigmas de Trabajo o Procesos

Factores Financieros

Estos recursos deben combinarse estratégicamente por el área para dinamizar los cambios que la

institución afronta con el avance de las tecnologías.

PO4- Definir los procesos, organización y relaciones de TI.

La institución considera que administrar las tareas y responsabilidades de TI ayudara a una mejor

prestación de servicios debido a que se establecen procesos, políticas de administración y

procedimientos para todas las funciones, administración de riesgos, seguridad de la información y

segregación de funciones.

PO5 Administrar la inversión en TI.

La institución considera que pronosticar presupuestos y definir criterios formales de inversión

permite establecer un marco de trabajo de los programas de inversión, lo que incluye costos,

beneficios, prioridades. Abriendo relaciones entre TI y los dueño de la institución.

PO6 Comunicar las aspiraciones y la dirección de la alta gerencia.

La institución considera que definir un marco de trabajo de control para TI y la definición de

políticas para TI se debe implementar para articular la comunicación y el entendimiento de las

leyes y reglamentos de la institución, con el objetivo de garantizar el cumplimiento de estas.

PO7- Administrar los recursos humanos de TI.

La institución considera que para administrar los elementos de TI, es necesario adquirir personal

competente, por tanto el encargado del área con conjunto con recursos humanos debe ser parte del

filtro seleccionador.

Con un personal estable es necesario mantener la motivación por medio de planes, asignación de

roles importantes según habilidades y destrezas. Tomando en cuenta que se debe tomar cada rol

como parte de la cultura institucional.

PO8- Administrar la Calidad.

Internamente se requiere de un sistema de calidad basado en planeación, implantación y

mantenimiento del sistema de administración de calidad, proporcionando requerimientos,

procedimientos y políticas de calidad.

PO9-Evaluar y Administrar los riesgos de TI.

Crear y dar mantenimiento a un plan de riesgo que permita abordar eventos no planeados que

tengan impactos negativos sobre la organización. Cada riesgo se debe identificar, analizar y evaluar

adoptando estrategias para cada uno.

PO10-Administrar Proyectos.

La institución considera que la definición y planeación de proyectos dentro del portafolio de

proyectos permitirá la entrega de resultados dentro de marcos de tiempo, presupuesto y calidad

acordados en cada uno de estos. Asegurando la reducción de riesgos, evitando la cancelación de

proyecto y mejorando la comunicación entre dueños y usuarios finales.

Dominio: ADQUIRIR E IMPLANTAR

AI1-Identificar soluciones automatizadas.

La necesidad de una aplicación o función requiere de análisis antes de una compra o desarrollo.

Durante el análisis se debe priorizar cuan efectivo y eficiente debe ser la solución automatizada.

Para ello se consideran aspectos como las necesidades, el costo-beneficio, factibilidad tecnológica y

económica.

AI2-Adquirir y mantener software aplicativo.

La institución considera que la buena traducción de los requerimientos TI bajo estándares y

actividades de desarrollo permitirá apoyar la productividad de la institución de forma apropiada

con las aplicaciones automatizadas correctas.

AI3-Adquirir y mantener una infraestructura tecnológica.

Según el plan estratégico y la dirección tecnológica se deben contar con procesos para adquirir,

implementar y actualizar la infraestructura tecnológica. Mejor conocido como soporte tecnológico

continuo para las aplicaciones de la Unidad Informática.

AI4-Facilitar la operación y el uso.

El nivel gerencial considera que el conocimiento sobre el sistema y las nuevas tecnologías deben

estar disponibles para que el personal pueda manejarlos correctamente.

AI5-Adquirir recursos de TI.

La institución considera que una asesoría legal, contractual, la adquisición de hardware, software y

servicios requeridos según la definición de los procedimientos de adquisición permite garantiza

que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y

rentable.

AI6-Administrar Cambios.

La institución considera que se debe establecer una documentación y un procedimiento de

autorización de cambios. Tal procedimiento debe ser comunicado y debe llevar un seguimiento de

estados y reportes a través de técnicas apropiadas. Lo cual garantizara la reducción de riegos en

impacto de la institución.

AI7-Instalar y acreditar soluciones y cambios.

La institución considera que se debe establecer una planeación metodológica que permita evaluar

y ejecutar los resultados de las pruebas para verificar la liberación de errores y el cumplimiento

del propósito deseado, garantizando que los sistemas estén en línea con las expectativas esperadas

Dominio: ENTREGAR Y DAR SOPORTE

DS1-Definir y administrar los niveles de servicio.

La institución considera se deben determinar responsables y niveles de servicio de TI para luego

proceder a administrarlos, De tal manera que la documentación se pueda aplicar según los niveles

de servicios y sin excepción.

DS2-Administrar los servicios de terceros.

La institución considera que se debe establecer mecanismos de medición de los proveedores, para

ello se debe identificar y clasificar al proveedor, analizando los riesgos a los que la institución se

enfrenta y el monitoreo de su desempeño.

DS3-Administrar el desempeño y la capacidad.

La institución considera se debe establecer cuáles son las funciones de TI para posteriormente

lograr administrar su desempeño y capacidad, Permitiendo a la institución, monitorear y mejorar

de manera continua.

DS4-Garantizar la continuidad del servicio.

La institución considera se debe establecer inicialmente un detalle de los servicios y de cómo se

realizara la prestación de los mismos para después garantizar la continuidad.

DS5-Garantizar la seguridad de los sistemas.

La institución considera que debe mantener la integridad de la información y proteger los activos

de TI. Para lo cual es necesario un proceso de administración de la seguridad. Estableciendo roles y

responsabilidades, encaminados por políticas, estándares y procedimientos. De tal manera que

haya entendimiento sobre vulnerabilidades y amenazas, mantenimiento, monitoreo y evaluación

de la seguridad de manera regular.

DS6-Identificar y Asignar Costos.

La institución considera que se debe construir un modelo de costos completo y aceptable que

permita una medición y asignación precisa de costos y transparencia de información que permita

una toma de decisiones clara con respecto al uso de las TI.

DS7-Educar y Entrenar a los usuarios.

La institución considera se debe establecer una educación efectiva a los usuarios sobre las TI del

sistema de la institución, ya que es vital para la productividad de la misma. Para ello se deben

conocer las necesidades de entrenamientos de cada grupo de usuario según la clasificación de la

información que manipulen; Para lograr este punto se debe establecer una estrategia y un plan de

seguimiento para establecer controles y disminuir errores.

DS8-Administrar la mesa de servicio y los incidentes.

La institución considera que para lograr una mejora continúa de los procesos, en la arquitectura de

la información y el hallazgo de nuevos requerimientos es necesario las diferentes, consultas,

problemas e incidentes por parte de los usuarios de TI. Cada inconformidad debe ser administrada

de manera sigilosa, especificando la raíz de la misma, así como la propuesta de solución más

óptima; Permitiendo a la institución incrementar su productividad.

DS9-Administrar la configuración.

La institución considera se debe establecer un plan de contingencia para proteger la continuidad

de operación de la institución. Para ello es necesario poseer disponibilidad de los recursos

software así como su documentación esencial de configuración optima-estándar establecida; El

hardware de igual manera que el software requiere de los mismo aspectos para resolver ante la

inconformidad que pueda darse. Por tanto se necesita de un plan de repositorios que se encuentre

en continua actualización según las TI y la dirección tecnológica.

DS10-Administración de Problemas.

La institución considera que se debe realizar un análisis de causas de los problemas reportados,

analizando tendencias y soluciones, logrando así un efectivo proceso de administración de

problemas, de reducción de costos, riesgos y satisfacción del usuario

DS11-Administración de Datos.

La institución considera que conforme crece la productividad y los requerimientos de la

institución, se debe establecer un proceso de administración de los datos, con el objetivo de que la

arquitectura de la Información brindada a los usuarios de Ti sea integra, fiable y confiable; Esto

permite garantizar la calidad, oportunidad y disponibilidad de la información obtenida por medio

de los datos.

DS12-Administración del ambiente físico.

La institución considera que el acceso a los recursos de TI requiere no solo de protección lógica,

sino también física. Para ello se requiere de un buen diseño de las instalaciones, así como su

administración. Posteriormente es necesarios el monitoreo de factores ambientales físicos para

reducir las interrupciones y daños a los equipos y al personal.

DS13-Administración de Operaciones.

La institución considera que el procesamiento de la información requiere de un buen

procesamiento de datos y de mantenimiento del hardware. Con el fin de reducir los retrasos en las

operaciones, extender la vida útil de los recursos y mantener un cuido exhaustivo de la

arquitectura de TI; Utilizando el monitoreo de los aspectos antes mencionados.

Dominio: MONITOREAR Y EVALUAR

ME1-Monitorear y evaluar el desempeño de TI.

El área en cuestión considera que debe existir una administración del desempeño de las TI con

indicadores que permitan garantizar que las operaciones, se estén ejecutando de manera correcta.

Con herramientas como reportes de desempeño que permitan conocer el estado de las TI en

comparación con las metas de la institución a través del área informática.

ME2-Monitorear y evaluar el control interno.

El área en cuestión considera que inicialmente se deben definir controles integrados en el marco

de trabajo de procesos de TI, documentando las no conformidades que violenten los objetivos de

TI, leyes y reglamentos internos en la institución para después crear un proceso que los monitoree

y evalúe.

ME3-Garantizar el cumplimiento con requerimientos externos.

El área en cuestión considera que para verificar que se está realizando un buen monitoreo y

evaluación de los procesos de la institución.

ME4-Proporcionar Gobierno de TI.

La institución considera que se debe establecer un gobierno de TI ya que habilita a la organización

con las herramientas necesarias para tomar decisiones óptimas respecto a la realización de inversiones

en tecnología considerando la dirección, requerimientos del negocio y su comportamiento financiero.

NIVEL DE MADUREZ DE LOS PROCESOS

Durante las reuniones se definió el grado de madures de cada proceso abordado y considerado

dentro del marco a través del modelo genérico de madurez.

PLANEAR Y ORGANIZAR

PO1-DEFINIR UN PLAN ESTRATÉGICO DE TI

Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los

miembros de la institución que interactúan con las TI se conoce que la definición de un plan

estratégico de TI es un proceso inexistente.

El proceso de definición del plan estratégico empresarial se localiza en el nivel de madurez cero

porque la institución no tiene conciencia de la importancia de la planeación estratégica de TI que

sirve para dar soporte a los objetivos del IES en términos de TI.

PO2 -DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los

miembros de la institución que interactúan con las TI se conoce que la definición de la arquitectura

de la información es un proceso inexistente debido a que el personal no conoce el concepto de

“arquitectura de la información”, y la empresa no posee un modelo de arquitectura que optimice el

uso de su información.

El proceso de definición de la arquitectura de la información se localiza en el nivel de madurez

cero porque la institución no tiene conciencia de lo importante que es definir la arquitectura de

información y mantenerle actualizada, la institución no brinda el apoyo necesario para desarrollar

una arquitectura de información de acuerdo a las necesidades de la organización.

PO3-DETERMINAR LA DIRECCIÓN TECNOLÓGICA

Por la entrevista realizada al administrador de los sistemas se conoce que la determinación de la

dirección tecnológica es un proceso inexistente en la empresa porque no cuentan con los

requerimientos técnico ni el personal suficiente que posea el conocimiento y experiencia

necesarios para desarrollar un buen plan que guié a la organización hacia un acertado cambio

tecnológico.

El proceso para determinar la dirección tecnológica se localiza en el nivel de madurez cero porque

no tiene conciencia sobre el importante aporte de este proceso a la organización, no entiende que

una correcta planeación del cambio tecnológico es crítica para asignar recursos de manera efectiva

a corto y largo plazo.

PO4-DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES TI

Por el diagnóstico realizado a la empresa y las entrevistas ejecutadas de manera informal, se logró

conocer que no existen procedimientos óptimos documentados, además que hay personal no

capacitado en puestos no aptos; Por tanto no se puede establecer una relación de TI que permitan

un crecimiento de la productividad y transparencia de los procesos.

El proceso para definir los procesamientos, organización y relaciones de TI se localiza en el nivel de

madurez cero debido a que no se entiende la importancia de llevar una relación íntima entre la

organización, sus procedimientos con las relaciones de TI que permitan un cumplimiento

satisfactorio de los objetivos de la institución.

PO5-ADMINISTRAR LA INVERSIÓN EN TI

Por la entrevista informal realizada al director de la institución y el administrador de los sistemas

se conoce que no existe una administración de inversión de TI. Esto se debe a que la inversión se

da al momento de pedidos de adquisiciones por parte de la central; Anexo a ello no se cuenta con

un marco estratégico para administrar el presupuesto. A pesar de que se hace el esfuerzo de

diseñar un presupuesto, dado que se ejecuta lo que la central define, el IES no aplica empeño en

este punto.

El proceso para administrar la inversión en TI se localiza en el nivel de madurez cero debido a que

la institución no tiene personería administrativa en el elemento de administración de las

inversiones. Sus adquisiciones se ejecutan según el presupuesto definido desde la central. Y no

existe interés en cuanto al cambio del ambiente por políticas de la central.

PO6-COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA ALTA

GERENCIA

Según la revisión de la página web www.ies.uni.edu.ni y la entrevista informal realizada al

administrador de los sistemas que se encarga de administrar la página web, se conoce que no se

muestra una actualización en cuanto a los cambios institucionales y de tiempo. Se ha mantenido

una información estática y un diseño de la misma magnitud.

El proceso para comunicar las aspiraciones y la dirección de la alta gerencia se localiza en el nivel 1

porque existe un método de comunicación más se ha quedado estático ya que no existe un interés

por parte de la institución en la relación con el administrador de la página web para difundir la

información y lograr el cumplimiento de los objetivos.

PO7-ADMINISTRAR LOS RECURSOS HUMANOS DE TI

Por la entrevista informal realizada al director de la institución, el administrador de sistemas y usuarios

de TI se conoce que no existe transparencia en el proceso de reclutamiento, entrenamiento y

evaluación del desempeño.

El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque

cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios para la

obtención de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones se hacen de

manera preferencial y no por habilidades y destrezas.

PO8-ADMINISTRAR LA CALIDAD

Por la entrevista informal realizada al director de la institución se conoce que la

administración de la calidad es un proceso inicial en la empresa. El personal administra la calidad

según la percepción del usuario.

El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la calidad

como percepción del usuario se realiza de manera preferencial. No hay organización,

documentación ni profesionalismo en este proceso.

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizada a los

miembros de la institución conocemos que la evaluación y administración de los riesgos de TI es

un proceso inexistente en la institución, porque no cuentan con un marco de trabajo definido

que permita analizar y evaluar cualquier impacto potencial sobre las metas de la

organización causado por algún evento no planeado.

El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero

porque la organización no tiene conciencia de la importancia de contar con una metodología, ni con

la documentación ni mejora continua que solucione vulnerabilidades de seguridad e

incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en los

procesos y la arquitectura de la información.

PO10 Administrar Proyectos

Utilizando como base primaria los puntos analizados hasta el momento, entrevistas informales en

general y el diagnostico se conoce que la institución no tiene conciencia de la necesidad de crear un

foro responsable que se encargue de administrar proyectos. Anexo a esto los proyectos no se

realzan ni de manera individual por falta de motivación de la institución.

El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido una

metodología ni se ha seleccionado a un encargado que minimice el impacto en la institución

por la falta del proceso antes mencionado.

RESUMEN DEL DOMINIO “PLANEAR Y ORGANIZAR”

El dominio está relacionado con procesos de planeación y organización empresarial con respecto a

la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se

muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los

procesos evaluados.

DOMINIO: PLANEAR Y ORGANIZAR

PROCESOSNIVEL DE MADUREZ

ACTUAL

NIVEL DE MADIREZ

DESEADO

PO1_Definir un plan estratégico de TI 0 2

PO2_Definir la arquitectura de la información 0 2

PO3_Determinar la dirección tecnológica 0 2

PO4_Definir los procesos, organización y

relaciones TI0 2

PO5_Administrar la inversión en TI 0 2

PO6_Comunicar las aspiraciones y la

dirección de la alta gerencia1 2

PO7_Administrar los recursos humanos de TI 0 2

PO8_Administrar la calidad 0 2

PO9_Evaluar y administrar los riesgos de TI 0 2

PO10_Administrar Proyectos 0 2

Como se muestra en la anterior, en este dominio todos los procesos analizados tienen un grado de

madurez de nivel CERO, estos deben ser motivo de especial atención por parte de la gerencia y su

implantación debe regirse a la prioridad ya que se han tomado los puntos más críticos usando los

elementos de COBIT.

Según COBIT, la empresa en este dominio carece completamente de algún proceso con

metodología específica y definida, se ignora necesidad de implantar estos procesos para así

solucionar sus problemas.

ADQUIRIR E IMPLANTAR

AI1-IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Por la entrevista realizada al administrador de los sistemas se conoce que la identificación de

soluciones automatizadas es un proceso inexistente en la empresa porque no cuentan con un

interés definido para analizar la compra o el desarrollo de nuevas aplicaciones que garantice que

los requisitos del negocio se cumplan de manera efectiva y eficiente.

El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero

porque la institución no lo considera importante y no cuenta con un procedimiento definido

que identifique requerimientos funcionales y operativos para el desarrollo, implantación o

modificación de soluciones tecnológicas disponibles que sirvan de apoyo para que se cumpla con

sus objetivos. Ligado a la dirección tecnológica de la institución.

AI2-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Por las entrevistas realizadas de manera formal e informal al administrador de los sistemas se

conoce que el proceso de adquirir y mantener software aplicativo es inexistente porque no se ha

establecido una metodología que permita apoyar a la institución en las decisiones y elemento

correctos a adquirir aplicaciones automatizadas según el avance de la institución.

El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero ya

que no existe conciencia de la importancia de adquirir software que permitan mejorar los

procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institución.

AI3-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA

Por la entrevista realizada al administrador de los sistemas se conoce que la adquisición y

mantenimiento de infraestructura tecnológica es un proceso inexistente en la institución

porque no consideran importante adquirir, mantener y proteger la infraestructura.

El proceso de soporte tecnológico continuo se localiza en el nivel de madurez cero porque no se

cuenta con un procedimiento establecido de revisión, mantenimiento y necesidades de nuevos

requerimientos del proceso en cuestión.

AI4-FACILITAR LA OPERACIÓN Y EL USO

Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizadas a los

usuarios de TI se conoce que el facilitar la operación y el uso de los sistemas de TI es un proceso

desorganizado porque la empresa no cuenta con documentación del sistema, manuales de

usuarios, manuales de operación y materiales de entrenamiento.

El proceso para facilitar la operación y el uso se localiza en el nivel de madurez cero porque no

considera necesaria la documentación si se cuenta con un administrador de sistemas y no se

cuenta con una metodología para el desarrollo de manuales de usuario, de TI, de operación y de

procedimiento.

AI5-ADQUIRIR RECURSOS DE TI

Por la entrevista informal realizada a la persona encargada del Departamento

Administrativo conocemos que la adquisición de recursos de TI es un proceso que existe de

manera inicial, no adecuada en cuanto a la definición y seguimiento para lograr el cumplimiento.

El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque

existe un proceso, la institución hace muy poca presión a la central para que estos agilicen el

proceso de adquisición satisfactoria.

AI5-Adquirir recursos de TI.

Por la entrevista informal realizada al administrador del sistema y el diagnostico se conoce que la

institución no cuenta con las capacidades legales necesarias para garantizar que la institución

adquiera los recursos TI necesarios para el cumplimiento de los objetos. En el momento de la

adquisición se busca cantidad y ahorro en sustitución de la calidad en cuanto al hardware.

En cuanto al software no existen planes de adquisición por compra ni desarrollo por parte de la

institución puesto que no consideran importante invertir en este proceso. Realizando las

adquisiciones de manera correctiva y de oportunidad según los estipule la central.

El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1

AI6-Administrar Cambios.

Por la entrevista informal realizada al administrador de sistemas se conoce que el proceso de administrar cambios es un proceso inexistente debido a que no se ejecutan todos los cambios necesarios para el avance de la institución y lo pocos que se ejecutan se realizan de manera que no se integran al sistema y con la debilidad de depender de la persona que resuelve de manera sistemática un proceso no automatizado. Por tanto el cambio no se comunica de manera óptima ni se documenta, simplemente surge como solución, es decir no importa el cómo se resuelva sino que se resuelva la no conformidad.

El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con un plan de administración de los cambios, no existe documentación y no existe un elenco responsable que permita cumplir los objetivos de la institución.

AI7-Instalar y acreditar soluciones y cambios.

Por la entrevista informal realizada al administrador de los sistemas y el análisis del proceso AI6 se conoce que el proceso de instalar y acreditar soluciones y cambios es un proceso inexistente debido a que se trabaja con sistemas cerrados que no permiten cambios o modificaciones.

El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a que los sistemas no permiten cambios y no existe interés en la adquisición de nuevas aplicaciones. Consecuentemente no existe interés en la creación de la idea de este proceso como parte del crecimiento institucional.

RESUMEN DEL DOMINIO “ADQUIRIR E IMPLANTAR”

El dominio está relacionado con procesos de adquisición e implantación empresarial con respecto

a la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se


procesos evaluados.

DOMINIO: ADQUIRIR E IMPLEMENTAR


ACTUAL

NIVEL DE MADIREZ

DESEADO

AI1_Identificar soluciones automatizadas 0 2

AI2_Adquirir y mantener software

aplicativo0 2

AI3_Adquirir y mantener una

infraestructura tecnológica0 2

AI4_Facilitar la operación y el uso 0 2

AI5_Adquirir recursos de TI 1 2

AI6_Administrar Cambios 0 2

AI7_Instalar y acreditar soluciones y

cambios0 2

Como se muestra en la tabla anterior, en este dominio la mayoría de procesos tienen un grado de

madurez de nivel CERO, sin embargo todos los procesos deben ser motivos de atención por parte

de la institución. Según COBIT, la empresa en este dominio carece completamente de algún proceso

con metodología específica y definida; Se ignora la importancia de implantar estos procesos para

así solucionar sus problemas.

En cuanto al único proceso con grado de madurez de nivel UNO, si aplica procedimientos sobre la

base de la ley, especificando que la institución carece de administración para este dominio y los

incidentes se manejan conforme van surgiendo.

ENTREGAR Y DAR SOPORTE

DS1-DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Por la entrevista informal realizada al director de la institución y el administrador de los

sistemas se conoce que la definición y administración de los niveles de servicio es un proceso

inexistente.

El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez cero,

porque la institución no posee documentación y aunque semi-administra de manera empírica, no

lo realiza de manera periódica y desconoce los beneficios de tener un responsable que controle y

documente la administración de acuerdos de niveles de servicio en la empresa.

DS2-ADMINISTRAR LOS SERVICIOS DE TERCEROS

Por la entrevista informal realizada al administrador de los sistemas se conoce que la

administración de los servicios de terceros es un elemento inexistente ya que no existe un método

o entidad que asegure que los servicios previstos por terceros cumplan con los requerimientos de

la institución.

El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si no

existe un estándar de calidad, si no que los servicios de terceros se basan propiamente en el ahorro

monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un proceso fuera de

contexto y desorganizado.

DS3-ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD


administración del desempeño y la capacidad de los recursos de TI es un proceso inexistente en la

empresa porque no existe un procedimiento continuo que evalué la capacidad y desempeño

para asegurar que se está alcanzando el desempeño deseado. Por tanto se hace difícil la

detección de nuevos requerimientos y la continua mejora de la arquitectura de la información en

pro de la dirección tecnológica.

El proceso para administrar el desempeño y la capacidad se localiza en el nivel de madurez cero

porque la institución no tiene conciencia de la necesidad de llevar a cabo un proceso de planeación

de la capacidad y desempeño puesto que no se han establecido procesos claves de administración.

DS4-GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Por la entrevista informal realizada al administrador de los sistemas se conoce que el

garantizar la continuidad del servicio de TI es un proceso inexistente ya que la institución no

ha designado a responsable que se encargue de desarrollar los planes de continuidad de TI,

Cabe destacar que no se cuenta con planes de respaldo ni interno ni externos, al igual que no se

aseguran los respaldos realizados

El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero

porque no existe conciencia en la institución de los riesgos, vulnerabilidades y amenazas de las

operaciones de TI o del impacto por la pérdida de los elementos de los servicios de TI.

DS5-GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Por la entrevista realizada al administrador de los sistemas se conoce que el garantizar la

seguridad de los sistemas es un proceso existente en la empresa pero no seguro ya que no cuentan

con un procedimiento de administración de la seguridad que incluya el establecimiento de roles y

responsabilidades de seguridad, así como no se monitorean los accesos/dominios establecidos

según políticas, estándares y objetivos que la institución debe cumplir.

El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno

porque la institución no tiene conciencia de la necesidad utilizar software de seguridad distintos

a los del sistema operativo y login de los sistemas, no están asignadas las responsabilidades y

rendición de cuentas para garantizar la seguridad y las medidas para soportar y administrar la

seguridad.

DS6-IDENTIFICARY ASIGNAR COSTOS

Por la entrevista informal realizada al área de administración se conoce que el proceso de

identificación y asignación de costos es un proceso inexistente en la institución ya que no cuentan

con una metodología de asignación de costos justa, equitativa y prioritaria para distribuir los

costos de TI de la institución. Corroborando según la entrevista realizada al administrador de los

sistemas que no existe prioridad ni interés en los elementos relacionados a las TI.

El proceso de identificación y asignación de costos se localiza en el nivel cero debido a que existe

conciencia de la necesidad e importancia de reconocer los servicios de TI como una base

actualizable para el cumplimiento de los objetivos y desarrollo de la institución.

DS7-EDUCAR Y ENTRENAR A LOS USUARIOS

Por la entrevista informal realizada al director de la institución y la entrevista formal al

administrador de los sistemas se conoce que la educación y el entrenamiento a los usuarios es un

proceso inicial y desorganizado puesto que no cuentan con un procedimiento efectivo que

administre el entrenamiento de los usuarios, y tampoco cuentan con una educación efectiva

de los usuarios que usan los sistemas de TI. El proceso de entrenamiento se hace de manera

intuitiva y parcial, para lo cual el usuario debe preguntar o efectuar errores para aprender a

utilizar los SI.

El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque la

institución no tiene un programa de entrenamiento y educación con procedimientos

estandarizados, sus empleados reciben capacitación individual e informal.

DS8-ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES


administración de la mesa de servicio y de incidentes es un proceso inexistente en la institución

porque no cuentan con una mesa de servicio que responda de manera oportuna y efectiva a las

consultas y problemas de los usuarios de TI.

El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de madurez

cero porque la no se tiene conciencia que hay un problema que atender, no hay soporte para

resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la

administración de incidentes.

DS9-ADMINISTRAR LA CONFIGURACIÓN


administración de la configuración es un proceso inexistente en la empresa porque no cuentan

con un documento completo y preciso que guié las configuraciones de hardware y software que se

realicen en la institución, estos procesos se realizan a prueba y error o de acuerdo a la experiencia

del personal.

No se cuenta con un proceso de establecimiento de normas, la verificación y auditoría de la

configuración y la actualización del documento de configuración conforme se necesite o cambien

los requerimientos de la institución

El proceso para administrar de la configuración se localiza en el nivel de madurez cero porque no

se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y

administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de

hardware como de software.

DS10-ADMINISTRACIÓN DE LOS PROBLEMAS

Por la entrevista formal e informal realizada al administrador de los sistemas y usuarios de TI se

conoce que el proceso de administración de problemas es un elemento existente más no efectivo

debido a que este proceso se ejecuta según ocurrencias o inconformidades. No existe una bitácora,

planes de procedimientos ni mejora continua metodológica de los eventos; Reconociendo que no

hay mantenimiento de errores, revisión de estados de TI, sino que solo se aplican acciones

correctivas según la experiencia y con la cultura de resolver en el menor tiempo sin importar como

se haga.

El proceso de administración de los problemas se localiza en el nivel uno puesto que se han

estandarizado algunos procesos pero de manera mecánica por parte de los encargados de TI, de

manera que la raíz del incidente se busca si y solo si es considerado de gran impacto, en caso

contrario se ejecuta una solución rápida y no se documenta el incidente.

DS11-ADMINISTRAR LOS DATOS

Por la entrevista informal realizada al administrador de los sistemas y a los usuarios de TI se

conoce que la administración de los datos es un proceso desorganizado ya que no cuentan con un

procedimiento definido que contemple metodologías efectivas para administrar la integridad,

confiabilidad y disponibilidad de la información. Para los respaldos no se verifican, sin mencionar

que no existe una estrategia de trabajo de los mismos para monitorear sus cambios en el tiempo y

su integración con nuevos requerimientos.

El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos no se

establecen bajo ninguna prioridad, haciéndolos deficientes en calidad y la seguridad.

DS12-ADMINISTRAR EL AMBIENTE FÍSICO

Por la entrevista realizada al administrador de los sistemas y la entrevista informal a los

trabajadores del área informática se conoce que la administración del ambiente físico es

inexistente en la institución porque no cuentan con la debida protección del ambiente de cómputo

ni del personal, así como tampoco disponen de instalaciones bien diseñadas ni administradas que

controlen el acceso físico de personas no autorizadas a departamentos sensibles de la

organización.

El proceso para administrar el ambiente físico se localiza en el nivel de madurez uno porque no

cuenta con un ambiente físico que proteja los recursos y el personal contra peligros naturales y

causados por el hombre, además el personal se puede mover dentro de las instalaciones sin

restricción.

DS13-ADMINISTRAR LAS OPERACIONES

Por la entrevista realizada al administrador se conoce que la administración de las

operaciones es un proceso inexistente debido a que no cuentan con una completa

administración de la información ni del mantenimiento del hardware que incluya definición de

políticas, procedimientos y estándares de operación para administración, monitoreo y planes

preventivos.

El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se

destina atención ni recursos para la creación de planes administrativos que permitan a las

operaciones de TI reducir retrasos operacionales y extender la vida útil de los equipos.

RESUMEN DEL DOMINIO ENTREGAR Y DAR SOPORTE

El dominio está relacionado con procesos de entrega y soporte empresarial con respecto a la

madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se


procesos evaluados..

DOMINIO: ENTREGAR Y DAR SOPORTE


ACTUAL

NIVEL DE MADIREZ

DESEADO

DS1_Definir y administrar los niveles de

servicio0 2

DS2_Administrar los servicios de terceros 0 2

DS3_Administrar el desempeño y la

capacidad0 2

DS4_Garantizar la continuidad del servicio 0 2

DS5_Garantizar la seguridad de los

sistemas1 2

DS6_Identificar y asignar costos 0 2

DS7_Educar y entrenar a los usuarios 1 2

DS8_Administrar la mesa de servicios y los

incidentes0 2

DS9_Administrar la configuración 0 2

DS10_Administración de problemas 1 2

DS11_Administración de datos 0 2

DS12_Administración del ambiente físico 1 2

DS13_Administración de operaciones 0 2

Como se muestra en la tabla anterior en este dominio la mayoría de procesos tienen un grado de

madurez de nivel CERO a excepción de DS7 que tiene nivel de grado UNO. Se debe poner atención a

todos los procesos sin importar el nivel.

Según COBIT este dominio carece de procedimientos con respectiva metodología y no reconoce la

importancia de implantar procesos para solucionar sus problemas, los incidentes se manejan

conforme van surgiendo.

No existe comunicación ni supervisión del único proceso nivel uno encontrado, notando así una

institución desorganizada que se basa bajo procedimientos individuales según el problema,

incidente o no conformidad.

MONITOREAR Y EVALUAR

ME1-MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

Por la entrevista informal realizada al administrador de los sistemas se conoce que el monitoreo

y la evaluación del desempeño de TI es un proceso inexistente debido a que no cuentan con ningún

tipo de monitoreo ni sistema de soporte, que ayude al correcto funcionamiento de los

requerimientos de TI y que garantice calidad según los estándares y políticas que necesita la

institución.

El proceso para monitorear y la evaluar el desempeño de TI se localiza en el nivel de madurez cero

porque no se cuenta con herramientas que permitan desarrollar reportes útiles, oportunos y

precisos de monitoreo.

ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Por la entrevista informal realizada al administrador de los sistemas se conoce que el monitoreo

y la evolución del control interno es un proceso inexistente en la empresa porque no cuentan con

un procedimiento que incluya el monitoreo y el reporte de las excepciones de control, auto-

evaluaciones ni revisiones por parte de terceros en el ámbito de TI.

El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero

porque la organización carece de atención y procedimientos para establecer el control interno,

administrarlo, monitorearlo y mejorarlo.

ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO

Por la entrevista informal realizada al administrador de los sistemas se conoce que el

garantizar el cumplimiento regulatorio es un proceso inexistente debido a que no cuentan con un

procedimiento independiente de revisión que garantice el cumplimiento de las leyes y regulaciones

e incluya la definición de ética y estándares profesionales, planeación, desempeño y reportes de

auditoria.

El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero

porque la organización no tiene conciencia de los requerimientos externos que afectan a TI, ni de los

procesos referentes al cumplimiento de requisitos regulatorios y legales.

ME4-PROPORCIONAR GOBIERNO DE TI

Por el diagnóstico y entrevistas varias ejecutadas se conoce que el procesos de gobierno de TI es

inexistente debido a que no existen acciones de coordinación para movilizar los recursos de TI de la

forma más eficiente en respuesta a requisitos regulatorios y operativos. Anexando que no existe

como estructura organizativa para asegurar que las TI soportan y facilitan el desarrollo de los

objetivos estratégicos definidos.

El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe un

grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.

RESUMEN DEL DOMINIO “MONITOREAR Y EVALUAR”

El dominio está relacionado con procesos de monitoreo y evaluación empresarial con respecto a

la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se


procesos evaluados.

DOMINIO: MONITOREAR Y EVALUAR


ACTUAL

NIVEL DE MADUREZ

DESEADO

ME1_Monitorear y evaluar el

desempeño de TI0 2

ME2_Monitorear y evaluar el control

interno0 2

ME3_Garantizar el cumplimiento

regulatorio0 2

ME4_Proporcionar gobierno de TI 0 2

Como se muestra en la tabla anterior, en este dominio todos los procesos tienen un grado de

madurez de nivel CERO, Por tanto se requiere dar atención a todos los procesos sin importar el nivel.

Según COBIT este nivel establece que la organización no reconoce la importancia de implantar

estos procesos para solucionar sus problemas, existiendo altas probabilidades de incidentes,

descontroles y deficiencias en el manejo de los mismos.

ANÁLISIS DE RESULTADOS

En este segmento se muestra el análisis de resultados obtenidos en el proceso de aplicación de

COBIT 4.1 en la UNI-IES a través de un informe técnico y ejecutivo para conocer el nivel de

madurez de los procesos de TI

INFORME EJECUTIVO

La siguiente tabla presenta los 5 niveles genéricos de madurez, el objetivo de ubicar la tabla en el

informe ejecutivo es para que los directivos tengan claros los niveles de madurez en los que se

ubicara a los procesos de gestión de TI de la empresa,

A continuación se muestra el primer criterio de evaluación, partiendo del modelo genérico de

madurez:

MODELO GENERICO DE MADUREZ

CERO No se aplican procedimientos administrativos (No existe)

UNO Los procesos son iniciales y desorganizados (Inicial)

DOS Los procesos siguen un patrón regular (Repetible)

TRES Los procesos se documentan y se comunican (Definido)

CUATRO Los procesos se monitorean y se miden (Administrativos)

CINCO Las buenas prácticas se siguen y se automatizan (Optimizado)

RESUMEN DE LA CLASIFICACIÓN DE LOS PROCESOS.

DOMINIO: PLANEAR Y ORGANIZAR

PROCESOS N. MADUREZ ACTUAL N. DE MADUREZ DESEADO

PO1_Definir un plan estratégico de TI 0 2

PO2_Definir la arquitectura de la información 0 2

PO3_Determinar la dirección tecnológica 0 2

PO4_Definir los procesos, organización y relaciones TI 0 2

PO5_Administrar la inversión en TI 0 2

PO6_Comunicar las aspiraciones y la dirección de la alta gerencia 1 2

PO7_Administrar los recursos humanos de TI 0 2

PO8_Administrar la calidad 0 2

PO9_Evaluar y administrar los riesgos de TI 0 2

PO10_Administrar Proyectos 0 2

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1_Identificar soluciones automatizadas 0 2

AI2_Adquirir y mantener software aplicativo 0 2

AI3_Adquirir y mantener una infraestructura tecnológica 0 2

AI4_Facilitar la operación y el uso 0 2

AI5_Adquirir recursos de TI 1 2

AI6_Administrar Cambios 0 2

AI7_Instalar y acreditar soluciones y cambios 0 2


DS1_Definir y administrar los niveles de servicio 0 2

DS2_Administrar los servicios de terceros 0 2

DS3_Administrar el desempeño y la capacidad 0 2

DS4_Garantizar la continuidad del servicio 0 2

DS5_Garantizar la seguridad de los sistemas 1 2

DS6_Identificar y asignar costos 0 2

DS7_Educar y entrenar a los usuarios 1 2

DS8_Administrar la mesa de servicios y los incidentes 0 2

DS9_Administrar la configuración 0 2

DS10_Administración de problemas 1 2

DS11_Administración de datos 0 2

DS12_Administración del ambiente físico 1 2

DS13_Administración de operaciones 0 2

DOMINIO: MONITOREAR Y EVALUAR

ME1_Monitorear y evaluar el desempeño de TI 0 2

ME2_Monitorear y evaluar el control interno 0 2

ME3_Garantizar el cumplimiento regulatorio 0 2

ME4_Proporcionar gobierno de TI 0 2

INFORME TÉCNICO

OBJETIVOS PROPUESTOS DE LA EVALUACIÓN

General

1. Identificar los niveles de madurez de los diferentes procesos de gestión TIC´s y proponer

medidas para mejorar los mismos.

Específicos

1. Determinar el nivel de madurez de los procesos de gestión utilizando COBIT.

2. Definir mecanismos de mejora para los procesos y objetivos de control críticos.

METODOLOGÍA COBIT

La metodología COBIT 4.1 aplicada para la evaluación del nivel de madurez de la gestión de las TI la

UNI-IES es una metodología que evalúa 34 procesos de TI en la empresa divididos en 4 dominios:

1. PLANEAR Y ORGANIZAR.

2. ADQUIRIR E IMPLEMENTA.

3. ENTREGAR Y DAR SOPORTE.

4. MONITOREAR Y EVALUAR.

Para analizar cada proceso es necesario tener como referencia los niveles de madurez explicados a

continuación:

MODELO GENERICO DE MADUREZ

CERO No se aplican procedimientos administrativos No existe

UNO Los procesos son iniciales y desorganizados Inicial

DOS Los procesos siguen un patrón regular Repetible

TRES Los procesos se documentan y se comunican Definido

CUATRO Los procesos se monitorean y se miden Administrativos

CINCO Las buenas prácticas se siguen y se automatizan Optimizado

DESARROLLO DE LA EVALUACIÓN DEL NIVEL DE MADUREZ

En la tabla la siguiente se muestra el nivel de madurez de la gestión de las TI en la empresa;

Presentando el nivel actual y recomendado que permitirán que la empresa mejore sus procesos y su

productividad

El nivel recomendado para todos los procesos es el de nivel 2

DOMINIO: PLANEAR Y ORGANIZAR.

PO1_Definir un plan estratégico de TINivel de madurez Actual

El proceso de definición del plan estratégico empresarial se localiza en el nivel de madurez

cero porque la institución no tiene conciencia de la importancia de la planeación estratégica

de TI que sirve para dar soporte a los objetivos del IES en términos de TI.

Nivel de Madurez Recomendado

Desarrollar un plan estratégico de TI para el IES Ltda.

Todas las áreas de la Institución deberá de actuar en conjunto con la gerencia de la misma

para así desarrollar un plan estratégico de TI concreto y bien detallado para así lograr los

objetivos de la empresa en un periodo determinado, el cual este periodo va estar en

dependencia de los objetivos y arquitectura de la misma. Al final los resultados obtenidos

del plan estratégico se reflejaran de acuerdo al presupuesto brindado por la institución.

La importancia de definir este plan es saber los pasos o secuencia a desarrollar para que la

institución logre sus metas planteadas. Además de definir la relación de la empresa con su

ambiente en función de los objetivos de la empresa.

PO2_Definir la arquitectura de la información

Nivel de madurez Actual

El proceso de definición de la arquitectura de la información se localiza en el nivel de madurez

cero porque la institución no tiene conciencia de lo importante que es definir la arquitectura

de información y mantenerle actualizada, la institución no brinda el apoyo necesario para

desarrollar una arquitectura de información de acuerdo a las necesidades de la organización.


Crear la arquitectura de información para la institución.

A cada área de la institución se le deberá asignar su propio documento de arquitectura de

información para la fácil distribución de los datos, además de un amplio y detallado

diccionario de datos, el cual facilitara la organización, disponibilidad y estructuración de los

datos entre el personal que comprenden el área determinada.

La importancia de definir la arquitectura de información es de tener una fácil comprensión,

ubicación, interpretación y en especial el orden de los datos y de ahorrar un factor muy

importante en la institución como lo es el tiempo y así lograr los objetivos establecidos de la

empresa.

El riesgo de no contar con una arquitectura de información aplicada a toda la empresa es

tener errores compatibilidad, que no haya concordancia entre los datos, archivos huérfanos,

mala interpretación de los datos y un gran desperdicio de tiempo

PO3_Determinar la dirección tecnológica


El proceso para determinar la dirección tecnológica se localiza en el nivel de madurez cero

porque no tiene conciencia sobre el importante aporte de este proceso a la organización, no

entiende que una correcta planeación del cambio tecnológico es crítica para asignar recursos

de manera efectiva a corto y largo plazo.


Se requiere planificar e implementar las diferentes innovaciones que surgen a nivel mundial y

que pueden ser aprovechadas por esta casa de estudios superiores. Permitiendo mejorar los

procesos, mejorando automatización de los mismos.

La Dirección de Tecnologías de Información debe contar al menos con: Centro de Implementación, Mantenimiento y Soporte Técnico, Departamento de Sistemas, Centro de Seguridad y Monitoreo de Datos

PO4_Definir los procesos, organización y relaciones TI


El proceso para definir los procesamientos, organización y relaciones de TI se localiza en el

nivel de madurez cero debido a que no se entiende la importancia de llevar una relación

íntima entre la organización, sus procedimientos con las relaciones de TI que permitan un

cumplimiento satisfactorio de los objetivos de la institución.


Se requiere de un grupo de personas para que definir los procesos, organización y

relaciones de TI que se acoplen a las relaciones del personal de la empresa, sus

funciones, sus roles, sus responsabilidades, la autoridad y la supervisión.

Desarrollar un marco de trabajo que contenga un procedimiento adecuado para la

administración de la organización de TI que verifique el rendimiento de los procesos,

organización y relaciones de TI incorporados en la empresa, además de su correcta ejecución

por parte de los miembros de cada departamento.

Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre

la función de TI y otros interesados dentro y fuera de la función de TI, tales como el consejo

directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de

seguridad, gerentes de riesgo, el grupo de cumplimiento corporativo, los contratistas

externos y la gerencia externa.

PO5_Administrar la inversión en TI


El proceso para administrar la inversión en TI se localiza en el nivel de madurez cero debido a

que la institución no tiene personería administrativa en el elemento de administración de las

inversiones. Sus adquisiciones se ejecutan según el presupuesto definido desde la central. Y

no existe interés en cuanto al cambio del ambiente por políticas de la central.


La institución debería de administrar todo tipo de inversiones en TI debido a que gracias a esta se obtendría

un buen manejo y monitoreo de los gastos que se incurren dentro de la institución llevando así tanto un

control histórico como otro actualizado.

La importancia administrar las inversiones en TI es que tendrá el fácil acceso a los registros de los

desembolsos de un periodo determinado y tener control de todo el dinero invertido por la institución.

Designar un experto dentro de la institución o optar por una capacitación en el tema al administrador de los

sistemas, ya que es el más relacionado con los puntos de la institución. De tal manera que su conocimiento

permita cumplir los objetivos de la empresa

PO6_Comunicar las aspiraciones y la dirección de la alta gerencia


El proceso para comunicar las aspiraciones y la dirección de la alta gerencia se localiza en el

nivel 1 porque existe un método de comunicación más se ha quedado estático ya que no existe

un interés por parte de la institución en la relación con el administrador de la página web para

difundir la información y lograr el cumplimiento de los objetivos.


Designar un encargado de identificar las aspiraciones y la dirección para presentar

propuestas de misión, visión, políticas y procedimientos.

Designar un grupo selecto que funcione de apoyo al encargado en pro del cumplimiento de

los objetivos de la empresa

Es importante tener una documentación clara y no técnica, porque servirá como guía al

momento de plantear un cambio a la misión, visión, políticas, procedimientos y

estándares empresariales, y además para que la gerencia así se asegure de poder

monitorear el desempeño del personal.

PO7_Administrar los recursos humanos de TI


El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque

cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios

para la obtención de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones

se hacen de manera preferencial y no por habilidades y destrezas.


Concientizar de que al personal debe capacitarse solicitando cursos y emitir una basándose en las

necesidades de la organización.

Es importante que el plan de administración de recursos humanos contemple procesos de

reclutamiento, contratación, capacitación y seguimiento del personal de la empresa.

Para ello necesita abocarse de una metodología y usar el método de supervisión transparente

para una selección optima que permita cumplir con los objetivos de la empresa.

PO8_Administrar la calidad


El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la

calidad como percepción del usuario se realiza de manera preferencial. No hay organización,

documentación ni profesionalismo en este proceso.


Abocarse de la ISO 9001 para lograr establecer métodos certificados de calidad que permitan

cumplir con los requerimientos de la empresa

PO9_Evaluar y administrar los riesgos de TI


El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero

porque la organización no tiene conciencia de la importancia de contar con una metodología,

ni con la documentación ni mejora continua que solucione vulnerabilidades de seguridad e

incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en

los procesos y la arquitectura de la información.


Desarrollar un plan de evaluación de riesgos.

El plan de evaluación de riesgos debe ser desarrollado por la gerencia y el personal, que

contemple riesgos de seguridad, disponibilidad e integridad en cada proyecto,

estableciendo un contexto de trabajo general que identifique el origen y evalué todos

aquellos eventos que amenazan al logro de los objetivos empresariales, para así

garantizar los mejores resultados. El plan de evaluación para un riesgo es un proceso

continuo que debe contener niveles de seguridad para poder evitar que el riesgo ocurra.

Es importante conocer que una efectiva gestión de riesgos de TI requiere de una continua

evaluación para conocer qué recursos de TI necesitan ser protegidos, cuáles son exactamente

las amenazas que acechan al sistema y qué puede hacer la empresa para disminuir el

peligro una vez identificados los puntos débiles, es necesario construir un plan eficaz de

contingencia, con la ayuda de un equipo de profesionales capaz de responder a cada

posible emergencia de TI, el documento debe contemplar cualquier incidente.

PO10_Administrar Proyectos


El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido

una metodología ni se ha seleccionado a un encargado que minimice el impacto en la

institución por la falta del proceso antes mencionado.


La institución debe de tomar en cuenta lo que es la gestión de proyectos para la fácil

determinación de roles, asignación de actividades y realización de presupuestos, tiempo

recursos y los gastos.

La importancia de la gestión de proyectos de TI es que no evita incurrir a gastos innecesarios

por parte de la empresa y la cancelación de proyectos por mala gestión de la información y

mala asignación de presupuesto.

Además sin esta gestión no se podrían medir los tiempos y costos del proceso de desarrollo

del proyecto.

DOMINIO: AQUIRIR E IMPLEMENTAR

AI1_Identificar soluciones automatizadas


El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero

porque la institución no lo considera importante y no cuenta con un procedimiento

definido que identifique requerimientos funcionales y operativos para el desarrollo,

implantación o modificación de soluciones tecnológicas disponibles que sirvan de apoyo para

que se cumpla con sus objetivos. Ligado a la dirección tecnológica de la institución.


Se recomienda documentar los procesos a seguir en las áreas así como establecer similitudes

entre los mismos para posteriormente desarrollar un estándar de procesos.

Designar un responsable y expandir la cultura de este proceso en los individuos de la

institución con el objetivo de que conozcan la necesidad de la misma y que funcionen como

pilares de productividad y mejora.

Establecer una estrategia de pro actividad para que funcione como método de cumplimiento

de los objetivos, estableciendo un camino a la dirección tecnológica, conociendo fortalezas y

debilidades.

Estableciendo una cultura permitirá en mejores niveles identificar y dar prioridades a los

requerimientos del negocio, lo cual debe documentarse y mejorarse según los cambios y

avances positivos de la institución; Esto con el objetivo de analizar riesgos y soluciones para

los mismos.

AI2_Adquirir y mantener software aplicativo


El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero

ya que no existe conciencia de la importancia de adquirir software que permitan mejorar los

procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institución.


Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero

similares, en base a la experiencia dentro de la operación de TI. El mantenimiento es a

menudo problemático y se resiente cuando se pierde el conocimiento interno de la

organización. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación

en el diseño o adquisición de software aplicativo

La institución cuenta con software aplicativo académico y contable, sin embargo no ha

recibido mantenimiento debido a que es un problema cerrado. Se necesitan una gran cantidad

de reportes que el administrador de sistemas realiza los mismo haciendo consultas directas a

la base de datos y transportando los datos a un documento de office.

Por tanto se requiere el desarrollo de nuevos módulos, para lo que se recomienda el uso de la

métrica v3 a cargo de un experto que realice todo el estudio de análisis, diseño,

implementación y pruebas.

AI3_Adquirir y mantener una infraestructura tecnológica


El proceso de soporte tecnológico continuo se localiza en el nivel de madurez cero porque no

se cuenta con un procedimiento establecido de revisión, mantenimiento y necesidades de

nuevos requerimientos del proceso en cuestión.


La infraestructura tecnológica es la base primordial de cualquier entidad y permite la

optimización de sus recursos, el aumento del y una respuesta más rápida a los requerimientos

externos de su giro de negocio.

En la institución no ha tenido el cambio necesario según el crecimiento de la misma. Desde sus

inicios no ha habido cambios en la topología de red, anexando que aún existen equipos de

hace más de 7 años.

Una buena infraestructura tecnológica permitirá: Un soporte a los diferentes procesos de

negocio comunicaciones, seguridad, operación de las soluciones de negocios, respaldo y

aseguramiento de la información, soporte a los centros computo, entre otros.

AI4_Facilitar la operación y el uso


El proceso para facilitar la operación y el uso se localiza en el nivel de madurez cero porque

no considera necesaria la documentación si se cuenta con un administrador de sistemas y no

se cuenta con una metodología para el desarrollo de manuales de usuario, de TI, de operación

y de procedimiento.


Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares

en diferentes áreas que realizan la misma tarea. No hay entrenamiento o

comunicación formal de los procedimientos estándar, y se deja la responsabilidad al

individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por

lo tanto, los errores son muy probables.

La documentación adecuada y completa, de una aplicación que se desea implantar, mantener y

actualizar en forma satisfactoria, es esencial en cualquier Sistema de Información, sin embargo,

frecuentemente es la parte a la cual se dedica el menor tiempo y se le presta menos atención.

Se recomienda designar al administrador de los sistemas con un asistente para documentar los

procedimientos correspondientes de los sistemas de TI. (Manuales de Usuario)

Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de

operación y los niveles de servicio requeridos, de manera que todos los interesados puedan

tomar la responsabilidad oportunamente por la producción de procedimientos de

administración, de usuario y operativos, como resultado de la introducción o actualización de

sistemas automatizados o de infraestructura.

AI5_Adquirir recursos de TI


El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque

existe un proceso, la institución hace muy poca presión a la central para que estos agilicen el

proceso de adquisición satisfactoria.

El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1


Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el

proceso general de adquisiciones de la organización y con la estrategia de adquisición

para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y

servicios necesarios por el negocio.

Para ello se recomienda llegar a un acuerdo con la central para lograr realizar un proceso de

adquisición de los requerimientos de manera transparente y justa de acuerdo a las

necesidades de la institución

AI6_Administrar Cambios


El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con

un plan de administración de los cambios, no existe documentación y no existe un elenco

responsable que permita cumplir los objetivos de la institución.


Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la

infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se

deben a especificaciones incompletas de la solicitud y detener la implantación de

cambios no autorizados

Establecer procedimientos de administración de cambio formales para manejar de manera

estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a

aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas

fundamentales.

Designar un responsable del proceso que documente los cambios requeridos y dar seguimiento al

cumplimiento de dichos cambios.

AI7_Instalar y acreditar soluciones y cambios


El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a

que los sistemas no permiten cambios y no existe interés en la adquisición de nuevas

aplicaciones. Consecuentemente no existe interés en la creación de la idea de este proceso

como parte del crecimiento institucional.


Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones

de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a

los materiales asociados, como parte de cada proyecto de sistemas de la información de

desarrollo, implementación o modificación.

Designar un responsable que lleve a cabo las pruebas correspondientes; Este proceso

seguirá luego de AI6 con el objetivo de aplicar los cambios en software que lo permitan.


DS1_Definir y administrar los niveles de servicio


El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez

cero, porque la institución no posee documentación y aunque semi-administra de manera

empírica, no lo realiza de manera periódica y desconoce los beneficios de tener un

responsable que controle y documente la administración de acuerdos de niveles de servicio

en la empresa.


Un acuerdo de nivel de servicio es un convenio interno en la empresa para llegar a un arreglo

entre el gobierno de TI y el personal que usa los recursos de TI, y se establece para sustentar

las necesidades del negocio. Tras su firma el gobierno de TI debe considerar al acuerdo

como un documento de referencia para ofrecer al personal de la empresa los servicios

acordados, por eso es imprescindible que defina claramente los aspectos esenciales del

servicio tales como su descripción, disponibilidad, etc. La empresa debe buscar un experto

del gobierno de TI para que defina y administre los niveles de servicio con acuerdos de

niveles de servicio que sean firmados entre el encargado del gobierno de TI y el personal que

usa los recursos de TI en la empresa, el experto también debe medir el cumplimiento de

dichos acuerdos para verificar que se alcancen los objetivos empresariales y comunicar

de manera formal, frecuente y concisa el desempeño del proceso a la gerencia de la empresa.

DS2_Administrar los servicios de terceros


El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si

no existe un estándar de calidad, si no que los servicios de terceros se basan propiamente en

el ahorro monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un

proceso fuera de contexto y desorganizado.


La institución deberá de realiza una planificación o gestión de los distintos proveedores que

posee la misma para así evitar o reducir los riesgos que pueden presentar los servicios

prestados por las empresas hacia la institución y así poder evitar pérdidas de tiempo por

causa de problemas de los servicios dados por los proveedores que no se desempeñan de

manera adecuada.

El riesgo de no llevar esta gestión la empresa no podrá medir el nivel de eficacia y

funcionamiento de los servicio que los proveedores les brindan, y tendrán varios atrasos a

causa de la mala o poca información que se tiene acerca de los proveedores dando como

resultado que la institución no podrá alcanzar las metas establecidas.

DS3_Administrar el desempeño y la capacidad


El proceso para administrar el desempeño y la capacidad se localiza en el nivel de madurez

cero porque la institución no tiene conciencia de la necesidad de llevar a cabo un proceso de

planeación de la capacidad y desempeño puesto que no se han establecido procesos claves de

administración.


La institución debe de llevar una administración de lo que la capacidad de la TI dentro de la

misma para así tener un control acerca de la disponibilidad, capacidad y la funcionalidad de

los recursos dentro de la empresa, además dentro del proceso de desarrollo de esta

administración se deben de tomar en cuenta los errores que pueden suceder para así poder

tener un mayor desempeño y brindar una mayor funcionalidad en los servicios utilizados

dentro de la institución.

La importancia de que la empresa cuente con este plan de administración es para conocer el

desempeño de la empresa y saber si en verdad los requerimientos de la institución estarán

disponibles de manera continua.

DS4_Garantizar la continuidad del servicio


El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero

porque no existe conciencia en la institución de los riesgos, vulnerabilidades y amenazas de

las operaciones de TI o del impacto por la pérdida de los elementos de los servicios de TI.


La empresa debe buscar un experto que se encargue de desarrollar planes de contingencia y

de continuidad de los servicios de TI que sean aprobados por la gerencia, los planes

deben ayudar a alcanzar los objetivos del negocio y deben establecer prioridades en

situaciones de recuperación considerando los recursos críticos de la empresa, esto

ayudará a reducir el impacto en las funciones y procesos claves del negocio. Un aspecto

importante que el experto debe tener presente es el de almacenar medios de respaldo,

documentación y recursos de TI críticos de la empresa fuera de las instalaciones para evitar el

mal uso o la perdida de la información, los respaldos deben probarse y renovarse

periódicamente porque así la gerencia tiene la confianza en que la reanudación de

funciones de TI será exitosa.

DS5_Garantizar la seguridad de los sistemas


El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno

porque la institución no tiene conciencia de la necesidad utilizar software de seguridad

distintos a los del sistema operativo y login de los sistemas, no están asignadas las

responsabilidades y rendición de cuentas para garantizar la seguridad y las medidas para

soportar y administrar la seguridad.


La empresa debe garantizar la seguridad estudiando los puntos débiles de los distintos

sistemas, analizando cada vulnerabilidad de los mismos, también tomando en cuenta la

circunstancias que pueden ocasionar un accidente de seguridad, además estableciendo

normas de prevención de accidentes así como realizar planes.

La importancia de realizar este plan de seguridad es de saber de qué manera actuar ante

ataque o amenazas inesperadas y así mantener en máxima seguridad los datos almacenados

en dichos sistemas.

Al no contar con estos planes la institución no sabría defenderse ante los diferentes ataques

que todo sistema abarca. contra ataque intencionales hacia el sistema.

DS6_Identificar y asignar costos


El proceso de identificación y asignación de costos se localiza en el nivel cero debido a que

existe conciencia de la necesidad e importancia de reconocer los servicios de TI como una

base actualizable para el cumplimiento de los objetivos y desarrollo de la institución.


La institución debe de asignar planes para la asignación de costos dentro de las distintas áreas

en la institución, además para obtener información acerca de la utilización de los servicios que

ofrece la institución.

Una de las razones que la institución debería de tener para realizar este plan es que tendría

que asignar los costos de manera equitativa entra cada área de la empresa, además para

identificar que situaciones deberían de solucionarse primero en cuestiones de asignación.

DS7_Educar y entrenar a los usuarios


El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque

la institución no tiene un programa de entrenamiento y educación con procedimientos

estandarizados, sus empleados reciben capacitación individual e informal.


La institución debe de dar capacitaciones de TI en conjunto al personal de distintos temas acerca

de la funcionalidad de los distintos sistemas de información. Establecer un grupo determinados

con conocimientos avanzados para poder capacitar a los empleados de nuevo ingreso de la

institución.

Además estas capacitaciones son de suma importancia ya que gracias a estas la institución asegura

que el personal va a utilizar los distintos recursos de manera eficiente, disminuyendo así los

diferentes errores que pueden suceder al utilizar los diferentes servicios de la institución.

Sin estas capacitaciones la institución deberá de estar consciente de que el personal no podrá

utilizar los recursos de la institución de la manera que ellos esperan

DS8_Administrar la mesa de servicios y los incidentes


El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de

madurez cero porque la no se tiene conciencia que hay un problema que atender, no hay

soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de

procesos para la administración de incidentes.


La empresa debe buscar un experto para crear una mesa de servicio y de incidentes que

ayude en la resolución de problemas de los usuarios de TI. La mesa de servicio debe registrar,

comunicar, atender y analizar todas las llamadas de incidentes reportados, requerimientos

de servicio y solicitudes de información que los usuarios realicen, midiendo siempre la

satisfacción del usuario final de la mesa de servicio.

El experto debe establecer procedimientos de mesa de servicios de manera que los

incidentes que no puedan resolverse de forma inmediata sean resueltos apropiadamente

para que estos incidentes no den lugar a otros

DS9_Administrar la configuración


El proceso para administrar de la configuración se localiza en el nivel de madurez cero porque

no se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y

administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de

hardware como de software.


Buscar un experto que se encargue de detallar un plan para controlar la configuración de TI

que contenga los elementos de configuración para hardware, software aplicativo,

documentación, procedimientos y herramientas para operar, acceder y

utilizar los sistemas y los servicios de la empresa.

Para ello se recomienda capacitar a más de dos personas en la configuración con el objetivo de

disminuir las probabilidades de no continuidad de los sistemas

DS10_Administración de problemas


El proceso de administración de los problemas se localiza en el nivel uno puesto que se han

estandarizado algunos procesos pero de manera mecánica por parte de los encargados de TI, de

manera que la raíz del incidente se busca si y solo si es considerado de gran impacto, en caso

contrario se ejecuta una solución rápida y no se documenta el incidente


La institución debe de contar con personal capacitado para cada área en la institución, en el cual cada

trabajador debe de analizar y comprender los diferentes tipos de problemas con los que se puede encontrar

en el transcurso de su trabajo y así saber identificarse y priorizarse ante todos los problemas y poder darle

solución lo más rápido posible.

En caso de que la institución no tenga un control con los diferentes problemas que se encuentre

esta deberá de aplicar diferentes técnicas para la solución en distintos tiempos el cual sería

ineficiente debido a que no hay establecido o guardado métodos de solución de problemas.

DS11_Administración de datos


El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos

no se establecen bajo ninguna prioridad, haciéndolos deficientes en calidad y la seguridad.


La institución deberá de localizar para cada área una o más personas capacitada para poder

manejar la información de manera correcta o mejor aún establecer sistemas de control para cada

área para llevar un mejor control de los registros y evitar inconsistencia de los datos y establecer

un mejor control en cada una de las funciones manuales de la institución.

Además gracias a este tipo de proceso estará siempre en cualquier momento la información

deseada estará disponible para cualquier área de la institución de manera completa, consistente y

precisa según los parámetros establecidos.

DS12_Administración del ambiente físico


El proceso para administrar el ambiente físico se localiza en el nivel de madurez uno porque

no cuenta con un ambiente físico que proteja los recursos y el personal contra peligros

naturales y causados por el hombre, además el personal se puede mover dentro de las

instalaciones sin restricción.


La institución cuenta con un mínimo nivel administración ya que no hay nadie que controle los

tiempos de visita, de préstamo y de otro cualquier tipo de actividad dentro de la institución.

En la institución cada área es responsable del ambiente físico en dicha área.

La institución deberá de establecer normas o políticas para los distintos tipos de acceso

dentro de la institución para así poder llevar un control de las personas que vienen a la

institución a cualquier actividad, además estos registros a la ves serian de gran ayuda en

algún momento para la institución, para realizar una serie de actividades que sean de gran

beneficio para la empresa.

De no tener una administración dentro del ambiente físico habrá un sin número de accidentes

de cualquier tipo el cual la empresa no podrá reaccionar de manera.

DS13_Administración de operaciones


El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se

destina atención ni recursos para la creación de planes administrativos que permitan a las

operaciones de TI reducir retrasos operacionales y extender la vida útil de los equipos


La institución debe de implementar un plan de operaciones para que todas las áreas dentro de la

institución tengan un buen funcionamiento trabajando en conjunto para así realizar efectivamente

cada una de las tareas, y utilizar cada uno de los recursos, aumentar la capacidad y disponibilidad

dentro de la institución.

Además una de las importancias de estos manuales es que ayuda a la institución en lo que es

disponibilidad de datos y reduce los tiempos de consulta desde cualquier área de manera

ordenada.

DOMINIO: Monitorear y Evaluar

ME1_Monitorear y evaluar el desempeño de TI


El proceso para monitorear y la evaluar el desempeño de TI se localiza en el nivel de madurez

cero porque no se cuenta con herramientas que permitan desarrollar reportes útiles,

oportunos y precisos de monitoreo.


Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la

metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI, y

Monitorear la contribución de TI al negocio. Integrar el marco de trabajo con el sistema de

administración del desempeño corporativo

Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la

organización hacia metas identificadas, específicamente en términos del desempeño del portafolio

empresarial de programas de inversión habilitados por TI, niveles de servicio de programas

individuales y la contribución de TI a ese desempeño. Los reportes de estatus deben incluir el

grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de

desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier

desviación respecto al desempeño esperado y se deben iniciar y reportar las medidas de

administración adecuadas.

ME2_Monitorear y evaluar el control interno


El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero

porque la organización carece de atención y procedimientos para establecer el control

interno, administrarlo, monitorearlo y mejorarlo.


Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de

trabajo de control de TI para satisfacer los objetivos organizacionales.

Evaluar el estado de los controles internos de los proveedores de servicios externos.

Confirmar que los proveedores de servicios externos cumplen con los requerimientos

legales y regulatorios y obligaciones contractuales.

Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de

evaluación y los informes.

ME3_Garantizar el cumplimiento regulatorio


El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero

porque la organización no tiene conciencia de los requerimientos externos que afectan a TI,

ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.


Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales,

leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de

cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de

la organización.

Obtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas

derivadas de directivas internas o requerimientos legales externos, regulatorios o

contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver

cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.

Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las

salidas similares provenientes de otras funciones del negocio.

ME4_Proporcionar gobierno de TI


El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe

un grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.


Definir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de

control y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo

de control y proporcionar la rendición de cuentas y prácticas inequívocas para evitar una rotura en

el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento

con las leyes y regulaciones y que está alineado, y confirma la entrega de, la estrategia y objetivos

empresariales. Informa del estado y cuestiones de gobierno de TI.

Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso

hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han

alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a

dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para

permitir a la alta dirección revisar el progreso de la empresa hacia las metas identificadas.

Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y

regulación relevante; las políticas de la organización, estándares y procedimientos; practicas

generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI.

CONCLUSIONES

1. El estándar COBIT ofrece una completa guía de alto nivel para la definición y evaluación de los procesos de negocios relacionados con los Sistemas de Información. Por otra parte, permite el uso de otros marcos de trabajo más específicos como CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carácter generalista de COBIT.

2. COBIT es un marco de referencia para profesionalizar el área informática de una compañía, que cuenta con capacidades propias o tercerizadas para la implementación de proyectos típicamente soportados con ERP de clase mundial, que contiene área de servidores, y que cuentan con áreas de mantenimiento y soporte.

3. La herramienta COBIT 4.1 permitió definir el nivel de madurez de los procesos de gestión de TI. Evaluamos

4. La aplicación de la metodología COBIT 4.1 ha permitido definir un marco de recomendaciones y pasos a seguir para la mejora de la institución.

RECOMENDACIONES

- Se recomienda a la institución aplicar los planes requeridos para mejorar el nivel de madures de los procesos aplicados por COBIT 4.1.

- Designar responsables con funciones segregadas para no sobrecargar la evolución de los procesos.

- Se recomienda asignar recursos para crear mejores condiciones a la unidad informática y considerarla como departamento de TI

Contar con personal calificado ayudará a tener una correcta administración de los procesos de gestión de TI.

- Se recomienda realizar auditorías informáticas periódicamente. Al igual que auditorias internas en las otras áreas para culturizar a los usuarios en el buen uso de las TI

Para lograr el objetivo de mejora a través de la metodología COBIT se requiere de todo el apoyo por parte de la central y de las autoridades de la institución.

No existente Inicial Repetible Definido

0 1 2 3

ANEXOS

Anexo 1

MODELO GENÉRICO DE MADUREZ

GRÁFICO DE MADUREZ

Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de

medición creciente a partir de 0, no existente, hasta 5, optimizado. El desarrollo se basó en las

descripciones del modelo de madurez genérico descritas a continuación:

LEYENDA PARA SÍMBOLOS USADOS

Nivel de madurez actual de la empresa.

Nivel de madurez recomendado para la empresa.

MODELO GENÉRICO DE MADUREZ

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha

reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y

requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen

enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque

general hacia la administración es desorganizado.

2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos

similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o

comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo.

Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los

errores son muy probables.

3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a

través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es

poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero

formalizan las prácticas existentes.

4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y

tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están

bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y

herramientas de una manera limitada o fragmentada.

5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los

resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de

forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la

calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

ANEXO 2CONCEPTO DE LOS CUATRO DOMINIOS DE COBIT

1. PLANEAR Y

ORGANIZAR

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Por tanto es de vital importancia que se encuentre bien definido, debido a que representa la base de trabajo de los siguientes dominios.

2. ADQUIRIR E

IMPLANTAR

Este dominio cubre la estrategia de TI, puesto que las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

3. ENTREGAR Y DAR

SOPORTE

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

4. MONITOREA

R Y EVALU

AR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

ANEXO 3

CAPÍTULO I PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA

Sustento Teórico

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una

serie de pasos previos que permitirán dimensionar el tamaño y características del área

dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos

determinar el número y características del personal de auditoría, las herramientas

necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en

caso necesario, poder elaborar el contrato de servicios.

Dentro de la auditoria en general, la planeación es uno de los pasos más importantes,

ya que una inadecuada planeación repercutirá en una serie de problemas, que pueden

provocar que no se cumpla con la auditoria o bien que no se efectúe con el

profesionalismo que debe tener el desarrollo de cualquier auditoria.

En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que

hacerla desde el punto de vista de los tres objetivos:

Evaluación administrativa del área de procesos electrónicos.

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para lograr una adecuada planeación, lo primero que se requiere es obtener

información general sobre la organización y sobre la función de informática a evaluar.

Para ello es preciso hacer un, investigación preliminar y algunas entrevistas previas, y

con base a esto planear el programa de trabajo, el cual deberá incluir tiempo, costo,

personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo

de la misma

Descripción de la práctica

1. Conocimientos que se adquieren: se obtiene una visión general del departamento

por medio de observaciones, entrevistas preliminares y solicitud de documentos

para poder definir el objetivo y alcances del departamento.

2. Habilidades que se desarrollan; Elaboración de la parte metodológica de la

auditoria, investigación de la información de la entidad a auditar, estudio de un

caso.

3. Actitudes que se promueven: discreción, responsabilidad, honestidad, colaboración,

compromiso, apertura, respeto, disposición al cambio y flexibilidad.

4. Especificaciones del procedimiento

5. Los alumnos agrupados en equipos (mínimo cuatro integrantes) solicitarán a la

dirección de la facultad una carta de presentación.

6. El alumno contactará una empresa que le permita realizar dentro de la misma una

auditoria en informática.

7. Los alumnos acordarán con los directivos de la empresa sus horarios de visitas.

8. Se solicitará a los directivos del departamento de informática la información

requerida por los cuestionarios de este capítulo y, de acuerdo a esta planearán el

tiempo de elaboración de la auditoria.

Base de desarrollo:

Tiempo aproximado: 5 horas.

Materiales a emplear: antología y manual de prácticas de auditoria informática,

papelería y consumibles.

Resultados esperados: Que el alumno conozca la responsabilidad de iniciar una

práctica profesional ante instituciones ajenas a su ámbito académico.

Bibliografía: Salazar Díaz María Guadalupe (2004), “Auditoria informática”;

Antología para la carrera de informática, cap. II.

1.1. DATOS GENERALES DE LA EMPRESA. NOMBRE:

La Universidad Nacional de Ingeniería es una Institución de la Educación Superior,

estatal y autónoma, en búsqueda permanente de la excelencia académica, dedicada a

formar profesionales en el campo de la Ciencia, la Ingeniería y la Arquitectura para que

generen y difunden conocimientos con conciencia social, ética y humanística, con la

finalidad de contribuir a la transformación tecnológica y al desarrollo sustentable de

Nicaragua y la región Centroamericana.

UBICACIÓN:

Avenida Universitaria, Recinto Universitario Simón Bolívar

De los semáforos UNI, 500 metros al norte (Campus Albert Einstein)

FECHA DE INICIACIÓN DE OPERACIONES DE LA EMPRESA:

18 de Octubre de 1998

FECHA DE INICIACIÓN DE OPERACIONES DEL CENTRO DE CÓMPUTO:

1999

ESTRUCTURA LEGAL:

MARCO JURÍDICO:

El folIo se encuentra en las instalaciones de la Universidad Nacional de Ingenieria (UNI)

siendo inaccesible obtener la información de este modulo.

GIRO DEL NEGOCIO:

Industria de la Educación

OBJETIVO: (S) DE LA EMPRESA:

1. Brindar un servicio de educación de calidad para las personas de bajos recursos.

2. Velar por el buen funcionamiento de enseñanza según planes de cada carrera.

3. Velar por la disponibilidad de los diferentes recursos necesarios para el desarrollo de los

programas académicos de la institución.

4. Realizar el POA general según requerimientos, prioridades y presupuesto disponible.

5. Gestionar contratos de profesores de alta calidad en unión a los profesores enviados por la

parte pública de la UNI.

Rector Director IES Sub Director IES

Secretario Académico

OBJETIVOS DEL CENTRO DE CÓMPUTO:

1. Velar por la eficiencia de comunicaciones entre los sistemas y los usuarios de la

institución.

2. Mantener el funcionamiento total y parcial de los equipos fuera del sistema de

información pero que forman parte de los procesos institucionales.

3. Realizar el POA para el buen mantenimiento de los equipos informáticos.

4. Velar por el buen aprovechamiento y cuido de los recursos otorgados a las

diferentes áreas a cargo.

5. Monitorear el desempeño del sistema y de los usuarios a través de protocolos,

control de aplicaciones y software de seguridad previamente autorizados.

6. Presentar informes semestrales del uso de cada equipo, así como los elementos

de mantenimientos, sustituciones y solicitudes en sustento con las hojas de

servicio previamente autorizadas y firmadas por el jefe del área solicitante y

proveedora

DIRECTORIO:

Rector Director

1.2. OBJETIVOS Y PROPOSITO DEL DIAGNOSTICO.

Examinar en forma global y constructiva la estructura de la uni ies enfocándose a su

departamento de cómputo, contemplando aspectos tales como: planes y objetivos,

métodos y controles, formas de operación y organización humana y jurídica.

Áreas a revisar:

1. Soporte Técnico Hardware y Software

2. Mantenimiento Preventivo y correctivo.

3. Atención Estudiantil.

1.3 ORGANIGRAMA DE LA EMPRESA.

1.3.1 COMENTARIOS AL ORGANIGRAMA.

La institución se encuentra a nivel de organigrama de manera bien estructurada, sin embargo

físicamente existen contradicciones en cuanto a cargos y áreas.

Por ejemplo en el área de Sub dirección se encuentra la coordinadora de la carrera de

Computación, la cual según el organigrama debería estar en el área de Coordinación.

Dirección

Administracíon y Contabilidad

Servicios Generales Sub Dirección Secretaria

Académico Adquiciiones Coordinación

Otra de las debilidades es el nombramiento del director como coordinador de la carrera de

Ingeniería Civil y Secretario Académico como coordinador de la Carrera Ingeniería de Sistemas.

1.4 Entrevistas1.4.1 Formato Previa de la Entrevista 1

Nombre:

Puesto:

Aréa:

1. ¿Cree usted su trabajo mantiene equilibrado los objetivos de la institución?

2. ¿En que consisten las actividades que realiza para desempeñar su trabajo?

3. ¿Es documentada cada actividad laboral que realiza? Especifique de que

manera.

4. ¿Cómo considera los procedimientos establecidos para ejecurtar una tarea en la

institución?

5. ¿Se realiza el trabajo en equipo, o existen divisiones mal argumentadas?

6. ¿Que sugeriria usted para mejorar algun procedimiento que considere erroneo

de ejecucióin?

7. ¿Cómo es su relación con cada una de las areas a las que usted tiene acceso?

8. ¿Cuál considera es la causa de estas relaciones?

9. ¿Según su contrato laboral, cuales de las obligaciones planteadas en el, usted

cumple a cavalidad?

1.4.2 Formato Previa de la Entrevista 2

1. ¿Cuenta el IES con un plan estratégico para la unidad informática? ¿Quién realizo el

plan estratégico? ¿Se cumple?

La empresa no cuenta con un plan estratégico. Puesto que actualmente se trabaja según los

problemas que surgen. Se realiza una planificación interna como protocolo, sin embargo todo se da

según la central (Universidad Nacional de Ingeniería) ya que no se le da seguimiento desde aquí

(UNI-IES)

2. ¿Está documentado el desarrollo del sistema?

No existe documentación. El sistema usado en la empresa fue desarrollado por una alta

autoridad de la universidad nacional de ingeniería, el cual solo acudió a instalar el sistema, mas no a

especificar como se desarrolló.

3. ¿Existen manuales de usuario o que procedimiento se sigue para capacitar al

personal de la empresa para el uso del sistema?

Si existen manuales de usuario del sistema.

4. ¿Cómo se capacita al personal a cerca del uso del sistema?

No se realiza una capacitación formal. El administrador de los sistemas se encarga de entrenar

parcialmente al usuario del sistema. Posteriormente asesora al usuario cuando este le llama por

alguna duda.

5. ¿Cómo se administra los login y password del sistema?

Al momento de entregar un login y password a un nuevo usuario del sistema el

administrador de los sistemas configura un nuevo usuario utilizando como referencia su

nombre y una contraseña que él puede posteriormente modificar, provocando un registro sin

un proceso estándar de establecimiento.

6. ¿Cómo es el proceso de los respaldos del sistema? ¿Con que frecuencia se realizan?

Los respaldos se realizan sin ningún tipo de planificación. A veces diario o cuando se recuerda

que hay q realizarlos. Los respaldos se almacenan en el disco del servidor y debes en cuando el

respaldo más reciente se guarda en un disco externo. No se verifica la integridad del respaldo.

7. ¿La empresa tiene un proceso debidamente documentado para adquirir nuevo

software de aplicación, hardware o nuevo personal? ¿Existen problemas de

presupuesto?

La empresa no cuenta con un proceso para adquirir nuevo software de aplicación,

hardware o nuevo personal. Cada encargado del área específica sus nuevos requerimientos y es

la central (Universidad Nacional de Ingeniería) q u i e n d e c i d e si la adquisición es

necesaria según el presupuesto disponible o asignado. No cuentan con un presupuesto

destinado para la adquisición de software o hardware.

1. ¿Existe un plan de contingencias para el sistema? ¿Quién soluciona los

problemas que se presentan? ¿Cómo es su solución?

La institución no cuenta con un plan de contingencia. Los problemas se solucionan según el

personal que se encuentre disponible en el momento, aplicando una solución correctiva o bien

sustancial, mientras se corrige el problema

9. ¿Cómo se define la protección de los equipos?

La institución no tiene un buen diseño de las instalaciones. El cuido de los equipos de usuarios es

inexistente puesto que se dejan equipos encendidos por las noches, donde las autoridades no

toman cartas en el asunto. En cuanto a los servidores, no existe un centro de datos y se encuentran

a fácil manipulación y vista del público.

10. ¿Qué tan eficaz y eficiente es la información brindada por el sistema?

La institución no tiene clara la importancia de darle manteniendo al sistema. Conforme a

avanzado el tiempo, nuevos requerimientos han surgido, pero no se han hecho cambios.

Actualmente para brindar información necesaria el administrador realiza las consultas en

tiempo de ejecución con la base de datos, relacionando tablas y parámetros; Posteriormente la

información es exportada a Excel y entregada a la autoridad solicitante.

PROBLEMAS:

El análisis de las entrevistas previas, han dado los siguientes resultados:

Se pueden globalizar en: Organización, Inversión, Actitud y

Comunicación.

a. Cada trabajo realizado debe estar sujeto a un soporte, el cual en la

institución se representa mediante una hoja de servicio que especifica el tipo

de servicio, descripción, quien lo brinda, quien lo recibe y a que área

pertenece. Sin embargo este procedimiento no es cumplido a cabalidad ya

que se realiza el servicio pero no se aplica el documentado mediante la hoja

de servicio por razones no ajenas a la pereza, el olvido, otras.

b. Existe el trabajo en equipo, sin embargo individualmente pueden llegar a no

suplir las necesidades de trabajo puesto que existen pocos contratados y

muchos pasantes que no pueden actuar por no tener autorización, debido a

su estado laboral.

c. En el ámbito de administración de los sistemas, no existe un monitoreo

preventivo definido, es decir está sujeto a supervisión parcial de actividad

informático viral y física. Los soportes que se realizan son de nivel correctivo.

Además que no existen planes de prevención y corrección previamente

planificados, así como no está establecido un equipo de trabajo propio. Lo

anterior tiene como principal causa, las capacidades individuales de los

miembros del equipo, producto de la no capacitación del personal y poca

inversión de la institución en equipos informáticos de calidad duradera y de

procesamiento.

d. El desarrollo de sistemas es una metáfora. Debido a que no se da inversión

para el desarrollo a pesar de que el personal si se encuentra capacitado

suficientemente para la tarea.

e. Los mantenimientos se realizan correctivos y con los elementos a mano. La

única manera en que los procesos se hagan de manera más rápida, es solo

si el área implicada es de mucha relevancia, como lo es Administración y

Dirección. En cuanto al resto de las áreas es preferible buscar equipos

repositorios desfasados en tecnología pero funcionales.

f. El POI del área no se prepara de manera sistemática, si no que se realiza en

media manera y para salir del paso, tratando de suplir lo principal, ya que el

presupuesto no se ajusta a las necesidades del área, encargada de otras

áreas.

g. No existe un estudio lógico de las redes y los equipos completos, puesto que

la atención se centra en equipos de altos niveles jerárquicos.

h. Existe una mala distribución de los equipos de cómputo, donde

procedimientos que requieren equipos con buenas capacidades, no los

tienen y donde quienes no necesitan grandes capacidades, si las tienen.

SUGERENCIAS:

a. Se sugiere realizar un estudio a fondo de los requerimientos y necesidades

de la institución para determinar la inversión en monitoreo, planes de

mantenimiento preventivo, operativo y correctivo de los equipos de cómputo,

elementos de redes y los sistemas de la institución.

b. Se sugiere un reordenamiento físico de la institución, según el orden dentro

del organigrama institucional. Así como también un estudio de capacidades

de equipos, para soportar a los procesos que requieren mejores

capacidades de trabajo y procesamiento.

1.5.1 INVENTARIO DE EQUIPO.

CARTERA Y COBRO

Nombre de Usuario Marcela

Nombre Pc: AdminCYC1

Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.41 512 MB de RAM

SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2

Numero Mac 00-E0-7D-B8-88-5F

IP Numero 192.168.2.11

GRUPO DE TRABAJO: ADMINIES

Nombre de Usuario Rigo

Nombre Pc: AdminCYC2

Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.41 1GB de RAM


Numero Mac 00-E0-7D-B9-54-D9

IP Numero 192.168.1.48


Nombre de Usuario Rafael

Nombre Pc: CarteraRafa

Características Técnicas Intel Pentium Dual Core 3.40 ghz, 2.41 1GB de RAM


Numero Mac 00-08-54-A6-9E-25

IP Numero 192.168.1.50


ADMINISTRACION

Nombre de Usuario Hentri

Nombre Pc: AdminAuxCont



Numero Mac 001-10-DC-8A-E6-37

IP Numero 192.168.2.28


Nombre de Usuario Martin Solis

Nombre Pc: Adminjefe



Numero Mac 00-10-DC-8B-72-97

IP Numero 192.168.2.28


Nombre de Usuario Elyin

Nombre Pc: AdminContador2

Características Técnicas Intel Pentium (R) 3.00 ghz, 2.40 960 MB de RAM


Numero Mac 00-19-DB-15-25-B8

IP Numero 192.168.1.216


Nombre de Usuario Luis

Nombre Pc: CAJA2

Características Técnicas Intel Pentium (R) 3.00 ghz, 2.40 504 MB de RAM


Numero Mac 00-50-FC-89-79-FCIP Numero 192.168.2.45


Nombre de Usuario Richard

Nombre Pc: CAJA1Características Técnicas Intel Pentium DUAL CORE 2.20

ghz, 2 GB de RAM


Numero Mac 00-50-FC-97-F1-FBIP Numero 192.168.1.44


Nombre de Usuario Roberto

Nombre Pc: AdminContador1

Características Técnicas Intel Pentium Dual Core(R) 2.20 ghz, 2GB de RAM


Numero Mac 00-19-66-A3-4A-DA

IP Numero 192.168.1.215


DEPARTAMENMTO DE COORDINACION

Nombre de Usuario NAIMA

Nombre Pc: SecretCoord

Características Técnicas Intel Pentium 4 (R) 2.40 ghz,2.40 512MB de RAM


Numero Mac 00-08-54-1F-2A-0E

IP Numero 192.168.1.38

GRUPO DE TRABAJO: COORDINACION

Nombre de Usuario ENA ALVARADO

Nombre Pc: SeccCoord



Numero Mac 00-40-F4-2F-64-FF

IP Numero 192.168.1.32


Nombre de Usuario Olga

Nombre Pc: PENDIENTE



Numero Mac 00-E0-4C-91-1E-E0

IP Numero 192.168.1.68


Nombre de Usuario Gladys Sanchez

Nombre Pc: Resplanif

Características Técnicas Intel Pentium Dual Core E2200 2.20GHz 2.19 ghz 1.99 GB de RAM


Numero Mac 00-25-22-10-61-1D

IP Numero 192.168.1.218


Nombre de Usuario Claudia Aurauz

Nombre Pc: Coord_Civil

Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM

SISTEMA WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION

Numero Mac 00-25-22-6E-97-72

IP Numero 192.168.1.59


Nombre de Usuario Fredy

Nombre Pc: PiedSilva


SISTEMA WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION

Numero Mac 00-25-22-6E-9A-B9

IP Numero 192.168.1.66


Nombre de Usuario Pendiente

Nombre Pc: Coord_Arquitectura


SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3

Numero Mac 00-25-22-6E-9A-A9

IP Numero 192.168.1.24


Nombre de Usuario Jaqueline

Nombre Pc: UserJaquilin

Características Técnicas Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM


Numero Mac 00-25-22-22-16-41

IP Numero 192.168.1.214


INSTITUTO DE IDIOMAS

Nombre de Usuario Alejandra

Nombre Pc: IDI_1

Características Técnicas Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM


Numero Mac 00-27-0E-2E-8A-56

IP Numero 192.168.1.212

GRUPO DE TRABAJO: IDI

Nombre de Usuario ------------------

Nombre Pc: IDI_3



Numero Mac 00-27-0E-2E-8A-56

IP Numero ----------------


ombre de Usuario -------------------

Nombre Pc: IDI_2

Características Técnicas Intel Pentium Dual Core E5400 2.7 GHz 2.7 ghz 2GB de RAM


Numero Mac 00-25-22-2F-2B-E6

IP Numero 192.168.1.25


DIRECCION

Nombre de Usuario Marisol

Nombre Pc: Sec_Dir

Características Técnicas Intel Pentium4 2.8 GHz 2.8 ghz 504MB de RAM


Numero Mac 00-80-AD-01-B8-40

IP Numero 192.168.1.100

GRUPO DE TRABAJO: DIRECCION

Nombre de Usuario Lester

Nombre Pc: Bios



Numero Mac 00-25-22-6E-9A-BB

IP Numero 192.168.1.219


Nombre de Usuario Yuri

Nombre Pc: RRHH

Características Técnicas Intel Pentium Dual Core 2.80 GHz 2.79 ghz 1 GB de RAM


Numero Mac ------------------------

IP Numero 192.168.1.240


Nombre de Usuario Geisell

Nombre Pc: Sec_Direccion



Numero Mac ----------------------

IP Numero 192.168.1.210


Nombre de Usuario ------------

Nombre Pc: Coor_comp

Características Técnicas Intel Pentium Dual Core 2.80 GHz 2.79 ghz 1 GB de RAM


Numero Mac ------------------------

IP Numero 192.168.1.225

BODEGA

Nombre de Usuario -----------

Nombre Pc: Bodega

Características Técnicas Intel Pentium4 2.4 GHz 768 MB de RAM


Numero Mac 00-E0-18-96-66-43

IP Numero 192.168.1.92

GRUPO DE TRABAJO: Inventario PC

1.5.4 PRESUPUESTOS. MANO DE OBRA.

PUESTO SUELDO

MENSUAL POR

PERSONA

NO. DE

PERSONAS

SUELDO

MENSUAL TOTAL

Responsable de la

Unidad Informática

10000 1 10000

Jefe de los

Laboratorios

4000 1 4000

Técnico en

computación

3000 1 3000

Técnico en redes 3000 1 3000

Pasante 1 1000 3 3000

TOTAL: 23,000

1.6 DETERMINACIÓN DEL ÁREA A ESTUDIAR:

EN BASE A LAS INVESTIGACIONES PREELIMINARES Y

CONSIDERANDO LAS ENTREVISTAS REALIZADAS, SE HA DECIDIDO

DESARROLLAR LINA EVALUACIÓN GENERAL DE TODAS LAS ÁREAS QUE

INTEGRAN EL DEPARTAMENTO DE COMPUTO.

Soporte Técnico Hardware y Software

Se han notado debilidades en esta área con respecto a los insumos utilizados para brindar el

servicio en cuestión, así como también la incapacidad individual de algunos elementos del

equipo de trabajo.

Mantenimiento Preventivo y correctivo.

Debido a que no se cuenta con un documento que identifique y especifique los

procedimientos en ejecución de una tarea planificada, se trabajaba únicamente de manera

correctiva, provocando largos tiempos de inactividad según el área y su importancia dentro

del actuar del sistema. Por tanto se realizara un estudio profundo de cada posible tarea en

niveles de preventivo, operativo y correctivo.

Atención Estudiantil.

En este punto, la falta de comunicación con los estudiantes de la institución provoca un

desequilibrio en la entrega de software y soporte a los elementos de recibimiento académico

de la institución.

Auditoria COBIT 4.1

Documents

Transcript of Auditoria COBIT 4.1