Introducción

El presente documento tiene como objetivo presentar los resultados obtenidos de los diferentes niveles de madurez de todos los procesos de gestión de las tecnologías de comunicación TIC de le empresa distribuidora de productos farmacéuticos , bajo ciertos hallazgos encontrados por medio de la entrevista y encuesta realizada en la empresa, bajo la metodología utilizada OBIT la cual se basa en dominios y procesos con niveles de madurez que permitan emitir tanto conclusiones como recomendaciones útiles para mejorar el desempeño de los procesos y de la organización.

Nuestra empresa en estudios es una distribuidora de productos farmacéuticos para grandes empresas e instituciones tantos privadas como públicas, con un gran grupo de trabajo profesionales con excelentes experiencias en la aplicaciones y suministro de bienes y servicios de las diferentes actividades productivas a desarrollarse. Su infraestructura y experiencia que tienen le gran permito ofrecer suministros, montaje, servicios y mantenimiento de la distribución de productos de gran calidad.

Debido a la gran demanda con la que cuenta se han detectados muchas deficiencias tecnológicas y organizacionales en el uso de las TIC como son:

- La empresa no cuenta con servidores de respaldo para toda la información que se maneja dentro de ella. Por lo que cada miembro realiza respaldo de manera individual. Y los medios físicos que utilizan es por medio de CD por sus propias computadoras y en el disco duro externo del departamento de informática, lo que hace que todo esto tenga un almacenamiento de información muy desordenado.

- El encargado de informático mucho realiza manipulación dentro de la base de datos mismo lo que provoca muy poca seguridad y confidencialidad en las transacciones que se realizan lo cual puede hacer que surjan muchas alteraciones al momento de realizar alguna transacción determinada.

- La empresa no cuenta con suficiente personal en el are de informática lo que hace que existe un sobre cargo en la función del único miembro que existen laborando y eso hace que los diferentes problemas que se presenten no puedan ser solucionados en tiempo y forma que ocurren por lo que el no da abasto para todos los miembros.

- no cuentan con planes de respaldo, contingencia de recuperación ante fallos, seguridad, riesgos y no se encuentran regidos por ningún estándar o normativas para su certificación.

- cada miembro de la empresa resuelve o buscar como solucionar sus problemas de manera individual por el simple hecho que gerencia no tiene el conocimiento del nivel de importancia tiene los desarrollos de los planes que le ayuden a resolver este tipo de problemas.

- no se cuenta con procedimientos bien definidos y documentados.

Por lo que una vez encontrados todos estos hallazgos es necesario identificar y corregir los procesos que origina este serie de problemas por lo que se planteara:

Identificar aquellos procesos y controles que se presente para darle solución

Evaluar el nivel de madurez de los procesos identificados según la metodología utilizada.

Realizar un análisis de los resultados obtenidos

Elaborar un informe técnico y ejecutivo.

Capítulo 1 .Aplicación de COBIT

Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados.

El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

El estándar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones.

El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de:

Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.)

Garantizar el cumplimiento normativo del sector al que pertenezca la organización

Mejorar la eficacia y eficiencia de los procesos y actividades de la organización Garantizar la confidencialidad, integridad y disponibilidad de la información

El estándar define el término control como: “Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y se prevendrán, detectarán y corregirán los eventos no deseables”

Por tanto, la definición abarca desde aspectos organizativos (ej. flujo para pedir autorización a determinada información, procedimiento para reportar incidencias, selección de proveedores, etc.) hasta aspectos más tecnológicos y automáticos (ej. control de acceso a los sistemas, monitorización de los sistemas mediante herramientas automatizadas, etc.).

Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propósito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias.

En consecuencia, para cada objetivo de control de nuestra organización podremos implementar uno o varios controles (p.ej. ejecución de copias de seguridad periódicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtención del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).

Cobit clasifica los procesos de negocio relacionados con las Tecnologías de la Información en 4 dominios:

1. Planificación y Organización, con 10 procesos de gestión de TI2. Adquisición e Implementación, con 7 procesos de gestión de TI3. Entrega y Soporte, con 13 procesos de gestión de TI4. Supervisión y Evaluación, con 4 procesos de gestión de TI

En cada sección de esta metodología se realizara un análisis de los procesos de cada dominio y en el cual también se desarrollara la matriz raci, haciendo un análisis de la situación actual de los procesos de gestión de la TI de la empresa en estudio, para así poder ofrecer recomendaciones a la empresa que le ayuden a la mejora y agilización de todos y cada uno de los procesos que presentan una debilidad para la empresa.

Con la aplicación de esta metodología a la empresa nos permite evaluar y valorar los diferentes procesos de gestión de TI, realizando un análisis de la situación actual de la empresa que nos ayuden o permitan determinar el grado de madurez de los procesos para que asi se pueda realizar recomendaciones a la organización y esta a su vez pueda realizar mejora a sus procesos.

Primeramente realizamos una clasificación de los diferentes procesos de la organización para determinar el nivel de prioridad de cada uno y poder empezar a trabajarlo de acuerdo su prioridad.

Por otra parte, la organización dispone de recursos (aplicaciones, información, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio:

Efectividad (cumplimiento de objetivos) Eficiencia (consecución de los objetivos con el máximo aprovechamiento de los

recursos) Confidencialidad Integridad Disponibilidad Cumplimiento regulatorio Fiabilidad

P.1. Planear y organizar

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

P01. Definición de un plan estratégico

Según datos obtenidos de la entrevista véase anexo# se dice que en sus planes estratégicos de la empresa está la creación de un página web pero este plan no se

encuentra documento sino mas bien es una idea a realizar la cual no se encuentra formalmente documentada.

Ya que la empresa deber contar con una planeación estratégica de TI porque es necesaria para gestionar y dirigir todos los recursos de la TI en línea con las estrategias y prioridades de la empresa. El plan estratégico mejora la comprensión de los interesados clave de las oportunidades y limitaciones de TI, evalúa el desempeño actual de los trabajadores, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigación requerido.

Este proceso a su vez contiene objetivos de control que permiten que la administración del valor de TI ayuda a trabajar a la empresa a establecer una evaluación de los casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios esperados. La empresa no cuenta con una alineación de las TI con negocios ya que no se esta en constante actualización de las tecnologías actuales que salen en el mercado como es en el caso de los equipos con que cuentan no llevan un monitoreo de ellos para determinar cada cuanto será realizara una actualización que se requiera para que la empresa trabaje de forma más efectiva y eficiente

El proceso de definición del plan estratégico de la empresa se localiza en un nivel de madurez 0 (cero) porque la gerencia no toma en cuenta el grado de importancia que tiene la creación y desarrollo de los planes estratégicos para que pueda operar de manera eficiente y esto le pueda dar soporte a las metas del negocio.

P02 – Definición de la arquitectura de información.

Este proceso mejora la calidad de la toma de decisiones de la empresa asegurando que la información que se maneja sea de forma confiable y segura para poder racionalizar los recursos de los sistemas de información y estos a su vez puedan igualarse con las estrategias a utilizar, lo que también permite que incrementar la responsabilidad sobre la integridad y seguridad de los datos para mejorar la efectividad y control de información de las aplicaciones y entidades de la organización.

El porcentaje de los diferentes datos que posee no son duplicados cada uno de ellos se localizan en su lugar correspondiente y al cual no todos los usuarios poseen el mismo acceso de cada uno por lo que se maneja un login con su contraseña para un mayor control de toda la información que se maneja y para que así esta no sea manipulada.

Se mantiene un diccionario de datos empresarial de manera que permite compartir los elementos de datos entre la aplicación y la empresa. Lo que también previene la creación de datos incompatibles con el sistema con que se cuenta.

Existe lo que es una esquematización de la información, es decir se encuentra clasificada para los diferentes usuarios debido a que no todos tienen el acceso a la misma información por lo que se establecen niveles de seguridad para cada usuario, controles de protección.

La integridad y consistencia con que se maneja los datos es eficiente ya que manejan toda la información en bases de datos, formatos electrónicos con un alto nivel de seguridad.

La empresa sigue una serie de procedimientos aunque estos no sean tas sofisticados por lo que se realizan de manera sencilla ya que estos se los proporciono por la empresa desarrolladora del software por lo que se encuentran estandarizado y documentado y son parte de actividades informales de entrenamiento.

El nivel de madurez de este proceso es 3 (definido), por lo que la empresa tiene un conocimiento y aceptación de la arquitectura de la información y se sigue una serie de procedimientos para llevar acabo estos procedimientos y se establecieron políticas básicas para el desarrollo del mismo por la empresa desarrolladora del software.

P03 – Determinar la dirección tecnológica.

Por la entrevista realizada al informático de la empresa, se determina que la dirección tecnológica es un proceso existente en la empresa pero de manera básica ya que las tecnologías que utilizan son muy básicas para las diferentes operaciones que se realizan por lo que no cuentan con la cantidad de servidores adecuados para que puedan operar de manera eficiente y eficaz sus procesos y esto hace que los servidores trabajen de manera mas lenta y se sobrecarguen el traspaso de la información.

No cuentan con una planeación de la dirección tecnología que le permitan determinar que tecnologías tienen el potencial de crear oportunidades del negocio. Ya que estos permite la orientación para la obtención de nuevos recursos tecnológicos y debido a este nivel bajo de dirección tecnológica que cuenta se requiere un personal con amplios conocimientos y con la capacidad de poder desarrollar un plan que guie a la organización hacia un acertado cambio tecnológico.

Este proceso se encuentra en un nivel de madurez es cero debido a que la gerencia no conoce el grado de importancia de la planeación de la infraestructura tecnológica para la empresa por lo que con el personal actual con el que cuenta no posee el amplio conocimiento para la creación del mismo ya que desconocen que la planeación del cambio tecnológico es básico para la obtención o asignación de nuevos recursos para la empresa para que esta pueda operar de manera más efectiva.

P04 – Definición de procesos IT, organización y relaciones.

De acuerdo a la visita a la empresa nos pudimos dar cuenta que no cuentan con un marco de trabajo de proceso de TI ya que no tienen un plan estratégico que incluyan una estructura y relación entre los diferentes procesos que se realizan en la organización. Por lo que el marco debe estar integrado en un sistema de administración de calidad y de control interno de la empresa.

No cuentan con un comité estratégico y directivo que defina estrategias o planes que asesore a la dirección estratégica y este en constante revisión de las inversiones, que determinen las prioridades de los diferentes programas de inversión de TI y monitorear los niveles de servicios y sus mejoras.

La estructura organizacional con la que se cuenta es muy desorganizada y poco eficiente por lo que existe una doble duplicidad de funciones para ciertos funcionarios de la empresa lo que permite que esta no pueda operar de manera eficiente y eficaz en los diferentes procesos, ya que el establecimiento tanto de roles como responsabilidades no se encuentran bien definidas por la escasez de personal en ciertas áreas de las empresas.

Existe una carencia sobre el establecimiento de responsabilidad sobre la administración de riesgos y la seguridad a nivel de toda la organización lo que permite que el manejo de problemas no sea tan eficiente como deberían ser, por lo que no existe un adecuado cumplimiento de las mismas.

A la empresa se le proporciono el manual de procedimiento del sistema información, con el objetivo que le permita enfrentar las responsabilidades de propiedad tanto de los datos de la empresa como del sistema de información para que asi la gerencia pueda tomar decisiones sobre la forma en cómo se clasifica su información y establecer el nivel de acceso que tendrá cada usuario realizando una segregación de funciones para cada uno de manera que reduzca la posibilidad de que un solo usuario afecte un proceso al cual no está autorizado realizar.

Gerencia tiene asegurado que cada usuario realice solo las tareas autorizadas y acorde a sus funciones y cargos, pero al existir poco personal surge la duplicidad de cargos o funciones de ciertos usuarios de la empresa. Pero la relación que existe entre todos es muy profesional por lo que su estructura de relación y comunicación es muy óptima.No existen personal clave en la empresa por lo que no se cuenta con la cantidad suficiente por lo que se requiere nuevas contrataciones.

El proceso para definir procesos, organización y relacione TI, se localiza en el nivel de madurez 2, repetible pero intuitivo por lo que la empresa esta organizada para responder de forma táctica aunque de manera inconsistente a las diferentes necesidades de los clientes y sus relaciones con los diferentes proveedores que tiene la empresa tan nacionales como internacionales.

P05 Administrar la inversión en TI

Según datos obtenidos de la entrevista realizada a gerencia se dice que no existe una administración de inversión para TI por lo que la inversión que ocurre es cada vez que se requiere de una nueva adquisición de algún equipo, asi como también no cuenta con un marco de trabajo que administre todo los costos, beneficios, prioridades dentro del presupuesto para alguna determinada inversión.

Este proceso se localiza en el nivel de madurez 0( cero) debido a que el Gerente no tiene el conocimiento del grado de importancia que tiene llevar un control de la administración para las inversiones en TI y de los procedimientos de monitoreo que le dan seguimiento a la inversiones y gastos que se llevan en la empresa.

P06 Comunicar las aspiraciones y la dirección de la Gerencia

Las aspiraciones ni la dirección de la gerencia se encuentran bien administradas ni difundidas correctamente por lo que se tiene un plan estratégico en mente de la gerencia pero aun este no se encuentre documentando formalmente y no existe un marco de

trabajo de control empresarial para las TI en donde se puedan definir y comunicar las políticas que se seguirán dentro de la empresa lo que convierte a este proceso un poco desorganizado porque las aspiraciones que se tienen dentro de la empresa no son comunicadas a todo el personal y no hacen uso de alguna herramienta que les facilite el logro de sus objetivos de TI para asegurar una concientización y entendimiento de los diferentes riesgos que podría llegar a tener la empresa.

Este proceso se encuentra en un nivel de madurez 1(uno) porque los planes estratégicos que se tiene en mente y los métodos de elaboración y comunicación son informales y no se encuentran documentados y suelen ser inconsistentes debido a que no existen una buena comunicación entre el nivel de gerencia y el resto de personal para así poder desarrollar y llevar a cabo el plan estratégico de manera formal, y tantas las políticas como los procedimientos son muy desordenados debido a que actualmente la empresa no cuenta con un manual de la empresa sino que esta en construcción y es por eso que en cierto casos surge una desorganización en los procedimientos de determinados procesos.

P07 Administrar recursos humanos de TI

De acuerdo a la entrevista y encuestas realizadas en la empresa, véase anexo la administración de los recursos humanos de TI cuenta con procesos establecidos que siguen prácticas establecidas y aprobadas por el reclutamiento, entrenamiento, evaluación del desempeño, la promoción y terminación del trabajo.

Los procesos de reclutamiento del personal están acorde a las políticas y procedimientos del personal de la organización de manera que la gerencia implementa ciertos procesos para garantizar que la empresa cuente con una fuerza de trabajo posicionada de forma apropiada y que el personal cuente con las habilidades necesarias para lograr alcanzar todas las metas organizacionales de la empresa.

En la empresa se realizan capacitaciones al personal cuando se requiere de realizar diferentes procesos en la empresa para que tenga las habilidades de cumplir sus roles en base a su educación, entrenamiento y experiencia.

Al momento de contratación del personal se realiza una orientación y entrenamiento continuo para reservar sus conocimientos, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para llegar alcanzar las metas organizacionales establecidas así como también se incluyen verificaciones de los antecedentes para el proceso de reclutamiento ya que el grado y frecuencia de estas verificaciones dependen de que tan delicada o critica sea la función que se le vaya a otorgar tanto a empleados, contratistas y proveedores.

La Gerencia realiza periódicamente evaluación del desempeño de su personal de manera que los empleados reciben adiestramiento sobre su desempeño y conducta y se evalúa constantemente las capacidades de cada empleado para así incentivarlos a ser más productivos en sus labores y puedan llegar a cumplir las metas organizacionales.

El nivel de madures que se encuentra este proceso es 3(tres) definido por lo que existe un proceso definido y documentado para administrar los recursos humanos de TI, así como también un plan de entrenamiento de personal que está diseñado para la

satisfacción de las necesidades de los recursos humanos de la empresa midiendo las habilidades de cada empleado para expandir las habilidades gerenciales y de negocio que le permitan a la empresa ser productiva, eficiente y eficaz.

P08 Administrar la calidad

Por la entrevista realizada actualmente la empresa no cuenta con un sistema de administración de calidad es decir un QMS que no es más que un software de gestión de calidad desarrollado bajo la norma ISO 9001 para una correcta gestión interna de los procesos desarrollado en la empresa, lo que le permite llevar todos los registros necesarios para el control y trazabilidad de los procesos de manera informática. Así como también no poseen estándares y prácticas de calidad que lo orienten al cumplimiento del QMS.

El nivel de madurez de este proceso es 0(cero) debido a que la empresa carece de un sistema de proceso de planeación de QMS y de estándares que le ayuden a la certificación de la empresa. La alta dirección no tiene el conocimiento necesario del grado de importancia que tiene un programa de administración de la calidad por lo que no se revisa la calidad de los proyectos a realizarse.

P09 Evaluar y administrar los riesgos de TI

Según entrevista realizada al informático de la empresa informa que la empresa tiene un conocimiento básico de los diferentes riesgos que pueden ocurrir tanto en el negocio como el sistema pero que las acciones que se toman en cuenta son correctivas y no preventivas por lo que hasta en el momento que ocurre el riesgo se interesan por corregirlo mientras ellos no posee un documento que los ayude a poder resolver cualquier tipo de riesgos que se le presente en el momento menos oportuno pero se tiene como proyecto la elaboración de un plan de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable.

El nivel de madurez de este proceso es 0(cero) , por lo que la evaluación de riesgos para los procesos y decisiones de negocio no ocurren y no se toman muy en cuenta el impacto del riesgo asociado a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos por lo que aún no cuenta con un plan estratégico de mitigación de riesgos para adquirir soluciones de TI y poder brindar excelentes servicios de TI.

P010 Administrar proyectos

Por la entrevista realizada a Gerencia, la administración de proyectos de TI es un proceso inexistente en la empresa por lo que no cuenta con una metodología definida que garantice la coordinación de los proyectos ya que cada miembro de la empresa administra sus proyectos de forma independiente.

El proceso se localiza en un nivel de madurez 0(cero) porque no se cuentan con técnicas específicas y la empresa no toma en cuenta los impactos que pueden tener estos por no contar con una administración de los proyectos.

Resumen del dominio “PLANEAR Y ORGANIZAR”

El dominio está relacionado con procesos de planeación y organización empresarial con respecto a la madurez de las tecnologías de información que se deben de evaluar y corregir, se mostrara a continuación en una tabla que contiene un resumen de los procesos evaluados.

Dominio: PLANEAR Y ORGANIZAR

ProcesosNivel de madurez actual

nivel de madurez recomendado

PO1 Definir un Plan Estratégico de TI 0 3PO2 Definir la Arquitectura de la Información 3 3PO3 Determinar la Dirección Tecnológica 0 3PO4 Definir los Procesos, Organización y Relaciones de TI 2 3PO5 Administrar la Inversión en TI 0 2PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia 1 3PO7 Administrar Recursos Humanos de TI 3 3PO8 Administrar la Calidad 0 2PO9 Evaluar y Administrar los Riesgos de TI 0 3PO10 Administrar Proyectos 0 2

Como se puede mostrar en este proceso la mayoría tiene un grado de madurez de nivel CERO y esto debe ser motivo de gran atención por parte de la empresa.Según COBIT la empresa en este dominio carece de alguna metodología específica y definida en la que se ignoran ciertos procesos para dar una mejor solución a los diferentes problemas que se le presentan.

Recomendaciones del dominio

1. Una vez realizado un análisis completo de toda la información proporcionada anteriormente, se recomienda que la empresa cuenta con un plan estratégico de SI documentado y certificado para que le permita una mayor productividad al momento de realizar todas sus operaciones y que exista una alineación de TI con la empresa, es decir que se esté en constante capacitación sobre las diferentes tecnologías que van saliendo al mercado para que sus procesos sean más eficiente y eficaz.

Por lo que se recomienda que se establezcan políticas que ayuden a determinar cómo y cuándo realizar planes estratégicos de TI que sigan un enfoque estructurado, el cual sea

documentado y se dé a conocer a todo el equipo para que garantice la factibilidad del desarrollo e implementación de este plan dentro de la empresa. Por lo que las estrategias de recursos humanos, técnicos, y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías.

2. En este procesos no existe una inconformidad con la arquitectura de la información ya que los procesos que utilizan para clasificación de los mismo se considera correcta por lo que se considera que este proceso se efectúa de forma correcta.

3. Se recomienda que exista una planeación de la dirección tecnología, con una plan de infraestructura, que existan monitoreo constantes de tendencias y regulaciones futuras para el buen desarrollo del plan de infraestructura tecnológica de TI, así como también que existan estándares técnicos que le proporcionen soluciones tecnológicas consistentes , efectivas y seguras para toda la empresa por lo que se dice que exista un nivel de madurez de 3 por lo que la gerencia esta consiente de la importancia del plan de infraestructura tecnológica pero que este debe de estar documentado y bien difundido aunque en el momento de ser aplicado sea un poco inconsistente, ya que este incluye el entendimiento en la empresa en donde ser líder y en donde desea rezagarse respecto al uso de tecnologías en base a los riegos y en la alineación estratégica organizacional.

4. La empresa debe de contar con un marco de trabajo de procesos de Ti que esté ligado al plan estratégico en el cual pueda existir un relación entre los diferentes procesos que se realizan así como también ligado a un sistema de administración de calidad y control interno de la empresa que le permita ser más eficiente en sus procesos. Debe de contar con un comité estratégico y directivo en el que defina el ambiente de control y que se amplié un poco el personal para minimizar la duplicidad de funciones de algún determinado funcionario estableciéndose los roles y responsabilidades correspondientes tanto para la organización como para TI. Se tiene que estar en constante revisión de las inversiones y determinar los programas de inversión de TI para así poder monitoreas los niveles de servicios y sus mejoras.

5. Se recomienda que la organización al menos tenga en cuenta el nivel de importancia que tiene la necesidad de poder administrar la inversión en TI aunque esta se comunique de manera inconsistente y que se establezcan procedimientos de monitoreo que le dan seguimiento a la inversiones y gastos que se llevan en la empresa.

6. La gerencia debe de elaborar, comunicar y documentar un ambiente completo de administración de calidad y control de la información de manera que se incluya en el marco para las políticas, procedimientos y estándares que debe tener la empresa ya que estos procesos tienen que estar estructurado y comunicado con el personal .

Tiene que existir una completa comunicación entre los empleados con gerencia de manera que se le informe sobre los diferentes planes que se vaya a implementar dentro

de la empresa para así ir proyectando el resultado que pueda obtener con la implementación del mismo y que se fomenten la conciencia de técnicas de seguridad que estén estandarizadas y formalizadas para que exista la confiabilidad dentro de la organización.

7. En este proceso se realiza dentro del marco de trabajo lo que significa que no existen inconformidad para el desarrollo del mismo ya que el proceso se encuentra documentado y definido para una buena administración de los recursos humanos de TI, en donde existen programas de rotación de personal en que se miden las habilidades tanto gerenciales como de negocio.

8. En la empresa debe existir un QMS para una correcta gestión interna de los procesos desarrollado en la empresa, lo que le permite llevar todos los registros necesarios para el control y trazabilidad de los procesos de manera informática, ya que las actividades del mismo deben de estar enfocadas en iniciativas orientadas a procesos y proyectos y no únicamente procesos de toda la organización.

9. Se recomienda que la empresa debe contar con un plan de mitigación de riesgos el cual este documentando y bien definido en el que se establezcan políticas de administración de riesgos para toda la organización y se defina cundo y como realizar las evaluaciones de riesgos de manera que esto garantiza que los riesgos claves para la empresa sean identificados y deben estar bajo ciertas normas o estándares.

II. Adquirir e Implementar.

En este dominio se explica que para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los Sistemas existentes están cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

AI1. Identificar soluciones automatizadasPor la entrevista informal realizada a la persona encargada del Departamento Administrativo conocemos que la identificación de soluciones automatizadas es un proceso inexistente en la empresa porque no cuentan con El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez 0 (cero) porque la gerencia no lo considera importante y la empresa no cuenta con un procedimiento definido que identifique requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones tecnológicas disponibles que sirvan de apoyo para que la empresa cumpla con sus objetivos.

Según la entrevista realizada al encargado del área de informática, la empresa tiene claro cuáles son los requerimientos que necesitaba para el desarrollo del Software y los objetivos que se deseaban cumplir. En la parte de anexos se muestra un corte de los requerimientos que nos permitieron observar, así mismo mostramos los requerimientos del software y hardware que la empresa requería para que el software funcionara. El software de la empresa fue implantado hace tres años.

Desde entonces la empresa no cuenta con un plan de compras o requerimientos de negocio funcionales y técnicos que cubran con las iniciativas requeridas para lograr los beneficios esperados por la TI. Después del Estudio de Factibilidad realizado por la empresa desarrolladora del software la empresa no se ha preocupado por documentar y elaborar un detallado estudio de Factibilidad para plasmar los requisitos necesarios para cumplir con los objetivos de la empresa, el cual como se mencionaba en la entrevista Anexo es el de desarrollar una página web que controle desde ambiente intranet e internet los procesos de la empresa referido a su sistema de Facturación Venta e Inventario.

Las adquisiciones de los nuevos equipos para la empresa, ya sea para la trasmisión de red, maquinas, impresoras, entre otros se hace de manera empírica, y las realiza el encargado de informática, investigando precios en internet o cotizando con proveedores.

Si una compra se realiza, no se evalúa el riesgo de esa adquisición ni se tiene una estimación al menos el 90% de seguridad que ese equipo estará alineado con los objetivos de la empresa y que se satisfará los requisitos de la empresa. Por lo tanto la empresa no tiene una metodología definida para analizar la compra o el desarrollo de una nueva aplicación que garantice que los requisitos del negocio se cumplan de manera efectiva y eficiente.

El Grado de madurez de este proceso es Inicial porque existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas. Grupos individuales se reúnen para analizar las necesidades de manera informal, los individuos identifican

soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe un análisis estructurado mínimo de la tecnología existente.

AI2 Adquirir y Mantener Software AplicativoEl porcentaje de usuarios satisfechos con el sistema según la encuesta realizada en el anexo es del 90% según las razones especificadas en el anexo. De acuerdo con la entrevista del Gerente por dichas razones y en aras de crecimiento de la empresa es que contemplan la posibilidad de desarrollar una aplicación web que les permita controlar sus procesos en intranet e internet.

La integridad de los datos y la confiabilidad es carente en este proceso porque el encargado de sistemas manipula la base de datos en ciertos momentos (para anular facturas, corregir ciertos errores. etc).El gerente general aprueba estas operaciones. Esto se hace debido a que el software no es capaz de solucionar esas inconformidades dentro de los procedimientos propios del sistema y de los procesos como es anular facturas.

Como se ha abordado anteriormente que no existen requerimientos propiamente definidos para la empresa para la elaboración de la aplicación web, ellos aún no han traducido esos requerimientos en alto nivel para la adquisición eficiente del software para asegurar la eficiencia y satisfacción de los usuarios y los clientes, y por consiguiente las TI estén alineadas con los planes u objetivos de la empresa.

Las adquisiciones de nuevos software o de aplicaciones para la empresa se realizan de manera empírica y en base a la experiencia de los operarios del sistema (encargado de informática). La empresa no cuenta con controles establecidos para asegurarse de que las aplicaciones existentes operan de manera óptima, auditable y completa.

Para el desarrollo de la página web la empresa designó al encargado de informática su elaboración, y según la entrevista realizada a este se afirma que el no lleva el mismo proceso de desarrollo del software actual. No lleva ninguna documentación del mismo, no planteo los requerimientos y menos el desarrollo del sistema actualizado.

Se cuenta con un diseño de seguridad lógico y físico para las aplicaciones y los equipos, parte de este diseño se encuentra en la sección de anexos. Según la encuesta realizada (anexo) se observa que los usuarios del sistema manejan la información básica y que los procedimientos ahí descritos se realizan, sin embargo no todos tienen conciencia de la utilidad en si o de su importancia. También se refleja de que no todos hacen uso constante de la documentación, se dejan guiar más por lo que ya manejan.

No existe un plan de aseguramiento de la calidad del sistema, pero si cuentan con un plan de mantenimiento proporcionado por la empresa desarrolladora del software. Parte de este documento se encuentra en el anexo.

El grado de madurez es de 2, es decir Repetible, porque si existe conciencia de que se debe contar con un proceso de adquisición de aplicaciones, existen procesos de mantenimiento, aunque am menudo no se cumpla con regularidad o de manera eficiente, y este plan es poco flexible o adaptable cuando se pierde el conocimiento interno de la organización. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.

AI3. Adquirir y Mantener Infraestructura Tecnológica.La empresa no cuenta con un plan para adquirir, implementar y mantener la infraestructura tecnológica que satisfice los requerimientos del negocio. Cuenta con plataformas obsoletas de servidores, ya que es Windows Server 2000 y no figura en sus planes cambiar la configuración de su servidor.

La paquetería de programas con el que cuenta es muy desactualizada, según el encargado de informática los programas instalados son:

- Paquetería de office- Adobe- Winrar- Antispam- AVAST- Winap- Nero

En el Estudio de Factibilidad que tiene la empresa existen las recomendaciones de compra de nuevos equipos para el funcionamiento del sistema implantado para ese entonces, sin embargo en ese plan no se consideran nuevos cambios como lo es levantar el software a una plataforma en ambiente web como son los planes de la empresa.

No existe en la empresa un cuarto de máquinas establecido en la empresa, ni se cuenta con un espacio requerido para los servidores y demás equipos de importancia para la operatividad del sistema. Los servidores los switch y demás equipos importantes de la red se encuentran dentro de la oficina de contabilidad a un extremo de la oficina. Esa oficina no cuenta con las normas de seguridad mínima y/o básica que se debe tener y no es conveniente que estén ubicadas en una oficina donde cualquier persona puede entrar o el mismo contador si no es de confianza pueda acceder a la red. Diseño de la red Anexo.

Existe un plan de mantenimiento para lo que es el hardware, este plan esta desactualizado ya que se han adquirido ciertos equipos, que ya no están considerados dentro del plan existente, por lo que no se garantiza el control eficiente de los nuevos equipos. Se establece que el Plan de Mantenimiento esta desfasado porque es el proporcionado por la empresa desarrolladora de su software, desde hace 3 años. Según nuestra encuesta (anexo) no está documentado ni bien definido las responsabilidades al utilizar componentes de la infraestructura y aseguren la integración y disponibilidad de los recursos de la empresa.

No existe una revisión periódica de las necesidades del negocio bien establecidas, el administrador de la empresa lo hace una vez cada tres meses en conjunto con el encargado de informática sobre posibles riesgos que puede incurrir en la empresa sobre el uso y manejo de la infraestructura, las vulnerabilidades y riesgos. Por lo general las revisiones se realizan una vez presentados los problemas y más cuando son recurrentes, como por ejemplo virus en el sistema, conexión lenta al servidor, rebotes de correos, lo que comúnmente se conoce como “se ha caído el sistema”, entre otros.

Hasta el momento no se realizan pruebas de funcionalidad del Sistema y de las aplicaciones, pero según la entrevista (anexo) se planea realizar pruebas para constatar que el sistema cuenta con aplicaciones muy desfasadas para controlar, mantener la disponibilidad y la integridad de la información. Así mimo se desea establecer un plan de pruebas de seguridad, unitarias, de integración y de sistemas.

La evaluación de los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica para los nuevos equipos y/o sus actualizaciones está siendo desarrollada por el encargado de informática, quien no tiene conocimientos científicos, sino empíricos en el campo. Adicionalmente no se está elaborando la documentación adecuada para la adquisición, cotización y evaluación de los nuevos equipos. Se registra y documenta de manera informal (sin metodología aplicada) la evaluación del riesgo y de la inversión para la adquisición de la nueva tecnología, esto por parte del Gerente Financiero.

De lo anterior se puede deducir que la adquisición y mantenimiento de las TI no se basa en una estrategia definida y no considera las necesidades del negocio que se deben de respaldar. Si se tiene la noción de que la infraestructura es importante y se apoya en algunas prácticas formales. Algunos de los planes de mantenimiento se programan pero no en su totalidad y las actividades de mantenimiento reaccionan en la mayoría a necesidades de corto plazo. Por lo tanto el nivel de madurez considerado es de 2, Repetible pero intuitivo, porque no hay consistencia entre enfoques tácticos para adquirir y dar mantenimiento a la infraestructura de las TI.

AI4. Facilitar la operación y el Uso.No existe un plan desarrollado para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos de una nueva introducción o actualización del SFVI o de infraestructura como es el objetivo de la empresa. Por lo que el personal no está lo suficientemente capacitado para tomar responsabilidades en procedimientos administrativos y operativos en nuevas actualizaciones técnologicas.

En la implantación del Software de Facturación Venta Inventario (SFVI) de la empresa, se le trasfirió el conocimiento necesario a la gerencia permitiendo que esta tenga posesión del sistema, los datos, ser el responsable de la calidad y entrega del servicio. El Gerente General de la empresa es quien aprueba los accesos al sistema y los datos, administra los privilegios que se le darán a cada uno de los usuarios, según los módulos del sistema. Estos privilegios fueron declarados según los requerimientos del gerente y el análisis de los desarrolladores del Software. Los privilegios fueron descritos por el encargado de informática y se muestra en la parte de anexos.

Existe una documentación de los planes de respaldo, recuperación ante fallos, seguridad física y archivo de la documentación fuente. La fuente es manipulada y controlada por el encargado de informática, para manipular ciertos datos como se mencionaba en AI. Para la creación de la página web y la integración del sistema en ambiente web, no se lleva una documentación extensa de estos planes o manuales, ni existe una estrategia para la trasferencia de conocimientos a la gerencia.

A los usuarios del SFVI se les proporciono una capacitación de tres meses por parte de la empresa desarrolladora del software. Esta capacitación contenía lo básico para que los usuarios se familiarizaran con el sistema y fuesen capaces de operarlo. No existe ayuda en línea, en la garantía del software (anexo) se establece que se les dará asistencia a usuarios por teléfono y en casos extremos visitando el lugar por un ano luego de desarrollado el software. La empresa pocas veces utilizo esos privilegios, nunca llegaron a la empresa, según la entrevista (anexo).

Se les estableció a los usuarios login y passwords de acceso. Sin embargo en la actualidad los passwords de los usuarios son definidos de manera personal con el fin de evitar accesos no identificados según el encargado de informática. No existe un plan de login y passwords establecido.

Los usuarios y la gerencia están satisfechos en un buen grado con las capacitaciones dadas por la empresa y los materiales de apoyo. Para los nuevos empleados los mismos usuarios del sistema que se desenvuelven mejor los entrenan sin necesidad de volver a leer los manuales de usuario, es decir su conocimiento se pasa de manera empírica, pocas veces respaldado por la documentación existente. (Encuesta, anexo).

No existen manuales de procedimientos, de operación o escenarios de atención ni capacitación por parte de la empresa desarrolladora del software hacia los encargados del soporte técnico. Es decir no se especializo en la capacitación de ellos siendo que serán los que resolverán problemas cuando la garantía no cubra ya las asistencias. De manera que los encargados de soporte técnico no están aptos para mantener la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos.

Por tanto se puede concluir que el nivel de madurez es Repetible pero intuitivo, porque si existe documentación bien planteada como lo son manuales de usuario, de procedimientos, asesoramiento, entre otros. Aunque no es la documentación adecuada para las nuevas actualizaciones. No existe un plan general para ofrecer mantenimiento a los nuevos usuarios del sistema. La calidad de la capacitación a los nuevos usuarios y nuevas tecnologías depende de los individuos que se involucran y la calidad del soporte técnico va desde pobre a muy buena.

AI5. Adquirir Recursos de TINo existe un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la empresa ni una estrategia de adquisición para adquirir infraestructura relacionada con la TI, hardware, software, instalaciones, entre otros necesarios para el negocio.

No tienen asesores legales que les indiquen las responsabilidades y obligaciones legales, financieras, organizacionales, de desempeño, seguridad, entre otros. Tampoco se cuenta con un procedimiento establecido y documentado para elaborar, modificar y concretar contratos con proveedores de confianza para la empresa par las adquisiciones de las TI. El encargado de informática lo que hace es que selecciona una lista de proveedores, y los elige cotizando los precios y según su criterio el nivel de confianza y calidad de los equipos ofertados.

El encargado de informática es que el elabora los contratos con los proveedores, pero más que contratos son simples facturas de órdenes de pedido y de compra. Las adquisiciones de las TI se realizan cada vez que falla un equipo, existe un riesgo latente en las aplicaciones, es decir se aplica cuando existen errores en el momento, no se previenen o se adquieren según las nuevas necesidades del negocio. Y si se adquieren por dichas necesidades no se documentan ni registran las justificaciones de las adquisiciones.

En base a lo anterior puede decirse que no existe una práctica justa, formal y viable para garantizar que se cumpla con los requerimientos adecuados de la empresa. El hacerlo así no garantiza total ni parcialmente que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

Por lo tanto el nivel de madurez de la empresa es inicial, porque se reconoce que se debe de tener políticas y procedimientos documentados que enlacen la adquisición de TI con el proceso general de adquisiciones de la organización. Los contratos para la adquisición de TI son elaborados y administrados por el informático que ejerce su experiencia más que los resultados de procedimientos y normas.

AI.6 Administrar Cambios.No existe en la empresa procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes de cambio de mantenimientos, aplicaciones, procedimientos, procesos entre otros, ya que según el encargado de informática que es el que está elaborando la aplicación web, no está siguiendo ninguna documentación establecida dentro de la empresa, más que su iniciativa y semi experiencia. También trata de alinear todos los requisitos y objetivos de la empresa en el desarrollo de su proyecto pero no los va documentando.

Por el momento el desarrollo de la página web no afecta la funcionalidad u operatividad del SFVI de la empresa ni de las áreas relacionadas. Sin embargo no existen documentos ni estándares o guías que garanticen que todas las solicitudes de cambio no afectaran la funcionalidad del sistema una vez migrado e integrado a la aplicación en ambiente web. El encargado de informática aunque no tiene plenos conocimientos en el área de sistema y de migración de datos, es un hombre auto didacta y en la entrevista que le realizamos informalmente nos aseguró que investigara las técnicas de migración adecuadas para no afectar al sistema antes durante y después del proceso de migración.

Según la entrevista realizada al encargado de informática una vez que se hayan implementado, él se encargara de la actualización de los manuales de usuario y de procedimientos de los cambios del sistema correspondientes.

La persona que autoriza los cambios es el Gerente General quien le ha dado la plena confianza al encargado de informática pero debe de rendirle informes sobre los cambios y los beneficios y riesgos de esos cambios. Según el encargado de informática el elaborara los informes según su juicio y no siguiendo estándares o políticas establecidas, ya que la empresa no cuenta con ellos. Por lo que observamos en la entrevista con el encargado de informática y la entrevista realizada en el anexo, no se ha previsto cualquier cambio en la estructura de la red de la empresa para el nuevo soporte de la aplicación web. Entre los cambios comentados no se mencionó ni de manera

informal de qué manera planifican cambios en la infraestructura o si han realizado un análisis para determinar que la estructura de red y de TI que manejan es la adecuada para las próximas actualizaciones.

Los procesos para definir, plantear, evaluar y autorizar los cambios de emergencia es inexistente dentro de la empresa, no hay documentación ni plan de pruebas. No existe un sistema de seguimiento de cambios al sistema a los usuarios e involucrados. Si se realiza un cambio, se le informa al personal a través de un correo electrónico y si es necesario se le brindan capacitaciones informales, según la entrevista realizada (anexo).

Por tanto podemos decir que la administración de cambios es bien básica, porque no cuentan con un procedimiento correcto de administración formal y controlada, relacionado con la infraestructura y las aplicaciones dentro de la organización. No existe documentación y la que se planea elaborar se presume incompleta y poco confiable. Es posible que existan errores e interrupciones en el ambiente de producción con los nuevos cambios que la empresa quiere implementar, debido a la pobre administración de cambios.

El nivel de madurez que se posee es Inicial (1), porque se reconoce que los cambios se deben de administrar y controlar.

AI.7 Instalar y acreditar Soluciones y Cambios.No existe un plan de entrenamiento e implantación de materiales y aplicaciones asociados definido ni documentado para cualquier proceso de desarrollo, implementación o modificación.

No existe un plan de pruebas basado en los estándares de la organización que define roles y procedimientos. Tampoco existen planes formales establecidos y documentados para la conversión de sistemas y datos y la migración de la infraestructura como parte de los métodos de organización. Esto porque el encargado de sistemas buscara la documentación mas estándar en internet para realizar una adecuada migración y respaldo de datos, según su criterio.

No existen procedimientos establecidos de pruebas de cambios, promoción de la producción, revisiones posteriores, entre otros campos contemplados por COBIT.

El nivel de madurez de los procesos de Instalar y acreditar soluciones y cambios es de cero porque hay una ausencia completa de procesos formales de instalación o acreditación y ni la gerencia o encargados de TI identifican la necesidad de verificar que las soluciones y nuevas soluciones se ajusten al propósito deseado.

Resumen del Dominio Adquirir e Implementar AI.

El dominio esta relacionado con procesos de adquisición e implantación empresarial con respecto a la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados.

Como se muestra en la tabla, en este dominio los procesos se dividen entre un grado de madurez de UNO y DOS, estos deben ser motivo de especial atención por parte de la gerencia y su implantación debe regirse a la prioridad de implementación descrita para procesos primarios y secundarios según sea el caso.

Según COBIT, la empresa en este dominio, en cuanto a los procesos que se localizan en el grado de madurez de nivel UNO, la empresa DIFARMA.SA usa procedimientos aplicados sobre bases individuales o caso por caso, notando así que la empresa carece de administración para este dominio y los incidentes se manejan conforme van surgiendo. En el caso del nivel DOS, la empresa ya tiene noción de la documentación de los procedimientos, aunque sea básica y muchas veces se aplique en el momento y no se monitoree continuamente. En el Nivel CERO, la empresa carece totalmente de una administración de TI para instalar y acreditar soluciones y cambios, por lo que debe de poner mayor énfasis en ese aspecto.

Recomendaciones.

Por lo que se le recomienda que para los procesos de AI1, AI2 y AI4 se pase a un nivel de madurez TRES para que existan enfoques claros y estructurados para determinar las soluciones de TI. Para AI5, AI6 y AI7, se pase a un nivel de DOS, para que exista al menos documentación y procedimientos establecidos –aun de manera informal- y que exista personal que administre las TI para adquirir, administrar e instalar adecuadamente los cambios o actualizaciones en que incurra la empresa.

Por ultimo para el proceso AI3, ya que la empresa no solo tiene noción de la importancia de adquirir y mantener infraestructura tecnológica sino que tiene documentación del mantenimiento del software actual aunque no los practiquen de la manera adecuada. Como la infraestructura tecnológica es vital para la empresa y para la funcionalidad del SFVI con nuevas actualizaciones en el futuro se recomienda llevarla al nivel CUATRO para que el proceso este alineado con los planes de la empresa, sea organizado, flexible, integrado y preventivo.

Es necesario que se amplíe el personal del área de informática ya que cuentan solo con uno, y este no posee los dominios adecuados en el campo tecnológico, porque aun no termina una carrera universitaria, la cual es Diseño Grafico. Esto con el objetivo de que con la información que se maneja del software anterior se pueda aplicar mejor y distribuir la información adecuadamente para que toda la TI este alineada con los planes de la empresa y los cambios en el software puedan implementarse sin ningún problema.

Además con nuevo personal más capacitado se podrá documentar mejor los cambios, se podrá tener acceso a los documentos legales para las adquisiciones y contratos de TI.

Dominio: ADQUIRIR E IMPLANTAR

Procesos

Nivel de madurezNivel de

Madurez ActualNivel de Madurez

Recomendado

AI1 Identificar soluciones automatizadas uno tresAI2 Adquirir y mantener software aplicativo dos tresAI3 Adquirir y mantener infraestructura tecnológica dos cuatroAI4 Facilitar la operación y el uso dos tresAI5 Adquirir recursos de TI uno dosAI6 Administrar cambios uno dosAI7 Instalar y acreditar soluciones y cambios cero dos

III. Entregar y Dar Soporte.

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación el servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

DS1. Definir y Administrar los niveles de Servicio.En el momento del desarrollo del Software si existió un marco de trabajo desarrollado para administrar los niveles de servicio ya que existen procesos creados para el entendimiento común del cliente y los prestadores del servicio. Sin embargo para las nuevas actualizaciones y de manera establecida no existen procesos para que la empresa pueda crear requerimientos de servicio, definiciones de servicio y las fuentes de financiamiento. No existe una administración de servicios para garantizar la entrega de un buen servicio tanto a los usuarios internos (empleados) como externos (clientes).

No existe un portafolio de servicios, pero si se tiene la documentación de las características del servicio y los requerimientos del negocio para el desarrollo del SFVI y así alcanzar los objetivos trazados por la empresa. Parte de estas características se encuentran en el anexo. Para la aplicación en ambiente web el encargado de sistemas no lleva una adecuada documentación ni alineación con los nuevos requerimientos de la empresa ni los nuevos objetivos y beneficios que se pretenden alcanzar implementando la aplicación. (Cabe destacar que la Gerencia en si se ha preocupado lo suficiente para informar y documentar los planes estratégicos y las metas de la empresa, sino que solo se comunica de manera informal).

La empresa no tiene noción de lo que son acuerdos de niveles de servcio y niveles de operación, según la entrevista realizada, anexo. Los niveles de servicio de la empresa se monitorean de manera desorganizada y solo en momentos en que mucho fallan las aplicaciones utilizadas por los usuarios. No se emiten formatos de reportes ni se analizan estadísticas, ya que ha nadie se le ha sido asignada esa función. Por lo que la evaluación al desempeño se hace de manera cualitativa, según el juicio de la persona encargada de los TI y su mantenimiento.

Después de un mes un año de garantía del Software, la empresa no tiene contacto adecuado con la empresa desarrolladora del SFVI para que los niveles de servicio sean efectivos y que se ha tomado en cuenta los cambios en los requerimientos.

Por tanto el proceso es informal, casi inexistente y reactivo. La responsabilidad y rendición de cuentas para la definición y la administración de servicio no esta definida y la documentación son inconsistentes, incompletas y poco confiables. No se hace frecuentemente la documentación requerida, aunque se planea mejorar los rendimientos de sus servicios y el primer paso para ello es definir y monitorearlos según herramientas que midan el desempeño con bases científicas.

El nivel de madurez es por lo tanto, del UNO. Inicial.

DS2 Administrar los Servicios de TercerosDIFARMA SA ha contratado los servicios de la empresa desarrolladora en dos ocasiones, una para el SFVI auditado y otra para un Sistema de contabilidad (anexo). De manera que la empresa tiene identificados todos los servicios de los proveedores y mantiene aunque sea de manera informal documentación de las relaciones técnicas y organizacionales de los roles, resultados esperados y responsabilidades de los proveedores.

No existe un proceso formal para el proceso de gestión de los proveedores, el encargado de informática simplemente visita la página web de ellos, investiga las ofertas y según su juicio y experiencia laboral selecciona el servicio y se pone en contacto con ellos para afinar detalles de costo y calidad.

La empresa no se preocupa por mantener una administración de riesgos relacionada con la habilidad de los proveedores para mantener un buen servicio de entrega. Aunque no exista la administración de riesgos declarada, definida y establecida en la empresa, de manera informal el encargado de informática así como la empresa desarrolladora ha considerado puntos importantes como la documentación de Garantía, viabilidad de la continuidad del proveedor, documentación adecuada por parte de los proveedores entre otros.

No existe un proceso para monitorear a los proveedores en base a la prestación de servicios más que el número de quejas de los usuarios del sistema, (encuesta, anexo) y como solo han trabajado con un proveedor no se lleva un porcentaje claro y definido de los proveedores que cumplen los requerimientos definidos y los niveles de servicio.

El nivel de madurez de este procedimiento es de cero porque las responsabilidades y la rendición de cuentas no están definidas. Los servicios de terceros no son aprobados por la gerencia y los terceros no reportan a falta de una obligación contractual de reportar, la gerencia no se da cuenta de la calidad del servicio prestado más que en el momento que se utiliza el sistema.

DS3 Administrar el Desempeño y la Capacidad

Existe un proceso empírico para la planeación de revisión del desempeño y la capacidad de los recursos de TI para asegurar la capacidad y el desempeño, con costos justificables para procesar las cargas de trabajo justificadas. Este documento lo proporciono la empresa desarrolladora del Software. Lamentablemente la empresa no nos permitió verlo.

Con frecuencia los usuarios del SFVI deben de realizar soluciones alternas para resolver limitaciones alternas de la capacidad y desempeño del SFVI. Por ejemplo cuando se resetea mucho una maquina o se pone lento el servidor por la cantidad de registros cargados y guardados, los mismos usuarios se establecen turnos para cargar datos del servidor y no saturarlo, igual cunado quieren imprimir cotizaciones o contratos al mismo tiempo en la única impresora que tienen disponible por área. Anexo

La revisión de la capacidad y desempeño actual en los recursos de las TI, es inexistente por lo que ellos no tienen un plan de niveles de servicio establecido por lo que no saben cómo administrar y evaluar el desempeño de las TI para saber si se estas prestan los servicios adecuados para el nivel de servicio establecido que deberían de tener.

El encargado de informática no cuenta con el conocimiento suficiente ni tiene documentación establecida por la cual guiarse para elaborar de manera adecuada un pronóstico de desempeño y capacidad de los recursos en el futuro con revisiones regulares. La Gerencia en este sentido se ha preocupado por establecer estas revisiones y mantener la efectividad de las TI, según nos dijo el encargado de informática, puesto que se le ha asignado a él. No se monitorea la capacidad de los recursos más que cuando un equipo o un software están dando muchos problemas, es hasta en ese caso que se le presta atención.

Por tanto puede decirse que la administración del desempeño y la capacidad de los recursos de TI son casi inexistentes porque no tienen un proceso continuo que evalué la capacidad de las TI, solo en el momento en que se produce un error. El nivel de madurez es de UNO porque los usuarios administran de manera empírica la capacidad de sus TI, la gerencia ve poco la necesidad de llevar a cabo una planeación de la capacidad y el desempeño de sus recursos, y el que se realiza en la actualidad es informal, limitado y algo desfasado porque no contempla las nuevas adquisiciones de TI.

DS4 Garantizar la Continuidad del ServicioAsegurar el mínimo impacto de una interrupción del SFVI.

Existen planes de contingencia definidos y elaborados para que los usuarios puedan reaccionar ante interrupciones inesperadas del sistema. Sin embargo según el diseño de la red presentada en el anexo no existe un servidor de respaldo actualmente en uso, sino que los respaldos se realizan en CDs al final de cada jornada laboral. Como existen dos servidores en caso de que uno falle, el otro puede tomar el control y mantener el sistema activo por mucho tiempo.

La empresa no cuenta con tecnología para lo que son baterías UPS, así como se debería de tener según sus planes de seguridad establecidos. Hasta el momento no se lleva un control del número de horas perdidas de trabajo de los usuarios por una interrupción del sistema.

En la actualidad aparte de los planes de contingencia para la recuperación de datos y servicios y reducir los impactos ocasionados por interrupciones inesperadas, no existen desarrollados de manera formal planes de continuidad de TI en base a un marco de trabajo definido.

La empresa aún no se ha tomado la molestia de establecer cuáles son sus puntos críticos, de manera establecida y documentada y analizada la razón por la cual estos serían los puntos críticos que deben de priorizarse en una interrupción clave. Todo esto se sobre entiende de manera general como lo son salvaguardar la información, los registros las transacciones, que los equipos no se deterioren por los bajones de luz o que los servidores no se saturen por la cantidad de información importada y exportada en el mismo momento, sin tomar en cuenta el peso de la información que se está cargando.

Como los planes de contingencia no contemplan nuevas adquisiciones en las TI después de la implantación del SFVI, es limitado y algo desactualizado. El resto de procesos son empíricos y correctivos no preventivos por lo que la empresa no realiza un mantenimiento de los planes de continuidad, ni pruebas que aseguren que ese plan es el adecuado para los requerimientos de la empresa y sus objetivos.

Los planes De contingencia que tiene la empresa están disponibles para cualquiera de los usuarios, ya sean nuevos o antiguos del sistema, pero no existe un plan de entrenamiento formal adecuado para que ellos estén entrenados ante cualquier eventualidad. Como se decía anteriormente las capacitaciones a los empleados se hacen de manera verbal y practica por un usuario con mayor experiencia en el campo a tratar, no existe un canal de distribución formal, administrada y establecida para que los planes de contingencia estén disponibles para las partes involucradas.

Existe almacenamiento de respaldos fuera de la empresa, el gerente es el único que tiene el permiso de exportar datos de la base de datos y registros del servidor según la entrevista realizada. El los salvaguarda en un dispositivo aparte que esta fuera de la empresa y al cual solo y únicamente él puede tener acceso con un login y un passwords definido. Esto se hace de manera informal y no existe un cronograma que le indique al gerente cada cuanto debe de revisar ese dispositivo externo y evaluar su seguridad. No es de conocimiento del gerente si ese dispositivo es compatible con el hardware y software actual para poder recuperar archivos.

Por tanto se puede decir que las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. La gerencia comienza a darse cuenta de la importancia de los planes de contingencia bien implementados y los riesgos que podría traer a la empresa. El proceso de continuidad de la empresa radica en la infraestructura y no en las TI como un conjunto.

Los usuarios utilizan soluciones alternas para la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación. Las pérdidas

de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio. El nivel de madurez es Inicial, de UNO.

DS5 Garantizar la Seguridad de los SistemasExisten planes de seguridad establecidos y alineados con los requerimientos de la empresa al momento de implantar el SFVI. Estos planes aseguran de manera básica que los usuarios sean identificados así como monitoreados en sus actividades y que en el sistema se refleje que usuario ingreso a que modulo e intento realizar que transacción a una hora especifica.

Se tiene documentación de los permisos otorgados a los usuarios, pero no de los cambios de los passwords que estos puedan tener, porque según la entrevista los login pueden asignarse o cambiarse según aspectos personales de cada usuario, es decir las contraseñas son personales. Sin embargo aunque las contraseñas sean personales existe un repositorio dentro de la base de datos del sistema que guarda los login y permite la autorización de las contraseñas y notifica cualquier tipo de cambio inesperado. Parte del plan de seguridad del SFVI se muestra en Anexo.

El encargado de informática es aquel que coordina los planes de seguridad con los demás usuarios del SFVI y es el que le rinde cuentas al gerente general. Estos informes son básicos no siguen un orden establecido, son incompletos muchas veces y limitados.

El responsable establecido por la empresa para la delegación de los permisos, login, passwords y accesos a módulos, información, exportación de archivos y acciones dentro del sistema es el Gerente. Pero el que opera esos privilegios, es decir el que los establece dentro del sistema una vez otorgado por el Gerente es el encargado de informática.

No existe en la empresa como se decía en AI3 un cuarto de máquinas establecidas en la empresa, ni se cuenta con un espacio requerido para los servidores y demás equipos de importancia para la operatividad del sistema.

Existen técnicas de seguridad de la red y el servidor de la web contiene un antivirus que se distribuye por las maquinas en red con ese servidor para que la licencia del Avast que tienen sea compartida por las máquinas y así se maximice en cierta medida la seguridad del servidor y la información.

Para la protección de software malicioso tienen un anti- spam y un antivirus Avast licenciado para la seguridad de sus equipos. No existe un diseño de plan de seguridad de las redes en el sistema.

El nivel de madurez del proceso es de DOS, Repetible pero intuitivo porque la conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Las políticas de seguridad están desarrolladas pero las herramientas y las habilidades no son las adecuadas. L habilitación de seguridad de las TI dependen inicialmente de las habilidades del individuo encargado (informático). La empresa aun no ve la seguridad de las TI como parte vital de la misma empresa.

DS6 Identificar y Asignar CostosPor la entrevista informal realizada al encargado de informática conocemos que la identificación y asignación de costos es un proceso inexistente en la empresa porque no cuentan con un proceso de construcción y operación de un sistema justo y equitativo para distribuir y reportar los costos de TI a los usuarios de los servicios en la empresa.

No existe un modelo de costos actuales analizados y reportados, más que los reportados en el Estudio de Viabilidad que la empresa tiene, sin embargo recordemos que a lo largo de ese tiempo se han producido cambios y adquisiciones de TI, y que ese estudio de viabilidad económico se elaboró hace tres años, por lo que se puede decir que está desfasado. Como no existe un modelo de costos, no existe contabilización de los TI, ni determinación de los cargos ni un mantenimiento.

El proceso de identificación y asignación de costos se localiza en el nivel de madurez 0 (cero) porque la gerencia no reconoce que hay un problema que debe atender respecto a la contabilización de costos y que no hay comunicación respecto a este asunto. No existe un entendimiento general de los costos globales.

DS7 Educar y Entrenar a los UsuariosNo existe en la empresa un plan detallado y establecido por la empresa para entrenar y educar a los usuarios. Todo eso se hace de manera verbal y personal por usuarios de mayor experiencia. La empresa a los nuevos usuarios al momento de ser contratados les asigna como primera tarea leerse la misión, visión y valores éticos de la empresa, con el fin de que se vayan familiarizando con ellos y traten de adoptarlos. Para estas imparticiones y capacitaciones existen aulas específicas. Cabe destacar que estas capacitaciones se realizan de manera general para la introducción general de la empresa, no específicamente para cada cargo ni para la manipulación de los sistemas o recursos de TI.

No hay una impartición de entrenamiento ni educación establecida, ni maestros o personas encargadas para ello. Por lo tanto tampoco hay una evaluación del entrenamiento recibido.

Se puede concluir que la educación y el entrenamiento a los usuarios es un proceso inicial y desorganizado en la empresa porque no cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educación efectiva de los usuarios que usan los sistemas de TI.

Hay evidencia de que la organización ha reconocido la necesidad de educar y entrenar a los usuarios, pero no existen procedimientos estandarizados. A falta de un proceso organizado, los empleados son los mismos que se capacitan cuando tienen algún problema, buscan en internet o son asesorados por otros empleados que tienen más experiencia en ese campo. El enfoque global de la gerencia carece de cohesión y sólo hay comunicación esporádica e inconsistente. El nivel de Madurez es Inicial, UNO.

DS8 Administrar la mesa de servicio y los incidentes.La empresa cuenta con un servicio de llamadas al personal técnico de la empresa el cual es el encargado de asesorar y solucionar ciertos problemas de software y hardware de la empresa, según sus limitaciones, recordemos que el dominio AI se definía que los

técnicos no obtuvieron capacitación especial para monitorear y solucionar problemas en el sistema distinta a los de los mismos usuarios.

Durante el periodo de garantía de la empresa desarrolladora del SFVI se daba una asesoría a los usuarios a través de teléfono y en caso de ser necesario se visitaba la empresa. Sin embargo una vez concluida la garantía, los asesores técnicos revisan por su cuenta.

Este proceso de mesa de servicio no está establecido ni documentado ni normado, se hace de forma desorganizada y es poco administrado. No existe un proceso de registro de las consultas de los clientes, número de llamadas, solicitudes de servicio, entre otros. Si se registra la información porque se lleva un control de los usuarios y su desempeño pero todo esto se registra manualmente y se archiva, no se realizan informes finales, solo ciertas observaciones si los técnicos lo consideran necesario. Esta información fue proporcionada por el encargado de informática.

No existe un proceso de escalamiento de los incidentes, de manera que cuando un problema no puede resolverse de manera inmediata, se le pide esperar al usuario hasta que el asesor técnico se documente en internet y averigüe la causa u origen del problema. No existe monitoreo de los incidentes, los pendientes, los cerrados, entre otros. El análisis de las tendencias se conoce de manera empírica y según la experiencia del asesor, no se documenta.

El nivel de madurez es Inicial, UNO.

DS9 Administrar la configuraciónPor la entrevista informal realizada al encargado de conocemos que la empresa no cuenta con una administración de la configuración y tampoco tienen un documento completo y preciso que guié las configuraciones de hardware y software que se realicen en la empresa, tampoco cuentan con un proceso que incluya la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del documento de configuración conforme se necesite.

El proceso para administrar de la configuración se localiza en el nivel de madurez 0 (cero) porque la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.

DS10 Administrar los problemasLa empresa no cuenta con un plan definido de administración de problemas, se tiene conciencia de que se necesita uno, pero hasta el momento el gerente no ha asignado las funciones ni los encargados de esta administración, porque no tiene el conocimiento necesario para poder delegar dichas orientaciones y lograr sus objetivos.

No se analizan causas, la raíz, no cuentan con herramientas como los arboles de problemas que le ayuden a identificar, clasificar y resolver los problemas que la empresa tiene, o bien un análisis según un diagrama de Ishikawa. Por lo mismo de que solo tienen una noción básica o regular de las causas de sus problemas solo de los efectos ya percibidos, la gerencia toma medidas o recomendaciones basadas en

situaciones superficiales o en su criterio y experiencia sin haber analizado de manera correcta y concreta los problemas anteriormente. Por lo que existe la posibilidad de la pérdida de tiempo productivo mientras se buscan respuestas.

El proceso para administrar los problemas se localiza en el nivel de madurez UNO, Inicial.

DS11 Administrar los datosLa empresa cuenta con un plan, análisis, y diseño de recuperación de datos ante fallos. Aunque es algo básico se tiene la noción de administrar estos procesos para que se vayan actualizando según nuevas adquisiciones o actualizaciones en el sistema.

La administración de los datos es un proceso inicial y desorganizado en la empresa porque no cuentan con un procedimiento definido que contemple metodologías efectivas para administrar los respaldos, la recuperación de datos y la eliminación apropiada de medios de almacenamiento.

Los planes que la empresa tiene se pueden visualizar en Anexo.

El proceso para administrar los datos se localiza en el nivel de madurez UNO, Inicial (uno) porque los datos no se reconocen como parte de los recursos ni como activos de la empresa, además en la organización no se asigna la responsabilidad sobre los datos o sobre la rendición de cuentas, y la calidad y la seguridad de la información es básica.

DS12 Administrar el ambiente físicoNo hay un plan detallado para la protección de activos físicos de la empresa y como se mencionó en AI3 no existe un acondicionamiento adecuado de los servidores y los dispositivos más importantes de las TI para protegerlos y mantenerlos contra acceso daño y robo.

No se cuenta con un cuarto de máquinas y accesos bien definidos por la gerencia para los usuarios no autorizados. No existen cámaras de seguridad dentro de la empresa ni un monitoreo de las personas que entran o salen de la oficina de contabilidad, que es donde están los servidores. Cuando se le pregunto al encargado de informática que porque no estaban los servidores en su oficina (que no está adecuada tampoco) no supo que contestar, no sabe la razón de porque están ubicados ahí. Sin embargo nos confió que se pretende que con la nueva aplicación web se trasladen los servidores y demás dispositivos a una oficina mayor, donde estará él y el acceso será controlado y restringido para personal no autorizado.

Existe un plan de seguridad contra factores ambientales (Anexo) pero en general no existen medidas que lo apliquen para que se monitoree y controle el ambiente. La empresa carece de una administración de instalaciones físicas ni sigue leyes, reglamentos o requerimientos técnicos adecuados.

De lo anterior puede decirse que la empresa reconoce la necesidad de un cuarto de máquinas o una oficina con instalaciones físicas adecuadas para salvaguardar los activos físicos y lógicos de la empresa. El personal se puede mover dentro de las instalaciones

sin ningún tipo de restricción controlado y definido. El mantenimiento de las instalaciones no está bien documentado y su buen estado depende de las personas en el área de contabilidad. Por lo tanto el nivel de madurez es Inicial, UNO.

DS13 Administrar las operacionesExiste un plan de mantenimiento preventivo de la empresa pero no es bien practicado y esta desfasado y limitado según el encargado de informática. No se nos permitió ver dicho plan. Como se expuso en AI, los mantenimientos que se realizan en la empresa son desorganizados y solo se cumplen para maneras correctivas, es decir son a corto plazo y en el momento en que ocurre una acción.

No existe un monitoreo de la infraestructura de TI, documentos sensitivos y dispositivos de salida. Todas las máquinas de las áreas involucradas del SFVI, tienen habilitados los puertos USB.

El nivel de madurez es Inicial, UNO.

Resumen del dominio Entrega de Servicios.

El dominio está relacionado con procesos de entrega y soporte empresarial con respecto a la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados.

Como se muestra en la tabla, en este dominio la mayoría de procesos tienen un grado de madurez de nivel UNO, estos deberán ser motivo de especial atención por parte de la empresa y su implantación debe regirse a la prioridad de implementación descrita para procesos primarios y secundarios según sea el caso.

Según COBIT este nivel establece que la organización tiene un plan básico de procesos específicos para los procesos de SFVI de la empresa y reconoce la importancia carece de implantar estos procesos para así solucionar sus problemas, los incidentes se manejan conforme van surgiendo, , la empresa no tiene la comunicación o supervisión necesaria sobre ellos, en su lugar usan procedimientos aplicados sobre bases individuales o caso por caso, notando así que la administración es desorganizada y sólo existe comunicación eventual e inconsistente sobre los problemas. En cuanto a los procesos que se localizan en el grado de madurez de nivel DOS que son intuitivos ya existen planes, más definidos y hay procesos que aunque no se monitorean ni se administran adecuadamente existe cierta documentación que sirve de base para la especificación de los procesos.

Recomendaciones.

1. Definir y administrar los niveles de servicio.

Un acuerdo de nivel de servicio es un convenio interno en la empresa para llegar a un arreglo entre el gobierno de TI y el personal que usa los recursos de TI, y se establece para sustentar las necesidades del negocio. Tras su firma el gobierno de TI debe

considerar al acuerdo como un documento de referencia para ofrecer al personal de la empresa los servicios acordados, por eso es imprescindible que defina claramente los aspectos esenciales del servicio tales como su descripción, disponibilidad, etc. La empresa debe buscar un experto del gobierno de TI para que defina y administre los niveles de servicio con acuerdos de niveles de servicio que sean firmados entre el encargado del gobierno de TI y el personal que usa los recursos de TI en la empresa, el experto también debe medir el cumplimiento de dichos acuerdos para verificar que se alcancen los objetivos empresariales y comunicar de manera formal, frecuente y concisa el desempeño del proceso a la gerencia de la empresa. Es importante definir y administrar los niveles de servicio porque permite a los servicios de TI alinearse con los requerimientos del negocio.

Una vez que se está claro de esto se puede pasar al nivel de madurez recomendado que es el TRES, en el que la empresa ya tiene bien definidas las responsabilidades y los niveles de servicio requeridos por la empresa para que de alguna manera se pueda garantizar su efectividad respondan en cierta medida a las necesidades del negocio.

2. Administrar los servicios de terceros que los proveedores brindan a DIFARMA SA

La empresa actualmente no cuenta con un procedimiento definido para este proceso, además no tienen condiciones estándar para convenios con prestadores de servicios y todo se realiza de manera informal y desorganizada.

Es importante que la empresa cuente por lo menos con un plan de administración del desempeño y la capacidad porque la gerencia tendrá la seguridad de que los recursos de información que soportan los requerimientos del negocio estarán disponibles de manera contínua. Si no se tiene un plan de administración del desempeño y la capacidad la empresa no podrá tomar las medidas necesarias cuando el desempeño y la capacidad no están en el nivel requerido, medidas tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos.

Esto es para que la gerencia este consientas del impacto de no administrar la capacidad y el desempeño de las TI dentro del negocio y se establezcan ciertas consideraciones de las cargas de registros en los servidores en las horas pico.

3. Establecer un cuarto de máquinas adecuado con las instalaciones físicas y los niveles de acceso y permisos establecidos para proteger y mantener las TI contra danos y robos.

Establecer la seguridad para el equipamiento. El equipamiento debe estar físicamente protegido de las amenazas a la seguridad y los peligros del entorno, es necesaria la protección del equipamiento para reducir el riesgo de acceso no autorizado a los datos y para prevenir pérdidas o daños.

4. Documentar y establecer procesos más organizados para los planes de contingencia de la empresa y asegurar la efectividad de los recursos, y que el tiempo de trabajo de los usuarios se maximice y no se vea interrumpido inesperadamente.

5. Actualizar los documentos de planes de mantenimiento, respaldo, diseño de seguridad, planes de contingencia entre otros con la nuevas actualizaciones de las TI que la empresa realice y cambios en el Sistema para que los usuarios esten bien documentados de todos los cambios y se lleve un mejor control.

6. Implantar planes de capacitación y de entrenamiento a los usuarios para que ellos puedan resolver los problemas que se le presenten de manera rápida y correctamente.

7. Asignar y delegar funciones para que se lleve un catálogo de los costos de los TI para que la empresa cuente con el proceso de identificación y asignación de costos porque un sistema equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI.

Si en la empresa no realiza la asignación de costos para TI no podrán contar con un plan que identifique prioridades en cuanto a la adquisición, el mantenimiento y los gastos operacionales de servicios de TI.

8. Implantar cámaras de seguridad en el cuarto de máquinas para un mayor monitoreo de la seguridad, porque éste asegura que la tecnología usada por el personal de la organización sea utilizada eficientemente, además el programa asegura que se disminuirán los errores al momento de usar los servicios de la empresa para que la productividad y el cumplimiento de los servicios de TI aumenten.

9. Capacitar mejor a los de servicio técnico para que den una mayor servicio a los usuarios cuando los necesiten, porque los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además la mesa de servicio ayuda a dar un mejor seguimiento a los incidentes que el personal experimenta porque el usuario tiene indicaciones claras de donde y como debe reportar su problema.

10. Mejorar los canales de distribución de la empresa, a través de un servidor de correos, circulares o bibliotecas virtuales en donde los usuarios estén al tanto de toda la documentación de la empresa y de los planes y estrategias, actualizaciones, unciones, cambios y procedimientos que necesiten para operar adecuadamente.

11. Controlar la configuración de TI en DIFARMA SA. Buscar un experto que se encargue de detallar un plan para controlar la configuración de TI que contenga los elementos de configuración para hardware, software aplicativo, documentación, procedimientos y herramientas para operar, acceder y utilizar los sistemas y los servicios de la empresa.

12. Administrar los datos de la empresa. La empresa debe buscar un experto para que se encargue de definir un procedimiento para la administración de los datos

de la organización, el experto debe contemplar los siguientes puntos para el manejo de la información:

• Almacenamiento. El experto debe desarrollar un plan de almacenamiento para la información de la organización. Con respecto a la información que maneja el sistema interno de la empresa, el experto debe utilizar un servidor de base de datos empresarial para almacenar la información y de esta manera asegurar la integridad, autenticidad y confidencialidad de los datos almacenados, además el experto debe diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores durante el ingreso de los datos al sistema.

• Seguridad de la información. El experto debe desarrollar un plan para dar seguridad a la información de la organización. Con respecto a la información de la base de datos, el experto en el plan de seguridad debe considerar la administración de perfiles y claves de acceso para el sistema y así garantizar que la información no sea alterada. Con respecto a la información de cada departamento, el experto en el plan de seguridad debe detallar procedimientos para administrar la información y así garantizar a la gerencia que los datos serán utilizados bajo estrictas normas de confidencialidad, disponibilidad y confiabilidad.

• Respaldos. Con respecto a los respaldos de la base de datos el experto debe desarrollar una metodología que describa qué información se va a respaldar, cómo se lo va a hacer y en qué momento se sacaran los respaldos y usando esta metodología el experto debe encargarse de obtener los respaldos, después de obtenidos el experto debe realizar las pruebas de validez que verifiquen que el respaldo obtenido servirá en el futuro para solucionar fallas en el sistema. Con respecto a respaldar datos de cada departamento, el experto debe desarrollar una metodología para que el personal conozca el proceso que debe seguir para obtener una respaldo que sea útil para su departamento ya que cada miembro deberá sacar y almacenar sus propios respaldos, pero en este caso las pruebas de validez se realizarán por parte del experto.

• Seguridad de los respaldos. El experto debe solicitar a la gerencia un espacio físico externo a la organización que sea seguro para almacenar los respaldos de la base de datos y del resto de departamentos de la organización para así garantizar a la gerencia que la información estará segura y disponible para cuando se la necesite.

Dominio: Entrega de Servicio

Procesos

Nivel de madurezNivel de Madurez

ActualNivel de Madurez

RecomendadoDS1 Definir y administrar los niveles de servicio uno tresDS2 Administrar los servicios de terceros cero dosDS3 Administrar el desempeño y la capacidad uno tresDS4 Garantizar la continuidad del servicio uno dosDS5 Garantizar la seguridad de los sistemas dos tresDS6 Identificar y asignar costos cero dosDS7 Educar y entrenar a los usuarios uno dosDS8 Administrar la mesa de servicio y los incidentes uno dosDS9 Administrar la configuración cero dosDS10 Administrar los problemas uno tresDS11 Administrar los datos uno tresDS12 Administrar el ambiente físico uno tresDS13 Administrar las operaciones uno tres

IV. MONITOREAR Y EVALUAR

Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo por su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve así la supervisión del proceso de control de la administración y el aseguramiento independiente suministrada por la auditoría interna y externa u obtenida por fuentes alternativas

ME1 Monitorear y Evaluar el Desempeño de TI

Actualmente la empresa según Gerencia cuenta con un sistema de monitoreo muy básico ya es el proceso de recoger la información rutinariamente sobre todos los aspectos de una campaña de defensa y promoción y usarla en la administración y toma de decisiones por lo que no se encuentra documentado y no está dentro del marco de trabajo de monitoreo en donde se definan el alcance, la metodología y el proceso a seguir para medir la solución y entrega de servicios de TI , la definición y recolección de los datos para efectuar el monitoreo correspondiente, estableciendo el tipo de método a utilizar para sí evaluar el desempeño y finalmente dar reportes al consejo directivo y a ejecutivos.

El nivel de madurez de este proceso es 1 por lo que la gerencia reconoce la necesidad de recolectar y evaluar información sobre los procesos de monitoreo de la empresa que le permitan llevar un mayor control sobre los mismos. Y el departamento de contabilidad monitorea las mediciones financieras básicas para TI.

ME2 Monitorear y Evaluar el Control Interno

En la empresa se pretende lograr cumplir los objetivos de TI y se cumple con las leyes y reglamentos relacionados con TI para un mayor control interno, pero este se lleva a nivel básico ya que no se rigen por procedimientos establecidos en un marco de trabajo de monitoreo que le ayuden al cumplimento del mismo para así poder realizar un buen reporte de la efectividad de los controles internos sobre TI.

No existen monitoreo y evaluación de la eficiencia y efectividad de los controles internos de revisión por parte de la gerencia y el reporte de las excepciones de control, resultados de las autoevaluaciones sin revisiones por parte de terceras personas.

El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez 0(Cero) porque la organización carece de procedimientos que le permitían monitorear la efectividad de los controles internos así como su confidencialidad, integridad y el buen cumplimiento de los mismos, así como también no existen métodos de reporte de control interno gerenciales por lo que también tanto gerencia como el personal no tienen el conocimiento adecuado de la seguridad operativa.

ME3 Garantizar el Cumplimiento Regulatorio

Según en la entrevista realizada a Gerencia en la empresa existe un nivel de supervisión básico del cumplimiento de las leyes, regulaciones y requerimiento contractuales que se incluyen dentro de ciertas políticas o procedimientos de TI para la organización. No cuentan con un procedimiento que garantice el cumplimiento de las leyes y regulaciones e incluya la definición de un estatuto de auditoria, independencia de los auditores, estándares profesionales entre otros.

El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez 0 debido a que en la empresa a nivel gerencial no se tiene conciencia y un conocimiento de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos legales.

ME4 Proporcionar Gobierno de TI

Por la visitas que se hicieron en la empresa no proporcionan un gobierno de Ti porque nos e cuenta con procedimientos efectivos que incluyan la definición de estructuras, procesos. Liderazgos, roles y responsabilidades organizacionales para el área de TI.

El nivel de este proceso de madurez es 1 debido a que en la empresa si se conoce el tema del gobierno de TI y que este deber ser resuelto. Debido a que la gerencia únicamente responde de forma reactiva a los incidentes que hayan causado pérdidas o vergüenza a la organización.

Resumen del dominio “MONITOREAR Y EVALUAR”

Este dominio esta relacionado con procesos de monitoreo y evaluación empresarial con respecto a la madurez de las tecnologías de información que se deben evaluar y corregir. A continuación se muestra una tabla en que se expresa los procesos tratados en este dominio y sus niveles de madurez correspondiente de cada uno.

Dominio: MONITOREAR Y EVALUAR

ProcesosNivel de madurez actual

nivel de madurez recomendado

ME1 Monitorear y Evaluar el Desempeño de TI 1 2ME2 Monitorear y Evaluar el Control Interno 0 2ME3 Garantizar el Cumplimiento Regulatorio 0 1ME4 Proporcionar Gobierno de TI 1 2

En este dominio los procesos tienen una igualdad en el nivel de grado de madurez en los 4 procesos que existen como son de nivel 1 y 0 por lo que la empresa debe concentrase un poco en este dominio y revisar detalladamente y evaluar los diferentes procesos que se llevan a cabo para darle solución a los diferentes problemas que se presenten.

Recomendaciones

1. Se recomienda que en este primer proceso de identifiquen mediciones básicas a ser monitoreadas y que los métodos y técnicas de recolección y evaluación existan pero que los procesos no se adapten a toda la organización. Ya que resultado del monitoreo que se va a realizar se basa en la experiencia de los individuos claves dentro de la empresa para así ver si efectividad.

2. La organización debe utilizar reportes informales al menos para el comienzo de sus iniciativas de acción correctiva , y la evaluación del control interno depende de las habilidades de los empleados claves que tenga la empresa para así hacer que exista una mayor productividad y eficiencia en los diferentes procesos establecidos anteriormente. La empresa al menos debe de tener un conocimiento básico del monitoreo de los controles internos y que se realicen de manera periódica.

3. Debido a que dentro de la organización no tienen conciencia del requerimiento externos que afecta TI debe de existir al menos un conocimiento básico del mismo de manera que se surjan cumplimientos regulatorio, contractual y legal los cuales tengan impacto para la organización y al menos se deben seguir una serie de procedimientos informales para los procesos para así mantener el cumplimiento.

4. Se recomienda que la empresa debe de contar con gobiernos de TI que le permitan el establecimiento de un marco de trabajo de gobierno efectivo en donde se incluya tantos estructuras, procesos, liderazgos, roles y responsabilidades organizacionales para garantizar que las inversiones empresariales en TI estén alineadas y de acuerdos a los planes estratégicos que se tienen que establecer en la empresa y acorde a los objetivos empresariales para que así exista una efectividad, eficiencia, confidencialidad, integradas y cumplimiento de los procesos.

Conclusiones

La herramienta COBIT nos permitió definir el nivel de madurez de los procesos de gestión de TI. Evaluamos el nivel de madurez actual y el nivel de madurez recomendado de los procesos en DIFARMA SA para emitir recomendaciones que deberán ser tomadas en cuenta por el nivel gerencial según se especifique a lo largo del proceso.

No existen responsables que se encarguen de los procesos de gestión de TI en DIFARMA SA. Como la empresa no cuenta con personal calificado que se encargue de los procesos de gestión de TI, parte del personal realiza algunas funciones de TI por esta razón los procesos de gestión de TI son iniciales y desorganizados.

El nivel gerencial de DIFARMA SA decidió clasificar a los procesos de gestión de TI. Analizamos los procesos de gestión de TI de la empresa para determinar su nivel de madurez. El análisis consiste en determinar el grado de madurez actual de los procesos de gestión.

A continuación presentamos un resumen del análisis realizado a lo largo del proyecto de titulación.

1. DOMINIO Planear y Organizar

El dominio está conformado por 10 procesos en total que conforman el 100%, de los cuales

6 están en el nivel de madurez cero. 1 en el nivel de madurez 1 1 en el nivel de madurez 2 2 en el nivel de madurez tres.

Por lo que la empresa en este dominio está representada por el nivel de madurez cero, lo que significa que la empresa no cuenta ni ha mostrado interés en una metodología y documentación establecida para definir su marco de trabajo en función de las TI y la alineación estratégica de estas con sus objetivos.

2. DOMINIO Adquirir e Implementar

El dominio está conformado por 7 procesos en total que conforman el 100%, de los cuales:

1 en el nivel de madurez cero. 3 en el nivel de madurez 1 3 en el nivel de madurez 2

Por lo que la empresa en este dominio está representada por el nivel de madurez dos y tres, lo que significa que la empresa tiene establecidos documentos sobre las TI que le

permiten trabajar aun de forma desorganizada con procesos informales para adquirir, mantener y comprar nuevas TI y tratar de manera limitada y poco confiable de alinearlas con sus planes.

3. DOMINIO Entregar y Dar soporte

El dominio está conformado por 13 procesos en total que conforman el 100% de los cuales:

3 en el nivel de madurez cero. 9 en el nivel de madurez 1 1 en el nivel de madurez 2

Por lo que la empresa en este dominio está representada por el nivel de madurez uno, lo que significa que la empresa ha mostrado interés en una metodología y documentación establecida para definir su marco de servicio, tratando de establecer procesos algo regulares para capacitar al personal, dar soporte y servicio a las TI, entre otras tareas.

4. DOMINIO Monitorear y Evaluar

El dominio está conformado por 4 procesos en total que conforman el 100% de los cuales:

2 en el nivel de madurez cero. 2en el nivel de madurez 1

Por lo que la empresa en este dominio está representada por el nivel de madurez uno y cero, lo que significa que la empresa ha mostrado interés en una metodología y documentación establecida para definir monitoreo pero funciona de una manera totalmente desorganizada y sin un rumbo muy definido.

Nivel de madurez de la empresa.

Por las conclusiones y recomendaciones dadas en cada uno de los dominios dela metodología COBIT podemos decir que la empresa DIFARMA SA está actualmente en un nivel de madurez inicial.

Y el nivel de madurez recomendado para la empresa es de tres, es decir repetible e intuitivo. Esto porque se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo.

Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

Leyenda de los símbolos.

ANEXOS

\

CARACTERIZACION DE LA EMPRESA

1. INFORMACION BASICA DE LA EMPRESA

Nombre de la empresa: DIFARMA SA.

Gerente: Edgar Porras Mendez

Dirección: Km 13 ½ carreterra vieja león. Ciudad Sandino, Managua

Sitio web: no cuenta con uno actualmente, por lo que esta en proceso de construcción.

2. DESCRIPCIÓN HISTORICA

DIFARMA.SA importa y Comercializa Productos médicos en el ámbito nacional. Son distribuidores nacionales. DIFARMA.SA solamente distribuye sus productos a instituciones privadas tales como: La Policía Nacional, Ejército de Nicaragua, MINSA y Hospitales Privados. Dentro de sus proyectos a futuro pretenden ampliar su mercado de clientes, como lo son farmacias y clínicas.

Esta empresa tiene una fecha de inicio operaciones el mes de abril del año 2009, fue constituida para importar y comercializar productos médicos en el ámbito nacional.

El sistema de cómputo, inicio en julio del año pasado. El sistema se le compro a la empresa Informática de Nicaragua. Esto con el propósito de automatizar y agilizar sus operaciones y brindar un mejor servicio a los clientes. El Sistema está compuesto por dos módulos, uno de contabilidad y uno de Ventas.

3. ACTIVIDAD PRINCIPAL

Es una empresa distribuidora de productos para mediana y grandes empresas tanto públicas como privadas.

4. PLAN ESTRATÉGICO

Actualmente no cuenta con un plan estratégico documentado

5. VISION

Ser la mejor Distribuidora de Productos médicos del país con presencia en toda la región centroamericana y del Caribe.

6. MISION

Distribuir productos médicos de calidad, a precios competitivos, contribuyendo a preservar y mejorar la salud de la población.

7. ORGANIGRAMA

Gerente General

Gerencia Administrativa y Financiera

Contabilidad

Informatica

Bodega

Caja y Recepcion.

Vigilancia

Afanadora

Departamento de Comercializacion

Venta

Adquisiciones

Asistente de Gerencia

Regente

2. CARACTERIZACION DEL SISTEMA

2.1 TOPOLOGIA DE LA RED

2.2 USO HARDAWARE Y SOFTWARE

INVENTARIO DE HARDWARE

Para el soporte de la plataforma de desarrollo se requiere la adquisición de un nuevo equipo exclusivo para el servidor ya que este requerirá suficiente espacio en memoria debido a todo el almacenamiento de la información que contendrá el sistema. Además se deben adquirir otras computadoras personales para cada usuario que interactúe con el sistema, es decir una por cada vendedor, una para el cajero y para el encargado de bodega. Es decir que se es necesaria la adquisición de 7 equipos nuevos.Descripciones del Equipo contenedor del Servidor.1 Procesador Intel Dual Core Duo(Dual core), 3.6 Ghz.2 Cache L2 Cache 1 MB. Memoria 4 GB RAM, SDRAM-DDR24 Velocidad del Bus 533 Mhz o Superior5 Memory Slots: 4 slots mínimo

Capacidad Almacenamiento HD:300 GB, Interfas ID, SATA, rotación del disco 7200 rpm

Unidad ÓpticaDVD+-RW,/CD+-RW, Velocidad de ejecución en DVD.

Gráficos/Video PCI ExpressNetwork Adapter Integrated 10/100 Ethernet LANSlots para tarjetas. 2 PCIAudio Sonido Tridimensional directoPuertos: Puerto Paralelo (Impresora)

Serial RGB (Monitor) 4 USB puertos traseros y 2 Frontales (Versión 2.0)PS/2 Teclado y MouseRJ-45 LAN Puerto Audio Entrada (1 Frontal y 1 Atrás)

Monitor LCD 19” visible, con base de altura Ajustable Teclado Desempeño Avanzado USB, EspañolRatón Ratón óptico de 2 botones y Scroll, conector USBCD/Restauración Cd de restauración y Drivers del equipo.Quemador de CD-DVDRouter ROUTER ADSL2/2+

Debido a que Gerencia y Contabilidad serán los administradores del sistema las especificaciones y actualizaciones de sus computadoras personales deben de ser mayores que las demás computadoras ya que tienen acceso a todos los módulos. No será necesario que se adquiera un nuevo equipo para Gerencia y Contabilidad, solo se le instalaran las actualizaciones requeridas tanto de Hardware como de Software para un mayor rendimiento.A continuación detallaremos las especificaciones de los equipos de Gerencia Y contabilidad.

Descripciones del Equipo.Unidades Tarjeta Madre INTEL D845WNL Socket mPGA478

Tarjeta de Sonido 32 BITS Estereo Integrada.

Procesador

AMD Athlon(TM) II 250u dual-core 2 Duo processor [2.1GHz, 2MB L2, up to 3600MT/s bus]

Memoria RAM 3 GB DDR2, expandible a 4 GBUnidad de Disco Duro

250 GB SATA

Unidad de Discos Compactos

DVD-CD RW

Adaptador de Vídeo

128 Mb AGP/PCI EXPRESS 16X EXP. 256Mb

Tarjeta de Red 10/100 Mbps PCI Ethernet 802.3 Auteseg

RJ45

Descripción del Equipo para los vendedores, cajero y el encargado de bodega.Unidades Tarjeta Madre INTEL D845WNL Socket mPGA478

6

Tarjeta de Sonido 32 BITS Estéreo Integrada.Procesador Intel Pentium 4 de 2 GHzMemoria RAM 1 GB DDR 2.Unidad de Disco Duro

150 GB 7200 rpm SATA

Unidad de Discos Compactos

DVD-CD RW

Puerto de Comunicación

6 puertos USB, 1 Puerto paralelo

3 Puertos PCI, 1 Puerto AGPTeclado Standard PS – 2

MouseNet Scroll Óptico

Tarjeta de Red10/100 Mbps PCI Ethernet 802.3 Auteseg RJ45

Monitor LCD 15” PULGADASEstabilizador de batería

1000 w

Quemador de CDQuemador de CD-DVD Interno 22X LG GH22NS50 SATA

También se necesita mobiliario para la computadora el cual constara de las siguientes características:Unidades Especificaciones Ubicación1 Mostrador recto

80*87*110, 120*87*110, 160*87*110, 200*87*110

Vendedores

1 Mostrador curvo exterior185-164*950*110

Cajero

1 Mesa estándar. Bodega

(1) (2)

(1).Alternativa de mueble para el cajero.(2). Alternativa de mueble para los vendedores.

Según las observaciones hechas durante las visitas que le hemos realizado al local, determinamos que el negocio cuenta con el espacio requerido para las instalaciones de los muebles para las computadoras que hemos propuesto con anterioridad. Adicionalmente disponen de dos Impresoras para cualquier impresión de reportes y/o fax. Las impresoras son:

2 HP Color LaserJet 8550-PS (Compartida para todos los usuarios de la red local).

Matricial EPSON LQ 570-e (Compartida el Contador y el auxiliar).

2.2 INVENATRIO DEL SOFTWARE

El software necesario para el desarrollo del Sistema consta de las siguientes especificaciones:

Cantidad Ubicación Descripción

1 Servidor

WINDOWS SERVER 2005 ESTÁNDAR EDITIONGenuine WINDOWS 7 Home Premium 64 bits.SQL SERVER 2005VISUAL BASIC STUDIO 2008MICROSOFT OFFICE ENTERPRISE 2007KASPERSKY 2010WINRAR 8.0Roxio 10.2Acrobat Reader 9.0

Integrated 10/100 Ethernet LAN

8 Usuarios

Genuine WINDOWS 7 Home Premium 64 bits.MICROSOFT OFFICE ENTERPRISE 2007KASPERSKY 2010WINRAR 8.0Roxio 10.2TuneUp Utilities 2010Acrobat Reader 9.0Integrated 10/100 Ethernet LAN

ANEXOS 2

PRINMCIPIO BASICO DE COBIT

MARCO GENERAL DE COBIT

MARCO DE TRABAJO DE COBIT

ANEXOS 3

MODELO GENERICO DE MADUREZ

GRAFICO DE MADUREZ

Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.

El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es avaluar el nivel de adherencia a los objetivos de control.

Esto se debe a que cuando se emplea la evaluación de la madurez con los modelos de COBIT, a menudo algunas implementaciones estarán en diferentes niveles aunque no esté completa o suficiente. Estas fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del proceso pueden estar bien definidas, y, aún cuando esté incompleto, sería erróneo decir que no está definido del todo.

Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podrá identificar:• El desempeño real de la empresa—Dónde se encuentra la empresa hoy

• El estatus actual de la industria—La comparación• El objetivo de mejora de la empresa—Dónde desea estar la empresa• El crecimiento requerido entre “como es” y “como será”

MODELO GENÉRICO DE MADUREZ

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo.Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos estánbajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

ANEXOS 4

Diseño Plan de contingencia y prevención ante fallos.

1. Análisis de riesgo.

Los riesgos a los que se están sujetos son los siguientes: Variación del voltaje. Cortes total o parcial de la energía. Desperfectos de hardware. Desperfectos de software. Ingreso de personal no autorizado a zonas restringidas. Manejo inexperto de sistema. Modificaciones incorrectas de sistema.

1.1. Bienes susceptibles a daños.

Servidores, principal, de respaldo, proxy, ASA, ISA, WEB. Sistema de respaldo, storage. Aparatos de red routers, switch, transceiver y cableado. Estaciones de trabajo. UPS y estabilizadores.

Bases de datos. Sistemas operativos. Utilitarios en general. Documentación de usuarios. Configuración de sistema.

1.2. Daños.

Los posibles daños pueden referirse a:

a) Perdida de datos por falta de conexión de red.b) Perdida de datos por virus y malwares.c) Daño intencional o accidental a bases de datos.d) Daño total o parcial a sistemas operativos de estaciones de trabajos y

servidores a causa de virus, malwares y mal manejo de los mismos.e) Las variaciones de voltaje puede ocasionar daño físico a los

diferentes dispositivos que posee el sistema.f) Modificaciones inadecuadas de las bases de datos.g) Manejo del sistema por personal inexperto.

1.3. Prioridades.

1. La principal prioridad radica en garantizar la correcta transmisión de datos en el sistema.

2. Garantizar el óptimo funcionamiento del servidor de base de datos.3. Mantener en todo momento los sistemas de seguridad instalados.4. Restablecimiento de conexión de red.5. Restablecimiento de caída de los servidores.6. Restablecimiento de estaciones de trabajo.

1.4. Fuentes de daño.

Acceso no autorizado. Cortes de energía. Ruptura de claves de acceso. Desastres naturales. Fallas de personal clave. Fallas de hardware.

2. Medidas Preventivas.

2.1. Control de Accesos.

Se restringe el acceso a personal a la sala de servidores. Todo ingreso a la sala de servidores debe ser justificado y registrado. El acceso al sistema depende de una contraseña ligada al tipo de usuario y a

los correspondientes permisos. Solo los técnicos de soporte tienen permitida la instalación de utilitarios en

las estaciones de trabajo. Toda transacción o gestión realizada por los usuarios es registrada por el

sistema.

2.2. Respaldos.

2.2.1. Respaldo de datos Vitales. Bases de datos. Imagen de sistema (clonado). Respaldo de utilitarios. Respaldo de licencias. Respaldo de configuración de sistema. Respaldo de configuración de red.

3. Previsión de desastres Naturales.

La previsión de desastres naturales sólo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computación Central, en la medida de no dejar objetos en posición tal que ante un movimiento telúrico pueda generar mediante su caída y/o destrucción, la interrupción del proceso de operación normal. Además, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vías de escape y de la ubicación de los archivos, CDs DVDs, discos con información vital de respaldo de aquellos que se encuentren aun en las instalaciones de la empresa.

Adecuado Soporte de UtilitariosLas fallas de los equipos de procesamiento de información pueden minimizarse mediante el uso de otros equipos, a los cuales también se les debe controlar periódicamente su buen funcionamiento, nos referimos a:a) UPS de respaldo de actual servidor principal y de respaldo o de estaciones críticas.b) UPS de respaldo switches, routers, transaver e ISP.

Seguridad de la InformaciónLa información y programas de los Sistemas de Información que se encuentran en el Servidor, o de otras estaciones de trabajo críticas deben protegerse mediante claves de acceso y a través de un plan de respaldo adecuado.

4. Plan de Respaldo.

4.1. Objetivos.

1) Determinación de las políticas y procedimientos para respaldar las aplicaciones y datos.2) Planificar la reactivación dentro de los todo el sistema de procesamiento y sus funciones asociadas.3) Permanente mantenimiento y supervisión de los sistemas y aplicaciones.4) Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y oportuna respuesta frente a un desastre.

4.2. Alcance del Plan de Recuperación

El objetivo es restablecer en el menor tiempo posible el nivel de operación normal del centro de procesamiento de la información, basándose en los planes de emergencia y de respaldo a los niveles del Centro de Cómputos y de los demás niveles.

La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe considerar la combinación de todo su personal, equipos, datos, sistemas, comunicaciones y suministros.

4.3. Políticas del plan de recuperación.

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estén fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias periódicas de respaldos de base de datos.

4.4. Procedimientos para reactivación de sistema según los riesgos.

4.4.1. En caso de riesgo eléctrico.

Se cuenta con UPS de 6KVA / 4200 watt para los servidores para cortes momentáneos.

Estabilizadores de 2400VA / 2400 watt para servidores con el fin de prevenir variaciones de voltaje.

UPS de 750VA / 450 watt para estaciones de trabajo. Estabilizadores de 1200VA / 600 watt para estaciones de trabajo. Además el sistema deberá contar con una planta eléctrica para cortes

prolongados que deberá tener las siguientes especificaciones.

4.4.2. En caso de daños de Hardware.

Se realizó estandarización de las estaciones de trabajo para garantizar la reposición inmediata de los dispositivos dañados.

Se debe contar con un stop de dispositivos para reponer de manera inmediata ante cualquier daño de hardware.

Debe de seguirse el manual de procedimientos para la instalación de cualquier dispositivo.

4.4.3. En caso de daños de Software.

La base de datos del antivirus debe de mantenerse al día tanto para los servidores como para las estaciones de trabajo.

Se debe de contar con la imagen del sistema operativo de las estaciones de trabajo ya sea para instalación o cambio de disco duro.

En el caso del servidor el sistema permite operar el sistema desde el disco espejo con el que cuenta el servidor principal.

Análisis de plan de contingencia y prevención ante fallos.

1. Análisis de Riesgos.Para realizar un análisis de los riegos, se deberá de identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la empresa, y su importancia dentro del sistema de información.Posteriormente se procede a analizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia de estos, se procede a fijar el plan de emergencia para su recomposición o minimización de las pérdidas y/o los tiempos de reemplazo o mejoría.

1.1. Bienes susceptibles de un daño.Se puede identificar los siguientes elementos expuestos a riesgos:

a) Hardware.b) Software y utilitarios.c) Datos e información.d) Documentación.e) Suministro de energía eléctrica.f) Suministro de telecomunicaciones (redes informáticas).

1.2. Daños.Los posibles daños pueden referirse a:

a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.

b) Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, llámese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado.

c) Divulgación de información a instancias fuera de la empresa y que afecte su patrimonio estratégico Comercial y/o Institucional, sea mediante Robo o Infidencia.

1.3. Prioridades.En base a la estimación de los daños en los bienes y su impacto, se fijara la prioridad en relación a la cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se pierden en el acontecimiento.

Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en el procedimiento de recuperación ante un evento de desastre.

1.4. Fuentes de daño.Las posibles fuentes de daño que pueden causar la no operación normal de la empresa asociadas al sistema de información pueden ser:

Acceso no autorizado.Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las instalaciones).

Ruptura de las claves de acceso a los sistemas computacionales.a) Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas computacionales en uso (Virus, sabotaje).b) Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intenciones.

Desastres Naturalesa) Movimientos telúricos que afecten directa o indirectamente a las instalaciones

físicas de soporte (edificios) y/o de operación (equipos computacionales).b) Inundaciones causadas por falla en los suministros de agua o por lluvias

intensas.c) Fallas en los equipos de soporte:

o Por fallas causadas por la agresividad del ambienteo Por fallas de la red de energía eléctrica pública por diferentes razones

ajenas al manejo por parte de la Compañía.o Por fallas de los equipos de acondicionamiento atmosféricos (equipos de

aire acondicionado) necesarios para una adecuada operación de los equipos computacionales más sensibles.

o Por fallas de la comunicación.o Por fallas en el tendido físico de la red local.o Fallas en las telecomunicaciones con instalaciones externas.

Fallas de Personal ClaveSe considera personal clave aquel que cumple una función vital en el flujo de procesamiento de datos u operación de los Sistemas de Información:a) Personal de Informática.b) Gerencia, supervisores de Red.c) Administración de Ventas.d) Personal de Administración de Bodegas-Despachos.

Pudiendo existir los siguientes inconvenientes:a) Enfermedad.b) Accidentes.c) Renuncias.d) Abandono de sus puestos de trabajo.

Fallas de Hardware

a) Falla en el Servidor principal y/o de respaldo, servidores ISA, ASA, WEB y PROXY, tanto en sus discos duros, memorias RAM, tarjetas de red, como en el procesador.

b) Fallas de hardware en las estaciones de trabajo.c) Falla en el hardware de Red:- Falla en los Switches.- Falla en los Routers.- Falla en los transarve.- Falla en el ISP- Falla en el cableado de la Red.- Falla en el FireWall.

2. Medidas Preventivas.

2.1. Control de Accesos.Se debe definir medidas efectivas para controlar los diferentes accesos a los activos computacionales:a) Acceso físico de personas no autorizadas.b) Acceso a la Red de PC's y Servidor.c) Acceso restringido a las librerías, programas, y datos.

2.2. Respaldos.El Plan de Respaldo trata de cómo se llevan a cabo las acciones críticas entre la pérdida de un servicio o recurso, y su recuperación o restablecimiento. Todos los nuevos diseños de Sistemas, Proyectos o ambientes, tendrán sus propios Planes de Respaldo.

Respaldo de datos Vitales.Identificar las áreas para realizar respaldos:a) Sistemas en Red.b) Sistemas no conectados a Red.c) Sitio WEB.

3. Previsión de desastres Naturales.La previsión de desastres naturales sólo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computación Central, en la medida de no dejar objetos en posición tal que ante un movimiento telúrico pueda generar mediante su caída y/o destrucción, la interrupción del proceso de operación normal. Además, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vías de escape y de la ubicación de los archivos, diskettes, discos con información vital de respaldo de aquellos que se encuentren aun en las instalaciones de la empresa

Adecuado Soporte de UtilitariosLas fallas de los equipos de procesamiento de información pueden minimizarse mediante el uso de otros equipos, a los cuales también se les debe controlar periódicamente su buen funcionamiento, nos referimos a:a) UPS de respaldo de actual servidor principal y de respaldo o de estaciones críticas.b) UPS de respaldo switches, routers, transaver e ISP.

Seguridad de la Información

La información y programas de los Sistemas de Información que se encuentran en el Servidor, o de otras estaciones de trabajo críticas deben protegerse mediante claves de acceso y a través de un plan de respaldo adecuado.

4. Plan de Recuperación.

Se definen los siguientes objetivos del plan de Recuperación:

1) Determinación de las políticas y procedimientos para respaldar las aplicaciones y datos.2) Planificar la reactivación dentro de los todo el sistema de procesamiento y sus funciones asociadas.3) Permanente mantenimiento y supervisión de los sistemas y aplicaciones.4) Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y oportuna respuesta frente a un desastre.

Alcance del Plan de RecuperaciónEl objetivo es restablecer en el menor tiempo posible el nivel de operación normal del centro de procesamiento de la información, basándose en los planes de emergencia y de respaldo a los niveles del Centro de Cómputos y de los demás niveles.

La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe considerar la combinación de todo su personal, equipos, datos, sistemas, comunicaciones y suministros.

Activación del Plan

Decisión:Queda a juicio del Gerente de Administración y Finanzas determinar la activación del Plan de Desastres, y además indicar el lugar alternativo de ejecución del Respaldo y/o operación de emergencia, basándose en las recomendaciones indicadas por éste.

Duración estimada:Los supervisores de cada área determinarán la duración estimada de la interrupción del servicio, siendo un factor clave que podrá sugerir continuar el procesamiento en el lugar afectado o proceder al traslado del procesamiento a un lugar alternativo.

Plan de respaldo del sistema de información.

I. Determinar los archivos a respaldarII. Programar el desarrollo del plan de respaldosIII. Elección los recursos necesarios para procederIV. Elección del método de respaldo

Selección del personal autorizado a efectuarlos Acondicionar los lugares destinados a albergar los respaldos

V. Preparar un Programa de recuperación

I. Determinar los archivos a respaldar.

Copia de respaldo de sistema operativo. Sistema base de equipo central o servidores. Sistema base de usuarios. Arreglos temporales parches actualizaciones.

Copia de respaldo de configuración. De Hardware de servidores. De controladores de servidores. De comunicación de servidores. De estructura de interna de redes. De Hardware de usuarios. De controladores de usuarios.

Copia de respaldo de seguridad. De niveles de seguridad. De perfiles de grupo y usuarios. De recursos de usuarios. De recursos del sistema.

Copia de respaldo de aplicaciones. Respaldo de archivos maestros. Respaldo de modificaciones de archivos maestros. Copia de programas enlatados o a medida. Copia de estandarización de sistema de oficina.

Copia de respaldo de archivos de datos.

Da las aplicaciones por prioridad. De objetos del sistema. De objetos de los usuarios. De personalización de sistemas de usuarios. De archivos de datos de usuarios.

II. Programar el desarrollo del plan de respaldos.

Con base a lo resuelto en el punto anterior, resulta que la COPIA DE RESPALDO DE ARCHIVOS DE DATOS, corresponde a las áreas que se modificaran con mayor frecuencia.Con lo que la periodicidad de la realización de las copias se invierte respecto del orden considerado.La Programación debe establecer con qué frecuencia se respaldaran cada conjunto de archivos, que método de actualización se usara en cada caso y el número de copias simultáneos que se hará de cada conjunto; lo que “dimensionara” aproximadamente las necesidades en cuando a espacio de almacenamiento necesario.

III. Elección los recursos necesarios para proceder.

Dispositivos e Insumos Tipos Básicos De Almacenamiento Masivo

Las tecnologías de almacenamiento masivo se pueden clasificar de distintas maneras. El sistema de almacenamiento subyacente (magnético, óptico o magneto_óptico), el tipo de unidad (fija o removible), el material del medio (cinta, disco rígido, disco flexible) y la interfaz de hardware (ATA, ATAPI, SCSI, USB, Fireware / IEEE 1394, Canal de Fibra) en forma conjunta definen las características de cada tecnología.

Los sistemas de almacenamiento también se distinguen en almacenamiento de conexión directa o almacenamiento conectado a la red. El almacenamiento de conexión directa incluye unidades de escritorio estándar que se instalan dentro de un gabinete de computadora o se cablean directamente al mismo. El almacenamiento conectado a la red por lo general abarca almacenamiento accesible a múltiples computadoras y que puede estar conectado a un servidor y se puede acceder a él por medio de protocolos de sistema de archivos especiales (por ejemplo: Sistema de Archivo de Red o Sistema de Archivo Común de Internet) o puede ser parte de un sistema de almacenamiento que funciona en forma independiente de cualquier servidor en particular (por ejemplo, una Red SAN - Red de Área de Almacenamiento).

Tecnologías: ópticaSu primera aplicación comercial masiva fue el superéxitos CD de música, que data de comienzos de la década de 1.980. Los fundamentos técnicos que se utilizan son relativamente sencillos de entender: un haz láser va leyendo (o escribiendo) microscópicos agujeros en la superficie de un disco de material plástico, recubiertos a su vez por una capa transparente para su protección del polvo.Realmente, el método es muy similar al usado en los antiguos discos de vinilo, excepto porque la información está guardada en formato digital (unos y ceros como valles y cumbres en la superficie del CD) en vez de analógico y por usar un láser como lector. El

sistema no ha experimentado variaciones importantes hasta la aparición del DVD, que tan sólo ha cambiado la longitud de onda del láser, reducido el tamaño de los agujeros y apretado los surcos para que quepa más información en el mismo espacio.La principal característica de los dispositivos ópticos es su fiabilidad. No les afectan los campos magnéticos, apenas les afectan la humedad ni el calor y pueden aguantar golpes importantes (siempre que su superficie esté protegida). Sus problemas radican en una velocidad no tan elevada como la de algunos dispositivos magnéticos y en que precisan un cierto cuidado frente al polvo y en general cualquier imperfección en su superficie, por lo que es muy recomendable que dispongan de funda protectora.Los procedimientos de respaldo de información deben basarse en algún soporte físico adecuado al tamaño de los archivos a respaldar y a la velocidad necesaria para ejecutar los mismos sin ralentizar demasiado el sistema informático, ni prolongando innecesariamente tales tareas. Si bien la cinta magnética ha sido tradicionalmente el medio más idóneo, debido a su bajo costo y su alta capacidad de almacenamiento, su límite es la velocidad, al ser un medio de acceso secuencial.

IV. Elección del método de respaldo.

Registración doble.

V. Preparar un Programa de recuperación.

1) Frente a la perdida de hardware, las alternativas existentes (Equipo duplicado, y/o equipos similares que puedan usarse (por alquiler de los mismos o de tiempo de procesamiento);2) Prioridades para la restauración de archivos, de acuerdo a las pérdidas producidas, acceso a los soportes a utilizar;3) Métodos de comunicación y de convocatoria del personal necesario y/o autorizado para ejecutar la restauración.

Una buena práctica, consiste en la realización de simulacros de restauración, lo que permitiría evidenciar la eficacia o no de todo el Plan de Respaldo y Recuperación. Esto proporcionaría, además, tiempos, de actuación y recuperación, así como pautas para corregir desviaciones o fallas.