SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS
CARRERA: INGENIERÍA EN SISTEMAS
Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión
Tema:
Diagnóstico para la Implantación de COBIT en una Empresa de Producción Área Piloto: Departamento de Sistemas Tesistas: Martha Elizabeth de la Torre Morales Ingrid Kathyuska Giraldo Martínez Carmen Azucena Villalta Gómez
Director:
Ing. Bertha Alice Naranjo Sánchez, MSC Septiembre 2012
DECLARACIÓN
Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martínez y Carmen Azucena Villalta Gómez, declaramos bajo juramento que este trabajo es de nuestra autoría y que hemos consultado las referencias bibliográficas incluidas en este documento.
Dejamos constancia que cedemos los derechos de propiedad intelectual a la Universidad Politécnica Salesiana – Sede Guayaquil según lo establecido por la ley de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente.
__________________________________ MARTHA E. DE LA TORRE MORALES
______________________________ INGRID K. GIRALDO MARTÍNEZ
_____________________________ CARMEN A. VILLALTA GÓMEZ
2
AGRADECIMIENTO Y DEDICATORIA
Primero a Dios, el centro de mi vida y mi fortaleza. A Santiago y Haydeé, mis padres, mi inspiración, por su eterno apoyo. A Ángel Santiago, mi amado hijo, por soportar y comprender mis ausencias mientras recorría este largo camino. A Gustavo, mi partner, por su solidaridad y complicidad en esta travesía. A mi familia en general, por estar siempre conmigo. A mis amigos, por su incondicionalidad. Sin ustedes no podría avanzar en mis propósitos. Gracias. Los amo infinitamente.
Un agradecimiento especial, a la Ing. Lilia Santos.
Martha E. de la Torre Morales
3
AGRADECIMIENTO Y DEDICATORIA
Principalmente a Dios. A mi madre y mi tío, porque creyeron en mí y porque me sacaron adelante, dándome ejemplos dignos de superación y entrega. Gracias a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron impulsándome en los momentos más difíciles y porque el orgullo que sienten por mí, fue lo que me hizo ir hasta el final. Esto es por ustedes, por lo que significan para mí, y porque admiro su esfuerzo a pesar de las dificultades. A mis hermanas, primos, abuelos y amigos. Gracias por haber fomentado en mí el deseo de superación y el anhelo de triunfo en la vida. Sin ustedes este trabajo no hubiera podido ser realizado. No me alcanzarían las palabras para agradecerles su apoyo y sus consejos. A todos, espero no defraudarlos y contar siempre con su valioso apoyo, sincero e incondicional.
Ingrid Giraldo Martínez
4
AGRADECIMIENTO Y DEDICATORIA
Quiero dar gracias a:
DIOS: Por haberme dado la vida, sabiduría y su infinita misericordia. MI ESPOSO: Por su amor, comprensión y apoyo; brindados en los momentos más difíciles de mi vida. MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de bien. MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia. MI FAMILIA: Por fomentar los buenos valores y principios morales. MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera.
A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los bendiga
Carmen Villalta Gómez
5
CERTIFICADO
Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska Giraldo Martínez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta Gómez; bajo mi dirección.
Guayaquil, Septiembre del 2012.
----------------------------------------------Ing. Bertha Naranjo Sánchez, MSC DIRECTORA DE TESIS
6
ÍNDICE CAPÍTULO 1
18
1.1
18
PLANTEAMIENTO DEL PROBLEMA 1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN
19
1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN
19
1.2 OBJETIVOS
20
1.2.1 OBJETIVO GENERAL
20
1.2.2 OBJETIVOS ESPECÍFICOS
20
1.3 ALCANCE
20
1.4 VARIABLES E INDICADORES
21
1.5 MATRIZ CAUSA – EFECTO
22
CAPÍTULO 2
23
2.1 MARCO TEÓRICO
23
2.1.1 INTRODUCCIÓN COBIT
23
2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1
23
2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)
31
2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)
45
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)
53
2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME)
67
2.1.1.2 MISIÓN DE COBIT
72
2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI
72
2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT
74
2.1.1.2.3 RECURSOS DE TI
76
2.1.1.2.4 MODELO DE MADUREZ COBIT
77
2.1.2 BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT 79
7
CAPÍTULO 3
80
3.1
80
ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN
3.1.1
TIPO DE INVESTIGACIÓN
80
3.1.2
MÉTODO DE INVESTIGACIÓN
80
3.1.3 FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN
81
3.1.4
LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO
81
3.1.5
MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS
82
3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS
82
3.1.6
83
ANÁLISIS FODA
CAPITULO 4
86
4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP 86 4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP
86
4.1.1.1 HISTORIA
86
4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP
87
4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP
87
4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP
88
4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP
89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP
90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP 91 4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN 92 4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN
93
4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1 117 4.1.2.1.1 RESULTADOS FINALES OBTENIDOS
117
4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL 117 4.1.2.1.1.2 RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO 119 8
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO 120 4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL 127 4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO 172 4.1.3 EVALUACIÓN DE RIESGOS DE TI
174
4.1.4 ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS OBJETIVOS DE CONTROL CRÍTICOS
180
CONCLUSIONES y RECOMENDACIONES
188
BIBLIOGRAFÍA
211
DEFINICIONES DE TÉRMINOS
212
9
ÍNDICE DE ILUSTRACIONES
ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ............ 24 ILUSTRACIÓN 2: DOMINIOS COBIT 4.1 ............................................................. 31 ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR .... 32 ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI ................................................. 33 ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN .......................... 34 ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................... 35 ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI .. 37 ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 – ADMINISTRAR LA INVERSIÓN DE TI .................................................... 38 ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA ............................................................................................................... 39 ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI ........................................ 40 ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD .................................................................... 42 ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ................................ 43 ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS ................................................................... 44 ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ....................................................................................................... 45 ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS .................................... 46
10
ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47 ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ...... 48 ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO.................................................... 49 ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO AI5 – ADQUIRIR RECURSOS DE TI ..................................................................... 50 ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO AI6 – ADMINISTRAR CAMBIOS .......................................................................... 51 ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ......................... 52 ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ........................................................................................................ 53 ILUSTRACIÓN 23: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .................... 54 ILUSTRACIÓN 24: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................... 55 ILUSTRACIÓN 25: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ........................... 56 ILUSTRACIÓN 26: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................... 57 ILUSTRACIÓN 27: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ............................. 58 ILUSTRACIÓN 28: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS ........................................................ 59 ILUSTRACIÓN 29: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS ............................................ 60 ILUSTRACIÓN 30: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ............ 61 ILUSTRACIÓN 31: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................... 62 11
ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS ......................................................... 63 ILUSTRACIÓN 33: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS .................................................................... 64 ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO....................... 65 ILUSTRACIÓN 35: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES ...................................................... 66 ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ................................................................................................................. 67 ILUSTRACIÓN 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI ............................ 68 ILUSTRACIÓN 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO ......................... 69 ILUSTRACIÓN 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS ............................................................................................................... 70 ILUSTRACIÓN 40: OBJETIVOS DE CONTROL DEL PROCESO M4 - PROPORCIONAR GOBIERNO DE TI .......................................................... 71 ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI ................. 72 ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN .......................................... 74 ILUSTRACIÓN 43: RECURSOS DE TI .................................................................. 76 ILUSTRACIÓN 44: ANÁLISIS FODA .................................................................... 84 ILUSTRACIÓN 45: MATRIZ FODA ....................................................................... 85 ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP ..................................................................................................... 89 ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA EMPRESA EP ............................................................................................... 90 ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA EMPRESA EP ............................................................................................... 91
12
ÍNDICE DE TABLAS
TABLA 1: VARIABLES E INDICADORES ........................................................... 21 TABLA 2: MATRIZ CAUSA – EFECTO ................................................................ 22 TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 ......................... 25 TABLA 4: ANÁLISIS FODA – ÁREA TI................................................................ 92 TABLA 5: MATRIZ GENERAL COBIT 4.1 ........................................................... 94 TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL .................................. 118 TABLA 7: EVALUACIÓN POR DOMINIO.......................................................... 119 TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL DEPARTAMENTO DE SISTEMAS ...................................................................... 174 TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR AMENAZAS ................................................................................................... 175 TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR OBJETOS ........................................................................................................ 176 TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS ............................ 177 TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD DE TI........................................................................................................................ 178 TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO ...... 179
13
ÍNDICE DE GRÁFICOS
GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL ................................................................... 118 GRÁFICO 2: EVALUACIÓN POR DOMINIO ..................................................... 119 GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ........... 120 GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ..... 122 GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ..... 123 GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR........ 126 GRÁFICO 7: OBJETIVOS DE CONTROL DEL PROCESO PO1 – DEFINIR UN PLAN ESTRATÉGICO DE TI ............................................. 127 GRÁFICO 8: OBJETIVOS DE CONTROL DEL PROCESO PO2 – DEFINIR LA ARQUITECTURA DE TI ..................................................... 128 GRÁFICO 9: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA .................................. 129 GRÁFICO 10: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI 130 GRÁFICO 11: OBJETIVOS DE CONTROL DEL PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI ................................................... 132 GRÁFICO 12: OBJETIVOS DE CONTROL DEL PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA ............................................................................................................. 133 GRÁFICO 13: OBJETIVOS DE CONTROL DEL PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI ..................................... 134 GRÁFICO 14: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD .................................................................. 135 GRÁFICO 15: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI .............................. 137 GRÁFICO 16: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS ................................................................. 139
14
GRÁFICO 17: OBJETIVOS DE CONTROL DEL PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140 GRÁFICO 18: OBJETIVOS DE CONTROL DEL PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO .......................... 141 GRÁFICO 19: OBJETIVOS DE CONTROL DEL PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ..... 142 GRÁFICO 20: OBJETIVOS DE CONTROL DEL PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO .................................................. 143 GRÁFICO 21: OBJETIVOS DE CONTROL DEL PROCESO AI5 - ADQUIRIR RECURSOS DE TI .................................................................... 144 GRÁFICO 22: OBJETIVOS DE CONTROL DEL PROCESO AI6 - ADMINISTRAR CAMBIOS ......................................................................... 145 GRÁFICO 23: OBJETIVOS DE CONTROL DEL PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ........................ 146 GRÁFICO 24: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO .............. 148 GRÁFICO 25: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS ................................. 150 GRÁFICO 26: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ......................... 151 GRÁFICO 27: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO ............................. 153 GRÁFICO 28: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ........................... 155 GRÁFICO 29: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS ...................................................... 157 GRÁFICO 30: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS .......................................... 158 GRÁFICO 31: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES .......... 159 GRÁFICO 32: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN .................................................. 160 15
GRÁFICO 33: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS ....................................................... 162 GRÁFICO 34: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS .................................................................. 163 GRÁFICO 35: OBJETIVOS DE CONTROL DEL PROCESO DS12 – ADMINISTRAR EL AMBIENTE FÍSICO................................................ 165 GRÁFICO 36: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES .................................................... 166 GRÁFICO 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI .......................... 168 GRÁFICO 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO ....................... 169 GRÁFICO 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO ......................... 170 GRÁFICO 40: OBJETIVOS DE CONTROL DEL PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI ....................................................... 171 GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO.................................................................................... 172 GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS ..... 173
16
ANEXOS
ANEXO 1: EVALUACIÓN POR PROCESOS ...................................................... 190 ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL ........................... 191 ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO ................................................................................................... 202 ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS .......... 204 ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (A) ....................................................................................................................... 205 ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (B)........................................................................................................................ 206 ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (1) ................................................................. 207 ANEXO 8: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (2) ................................................................. 208 ANEXO 9: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (3) ................................................................. 209 ANEXO 10: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (4) ................................................................. 210
17
CAPÍTULO 1
1.1
PLANTEAMIENTO DEL PROBLEMA
Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de sus economías, se van creando nuevas oportunidades de negocios que demandan controles más estrictos para que el desarrollo organizacional vaya continuamente por el camino de la eficiencia y la pro-actividad de quienes conforman la organización. La orientación del crecimiento institucional suele ser un problema centrado en las preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar certificaciones internacionales para el eficiente progreso de la organización donde se detalla la importancia del actuar empresarial. Es motivo de consideración el manejo correcto de la información en base a las nuevas metodologías y estándares que beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor entendimiento claro y básico en una dirección sistemática. La tecnología implica mucho riesgo, siendo un problema constante el manejo de las tecnologías de Información reales y progresivas con estándares de control adecuados para ser eficientes en el desarrollo de la información, la mayor parte de empresas se desplazan en la despreocupación de controlar sus técnicas de información y evalúan solo los procedimientos y no aplican los indicadores secuenciales de control. COBIT es una metodología que garantiza el indicador de despliegue de la información con el uso de materiales tecnológicos, siendo práctico y responsable en las plataformas de comunicación establecidas. COBIT analiza los procedimientos de información y ayuda a determinar qué sector o espacio está fallando y promueve los controles para mejorar la actividad eficiente de la información. La inversión en sistemas de control contribuye a descubrir que podemos mejorar a través del desglose y transformación de los medios y recursos de tecnologías de información aplicada. Por lo tanto, se debería de emplear en las organizaciones dominios en base a la planificación, la parte organizativa en manejo de los requerimientos y la entrega de tales requerimientos con soportes físicos y digitales. 18
Así mismo deberían tomar como recomendación el uso de metodologías o estándares que les permitan determinar procesos críticos a nivel de la empresa o departamento.
1.1.1 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN ¿Cuáles son los principales aspectos de concienciación en los procesos aplicados para la implementación del uso de COBIT en el departamento de sistemas de la empresa EP1?
1.1.2 PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN
Con la aplicación de la metodología COBIT ¿Cuáles serían los principales problemas resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas?
¿Con la aplicación de la metodología COBIT los empleados del departamento de sistemas podrán realizar mejor su trabajo en la empresa EP?
Es voluntaria la aplicación de una metodología de calidad de la información en las industrias públicas y privadas, pero a nuestro criterio todo departamento de TI debería considerar obligatoria su implementación en aras de mejorar en su calidad.
1 El nombre de la Empresa se lo mantiene en reserva para proteger su información
19
1.2 OBJETIVOS
1.2.1 OBJETIVO GENERAL
Contribuir a mejorar los procesos del departamento de sistemas
mediante el
diagnóstico con la metodología COBIT aplicada en la empresa EP.
1.2.2 OBJETIVOS ESPECÍFICOS
• Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la situación del departamento de sistemas de la empresa EP. • Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en el departamento de sistemas. • Determinar los riesgos relacionados con la prestación de servicios de TI en el departamento de sistemas. • Evaluar el resultado del diagnóstico realizado en el departamento de sistemas considerando los procesos críticos y las falencias de los controles para extender las recomendaciones respectivas. • Definir políticas a desarrollar de cinco de los objetivos críticos para el control de TI en el departamento de sistemas de la empresa EP.
1.3 ALCANCE
El proyecto será desarrollado en la matriz de la empresa EP ubicada al sur de la ciudad de Guayaquil, comprende un diagnóstico de sus procesos para determinar el grado de cumplimiento de los procesos y objetivos de control planteados en el modelo metodológico de COBIT 4.1 e identificar los más críticos de la organización. 20
1.4 VARIABLES E INDICADORES
En la tabla siguiente se determinan las variables dependiente e independiente con sus respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable dependiente se define la mejora de los procesos del departamento de sistemas de la empresa EP que dependería de la metodología COBIT la que se constituye por lo tanto en variable independiente.
TABLA 1: VARIABLES E INDICADORES VARIABLES
INDICADORES
Independiente
Grado de utilización
Metodología COBIT 4.1
Nivel de satisfacción de usuario final Toma de decisiones Optimización de recursos
Dependiente
Control
Mejorar procesos
Políticas Análisis de Riesgos
Elaborado: Las Autoras
21
1.5 MATRIZ CAUSA – EFECTO
Se identifica el problema, las causas y las soluciones viables que se deberían aplicar en el departamento de sistemas de la empresa EP, detallados en la tabla 2.
TABLA 2: MATRIZ CAUSA – EFECTO Problema general
Objetivo general
Hipótesis general
¿Cuáles son los principales aspectos de concienciación en los procesos aplicados para la implementación del uso de COBIT en el departamento de sistemas de la empresa EP?
Contribuir a mejorar los procesos del departamento de sistemas mediante el diagnóstico de la metodología COBIT aplicada en la empresa EP.
Con COBIT, la organización podrá controlar sus procesos de TI y sus ejecutivos tomarán decisiones oportunas y efectivas en el departamento de sistemas en la empresa EP.
Sus Problemas específicos
Objetivos específicos
Hipótesis particulares
Estudiar los treinta y cuatro procesos de COBIT 4.1 para poder evaluar la situación del departamento de sistemas de la empresa EP. Determinar los riesgos relacionados con la prestación de servicios de TI en el departamento de sistemas.
Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en el departamento de sistemas.
El departamento sistemas de la empresa aplica los procesos COBIT para alcanzar objetivos del negocio.
Evaluar los resultados de los diagnósticos realizados en el departamento de sistemas considerando los procesos críticos y las falencias de los controles para extender las recomendaciones respectivas. Definir políticas a desarrollar para el control de TI en el departamento de sistemas en la empresa EP.
Definiendo políticas se mejoran los controles y los procesos críticos en el departamento de sistemas.
Elaborado: Las Autoras 22
de EP de los
CAPÍTULO 2
2.1 MARCO TEÓRICO
2.1.1 INTRODUCCIÓN COBIT
DEFINICIÓN DE COBIT Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objetives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (IT Governance Institute) en 1992. (Fundación Wikimedia, 2012)
COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos de los negocios mediante la dirección y control adecuado de las TI, sin embargo la aplicación de COBIT se debería de dar en todos los niveles organizativos de la empresa y no tan solo concentrarse en la tecnología de la información. COBIT está involucrado en reflejar las principales directrices jerárquicas que permitan el control de la tecnología de información aplicada en la empresa.
2.1.1.1 DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1 En la ilustración siguiente se resume cómo los distintos elementos del marco de trabajo COBIT 4.1 se relacionan con las áreas de Gobierno de TI.
23
ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
Para la realización de la siguiente tabla nos hemos basado en el Manual COBIT 4.1 cuya clasificación por dominio, procesos y objetivos de control servirá de guía en la ejecución del diagnóstico de este proyecto. 24
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
COBIT 4.1 DOMINIO
PROCESOS
OBJETIVOS DE CONTROL PO1.1 - Administración del Valor de TI
PO1.2 - Alineación de TI con el Negocio PO1.3 - Evaluación del Desempeño y la Capacidad PO1 - Definir un Plan Estratégico Actual de TI PO1.4 - Plan Estratégico de TI PO1.5 - Planes Tácticos de TI PO1.6 - Administración del Portafolio de TI PO2.1 - Modelo de Arquitectura de Información Empresarial PO2 - Definir la Arquitectura de la PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos Información PO2.3 - Esquema de Clasificación de Datos PO2.4 - Administración de Integridad
PLANEAR Y ORGANIZAR
PO3.1 - Planeación de la Dirección Tecnológica PO3 - Determinar la Dirección Tecnológica
PO3.2 - Plan de Infraestructura Tecnológica PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras PO3.4 - Estándares Tecnológicos PO3.5 - Consejo de Arquitectura de TI PO4.1 - Marco de Trabajo de Procesos de TI PO4.2 - Comité Estratégico de TI PO4.3 - Comité Directivo de TI PO4.4 - Ubicación Organizacional de la Función de TI
PO4.5 - Estructura Organizacional PO4.6 - Establecimiento de Roles y Responsabilidades PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI PO4 - Definir los Procesos, PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad Organización y Relaciones de TI y el Cumplimiento PO4.9 - Propiedad de Datos y de Sistemas PO4.10 - Supervisión PO4.11 - Segregación de Funciones PO4.12 - Personal de TI PO4.13 - Personal Clave de TI PO4.14 - Políticas y Procedimientos para Personal Contratado PO4.15 - Relaciones PO5.1 - Marco de Trabajo para la Administración Financiera PO5 - Administrar la Inversión en PO5.2 - Prioridades dentro del Presupuesto de TI PO5.3 - Proceso Presupuestal TI PO5.4 - Administración de Costos de TI PO5.5 - Administración de Beneficios
25
COBIT 4.1
PLANEAR Y ORGANIZAR
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL PO6.1 - Ambiente de Políticas y de Control PO6.2 - Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6 - Comunicar las Aspiraciones y PO6.3 - Administración de Políticas para TI la Dirección de la Gerencia PO6.4 - Implantación de Políticas de TI PO6.5 - Comunicación de los Objetivos y la Dirección de TI PO7.1 - Reclutamiento y Retención del Personal PO7.2 - Competencias del Personal PO7.3 - Asignación de Roles PO7.4 - Entrenamiento del Personal de TI PO7 - Administrar Recursos Humanos de TI PO7.5 - Dependencia Sobre los Individuos PO7.6 - Procedimientos de Investigación del Personal PO7.7 - Evaluación del Desempeño del Empleado PO7.8 - Cambios y Terminación de Trabajo PO8.1 - Sistema de Administración de Calidad PO8.2 - Estándares y Prácticas de Calidad PO8.3 - Estándares de Desarrollo y de Adquisición PO8 - Administrar la Calidad PO8.4 - Enfoque en el Cliente de TI PO8.5 - Mejora Continua PO8.6 - Medición, Monitoreo y Revisión de la Calidad PO9.1 - Marco de Trabajo de Administración de Riesgos PO9.2 - Establecimiento del Contexto del Riesgo PO9.3 - Identificación de Eventos PO9 - Evaluar y Administrar los PO9.4 - Evaluación de Riesgos de TI Riesgos de TI PO9.5 - Respuesta a los Riesgos PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos PO10.1 - Marco de Trabajo para la Administración de Programas PO10.2 - Marco de Trabajo para la Administración de Proyectos PO10.3 - Enfoque de Administración de Proyectos PO10.4 - Compromiso de los Interesados PO10.5 - Declaración de Alcance del Proyecto PO10.6 - Inicio de las Fases del Proyecto PO10 - Administrar Proyectos PO10.7 - Plan Integrado del Proyecto PO10.8 - Recursos del Proyecto PO10.9 - Administración de Riesgos del Proyecto PO10.10 - Plan de Calidad del Proyecto PO10.11 - Control de Cambios del Proyecto PO10.12 - Planeación del Proyecto y Métodos de Aseguramiento PO10.13 - Medición del Desempeño, Reporte y Monitoreo del Proyecto PO10.14 - Cierre del Proyecto
26
COBIT 4.1
ADQUIRIR E IMPLEMENTAR
DOMINIO
PROCESOS
OBJETIVOS DE CONTROL AI1.1 - Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 - Reporte de Análisis de Riesgos AI1 - Identificar soluciones AI1.3 - Estudio de Factibilidad y Formulación de Cursos automatizadas de Acción Alternativos. AI1.4 - Requerimientos, Decisión de Factibilidad y Aprobación AI2.1 - Diseño de Alto Nivel AI2.2 - Diseño Detallado AI2.3 - Control y Posibilidad de Auditar las Aplicaciones AI2.4 - Seguridad y Disponibilidad de las Aplicaciones AI2.5 - Configuración e Implantación de Software Aplicativo Adquirido AI2 - Adquirir y mantener software AI2.6 - Actualizaciones Importantes en Sistemas aplicativo Existentes AI2.7 - Desarrollo de Software Aplicativo AI2.8 - Aseguramiento de la Calidad del Software AI2.9 - Administración de los Requerimientos de Aplicaciones AI2.10 - Mantenimiento de Software Aplicativo AI3.1 - Plan de Adquisición de Infraestructura Tecnológica AI3.2 - Protección y Disponibilidad del Recurso de AI3 - Adquirir y mantener Infraestructura infraestructura tecnológica AI3.3 - Mantenimiento de la Infraestructura AI3.4 - Ambiente de Prueba de Factibilidad AI4.1 - Plan para Soluciones de Operación AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio AI4 - Facilitar la operación y el uso AI4.3 - Transferencia de Conocimiento a Usuarios Finales AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte AI5.1 - Control de Adquisición AI5.2 - Administración de Contratos con Proveedores AI5 - Adquirir recursos de TI AI5.3 - Selección de Proveedores AI5.4 - Adquisición de Recursos de TI AI6.1 - Estándares y Procedimientos para Cambios AI6.2 - Evaluación de Impacto, Priorización y Autorización AI6 - Administrar cambios AI6.3 - Cambios de Emergencia AI6.4 - Seguimiento y Reporte del Estatus de Cambio AI6.5 - Cierre y Documentación del Cambio AI7.1 - Entrenamiento AI7.2 - Plan de Prueba AI7.3 - Plan de Implantación AI7.4 - Ambiente de Prueba AI7 - Instalar y acreditar soluciones AI7.5 - Conversión de Sistemas y Datos y cambios AI7.6 - Pruebas de Cambios AI7.7 - Prueba de Aceptación Final AI7.8 - Promoción a Producción AI7.9 - Revisión Posterior a la Implantación
27
COBIT 4.1 DOMINIO
PROCESOS
DS1 – Definir y administrar los niveles de servicio
DS2 – Administrar los servicios de terceros
OBJETIVOS DE CONTROL DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 - Definición de Servicios DS1.3 - Acuerdos de Niveles de Servicio DS1.4 - Acuerdos de Niveles de Operación DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos DS2.1 - Identificación de Todas las Relaciones con Proveedores DS2.2 - Gestión de Relaciones con Proveedores DS2.3 - Administración de Riesgos del Proveedor DS2.4 - Monitoreo del Desempeño del Proveedor
ENTREGAR Y DAR SOPORTE
DS3.1 - Planeación del Desempeño y la Capacidad DS3.2 - Capacidad y Desempeño Actual DS3 – Administrar el desempeño y la DS3.3 - Capacidad y Desempeño Futuros capacidad DS3.4 - Disponibilidad de Recursos de TI DS3.5 - Monitoreo y Reporte DS4.1 - Marco de Trabajo de Continuidad de TI DS4.2 - Planes de Continuidad de TI DS4.3 - Recursos Críticos de TI DS4.4 - Mantenimiento del Plan de Continuidad de TI DS4.5 - Pruebas del Plan de Continuidad de TI DS4 – Garantizar la continuidad del servicio
DS4.6 - Entrenamiento del Plan de Continuidad de TI DS4.7 - Distribución del Plan de Continuidad de TI DS4.8 - Recuperación y Reanudación de los Servicios de TI DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 - Revisión Post Reanudación. DS5.1 - Administración de la Seguridad de TI DS5.2 - Plan de Seguridad de TI DS5.3 - Administración de Identidad DS5.4 - Administración de Cuentas del Usuario DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 - Definición de Incidente de Seguridad DS5 – Garantizar la seguridad de los DS5.7 - Protección de la Tecnología de Seguridad sistemas DS5.8 - Administración de Llaves Criptográficas DS5.9 - Prevención, Detección y Corrección de Software Malicioso DS5.10 - Seguridad de la Red DS5.11 - Intercambio de Datos Sensitivos
28
COBIT 4.1 DOMINIO
PROCESOS
OBJETIVOS DE CONTROL DS6.1 - Definición de Servicios
DS6 – Identificar y asignar costos
DS7 – Educar y entrenar a usuarios
DS6.2 - Contabilización de TI DS6.3 - Modelación de Costos y Cargos DS6.4 - Mantenimiento del Modelo de Costos DS7.1 - Identificación de Necesidades de Entrenamiento y Educación DS7.2 - Impartición de Entrenamiento y Educación DS7.3 - Evaluación del Entrenamiento Recibido DS8.1 - Mesa de Servicios DS8.2 - Registro de Consultas de Clientes
DS8 – Administrar la mesa de servicio y los incidentes
DS8.3 - Escalamiento de Incidentes DS8.4 - Cierre de Incidentes
ENTREGAR Y DAR SOPORTE
DS8.5 - Análisis de Tendencias
DS9 – Administrar la configuración
DS9.1 - Repositorio y Línea Base de Configuración DS9.2 - Identificación y Mantenimiento de Elementos de Configuración DS9.3 - Revisión de Integridad de la Configuración DS10.1 - Identificación y Clasificación de Problemas DS10.2 - Rastreo y Resolución de Problemas
DS10 –Administrar los problemas
DS11 – Administrar los datos
DS10.3 - Cierre de Problemas DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas DS11.1 - Requerimientos del Negocio para Administración de Datos DS11.2 - Acuerdos de Almacenamiento y Conservación DS11.3 - Sistema de Administración de Librerías de Medios DS11.4 - Eliminación DS11.5 - Respaldo y Restauración DS11.6 - Requerimientos de Seguridad para la Administración de Datos DS12.1 - Selección y Diseño del Centro de Datos DS12.2 - Medidas de Seguridad Física
DS12 – Administrar el ambiente físico
DS12.3 - Acceso Físico DS12.4 - Protección Contra Factores Ambientales DS12.5 - Administración de Instalaciones Físicas DS13.1 - Procedimientos e Instrucciones de Operación DS13.2 - Programación de Tareas.
DS13 – Administrar las operaciones
DS13.3 - Monitoreo de la Infraestructura de TI DS13.4 - Documentos Sensitivos y Dispositivos de Salida DS13.5 - Mantenimiento Preventivo del Hardware
29
COBIT 4.1 DOMINIO
PROCESOS
OBJETIVOS DE CONTROL ME1.1 - Enfoque del Monitoreo ME1.2 - Definición y Recolección de Datos de Monitoreo
ME1 - Monitorear y Evaluar el Desempeño de TI
ME1.3 - Método de Monitoreo ME1.4 - Evaluación del Desempeño ME1.5 - Reportes al Consejo Directivo y a Ejecutivos ME1.6 - Acciones Correctivas ME2.1 - Monitorización del Marco de Trabajo de Control Interno
MONITOREAR Y EVALUAR
ME2.2 - Revisiones de Auditoría ME2 - Monitorear y Evaluar el Control Interno
ME2.3 - Excepciones de Control ME2.4 - Control de Auto Evaluación ME2.5 - Aseguramiento del Control Interno ME2.6 - Control Interno para Terceros ME2.7 - Acciones Correctivas ME3.1 - Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3.2 - Optimizar la Respuesta a Requerimientos Externos
ME3 - Garantizar el Cumplimiento Regulatorio
ME3.3 - Evaluación del Cumplimiento con Requerimientos Externos ME3.4 - Aseguramiento Positivo del Cumplimiento ME3.5 - Reportes Integrados ME4.1 - Establecimiento de un Marco de Gobierno de TI ME4.2 - Alineamiento Estratégico ME4.3 - Entrega de Valor
ME4 - Proporcionar Gobierno de TI
ME4.4 - Administración de Recursos ME4.5 - Administración de Riesgos ME4.6 - Medición del Desempeño ME4.7 - Aseguramiento Independiente
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 30
COBIT se centra en un modelo de gestión basada en cuatro dominios que se presentan en la siguiente ilustración para luego dar una breve explicación de cada uno: ILUSTRACIÓN 2: DOMINIOS COBIT 4.1
Planear Y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
2.1.1.1.1 DOMINIO PLANEAR Y ORGANIZAR (PO)
Este dominio cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Basado en procesos y estos a su vez subdivididos en objetivos de control que se muestran en cada ilustración. (IT Governance Institute, COBIT 4.1, Pág.12, 2007)
31
El dominio planear y organizar está compuesto de 10 procesos que se detallan en la ilustración siguiente: ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR
PO5 Administrar la Inversión en TI
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO3 Determinar la Dirección Tecnológica
PO7 Administrar Recursos Humanos de TI
PO4 Definir los Procesos, Organización y Relaciones de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los riesgos de TI
PO10 Administrar Proyectos
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
32
PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI Según COBIT 4.1 “La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio”. (IT Governance Institute, COBIT 4.1, Pág.29, 2007) En la siguiente ilustración se detallan los 6 objetivos de control que componen el proceso definir un plan estratégico de TI. ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La viabilidad de todo proceso implica una conjugación de pasos estratégicos que amerita la concertación de actividades para la búsqueda de beneficios óptimos en eficiencia de los objetivos de un proceso organizacional. La consecución de los objetivos depende directamente de los pasos secuenciales difundidos dentro de la empresa para la correcta administración de los objetivos que inciden en los valores implementados en la alineación estratégica de la misma, buscan incurrir en las evaluaciones constantes y perennes para conseguir el plan estratégico institucional que permita describir los planes tácticos a implementar a la realización del tema. 33
PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN La descripción del proceso de COBIT detalla lo siguiente “La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información”. (IT Governance Institute, COBIT 4.1, Pág.33, 2007) Los 4 objetivos de control que abarca el proceso definir la arquitectura de la información se detallan en la siguiente ilustración: ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Cuando los objetivos implican el manejo de una infraestructura basada en la información es necesario respetar un modelo de tendencia para que los objetivos incurran en un proceso pro-activo de gestión ilimitada para que con una base informativa a través de diccionarios de valores y elementos ejecutables dentro de la organización mantengan las reglas claras en el desarrollo de los datos, realizando una esquematización que busca integrar la confianza y la responsabilidad de todos
34
quienes conforman las actividades de la TI en su completa y extensa calidad en la empresa.
PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA El marco de trabajo COBIT indica: La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. (IT Governance Institute, COBIT 4.1, Pág.37, 2007) El proceso determinar la dirección tecnológica está compuesto de 5 objetivos de control que se muestran en la siguiente ilustración: ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La dirección tecnológica involucra la planificación estratégica y la creación de un consejo de arquitectura con la finalidad de responder oportunamente a los cambios 35
sistemáticos y además permitan planificar de forma eficaz las tendencias y regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo y la evaluación de sistemas aplicativos así como recursos y capacidades que permitan aprovechar las oportunidades tecnológicas.
PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Se define en COBIT este proceso como: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. (IT Governance Institute, COBIT 4.1, Pág.41, 2007) Se detallan los 15 objetivos de control que comprende el proceso definir los procesos, organización y relaciones de TI en la siguiente ilustración:
36
ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Las relaciones de TI responden a las responsabilidades de entregar calidad en cada proceso, con la información y los datos que deben de estar adecuadamente supervisados para que la segregación de funciones sean lo más efectivo posible y el personal involucrado en la consecución de los objetivos elaboren un marco de trabajo estratégico que amplíe los constantes esfuerzos por alcanzar nuevas metas en la infraestructura, las tendencias organizativas incitan a un entorno sólido y característico para alcanzar roles relativamente responsables en cada meta trazada.
37
PROCESO PO5 - ADMINISTRAR LA INVERSIÓN EN TI COBIT indica que el proceso debe: “Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto”. (IT Governance Institute, COBIT 4.1, Pág.47, 2007) En la siguiente ilustración se detallan los 5 objetivos de control que conforman el proceso administrar la inversión en TI. ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 – ADMINISTRAR LA INVERSIÓN DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas áreas, sin embargo la inversión consiste en medir el esfuerzo, la eficiencia y optimizar los recursos con una adecuada gestión financiera, que permita difundir habilidades de comunicación integradoras para la correcta consecución de beneficios. El manejo adecuado y garantizado del proceso implica cambios sustanciales que garanticen beneficios y nuevos objetivos trazados. 38
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA Lo que menciona COBIT para este proceso es: “La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las políticas. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes”. (IT Governance Institute, COBIT 4.1, Pág.51, 2007) En la siguiente ilustración se detallan los 5 objetivos de control que abarca el proceso comunicar las aspiraciones y la dirección de la gerencia. ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 – COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El principal elemento para la consecución de los objetivos es el control siendo prioridad en las actividades integradoras que aplica la empresa en su proceso de enlazar la TI con el contorno de comunicación existente en los diferentes departamentos de la empresa, generando la elaboración y administración de políticas con el objeto de tener una dirección más efectiva. 39
El efecto comunicación garantiza un síntoma de creer que se pueden hacer las cosas mejor de lo que se está haciendo, creando un clima de constante motivación y deseo por alcanzar las metas definidas.
PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI COBIT indica para este proceso: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. (IT Governance Institute, COBIT 4.1, Pág.55, 2007) Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos de TI se muestran en la siguiente ilustración: ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 –ADMINISTRAR RECURSOS HUMANOS DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 40
ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El factor o talento humano implica la correcta aplicación de las competencias en relación al desempeño de las funciones del recurso más importante para los objetivos estratégicos de la empresa. Un manejo adecuado en el reclutamiento involucra un proceso de estudio y análisis de competencias para la asignación de cargos y ejecución de roles, de esto dependerá que el recurso humano sea proactivo y no se cree dependencia en cada una de las actividades. El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en las distintas actividades del personal, por eso es necesaria la proactividad, la evaluación y el desempeño de las actividades grupales.
PROCESO PO8 - ADMINISTRAR LA CALIDAD Para el cumplimiento del proceso, COBIT indica: “Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. La administración de calidad es esencial para garantizar que TI está dando valor al negocio, mejora continua y transparencia para los interesados”. (IT Governance Institute, COBIT 4.1, Pág.59, 2007) El proceso administrar la calidad está conformado por 6 objetivos de control que se presentan en la siguiente ilustración:
41
ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda acción ejecutada por el personal de la empresa, sin embargo la medición de la calidad está reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologías que involucra un proceso de cambio y mejoras para con los clientes internos y externos de la organización. La calidad forma parte de la planeación, control y evaluación por lo que refiere varios objetivos enlazados para encontrar los estándares de calidad y desarrollo, además su enfoque en los clientes internos y externos refleja una integración en base a la responsabilidad y confianza prescrita en cada analogía de los objetivos de control que mantiene COBIT.
42
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI De acuerdo con COBIT para este proceso se debe: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. El resultado de la evaluación debe ser entendible para los Interesados (Stakeholders) y se debe expresar en términos financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia. (IT Governance Institute, COBIT 4.1, Pág.63, 2007) En la siguiente ilustración se detallan los 6 objetivos de control comprendidos en el proceso evaluar y administrar los riesgos de TI. ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La administración del riesgo de TI está basada en los indicadores de control que ayudan en la identificación de eventos, su posterior evaluación y elaboración de respuestas estratégicas y oportunas que permitan un efectivo control de las amenazas y disminución del impacto, todo esto encuadrado en un marco de trabajo y considerado en un plan de acción de riesgo debidamente evaluado y monitoreado periódicamente. 43
PROCESO PO10 - ADMINISTRAR PROYECTOS Para COBIT se debe: Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribución a los programas de inversión facilitados por TI”. (IT Governance Institute, COBIT 4.1, Pág.67) Se muestran los 14 objetivos de control que comprende el proceso administrar proyectos en la siguiente ilustración: ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Estos objetivos de control se relacionan con el manejo adecuado de los proyectos desde su inicio hasta su culminación, midiendo el desempeño, reportando y monitoreando su desenvolvimiento, vigilando de esta manera la utilización apropiada de los recursos para que la calidad del proyecto sea la más efectiva. 44
2.1.1.1.2 DOMINIO ADQUIRIR E IMPLEMENTAR (AI)
“Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes”. (IT Governance Institute, COBIT 4.1, Pág.12, 2007) Esta definición trata de incursionar en las soluciones eficientes que detalla la metodología COBIT en los procesos de calidad del negocio, situación que pretende dar cambios y soportes a los proyectos que se vincula con base al esfuerzo de los recursos, siendo imprescindible el mantenimiento de los sistemas. Las TI garantizan que los procesos se ejecuten adecuadamente identificando los inconvenientes o riesgos para luego poder sistematizar la realización de los nuevos procesos, la adquisición de un software que permita mantener una mejor infraestructura tecnológica que agilite las operaciones de la empresa. En la siguiente ilustración se detallan los 7 procesos del dominio Adquirir e Implementar. ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 45
PROCESO AI1 – IDENTIFICAR SOLUCIONES AUTOMATIZADAS La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente, que permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. (IT Governance Institute, COBIT 4.1, Pág.73, 2007) Este primer proceso de identificar soluciones automatizadas se compone de 4 objetivos de control que se detallan en la siguiente ilustración: ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO AI1– IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos de control de este proceso permiten identificar en las soluciones automatizadas su efectividad y eficiencia, mediante la definición de los requerimientos técnicos del negocio, el análisis de los riesgos, y la aprobación de los estudios que se realicen de factibilidad y cursos de acción alternativos.
46
PROCESO AI2 – ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. (IT Governance Institute, COBIT 4.1, Pág.77, 2007) Con la siguiente ilustración se muestran los 10 objetivos de control que conforman el proceso adquirir y mantener software aplicativo.
ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO AI2 –ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Con estos objetivos de control se contribuye a mantener aplicaciones acordes a los requerimientos del negocio, garantizando su calidad, seguridad, disponibilidad y confiabilidad así como la satisfacción de los usuarios, convirtiendo el proceso en oportuno y rentable si está basado en buenas prácticas de adquisición y mantenimiento de software aplicativo. 47
PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. (IT Governance Institute, COBIT 4.1, Pág.81, 2007) Con la siguiente ilustración se detallan los 4 objetivos de control que comprende el proceso adquirir y mantener infraestructura tecnológica: ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO AI3 – ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La infraestructura tecnológica es un elemento primordial en el desarrollo integrado de la empresa por lo que su adquisición y mantenimiento debe estar basado en un plan que considere aspectos tales como costos, riesgos, vulnerabilidad, vida útil, etc. Con estos objetivos se puede proporcionar una infraestructura tecnológica confiable y segura.
48
PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO “Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura”. (IT Governance Institute, COBIT 4.1, Pág.85, 2007) El proceso facilitar la operación y el uso se compone de 4 objetivos de control que se muestran en la ilustración siguiente: ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO AI4 – FACILITAR LA OPERACIÓN Y EL USO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Estos controles contribuyen en la planificación de soluciones operativas que comprenden la transferencia de competencias y conocimientos al recurso humano para el soporte de las actividades de las TI y la utilización efectiva y eficiente de los sistemas que sirven de apoyo a los procesos del negocio. La documentación, el entrenamiento así como la adopción de herramientas y métodos se mantiene en forma continua y reflejan el apoyo a los requerimientos de la organización.
49
PROCESO AI5 – ADQUIRIR RECURSOS DE TI Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. (IT Governance Institute, COBIT 4.1, Pág.89, 2007) En la siguiente ilustración se detallan los 4 objetivos de control que abarca en el proceso adquirir recursos de TI. ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO AI5 – ADQUIRIR RECURSOS DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El adquirir recursos de TI involucra su control mediante el desarrollo de procedimientos de adquisición, la administración de contratos con los proveedores para su correcta selección consiguiendo con estos objetivos de control el cumplimiento de los intereses del negocio y la optimización de los recursos en términos monetarios.
50
PROCESO AI6 – ADMINISTRAR CAMBIOS Según COBIT: Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. (IT Governance Institute, COBIT 4.1, Pág.93, 2007) Los 5 objetivos de control comprendidos en el proceso administrar cambios se muestran en la siguiente ilustración: ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO AI6 – ADMINISTRAR CAMBIOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos de control de este proceso permiten seguir los pasos secuenciales para la adecuada administración de cambios definiendo y comunicando oportunamente los procedimientos a cumplir para realizarlos. El monitoreo y evaluación de los cambios minimiza errores e interrupciones y agrega valor a la información garantizando que TI sea un factor que hace posible un incremento en la productividad y crea nuevas oportunidades de negocio para la organización. 51
PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS Para el proceso se define que: Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén en línea con las expectativas convenidas y con los resultados. (IT Governance Institute, COBIT 4.1, Pág.97, 2007) Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y cambios, se detallan en la siguiente ilustración. ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO AI7 – INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Iniciando con el entrenamiento del personal de operaciones de la función de TI, pasando por las pruebas de ambiente, de cambios, de aceptación, realizar el monitoreo posterior a la implementación, evaluar los resultados, medir la satisfacción del usuario de los sistemas nuevos o modificados, todo esto forma parte de los objetivos de control de este proceso para garantizar el rendimiento y desarrollo de los nuevos recursos y asegurar el mejoramiento continuo de la calidad. 52
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS) En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. (IT Governance Institute, COBIT 4.1, Pág.13, 2007) El dominio Entregar y Dar soporte está compuesto de 13 procesos identificados en la siguiente ilustración. ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS10 Administrar los Problemas
DS11 Administrar los datos
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS7 Educar y entrenar a los usuarios
DS8 Administrar la Mesa de servicio y los incidentes
DS9 Administrar la configuración
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
53
PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los Interesados sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados. (IT Governance Institute, COBIT 4.1, Pág.101, 2007) Se detallan los 6 objetivos de control del proceso definir y administrar los niveles de servicio en la siguiente ilustración: ILUSTRACIÓN 23: OBJETIVOS DE CONTROL DEL PROCESO DS1 – DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: COBIT relaciona los objetivos de control en base directa de un marco de trabajo como la estrategia más significativa para la administración de los niveles de servicio que incluye acuerdo de niveles de servicio (SLA) y de operaciones (OLA). El monitoreo continuo del cumplimiento de los niveles de servicio y el análisis de los resultados permite identificar tendencias positivas y negativas consiguiendo asegurar la alineación de los servicios claves de TI con la estrategia del negocio. 54
PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada. (IT Governance Institute, COBIT 4.1, Pág.105, 2007) En la siguiente ilustración se muestran los 4 objetivos de control que conforman el proceso administrar los servicios de terceros. ILUSTRACIÓN 24: OBJETIVOS DE CONTROL DEL PROCESO DS2 – ADMINISTRAR LOS SERVICIOS DE TERCEROS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Utilizando los objetivos de control de este proceso se identifica y categoriza los servicios con los proveedores y se mide el grado de calidad, confianza y transparencia existente con ellos empleando SLAs. Con la identificación y mitigación del riesgo del proveedor y el monitoreo de su desempeño se asegura el cumplimiento de la calidad del servicio que debe estar acorde con los requerimientos y acuerdos definidos en los contratos y SLAs.
55
PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD “Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua”. (IT Governance Institute, COBIT 4.1, Pág.109, 2007) Con la siguiente ilustración se muestran los 5 objetivos de control que comprende el proceso administrar el desempeño y la capacidad. ILUSTRACIÓN 25: OBJETIVOS DE CONTROL DEL PROCESO DS3 – ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos de control de este proceso apuntan a la planeación para revisar la capacidad y el desempeño de los recursos de TI actuales y determinar pronósticos de los recursos futuros cuando el actual sea insuficiente. El monitoreo continuo contribuye a tomar acciones correctivas que permiten la disponibilidad de los servicios y optimización de su capacidad acordes a los SLAs establecidos en respuesta a las necesidades del negocio. 56
PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio. (IT Governance Institute, COBIT 4.1, Pág.113, 2007) Con la siguiente ilustración se muestra los 10 objetivos de control contenidos en el proceso garantizar la continuidad del servicio. ILUSTRACIÓN 26: OBJETIVOS DE CONTROL DEL PROCESO DS4 – GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Generar un marco de trabajo óptimo que incluya planes de continuidad que considere entre otras cosas la estructura organizacional, roles y responsabilidades, identificación de recursos críticos, etc. Considerar el mantenimiento, prueba, entrenamiento y distribución de los planes de continuidad asegura la recuperación y reanudación de los servicios de TI con un impacto mínimo. Los objetivos de control también contemplan una revisión posterior a la reanudación de las funciones de TI validando la efectividad de los planes de continuidad. 57
PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. (IT Governance Institute, COBIT 4.1, Pág.117, 2007) El proceso garantizar la seguridad de los sistemas está compuesto por 11 objetivos de control que se presentan en la siguiente ilustración: ILUSTRACIÓN 27: OBJETIVOS DE CONTROL DEL PROCESO DS5 – GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de negocio, riesgos y cumplimiento. Implementar mecanismos de autenticación para usuarios de las TI, y los permisos de accesos a información crítica y sensible debe contar con la debida aprobación. El monitoreo y las pruebas periódicas garantizan que se mantiene el nivel de seguridad aprobado. 58
PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS “Este proceso incluye la construcción y operación de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI”. (IT Governance Institute, COBIT 4.1, Pág.121, 2007) Los 4 objetivos de control que comprendidos en el proceso identificar y asignar costos se detallan en la ilustración siguiente: ILUSTRACIÓN 28: OBJETIVOS DE CONTROL DEL PROCESO DS6 – IDENTIFICAR Y ASIGNAR COSTOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los costos de TI deben asignarse en forma justa y equitativa a los consumidores de TI mediante una modelación adecuada de costos y cargos. Se requiere un monitoreo y evaluación oportuna para detectar desviaciones que permitan la constante optimización del costo de los recursos de TI y la toma de decisiones rentable con respecto al uso de los servicios.
59
PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS Este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios. (IT Governance Institute, COBIT 4.1, Pág.125, 2007) Con la siguiente ilustración se muestra los 3 objetivos de control contenidos en el proceso educar y entrenar a los usuarios. ILUSTRACIÓN 29: OBJETIVOS DE CONTROL DEL PROCESO DS7 – EDUCAR Y ENTRENAR A LOS USUARIOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Estos objetivos de control establecen la identificación de las necesidades de entrenamiento y educación mediante el desarrollo de un plan de entrenamiento para cada grupo objetivo de empleados, garantizando con ello el uso apropiado de los recursos de TI y optimizando su desempeño. La creación de una cultura moderada en el recurso humano ayuda a apaciguar los riesgos críticos que se podrían manifestar, mejor respuesta en la entrega de servicios y un incremento en la productividad. 60
PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. (IT Governance Institute, COBIT 4.1, Pág.129, 2007) En la siguiente ilustración se detallan los 5 objetivos de control contemplados en el proceso administrar la mesa de servicio y los incidentes. ILUSTRACIÓN 30: OBJETIVOS DE CONTROL DEL PROCESO DS8 – ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Con estos objetivos de control se puede conformar una mesa de servicio bien diseñada que atienda en forma oportuna y efectiva los requerimientos y problemas de los usuarios. Establecer procedimientos para el monitoreo y escalamientos de incidentes, priorizando la resolución de los más críticos corresponde a una adecuada administración de la mesa de servicio que permite mantener un control apropiado sobre los incidentes e identificar las tendencias de problemas recurrentes para mejorar el servicio de manera continua. 61
PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido. (IT Governance Institute, COBIT 4.1, Pág.133, 2007) Los 3 objetivos de control que constituyen el proceso administrar la configuración se presentan en la ilustración siguiente: ILUSTRACIÓN 31: OBJETIVOS DE CONTROL DEL PROCESO DS9 – ADMINISTRAR LA CONFIGURACIÓN
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Administrar la configuración permite establecer los parámetros que deben de ejecutarse en cualquier tipo de conflicto en donde podría manifestarse una amenaza, los objetivos de control señalan los lineamientos a seguir para la optimización de la infraestructura, recursos y capacidades de TI, con el establecimiento y mantenimiento de un repositorio central de todos los elementos de configuración y la revisión periódica de los datos de configuración para verificar su integridad. 62
PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS El proceso administrar los problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. (IT Governance Institute, COBIT 4.1, Pág.137, 2007) Los 4 objetivos de control incluidos en el proceso administrar los problemas se detallan en la ilustración siguiente: ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO DS10 – ADMINISTRAR LOS PROBLEMAS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Luego de la identificación y clasificación del problema, procede calificarlo acorde a la prioridad de exigencias y categorización. Identificar la causa raíz, definir soluciones sostenibles y monitorear el avance de estas soluciones contra los SLAs acordados. Una vez que se resuelve el problema el cierre del mismo amerita la integración con los procesos interrelacionados como el de administración de incidentes, de cambios y de configuración. Con la aplicación de estos objetivos se puede anticipar y prevenir los problemas garantizando la satisfacción de los usuarios finales. 63
PROCESO DS11 – ADMINISTRAR LOS DATOS El proceso administrar los datos también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio. (IT Governance Institute, COBIT 4.1, Pág.141, 2007) Un detalle de los 6 objetivos de control que conforman el proceso administrar los datos se presenta en la ilustración siguiente: ILUSTRACIÓN 33: OBJETIVOS DE CONTROL DEL PROCESO DS11 – ADMINISTRAR LOS DATOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos de control se plantean en base a un requerimiento del negocio para la correcta gestión de los datos, dirigida a mantener la integridad, exactitud, disponibilidad y protección de los mismos. Para esto se requiere el desarrollo de políticas y procedimientos para el almacenamiento, de inventario, de eliminación, de respaldos y de seguridad de los datos. Establecer en forma clara las responsabilidades sobre la propiedad y administración de los datos y son conocidas y actualizadas periódicamente. 64
PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos, la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico. La administración efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo y al personal. (IT Governance Institute, COBIT 4.1, Pág.145, 2007) En la siguiente ilustración se detallan los 5 objetivos de control que conforman el proceso administrar el ambiente físico. ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO DS12 –ADMINISTRAR EL AMBIENTE FÍSICO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El ambiente físico también debe ser administrado de acuerdo a leyes y reglamentos así como requerimientos técnicos del negocio y especificaciones de seguridad para proteger tanto los activos de TI como la información del negocio, y minimizar el riesgo por interrupciones del servicio. Aplicar los objetivos de control de este proceso permite una selección y diseño adecuada del centro de datos, adoptar medidas de seguridad, definir procedimientos para otorgar permisos de acceso a instalaciones, diseñar e implementar medidas de protección contra factores ambientales, todo esto brinda un ambiente físico apropiado para los recursos e infraestructura de TI. 65
PROCESO DS13 – ADMINISTRAR LAS OPERACIONES Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. (IT Governance Institute, COBIT 4.1, Pág.149, 2007) El proceso administrar las operaciones cuenta con 5 objetivos de control que se muestran en la siguiente ilustración: ILUSTRACIÓN 35: OBJETIVOS DE CONTROL DEL PROCESO DS13 – ADMINISTRAR LAS OPERACIONES
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Establecer políticas y procedimientos para la correcta administración de las operaciones de TI. Estos procedimientos deben extenderse para la programación de tareas, monitoreo de la infraestructura de TI y para el mantenimiento preventivo del hardware, todo esto complementado con la protección de datos sensitivos garantiza la continuidad de las operaciones y contribuyen a un ambiente estable. 66
2.1.1.1.4 DOMINIO MONITOREAR Y EVALUAR (ME) “Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y cumplimiento en cuanto a los requerimientos de control”. (IT Governance Institute, COBIT 4.1, Pág.13, 2007) El dominio Monitorear y Evaluar está basado en 4 procesos que se muestran a continuación: ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
67
PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
“El proceso incluye la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas”. (IT Governance Institute, COBIT 4.1, Pág.153, 2007) Los 6 objetivos de control que comprende el proceso monitorear y evaluar el desempeño de TI se muestran en la ilustración siguiente: ILUSTRACIÓN 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Un proceso de control que monitoree y evalúe periódicamente el desempeño de las TI comparándolo contra las metas acordadas es lo que recomienda Cobit mediante los objetivos de control. Los servicios proporcionados deberán ser medidos definiendo indicadores claves de desempeño (KPIs) para actividades internas y externas, los resultados de estas evaluaciones se reportan a la Gerencia para que esta disponga las medidas correctivas necesarias para el mejoramiento del desempeño. 68
PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. (IT Governance Institute, COBIT 4.1, Pág.157, 2007) En la siguiente ilustración se detallan los 7 objetivos de control que abarca el proceso monitorear y evaluar el control interno. ILUSTRACIÓN 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 – MONITOREAR Y EVALUAR EL CONTROL INTERNO
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Un marco de trabajo con sistemas de controles internos definidos, monitorear la eficiencia y efectividad de los controles internos para los procesos de TI y de ser necesario someterlos a revisión de terceros para asegurar su completitud, identificar excepciones y analizar sus causas para establecer correctivos, desarrollar y evaluar controles internos para proveedores de servicios externos, contar con un equipo de trabajo calificado para la evaluación de los controles, son parámetros contemplados en los objetivos de control de este proceso y representan una garantía de seguridad operacional. 69
PROCESO ME3 – GARANTIZAR REQUERIMIENTOS EXTERNOS
EL
CUMPLIMIENTO
CON
Este proceso incluye la definición de una declaración de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones. (IT Governance Institute, COBIT 4.1, Pág.161, 2007) Con la ilustración siguiente detallamos los 5 objetivos de control que abarca el proceso garantizar el cumplimiento con requerimientos externos. ILUSTRACIÓN 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 – GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Con la consecución de estos objetivos de control se consigue alinear las políticas, procedimientos, estándares y metodologías de TI de la organización con las leyes y regulaciones locales e internacionales con lo cual se minimiza el riesgo por el no cumplimiento y se optimizan los procesos de TI además la organización adquiere una cultura administrativa que la proyecta a niveles competitivos.
70
PROCESO M4 - PROPORCIONAR GOBIERNO DE TI “El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición
de
estructuras,
procesos,
liderazgo,
roles
y
responsabilidades
organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales”. (IT Governance Institute, COBIT 4.1, Pág.165, 2007) Los 7 objetivos de control que componen el proceso proporcionar gobierno de TI se presentan en la ilustración siguiente: ILUSTRACIÓN 40: OBJETIVOS DE CONTROL DEL PROCESO M4 - PROPORCIONAR GOBIERNO DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Estos objetivos de control contemplan la elaboración de informes oportunos al consejo directivo sobre la estrategia, el desempeño y los riesgos de TI. Establece un marco de trabajo para el gobierno de TI integrado al gobierno corporativo. El gobierno de la empresa y el gobierno de TI están ligados estratégicamente utilizando recursos financieros, humanos y tecnológicos para aumentar la ventaja competitiva de la empresa. 71
2.1.1.2 MISIÓN DE COBIT “Investigar, desarrollar, hacer público y promover un marco de control de Gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”. (IT Governance Institute, COBIT 4.1, Pág.9, 2007)
2.1.1.2.1 ÁREAS DE ENFOQUE DEL GOBIERNO DE TI El conjunto de acciones coordinadas entre la alta dirección y el área de TI permiten proporcionar servicios optimizados y administrar los riesgos en forma efectiva para alcanzar los objetivos estratégicos definidos de la organización. Por medio de la siguiente ilustración se indica las áreas de enfoque del Gobierno de TI dentro de la organización. ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras
72
ALINEACIÓN ESTRATÉGICA “Garantiza la alineación entre los planes de negocio y de TI; definiendo, manteniendo y validando la propuesta de valor de TI; y alineando las operaciones de TI con las operaciones de la empresa”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)
ENTREGA DE VALOR “Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)
ADMINISTRACIÓN DE LOS RECURSOS “Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura”. ((IT Governance Institute, COBIT 4.1, Pág.6, 2007)
ADMINISTRACIÓN DEL RIESGO “Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)
MEDICIÓN DEL DESEMPEÑO “Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para 73
lograr las metas medibles más allá del registro convencional”. (IT Governance Institute, COBIT 4.1, Pág.6, 2007)
2.1.1.2.2 CRITERIOS DE INFORMACIÓN DE COBIT Las metas de los negocios dependen del desenvolvimiento de la información que genera TI que debe estar adaptada a criterios de control. COBIT ha definido los siguientes criterios: Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento y Confiabilidad Los siete criterios de información que permiten satisfacer los objetivos del negocio se muestran en la ilustración siguiente: ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN
CRITERIOS DE INFORMACIÓN
Efectividad
Confidencialidad
Eficiencia
DIsponibilidad
Integridad
Confiabilidad
Cumplimiento
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 74
Efectividad: Es la información pertinente en los procesos del negocio, que se proporciona en forma segura, oportuna, consistente, relevante y utilizable.
Eficiencia: Es la información generada con el óptimo uso de los recursos.
Confidencialidad: La información sensible debe estar protegida contra revelación no autorizada.
Integridad: La completitud y la precisión de la información y la validez que esté acorde a las expectativas de la empresa.
Disponibilidad: La información que se desarrolle dentro de la organización esté disponible en todo momento, también involucra la protección de los recursos y las capacidades necesarias asociadas.
Cumplimiento: Se relaciona con el acatamiento de leyes, reglamentos y acuerdos a los cuales está sujeto el negocio, es decir criterios de negocios externos, así como políticas internas.
75
Confiabilidad: Consiste en proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
2.1.1.2.3 RECURSOS DE TI Las organizaciones invierten en recursos para poder atender a los requerimientos de TI y garantizar que los procesos se desarrollen acordes a las metas trazadas: Los recursos de TI se identifican en la siguiente ilustración: ILUSTRACIÓN 43: RECURSOS DE TI
TI APLICACIONES
Información
Infraestructura
PERSONAS
Información para la Gestión correcta en la organizacion
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras Aplicaciones: Se relaciona a los sistemas automatizados así como los procedimientos manuales que procesan información. 76
Información: Consiste en los datos generados por los sistemas de información y utilizados por el negocio en cualquiera de sus formas. Infraestructura: Comprende el software, el hardware además de los periféricos y las instalaciones así como el sitio y ambiente que soporta la tecnología de información. Personas: Representan el recurso humano requerido para la ejecución de los procesos de TI. Estas pueden ser internas, por outsourcing o contratadas según como se requiera.
2.1.1.2.4 MODELO DE MADUREZ COBIT Un modelo de madurez permite a la organización ir creciendo gradualmente y de forma equilibrada. COBIT plantea en su modelo de madurez las escalas siguientes: 0 - Inexistente: “Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver”. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) 1 - Ad hoc, inicial: “Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) 2 - Repetible pero intuitivo: “Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el 77
conocimiento de los individuos y, por lo tanto, los errores son muy probables”. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) 3 – Definido: “Los procedimientos se ha estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en si no son sofisticados pero formalizan las prácticas existentes”. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) 4 - Administrado y medido: “Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada”. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) 5 – Optimizado: “Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida”. (IT Governance Institute, COBIT 4.1, Pág.19, 2007) Esta herramienta de evaluación le permite a una empresa reconocer su evolución así como su situación actual y futura teniendo una perspectiva clara del nivel que quiere alcanzar: a) El desempeño actual de la empresa - Dónde la empresa está hoy en día. El nivel que obtiene en la evaluación da la pauta a los ejecutivos de las medidas correctivas a tomar para cada uno de los procesos y conseguir subir a la siguiente escala en caso de que no cumpla la ideal que es la de optimizado. b) El estado actual de la empresa - La comparación. La empresa podrá comparar su situación con respecto al nivel en el que se encuentran otras organizaciones similares y servirá igualmente para fijar la dirección hacia nuevos objetivos. 78
c) El objetivo de la empresa para mejorar - Dónde la empresa quiere estar. La situación de la empresa amerita un balance en la incorporación de la visión motivadora con la que establecerá planes, proyectos, mejoras tecnológicas necesarias que le permitan alcanzar un desarrollo eficaz y posicionarse en el lugar que desea estar. d) El camino a recorrer entre la situación actual y el objetivo. Establecer en el trayecto los cambios necesarios que permitan tener una visión más optimista en el logro para el alcance de los objetivos y que contribuyan en la gestión de crecimiento y evolución de la empresa. Con este modelo de madurez es más sencillo establecer que parámetros se cumplen y cuáles no. Así mismo definir para el cumplimiento, cómo se lo está haciendo.
2.1.2 BENEFICIOS PARA METODOLOGÍA COBIT
LA
EMPRESA
EN
APLICAR
LA
La adopción eficaz de las mejores prácticas ayudará a obtener valor de las inversiones de TI y los servicios de TI, sus principales beneficios son: • Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI. • Reformar la viabilidad, previsibilidad y repetitividad de resultados de negocios exitosos. • Generar la confianza y el progresivo involucramiento de beneficiarios y favorecedores del negocio. • Reducir peligros, sucesos y fracasos en los proyectos.
79
CAPÍTULO 3 3.1 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN
3.1.1 TIPO DE INVESTIGACIÓN La investigación consiste en la recopilación de datos o información suficiente que contribuye a la solución de un problema determinado. A continuación se detallan los tipos de investigación a considerar para el desarrollo de este proyecto:
Investigación de campo o directa: Es de campo porque se realizó en el ambiente en el que se desarrollan las actividades de las personas consultadas quienes proporcionarán los datos relevantes que serán analizados.
Investigación no experimental: Es no experimental porque los datos de interés son recogidos en forma directa de la realidad para hacer un análisis sistemático del problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar una solución.
3.1.2 MÉTODO DE INVESTIGACIÓN
En la ejecución de este proyecto se utilizó como método de investigación, el método de entrevista, el método de análisis, el método comparativo, en los cuales apoyaremos la relación causa-efecto del problema así como las recomendaciones para su solución. La entrevista y cuestionamiento a las personas que laboran en el departamento de Sistemas se la realiza con la finalidad de reunir los datos necesarios para el análisis de la situación y efectuar el diagnóstico comparando los resultados con lo que recomienda COBIT. 80
3.1.3 FUENTES
Y
TÉCNICAS
PARA
LA
RECOLECCIÓN
DE
INFORMACIÓN
Para el desarrollo de nuestro proyecto se elaboró una matriz en la herramienta Excel donde se elaboraron las preguntas basadas en el detalle de cada objetivo de control por lo tanto se utilizó el método de entrevista. Los pasos que se siguieron para obtener la información son: 1. Obtención del Marco de trabajo de COBIT. 2. Diseño de la matriz en Excel del Marco de Trabajo de COBIT. 3. Entrevistas. 4. Calificación y ponderación de los resultados.
3.1.4 LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO
Para la evaluación del marco de control de TI hemos considerado el detalle de los objetivos de control del manual COBIT 4.1 debido a que se investigó que al momento no hay la guía de aseguramiento de TI por lo que se utilizó la tercera edición de las directrices de auditoría y la segunda edición de los objetivos de control, a partir de lo cual se realizó un análisis con las referencias cruzadas que aparecen en el Apéndice V del manual COBIT 4.1 y se llegó a la conclusión de que hay una relación de estas versiones con el detalle del objetivo de control de COBIT 4.1. El diagnóstico realizado en la empresa EP hace énfasis en el control que se debe de aplicar en los diferentes procesos del departamento de sistemas para el mantenimiento, distribución y el almacenaje de la información y en el grado de efectividad de los mismos con relación a lo que COBIT recomienda.
81
3.1.5 MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS
La seguridad y los controles en los sistemas de información ayudan a disminuir los riesgos sin deshacerse de ellos por completo, puesto que siempre en toda empresa existirá un grado de incertidumbre.
Es necesario conocer el grado de riesgo o nivel que la organización esté dispuesta a aceptar para considerar un estándar, especialmente lo relacionado al análisis del costo-beneficio para aplicar las técnicas generalmente aceptadas de control y seguridad en tecnología de información.
3.1.5.1 DEFINICIONES PARA EL ANÁLISIS DE RIESGOS
•
Riesgo Informático: “Un riesgo informático se podría definir como la ausencia de seguridad en el procesamiento automático de datos”. (Fundación Wikimedia I. , 2012)
• Riesgos de Tecnología de Información: El concepto de riesgo de TI puede definirse como el efecto de una causa multiplicado por la frecuencia probable de ocurrencia dentro del entorno de TI. Surge así, entonces la necesidad del control que actúe sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos. • Utilidad del Método Matricial para el análisis de Riesgos: Este método utiliza una matriz para mostrar gráficamente tanto las amenazas a que están expuestos los sistemas computarizados como los objetos que comprenden el sistema. Dentro de cada celda se muestran los controles que atacan a las amenazas. (José Dagoberto Pinilla Forero, 1992)
82
El método se desarrolló de la siguiente manera: 1. Crear la matriz de amenazas (causas de riesgo) y de objetos del sistema a analizar. 2. Identificar los controles necesarios. 3. Registrar los controles dentro de la matriz. 4. Categorizar los riesgos. 5. Diseñar los controles definitivos. 6. Resultados del análisis de riesgos. 7. Verificar por parte de sistemas y de auditoría, la incorporación de los controles.
3.1.6 ANÁLISIS FODA Según (Talancón, 2006) se define que: “El análisis FODA consiste en realizar una evaluación de los factores fuertes y débiles que en su conjunto diagnostican la situación interna de una organización, así como su evaluación externa”
Las evaluaciones deben estar enfocadas en los factores relevantes para el éxito del negocio, resaltando las fortalezas y debilidades que son internas y contrastándolas con las oportunidades y amenazas que son externas. Un análisis crítico y objetivo permite determinar la situación de la empresa con respecto a su entorno y descubrir los aspectos en los cuales se necesita trabajar para mejorar y ser más competitivo.
83
A continuación se detalla en la ilustración la aplicación del análisis Foda en una organización. ILUSTRACIÓN 44: ANÁLISIS FODA
Fuente: (Annie, 2010) La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los procesos en base a los avances sistemáticos de la organización.
Estrategias FO FA DO DA
Según (Rosas Vázquez, 2007) Algunos modelos de Administración Estratégica se encontró que son complejos, difíciles de implantar en las personas, grupos y pequeñas empresas, para procurar un cambio deliberado que promueva el éxito de dichas instancias.
Estrategia FO. Se basa en la combinación de las fortalezas que posee la organización con las oportunidades que se presenten, para que con el uso estratégico de cada uno de ellas alcanzar los objetivos.
84
Estrategia FA. Disminuye al mínimo la situación de los factores externos que se presentan como amenazas, aprovechando las fortalezas con la que la organización cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de una forma tan directa, ya que a veces puede resultar más problemático para la institución.
Estrategia DO. Las oportunidades que tiene la organización es el detonador para tratar de disminuir las debilidades, logrando un equilibrio o transformándolas en fortalezas.
Estrategia DA. Consiste en aplicar estrategias muy bien diseñadas para contrarrestar las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia de la organización. A continuación se muestra la matriz FODA con la combinación de las estrategias: ILUSTRACIÓN 45: MATRIZ FODA
Fuente: (Rico, 2010) 85
CAPITULO 4 4.1 DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP
4.1.1 BREVE DESCRIPCIÓN DE LA EMPRESA EP
Por razones de seguridad nos referiremos a la empresa como la empresa EP.
La empresa EP pertenece al sector siderúrgico, y se dedica a la fabricación y comercialización de acero a nivel nacional. Su cartera de productos se orienta a satisfacer las necesidades del mercado de la construcción. La Empresa trabaja con los procedimientos de Calidad Total y las Normas ISO 9001:2008.
VISIÓN: Fabricar y entregar oportunamente productos de acero de alta calidad a precios competitivos.
MISIÓN: Líderes en la industria siderúrgica para satisfacer las necesidades de acero en el mercado nacional e incursionar en el mercado internacional con calidad, servicio y protección al medio ambiente.
4.1.1.1 HISTORIA
El crecimiento del sector de la construcción en el Ecuador -a finales de los años 60-, estaba en pleno auge y demandaba la provisión de hierro de óptima calidad, por lo que se crea la empresa EP el 19 de octubre de 1969, empresa que instala la primera planta laminadora ecuatoriana, para abastecer de material al mercado local.
86
El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificación ISO 9001: 2000 al Sistema de Gestión de Calidad. A todos estos logros alcanzados por la empresa se suma la mano de obra calificada, técnica y tecnología adecuada, manejo de los recursos residuales, que transforman a la empresa en la primera industria siderúrgica en el Ecuador con Certificación Internacional a la Calidad.
La empresa EP cuenta con un área destinada exclusivamente a la vigilancia del ISO 9000 que realiza permanentes auditorías internas para mantener el sistema de calidad y entregar acero altamente confiable a sus clientes y distribuidores.
4.1.1.2 PRODUCTOS FABRICADOS POR LA EMPRESA EP • Armaduras Conformadas • Alambre Trefilado • Varillas Soldables • Ángulos • Alambrón • Alambre Grafilado • Mallas Electro Soldadas • Barras Cuadradas
4.1.1.3 SERVICIOS QUE OFRECE LA EMPRESA EP
• Satisfacer la demanda con un equipo de asesores de ventas. • El equipo de ventas mide la conformidad cliente producto precio. • La transportación y distribución de un punto a otro dentro y fuera del país. • La empresa EP despliega sus procesos productivos y las características técnicas a los diferentes segmentos del mercado mediante:
87
a) Capacitación a los maestros de obra, a fin de explicar las ventajas de los productos. b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada año, para exponer las potencialidades de los productos. c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de Ingenieros, de Arquitectos, etc. d) Visitas de los estudiantes de colegios técnicos y universidades del país a la planta industrial de Acería y Laminación en la empresa EP con el objetivo de reforzar su formación académica.
4.1.1.4 PROMOCIONES DISPONIBLES EN LA EMPRESA EP
• La empresa EP participa en ferias de la construcción y afines. • Auspicia a revistas especializadas de la construcción y capacita a organismos
En el estudio de la empresa EP se puede determinar que es una de las productoras de acero más importante a nivel nacional debido a su amplio recorrido en el mercado y más aún con la calidad del producto que entrega a sus usuarios a nivel de construcción. La adopción de la metodología COBIT por parte del departamento de sistemas, facilitaría el control y efectiva administración de sus procesos y de manera general de las funciones de TI.
88
4.1.1.5 ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP La empresa EP cuenta con una estructura conformada por varios departamentos siendo el departamento de sistemas uno de sus principales ya que depende directamente de la Gerencia. La ilustración siguiente muestra en detalle la estructura de la empresa: ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP
Fuente: EMPRESA EP Elaborado: Las Autoras
89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP En la ilustración que se presenta bajo este texto, se muestra el organigrama funcional de las TI en la empresa EP. El departamento, está conformado por cinco personas; el jefe de TI y cuatro responsables que ellos denominan “especialistas” de los procesos. Estos tienen a su cargo tareas específicas, las cuales se ejecutan en coordinación con el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.
ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA EMPRESA EP
Fuente: EMPRESA EP Elaborado: Las Autoras
90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP La gestión del departamento de sistemas de la empresa EP está conformada por niveles como se muestra en el gráfico siguiente: ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA EMPRESA EP
Fuente: EMPRESA EP Elaborado: Las Autoras
NIVEL OPERATIVO: Se encarga del análisis de los resultados respecto a los recursos utilizados en los procesos para la toma de decisiones a corto plazo. NIVEL TÁCTICO: Se encarga de mejorar el rendimiento de la empresa EP con la asignación de los recursos a medio plazo. NIVEL ESTRATÉGICO: En este nivel se toman las decisiones que la empresa debe seguir a futuro.
91
4.1.1.8 ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN La empresa EP para mantener su competitividad en el mercado analiza sus fortalezas y debilidades así como sus oportunidades y amenazas en la siguiente tabla. TABLA 4: ANÁLISIS FODA – ÁREA TI MATRIZ DEL FODA ACERIAS NACIONALES DEL ECUADOR S.A. "ANDEC" FORTALEZAS DEBILIDADES 1.- Buena imagen corporativa 1.- Insuficientes contactos con empresas 2.- Cultura de calidad Similares en el exterior 3.- Único complejo siderúrgico del país 2.- Falta de centralización de información de 3.- Fuerza laboral técnica con nivel medio la competencia y Superior 3.- Falta de optimización en los sistemas de 4.- Pertenecer al grupo DINE información 5.- Certificación y sello de calidad INEN 6.- Diversidad de medidas de productos 7.- Ubicación geográfica de la empresa 8.- Certificación ISO 9002 9.- Planta operativa de alta tecnología AMENAZAS 1.- Competencia Nacional 2.- Crecimiento de Importaciones 3.- Inestabilidad Socio-económical del País 4.- Alto Costo de energía eléctrica
FA 1.1. Mantener y difundir buena imagen corporativa. 2.2. Mantener Certificación ISO 9002 3.3. Aprovechar coyuntura con FF.AA. 4.4. Proyecto de ahorro energía eléctrica
DA 1.1. Tomar contactos técnicos en el exterior 2.2. Evitar Organizaciones Sindicales 3.3. Análisis de competencia
OPORTUNIDADES 1.- Posibilidad de exportar 2.- Apertura a la inversión Nacional e Internacional 3.- Diversificación de la demanda del producto 4.- Acercamiento con los centros de Educación superior 5.- Conyuntura con las Fuerzas Armadas
FO 1.1. Preparación para globalización del mercado. 2.2. Aprovechar ubicación geográfica 3.3. Brindar al cliente un valor agregado. 4.4. Categorizar a los clientes 5.5. Adoptar medidas para enfrentar competencia nacional e importaciones.
DO 1.1. Acuerdos con empresas del exterior que provean productos afines a la construccion 2.2. Apoyar a la especialización técnica del personal. 3.3. Mantener un buen nivel de abastecimiento 4.4. Actualización de información de competencia.
Fuente: EMPRESA EP Elaborado: Las Autoras 92
4.1.2 DISEÑO DEL MODELO DE EVALUACIÓN
Los datos para el diagnóstico son tomados del manual COBIT 4.1, se diseñó una tabla en Excel considerando los dominios, procesos, actividades de los procesos, objetivos de control y detalle de los objetivos de control, además de realizar un cuestionario de preguntas por cada objetivo tomando como referencia la 2da edición de los Objetivos de Control y la 3ª Edición de las Directrices de Auditoría para identificar el cumplimiento de los procesos del departamento de sistemas con relación a lo que indica la metodología COBIT.
Se coordinó con anticipación entrevistas con los encargados de cada proceso del departamento de sistemas, así como con el jefe del departamento para obtener la información necesaria de esta investigación en base al cuestionario de preguntas previamente elaborado, para posteriormente calificar las respuestas obtenidas.
Se determinó a nivel grupal una puntuación de 1(uno) y 0(cero) en donde las declaraciones de afirmación estaban representadas por el 1 y las de negación por el 0 para cada respuesta, cabe recalcar que dentro de la calificación existen respuestas con una puntuación intermedia de 0 a 1 de acuerdo al análisis realizado.
A continuación se muestra la tabla que recopila la información del resultado de las entrevistas realizadas en el departamento de sistemas de la empresa EP.
93
Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga programas con casos de negocio sólidos. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de libertad en cuanto a la asignación de fondos. Los procesos de TI deben proporcionar una entrega efectiva y eficiente de los componentes TI de los programas y advertencias oportunas sobre las desviaciones del plan, incluyendo costo, cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas. Los servicios de TI se deben ejecutar contra acuerdos de niveles de servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios y del control de los costos es claramente asignada y monitoreada. Establecer una evaluación de los casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios esperados.
CALIFICACIÓN
OBJETIVOS DE CONTROL
RESPUESTAS
1.- ¿El portafolio de inversiones de TI contiene programas con casos de negocio sólidos?
El portafolio cubre el 3% de los procesos de la empresa en la actualidad basado en el presupuesto anual. Tienen algunos proyectos en curso como proyecto de seguridad informáticas, implementación de estandares, 1,00 integración de cliente y proveedores a la cadena de valor., Adquirir software para las áreas de mantenimiento y proyectos.
2.- ¿Los procesos de TI proporcionan una entrega efectiva de los componentes TI de los programas?
Se revisa mensualmente lo presupuestado vs. lo real cada gerencia hace seguimiento mediante reuniones y se verifica las desviaciones en cuanto a dinero. Hay procedimientos para establecer los controles sobre los datos o resultados que se generan en los sistemas. En cada area hay monitoreo. 1,00 Si hay herramientas que dan información a los gerentes (tableros gerenciales) para toma de decisiones, A nivel operativo los reportes sobre transacciones. A nivel estratégico el balance score card o cuadro de mano integral. Ver respuesta anterior. 1,00
3.- ¿Los procesos de TI proporcionan una entrega eficiente de los componentes TI de los programas? 4.- ¿Los procesos de TI advierten oportunamente sobre las desviaciones del plan, incluyendo costo, cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas?
Ver respuesta anterior. 1,00
5.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Si se tiene acuerdos de niveles de servicio. Es equitativos? un contrato coorporativo por lo que si son equitativos y exigibles.
1,00
6.- ¿Los servicios de TI se ejecutan contra acuerdos de niveles de servicios Ver respuesta anterior. exigibles?
1,00
1,00
PO1.2 - Alineación de TI con el Negocio.
Educar a los ejecutivos sobre las capacidades tecnológicas actuales y sobre el rumbo futuro, sobre las oportunidades que ofrece TI, y sobre qué debe hacer el negocio para capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual está alineado TI está bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando de manera clara las metas de la empresa y las metas de TI y reconociendo las oportunidades así como las limitaciones en la capacidad actual, y se deben comunicar de manera amplia. Identificar las áreas en que el negocio (estrategia) depende de forma crítica de TI, y mediar entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer prioridades concertadas.
10.- ¿Se evalúa el riesgo de no materializar los beneficios esperados?
Ver respuesta anterior.
1. ¿Los ejecutivos reciben capacitación tecnológica actual?
Reciben la especifica al caso por herramienta adquirida. No hay capacitación. Implementarán programas de capacitacion en todos los niveles para las personas que van a trabajar y elaborarán planes de capacitaciòn 0,50 en base al análisis de las necesidades de los usuarios. Si se lo hacia por el año 2001 y lo piensan retomar.
3.- ¿Está bien entendido el rumbo del negocio al cual está alineado TI
La parte administrativa si está bien atendida, pero la parte operativa no. No hay en planta. Tienen que levantar informaciòn y hacer un 0,50 diagnostico para elaborar los planes de acción y asignar prioridades.
4.- ¿Las estrategias de negocio y de TI están integradas?
Si están integradas. Toda la gestión de Ti esta alineada con el plan estratégico de TI que está hecho en base al plan estratégico de la 1,00 empresa.
5.- ¿Cuáles son las áreas en que el negocio (estrategia) depende de forma crítica de TI?
Todas las áreas. Primero hay que garantiar la continuidad del negocio mediante un buen plan de contingencia, implementar políticas 0,00 de seguridad y de seguridad informática.
6.- ¿Entre los imperativos del negocio y la tecnología, están establecidas prioridades concertadas?
Si está priorizado. Los proyectos están hechos 1,00 en base a las necesidades del negocio.
PO1.3 - Evaluación del Desempeño y la Capacidad Actual.
2.- ¿En el Evaluar el desempeño de los planes existentes y de los 3.- ¿En el sistemas de información en términos de su contribución a los objetivos de negocio, su funcionalidad, su estabilidad, su 4.- ¿En el complejidad, sus costos, sus fortalezas y debilidades. 5.- ¿En el
Crear un plan estratégico que defina, en cooperación con los interesados relevantes, cómo TI contribuirá a los objetivos estratégicos de la empresa (metas) así como los costos y riesgos relacionados. Incluye cómo TI dará soporte a los programas de inversión facilitados por TI y a la entrega de los servicios operativos. Define cómo se cumplirán y medirán los objetivos y recibirán una autorización formal de los interesados. El plan estratégico de TI debe incluir el presupuesto de la inversión / operativo, las fuentes de financiamiento, la estrategia de obtención, la estrategia de adquisición, y los requerimientos legales y regulatorios. El plan estratégico debe ser lo suficientemente detallado para permitir la definición de planes tácticos de TI.
0,50
2.- ¿Los ejecutivos saben lo que debe hacer el negocio para capitalizar las No saben como hacerlo porque ya lo 0,00 oportunidades que ofrece TI? hubieran exigido.
1.- ¿En el desempeño de los planes existentes se evalúa la funcionalidad? Si se evaluán.
PO1.4 - Plan Estratégico de TI.
Relacionar las metas del negocio con las de TI.
9.- ¿Se evalúa el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que están expuestos beneficios esperados? pero no hay una evaluación del impacto, se 0,50 está trabajando en un proyecto de seguridad informática.
Identificar dependencias críticas y desempeño actual.
O R G A N I Z A R
PREGUNTAS
8.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si. costos está claramente monitoreada?
Construir un plan estratégico para TI.
Y
DETALLE OBJETIVO CONTROL
7.- ¿La rendición de cuentas del logro de los beneficios y del control de los Si está asignada porque se basan en costos está claramente asignada? presupuesto, y monitoreada porque es auditada de manera interna y externa. Es 1,00 corporativa.
PO1 - Definir un Plan Estratégico de TI.
P L A N E A R
COBIT
PO1.1 - Administración del Valor de TI.
ACTIVIDADES DEL PROCESO Relacionar las metas del negocio con las de TI.
PROCESOS
DOMINIO
TABLA 5: MATRIZ GENERAL COBIT 4.1
1,00
desempeño de los planes existentes se evalúa la estabilidad?
Si se evaluán.
desempeño de los planes existentes se evalúa la complejidad?
Si se evaluán.
1,00
desempeño de los planes existentes se evalúa los costos?
Si se evaluán.
1,00
desempeño de los planes existentes se evalúa la fortaleza?
Si se evaluán.
1,00
6.- ¿En el desempeño de los planes existentes se evalúa la debilidad?
Si se evaluán.
1.- ¿Existe un plan estratégico?
Si hay PETI.
1,00
1,00 1,00
2.- ¿Este plan define cómo TI contribuirá a los objetivos estratégicos de la Si, contempla todo. empresa?
1,00
3.- ¿En este plan están definidos los costos relacionados?
Ver respuesta anterior.
1,00
4.- ¿En este plan están definidos los riesgos relacionados?
Ver respuesta anterior.
1,00
5.- ¿En el plan incluye cómo TI dará soporte a los programas de inversión? Si. Hicieron un analisis FODA. 6.- ¿En el plan incluye cómo TI dará soporte a la entrega de los servicios operativos?
Ver respuesta anterior.
7.- ¿El plan define cómo se cumplirán los objetivos?
Si.
8.- ¿El plan define cómo se medirán los objetivos?
Si.
9.- ¿El plan es lo suficientemente detallado para permitir la definición de planes tácticos de TI?
Si.
94
1,00 1,00 1,00 1,00 1,00
PREGUNTAS
Administrar de forma activa, junto con el negocio, el portafolio de programas de inversión de TI requerido para lograr objetivos de negocio estratégicos específicos por medio de la identificación, definición, evaluación, asignación de prioridades, selección, inicio, administración y control de los programas. Esto incluye clarificar los resultados de negocio deseados, garantizar que los objetivos de los programas den soporte al logro de los resultados, entender el alcance completo del esfuerzo requerido para lograr los resultados, definir una rendición de cuentas clara con medidas de soporte, definir proyectos dentro del programa, asignar recursos y financiamiento, delegar autoridad, y comisionar los proyectos requeridos al momento de lanzar el programa.
1.- ¿Existe un portafolio de planes tácticos de TI derivados del plan Si existe. estratégico de TI? 2.- ¿Estos planes tácticos describen los recursos requeridos por TI? Si, incluye todo.
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintáxis de Datos.
1,00 1,00
3.- ¿Estos planes tácticos describen como se monitorean los recursos?
Si.
1,00
4.- ¿Estos planes tácticos describen como se administran los recursos?
Si.
1,00
5.- ¿Estos planes tácticos describen como se monitorean los beneficios Si. obtenidos? 6.- ¿Estos planes tácticos describen como se administran los beneficios Si. obtenidos? 7.- ¿Los planes tácticos permiten la definición de planes de proyectos? Si (planes de acción). 8.- ¿Se administran los planes tácticos mediante el análisis de los Si se administran. portafolios de proyectos y servicios? 9.- ¿El equilibio de recursos se compara con el logro de metas Si se compara. estratégicas? 10.- ¿El equilibio de recursos se compara con los beneficios esperadps? Si se compara. 11.- ¿Se toman las medidas necesarias en caso de desviaciones?
Si.
1.- Sobre los programas de inversión de TI(proyectos): a. ¿Se administran de forma activa la inversión? b. ¿Se identifican nuevos proyectos?
Si.
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
d. ¿Se evalúan los nuevos proyectos?
Si, algunos surgen de las necesidades de los 1,00 clientes y otros surgen aquí. Si. 1,00 Si. 1,00
e. ¿Se priorizan los proyectos?
Si.
1,00
f. ¿Se seleccionan proyectos?
Si.
1,00
g. ¿Se administran los proyectos?
Si.
1,00
h. ¿Se controlan los proyectos?
Si.
c. ¿Se definen nuevos proyectos?
1,00 1.- ¿El modelo de información empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos aplicaciones consistente con los planes de TI? que como resultado. TI hace un levantamiento de informaciòn por cada necesidad que surge . El modelo contribuye un 70% a proporcionar la informacion que TI necesita para realizar 0,70 el trabajo. Se trabaja con reporteadores para unificar la informaciòn de los procesos y que de informacion necesaria para las diferentes areas sobre situaciones críticas.
Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. El modelo debe facilitar la creación, uso y el compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, rentable, oportuna, segura y tolerante a fallos.
2.- ¿El modelo de información empresarial facilita las actividades de Ver respuesta anterior. soporte a la toma de decisiones, consistente con los planes de TI?
0,70
3.- ¿El modelo facilita la creación la información?
Solo un 70%.
0,70
4.- ¿El modelo facilita el uso de la información?
Si en un 70%.
0,70
5.- ¿El modelo facilita el compartir en forma óptima la información?
Si en un 70%.
6.- ¿El modelo permite que la información se mantenga integra? 7.- ¿El modelo permite que la información se mantenga flexible?
8.- ¿El modelo permite que la información se mantenga funcional? 9.- ¿El modelo permite que la información se mantenga rentable?
10.- ¿El modelo permite que la información se mantenga oportuna?
PO2.3 - Esquema de Clasificación de Datos.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL PO1.5 - Planes Tácticos de TI. PO1.6 - Administración del Portafolio de TI.
Crear un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI. Estos planes tácticos deben describir las iniciativas y los requerimientos de recursos requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán monitoreados y administrados. Los planes tácticos deben tener el detalle suficiente para permitir la definición de planes de proyectos. Administrar de forma activa los planes tácticos y las iniciativas de TI establecidas por medio del análisis de los portafolios de proyectos y servicios. Esto incluye el equilibrio de los requerimientos y recursos de forma regular, comparándolos con el logro de metas estratégicas y tácticas y con los beneficios esperados, y tomando las medidas necesarias en caso de desviaciones.
PO2.1 - Modelo de Arquitectura de Información Empresarial.
ACTIVIDADES DEL PROCESO Construir planes tácticos para TI. Analizar portafolios de programas y administrar portafolios de servicios y proyectos. Crear y mantener modelo de información corporativo/empresarial.
DETALLE OBJETIVO CONTROL
11.- ¿El modelo permite que la información se mantenga segura?
Crear y mantener diccionario de datos corporativo.
O R G A N I Z A R
PO2 - Definir la Arquitectura de la Información.
Y
*Establecer y mantener esquema de clasificación de datos. *Brindar a los dueños procedimientos y herramientas para clasificar los sistemas de información.
PROCESOS PO1 - Definir un Plan Estratégico de TI.
DOMINIO
P L A N E A R
COBIT
0,70 En parte. No tanto integra por el tema de la 0,30 seguridad informatica. En cuanto a modelo de informacion se planea la capacitación con usuarios back up o segundo a bordo para que la información no 0,30 esté concentrada en personas específicas. Se tendrá una base de conocimientos.
En parte.
0,30 Es rentable en parte aunque no han medido el beneficio que se ha obtenido en tener este 0,30 modelo. No esta todo, hay que trabajar. En parte. 0,30 En parte están en el proceso de implementar 0,30 un proyecto de seguridad de la información.
12.- ¿El modelo permite que la información se mantenga tolerante a Es rentable en parte aunque no han medido el fallos? beneficio que se ha obtenido en tener este 0,30 modelo. No esta todo, hay que trabajar. 1.-¿El diccionario de datos incluye reglas de sintaxis de datos de la No incluye. El Baan si tiene, el Adam no tiene, 0,00 organización? el Holding tampoco. 2.-¿El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren aplicaciones? unirlo a nivel empresarial no se puede. a) No han obtenido a nivel de Baan las fuentes. b) Tecnologia no ha recibido capacitación Mantener un diccionario de datos empresarial que incluya técnica sobre la BD y las relaciones de los las reglas de sintaxis de datos de la organización. El elementos de la BD. Pero si se puede solicitar diccionario facilita compartir elementos de datos entre las capacitación técnica a los proveedores de los aplicaciones y los sistemas, fomenta un entendimiento aplicativos y otra alternativa es el común de datos entre los usuarios de TI y del negocio, y autoaprendizaje. previene la creación de elementos de datos incompatibles. 3.-¿El diccionario facilita compartir elementos de datos entre los Ver respuesta anterior. sistemas? 4.- ¿El diccionario fomenta un entendimiento común de datos entre los Ver respuesta anterior. usuarios de TI y del negocio? 5.- ¿El diccionario previene la creación de elementos de datos Ver respuesta anterior. incompatibles? 1.- ¿El esquema de clasificación de datos aplica a toda la empresa? Es empririco. Como TI, no está establecido un procedimiento. En ISO 9000 les dicen como generar los documentos pero no los categoriza. No lo tienen contemplado. Tienen proyecto de implementar ISO 27000 y asumen que en este estandar estará contemplado Establecer un esquema de clasificación que aplique a toda la esto. 2.- ¿Está basado en que tan crítica es la información (pública, Ver respuesta anterior. empresa, basado en que tan crítica y sensible es la confidencial, secreta) de la empresa? información (esto es, pública, confidencial, secreta) de la 3.- ¿Está basado en que tan sensible es la información (pública, Ver respuesta anterior. empresa. Este esquema incluye detalles acerca de la confidencial, secreta) de la empresa? propiedad de datos, la definición de niveles apropiados de 4.- ¿Este esquema incluye detalles cómo la propiedad de datos? Ver respuesta anterior. seguridad y de controles de protección, y una breve descripción de los requerimientos de retención y destrucción 5.- ¿Este esquema define los niveles apropiados de seguridad? Ver respuesta anterior. de datos, además de qué tan críticos y sensibles son. Se usa 6.- ¿Este esquema define los niveles apropiados de controles de Ver respuesta anterior. como base para aplicar controles como el control de acceso, protección? archivo o cifrado. 7.- ¿Este esquema describe los requerimientos de retención de datos? Ver respuesta anterior.
0,00
0,00 0,00 0,00
0,00
0,00 0,00 0,00 0,00 0,00 0,00
8.- ¿Este esquema describe los requerimientos de destrucción de datos?
Ver respuesta anterior.
0,00
9.- ¿Este esquema describe que tan críticos son los datos?
Ver respuesta anterior.
0,00
10.- ¿Este esquema describe que tan sensibles son los datos?
Ver respuesta anterior.
0,00
11.- ¿Este esquema se utiliza como base para aplicar controles como el de Ver respuesta anterior. acceso, archivo o cifrado?
0,00
95
RESPUESTAS
PO3.4 - Estándares Tecnológicos. PO3.5 - Consejo de Arquitectura de TI.
Monitorear la evolución tecnológica.
CALIFICACIÓN
OBJETIVOS DE CONTROL PO2.4 Administración de Integridad. PO3.1 - Planeación de la Dirección Tecnológica. PO3.2 - Plan de Infraestructura Tecnológica. PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras.
ACTIVIDADES DEL PROCESO Crear y mantener un plan de infraestructura tecnológica. Crear y mantener estándares tecnológicos. Publicar estándares tecnológicos.
PROCESOS
Usar el modelo de información, el diccionario de datos y el esquema de clasificación para planear los sistemas
PREGUNTAS
1.- ¿Existen procedimientos que garanticen la integridad de los datos En un pequeño porcentaje, a nivel de almacenados en formato electrónico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25 almacenes de datos y archivos? mayoria documentados. Se lo piensa hacer. 2.- ¿Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior. datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos? 1.- ¿Se analizan las tecnologías existentes? Si. Los proveedores vienen a que les enseñen. 2.- ¿Se analizan las tecnologías emergentes?
3.- ¿Se planea cuál dirección tecnológica es apropiada tomar para Analizar las tecnologías existentes y emergentes y planear materializar la estrategia de TI? cuál dirección tecnológica es apropiada tomar para 4.- ¿Se planea cuál dirección tecnológica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas materializar la arquitectura de sistemas del negocio? del negocio. También identificar en el plan qué tecnologías 5.- ¿Están identificadas en el plan las tecnologías que tienen el potencial tienen el potencial de crear oportunidades de negocio. El plan de crear oportunidades de negocio? debe abarcar la arquitectura de sistemas, la dirección 6.- ¿El plan abarca la arquitectura de sistemas? tecnológica, las estrategias de migración y los aspectos de contingencia de los componentes de la infraestructura. 7.- ¿El plan abarca la dirección tecnológica?
Si. Si. Si.
0,25 1,00 1,00 1,00 1,00
No, a lo mucho el internet, por las 0,00 exportaciones. El plan de TI abarca todo eso, contingencia, riesgo, pero en un porcentaje. Falta crear 0,50 (tienen seguridad, riesgos, capacitacion). En parte.
0,50
8.- ¿El plan abarca las estrategias de migración?
Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los planes estratégicos y tácticos de TI. El plan se basa en la dirección tecnológica e incluye acuerdos para contingencias y orientación para la adquisición de recursos tecnológicos. También toma en cuenta los cambios en el ambiente competitivo, las economías de escala para inversiones y personal en sistemas de información, y la mejora en la interoperabilidad de las plataformas y las aplicaciones.
Establecer un proceso para monitorear las tendencias ambientales del sector / industria, tecnológicas, de infraestructura, legales y regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnológica de TI.
En parte. 0,50 9.- ¿El plan abarca los aspectos de contingencia de los componentes de la En parte. 0,50 infraestructura? 1.- ¿Existe un plan de infraestructura tecnológica? En la actualidad no. Se están haciendo diagnosticos en base de datos, servidores , SO. y estandares (ITIL, Cobit, ISO 27000 y 0,00 seguridad informática). En base a ese diagnostico (3 empresas lo hacen) se elaborará el plan estratégico. 2.- ¿El plan de infraestructura tecnológica está acorde con los planes Ver respuesta anterior. 0,00 estratégicos de TI? 3- ¿Tienen planes tácticos de TI?
Ver respuesta anterior.
0,00
4- ¿El plan de infraestructura tecnológica está acorde con los planes Ver respuesta anterior. tácticos de TI?
0,00
5.- ¿El plan está basado en la dirección tecnológica?
1,00
Si está basado en la dirección tecnológica.
6.- ¿El plan incluye acuerdos para contingencias?
Si. 1,00 7.- ¿El plan incluye la orientación para la adquisición de recursos Si. 1,00 tecnológicos? Si considera los cambios en el ambiente 8.- ¿El plan considera los cambios en el ambiente competitivo? 1,00 competitivo. 9.- ¿El plan considera las economías de escala para inversiones? Ver respuesta anterior. 1,00 10.- ¿El plan considera al personal en sistemas de información? Ver respuesta anterior. 1,00 11.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior. plataformas? 12.- ¿El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior. aplicaciones? 1.- ¿Existe un proceso para monitorear las tendencias ambientales del No existe un proceso claro. Se lo hace en base sector/industria? a los requerimientos del usuario, no es continuo y por el momento el usuario solicita algo que está vigente en el mercado. (Software para biblioteca de planos, PDA. Integración del Baan con el BSC). 2.- ¿Existe un proceso para monitorear las tendencias tecnológicas? Ver respuesta anterior.
1,00 1,00
0,00
0,00
3.- ¿Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior.
0,00
4.- ¿Existe un proceso para monitorear las tendencias legales?
0,00
Ver respuesta anterior.
5.- ¿Existe un proceso para monitorear las tendencias regulatorias? Ver respuesta anterior. 0,00 6.- ¿Están incluidas las consecuencias de estas tendencias en el No están incluidas las consecuencias porque 0,00 desarrollo del plan de infraestructura tecnológica de TI? no hay plan. 1.- ¿Se proporcionan soluciones tecnológicas consistentes para toda la Si se proporcionan soluciones. 1,00 empresa? 2.- ¿Se proporcionan soluciones tecnológicas efectivas para toda la Ver respuesta anterior. empresa?
Definir el uso (futuro) (estratégico) de la nueva tecnología.
O R G A N I Z A R
Definir e Implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos.
PO3 - Determinar la Dirección Tecnológica.
DOMINIO
Y
DETALLE OBJETIVO CONTROL
PO2 - Definir la Arquitectura de la Información.
P L A N E A R
COBIT
3.- ¿Se proporcionan soluciones tecnológicas seguras para toda la Ver respuesta anterior. empresa? Proporcionar soluciones tecnológicas consistentes, efectivas 4.- ¿Se brindan directrices tecnológicas sobre los productos de la Si se brindan. El departamento de Logística infraestructura? envia los requerimientos de los usuarios para y seguras para toda la empresa, establecer un foro hacer el análisis tecnico y en base a esto se tecnológico para brindar directrices tecnológicas, asesoría compra o se contrata el servicio. sobre los productos de la infraestructura y guías sobre la Ver respuesta anterior. selección de la tecnología, y medir el cumplimiento de estos 5.- ¿Se brinda asesoría sobre los productos de la infraestructura? estándares y directrices. Este foro impulsa los estándares y 6.- ¿Se brindan guías sobre la selección de la tecnología? Ver respuesta anterior. las prácticas tecnológicas con base en su importancia y Si se lo hace por medio de las auditorías de 7.- ¿Se mide el cumplimiento de los estándares tecnológicos? riesgo para el negocio y en el cumplimiento de calidad. requerimientos externos. 8.- ¿Se mide el cumplimiento de las directrices tecnológicas? Si.
Establecer un comité de arquitectura de TI que proporcione directrices sobre la arquitectura y asesoría sobre su aplicación, y que verifique el cumplimiento. Esta entidad orienta el diseño de la arquitectura de TI garantizando que facilite la estrategia del negocio y tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos aspectos se vinculan con el PO2 (Definir arquitectura de la información).
9.- ¿Se impulsa los estándares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros negocio y en el cumplimiento de requerimientos externos? (diagnostico de ITIL, politicas de calidad para certificarse en ISO 27000) se lo está impulsando. 10.- ¿Se impulsa las prácticas tecnológicas con base en su importancia y Ver respuesta anterior. riesgo para el negocio y en el cumplimiento de requerimientos externos? 1.- ¿Existe un comité de arquitectura de TI que proporcione directrices No hay comité de arquitectura. (Se lo piensa sobre la arquitectura? crear en aproximadamente 8 meses porque les falta asentarse como departamento). 2.- ¿Existe un comité de arquitectura de TI que proporcione asesoría sobre Ver respuesta anterior. su aplicación? 3.- ¿Existe un comité de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior. 4.- ¿Esta entidad orienta el diseño de la arquitectura de TI garantizando No hay comité de arquitectura. que facilite la estrategia del negocio? 5.- ¿Esta entidad tome en cuenta el cumplimiento regulatorio? Ver respuesta anterior. 6.- ¿Esta entidad tome en cuenta los requerimientos de continuidad?
96
Ver respuesta anterior.
1,00 1,00
1,00 1,00 1,00 1,00 1,00 0,00
0,00 0,00 0,00 0,00 0,00 0,00 0,00
DETALLE OBJETIVO CONTROL
PREGUNTAS
Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco incluye estructura y relaciones de procesos de TI administrando brechas y superposiciones de procesos), propiedad, medición del desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Proporciona integración entre los procesos que son específicos para TI, administración del portafolio de la empresa, procesos de negocio y procesos de cambio del negocio. El marco de trabajo de procesos de TI debe estar integrado en un sistema de administración de calidad y en un marco de trabajo de control interno. Establecer un comité estratégico de TI a nivel del consejo. Este comité deberá asegurar que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las inversiones principales a nombre del consejo completo. Establecer un comité directivo de TI (o su equivalente) compuesto por la gerencia ejecutiva, del negocio y de TI para: Determinar las prioridades de los programas de inversión de TI alineadas con la estrategia y prioridades de negocio de la empresa, Dar seguimiento al estatus de los proyectos y resolver los conflictos de recursos, Monitorear los niveles de servicio y las mejoras del servicio. Ubicar a la función de TI dentro de la estructura organizacional general con un modelo de negocios supeditado a la importancia de TI dentro de la empresa, en especial en función de que tan crítica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI. La línea de reporte del CIO es proporcional con la importancia de TI dentro de la empresa.
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del negocio. Además implementar un proceso para revisar la estructura organizacional de TI de forma periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.
1.- ¿Está definido un marco de trabajo para el proceso de TI para ejecutar Si está definido. el plan estratégico de TI? 2.- ¿El marco de trabajo de procesos de TI está integrado en un sistema de Si está integrado. administración de calidad? 3.- ¿El marco de trabajo de procesos de TI está integrado en un marco de Si. trabajo de control interno?
PO4.10 PO4.9 - Propiedad de Datos y Supervisión de Sistemas. .
1,00 1,00
1,00
1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo?
No existe comité estratégico.
2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada, asesora sobre la dirección estratégica y revisa las inversiones principales a nombre del consejo completo? 1.- ¿Se cuenta con un comité estratégico de TI a nivel del consejo?
No existe comité estratégico (Si se piensa crear el comité y nosotros debemos asesorarlos como formar el comité.
No existe comité estratégico (Si se piensa crear el comité y nosotros debemos asesorarlos como formar el comité. 2.- ¿Este comité asegura que el gobierno de TI, como parte del gobierno Ver respuesta anterior. corporativo, se maneja de forma adecuada? 3.- ¿Este comité asesora sobre la dirección estratégica? Ver respuesta anterior.
4.- ¿Este comité evisa las inversiones principales a nombre del consejo ver respuesta anterior. completo? 1.- ¿La función de TI está ubicada dentro de la estructura organizacional Si, porque está como una jefatura y se general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General. dentro de la empresa?
0,00 0,00
0,00 0,00 0,00 0,00
1,00
1.- ¿Está establecida una estructura organizacional de TI interna que Si se cuenta. En el Holding Dine hay una refleje las necesidades del negocio? Gerencia de TI y bajo esta gerencia están las jefaturas de TI de cada una de las empresas. Con ellos se coordina la adopción de estandares o cualquier otro requerimiento que se necesite. Ver respuesta anterior. 2.- ¿Está establecida una estructura organizacional de TI externa que refleje las necesidades del negocio? 3.- ¿Existe un proceso que revise la estructura organizacional de TI de Esto se coordina con la gerencia de TI del forma periódica para ajustar los requerimientos de personal? Holding Dine 4.- ¿Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior. los objetivos de negocio esperados y las circunstancias cambiantes? 1.- ¿Se definen los roles y las responsabilidades para el personal de TI?
2.- ¿Se comunican los roles y las responsabilidades para el personal de Definir y comunicar los roles y las responsabilidades para el TI? personal de TI y los usuarios que delimiten la autoridad 3.- ¿Están definidas las responsabilidades para alcanzar las necesidades entre el personal de TI y los usuarios finales y definían las del negocio? responsabilidades y rendición de cuentas para alcanzar las necesidades del negocio.
Si se definen. Si se comunican. Si se definen mediante el plan de actividades y de acuerdo a los requerimientos priorizados por la alta gerencia.
4.- ¿Está definida la rendición de cuentas para alcanzar las necesidades Ver respuesta anterior. del negocio? 1.- ¿Está asignada la responsabilidad para el desempeño de la función de No hay implementado un aseguramiento de aseguramiento de calidad (QA)? calidad de TI. Se esta definiendo todos los procesos, indicadores y procedimientos y se los va a montar en una plataforma. Además se recibirá la capacitación de ISO 9000 para Asignar la responsabilidad para el desempeño de la función saber que falta para la certificación y se de aseguramiento de calidad (QA) y proporcionar al grupo de contratará a una empresa para QA sistemas de QA, los controles y la experiencia para asesoramiento y logro del objetivo. comunicarlos. Asegurar que la ubicación organizacional, las 2.- ¿El grupo de QA cuenta con los sistemas de QA, los controles y la No hay implementado aseguramiento de responsabilidades y el tamaño del grupo de QA satisfacen experiencia para comunicarlos? calidad. los requerimientos de la organización. 3.- ¿La ubicación organizacional del grupo de QA satisfacen los No hay implementado aseguramiento de requerimientos de la organización? calidad. 4.- ¿Las responsabilidades del grupo de QA satisfacen los requerimientos No hay implementado aseguramiento de de la organización? calidad. 5.- ¿El tamaño del grupo de QA satisfacen los requerimientos de la No hay implementado aseguramiento de organización? calidad. 1.- ¿Está establecida la responsabilidad de los riesgos relacionados con Si se establece pero, aún falta evaluación con TI a un nivel superior apropiado? respecto a los incidentes. Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y 2.- ¿Están asignados los roles críticos para administrar los riesgos de TI? Se tiene algo básico. Se está trabajando en la politica de seguridad, se está elaborando asignar roles críticos para administrar los riesgos de TI, una política de calidad, están en la etapa de incluyendo la responsabilidad específica de la seguridad de revisión de esa política, cada especialista, la información, la seguridad física y el cumplimiento. b.d. , aplicativos y help desk debe elaborar Establecer responsabilidad sobre la administración del procedimientos que exige esta política. riesgo y la seguridad a nivel de toda la organización para manejar los problemas a nivel de toda la empresa. Puede ser 3.- ¿Está establecida la responsabilidad sobre la administración del No está establecido formalmente. En cuanto riesgo? se tenga los procedimiento se va a establecer. necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistema específico 4.- ¿Está establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior. para manejar problemas relacionados con seguridad. toda la empresa? Obtener orientación de la alta dirección con respecto al 5.- ¿Están asignadas responsabilidades adicionales de administración de No. apetito de riesgo de TI y la aprobación de cualquier riesgo la seguridad a nivel de sistema específico? residual de TI. 6.- ¿La alta dirección orienta con respecto al apetito de riesgo de TI? No. 7.- ¿La alta dirección aprueba cualquier riesgo residual de TI?
PO4.11 Segregación de Funciones.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL PO4.1 - Marco de Trabajo de Procesos de TI. PO4.2 - Comité Estratégico de TI. PO4.3 - Comité Directivo de TI. PO4.4 - Ubicación Organizacional de la Función de TI. PO4.6 - Establecimiento de Roles y Responsabilidades. PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento.
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI.
PO4.5 - Estructura Organizacional.
ACTIVIDADES DEL PROCESO Establecer estructura organizacional de TI, incluyendo comités y ligas a los interesados y proveedores. Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones. Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones.
O R G A N I Z A R
Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones.
Y
Establecer Establecer e e implantar roles implantar Establecer e implantar roles y y roles y responsabilidades de TI, responsabilidade responsabi incluida la supervisión y s de TI, incluida lidades de segregación de funciones. la supervisión y TI, incluida segregación de la funciones. supervisión
P L A N E A R
PO4 - Definir los Procesos, Organización y Relaciones de TI.
Identificar dueños de sistemas.
Establecer estructura organizacional de TI, incluyendo comités y ligas a los interesados y proveedores.
Establecer estructura organizacional de TI, incluyendo comités y ligas a los interesados y proveedores
Diseñar Marco de Trabajo para el proceso de TI.
PROCESOS
DOMINIO
COBIT
1,00
1,00 1,00 1,00 1,00 1,00
1,00
1,00
0,00
0,00 0,00 0,00 0,00 0,50
0,50
0,00 0,00 0,00 0,00
No. 0,00 1.- ¿Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma responsabilidades de propiedad sobre los datos y los sistemas de tecnológica que soportan los procesos definidos en la empresa en base a sus 1,00 Proporcionar al negocio los procedimientos y herramientas información? necesidades, dependiendo de las funciones que le permitan enfrentar sus responsabilidades de establecidad por RR HH. propiedad sobre los datos y los sistemas de información. Los 2.- ¿Los dueños toman decisiones sobre la clasificación de la información No, pero se debe hacer. Falta hacer un dueños toman decisiones sobre la clasificación de la para protegerlos de acuerdo a esta clasificación? levantamiento de informacion de cada información y de los sistemas y sobre cómo protegerlos de 0,00 proceso y categorizarlo según la criticidad de acuerdo a esta clasificación. la información. 3.- ¿Los dueños toman decisiones para proteger los sistemas? Ver respuesta anterior. 0,00 Implementar prácticas adecuadas de supervisión dentro de 1.- ¿Se tienen implementadas prácticas adecuadas de supervisión dentro Si se tiene implementada. Hay indicadores . la función de TI para garantizar que los roles y las de la función de TI para garantizar que los roles y las responsabilidades 1,00 responsabilidades se ejerzan de forma apropiada, para se ejerzan de forma apropiada? 2.- ¿Se revisan en forma general los indicadores claves de desempeño? Ver respuesta anterior. evaluar si todo el personal cuenta con la suficiente 1,00 Implementar una división de roles y responsabilidades que 1.- ¿Se tiene implementado una división de roles y responsabilidades que Si, por medio de las funciones de RRHH. reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un 1,00 negativamente un proceso crítico. La gerencia también se proceso crítico? asegura de que el personal realice sólo las tareas 2.¿La gerencia se asegura de que el personal realice sólo las tareas Si, al igual que lo anterior por las funciones autorizadas, relevantes a sus puestos y posiciones 1,00 autorizadas relevantes a sus puestos? definidas por RRHH. respectivas.
97
PREGUNTAS
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL PO4.12 - Personal de TI. PO4.13 - Personal Clave de TI. PO4.14 - Políticas y Procedimientos para Personal Contratado. PO4.15 - Relaciones. PO5.1 - Marco de Trabajo para la Administración Financiera. PO5.5 - Administración de Benefici
PO5.4 - Administración de Costos de TI.
PO5.3 - Proceso Presupuestal.
PO5.2 Prioridades dentro del Presupuesto de TI.
funciones.
implantar roles y
segregación de
ACTIVIDADES DEL PROCESO Dar mantenimiento al portafolio de programas de inversión. Establecer y mantener proceso presupuestal de TI.
Dar mantenimiento al portafolio de servicios.
Dar mantenimiento al portafolio de proyectos.
Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones.
supervisión y
Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones. Establecer e implantar roles y responsabilidades de TI, incluida la supervisión y segregación de funciones.
Asegurar que los consultores y el personal contratado que soporta la función de TI cumplan con las políticas organizacionales de protección de los activos de información de la empresa de tal manera que se logren los requerimientos contractuales acordados.
de TI, incluida la
Definir e identificar al personal clave de TI y minimizar la dependencia en un solo individuo desempeñando una función de trabajo crítica.
responsabilidades
Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios, operativo o de TI para garantizar que la función de TI cuente con un número suficiente de recursos para soportar adecuada y apropiadamente a las metas y objetivos del negocio.
Identificar, comunicar y monitorear la inversión, costo y valor de TI para el negocio.
PO5 - Administrar la Inversión en TI.
Y O R G A N I Z A R
DETALLE OBJETIVO CONTROL
PROCESOS
P L A N E A R
Establecer e
PO4 - Definir los Procesos, Organización y Relaciones de TI.
DOMINIO
COBIT 1.-¿ Se evalúan los requerimientos de personal de forma regular para garantizar que la función de TI cuente con un número suficiente de recursos para soportar adecuada y apropiadamente las metas del negocio?
Si, de acuerdo a los requerimientos, si es algo pequeño se usan el recurso humano con que se cuenta y si es algo grande se lo busca 1,00 en el mercado. Dependiendo del alcance de requerimiento se lo busca internamente o externamente. 2.- ¿ Se evalúan los requerimientos de personal de forma regular para Si. garantizar que la función de TI cuente con un número suficiente de 1,00 recursos para soportar adecuada y apropiadamente los objetivos del negocio? 1.- ¿Se define al personal clave de TI para minimizar la dependencia en un Si. Se busca que el conocimiento critico para solo individuo desempeñando una función de trabajo crítica? el desarrollo o desempeño de TI no se concentre en un solo individuo o en un solo usuario, mediante la formación de usuarios y 1,00 especialistas de Ti (Backups) quienes luego de la capacitación trabajarán en la actualización de manuales de procedimiento de cada proceso. 2.- ¿Se identifica al personal clave de TI para minimizar la dependencia Si. 1,00 en un solo individuo desempeñando una función de trabajo crítica?
1.- ¿Se asegura que los consultores cumplan con las políticas organizacionales de protección de los activos de información de la empresa de tal manera que se logren los requerimientos contractuales acordados? 2.- ¿Se asegura que el personal contratado que soporta la función de TI cumplan con las políticas organizacionales de protección de los activos de información de la empresa? 1.- ¿Existe una estructura óptima de enlace entre la función de TI y otros interesados dentro y fuera de la función de TI?
Si, mediante la firma de contratos con clausulas específicas sobre esto.
1,00
Ver respuesta anterior. 1,00
Si existe, pero falta más. Hay una definición clara para hacer un requerimiento pero falta mayor acercamiento, como por ejemplo: Se Establecer y mantener una estructura óptima de enlace, 0,50 tienen reuniones con cada gerente para saber comunicación y coordinación entre la función de TI y otros que falta o que no se ha atendido en cada interesados dentro y fuera de la función de TI, tales como el área. consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes 2.- ¿Existe una estructura óptima de comunicación entre la función de TI Ver respuesta anterior. 0,50 y otros interesados dentro y fuera de la función de TI? de riesgo, el grupo de cumplimiento corporativo, los 3.- ¿Existe una estructura óptima de coordinación entre la función de TI y Ver respuesta anterior. contratistas externos y la gerencia externa (offsite). 0,50 otros interesados dentro y fuera de la función de TI? 4.- ¿Se mantienen estas estructuras óptimas? Ver respuesta anterior. 0,50 1.- ¿Existe un marco de trabajo financiero para administrar las Se tiene establecido que en inversiones inversiones de TI a través del portafolios de inversiones y presupuestos mayores a $10.000, estas deben ser de TI? analizadas por tecnicos o especialistas de TI, se elabora un informe tecnico que pasa por el comité de adquisiciones de la empresa. En 1,00 inversiones de hasta $150, se lo adquiere Establecer y mantener un marco de trabajo financiero para directamente y no pasa por el comité. En administrar las inversiones y el costo de los activos y inversiones de $150 a $10.000 se elabora un servicios de TI a través del portafolios de inversiones informe tecnico en base a cotizaciones y se lo habilitadas por TI, casos de negocio y presupuestos de TI. adquiere. 2.- ¿Existe un marco de trabajo financiero para administrar el costo de Ver respuesta anterior. 1,00 los activos de TI? 3.- ¿Existe un marco de trabajo financiero para administrar los servicios Ver respuesta anterior. 1,00 de TI? 4.- ¿Se mantiene este marco de trabajo financiero? Ver respuesta anterior. 1,00 1.- ¿Existe un proceso de toma de decisiones para dar prioridades a la Si, las decisiones se basan en la prioridad de asignación de recursos a TI? los proyectos que afecten altamente a la 1,00 Implementar un proceso de toma de decisiones para dar operatividad del negocio. prioridades a la asignación de recursos a TI para 2.¿Este proceso optimiza el retorno del portafolio empresarial de No se ha hecho un análisis interno, pero se operaciones, proyectos y mantenimiento, para maximizar la programas de inversión en TI y otros servicios? debería hacer. Las implementaciones del ERP, 0,00 contribución de TI a optimizar el retorno del portafolio BSC fueron hechas por medio del Holding. empresarial de programas de inversión en TI y otros servicios y activos de TI. 3.- ¿Este proceso optimiza el retorno del portafolio empresarial de activos Ver respuesta anterior. 0,00 de TI? 1.- ¿Existe un proceso para elaborar un presupuesto que refleje las Si, este incluye todo, como por ejemplo lo que Establecer un proceso para elaborar y administrar un prioridades establecidas en el portafolio empresarial de programas de se paga por el mantenimiento del Erp, de 1,00 presupuesto que refleje las prioridades establecidas en el inversión en TI, que incluya los costos recurrentes de operar y mantener licencias, etc. portafolio empresarial de programas de inversión en TI, la infraestructura actual? incluyendo los costos recurrentes de operar y mantener la 2.- ¿Existe un proceso para administrar este presupuesto? Ver respuesta anterior. 1,00 infraestructura actual. El proceso debe dar soporte al 3.- ¿El proceso soporta al desarrollo de un presupuesto general de TI así Si. desarrollo de un presupuesto general de TI así como al como al desarrollo de presupuestos para programas individuales, con 1,00 desarrollo de presupuestos para programas individuales, énfasis especial en los componentes de TI de esos programas? con énfasis especial en los componentes de TI de esos 4.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si. programas. El proceso debe permitir la revisión, el 1,00 constante del presupuesto general? refinamiento y la aprobación constantes del presupuesto 5.- ¿El proceso permite la revisión, el refinamiento y la aprobación Si. general y de los presupuestos de programas individuales. 1,00 constante de los presupuestos de programas individuales? 1.- ¿Existe un proceso de administración de costos que compare los Si. 1,00 costos reales con los presupuestados? 2.- ¿Se monitorean los costos? Si. Tienen un proceso de optimización de costos, estos son monitoreados por el área 1,00 Implementar un proceso de administración de costos que de Costos y Presupuestos. compare los costos reales con los presupuestados. Los 3.- ¿Se reportan los costos? Ver respuesta anterior. 1,00 costos se deben monitorear y reportar. Cuando existan Si, mes a mes. Tienen como objetivo, desviaciones, éstas se deben identificar de forma oportuna y 4.- ¿Se identifican de forma oportuna si existen desviaciones? optimizar costos del área ya que no cuenta 1,00 el impacto de esas desviaciones sobre los programas se debe con una persona (Asistente). evaluar y, junto con el patrocinador del negocio para estos 5.- ¿El impacto de las desviaciones sobre los programas se evalúan? Si se corrige apropiadamente. programas, se deberán tomar las medidas correctivas 1,00 apropiadas y, en caso de ser necesario, el caso de negocio 6.- ¿Junto con el patrocinador del negocio para estos programas, se Ver respuesta anterior. 1,00 del programa de inversión se deberá actualizar. toman medidas correctivas apropiadas? 7.- ¿Se actualiza el caso de negocio del programa de inversión? Cada tres meses se hace un Fore Cast, que es como un ajuste al presupuesto, pero hasta 1,00 ahora no se ha afectado el presupuesto. Implementar un proceso de monitoreo de beneficios. La contribución esperada de TI a los resultados del negocio, ya sea como un componente de programas de inversión en TI o como parte de un soporte operativo regular, se debe identificar, acordar, monitorear y reportar. Los reportes se deben revisar y, donde existan oportunidades para mejorar la contribución de TI, se deben definir y tomar las medidas apropiadas. Siempre que los cambios en la contribución de TI tengan impacto en el programa, o cuando los cambios a otros proyectos relacionados impacten al programa, el caso de negocio deberá ser actualizado.
1.- ¿Se cuenta con un proceso de monitoreo de beneficios?
No. Se piensa implementar con nuestra ayuda. 0,00
2.- ¿Se reportan estos beneficios?
Ver respuesta anterior.
3.- ¿Se toman medidas apropiadas para mejorar la contribución de TI?
Si. Como por ejemplo: Reestructuración de funciones dentro del área y recursos como mobiliario y ambiente de trabajo.
98
0,00
1,00
PREGUNTAS
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL PO6.2 - Riesgo Corporativo y Marco de Referencia de Control Interno de TI.
DETALLE OBJETIVO CONTROL
1.- ¿Están definidos los elementos de un ambiente de control para TI? Si, mediante los indicadores del BSC. Definir los elementos de un ambiente de control para TI, 1,00 alineados con la filosofía administrativa y el estilo operativo de la empresa. Estos elementos incluyen las expectativas / 2.¿Estos elementos están alineados con el estilo operativo de la Si, administración basada en procesos y en requerimientos respecto a la entrega de valor proveniente de estandar ISO 9000, 14000 y 18000 las inversiones en TI, el apetito de riesgo, la integridad, los empresa? valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras 1,00 administra riesgos significativos, fomenta la colaboración entre divisiones y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada. 1.- ¿Existe un marco de trabajo que establezca el enfoque empresarial Se tienen identificados los riesgos pero no en Elaborar y dar mantenimiento a un marco de trabajo que su totalidad, solo los más relevantes. Se establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? 0,50 piensa mejorar mediante la implementación el control que se alinee con la política de TI, el ambiente de de un sistema de seguridad. control y el marco de trabajo de riesgo y control de la 2.- ¿Existe un control que se alinee con la política de TI? Si, mediante las auditorias. 1,00 empresa. 1.- ¿Existen políticas que apoyen la estrategia de TI? Si, política de calidad. 1,00 2.- ¿Estas políticas incluyen los roles y responsabilidades? Si. 1,00 Elaborar y dar mantenimiento a un conjunto de políticas que 3.- ¿Estas políticas incluyen procesos de excepción? Si. 1,00 apoyen la estrategia de TI. Estas políticas deben incluir su Si. 1,00 intención, roles y responsabilidades, procesos de excepción, 4.- ¿Estas políticas incluyen un enfoque de cumplimiento? enfoque de cumplimiento y referencias a procedimientos, 5.- ¿Estas políticas hacen referencias a procedimientos? Si. 1,00 estándares y directrices. Su relevancia se debe confirmar y 6.- ¿Estas políticas hacen referencias a estándares? Si. 1,00 aprobar en forma regular. 7.- ¿Estas políticas hacen referencias a directrices? Si. 1,00 8.- ¿Estas políticas se aprueban en forma regular? Si, lo hace la alta gerencia. 1,00 1.- ¿Se asegura que las políticas de TI se implanten? Asegurarse de que las políticas de TI se implantan y se 2.- ¿Se asegura que las políticas de TI se comuniquen a todo el personal comunican a todo el personal relevante, y se refuerzan, de tal relevante? forma que estén incluidas y sean parte integral de las 3.- ¿Las políticas están incluidas y son parte integral de las operaciones operaciones empresariales. empresariales? 1.- ¿Se comunica a los usuarios de toda la organización los objetivos de Asegurarse de que la conciencia y el entendimiento de los TI? objetivos y la dirección del negocio y de TI se comunican a 2.- ¿Los usuarios están concientes de los objetivos de TI? los interesados apropiados y a los usuarios de toda la organización.
Si. Si. Si.
1,00 1,00 1,00
No. Se tiene pensado tener un acercamiento 0,00 con las gerencias de la empresa. Si. Mediante el análisis del impacto de los planes operativos en el logro de los objetivos 1,00 estratégicos de la empresa. 1.- ¿Los procesos de reclutamiento del personal de TI están acordes a las Si, es compartida la responsabilidad del políticas y procedimientos generales de personal de la organización (Ej. reclutamiento con RRHH. 1,00 contratación, un ambiente positivo de trabajo y orientación)?
Asegurarse que los procesos de reclutamiento del personal de TI estén de acuerdo a las políticas y procedimientos generales de personal de la organización (Ej. contratación, un ambiente positivo de trabajo y orientación). La gerencia implementa procesos para garantizar que la organización cuente con una fuerza de trabajo posicionada de forma apropiada, que tenga las habilidades necesarias para alcanzar las metas organizacionales.
2.- ¿Existe un proceso que garantice que la organización cuente con una En parte. Falta un plan de carrera. Recursos fuerza de trabajo apropiada? Humanos considera implementar un plan de 0,50 carrera.
Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la captura del conocimiento (documentación), compartir el conocimiento, planeación de la sucesión y respaldos de personal. Incluir verificaciones de antecedentes en el proceso de reclutamiento de TI. El grado y la frecuencia de estas verificaciones dependen de que tan delicada ó crítica sea la función y se deben aplicar a los empleados, contratistas y proveedores.
PO7.3 - Asignación de Roles. PO7.4 Entrenamiento del Personal de TI.
1,00
Si, Recursos humanos lo hace de acuerdo al 1,00 cargo. Verificar de forma periódica que el personal tenga las 3.- ¿Se verifica que se les dé mantenimiento, usando programas de Si se verifica pero no se hace nada por habilidades para cumplir sus roles con base en su calificación según sea el caso? mejorar. El primer paso, implementar educación, entrenamiento y/o experiencia. Definir los capacitación de acuerdo a la plataforma de requerimientos esenciales de habilidades para TI y verificar la empresa para que el personal obtenga 1,00 que se les dé mantenimiento, usando programas de certificaciones de acuerdo a su cargo. El calificación y certificación según sea el caso. segundo paso, que tengan maestrias o títulos de cuarto nivel dependiendo de su especialidad. 4.- ¿Se verifica que se les dé mantenimiento, usando programas de Si. 1,00 certificación según sea el caso? 1.- ¿El marco de trabajo para la asignación de los roles, Si. Lo hace Recursos Humanos. 1,00 Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensación del personal está definido? los roles, responsabilidades y compensación del personal, 2.- ¿El marco de trabajo para la asignación de los roles, Si. 1,00 incluyendo el requerimiento de adherirse a las políticas y responsabilidades y compensación del personal está monitoreado? procedimientos administrativos, así como al código de ética y prácticas profesionales. El nivel de supervisión debe estar 3.- ¿El marco de trabajo para la asignación de los roles, Si 1,00 responsabilidades y compensación del personal está supervisado? de acuerdo con la sensibilidad del puesto y el grado de 4.- ¿El nivel de supervisión es acorde con la sensibilidad del puesto y las Si. responsabilidades asignadas. 1,00 responsabilidades asignadas? 1.- ¿Se proporciona a los empleados de TI entrenamiento continuo? Actualmente no, pero se tiene elaborado un Proporcionar a los empleados de TI la orientación necesaria plan de capacitación de acuerdo a la al momento de la contratación y entrenamiento continuo plataforma que se tiene. 0,00 para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales.
PO7.5 Dependencia Sobre los Individuos.
1.- ¿Se verifica en forma periódica que el personal tenga las habilidades Si, se verifica mediante auditoría externa. para cumplir sus roles? Deloitte, Price y de Holding Dine.
PO7.6 Procedimientos de Investigación del Personal.
PO7.2 - Competencias del Personal.
PO7.1 - Reclutamiento y Retención del Personal.
PO6.5 PO6.4 Comunicación Implantación de los Objetivos y la de Políticas de TI. Dirección de TI.
PO6.3 - Administración de Políticas para TI.
PO6.1 - Ambiente de Políticas y de Control.
ACTIVIDADES DEL PROCESO Elaborar y mantener un ambiente y marco de control de TI. Elaborar y mantener un ambiente y marco de control de TI. Elaborar y mantener políticas de TI. Elaborar y mantener políticas de TI. Comunicar el marco de control y los objetivos y dirección de TI.
PROCESOS PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia.
Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeño del personal. Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeño del personal. Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeño del personal.
O R G A N I Z A R
PO7 - Administrar los Recursos Humanos de TI
Y
Identificar Ejecutar las las políticas y habilidades procedimientos de TI, relevantes de RH benchmarks para TI(reclutar, sobre contratar, descripcione investigar, s de puesto, compensar, rango de entrenar
P L A N E A R
Ejecutar las políticas y procedimientos relevantes de RH para TI(reclutar, contratar, investigar, compensar, entrenar, evaluar, promover, y terminar).
DOMINIO
COBIT
2.- ¿Se define los requerimientos esenciales de habilidades para TI?
1.- ¿Se minimiza las dependencias críticas sobre individuos clave?
Recién se lo ha iniciado, está en proceso. 0,50
1.- ¿Se verifican los antecedentes en el proceso de reclutamiento de TI?
Si, lo hace Recursos Humanos y el perfil es 1,00 actualizado constantemente.
2.- ¿Se verifican con frecuencia estos antecedentes?
Si.
3.- ¿Las verificaciones se aplican a empleados?
Si, por medio de ISO 9000
1,00
4.- ¿Las verificaciones se aplican a contratistas?
Ver respuesta anterior.
1,00
5.- ¿Las verificaciones se aplican a proveedores?
Ver respuesta anterior.
1,00
99
1,00
Identificar y mantener estándares, procedimientos y prácticas para los procesos clave de TI para orientar a la organización hacia el cumplimiento del QMS. Usar las buenas prácticas de la industria como referencia al mejorar y adaptar las prácticas de calidad de la organización.
Si, cada 6 meses.
4.- ¿Las evaluaciones se comparan contra las responsabilidades específicas del puesto? 5.- ¿Los empleados reciben adiestramiento sobre su desempeño?
Si. Sobre el desempeño si, por medio de la capacitación. De conducta no.
1,00 1,00 1,00 1,00 1,00 0,50
1.- ¿Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH. en especial las terminaciones? 2.- ¿Se realiza la transferencia del conocimiento? Si.
1,00
3.- ¿Se reasigna responsabilidades?
Si.
1,00
4.- ¿Se eliminan los privilegios de acceso, de tal modo que los riesgos se minimicen? 5.- ¿Se eliminan los privilegios de acceso, de tal modo que se garantice la continuidad de la función? 1.- ¿Se cuenta con un QMS de TI alineados con los requerimientos del negocio?
Si. Si.
1,00
1,00 1,00
No hay un QMS de TI, pero si en forma general. Tienen ISO 9000 y tienen proyectado 0,50 implementar ISO 27000.
2.- ¿Este QMS proporciona un enfoque estándar, formal y continuo con Ver respuesta anterior. respecto a la administración de la calidad? 3.- ¿El QMS identifica los requerimientos? Ver respuesta anterior.
0,50
4.- ¿El QMS identifica los criterios de calidad?
Ver respuesta anterior.
0,50
5.- ¿El QMS identifica los procesos claves de TI?
Ver respuesta anterior.
0,50
6.- ¿El QMS identifica las políticas para definir, detectar, corregir y prever las no conformidades? 7.- ¿El QMS identifica los criterios para definir, detectar, corregir y prever las no conformidades? 8.- ¿El QMS identifica los métodos para definir, detectar, corregir y prever las no conformidades? 9.- ¿El QMS define la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades? 10.- ¿Las áreas clave desarrollan sus planes de calidad de acuerdo a los criterios y políticas, y registran los datos de calidad? 11.- ¿Se monitorea la efectividad del QMS?
Ver respuesta anterior.
Ver respuesta anterior.
0,50
12.- ¿Se mide la efectividad del QMS?
Ver respuesta anterior.
0,50
13.- ¿Se monitorea la aceptación del QMS?
Ver respuesta anterior.
0,50
14.- ¿Se mide la aceptación del QMS?
Ver respuesta anterior.
0,50
15.- ¿Se lo mejora cuando es necesario?
Ver respuesta anterior.
0,50
1.- ¿Se identifica estándares para los procesos clave de TI?
Ver respuesta anterior.
0,50
2.- ¿Se identifica procedimientos para los procesos clave de TI?
Ver respuesta anterior.
0,50
3.- ¿Se identifica prácticas para los procesos clave de TI?
Ver respuesta anterior.
0,50
Ver respuesta anterior. Ver respuesta anterior. Ver respuesta anterior. Ver respuesta anterior.
4.- ¿Se usan las buenas prácticas de la industria como referencia al Ver respuesta anterior. mejorar y adaptar las prácticas de calidad de la organización? 1.- ¿Se adoptan estándares para todo desarrollo y adquisición que siga el Los lineamientos los da el Holding Dine. ciclo de vida, hasta el último entregable? 2.- ¿Se mantienen estándares para todo desarrollo y adquisición que siga Si. el ciclo de vida, hasta el último entregable? 3.- ¿Se incluyen estándares de codificación de software?
Adoptar y mantener estándares para todo desarrollo y adquisición que siga el ciclo de vida, hasta el último entregable e incluir la aprobación en puntos clave con base en criterios de aceptación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de datos; estándares para la interfaz de usuario; inter operabilidad; eficiencia de desempeño de sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración.
CALIFICACIÓN
OBJETIVOS DE CONTROL PO7.7 - Evaluación del Desempeño del Empleado. PO7.8 - Cambios y Terminación de Trabajo. PO8.2 Estándares y Prácticas de Calidad.
Establecer y mantener un QMS que proporcione un enfoque estándar, formal y continuo, con respecto a la administración de la calidad, que esté alineado con los requerimientos del negocio. El QMS identifica los requerimientos y los criterios de calidad, los procesos claves de TI, y su secuencia e interacción, así como las políticas, criterios y métodos para definir, detectar, corregir y prever las no conformidades. El QMS debe definir la estructura organizacional para la administración de la calidad, cubriendo los roles, las tareas y las responsabilidades. Todas las áreas clave desarrollan sus planes de calidad de acuerdo a los criterios y políticas, y registran los datos de calidad. Monitorear y medir la efectividad y aceptación del QMS y mejorarla cuando sea necesario.
RESPUESTAS
2.- ¿Las evaluaciones se comparan contra los objetivos individuales Si. derivados de las metas organizacionales? 3.- ¿Las evaluaciones se comparan contra los estandares establecidos? Si.
6.- ¿Los empleados reciben adiestramiento sobre su conducta?
4.- ¿Se incluyen normas de nomenclatura? 5.- ¿Se incluyen formatos de archivos?
0,50
0,50 0,50 0,50 0,50 0,50
0,50 1,00 1,00
No se tiene. Se están estableciendo estandares para todos los aplicativos y se va 0,00 a tener todo en la plataforma Oracle, Power Builder y Qlik View. Ver respuesta anterior. 0,00 Ver respuesta anterior. 0,00
6.- ¿Se incluyen estándares de diseño para esquemas y diccionario de Ver respuesta anterior. datos? 7.- ¿Se incluyen estándares para la interfaz de usuario? Ver respuesta anterior.
0,00
8.- ¿Se incluye inter operabilidad?
Ver respuesta anterior.
0,00
9.- ¿Se incluye eficiencia de desempeño de sistemas?
Ver respuesta anterior.
0,00
10.- ¿Se incluyen escalabilidad?
Ver respuesta anterior.
0,00
11.- ¿Se incluyen estándares para desarrollo y pruebas?
Ver respuesta anterior.
0,00
12.- ¿Se incluyen validación contra requerimientos?
Ver respuesta anterior.
0,00
13.- ¿Se incluyen planes de pruebas?
Ver respuesta anterior.
0,00
14.- ¿Se incluyen pruebas unitarias de regresión?
Ver respuesta anterior.
0,00
15.- ¿Se incluyen pruebas unitarias de integración?
Ver respuesta anterior.
0,00
0,00 No se tiene un sistema de calidad pero, si se 0,50 enfocan en las necesidades del usuario. 2.- ¿Están definidos los roles respecto a la resolución de conflictos entre Si se sabe que datos corrige el usuario y la el usuario/cliente y la organización de TI? organización en lo que respecta a errores del 1,00 aplicativo. 3.- ¿Están definidos las responsabilidades respecto a la resolución de Si. 1,00 conflictos entre el usuario/cliente y la organización de TI? 1.- ¿Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000 continua? se la tiene en forma global como departamento, se planea, se hace y se 0,00 controla y se toma medidas correctivas o preventivas. Ciclo DEMI. 2.- ¿Se comunica regularmente el plan global de calidad? No. 0,00 1.- ¿Están definidas mediciones para monitorear el cumplimiento Ver respuesta anterior. 0,00 continuo del QMS? 2.- ¿Están planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior. 0,00 continuo del QMS? 3.- ¿Están implementadas mediciones para monitorear el cumplimiento Ver respuesta anterior. 0,00 continuo del QMS?
PO8.4 - Enfoque en el Cliente de TI. PO8.5 - Mejora Continua.
Mantener y comunicar regularmente un plan global de calidad que promueva la mejora continua.
PO8.6 - Medición, Monitoreo y Revisión de la Calidad.
1.- ¿Está enfocada la administración de calidad en los clientes?
Crear y comunicar estándares de calidad a toda la organización.
PO8.3 - Estándares de Desarrollo y de Adquisición.
1.- ¿Las evaluaciones de desempeño se realizan periódicamente?
Crear y administrar el plan de calidad para la mejora continua.
Crear y comunicar estándares de calidad a toda la organización.
PREGUNTAS
Medir, monitorear y revisar el cumplimiento de las metas de calidad.
PO8 - Administrar la Calidad
Y
PO8.1 - Sistema de Administración de Calidad.
ACTIVIDADES DEL PROCESO
Tomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la función.
Definir un sistema de administración de calidad.
Ejecutar las políticas y procedimientos relevantes de RH para TI(reclutar, contratar, investigar, compensar, entrenar, evaluar, promover, y terminar).
Es necesario que las evaluaciones de desempeño se realicen periódicamente, comparando contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto. Los empleados deben recibir adiestramiento sobre su desempeño y conducta, según sea necesario.
Establecer y mantener un sistema de administración de calidad.
P L A N E A R
O R G A N I Z A R
DETALLE OBJETIVO CONTROL
Ejecutar las políticas y procedimientos relevantes de RH para TI(reclutar, contratar, investigar, compensar, entrenar, evaluar, promover, y terminar).
PROCESOS PO7 - Administrar los Recursos Humanos de TI
DOMINIO
COBIT
Definir, planear e implementar mediciones para monitorear el cumplimiento continuo del QMS, así como el valor que el QMS proporciona. La medición, el monitoreo y el registro de la información deben ser usados por el dueño del proceso para tomar las medidas correctivas y preventivas apropiadas.
Enfocar la administración de calidad en los clientes, determinando sus requerimientos y alineándolos con los estándares y prácticas de TI. Definir roles y responsabilidades respecto a la resolución de conflictos entre el usuario/cliente y la organización de TI.
4.- ¿Está definido el valor que el QMS proporciona?
Ver respuesta anterior.
0,00
5.- ¿Está planeado el valor que el QMS proporciona? 6.- ¿Está implementado el valor que el QMS proporciona?
Ver respuesta anterior. Ver respuesta anterior.
0,00
7.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior. el dueño del proceso para tomar las medidas correctivas apropiadas? 8.- ¿Esta medición, monitoreo y registro de la información son usados por Ver respuesta anterior. el dueño del proceso para tomar las medidas preventivas apropiadas?
100
0,00 0,00 0,00
1.- ¿El marco de trabajo de evaluación de riesgos se aplica para garantizar resultados apropiados? 2.- ¿Está incluida la determinación del contexto interno de cada Establecer el contexto en el cual el marco de trabajo de evaluación de riesgos? evaluación de riesgos se aplica para garantizar resultados 3.- ¿Está incluida la determinación del contexto externo de cada apropiados. Esto incluye la determinación del contexto evaluación de riesgos? interno y externo de cada evaluación de riesgos, la meta de la evaluación y los criterios contra los cuales se evalúan los 4.- ¿Está incluida la meta de la evaluación contra los cuales se evalúan riesgos. los riesgos? 5.- ¿Están incluidos los criterios contra los cuales se evalúan los riesgos?
Actualmente no. No. Se va a actualizar el plan de contingencia y revisar la matriz de riesgos. Ver respuesta anterior. Ver respuesta anterior. Ver respuesta anterior.
CALIFICACIÓN
OBJETIVOS DE CONTROL PO9.1 Marco de Trabajo de Administraci ón de Riesgos. PO9.2 - Establecimiento del Contexto del Riesgo. PO9.3 - Identificación de Eventos. PO9.4 - Evaluación de Riesgos de TI.
RESPUESTAS
1.- ¿Está establecido un marco de trabajo de administración de riesgos de Se lo tiene en parte. Se está trabajando en la Establecer un marco de trabajo de administración de riesgos TI? seguridad para minimizar los riesgos. de TI que esté alineado al marco de trabajo de 2.- ¿El marco de trabajo de administración de riesgos de TI está alineado En parte. administración de riesgos de la organización. al marco de trabajo de administración de riesgos de la organización?
0,50 0,50 0,00 0,00 0,00 0,00 0,00
1.- ¿Están identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales negativo sobre las metas o las operaciones de la empresa? de criticidad media, frente a los cuales tienen tiempos de respuesta adecuados. Para los riesgos de criticidad alta como perdida del 0,50 Identificar eventos (una amenaza importante y realista que centro de cómputo, perdida de servidores, no explota una vulnerabilidad aplicable y significativa) con un se tiene una evaluación real del tiempo de impacto potencial negativo sobre las metas o las respuesta. operaciones de la empresa, incluyendo aspectos de negocio, 2.- ¿Se determina la naturaleza del impacto? Se lo está haciendo aproximadamente desde 0,50 regulatorios, legales, tecnológicos, de sociedad comercial, de hace un mes. Antes no se lo registraba. recursos humanos y operativos. Determinar la naturaleza del 3.- ¿Se mantiene esta información? Ver respuesta anterior. 0,50 impacto y mantener esta información. Registrar y mantener los riesgos relevantes en un registro de riesgos. 4.- ¿Se registran los riesgos relevantes en un registro de riesgos? Se lo está haciendo aproximadamente desde 0,50 hace un mes. Antes no se lo registraba. 5.- ¿Se mantienen los riesgos relevantes en un registro de riesgos? Ver respuesta anterior. 0,50 1.- ¿Se evalúa en forma recurrente la probabilidad e impacto de todos los No. riesgos identificados? 2.- ¿Se usan métodos cualitativos? Evaluar de forma recurrente la probabilidad e impacto de 3.- ¿Se usan métodos cuantitativos? todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los 4.- ¿Se determina de forma individual la probabilidad e impacto riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales? individual, por categoría y con base en el portafolio. 5.- ¿Se determina por categoría la probabilidad e impacto asociados a los riesgos inherentes y residuales? 6.- ¿Se determina con base en el portafolio la probabilidad e impacto asociados a los riesgos inherentes y residuales? Desarrollar y mantener un proceso de respuesta a riesgos diseñado para asegurar que controles efectivos en costo mitigan la exposición en forma continua. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar responsabilidades y considerar los niveles de tolerancia a riesgos.
PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos.
PO9.5 - Respuesta a los Riesgos.
PREGUNTAS
Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificación de costos, beneficios y la responsabilidad de la ejecución. Obtener la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones comprometidas están a cargo del dueño (s) de los procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección.
PO10.1 - Marco de Trabajo para la Administración de Programas.
Establecer y mantener un Marco de Trabajo para la administración de proyectos de TI. *Establecer y mantener un sistema de monitoreo, medición y administración de sistemas. *Elaborar estatutos, calendarios, planes de calidad, presupuestos y planes de comunicación y de administración de riesgos.
PO10 - Administrar Proyectos.
Definir un marco de administración de programas/portafolio para inversiones en TI.
O R G A N I Z A R
DETALLE OBJETIVO CONTROL
Mantener el programa de los proyectos, relacionados con el portafolio de programas de inversiones facilitadas por TI, por medio de la identificación, definición, evaluación, otorgamiento de prioridades, selección, inicio, administración y control de los proyectos. Asegurarse de que los proyectos apoyen los objetivos del programa. Coordinar las actividades e interdependencias de múltiples proyectos, administrar la contribución de todos los proyectos dentro del programa hasta obtener los resultados esperados, y resolver los requerimientos y conflictos de recursos.
PO10.2 - Marco de Trabajo para la Administración de Proyectos.
*Priorizar y Planear actividades de control. *Aprobar y asegurar fondos para planes de acción de riesgos. *Mantener y monitorear un plan de acción de riesgos.
Y
Establecer y mantener un marco de trabajo para la administración de proyectos que defina el alcance y los límites de la administración de proyectos, así como las metodologías a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de trabajo y los métodos de soporte se deben integrar con los procesos de administración de programas.
PO10.3 - Enfoque de Administración de Proyectos.
ACTIVIDADES DEL PROCESO *Entender los objetivos de negocio estratégicos relevantes. *Entender los objetivos de los procesos de negocios relevantes. Evaluar y seleccionar respuestas a riesgo.
*Identificar los objetivos internos de TI y establecer el contexto del riesgo. *Identificar eventos asociados con objetivos, algunos eventos están orientados a negocio (negocio es A); algunos están orientados a TI (TI es A, negocio es C). *Asesorar el riesgo con los eventos.
P L A N E A R
PO9 - Evaluar y Administrar los Riesgos de TI
Determinar la alineación de la administración de riesgos (ej: Evaluar riesgo).
Determinar la alineación de la administraci ón de riesgos (ej: Evaluar riesgo).
PROCESOS
DOMINIO
COBIT
Establecer un enfoque de administración de proyectos que corresponda al tamaño, complejidad y requerimientos regulatorios de cada proyecto. La estructura de gobierno de proyectos puede incluir los roles, las responsabilidades y la rendición de cuentas del patrocinador del programa, patrocinadores de proyectos, comité de dirección, oficina de proyectos, y gerente del proyecto, así como los mecanismos por medio de los cuales pueden satisfacer esas responsabilidades (tales como reportes y revisiones por etapa). Asegurarse que todos los proyectos de TI cuenten con patrocinadores con la suficiente autoridad para apropiarse de la ejecución del proyecto dentro del programa estratégico global.
No. No. Si. Si. Si.
0,00 0,00 0,00 1,00 1,00 1,00
1.- ¿Se cuenta con un proceso de respuesta a riesgos diseñado para En parte por medio del plan de contingencia, asegurar que controles efectivos en costo mitigan la exposición en forma pero falta. 0,50 continua? 2.- ¿El proceso de respuesta a riesgos identifica estrategias tales como evitar, reducir, compartir o aceptar riesgos? 3.- ¿El proceso de respuesta a riesgos considera los niveles de tolerancia a riesgos? 1.- ¿Se prioriza las actividades de control a todos los niveles para implementar las respuestas a los riesgos? 2.- ¿Se obtiene la aprobación para las acciones recomendadas de cualquier riesgo residual?
No. Ver respuesta anterior. No. Si, pero no lo han propuesto. La gerencia si tiene apertura para esto.
0,00 0,00 0,00 1,00
3.- ¿Se obtiene la aceptaciónde las acciones recomentadas de cualquier Si. i ¿Se asegura id l?que las acciones comprometidas están a cargo del dueño No. 4.(5.-) d f d ? de los planes? ¿Sel monitorea la ejecución No.
0,00 1,00
6.- ¿Se reporta cualquier desviación a la alta dirección?
Si.
1.- ¿Se mantiene un programa de proyectos, relacionados con el portafolio de programas de inversiones facilitadas por TI?
Si.
2.- ¿Se asegura que los proyectos apoyen los objetivos del programa?
Si.
3.- ¿Se coordina las actividades e interdependencias de múltiples proyectos?
Si.
4.- ¿Se administra la contribución de todos los proyectos dentro del Si. programa hasta obtener los resultados esperados? 5.- ¿Se resuelven los requerimientos y conflictos de recursos?
Si.
1.- ¿Existe un marco de trabajo para la administración de proyectos que Si. defina el alcance? 2.- ¿Este marco de trabajo defina los límites de la administración de Si. proyectos? 3.- ¿Este marco de trabajo define las metodologías a ser adoptadas y Si. aplicadas en cada proyecto emprendido? 4.- ¿El marco de trabajo y los métodos de soporte están integrados con Si. los procesos de administración de programas?
1,00 0,00
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
1.- ¿Está establecido un enfoque de administración de proyectos que Si. Hay una Unidad de Proyectos y Unidad de corresponda al tamaño de cada proyecto? Desarrollo Organizacional pero falta reforzar 1,00 la metodología para la generación de proyectos. 2.- ¿Está establecido un enfoque de administración de proyectos que Ver respuesta anterior. 1,00 corresponda a la complejidad de cada proyecto? 3.- ¿Está establecido un enfoque de administración de proyectos que corresponda a los requerimientos regulatorios de cada proyecto? 4.- ¿La estructura de gobierno de proyectos incluye los roles del patrocinador del programa, patrocinadores de proyectos, comité de dirección, oficina de proyectos, y gerente del proyecto? 5.- ¿La estructura de gobierno de proyectos incluye las responsabilidades del patrocinador del programa, patrocinadores de proyectos, comité de dirección, oficina de proyectos, y gerente del proyecto? 6.- ¿La estructura de gobierno de proyectos incluye la rendición de cuentas del patrocinador del programa, patrocinadores de proyectos, comité de dirección, oficina de proyectos, y gerente del proyecto? 7.- ¿La estructura de gobierno de proyectos incluye los mecanismos por medio de los cuales pueden satisfacer esas responsabilidades (tales como reportes y revisiones por etapa)? 8.- ¿Se asegura que todos los proyectos de TI cuenten con patrocinadores con suficiente autoridad para apropiarse de la ejecución del proyecto dentro del programa estratégico global?
101
Ver respuesta anterior.
1,00
Ver respuesta anterior. 1,00 Ver respuesta anterior. 1,00 Ver respuesta anterior.
1,00
Ver respuesta anterior. 1,00 Si. 1,00
2.- ¿Está documentada la naturaleza del proyecto?
Si.
3.- ¿Está definido el alcance del proyecto? Si. 4.- ¿Está documentado el alcance del proyecto? Si. 5.- ¿Está definid como se relaciona con otros proyectos dentro del Si. programa global de inversiones facilitadas por TI?
PO10.10 - Plan de Calidad del Proyecto. PO10.11 - Control de Cambios del Proyecto. PO10.12 - Planeación del Proyecto y Métodos de Aseguramiento. PO10.13 - Medición del Desempeño, Reporte y Monitoreo del Proyecto.
Medir el desempeño del proyecto contra los criterios clave del proyecto (Ej. alcance, cronograma, calidad, costos y riesgos); identificar las desviaciones con respecto al plan; evaluar su impacto sobre el proyecto y sobre el programa global; reportar los resultados a los interesados clave; y recomendar, Implementar y monitorear las medidas correctivas, según sea requerido, de acuerdo con el marco de trabajo de gobierno del programa y del proyecto.
PO10.14 - Cierre del Proyecto.
Solicitar que al finalizar cada proyecto, los interesados del proyecto se cercioren de que el proyecto haya proporcionado los resultados y los beneficios esperados. Identificar y comunicar cualquier actividad relevante requerida para alcanzar los resultados planeados del proyecto y los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en futuros proyectos y programas.
1,00
1,00
1,00 1,00 1,00 1,00 1,00
6.- ¿La definición se aprueba de manera formal por parte de los Si. patrocinadores del proyecto antes de iniciar el proyecto? 1.- ¿Se aprueba el inicio de las etapas importantes del proyecto? Si.
1,00
2.- ¿Se comunica a todos los interesados?
1,00
Si.
3.- ¿La aprobación de la fase inicial está basada en las decisiones de Si. gobierno del programa? 4.- ¿La aprobación de las fases subsiguientes están basadas en la Si. revisión y aceptación de los entregables de la fase previa? 5.- ¿En fases traslapadas, está establecido un punto de aprobación por Si. parte de los patrocinadores del programa y del proyecto, para autorizar así el avance del proyecto?
1.- ¿Existe un proceso sistemático que elimine o minimice riesgos Si. especificos asociados con los proyectos individuales?
1.- ¿Se cuenta con un plan de administración de la calidad que describa Si. el sistema de calidad del proyecto y cómo será implantado?
1,00
1,00 1,00 1,00 1,00
1,00
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
2.- ¿Están establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se afrontados por el proceso de administración de proyectos y el producto incluyen clausulas que contemple esto y se lo entregable del proyecto? supervisa mediante actas de trabajo hasta el 1,00 cumplimiento final del mismo.
2.- ¿Se revisa este plan y se acuerda de manera formal por todas las Si. partes interesadas para luego ser incorporado en el plan integrado del proyecto? 1.¿Existe un sistema de control de cambios para cada proyecto? Si. Si cambia el escenario antes de la Establecer un sistema de control de cambios para cada planificación como algo impredecible. proyecto, de tal modo que todos los cambios a la línea base 2.¿Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan, Si. del proyecto (Ej. costos, cronograma, alcance y calidad) se revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto? integrado del proyecto, de acuerdo al marco de trabajo de gobierno del programa y del proyecto. Identificar las tareas de aseguramiento requeridas para apoyar la acreditación de sistemas nuevos o modificados durante la planeación del proyecto e incluirlos en el plan integrado. Las tareas deben proporcionar la seguridad de que los controles internos y las características de seguridad satisfagan los requerimientos definidos.
CALIFICACIÓN
OBJETIVOS DE CONTROL PO10.4 - Compromiso de los Interesados. PO10.5 - Declaración de Alcance del Proyecto. PO10.9 Administración de Riesgos del Proyecto.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
Preparar un plan de administración de la calidad que describa el sistema de calidad del proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal por todas las partes interesadas para luego ser incorporado en el plan integrado del proyecto.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
PO10.8 - Recursos del Proyecto.
PO10.7 - Plan Integrado del Proyecto.
PO10.6 - Inicio de las Fases del Proyecto.
ACTIVIDADES DEL PROCESO Definir e implementar métodos de aseguramiento y revisión de proyectos.
Eliminar o minimizar los riesgos específicos asociados con los proyectos individuales por medio de un proceso sistemático de planeación, identificación, análisis, respuesta, monitoreo y control de las áreas o eventos que tengan el potencial de ocasionar cambios no deseados. Los riesgos afrontados por el proceso de administración de proyectos y el producto entregable del proyecto se deben establecer y registrar de forma central.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
1.- ¿Está definida la naturaleza del proyecto para confirmar y desarrollar Si. entre los interesados, un entendimiento común del alcance del proyecto?
1.- ¿Existe un plan aprobadp para el proyecto que guie la ejecución y el Si. control del proyecto a lo largo de la vida de éste? Establecer un plan integrado para el proyecto, aprobado y 2.- ¿Están entendidas las actividades e interdependencias de múltiples Si. Antes no había una planificación, pero formal (que cubra los recursos de negocio y de los sistemas proyectos dentro de un mismo programa? hoy existe un plan de aplicación generada de información) para guiar la ejecución y el control del por cada especialista que se consolida en un proyecto a lo largo de la vida del éste. Las actividades e plan integrado. interdependencias de múltiples proyectos dentro de un 3.- ¿Están documentadas las actividades e interdependencias de Si. Antes no había una planificación, pero mismo programa se deben entender y documentar. El plan del múltiples proyectos dentro de un mismo programa? hoy existe un plan de aplicación generada proyecto se debe mantener a lo largo de la vida del mismo. El por cada especialista que se consolida en un plan del proyecto, y las modificaciones a éste, se deben plan integrado. aprobar de acuerdo al marco de trabajo de gobierno del 4.- ¿El plan del proyecto se mantiene a lo largo de la vida del mismo? Si. programa y del proyecto. 5.- ¿El plan del proyecto, y las modificaciones a éste, se aprueban de Si. acuerdo al marco de trabajo de gobierno del programa y del proyecto? 1.- ¿Están definidas las responsabilidades, relaciones, autoridades y Si. Definir las responsabilidades, relaciones, autoridades y criterios de desempeño de los miembros del equipo del proyecto? criterios de desempeño de los miembros del equipo del proyecto y especificar las bases para adquirir y asignar a los 2.- ¿Se especifica las bases para adquirir y asignar a los miembros Si. competentes del equipo y/o a los contratistas al proyecto? miembros competentes del equipo y/o a los contratistas al 3.- ¿Se planea y administra la obtención de productos y servicios Si. proyecto. La obtención de productos y servicios requeridos requeridos para cada proyecto? para cada proyecto se debe planear y administrar para Si. alcanzar los objetivos del proyecto, usando las prácticas de 4.- ¿Se utilizan las prácticas de adquisición de la organización? adquisición de la organización.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
PROCESOS
RESPUESTAS
1.- ¿Existe el compromiso de los interesados afectados en la definición y Si. ejecución del proyecto dentro del contexto del programa global de Obtener el compromiso y la participación de los interesados inversiones facilitadas por TI? afectados en la definición y ejecución del proyecto dentro del contexto del programa global de inversiones facilitadas por 2.- ¿Se cuenta con la participación de los interesados afectados en la Si. definición y ejecución del proyecto dentro del contexto del programa TI. global de inversiones facilitadas por TI?
Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados. La aprobación de la fase inicial se debe basar en las decisiones de gobierno del programa. La aprobación de las fases subsiguientes se debe basar en la revisión y aceptación de los entregables de la fase previa, y la aprobación de un caso de negocio actualizado en la próxima revisión importante del programa. En el caso de fases traslapadas, se debe establecer un punto de aprobación por parte de los patrocinadores del programa y del proyecto, para autorizar así el avance del proyecto.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
O R G A N I Z A R
PREGUNTAS
Definir y documentar la naturaleza y alcance del proyecto para confirmar y desarrollar, entre los interesados, un entendimiento común del alcance del proyecto y cómo se relaciona con otros proyectos dentro del programa global de inversiones facilitadas por TI. La definición se debe aprobar de manera formal por parte de los patrocinadores del programa y del proyecto antes de iniciar el proyecto.
Definir e implementar métodos de aseguramiento y revisión de proyectos.
Y
PO10 - Administrar Proyectos.
P L A N E A R
DETALLE OBJETIVO CONTROL
*Asegurar la participación y compromiso de los interesados del proyecto. *Asegurar el control efectivo de los proyectos y de los cambios a proyectos.
DOMINIO
COBIT
1.- ¿Están identificadas las tareas de aseguramiento requeridas para Si. apoyar la acreditación de sistemas nuevos o modificados durante la planeación del proyecto? 2.- ¿Están incluidos en el plan integrado?
1,00 1,00 1,00
1,00
1,00
Si.
1,00
3.- ¿Las tareas proporcionan la seguridad de que los controles internos y Si. las características de seguridad satisfagan los requerimientos definidos?
1,00
1.- ¿Se mide el desempeño del proyecto contra los criterios clave del Si, mediante actas de trabajo. proyecto (Ej. alcance, cronograma, calidad, costos y riesgos)?
1,00
2.- ¿Se identifica las desviaciones con respecto al plan?
Si.
1,00
3.- ¿Se evalúa su impacto sobre el proyecto?
Si.
1,00
4.- ¿Se evalúa su impacto sobre el programa global?
Si.
1,00
5.- ¿Se reportan los resultados a los interesados clave?
Si.
1,00
6.- ¿Se recomienda las medidas correctivas, según sea requerido, de Si. acuerdo con el marco de trabajo de gobierno del proyecto? 7.- ¿Se implementa las medidas correctivas? Si.
1,00
8.- ¿Se monitorea las medidas correctivas?
1,00
Si. 1,00 1.- ¿Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30 1,00 dias si no hay problemas se elabora el acta de entrega-recepcion definitiva y se paga por medio del departamento legal. 2.- ¿Se comunica cualquier actividad requerida para alcanzar los Si. 1,00 resultados planeados del proyecto y los beneficios del programa? 3.- ¿Se documenta las lecciones aprendidas para ser usadas en futuros No se documenta, pero si piensan que deben 0,00 proyectos y programas? hacerlo.
102
Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de los requerimientos.
AI1.4 - Requerimientos, Decisión de Factibilidad y Aprobación.
Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución y al enfoque de adquisición.
AI2.1 - Diseño de Alto Nivel.
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización. Tener aprobadas las especificaciones de diseño por gerencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.
AI2.2 - Diseño Detallado. AI2.3 - Control y Posibilidad de Auditar las Aplicaciones.
Desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos. La administración del negocio, apoyada por la función de TI, debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al patrocinador del negocio.
RESPUESTAS
1.- ¿Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las llamadas, identifica si lo cumplen. Se basa en el alcance completo de los programas de inversión en TI? el presupuesto que se elabora en Noviembre de cada año para el siguiente año, en el se incluyen todos los requerimientos de TI (tanto de inversión como de operación). 2.- ¿Se identifica los requerimientos técnicos del negocio que cubran el Si. alcance completo de los programas de inversión en TI? 3.- ¿Se prioriza los requerimientos funcionales del negocio que cubran el Si esta priorizado en base a un estudio para alcance completo de los programas de inversión en TI? la elaboración del presupuesto. 4.- ¿Se prioriza los requerimientos técnicos del negocio que cubran el Si. alcance completo de los programas de inversión en TI? 5.- ¿Se especifica los requerimientos funcionales del negocio que cubran Si. el alcance completo de los programas de inversión en TI? 6.- ¿Se especifica los requerimientos técnicos del negocio que cubran el Si. alcance completo de los programas de inversión en TI? 7.- ¿Se acorda los requerimientos funcionales del negocio que cubran el Si cubren todo el alcance. alcance completo de los programas de inversión en TI? 8.- ¿Se acorda los requerimientos técnicos del negocio que cubran el Si. alcance completo de los programas de inversión en TI? 1.- ¿Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo requerimientos? antes de hacer el presupuesto. 2.- ¿Se identifica los riesgos asociados con el diseño de soluciones como Si. parte de los procesos organizacionales para el desarrollo de los requerimientos? 3.- ¿Se documenta los riesgos asociados con los requerimientos del Si. negocio? 4.- ¿Se analiza los riesgos asociados con los requerimientos del negocio? Si. 1.- ¿Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar. implementar los requerimientos? Los proyectos no han estado saliendo con un formato de análisis. Se establece en el momento el riesgo, la utilidad, etc. 2.- ¿La administración del negocio, apoyada por la función de TI evalúa la Desde Marzo se está haciendo levantamiento factibilidad? de funciones. Hay cambios en la actualidad y aún no están establecidos procedimientos definidos. 3.- ¿La administración del negocio, apoyada por la función de TI evalúa No. los cursos alternativos de acción? 4.- ¿La administración del negocio, apoyada por la función de TI realiza No. recomendaciones al patrocinador del negocio? 1.- ¿El patrocinador del negocio aprueba los requisitos funcionales de Como área de tecnología se está bajo la negocio? Gerencia General. No se hace nada si no está aprobado en algún informe o comunicado de la gerencia. 2.- ¿El patrocinador del negocio aprueba los requisitos técnicos de Si. negocio? 3.- ¿El patrocinador del negocio autoriza los requisitos funcionales de Si. negocio? 4.- ¿El patrocinador del negocio autoriza los requisitos técnicos de Si. negocio? 5.- ¿El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior factibilidad en las etapas clave predeterminadas? 6.- ¿El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior factibilidad en las etapas clave predeterminadas? 1.- ¿Se traduce los requerimientos del negocio a una especificación de No hay formato, no hay documento. diseño de alto nivel para la adquisición de software? 2.- ¿Las especificaciones de diseño son aprobadas por la Gerencia? Solo a traves de comunicados o informes de la gerencia general. 3.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias Si, se reevalúa los requerimientos aunque sin significativas técnicas durante el desarrollo o mantenimiento.? procedimientos, solo leyendo los pedidos. Ejemplo, piden Autocad para el área de despacho, se evalua si realmente lo necesitan o no, se lo hace de manera informal porque no hay cumplimiento de procedimientos en general para todas las cosas.
CALIFICACIÓN
OBJETIVOS DE CONTROL AI1.1 - Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.
Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel.
AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos.
AI1.2 - Reporte de Análisis de Riesgos.
ACTIVIDADES DEL PROCESO Definir los requerimientos funcionales y técnicos del negocio. *Establecer procesos para la integridad/válidez de los requerimientos. Identificar, documentar y analizar el riesgo del proceso de negocio.
PREGUNTAS
Preparar diseño detallado y los requerimientos técnicos del software aplicativo.
Conducir un estudio de factibilidad/evaluación de impacto con respecto a la implantación de los requerimientos de negocio propuestos. *Elaborar un proceso de aprobación de requerimientos. *Aprobar y Autorizar soluciones propuestas.
DETALLE OBJETIVO CONTROL
Preparar diseño detallado y los requerimientos técnicos del software aplicativo.
AI2 - Adquirir y mantener software aplicativo.
E I M P L E M E N T A R
Evaluar los beneficios de negocio de las soluciones propuestas.
PROCESOS AI1 - Identificar soluciones automatizadas.
DOMINIO
A D Q U I R I R
COBIT
1,00
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
1,00 1,00 1,00 0,00
0,00
0,00 0,00
1,00
1,00 1,00 1,00 1,00 1,00 0,00 0,50
0,50
4.- ¿Se reevalúa los requerimientos cuando sucedan discrepancias Si. 0,50 significativas lógicas durante el desarrollo o mantenimiento.? 1. ¿Se prepara el diseño detallado del software de aplicación? Los requerimiento son solicitados por los usuarios, el departamento de TI analiza la factibilidad técnica de esos requerimientos y 1,00 se asientan en un acta de requerimiento que son firmadas por los usuarios involucrados. 2. ¿Se prepara los requerimientos técnicos del software de aplicación? Si. 1,00 3.- ¿Se define el criterio de aceptación de los requerimientos? Se define en parte a tráves del módulo de 0,50 soporte y mediante el acta.
Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Definir el criterio de aceptación 4.- ¿Se aprueba los requerimientos para garantizar que corresponden al diseño de alto nivel? de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias significativas 5.- ¿Se realiza reevaluaciones cuando sucedan discrepancias técnicas o lógicas durante el desarrollo o mantenimiento. significativas técnicas durante el desarrollo o mantenimiento del Software de aplicación?
Implementar controles de negocio, cuando aplique, en controles de aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.
Si. Son aprobados por los usuarios y por el departamento de TI, (El especialista en 1,00 aplicativos y la Especialista en base de datos y aplicativos). Si se realizan reevaluaciones, en el caso de adquisición de sofware hay contratos con parámetros hay una base técnica y de lo 1,00 contrario se lo hace con el personal interno en base a procedimientos establecidos con soporte técnico coordinado con logística. 6.- ¿Se realiza reevaluaciones cuando sucedan discrepancias Si. significativas lógicas durante el desarrollo o mantenimiento del Software 1,00 de aplicación? 1.- ¿Se implementa controles de negocio cuando aplique, en controles de Se realizan auditorías al departamento, aplicación automatizados? (auditoría interna) mediante documentos se 1,00 las analiza y se las implementa. 2.-¿El procesamiento de los controles de negocio son exactos? Si son exactos. 1,00 3.- ¿El procesamiento de los controles de negocio son completos? Si son completas. Realizan auditorias 1,00 completas tres veces al año. 4.- ¿El procesamiento de los controles de negocio son oportunos? Si son oportunos. (auditoria bases, procesos, 1,00 etc.). 5.- ¿El procesamiento de los controles de negocio son autorizados? Si son autorizados por el auditor interno de la empresa junto con el departamento de TI a nivel de la Empresa de Producción. Para el Baan lo hacen a nivel corporativo desde 1,00 Quito así como lo relacionado a base de datos o cualquier contrato o proceso que se maneje corporativamente. 6.- ¿El procesamiento de los controles de negocio son auditables? Si son auditables. 1,00
103
DETALLE OBJETIVO CONTROL
PREGUNTAS
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones. AI2.5 - Configuración e Implantación de Software Aplicativo Adquirido. AI2.6 - Actualizaciones Importantes en Sistemas Existentes. AI2.7 - Desarrollo de Software Aplicativo.
Personalizar e implementar la funcionalidad automatizada adquirida.
Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.
Si,Los auditores evalúan que las recomendaciones hayan sido implementadas. 1,00 Si, lo hacen en linea. 1,00 Eso lo hacen poco. No auditan modelo de datos, integridad referencial, a ese nivel no 0,00 llegan las auditorías. No. 0,00 Si lo auditan. 1,00
1.- ¿Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables, los objetivos de negocio? una vez comprado,se personaliza y parametriza de acuerdo a las necesidades de la empresa, tanto software como hardware. Se lo realiza en el área técnica pero a través 1,00 de los especialistas de los aplicativos y bases de datos. Ellos disponen y el área ejecuta. 2.- ¿Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicación los objetivos de negocio? adquirida. Los especialistas de los aplicativos y bases de datos tambien 1,00 implementan.
1.- ¿Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a resulten cambios significativos al diseño actual? las necesidades de cada departamento y que además ayuden a mejorar el negocio. Los especialistas de los aplicativos y bases de 1,00 En caso de cambios importantes a los sistemas existentes que datos coordinan y analizan los cambios resulten en cambios significativos al diseño actual y/o importantes a los sistemas. funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos. 2.- ¿Se realizan cambios importantes a los sistemas existentes que Ver respuesta anterior 1,00 resulten cambios significativos en su funcionalidad? 3.- ¿Se sigue un proceso de desarrollo similar al empleado en los sistemas Si. Usan el ciclo de vida clásico para la 1,00 existentes para el desarrollo de sistemas nuevos? implementación de todos los sistemas.
2.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de La jefatura de TI se encarga de la acuerdo los estándares de desarrollo y documentación? administracion de Power Builder y Microsoft y Autocad son administrados por los tecnicos de soporte. Los especialistas de Garantizar que la funcionalidad de automatización se aplicativos y base de datos se encargan del 1,00 desarrolla de acuerdo con las especificaciones de diseño, los desarrollo de 4ta. generación y la estándares de desarrollo y documentación, los programacion orientado a objetos. requerimientos de calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se 3.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de Las pruebas se hacen de calidad y de identifican y direccionan para el software aplicativo acuerdo a los requerimientos de calidad y estándares de aprobación.? rendimientos pero no estan regidas a ningún 0,50 desarrollado por terceros. standar o a metodología reconocida. 4.- ¿Se asegura que todos los aspectos legales se identifican y direccionan Si, mediante contrato establecido por medio para el software aplicativo desarrollado por terceros.? de asesoria juridica en caso de compra de sofware, en el contrato se especifica tiempo, entregables en conjunto con TI, en el caso de desarrollo, lo que hace es de 3 maneras, 1,00 actas de requerimiento, entrega (provisionales y definitivas) todas firmadas por ambas partes ese es el respaldo.
AI2.10 Mantenimie nto de Software Aplicativo.
AI2.8 Aseguramiento de la Calidad del Software.
5.- ¿Se asegura que todos los aspectos contractuales se identifican y Si. direccionan para el software aplicativo desarrollado por terceros.?
AI2.9 - Administración de los Requerimientos de Aplicaciones.
Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la aplicación.
5.- ¿Se aborda la arquitectura de seguridad de la información?
Si se aborda. Los auditores tienen su propia metodología, verifican los roles que tienen los usuarios, aplicaciones, número de conexiones y accesibilidad. Ellos tienen 1,00 politicas de manejo de claves para todos los aplicativos.
1.- ¿Se garantiza que la funcionalidad de automatización se desarrolla de Si, está supervisado por el Holding Dinner. acuerdo con las especificaciones de diseño? Ellos realizan auditorías y constantemente monitorean por medio de actas de trabajo y actas de requerimiento en donde los usuarios dan las especificaciones de lo que desean y 1,00 esto se plasma en un documento opción x opción y se firma usuarios, gerentes de áreas, jefes involucrados y tecnología.
Crear un plan de aseguramiento de la calidad del software para el proyecto.
I M P L E M E N T A R
Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos 2.- ¿Se aborda los requerimientos de disponibilidad en respuesta a los identificados y en línea con la clasificación de datos, la riesgos identificados? arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la 3.- ¿Se aborda los requerimentos en línea con la clasificación de datos? organización. 4.- ¿Se aborda la arquitectura de la información?
6.- ¿Se aborda la tolerancia a riesgos de la organización.?
Dar seguimiento y administrar los requerimientos de la aplicación.
E
Desarrollar un plan para el mantenimie nto de aplicacione s de software.
A D Q U I R I R
AI2 - Adquirir y mantener software aplicativo.
Personalizar e implementar la funcionalidad automatizada adquirida.
Especificar los controles de aplicación dentro del diseño.
1.- ¿Se aborda la seguridad de las aplicaciones?
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL
ACTIVIDADES DEL PROCESO
PROCESOS
DOMINIO
COBIT
1,00
1.- ¿Se desarrolla un plan de aseguramiento de calidad del software?
No tienen plan, hay planes de prueba, se cogen casos criticos y con eso se hace la Desarrollar, Implementar los recursos y ejecutar un plan de 0,00 prueba, pero plan de calidad con aseguramiento de calidad del software, para obtener la procedinmientos establecidos no hay. calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad 2.- ¿Se Implementa los recursos de un plan de aseguramiento de calidad ver respuesta anterior 0,00 del software? de la organización. 3.- ¿Se ejecuta un plan de aseguramiento de calidad del software? ver respuesta anterior 0,00 1. ¿Se sigue el estado de los requerimientos individuales durante el Si se lo sigue, se ha creado un sistema de diseño, desarrollo e implementación? soporte técnico, se registra el requertimiento, se hace el seguimiento y la solución, siguiendo los 3 niveles de servicio que ITIL 1,00 recomienda, telefonico, correo y personal. Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el 2.- ¿Se sigue el estado de todos los requerimientos rechazados durante el No se hace seguimiento de lo rechazado. diseño, desarrollo e implementación, y aprobar los cambios 0,00 diseño, desarrollo e implementación.? a los requerimientos a través de un proceso de gestión de 3.- ¿Se aprueba los cambios a los requerimientos a través de un proceso Si hay un proceso de gestión, cuando un cambios establecido. de gestión de cambios establecido? sistema está en marcha si tienen un procedimiento. mediante acta de 1,00 modificaciones se establece cual es el requerimiento que va a cambiar y en que afecta. Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.
1.- ¿Se desarrolla una estrategia para el mantenimiento de aplicaciones Aplican el mismo ciclo de vida, desde 1,00 de software? analizar hasta aplicar la solución. 2.-¿Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan. software.?
104
0,00
DETALLE OBJETIVO CONTROL
PREGUNTAS
AI3.1 - Plan de Adquisición de Infraestructura Tecnológica.
Negociar la compra y adquirir la infraestructura requerida con proveedores(aprobados).
1.- ¿Se genera un plan para adquirir la infraestructura tecnológica?
Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica.
2.- ¿Se implementa el plan para adquirir la infraestructura tecnológica?
RESPUESTAS
No cuentan con un plan para reunirse y verificar el requerimiento del usuario. Por política del área TI cada 2 Años se cambian los equipos, se puede decir que con este análisis aproximadamente el 20% del parte 0,00 tecnológico es candidato a cambio, en esta planificación puede haber distinción en tiempo ya que se depende de otras áreas y de proveedores. Si. 1,00
3.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Si se evalúa, se realiza una cotización y el satisfaga los requerimientos establecidos funcionales del negocio, y que departamento de adquisiciones aprueba la 1,00 esté de acuerdo con la dirección tecnológica de la organización? compra a través de un cómite. 4.- ¿Se mantiene el plan para adquirir la infraestructura tecnológica que Sí. satisfaga los requerimientos establecidos técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización?
AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura. AI3.3 - Mantenimiento de la Infraestructura. AI3.4 - Ambiente de Prueba de Factibilidad.
Definir el procedimiento/ proceso de adquisición. Definir estrategia y planear el mantenimiento de infraestructura. Configurar componentes de la infraestructura.
I M P L E M E N T A R
AI3 - Adquirir y mantener infraestructura tecnológica.
E
1,00
5.- ¿El plan considera extensiones futuras para adiciones de capacidad, No hay un documento de planificación que costos de transición, riesgos tecnológicos y vida útil de la inversión para abarque estos temas. 0,00 actualizaciones de tecnología? 6.- ¿Se evalúa los costos de complejidad del proveedor?
Es independiente del proceso de la compra, el área de TI no evalúa al proveedor, este es un 1,00 proceso de logistica.
7.- ¿Se evalúa los costos de la viabilidad comercial del proveedor y el Ver respuesta anterior. producto al añadir nueva capacidad técnica?
A D Q U I R I R
CALIFICACIÓN
OBJETIVOS DE CONTROL
ACTIVIDADES DEL PROCESO
PROCESOS
DOMINIO
COBIT
1.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Si se lo hace a nivel de desarrollo y de durante la configuración de la infraestructura para proteger los recursos producción, cuando es necesario se crea base y garantizar su disponibilidad e integridad? de datos para hacer pruebas a los aplicativos para no afectar el proceso en linea una vez probado se envia los aplicativos al Ing. Orellana encargado de los servidores para que los pase a los servidores de producción. Del hardware no se hace, el software desarrolladores de aplicativos y Base de Datos. Implementar medidas de control interno, seguridad y 2.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior. auditabilidad durante la configuración, integración y durante la integración de la infraestructura para proteger los recursos y mantenimiento del hardware y del software de la garantizar su disponibilidad e integridad? infraestructura para proteger los recursos y garantizar su 3.- ¿Se Implementa medidas de control interno, seguridad y auditabilidad Ver respuesta anterior. disponibilidad e integridad. Se deben definir y comprender durante el mantenimiento del hardware y del software de la claramente las responsabilidades al utilizar componentes de infraestructura para proteger los recursos y garantizar su disponibilidad infraestructura sensitivos por todos aquellos que desarrollan e integridad? e integran los componentes de infraestructura. Se debe 4.- ¿Se define claramente las responsabilidades al utilizar componentes Si cada especialista es reponsable del manejo monitorear y evaluar su uso. de infraestructura sensitivos por todos aquellos que desarrollan e del componente de infraestructura sensitivo integran los componentes de infraestructura? de cada uno de los procesos. 5.- ¿Se comprende claramente las responsabilidades al utilizar Sí cada especialista tiene asignado las componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos. desarrollan e integran los componentes de infraestructura? 6.- ¿Se monitorea el uso del recurso de infraestructura? Se monitorea, se hace un mantenimiento preventivo, mas o menos cada 4 meses a los equipos, (servidores, equipos de usuarios,etc). 7.- ¿Se evalúa el uso del recurso de infraestructura? No se evalúa. 1.- ¿Se desarrolla una estrategia para el mantenimiento de la Si se desarrolla, cumplen un cronograma de infraestrucutura? acuerdo el reporte de Help Desk. A Nivel de equipos de computación. Son 2.- ¿Se desarrolla un plan de mantenimiento de la infraestructura? servicios que estan tercerizados. 3.- ¿La estrategia desarrollada para el mantenimiento de la Si se garantiza pero no hay documentación infraestructura garantiza que se controlan los cambios, de acuerdo con el pero si hay análisis. procedimiento de administración de cambios de la organización? 4.- ¿El plan desarrollado para el Mantenimiento de la Infraestructura Ver respuesta anterior. garantiza que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización? Desarrollar una estrategia y un plan de mantenimiento de la 5.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No hay. infraestructura y garantizar que se controlan los cambios, de periódica contra las necesidades del negocio? acuerdo con el procedimiento de administración de cambios 6.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión Desarrolladores de aplicativos y Base de de la organización. Incluir una revisión periódica contra las periódica contra la administración de parches? Datos se encargan en que versiones estan necesidades del negocio, administración de parches y desarrolladas las aplicaciones, Si hay estrategias de actualización, riesgos, evaluación de actualizaciones, todo es con licencia no hay vulnerabilidades y requerimientos de seguridad. nada pirata. 7.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión Se hace un monitorieo preventivo, se hace un periódica contra las estrategias de actualización? diagnostico para ver prosibles problemas e implementar alguna mejora. 8.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No se lo hace, no manejan matriz de riesgo periódica contra los riesgos? 9.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No hay plan, lo hacen obligados por auditoria periódica contra la evaluación de vulnerabilidades? por los eventos que se presentan para ir solucionando las cosas. 10.- ¿El plan de Mantenimiento de la Infraestructura incluye una revisión No. periódica contra los requerimientos de seguridad? 1.- ¿Se establece el ambiente de desarrollo de las aplicaciones? Si cumplen,cuando se adquiere un aplicativo o un software realizan un periodo de prueba, Carlos Orellana, David Guillen y soporte. 2.- ¿Se establece el ambiente de pruebas de las aplicaciones? Si se cumple. 3.- ¿Se considera la funcionalidad de las aplicaciones en el ambiente de Si se considera cuando hay cambios lo hacen adquisición y desarrollo? en un solo repositorio y es fácil porque toda la empresa se actualiza, en los cambios de versiones es igual. Establecer el ambiente de desarrollo y pruebas para soportar 4.- ¿Se considera la integración de las aplicaciones en el ambiente de Si. la efectividad y eficiencia de las pruebas de factibilidad e adquisición y desarrollo? integración de aplicaciones e infraestructura, en las primeras 5.- ¿Se considera el desempeño de las aplicaciones en el ambiente de Si. fases del proceso de adquisición y desarrollo. Hay que adquisición y desarrollo? considerar la funcionalidad, la configuración de hardware y 6.- ¿Se considera la migración entre ambientes de las aplicaciones en el Si. software, pruebas de integración y desempeño, migración ambiente de adquisición y desarrollo? entre ambientes, control de la versiones, datos y 7.- ¿Se considera el control de la versiones de las aplicaciones en el Si. herramientas de prueba y seguridad. ambiente de adquisición y desarrollo? 8.- ¿Se considera los datos y herramientas de prueba de las aplicaciones Si. en el ambiente de adquisición y desarrollo? 9.- ¿Se considera la seguridad de las aplicaciones en el ambiente de Si. adquisición y desarrollo? 10.- ¿Se considera la configuración de hardware y software de la Si se considera Cuando hay cambios lo hacen infraestructura en el ambiente de adquisición y desarrollo? en un solo repositorio y es facil porque toda la empresa se actualiza, en los cambios de versiones es igual.
105
1,00
1,00
1,00
1,00
1,00
1,00
1,00 0,00 1,00 1,00 0,50
0,50 0,00
1,00
1,00 0,00 0,00 0,00 1,00 1,00 1,00
1,00 1,00 1,00 1,00 1,00 1,00
1,00
Establecer/mantener una lista de proveedores acreditados.
AI5 - Adquirir recursos de TI.
Desarrollar políticas y procedimientos de adquisición de TI de acuerdo con las politicas de adquisiciones a nivel corporativo.
DETALLE OBJETIVO CONTROL
PREGUNTAS
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL AI4.1 - Plan para Soluciones de Operación. AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio. AI4.3 - Transferencia de Conocimiento a Usuarios Finales. AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte.
I M P L E M E N T A R
AI5.1 - Control de Adquisición.
E
AI5.2 - Administración de Contratos con Proveedores.
ACTIVIDADES DEL PROCESO Desarrollar metodología de transferencia de conocimiento. Desarrollar manuales de procedimiento del usuario final. * Evaluar los resultados del entrenamiento y ampliar la documentación como se requiera. Desarrollar documentación de soporte técnica para operaciones y personal de soporte. * Desarrollar y dar entrenamiento.
AI4 - Facilitar la operación y el uso.
Desarrollar estrategia para que la solución sea operativa.
PROCESOS
DOMINIO
A D Q U I R I R
COBIT 1.- ¿Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos técnicos, la capacidad de operación y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico, en las aplicaciones? se esta trabajando en una base de conocimiento en un servidor para en caso de 0,50 ausencia todos tengan acceso y puedan Desarrollar un plan para identificar y documentar todos los solucionar cualquier inconveniente que aspectos técnicos, la capacidad de operación y los niveles de normalmente lo haría la persona ausente. servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la 2.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior. producción de procedimientos de administración, de usuario técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50 y operativos, como resultado de la introducción o en las aplicaciones? actualización de sistemas automatizados o de 3.- ¿Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior. infraestructura. técnicos, la capacidad de operación y los niveles de servicio requeridos 0,50 en la infraestructura? 4.- ¿Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior. técnicos, la capacidad de operación y los niveles de servicio requeridos en la infraestructura? 1.- ¿Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo empresa? que es beneficio. Si se entrega, el plan estrategico de sistemas está hecho en base al plan estratégico de la empresa. 2.- ¿Se transfiere el conocimiento de los datos de la aplicación a la Si. gerencia de la empresa? 3.- ¿Se incluye en la transferencia del conocimiento la aprobación de Siguen la linea de Holding Dine pero basadas Transferir el conocimiento a la gerencia de la empresa para acceso de las aplicaciones e infraestructura? en las necesidades de Empresa. Cada 15 días, permitirles tomar posesión del sistema y los datos y ejercer se le informa a la GG sobre equipos, permisos la responsabilidad por la entrega y calidad del servicio, del para inversión. proyectos, permisos para control interno, y de los procesos administrativos de la ciertos privilegios. aplicación. La transferencia de conocimiento incluye la 4.- ¿Se incluye en la transferencia del conocimiento la administración de Si. aprobación de acceso, administración de privilegios, privilegios de las aplicaciones e infraestructura? segregación de tareas, controles automatizados del negocio, 5.- ¿Se incluye en la transferencia del conocimiento la segregación de Si. respaldo/recuperación, seguridad física y archivo de la tareas de las aplicaciones e infraestructura? documentación fuente. 6.- ¿Se incluye en la transferencia del conocimiento los controles Si. automatizados del negocio de las aplicaciones e infraestructura? 7.- ¿Se incluye en la transferencia del conocimiento el Si. respaldo/recuperación de las aplicaciones e infraestructura? 8.- ¿Se incluye en la transferencia del conocimiento la seguridad física de Si. las aplicaciones e infraestructura? 9.- ¿Se incluye en la transferencia del conocimiento el archivo de la Si. documentación fuente de las aplicaciones e infraestructura? Transferencia de conocimiento y habilidades para permitir 1.- ¿Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal. el sistema de aplicación como apoyo a los procesos del aplicación como apoyo a los procesos del negocio? 2.- ¿Se mejora las habilidades para permitir que los usuarios finales Si. negocio. La transferencia de conocimiento incluye el utilicen con efectividad y eficiencia el sistema de aplicación como apoyo desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, así como el desarrollo de a los procesos del negocio.? 3.- ¿Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual habilidades, materiales de entrenamiento, manuales de plan de entrenamiento? network conection , manuales de usuario, manuales de procedimiento, ayuda en línea, usuario,procedimiento no, asistencia a asistencia a usuarios, identificación del usuario clave, y usuarios y son dadas por el personal de TI. evaluación. 1.- ¿Se capacita al personal de operaciones en relación a las aplicaciones Se lo hace de forma verbal, no hay e infraestructura atendiendo a los requerimientos de los usuarios de procedimientos. Estan retomando o queriendo manera efectiva y eficiente? formalizar el proceso estableciendo el procedimiento. 2.- ¿Se capacita al personal técnico en relación a las aplicaciones e Si, en parte. infraestructura atendiendo a los requerimientos de los usuarios de Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente? personal de soporte técnico y de operaciones que entregue, 3.- ¿Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si. apoyen y mantenga la aplicación y la infraestructura habilidades del personal de soporte técnico y de operaciones? asociada de manera efectiva y eficiente de acuerdo a los 4.- ¿Se incluye en el entrenamiento inicial y continuo, los materiales de Si. niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte conocimiento debe incluir al entrenamiento inicial y técnico y de operaciones? continuo, el desarrollo de las habilidades, los materiales de 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No. entrenamiento, los manuales de operación, los manuales de operación en el desarrollo de las habilidades del personal de soporte procedimientos y escenarios de atención al usuario. técnico y de operaciones? 5.- ¿Se incluye en el entrenamiento inicial y continuo, los manuales de No hay procedimiento. procedimientos en el desarrollo de las habilidades del personal de soporte técnico y de operaciones? 7.- ¿Se incluye en el entrenamiento inicial y continuo, los escenarios de Si. atención al usuario en el desarrollo de las habilidades del personal de soporte técnico y de operaciones? 1.- ¿Se adquiere instalaciones para el área de TI? Si, (presupuesto) Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la organización y con la estrategia de adquisición para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio.
Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad, de propiedad intelectual y responsabilidades de conclusión, así como obligaciones (que incluyan cláusulas de penalización). Todos los contratos y las modificaciones a contratos las deben revisar asesores legales.
0,50
1,00
1,00
1,00
1,00 1,00 1,00 1,00 1,00 1,00 1,00
1,00
1,00
0,50
0,50 1,00 1,00
0,00
0,00
1,00 1,00
2.- ¿Se adquiere hardware para el área de TI?
Si.
1,00
3.- ¿Se adquiere software para el área de TI?
Si.
1,00
4.- ¿Se adquiere servicios necesarios por el negocio para el área de TI?
Si.
1,00
5.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la organización? 6.- ¿Se desarrolla y se sigue un conjunto de procedimientos y estándares consistente con la estrategia de adquisición? 1.- ¿Se formula un procedimiento para establecer contratos para todos los proveedores?
No No
0,00 0,00
Salir a convocatoria, se define lo que se va a generar el contrato, las ofertas y documentos, adicional deben presentarse a sobre cerrado, minimo tres propuesta de oferta. Es factible tener mas proveedores, miden la parte social(todos los trabajadores q esten gozando el seguro), medio ambiente(dentro de sus proceso cumplan con el medio ambiente.) 1,00 financiera(informe de los estados de cuenta balance), las ofertas pueden haber excepciones de modificacion en ese caso el gerente general llega a un acuerdo con la responsabilidad de la jefe de area, se contacta al proveedor ganador y a los que no ganaron igual se los comunica.
2.- ¿Se formula un procedimiento para modificar contratos para todos los Si. 1,00 proveedores? 3.- ¿Se formula un procedimiento para concluir contratos para todos los Si. 1,00 proveedores? 4.- ¿El procedimiento cubre las responsabilidades y obligaciones legales? Si cumplen con todos los parametros piden una poliza de anticipacion el 10% del valor 1,00 del contrato. 5.- ¿El procedimiento cubre las responsabilidades y obligaciones Si. 1,00 financieras? 6.- ¿El procedimiento cubre las responsabilidades y obligaciones Si. 1,00 organizacionales? 7.- ¿El procedimiento cubre las responsabilidades y obligaciones Si. 1,00 documentales? 8.- ¿El procedimiento cubre las responsabilidades y obligaciones de Si. 1,00 desempeño? 9.- ¿El procedimiento cubre las responsabilidades y obligaciones de Si. 1,00 seguridad? 10.- ¿El procedimiento cubre las responsabilidades y obligaciones de Si. 1,00 propiedad intelectual? 11.- ¿El procedimiento cubre las responsabilidades de conclusión? Si. 1,00 12.- ¿Los contratos las revisan los asesores legales? Si pero lo hacen soportando con los tecnicos 1,00 usuario o supervisores del contrato. 13.- ¿Las modificaciones a contratos las revisan los asesores legales? Si. 1,00
106
PREGUNTAS
1.- ¿Se selecciona proveedores de acuerdo a una práctica justa y formal?
Si.
1,00
2.- ¿Se selecciona proveedores de acuerdo a una práctica formal?
Si.
1,00
3.- ¿Los requerimientos estan optimizados con las entradas de los proveedores potenciales? 1.- ¿Se protege los intereses de la organización en todo los contratos de adquisiciones de software? 2.- ¿Se protege los intereses de la organización en todo los contratos de adquisiciones de recursos de desarrollo? 3.- ¿Se protege los intereses de la organización en todo los contratos de adquisiciones de infraestructura? Proteger y hacer cumplir los intereses de la organización en 4.- ¿Se protege los intereses de la organización en todo los contratos de todo los contratos de adquisiciones, incluyendo los derechos adquisiciones de servicios? y obligaciones de todas las partes en los términos 5.- ¿Se hace cumplir los intereses de la organización en todo los contratos contractuales para la adquisición de software, recursos de de adquisiciones de software? desarrollo, infraestructura y servicios. 6.- ¿Se hace cumplir los intereses de la organización en todo los contratos de adquisiciones de recursos de desarrollo? 7.- ¿Se hace cumplir los intereses de la organización en todo los contratos de adquisiciones de infraestructura? 8.- ¿Se hace cumplir los intereses de la organización en todo los contratos de adquisiciones de servicios? 1.- ¿Se maneja de manera estándar todas las solicitudes para cambios a las aplicaciones?
AI7.3 - Plan de Implantación. AI7.5 Conversión AI7.4 - Ambiente de de Prueba. Sistemas y Datos.
Si. Si. Si. Si. Si. Si. Si. Si. Si.
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
Si se lo hace. El requerimiento llega a TI y se lo resuelve en unos casos y en otros se 1,00 contacta con el proveedor del aplicativo, le ponen fecha de entrega y se da el soporte. 2.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si. 1,00 los procedimientos? 3.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si. 1,00 los procesos? 4.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si. 1,00 los parámetros de sistema? 5.- ¿Se maneja de manera estándar todas las solicitudes para cambios a Si. 1,00 los servicios?
Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
6.- ¿En las plataformas fundamentales se establecen procedimientos de administración de cambio formales? 1.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los Garantizar que todas las solicitudes de cambio se evalúan de impactos en el sistema operacional? una estructurada manera en cuanto a impactos en el sistema 2.- ¿Se garantiza que todas las solicitudes de cambio se evalúan los impactos en el sistema en su funcionalidad? operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a 3.- ¿La evaluación incluye la categorización de los cambios? la migración hacia producción, los interesados 4.- ¿La evaluación incluye la priorización de los cambios? correspondientes autorizan los cambios. 5.- ¿Se autorizan los cambios en la migración hacia la producción de las aplicaciones por los interesados? 1.- ¿Se establece un proceso para definir los cambios de emergencia que no sigan el proceso de cambio establecido? 2.- ¿Se establece un proceso para plantear los cambios de emergencia que no sigan el proceso de cambio establecido? Establecer un proceso para definir, plantear, evaluar y 3.- ¿Se establece un proceso para evaluar los cambios de emergencia que autorizar los cambios de emergencia que no sigan el proceso no sigan el proceso de cambio establecido? de cambio establecido. La documentación y pruebas se 4.- ¿Se establece un proceso para autorizar los cambios de emergencia realizan, posiblemente, después de la implantación del que no sigan el proceso de cambio establecido? cambio de emergencia. 5.- ¿Se realiza la documentación después de la implantación del cambio de emergencia? 6.- ¿Se realiza las pruebas después de la implantación del cambio de emergencia? Establecer un sistema de seguimiento y reporte para 1.- ¿Se establece un sistema de seguimiento para mantener actualizados a mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes? interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, 2.- ¿Se establece un sistema de reporte para mantener actualizados a los parámetros del sistema y del servicio y las plataformas solicitantes de cambio y a los interesados relevantes? fundamentales. 1.- ¿Se actualiza los cambios en los sistemas? Siempre que se implantan cambios al sistema, actualizar el 2.- ¿Se actualiza la documentación de usuario? sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de 3.- ¿Se establece un proceso de revisión para garantizar la implantación completa de los cambios? revisión para garantizar la implantación completa de los cambios. Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas de la información de desarrollo, implementación o modificación.
2.- ¿Se entrena al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación de cada proyecto de sistemas? 1.- ¿Se establece un plan de pruebas basado en los estándares de la organización? Establecer un plan de pruebas basado en los estándares de la 2.- ¿Dentro de los estándares de la organización se definen los roles? organización que define roles, responsabilidades, y criterios 3.- ¿Dentro de los estándares de la organización se definen las de entrada y salida. Asegurar que el plan esta aprobado por responsabilidades? las partes relevantes. 4.- ¿Dentro de los estándares de la organización se definen los criterios de entrada y salida? 5.- ¿Se asegura que el plan está aprobado por las partes relevantes?
Establecer un plan de implantación y respaldo y vuelta atrás. Obtener aprobación de las partes relevantes.
Definir y establecer un entorno seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de trabajo. Plan de conversión de datos y migración de infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo pistas de auditoria, respaldo y vuelta atrás. Pruebas de cambios independientemente en acuerdo con los planes de pruebas definidos antes de la migración al entorno de operaciones. Asegurar que el plan considera la seguridad y el desempeño.
No hay procedimientos. Si se evalúan. Si. Si.
0,00 1,00 1,00 1,00
Si.
1,00 Si. Si ellos no firman, TI no procede a realizar 1,00 los cambios. No hay procedimiento para emergencias. 0,00 No. No. No. Si. Si.
0,00 0,00 0,00 1,00 1,00
No se lo hace, pero se está trabajando para que a través del sistema ellos conozcan el 0,00 estado en el que se encuentra su requerimiento. No. 0,00 Si se actualiza el sistema asociado.
1,00
No, a veces se lo hace y otras no
0,50 Si. Se hace una revisión presencial en la prueba y una vez aprobado por el usuario, se 1,00 efectua el cambio y se lo envia a produccion por medio del especialista de infraestructura.
1.- ¿Se entrena al personal de los departamentos de usuario afectados de No hay plan y no se los entrena pero se dan acuerdo con el plan definido de entrenamiento e implantación de casa indicaciones básicas de acuerdo al 0,30 requerimiento. proyecto de sistemas?
1.- ¿Se establece un plan de implantación y respaldo y vuelta atrás?
AI7.6 - Pruebas de Cambios.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL AI5.3 Selección de Proveedores. AI6.1 - Estándares y Procedimientos para Cambios. AI6.2 - Evaluación de Impacto, Priorización y Autorización. AI6.4 Seguimiento y Reporte del Estatus de Cambio. AI7.2 - Plan de Prueba.
AI7.1 Entrenamiento.
AI6.5 - Cierre y Documentación del Cambio.
AI6.3 - Cambios de Emergencia.
Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las solicitdes de cambio. Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio. Garantizar que cualquier cambio crítico y de emergencia sigue el proceso aprobado. Autorizar cambios. Administrar y diseminar la información relevante referente a cambios. Definir y revisar una estrategia de prueba (criterio de entrada y sálida) y la metodología de plan de prueba operacional. Construir y mantener un repositorio de requirimientos de negocio y técnicos y casos de prueba para sistemas acreditados. Establecer ambiente de prueba y conducir pruebas de aceptación finales. Establecer ambiente de prueba y conducir pruebas de aceptación finales.
AI7 - Instalar y acreditar soluciones y cambios.
Construir y revisar planes de investigación.
I M P L E M E N T A R
AI5.4 - Adquisición de Recursos de TI.
ACTIVIDADES DEL PROCESO
Seleccionar proveedores de acuerdo a una práctica justa y formal para garantizar la mejor viable y encajable según los requerimientos especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales.
Desarrollar contratos que protejan los intereses de la organización. *Realizar adquisiciones de conformidad con los procedimientos establecidos.
PROCESOS
Evaluar y seleccionar proveedores a través de un proceso de solicitud de propuesta (RFP).
AI5 - Adquirir recursos de TI. AI6 - Administrar cambios.
E
DETALLE OBJETIVO CONTROL
Ejecutar la conversaci ón del sistema y las pruebas de integració n en ambiente
DOMINIO
A D Q U I R I R
COBIT
No. 0,30 No cuentan con un plan pero si se realizan 0,50 pruebas. No hay estandares. 0,00 No. 0,00 No. Si se aprueban por las partes.
0,00 1,00
Hay un cronograma de trabajo aprobado por los usuarios en el que se establece el tiempo que les va a tomar echar a andar el sistema. En cuanto a respaldo no hay procedimiento 0,50 establecido, se lo hace de manera informal, no está documentado el procedimiento. En lo referente a base de datos y aplicativos se lo hace pero no se documenta. 2.- ¿Se obtiene la aprobación de las partes relevantes? Si se lo hace. 1,00 1.- ¿Se define un entorno seguro de pruebas representativo del entorno de Si se asegura de no afectar el entorno. Se lo operaciones? hace en un ambiente de prueba y este no esta 0,50 basado en un estandar pero si cuidan de no afectar los datos. 2.- ¿Se establece un entorno seguro de pruebas representativo del entorno En parte. 0,50 de operaciones? 1.- ¿Cuentan con un Plan de conversión de datos como parte de los No tienen. 0,00 métodos de desarrollo de la organización? 2.- ¿Cuentan con una migración de infraestructuras como parte de los No. 0,00 métodos de desarrollo de la organización? 1.- ¿Las Pruebas de cambios independientemente están de acuerdo con los No tienen plan de pruebas. planes de pruebas definidos antes de la migración al entorno de 0,00 operaciones? 2.- ¿Se asegura que el plan de pruebas considera la seguridad? Si pero no cuentan con un plan. 0,50 3.- ¿Se asegura que el plan de pruebas considera el desempeño? Si lo hacen pero no cuentan con el plan. 0,50
107
5.- ¿Se monitorea la aprobación de los procesos de prueba?
4.- ¿Se compara el comportamiento y los resultados?
Si.
Si.
1.- ¿Se establece procedimientos en línea con los estándares de gestión de No cuentan con un software. Cuando el cambios organizacionales? usuario presenta inconvenientes y lo reporta, lo atienden. 2.- ¿Se requiere una revisión posterior a la implantación como conjunto Si se hace. de salida en el plan de implementación? 1.- ¿El marco de trabajo brinda un proceso formal de administración de Si existen pero no es formal. Se tiene pensado niveles de servicio entre el cliente y el prestador de servicio? implementar ITIL para realizar procesos de mejora, ya que las áreas no estan conformes con el resultado. 2.- ¿El marco de trabajo mantiene una alineación continua con los No cuentan con un marco de trabajo. requerimientos y las prioridades de negocio? 3.- ¿El marco de trabajo facilita el entendimiento común entre el cliente y No cuentan con un marco de trabajo. el(los) prestador(es) de servicio? 4.- ¿El marco de trabajo incluye procesos para la creación de No cuentan con marco de trabajo pero si con requerimientos de servicio? SLAs. 5.- ¿El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo. acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento?
0,50 0,50 1,00 1,00 1,00 1,00 1,00 1,00 1,00 0,50 1,00
0,50
0,00 0,00 0,50 0,25
No cuentan con Marco de Trabajo. 0,00
DS1.3 - Acuerdos de Niveles de Servicio. DS1.4 - Acuerdos de Niveles de Operación.
Si lo definen. Tienen un sofware de soporte donde registran en base de datos los requerimientos de los usuarios así como los 1,00 problemas que ellos detectan. Hacen seguimiento de cada registro y de las soluciones y sacan reportes. Definir y acordar convenios de niveles de servicio para todos 1.- ¿Existen acuerdos de convenios de niveles de servicio para todos los 1.- No existe un acuerdo de niveles de servicio procesos críticos de TI? con el usuario, si cuentan con SLAs los procesos críticos de TI con base en los requerimientos del implementado por el especialista en cliente y las capacidades en TI. Esto incluye los compromisos aplicaciones, pero falta implementar los del cliente, los requerimientos de soporte para el servicio, parámetros al 100%. Esto está en proyecto. métricas cualitativas y cuantitativas para la medición del 0,50 servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y responsabilidades, incluyendo la revisión del SLA. Los puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda.
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio. DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos. DS2.1 - Identificación de Todas las Relaciones con Proveedores.
2.- ¿Se asegura que los interesados de TI evalúan los resultados de los Si se lo realiza empiricamente. procesos de pruebas como determina el plan de pruebas? 3.- ¿Se remedia los errores significativos identificados en el proceso de Si. pruebas? 4.- ¿Se monitorea la evaluación de los procesos de prueba? Si.
Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facilita el entendimiento común entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional para la administración del nivel de 6.- ¿El marco de trabajo define la estructura organizacional para la servicio, incluyendo los roles, tareas y responsabilidades de administración del nivel de servicio incluyendo los roles, tareas y los proveedores externos e internos y de los clientes. responsabilidades de los proveedores externos e internos y de los clientes? 1.- ¿Se definen los servicios de TI sobre las características del servicio y Definiciones base de los servicios de TI sobre las los requerimientos de negocio? características del servicio y los requerimientos de negocio, organizados y almacenados de manera centralizada por medio de la implantación de un enfoque de catálogo/portafolio de servicios.
Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.
DS2.2 - Gestión de Relaciones con Proveedores.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL AI7.7 - Prueba de Aceptación Final. AI7.9 Revisión Posterior a la Implantación.
Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como conjunto de salida en el plan de implementación.
Definir los convenios de niveles de servicio (SLAs) para los servicios críticos de TI.
DS1.2 Definición de Servicios.
DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio.
AI7.8 - Promoción a Producción.
ACTIVIDADES DEL PROCESO Establecer ambiente de prueba y conducir pruebas de aceptación finales. Recomendar la liberación a producción con base en los criterios de acreditación convenidos.
PREGUNTAS
Definir los convenios de niveles de operación (OLAs) para soportar las SLAs.
Construir un catálogo de servicios de TI.
Establecer ambiente de prueba y conducir pruebas de aceptación finales.
1.- ¿Se controla la entrega de los sistemas cambiados a operaciones, Si. manteniéndolo en línea con el plan de implantación.? 2.- ¿Se obtiene la aprobación de los interesados clave, tales como Si. usuarios, dueño de sistemas y gerente de operaciones cuando sea apropiado? 3.- ¿Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si.
Crear un marco de trabajo para los servicios de TI.
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y gerente de operaciones. Cuando sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los resultados.
Monitorear y reportar el desempeño del servicio de punta a punta. *Revisar y actualizar el catálago de servicios de TI.
PROCESOS
1.- ¿Se asegura que el dueño de proceso de negocio evalúa los resultados No hay plan pero si lo hacen de los procesos de pruebas como determina el plan de pruebas?
Revisar los SLAs y los contratos de apoyo. *Crear un plan de mejora de servicios.
S O P O R T E
DS2 – Administrar los servicios de terceros
D A R
Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores significativos identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.
Identificar y categorizar las relaciones de los servicios de terceros.
Y
DETALLE OBJETIVO CONTROL
Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs.
Definir y documentar los procesos de administración del proveedor.
E N T R E G A R
DS1 – Definir y administrar los niveles de servicio
DOMINIO
E
AI7 - Instalar y acreditar soluciones y cambios.
A D Q U I R I R
I M P L E M E N T A R
COBIT
1.- ¿Se asegura que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima? 2.- ¿Los OLAs especifican los procesos técnicos en términos entendibles para el proveedor? 3.- ¿Los OLAs pueden soportar diversos SLAs?
Se lo hace pero sin considerar ningún 0,50 estandar. No en su totalidad, solo una parte. No tecnicamente, los soportan empíricamente.
0,50 0,50
1.- ¿Se monitorean continuamente los criterios de desempeño especificados para el nivel de servicio? 2.- ¿Los reportes sobre el cumplimiento de los niveles de servicio se emiten en un formato que sea entendible para los interesados?
No se monitorean, sólo en el sistema se 0,50 verifican los nuevos requerimientos. Por ahora si, desde hace dos meses se emiten informes pero los responsabes no ingresan 1,00 información. 3.- ¿Las estadísticas de monitoreo son analizadas para identificar Todavia no. tendencias positivas y negativas tanto de servicios individuales como de 0,00 los servicios en conjunto? 1.¿Se revisan regularmente con los proveedores internos los acuerdos de No, una parte con los proveedores externos Revisar regularmente con los proveedores internos y externos 0,50 pero no formalmente. los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo? para asegurar que son efectivos, que están actualizados y que 2.- ¿Se revisan regularmente con los proveedores externos los acuerdos de En parte. los niveles de servicio y los controles de apoyo? se han tomado en cuenta los cambios en requerimientos, 0,50 para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos. 1.- ¿Se identifican todos los servicios de los proveedores? Identificar todos los servicios de los proveedores, y categorizar los de acuerdo al tipo de proveedor, significado y criticidad. Mantener documentación formal de relaciones 2.- ¿Se categorizan los de acuerdo al tipo de proveedor, significado y técnicas y organizacionales que cubren los roles y criticidad? responsabilidades, metas, entregables esperados, y 3.- ¿Se mantiene una documentación formal de relaciones técnicas? credenciales de los representantes de estos proveedores. 4.- ¿Se mantiene una documentación formal de relaciones organizacionales? 1.- ¿Se formaliza el proceso de gestión de relaciones con proveedores para cada proveedor?
Si, pero falta estructurar. Tener una sola matriz de tal forma que una persona pueda 0,50 saber a quien llamar cuando se presente un inconveniente. No. No. No hay.
0,00 0,00 0,00
Habría que revisar el requerimento de calificación de proveedores. Logistica debe de evaluar los proveedores, lo maneja a traves del correo electrónico o por llamadas telefónicas y si hay problemas tratan de Formalizar el proceso de gestión de relaciones con hablar con el gerente. Cuando es un nuevo 1,00 proveedores para cada proveedor. Los dueños de las proveedor en el sistema BAAN se almacena relaciones deben enlazar las cuestiones del cliente y los datos del proveedor, caso contrario por proveedor y asegurar la calidad de las relaciones basadas en internet, otra opción es por paginas amarillas la confianza y transparencia. (Ej.: a través de SLAs). o contactar a través de otros amigos de otras empresas. 2.- ¿Los dueños de las relaciones enlazan las cuestiones del cliente y Si. 1,00 proveedor? 3.-¿aseguran la calidad de las relaciones basadas en la confianza y Si. 1,00 transparencia?
108
PREGUNTAS
1.- ¿Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si está segura sobre una base de continuidad? estipulado cuando se califica al proveedor, pero cuando hay urgencias el plazo de entrega es de 2 dias. Cuando es importación Identificar y mitigar los riesgos relacionados con la depende del producto. habilidad de los proveedores para mantener un efectivo 2.- ¿Se aseguran que los contratos están de acuerdo con los Si porque existe un proceso para la servicio de entrega de forma segura y eficiente sobre una requerimientos legales de los estándares universales del negocio? elaboración de contratos donde interviene el base de continuidad. Asegurar que los contratos están de departamento Legal y TI. acuerdo con los requerimientos legales y regulatorios de los 3.- ¿La administración del riesgo considera acuerdos de confidencialidad No. estándares universales del negocio. La administración del (NDAs)? riesgo debe considerar además acuerdos de confidencialidad 4.- ¿La administración del riesgo considera los contratos de garantía? Si. (NDAs), contratos de garantía, viabilidad de la continuidad 5.- ¿La administración del riesgo considera la viabilidad de la Si. del proveedor, conformidad con los requerimientos de continuidad del proveedor? seguridad, proveedores alternativos, penalizaciones e 6.- ¿La administración del riesgo considera la conformidad con los Si. incentivos, etc. requerimientos de seguridad? 7.- ¿La administración del riesgo considera a los proveedores En el plan de contingencia no se ha hecho alternativos? mucho incapié con los proveedores. 8.- ¿La administración del riesgo considera las penalizaciones e Si. incentivos? Establecer un proceso para monitorear la prestación del 1.- ¿Se establece un proceso para monitorear la prestación del servicio del No. servicio para asegurar que el proveedor está cumpliendo con proveedor? 2.- ¿Se aseguran que el proveedor está cumpliendo con los requerimientos Si. los requerimientos del negocio actuales y que se adhiere continuamente a los acuerdos del contrato y a SLAs, y que el del negocio? 1.- ¿Se establece un proceso de planeación para la revisión del Si se establece. (Especialista en Soporte). Establecer un proceso de planeación para la revisión del desempeño? desempeño y la capacidad de los recursos de TI, para 2.- ¿Se establece un proceso de planeación para la revisión de la Si. Se esta haciendo diagnóstico de redes, asegurar la disponibilidad de la capacidad y del desempeño, capacidad de los recursos de TI? Base de Datos, Sistema Operativo. con costos justificables, para procesar las cargas de trabajo 3.- ¿Los planes de capacidad y desempeño hacen uso de técnicas de Indirectamente si aprovechan los recursos y acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeño, de capacidad metodologias de los proveedores, se basan en capacidad y desempeño deben hacer uso de técnicas de de los recursos de TI, tanto actual como pronosticado? tècnicas apropiadas. Cada especialista de la modelo apropiadas para producir un modelo de desempeño, Empresa de Producción interactúa con los de capacidad y de desempeño de los recursos de TI, tanto expertos del mercado para integrar a los actual como pronosticado. procesos normales las mejores tecnicas vigentes. Revisar la capacidad y desempeño actual de los recursos de 1.- ¿Se revisa el desempeño actual de los recursos de TI en intervalos Se los revisa pero no hay formato o documento, solo se lo hace como una función TI en intervalos regulares para determinar si existe suficiente regulares? de la persona a cargo. capacidad y desempeño para prestar los servicios con base en los niveles de servicio acordados. 1.- ¿Se lleva a cabo un pronóstico de desempeño de los recursos de TI en No se hace, intervalos regulares para minimizar el riesgo de interrupciones? 2.- ¿Se identifican también el exceso de capacidad para una posible No. redistribución? 3.- ¿Se identifican las tendencias de las cargas de trabajo? No. Se adquiere el equipo de acuerdo al análisis de lo que va a hacer el usuario y sus necesidades de operación. 4.- ¿Se determina los pronósticos que serán parte de los planes de No. capacidad de desempeño? 1.- ¿Se toman en cuenta, planes de contingencias, en los ciclos de vida de Si. Brindar la capacidad y desempeño requeridos tomando en los recursos de TI? cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de 2.- ¿La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementación, solo está escrito. Falta inversión que permita la implementación. desempeño y la capacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI.
DS3.5 - Monitoreo y Reporte. DS4.1 - Marco de Trabajo de Continuidad de TI.
Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de capacidad o degradación del desempeño. Identificar también el exceso de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los planes de capacidad y de desempeño.
Desarrollar un marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistente a lo largo de toda la organización. El objetivo del marco de trabajo es ayudar en la determinación de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperación de desastres y de contingencias. El marco de trabajo debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación.
DS4.2 - Planes de Continuidad de TI.
RESPUESTAS
Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas. Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la recuperación están alineadas con las necesidades
1.- ¿Monitorean continuamente el desempeño de los recursos de TI?
CALIFICACIÓN
OBJETIVOS DE CONTROL DS2.3 - Administración de Riesgos del Proveedor. DS3.1 - Planeación del Desempeño y la Capacidad. DS3.4 - Disponibilidad de Recursos de TI.
DETALLE OBJETIVO CONTROL
Monitorear continuamente el desempeño y la capacidad de los recursos de TI. La información reunida sirve para dos propósitos: • Mantener y poner a punto el desempeño actual dentro de TI y atender temas como elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisición de recursos. • Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs. Acompañar todos los reportes de excepción con recomendaciones para acciones correctivas
DS4.3 - Recursos Críticos de TI.
Desarrollar un marco de trabajo de continuidad de TI.
DS3.3 - Capacidad y Desempeño Futuros.
DS3.2 Capacidad y Desempeño Actual.
DS2.4 Monitoreo del Desempeñ o del Proveedor.
ACTIVIDADES DEL PROCESO Establecer un proceso de Planeación para la revisión del desempeño y la capacidad de los recursos de TI. Revisar el desempeño y la capacidad actiual de los recursos de TI. Realizar pronósticos de desempeño y capacidad de los recursos de TI. Desarrollar y mantener planes de continuidad de TI. Realizar un análisis de impacto al negocio y valoración de riesgo.
DS4 – Garantizar la continuidad del servicio
Monitorear y reportar continuamente la disponibilidad, el desempeño y la capacidad de los recursos de TI.
S O P O R T E
Realizar un plan de contingencia respecto a una falta potencial de disponibilidad de recursos de TI.
PROCESOS DS2 – Administrar los servicios de terceros
D A R
DS3 – Administrar el desempeño y la capacidad
Y
Identificar, valorar y mitigar los Establecer políticas y procedimientos de evaluación y riesgos del suspensión de proveedores. *Evaluar las metas de largo proveedor. *Monitore plazo de la relación del servicio para todos los interesados. ar la prestación del
DOMINIO
E N T R E G A R
COBIT
0,00
1,00 0,00 1,00 1,00 1,00 0,50 1,00 0,00 1,00 1,00 1,00
0,50
0,00
0,00 0,00 0,00 0,00 1,00
0,00
No se lo hace, solo cada dos años para la renovacion de equipos según la politica de la empresa.
0,50
1.- ¿La empresa desarrolla un marco de trabajo de continuidad de TI?
Si lo hacen por medio del presupesto.
1,00
1.- ¿La empresa desarrolla planes de continuidad de TI con base en el No. marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones? 0,00
1.- ¿Existen puntos determinados en el plan de continuidad de TI? 2.- ¿Los puntos determinados en el plan construyen resistencia estableciendo prioridades en situaciones de recuperacion? 3.- ¿Se considera los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad?
109
Falta identificar los puntos críticos, elaborar 0,00 los procedimentos y difundirlos. Si lo tienen pero está incompleto, pero si 0,00 estan conscientes que se debe hacer. Si, en el plan de contingencia, pero el plan no 0,00 esta implantado.
DS5.3 - Administración de Identidad. DS5.4 - Administración de Cuentas del Usuario.
DETALLE OBJETIVO CONTROL
PREGUNTAS
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL DS4.4 - Mantenimiento del Plan de Continuidad de TI. DS4.5 - Pruebas del Plan de Continuidad de TI. DS4.8 Recuperaci DS4.7 - Distribución ón y del Plan de Reanudaci ón de los Continuidad de TI. Servicios de TI. DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones. DS4.10 DS5.2 - Plan DS5.1 Revisión de Seguridad Administración de Post de TI. la Seguridad de TI. Reanudaci ón.
DS4.6 - Entrenamiento del Plan de Continuidad de TI.
ACTIVIDADES DEL PROCESO Probar regularmente el plan de continuidad de TI. Monitorear incidentes de seguridad, reales y potenciales.
DS5 – Garantizar la seguridad de los sistemas
S O P O R T E
Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios.
D A R
Planear y llevar a Desarrollar un plan cabo de acción a seguir capacitaci con base en los ón sobre resultados de las planes de pruebas. continuida d de TI.
Y
Planear e Definir, establecer implement Definir y y operar un ar el Planear la recuperación y reanudación de los mantener un proces de almacena servicios de TI. *Establecer los procedimientos plan de administración de miento y la para llevar a cabo revisiones post reanudación. seguridad de identidad protección TI. (cuentas). de respaldos.
DS4 – Garantizar la continuidad del servicio
Definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad sea vigente.
Identificar y categorizar los recursos de TI con base a los objetivos de recuperación.
PROCESOS
DOMINIO
E N T R E G A R
COBIT 1.- ¿Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding. Exhortar a la gerencia de TI a definir y ejecutar procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado? plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. Es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna.
1,00
1.- ¿Se prueba el plan de continuidad de TI de forma regular para asegurar Probar el plan de continuidad de TI de forma regular para que los sistemas de TI pueden ser recuperados de forma efectiva? asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor.
No hay plan de continuidad, en el manual de procedimiento están descritas las funciones de cada uno y en base a eso se garantiza la continuidad. 0,50
1.- ¿Se asegura de que todos las partes involucradas reciban sesiones de habilitación de forma regular respecto a los procesos en caso de incidente o desastre? 2.- ¿Se asegura de que todos las partes involucradas reciban sesiones de Asegurarse de que todos las partes involucradas reciban habilitación de forma regular respecto a sus roles en caso de incidente o sesiones de habilitación de forma regular respecto a los desastre? procesos y sus roles y responsabilidades en caso de 3.- ¿Se asegura de que todos las partes involucradas reciban sesiones de incidente o desastre. Verificar e incrementar el entrenamiento habilitación de forma regular respecto a las responsabilidades en caso de de acuerdo con los resultados de las pruebas de incidente o desastre? contingencia. 4.- ¿Se verifica el entrenamiento de acuerdo con los resultados de las pruebas de contingencia? 5.- ¿Se incrementa el entrenamiento de acuerdo con los resultados de las pruebas de contingencia? 1.- ¿Existe una estrategia de distribución definida y administrada para Determinar que existe una estrategia de distribución definida asegurar que los planes se distribuyan de manera segura? y administrada para asegurar que los planes se distribuyan de manera apropiada y segura y que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre.
No. 0,00 No. 0,00 Si, cada encargado sabe de sus responsabilidades. No se hacen pruebas de contingencia. No.
1,00 0,00 0,00
No tienen, sólo se hacen reuniones periódicas con el Departamento de Desarrollo Organizacional y se reporta a Gerencia General. Tiene que estar apegado al plan 0,50 estratégico de la empresa, si no es así no se lo hace. Hay áreas definidas para cada actividad. Planear las acciones a tomar durante el período en que TI 1.- ¿Se planean las acciones a tomar durante el período en que TI está Si se lo hace pero de manera emergente, solo 0,50 está recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios? cuando ocurre. 2.- ¿Se aseguran que los responsables del negocio entiendan los tiempos No. representar la activación de sitios de respaldo, el inicio de 0,00 procesamiento alternativo, la comunicación a clientes y a los de recuperación de TI? Almacenar fuera de las instalaciones todos los medios de 1.- ¿Se almacena fuera de las instalaciones todos los medios de respaldo No. 0,00 respaldo, documentación y otros recursos de TI críticos, para los planes de continuidad del negocio? necesarios para la recuperación de TI y para los planes de 2.- ¿El respaldo de la informacion se realiza bajo la politica del contenido Si se hacen en los respaldos del sistema. continuidad del negocio. El contenido de los respaldos a de los respaldos a almacenar se determinan en conjunto entre los Diarios de la base de datos y con los 1,00 almacenar debe determinarse en conjunto entre los responsables del negocio y el personal de TI? respaldos semestrales de la información de responsables de los procesos de negocio y el personal de TI. cada usuario. La administración del sitio de almacenamiento externo a las 3.- ¿La administración del sitio de almacenamiento externo a las No tienen. instalaciones, debe apegarse a la política de clasificación de instalaciones, está apegada a la política de almacenamiento de datos de 0,00 datos y a las prácticas de almacenamiento de datos de la la empresa? empresa. La gerencia de TI debe asegurar que los acuerdos 4.- ¿La gerencia de TI se asegura que los acuerdos con sitios externos sean No. 0,00 con sitios externos sean evaluados periódicamente, al menos evaluados periódicamente? una vez por año, respecto al contenido, a la protección 5.- ¿Se aseguran de la compatibilidad del hardware y del software para Si, pero falta implementar la política de ambiental y a la seguridad. Asegurarse de la compatibilidad poder recuperar los datos archivados y periódicamente probar y renovar renovar y probar. 0,50 del hardware y del software para poder recuperar los datos los datos archivados? archivados y periódicamente probar y renovar los datos archivados. Una vez lograda una exitosa reanudación de las funciones de 1.-¿La gerencia de TI ha establecido procedimientos para valorar lo Se está implementando. TI después de un desastre, determinar si la gerencia de TI ha adecuado del plan? 0,50 establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia. Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las políticas y procedimientos de seguridad junto con las Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
1.- ¿El nivel apropiado de seguridad de TI dentro de la organización esta No, falta implementar bastante. Se cambió en linea sobre los requerimientos del negocio? todas las configuraciones de los ruteadores, se lleva registro de todos los que se están 0,30 conectando, hicieron un estudio (Sliced cord, Deloitte, proporcionaron una matriz para implementar las seguridades. y controles). 1.- ¿Los requerimientos del negocio dentro de un plan de seguridad de TI Si. se trasladan teniendo en consideracion la infraestructura de TI en cuanto a la seguridad? 2.- ¿El plan de seguridad de TI esta implementado en las políticas de No hay plan. procedimientos de seguridad? 1.- ¿Los usuarios y su actividad en TI son identificados de manera unica? Si. *El usuario se identifica a través de mecanismos de autenticación? 2.- ¿Se confirma que los permisos de acceso del usuario al sistema están Si. en línea con las necesidades del negocio? 3.- ¿Se asegura que los derechos de acceso del usuario se solicitan por la Si. gerencia del usuario para ser aprobados por el responsable del sistema?
1,00 0,00 1,00 1,00 1,00
4.- ¿Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El administrador del aplicativo maneja las un repositorio central? seguridades, el adminstrador de Base de 1,00 Datos las seguridades a nivel de BD., y el Administrador de comunicaciones el acceso a la red. 5.- ¿Se despliegan técnicas efectivas en procedimientos rentables, que se No lo tienen. mantienen actualizados para establecer la identificación del usuario? 0,00
1.- ¿Los privilegios relacionados con la creacion de cuentas de usuarios, Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de son tomados en cuenta por un conjunto de procedimientos de la gerencia los privilegios relacionados, sean tomados en cuenta por un de cuentas de usuario? conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.
110
Es uno de los puntos a mejorar, actualmente se hace a través de los procedimientos de soporte. No hay manual de usuario. No hay criterios para creación de usuario. Falta trabajar en esto. 0,00
PREGUNTAS
1.- ¿Se garantiza que la implementación de la seguridad en TI sea probada En un 20 %. El administrador de la red y monitoreada de forma pro-activa? monitorea como está la red, los enlaces y el perimetro. 0,20
2.- ¿La seguridad en TI se reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado?
DS6.3 - Modelación de Costos y Cargos. DS6.4 Mantenimiento del Modelo de Costos. DS7.1 - Identificación de Necesidades de Entrenamiento y Educación. DS7.2 - Impartición de Entrenamiento y Educación.
Establecer y mantener un proceso de control de contabilización de TI y de costos. Establecer y mantener procedimientos y políticas de facturación. Identificar y categorizar las necesidades de capacitación de los usuarios.
Una parte lo maneja TI a través de los softwares de gestión y monitoreo y otra parte
1,00
1.- ¿Se define claramente las características de incidentes de seguridad No. Se está trabajando en el plan de para que puedan ser clasificados propiamente por el proceso de gestión contingencia. Si hay mal uso en la red, lo Definir claramente y comunicar las características de de incidentes? primero que se hace es bloquear el problema incidentes de seguridad potenciales para que puedan ser 0,00 y comunicar al jefe y se toman medidas clasificados propiamente y tratados por el proceso de gestión correctivas. No hay procedimiento de incidentes y problemas. establecido. 1.- ¿Se garantiza que la tecnología relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de Garantizar que la tecnología relacionada con la seguridad resistente al sabotaje? que no hay sotfware que revise cada sea resistente al sabotaje y no revele documentación de documento o correo, no tienen ese tipo de 0,50 seguridad innecesaria. seguridad solo lo que es interno. Está en proyecto. 1.¿Se determinan politicas de procedimientos para garantizar la Trabajan con seguridad de encriptación WPA. Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la autorizadas? información. certificación, almacenamiento, captura, uso y archivo de 1,00 llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas. 1.- ¿La empresa cuenta con medidas preventivas en toda la organización Utilizan Kapersky y a través de la consola para proteger los sistemas de la información de TI? controlan como va el tema de los virus. El sistema es bastante completo. Es una consola 1,00 de las mejores y mas costosas que da informe en tiempo real de cómo está la protección de la red. Si. 1,00
Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizados) en toda la organización para proteger los sistemas de la información y a la tecnología contra malware 2.- ¿La empresa cuenta con medidas detectivas en toda la organización (virus, gusanos, spyware, correo basura). para proteger los sistemas de la información de TI? 3.- ¿La empresa cuenta con medidas correctivas en toda la organización para proteger los sistemas de la información de TI? Uso de técnicas de seguridad y procedimientos de 1.- ¿La empresa usa técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, administración asociados para autorizar acceso y controlar los flujos de dispositivos de seguridad, segmentación de redes, y detección información hacia las redes? de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. 1.- ¿Las transacciones de datos sensibles se intercambian a través de una ruta o medio con controles para proporcionar autenticidad de contenido? Transacciones de datos sensibles se intercambian solo a 2.- ¿Las transacciones de datos sensibles se intercambian a través de una través de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envío? autenticidad de contenido, prueba de envío, prueba de 3.- ¿Las transacciones de datos sensibles se intercambian a través de una recepción y no repudio del origen. ruta o medio con controles prueba de recepción? 4.- ¿Las transacciones de datos sensibles se intercambian a través de una ruta o medio con controles para no repudio del origen? Identificar todos los costos de TI y equipararlos a los 1.- ¿Se identifican todos los costos de TI para soportar un modelo de servicios de TI para soportar un modelo de costos costos transparente? transparente. Los servicios de TI deben alinearse a los procesos del negocio de forma que el negocio pueda identificar los niveles de facturación de los servicios asociados. Registrar y asignar los costos actuales de acuerdo con el 1.- ¿Se registra los costos actuales de acuerdo con el modelo de costos modelo de costos definido. Las variaciones entre los definido? presupuestos y los costos actuales deben analizarse y reportarse de acuerdo con los sistemas de medición financiera de la empresa. 1.- ¿Se define un modelo de costos de TI?
Construir un programa de capacitación.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad. DS5.8 DS5.10 DS5.9 - Prevención, Detección Administración de Seguridad de y Corrección de Software Llaves la Red. Malicioso. Criptográficas. DS5.11 - Intercambio de Datos Sensitivos. DS6.1 Definición de Servicios. DS6.2 Contabilización de TI.
Definir, establecer y operar un proceso de administración de identidad (cuentas). Realizar evaluaciones de vulnerabilida d de menera regular. Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios.
DS5.7 DS5.6 - Definición Protección de de Incidente de la Tecnología Seguridad. de Seguridad.
ACTIVIDADES DEL PROCESO Establecer y mantener procedimientos para mantener y salvaguardar las llaves criptográficas. Implementar y mantener controles técnicos y de procedimientos para proteger el flujo de información a través de la red
PROCESOS DS7 – Educar y entrenar a usuarios
S O P O R T E
DS6 – Identificar y asignar costos
D A R
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.
Implementar y Realizar mantener controles evaluaciones técnicos y de de procedimientos vulnerabilida para proteger el d de menera flujo de regular. información a través de la red.
DS5 – Garantizar la seguridad de los sistemas
Y
DETALLE OBJETIVO CONTROL
Identificar todos Mapear la los costos de TI infraestructura (personas, tecnología, etc) y con los servicios mapearlos a los brindados/proce sos de negocio servicios de TI soportados. con bases en costos unitarios.
DOMINIO
E N T R E G A R
COBIT
2.- ¿El modelo de costos está alineado con los procedimientos de contabilización de costos de la empresa? 3.- ¿Se garantiza que los cargos por servicios son identificables en el modelo de costos de TI? 4.- ¿Se garantiza que los cargos por servicios son medibles en el modelo de costos de TI? 5.- ¿Se garantiza que los cargos por servicios son predecibles por parte de los usuarios para propiciar el adecuado uso de recursos en el modelo de costos de TI ? 6.- ¿La gerencia del usuario verifica el uso actual del modelo de costos de TI? 7.- ¿La gerencia del usuario verifica los cargos de los servicios en el modelo de costos de TI? 1.- ¿Se revisa de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el negocio en evolución Revisar y comparar de forma regular lo apropiado del modelo para las actividades de TI? de costos/recargos para mantener su relevancia para el 2.- ¿Se compara de forma regular lo apropiado del modelo de negocio en evolución y para las actividades de TI. costos/recargos para mantener su relevancia para el negocio en evolución para las actividades de TI? 1.- ¿Se establece de forma regular un programa de entrenamiento para cada grupo objetivo de empleados? Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que 2.- ¿Se actualiza de forma regular el programa de entrenamiento para incluya: • Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados? • Valores corporativos (valores éticos, cultura de control y 3.- ¿El programa de entrenamiento incluye estrategias y requerimientos seguridad, etc.) actuales y futuros del negocio? • Implementación de nuevo software e infraestructura de TI 4.- ¿El programa de entrenamiento incluye valores corporativos? (paquetes y aplicaciones) • Habilidades, perfiles de competencias y certificaciones 5.- ¿El programa de entrenamiento incluye la Implementación de nuevo actuales y/o credenciales necesarias. software e infraestructura de TI? • Métodos de impartición (por ejemplo, aula, web), tamaño 6.- ¿El programa de entrenamiento incluye habilidades, perfiles de del grupo objetivo, accesibilidad y tiempo. competencias y certificaciones actuales y/o credenciales necesarias? 7.- ¿El programa de entrenamiento incluye métodos de impartición? Con base en la definición del servicio, definir un modelo de costos que incluya costos directos, indirectos y fijos de los servicios, y que ayude al cálculo de tarifas de reintegros de cobro por servicio. El modelo de costos debe estar alineado con los procedimientos de contabilización de costos de la empresa. El modelo de costos de TI debe garantizar que los cargos por servicios son identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. La gerencia del usuario debe poder verificar el uso actual y los cargos de los servicios.
Si,
En parte. En parte. En parte. Se identifican los costos en términos globales por departamento pero no está detallado o clasificado.
0,50 0,50 0,50
0,50
Si se lo registra. 1,00
Si. Si. Si. Si.
1,00 1,00 1,00 1,00
Si. 1,00 Si puede, pero necesitan un sistema de costeo. Si puede, pero necesitan un sistema de costeo.
0,50 0,50
Si. 1,00 Si. 1,00 Se lo està realizando pero no existe un 0,00 programa de entrenamiento. Ver respuesta anterior. 0,00 Si. Si. Si incluye. (BAAN).
1,00 1,00 1,00
Recursos Humanos elegirá a las personas 0,00 indicadas. Si. 1,00 Si. 1,00
Con base en las necesidades de entrenamiento identificadas, 1.- ¿Se designa instructores de entrenamiento a los grupos objetivo? identificar: a los grupos objetivo y a sus miembros, a los 2.- ¿Se organiza el entrenamiento de los grupos objetivo con tiempo Si. mecanismos de impartición eficientes, a maestros, suficiente? instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeño.
111
1,00
Si. Routeadores, firewall estàn trabajando para ver quienes pueden acceder a la red. Kapersky tambien tienen un firewall local y 1,00 otro perimetral que siempre está trabajando en la seguridad de acceso a la red. Tienen un proxy para la web pero no tienen 0,50 para el correo electronico.
1,00
Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI
RESPUESTAS
1.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación Se está armando el plan de capacitación y se respecto a la relevancia? va a seleccionar por cada gerencia usuarios claves para capacitarlos. 2.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No. respecto a la calidad? 3.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No. respecto a la efectividad? 4.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No. respecto a la percepción y retención del conocimiento? 5.- ¿Se evalúa el contenido del entrenamiento al finalizar la capacitación No. respecto al costo y valor? 1.- ¿Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos. servicio acordados en los SLAs? 2.- ¿Los procedimientos de monitoreo permiten clasificar cualquier No, problema? 3.- ¿Los procedimientos de monitoreo permiten priorizar cualquier No. problema? 4.- ¿Existen procedimientos de escalamiento basados en los niveles de No. servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema? 5.- ¿Los procedimientos de escalamiento permiten clasificar cualquier No. problema? 6.- ¿Los procedimientos de escalamiento permiten priorizar cualquier No. problema? 7.- ¿Se mide la satisfacción del usuario final respecto a la calidad de la No lo hacen porque no les conviene. mesa de servicios de TI? 8.- ¿Se mide la satisfacción del usuario final respecto a la calidad de los No lo hacen porque no les conviene. servicios de TI? 1.- ¿Se cuenta con un sistema que permita el registro y rastreo de Si, se lo implementó recientemente. (Hace dos llamadas, incidentes, solicitudes de servicio y necesidades de meses). información? 2.- ¿El sistema trabaja estrechamente con los procesos de administración Si. de incidentes? 3.- ¿El sistema trabaja estrechamente con los procesos de administración Si. de problemas? 4.- ¿El sistema trabaja estrechamente con los procesos de administración Si. de cambios? 5.- ¿El sistema trabaja estrechamente con los procesos de administración Si. de capacidad? 6.- ¿El sistema trabaja estrechamente con los procesos de administración Si. de disponibilidad? 7.- ¿Se mantiene informado a los clientes sobre el estatus de sus Si. consultas? 1.- ¿Existen procedimientos de mesa de servicios? No existen procedimientos bien elaborados. 2.- ¿Se escalan apropiadamente los incidentes que no pueden resolverse No. de forma inmediata de acuerdo con los límites acordados en el SLA? 3.- Se garantiza que la asignación de incidentes permanece en la mesa de No. servicios?
1.- ¿Existen procedimientos para el monitoreo puntual de la resolución de consultas de los clientes? 2.- ¿Cuándo se resuelve el incidente la mesa de servicios registra la causa raíz, sí la conoce? 3.- ¿Cuándo se resuelve el incidente la mesa de servicios confirma que la acción tomada fue acordada con el cliente? Emitir reportes de la actividad de la mesa de servicios para 1.- ¿Se emiten los reportes de la actividad de la mesa de servicios a la permitir a la gerencia medir el desempeño del servicio y los gerencia? tiempos de respuesta, así como para identificar tendencias de 2.- ¿Los reportes emitidos por la mesa de servicios permite a la gerencia medir el desempeño del servicio y los tiempos de respuesta? problemas recurrentes de forma que el servicio pueda mejorarse de forma continua. Establecer una herramienta de soporte y un repositorio 1.- ¿Existe una herramienta de soporte que contenga toda la información central que contenga toda la información relevante sobre los relevante sobre los elementos de configuración? elementos de configuración. Monitorear y grabar todos los 2.- ¿Existe un repositorio central que contenga toda la información activos y los cambios a los activos. Mantener una línea base relevante sobre los elementos de configuración? de los elementos de la configuración para todos los sistemas 3.- ¿Se monitorean todos los activos y los cambios a los activos? y servicios como punto de comprobación al que volver tras el 4.- ¿Se graban todos los activos y los cambios a los activos? cambio. 1.- ¿Existen procedimientos de configuración?
No.
2.- ¿El procedimiento soporta todos los cambios al repositorio de configuración? 3.- ¿Está integrado el procedimiento de configuración con la gestión de cambios? 4.- ¿Está integrado el procedimiento de configuración con la gestión de incidentes? 5.- ¿Está integrado el procedimiento de configuración con la gestión de problemas? 1.- ¿Se revisan periódicamente los datos de configuración para verificar la integridad de la configuración actual e histórica? 2.- ¿Se revisan periódicamente los datos de configuración para confirmar la integridad de la configuración actual e histórica? 3.- ¿Se revisa periódicamente el software instalado contra la política de uso de software personal o no licenciado o cualquier otra instancia de software en exceso del contrato de licenciamiento actual? 1.- ¿Existen procesos para reportar problemas que han sido identificados como parte de la administración de incidentes? 2.- ¿Existen procesos para clasificar problemas que han sido identificados como parte de la administración de incidentes?
No.
Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica. Revisar periódicamente el software instalado contra la política de uso de software para identificar software personal o no licenciado o cualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores y desviaciones. Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes. Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar la categoría, impacto, urgencia y prioridad. Los problemas deben categorizar se de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte. El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: • Todos los elementos de configuración asociados • Problemas e incidentes sobresalientes • Errores conocidos y sospechados • Seguimiento de las tendencias de los problemas
0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 0,00 0,00
0,00
Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el cliente.
Establecer procedimientos de configuración para soportar la gestión y rastro de todos los cambios al repositorio de configuración. Integrar estos procedimientos con la gestión de cambios, gestión de incidentes y procedimientos de gestión de problemas.
CALIFICACIÓN
OBJETIVOS DE CONTROL DS8.1 - Mesa de Servicios. DS8.2 - Registro de Consultas de Clientes. DS10.2 - Rastreo y Resolución de Problemas.
DS10.1 - Identificación y Clasificación de Problemas.
DS9.3 - Revisión de Integridad de la Configuración.
DS9.2 - Identificación y Mantenimiento de Elementos de Configuración.
DS9.1 Repositorio y Línea Base de Configuración.
DS8.5 Análisis de Tendencias.
DS8.4 - Cierre de Incidentes.
DS8.3 - Escalamiento de Incidentes.
DS7.3 Evaluación del Entrenamiento Recibido.
ACTIVIDADES DEL PROCESO Realizar actividades de capacitación, intrusión y concienciación. *Llevar a cabo evaluaciones de capacitación. *Identificar y evaluar los mejores métodos y herramientas para impartir la capacitación. Crear procedimientos de clasificación (severidad e impacto) y de escalamiento (funcional y jerárquicos).
Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de entrenamiento.
Detectar y registrar incidentes/solicitudes de servicio/solicitudes de información. Recopilar información sobre la configuración inicial y establecer líneas base. Verificar y auditar la información de la configuración (incluye la detección del software no autorizado). Identificar y clasificar problemas. Realizar análisis de causa raíz.
DS9 – Administrar la configuración DS10 – Administrar los problemas
S O P O R T E
Resolver, recuperar y cerrar incidentes. *Hacer reportes para la gerencia.
D A R
PREGUNTAS
Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA (niveles de servicio) y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución.
Clasificar, investigar y diagnosticar consultas.
PROCESOS DS8 – Administrar la mesa de servicio y los incidentes
Y
DETALLE OBJETIVO CONTROL
Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad. Los incidentes deben clasificarse de acuerdo al negocio y a la prioridad del servicio y enrutarse al equipo de administración de problemas apropiado y se debe mantener informados a los clientes sobre el estatus de sus consultas.
Desarrollar procedimientos de Informar a planeación de usuarios (por administración de ejemplo, la configuración. actualizacione *Actualizar el s de estatus) repositorio de configuración.
DOMINIO
DS7 – Educar y entrenar a usuarios
E N T R E G A R
COBIT
No. No. Solo se lo emite como informativo.
0,00 0,00 0,00 0,50
Solo se lo emite como informativo. 0,50 No. No.
0,00 0,00
En parte.
0,50
En parte.
0,50
No.
0,00
No. No. No.
0,00 0,00 0,00 0,00
No. Solo en parte. No existe un procediemto 0,00 formal o establecido. No. 0,00 Si. Se lo revisa cada seis meses cuando se 1,00 hace el mantenimiento de equipos. No.
0,00
No.
0,00
1.- ¿Se cuenta con un sistema de administración de problemas?
No.
2.- ¿El sistema mantiene pistas de auditoría que pemita rastrear la causa No. raíz de todos los problemas reportados? 3.- ¿El sistema mantiene pistas de auditoría que pemita analizar la causa No. raíz de todos los problemas reportados? 4.- ¿El sistema mantiene pistas de auditoría que pemita determinar la No. causa raíz de todos los problemas reportados?
112
0,00 0,00 0,00 0,00
Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas. Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.
0,00
No.
0,00
3.- ¿Se monitorea cuánto esfuerzo se aplica en apagar fuegos?
No.
0,00
4.- ¿Se mejora los procesos de administración de cambios,configuración y No. problemas para minimizar los problemas?
0,00
1.- ¿Se verifica que todos los datos que se espera procesar se reciban Se cumple pero no en un 100% completamente, de forma precisa y a tiempo? 2.- ¿Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100% completamente, de forma precisa y a tiempo? 3.- ¿Las necesidades de reinicio están soportadas? No. 4.- ¿Las necesidades de reproceso están soportadas?
Definir e implementar procedimientos para el archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la política de seguridad de la organización y los requerimientos regulatorios. 2.- ¿Existen procedimientos para el almacenaniento de los datos?
DS11.3 Sistema de Administración de Librerías de Medios.
3.- ¿Existen procedimientos para la retención de los datos?
0,50 0,00
No.
0,00 No. Esto se cumple en una pequeña parte cuando se hace mantenimiento se respalda lo que el usuario indica. Pero en caso de 0,50 emergencia no tienen alcamacenada la información para recuperarla inmediatamente. Ver respuesta anterior. 0,50 Ver respuesta anterior. 0,50
1.- ¿Existen procedimientos para mantener un inventario de medios No. Se lo hace empíricamente. almacenados? 2.- ¿Existen procedimientos para mantener un inventario de medios No. archivados? 3.- ¿Se aseguran de la usabilidad e integridad de los medios? No.
1.- ¿Existen procedimientos para la protección de datos sensitivos que aseguren los requerimientos del negocio? 2.- ¿Existen procedimientos para la protección del software que aseguren los requerimientos del negocio? 1. ¿Existen procedimientos de respaldo de los sistemas en línea alineado con los requerimientos de negocio y el plan de continuidad? Definir e implementar procedimientos de respaldo y 2. ¿Existen procedimientos de respaldo de las aplicaciones en línea restauración de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad? documentación en línea con los requerimientos de negocio y 3. ¿Existen procedimientos de respaldo de los datos en línea alineado con el plan de continuidad. los requerimientos de negocio y el plan de continuidad? 4. ¿Existen procedimientos de respaldo de la documentación en línea alineado con los requerimientos de negocio y el plan de continuidad? Definir e implementar las políticas y procedimientos para 1.- ¿Existen procedimientos para identificar los requerimientos de identificar y aplicar los requerimientos de seguridad seguridad aplicables al recibo? aplicables al recibo, procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas 2.- ¿Existen procedimientos para aplicar los requerimientos de seguridad aplicables al recibo? de seguridad de la organización y requerimientos
0,00 0,00 0,00
No hay procedimientos.
0,00
No. Existen un procedimiento documentado. Existen un procedimiento documentado. Existen un procedimiento documentado. Existen un procedimiento documentado. No hay procedimientos.
0,00 pero no está pero no está pero no está pero no está
0,50 0,50 0,50 0,00 0,00
DS12.5 Administración de Instalaciones Físicas. DS13.1 - Procedimientos e Instrucciones de Operación.
Definir e implementar procesos para mantenimiento y autorización de acceso físico. Crear/modificar procedimientos de operación (incluyendo manuales, planes de cambios, procedimientos de escalamiento, etc).
DS12.4 Protección Contra Factores Ambientales.
Definir e implementar El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.
Definir el nivel requerido de protección física.
Definir e implementar medidas de seguridad físicas alineadas con los requerimientos del negocio. Las medidas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En particular, mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.
DS12.3 - Acceso Físico.
No.
0,50
DS12.1 - Selección y Diseño del Centro de Datos.
regulatorios
0,50
DS12.2 - Medidas de Seguridad Física.
DS11.5 - Respaldo y Restauración.
No.
2.- ¿Se garantiza una adecuada administración de incidentes?
Seleccionar y comisionar el sitio (centro de datos, oficina, etc).
DS11.6 Requerimiento s de Seguridad para la Administració n de Datos.
1.- ¿Se garantiza una adecuada administración de problemas?
1.- ¿Existen procedimientos para el archivo de los datos?
Definir e implementar procedimientos para asegurar que los requerimientos de negocio para la protección de datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware.
Definir, mantener e implementar procedimientos para restauración de datos.
No. 0,00
Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para asegurar su usabilidad e integridad.
Definir, mantener e implementar procedimiento s para restauración de datos.
RESPUESTAS
CALIFICACIÓN
OBJETIVOS DE CONTROL DS10.3 - Cierre de Problemas.
1.- ¿Existe un procedimiento para cerrar registros de problemas?
Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el problema de manera alternativa.
DS11.4 Eliminació n.
DS11.2 - Acuerdos de Almacenamiento y Conservación.
DS11.1 Requerimientos del Negocio para Administración de Datos.
DS10.4 - Integración de las Administraciones de Cambios, Configuración y Problemas.
ACTIVIDADES DEL PROCESO Traducir los Emitir requerimientos de recomendaciones almacenamiento y para mejorar y crear conservación a una solicitud de procedimientos. cambio relacionada.
PREGUNTAS
Están Implícitos en el proceso porque solo están aquí. En las otras partes no hay, solo se 1,00 lo maneja en forma remota. Definir y seleccionar los centros de datos físicos para el Si. 1,00 equipo de TI para soportar la estrategia de tecnología ligada 2.- ¿Se selecciona los centros de datos físicos para el equipo de TI? a la estrategia del negocio. Esta selección y diseño del 3.- ¿Se soporta la estrategia de tecnología ligada a la estrategia del Si por medio del plan estrátegico. 1,00 esquema de un centro de datos debe tomar en cuenta el riesgo negocio? asociado con desastres naturales y causados por el hombre. 4.- ¿La selección de un centro de datos toma en cuenta el riesgo asociado Se tienen identificado los desastres en el data 0,50 También debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre? center. correspondientes, tales como regulaciones de seguridad y de 5.- ¿El diseño del esquema de un centro de datos toma en cuenta el riesgo Se tienen identificado los desastres en el data 0,50 salud en el trabajo. asociado con desastres naturales y causados por el hombre? center. 6.- ¿Se considera las leyes y regulaciones correspondientes, tales como Si, por medio del comitè de salud y seguridad 1,00 regulaciones de seguridad y de salud en el trabajo? en el trabajo.
Administrar el ambiente físico (mantenimient o, monitoreo y reportes incluidos).
DS12 – Administrar el ambiente físico DS13 – Administrar las operaciones
S O P O R T E
DETALLE OBJETIVO CONTROL
Implementar medidas de ambiente físico.
D A R
Resolver problemas. *Revisar el estatus de problemas. *Mantener registros de los problemas
PROCESOS DS11 – Administrar los datos
Y
Definir, mantener e Respaldar Definir, mantener e implementar los datos implementar procedimientos de acuerdo procedimientos para para desechar al administrar librerías de de forma esquema. medios. segura, medios y equipo.
DOMINIO
DS10 – Administrar los problemas
E N T R E G A R
COBIT
1.- ¿Se define los centros de datos físicos para el equipo de TI?
1.- ¿Existen medidas de seguridad físicas alineadas requerimientos del negocio? 2.- ¿Se establecen las responsabilidades sobre el monitoreo?
con los Si pero falta implementar medidas de 0,50 seguridad física. Si. 1,00 3.- ¿Se establecen las responsabilidades sobre los procedimientos de Si. 1,00 reporte? 4.- ¿Se establecen las responsabilidades sobre la resolución de incidentes Si. de seguridad física? 1,00 1.- ¿Existen procedimientos para otorgar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias? 2.- ¿Existen procedimientos para limitar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias? 3.- ¿Existen procedimientos para revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo las emergencias? 1.- ¿Existen medidas de protección contra factores ambientales?
Si.
Diseñar e implementar medidas de protección contra factores 2.- ¿ Existen dispositivos especializados para monitorear y controlar el ambientales. Deben instalarse dispositivos y equipo ambiente? especializado para monitorear y controlar el ambiente 3- ¿ Existen equipos especializado para monitorear y controlar el ambiente? 1.- ¿El equipo de comunicaciones está administrado de acuerdo con las Administrar las instalaciones, incluyendo el equipo de leyes y los reglamentos, los requerimientos técnicos y del negocio, las comunicaciones y de suministro de energía, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud? las leyes y los reglamentos, los requerimientos técnicos y del 2.- ¿El equipo de suministro de energía, esta administrado de acuerdo con negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos técnicos y del negocio, las lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Si.
1.- ¿Existen procedimientos estándar para operaciones de TI?
1,00 Si. 1,00 Si. 1,00 Si.
Si.
1,00 1,00
Falta implementar en ciertas áreas. 0,50 Ver respuesta anterior. 0,50 Falta elaborar procedimientos.
Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que el personal de 2.- ¿El personal de operaciones está familiarizado con todas las tareas de Si. operaciones está familiarizado con todas las tareas de operación relativas a ellos? operación relativas a ellos. Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operación, procedimientos de escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones.
113
1,00
0,00
1,00
2.- ¿La programacion de procesos esta organizado de una manera mas Si. eficiente, maximizando el desempeño y la utilizacion para cumplir con los requerimientos del negocio? 3.- ¿La programacion de tareas esta organizado de una manera mas Si. eficiente, maximizando el desempeño y la utilizacion para cumplir con los requerimientos del negocio? No está claramente, se lo hace empíricamente Definir e implementar procedimientos para monitorear la 1.- ¿Existen procedimientos para monitorear la infraestructura de TI? porque no esta definido. infraestructura de TI y los eventos relacionados. Garantizar No. que en los registros de operación se almacena suficiente 2.- ¿Existen procedimientos para monitorear los eventos relacionados? información cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las operaciones y de las otras actividades que soportan o que están alrededor de las operaciones.
Establecer resguardos físicos, prácticas de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad.
1.- ¿Existen resguardos físicos sobre los activos de TI más sensitivos tales No, solo en parte. como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad? 2.- ¿Existen prácticas de registros sobre los activos de TI más sensitivos No, solo en parte. tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad? 3.- ¿Existe una administración de inventarios adecuados sobre los activos No, solo en parte. de TI más sensitivos tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad? 1.- ¿Existen procedimientos para garantizar el mantenimiento oportuno de Si. la infraestructura?
2.- ¿Existen procedimientos para reducir la frecuencia y el impacto de las Si. Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura? frecuencia y el impacto de las fallas o de la disminución del desempeño. 3.- ¿Existen procedimientos para reducir la disminución del desempeño de Si. la infraestructura?
Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI, y Monitorear la contribución de TI al negocio. Integrar el marco de trabajo con el sistema de administración del desempeño corporativo.
CALIFICACIÓN
OBJETIVOS DE CONTROL DS13.2 - Programación de Tareas. DS13.3 - Monitoreo de la Infraestructura de TI. DS13.4 - Documentos Sensitivos y Dispositivos de Salida.
1.- ¿La programacion de trabajos está organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer, eficiente, maximizando el desempeño y la utilizacion para cumplir con los Verificar y Actuar). 1,00 requerimientos del negocio?
1.- ¿Se establece un marco de trabajo de monitoreo general que definan el No hay. alcance, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI? 2.- ¿Se establece un enfoque que definan el alcance, la metodología y el No hay. proceso a seguir para medir la solución y la entrega de servicios de TI? 3.- ¿Se monitorea la contribución de TI al negocio? No hay.
1,00
1,00 0,00
0,00
0,50
0,50
0,50
1,00
1,00
1,00
0,00 0,00 0,00
1.- ¿Existe una revisión administrativa de los reportes de desempeño de los recursos de TI? Proporcionar reportes administrativos para ser revisados 2.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado por la alta dirección sobre el avance de la organización hacia los objetivos planeados? metas identificadas, específicamente en términos del 3.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado desempeño del portafolio empresarial de programas de los entregables obtenidos? inversión habilitados por TI, niveles de servicio de programas 4.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado individuales y la contribución de TI a ese desempeño. Los las metas de desempeño alcanzadas? reportes de estatus deben incluir el grado en el que se han 5.- ¿Los reportes de estatus incluyen el grado en el que se han alcanzado alcanzado los objetivos planeados, los entregables los riesgos mitigados? obtenidos, las metas de desempeño alcanzadas y los riesgos 6.- ¿Durante la revisión de los reportes, se identifican cualquier mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al desempeño esperado? desviación respecto al desempeño esperado y se deben 7.- ¿Se inicia las medidas de administración adecuadas? iniciar y reportar las medidas de administración adecuadas. 8.- ¿Se reporta las medidas de administración adecuadas?
Si, cada gerente revisa el BSC para tomar las 1,00 medidas correctivas. Si.
ME1.3 Método de Monitoreo.
ME1.2 - Definición y Recolección de Datos de Monitoreo.
No hay.
ME1.4 Evaluación del Desempeño.
ME1.1 - Enfoque del Monitoreo.
DS13.5 - Mantenimiento Preventivo del Hardware.
ACTIVIDADES DEL PROCESO Pogramación de cargas de trabajo y de programas en lote. Monitorear la infraestructura y procesar y resolver problemas. Evaluar el desempeño
Crear cuadro de mandos.
Identificar y recolectar objetivos medibles que apoyen a los objetivos el negocio.
Administrar y asegurar la salida física de información (reportes, medios, etc).
PROCESOS
RESPUESTAS
ME1.5 - Reportes al Consejo Directivo y a Ejecutivos.
E V A L U A R
PREGUNTAS
4.- ¿Se integra el marco de trabajo de TI con el sistema de administración del desempeño corporativo? 1.- ¿Se definen un conjunto balanceado de objetivos de desempeño que van acordes con las metas del negocio? 2.- ¿Se aprueban los objetivos de desempeño de cada uno de los procesos Trabajar con el negocio para definir un conjunto balanceado de TI por la gerencia y otros interesados relevantes? de objetivos de desempeño y tenerlos aprobados por el 3.- ¿Se definen referencias con las que se compara los objetivos de negocio y otros interesados relevantes. Definir referencias desempeño? con las que comparar los objetivos, e identificar datos 4.- ¿Se identifican datos disponibles a recolectar para medir los disponibles a recolectar para medir los objetivos. Se deben objetivos? establecer procesos para recolectar información oportuna y 5.- ¿Se establecen procesos para recolectar información oportuna para precisa para reportar el avance contra las metas. reportar el avance contra las metas? 6.- ¿Se establecen procesos para recolectar información precisa para reportar el avance contra las metas? 1.- ¿Se garantiza la implantación de un método en el proceso de Garantizar que el proceso de monitoreo implante un método monitoreo? (Ej. Balanced Scorecard), que brinde una visión sucinta y 2.- ¿El proceso de monitoreo brinda una visión sucinta desde todos los desde todos los ángulos del desempeño de TI y que se adapte ángulos del desempeño de TI, que se adapte al sistema de monitoreo de la al sistema de monitoreo de la empresa. empresa? 1.- ¿Se comparan de forma periódica el desempeño contra las metas? Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas 2.- ¿Se analiza la causa raíz para resolver las causas subyacentes correctivas para resolver las causas subyacentes. tomando las medidas correctivas?
ME1.6 - Acciones Correctivas.
Y
Reportar el desempeño.
M O N I T O R E A R
Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con los requerimientos del negocio. Deben autorizarse los programas iniciales así como los cambios a estos programas. Los procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los programas estándar agendados.
Identificar y monitorear las medidas de mejora del desempeño.
S O P O R T E
DS13 – Administrar las operaciones
D A R
DETALLE OBJETIVO CONTROL
Aplicar cambios o arreglos al programa de infraestructura. *Implementar/establecer un proceso Establecer el enfoque de para salvaguardar los dispositivos monitoreo. de autenticación contra interferencia, perdida o robo. *Programar y llevar a cabo mantenimiento preventivo
Y
ME1 - Monitorear y Evaluar el Desempeño de TI.
DOMINIO
E N T R E G A R
COBIT
0,00
Si por medio del Balance Score Card, se 1,00 registran los indicadores. Si. 1,00 Si por medio del Balanced Scorecard, se 1,00 registran los indicadores. Si. 1,00 Si. Si. Si.
1,00 1,00 1,00
Si. 1,00 Si por medio del Balanced Scorecard, se 1,00 registran los indicadores. Si por medio del Balanced Scorecard, se 1,00 registran los indicadores.
Si. Si. Si.
1,00 1,00 1,00
Si por medio del Balanced Scorecard, se 1,00 registran los indicadores. Si.
Si por medio del Balanced Scorecard, se 1,00 registran los indicadores. 1.- ¿Se identifican e inician medidas correctivas basadas en el monitoreo Si. 1,00 del desempeño? 2.- ¿Se identifican e inician medidas correctivas basadas en la Si. 1,00 evaluación? 3.- ¿Se identifican e inician medidas correctivas basadas en reportes? Si. 1,00 4.- ¿En el seguimiento del monitoreo se incluye: Si. a) Una revisión. b) La negociación. 1,00 Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administración monitoreo del desempeño, evaluación y reportes. Esto incluye d) Asiganción de responsabilidades por la corrección. el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas? evaluaciones con: • Revisión, negociación y establecimiento 5.- ¿En el seguimiento de los reportes se incluye: Si. de respuestas de administración. • Asignación de a) Una revisión. responsabilidades por la corrección. • Rastreo de los b) La negociación. 1,00 resultados de las acciones comprometidas. c) Establecimiento de respuestas de administración. d) Asignación de responsabilidades por la corrección. e) Rastreo de los resultados de las acciones comprometidas? Si. 6.- ¿En el seguimiento de las evaluaciones se incluye: a) Una revisión. b) La negociación. 1,00 c) Establecimiento de respuestas de administración. d) Asignación de responsabilidades por la corrección. e) Rastreo de los resultados de las acciones comprometidas?
114
Establecer visibilidad y facililitación del consejo y de los ejecutivos hacia las actividades de TI.
1.- ¿Se monitorea de forma continua el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos Monitorear de forma continua, comparar y mejorar el organizacionales? ambiente de control de TI y el marco de trabajo de control de 2.- ¿Se compara el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales? TI para satisfacer los objetivos organizacionales. 3.- ¿Se mejora el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales? 1.- ¿Se monitorea la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI? Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI. 2.- ¿Se evalúa la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI? 1.- ¿Se identifican las excepciones de control? Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias.
2.- ¿Se analizan e identifican sus causas raíz subyacentes de las excepciones de control? 3.- ¿Se escalan las excepciones de control reportando a los interesados apropiadamente? 4.- ¿Se establecen acciones correctivas necesarias para las excepciones de control? 1.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre los procesos de TI por medio de un programa continuo de autoevaluación? Evaluar la completitud y efectividad de los controles de 2.- ¿Se evalúa la completitud y efectividad de los controles de gerencia gerencia sobre los procesos, políticas y contratos de TI por sobre las políticas de TI por medio de un programa continuo de automedio de un programa continuo de auto-evaluación. evaluación? 3.- ¿Se evalúa la completitud y efectividad de los controles de gerencia sobre los contratos de TI por medio de un programa continuo de autoevaluación? 1.- ¿Se obtiene un aseguramiento adicional de la completitud de los Obtener, según sea necesario, aseguramiento adicional de la controles internos por medio de revisiones de terceros? completitud y efectividad de los controles internos por medio 2.- ¿Se obtiene un aseguramiento adicional de la efectividad de los de revisiones de terceros. controles internos por medio de revisiones de terceros?
Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.
Identificar, sobre una base continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización.
Obtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.
ME3.5 - Reportes Integrados.
ME3.3 - Evaluación del Cumplimiento con Requerimientos Externos.
Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para garantizar que los requisitos legales, regulatorios y contractuales son direccionados y comunicados.
Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones del negocio.
1.- ¿Se evalúa el estado de los controles internos de los proveedores de servicios externos? 2.- ¿Se confirma que los proveedores de servicios externos cumplen con los requerimientos legales? 3.- ¿Se confirma que los proveedores de servicios externos cumplen con los requerimientos regulatorios? 4.- ¿Se confirma que los proveedores de servicios externos cumplen con las obligaciones contractuales? 1.- ¿Se identifican acciones correctivas derivadas de los controles de evaluación y los informes? 2.- ¿Se inician acciones correctivas derivadas de los controles de evaluación y los informes? 3.- ¿Se rastrean acciones correctivas derivadas de los controles de evaluación y los informes? 4.- ¿Se implementan acciones correctivas derivadas de los controles de evaluación y los informes? 1.- ¿Se identifican, sobre una base continua, leyes locales e internacionales que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización? 2.- ¿Se identifican, sobre una base continua, regulaciones que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización? 3.- ¿Se identifican, sobre una base continua, otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de la organización? 1.- ¿Se revisan las políticas, estándares, procedimientos y metodologías de TI? 2.- ¿Se ajustan las políticas, estándares, procedimientos y metodologías de TI? 3.- ¿Se garantizan que los requisitos legales son direccionados y comunicados? 4.- ¿Se garantizan que los requisitos regulatorios son direccionados y comunicados? 5.- ¿Se garantizan que los requisitos contractuales son direccionados y comunicados? 1.- ¿Se verifica el cumplimiento de políticas de TI con los requerimientos legales y regulatorios? 2.- ¿Se verifica el cumplimiento de los estándares de TI con los requerimientos legales y regulatorios? 3.- ¿Se verifica el cumplimiento de los procedimientos de TI con los requerimientos legales y regulatorios? 4.- ¿Se verifica el cumplimiento de las metodologías de TI con los requerimientos legales y regulatorios? 1.- ¿Se obtiene una garantía de cumplimiento y adhesión a todas las políticas internas o requerimientos legales externos? 2.- ¿Se reporta una garantía de cumplimiento y adhesión a todas las políticas internas o requerimientos legales externos? 3.- ¿Se toman acciones correctivas para garantizar el cumplimiento de las políticas internas o requerimientos legales externos? 4.- ¿Se resuelve cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna? 1.- ¿Se integra los reportes de TI sobre requerimientos legales con las salidas similares provenientes de otras funciones del negocio?
RESPUESTAS
Si.
Si. Si.
CALIFICACIÓN
OBJETIVOS DE CONTROL ME2.1 Monitorización del Marco de Trabajo de Control Interno. ME2.2 ME2.3 - Excepciones de Revisiones de Control. Auditoría. ME2.4 - Control de Auto Evaluación. ME2.5 Aseguramiento del Control Interno. ME2.6 - Control Interno para Terceros. ME2.7 - Acciones Correctivas. ME3.1 - Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales.
PREGUNTAS
ME3.4 - Aseguramiento Positivo del Cumplimiento.
ME3.2 - Optimizar la Respuesta a Requerimientos Externos.
DETALLE OBJETIVO CONTROL
Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios.
ME4.1 - Establecimiento de un Marco de Gobierno de TI.
ACTIVIDADES DEL PROCESO Monitorear el proceso Monitorear y Crear cuadro para identificar y controlar las de mandos. evaluar las actividades de excepciones de control. control interno de TI Monitorear el proceso de auto evaluación. Monitorear el proceso para identificar y evaluar y remediar las excepciones de control. Crear cuadro de mandos.
Evaluar cumplimiento de actividades de TI con políticas, estándares y procedimientos de TI.
Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de políticas y regulatorios.
Reportar a los interesados clave.
Monitorear el proceso para obtener aseguramiento sobre los controles operados por terceros.
PROCESOS ME2 Monitorear y Evaluar el Control Interno ME4 Proporcionar Gobierno de TI
E V A L U A R
ME3 Garantizar el Cumplimiento Regulatorio
Y
Integrar los Brindar retro reportes e TI sobre alimentación para los requerimientos alinear las políticas, regulatorios con estándares y similares procedimientos de TI provenientes e con los requerimientos otras funciones de cumplimiento. del negocio.
DOMINIO
M O N I T O R E A R
COBIT
1,00 1,00 1,00
Si. AuditorÍa interna ejecuta las auditorías informáticas y ellos emiten un irforme de lo 1,00 que se debe mejorar. Si. 1,00 Si, se reunen con los usuarios de los procesos 1,00 auditados. Si. 1,00 Si. Si.
1,00 1,00
No, cuentan con un control de autoevaluación 0,00 No. 0,00 No tienen control de autoevaluación solo las 0,00 auditorías internas y externas. Si. Si. Si, lo hace el Holding. Si. Si. Si. Si. Si. Si. Si.
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
Si. 1,00 Si. 1,00 Si. 1,00 Si. Si. Si. Si. Si. Si. Si. Si. Si.
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
Si. Tratan de cumplir con todo lo que exige la 1,00 ley. Si. 1,00 Si. Si. Se toman todas las medidas Si, por medio del departamento legal.
1,00 1,00 1,00
2.- ¿Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal. salidas similares provenientes de otras funciones del negocio?
1,00
3.- ¿Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal. las salidas similares provenientes de otras funciones del negocio?
1,00
1.- ¿Se define el marco de gobierno de TI con la visión completa del Si se lo hace. entorno de control y Gobierno Corporativo? 2.- ¿Se establece el marco de gobierno de TI con la visión completa del Si. Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo? visión completa del entorno de control y Gobierno 3.- ¿Se alinea el marco de gobierno de TI con la visión completa del Si. Corporativo. Basar el marco de trabajo en un adecuado entorno de control y Gobierno Corporativo? proceso de TI y modelo de control y proporcionar la rendición 4.- ¿Se basa el marco de trabajo en un adecuado proceso de TI? Si. de cuentas y prácticas inequívocas para evitar una rotura en 5.- ¿Se basa el marco de trabajo en un adecuado modelo de control? Si. el control interno y la revisión. Confirmar que el marco de 6.¿El marco de trabajo proporciona la rendición de cuentas y prácticas Si. gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que esta alineado, y confirma la entrega de, la inequívocas para evitar una rotura en el control interno y la revisión? 7.¿Se aseguran que el marco de gobierno de TI está cumpliendo con las Si. estrategia y objetivos empresariales. Informa del estado y leyes y regulaciones? cuestiones de gobierno de TI. 8.- ¿Se aseguran que el marco de gobierno de TI está alineado con las Si. leyes y regulaciones? 9.- ¿Se informa del estado y cuestiones de gobierno de TI? Si.
115
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
PREGUNTAS
RESPUESTAS
1.- ¿Se da a conocer al consejo directivo sobre temas estratégicos de TI? Solo en parte. Facilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de 2.- ¿Se da a conocer a los ejecutivos sobre temas estratégicos de TI? Solo en parte. TI, características propias y capacidades de la tecnología. 3.- ¿Se garantiza que la contribución potencial de TI cumple con la No, solo en parte. Garantizar que existe un entendimiento compartido entre el estrategia del negocio? negocio y la función de TI sobre la contribución potencial de 4.- ¿Se trabaja con el consejo directivo para definir organismos de No. TI a la estrategia del negocio. Trabajar con el consejo gobierno (tales como un comité estratégico de TI)? directivo para definir e implementar organismos de gobierno, 5.- ¿Se trabaja con el consejo directivo para implementar organismos de No. tales como un comité estratégico de TI, para brindar una gobierno (tales como un comité estratégico de TI)? orientación estratégica a la gerencia respecto a TI, 6.- ¿Se brinda una orientación estratégica a la gerencia respecto a TI? Si. garantizando así que tanto la estrategia como los objetivos se 7.- ¿Se facilita la alineación de TI con el negocio en cuanto a estrategia y No, solo en parte. distribuyan en cascada hacia las unidades de negocio y hacia las unidades de TI y que se desarrolle certidumbre y operaciones? confianza entre el negocio y TI. Facilitar la alineación de TI 8.- ¿Se fomenta la co-responsabilidad entre el negocio y TI en la toma de No, solo en parte. decisiones estratégicas y en la obtención de los beneficios provenientes con el negocio en lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre el negocio y TI en la de las inversiones habilitadas con TI?
CALIFICACIÓN
OBJETIVOS DE CONTROL ME4.2 - Alineamiento Estratégico.
DETALLE OBJETIVO CONTROL
0,50 0,50 0,00 0,00 0,00 1,00 0,50
0,50
ME4.3 - Entrega de Va
toma de decisiones estratégicas y en la obtención de los beneficios provenientes de las inversiones habilitadas con TI. Administrar los programas de inversión habilitados con TI, así como otros activos y servicios de TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los resultados de negocio esperados de las inversiones habilitadas por TI y el alcance completo del esfuerzo requerido para lograr esos resultados esté bien entendido, que se generen casos de
1.- ¿Se administra los programas de inversión habilitados con TI, así como Si. otros activos y servicios de TI? 2.- ¿Se implementa un enfoque disciplinado de la administración del Si. portafolio? 3.- ¿El departamento de TI garantiza la optimización de los costos por la Si. prestación de servicios? 4.- ¿El departamento garantiza las capacidades de TI? Si.
Revisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y 2.- ¿Se revisa el uso de los activos de TI por medio de evaluaciones Si. operaciones de TI para asegurar recursos y alineamiento periódicas? apropiados con los objetivos estratégicos y los imperativos 3.- ¿Se revisa la asignación de los activos de TI por medio de evaluaciones Si. de negocio actuales y futuros. periódicas?
Trabajar con el consejo directivo para definir el nivel de 1.- ¿Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No. riesgo de TI aceptable por la empresa y obtener garantía aceptable por la empresa? razonable que las practicas de administración de riesgos de 2.- ¿Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No. TI son apropiadas para asegurar que el riesgo actual de TI no dirección? excede el riesgo aceptable de dirección. Introducir las 3.- ¿Se introduce las responsabilidades de administración de riesgos en la No. responsabilidades de administración de riesgos en la organización? organización, asegurando que el negocio y TI regularmente 4.- ¿Se evalúan los riesgos relacionados con TI y su impacto? No. evalúan y reportan riesgos relacionados con TI y su impacto y que la posición de los riesgos de TI de la empresa es 5.- ¿Se reportan los riesgos relacionados con TI y su impacto? No. transparente a los interesados. 1.- ¿Se verifica que los objetivos de TI cumple las expectativas de la Si. empresa?
Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados 2.- ¿Se informa a la alta dirección sobre los portafolios relevantes de TI? Si. no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a dirección los 3.- ¿Se informa a la alta dirección sobre los programas de TI? Si. portafolios relevantes, programas y desempeños de TI, soportados por informes para permitir a la alta dirección 4.- ¿Se informa a la alta dirección sobre el desempeño de TI? Si. revisar el progreso de la empresa hacia las metas identificadas.
1.- ¿Se garantiza de forma independiente la conformidad de TI con la Si. Garantizar de forma independiente (interna o externa) la legislación de la organización? conformidad de TI con la legislación y regulación relevante; 2.- ¿Se garantiza de forma independiente la conformidad de TI con las Si. las políticas de la organización, estándares y procedimientos; políticas de la organización? practicas generalmente aceptadas; y la efectividad y 3.- ¿Se garantiza la efectividad del desempeño de TI? Si. eficiencia del desempeño de TI. 4.- ¿Se garantiza la eficiencia del desempeño de TI? Si.
Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 116
1,00 1,00 1,00
1,00 Si, por medio del presupuesto y el control 1,00 presupuestario.
ME4.6 - Medición del Desempeño.
ME4.5 - Administración de Riesgos.
ME4.4 Administración de Recursos.
1.- ¿Se revisa la inversión de TI por medio de evaluaciones periódicas?
ME4.7 Aseguramiento Independiente.
ACTIVIDADES DEL PROCESO
PROCESOS
Revisar, avalar, alinear y comunicar el desempeño de TI, la estrategia de TI, el manejo de recursos y riesgos de TI con respecto a la estrategia empresarial. Crear cuadro mandos. Generar un reporte de gobierno de TI. Revisar, avalar, alinear y comunicar el desempeño de TI, la estrategia de TI, el manejo de recursos y riesgos de TI con respecto a la estrategia empresarial. Generar un reporte de gobierno de TI.
E V A L U A R
Resolver los hallazgos de la evaluaciones independientes y garantizar la implantación por parte de la gerencia de las recomendaciones acordadas.
Y
ME4 Proporcionar Gobierno de TI
DOMINIO
M O N I T O R E A R
COBIT
1,00 1,00 0,00 0,00 0,00 0,00 0,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
4.1.2.1 EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP APLICANDO LA METODOLOGÍA COBIT 4.1 4.1.2.1.1 RESULTADOS FINALES OBTENIDOS 4.1.2.1.1.1 RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL Para obtener el resultado general de cumplimiento del departamento de sistemas con lo que indica la metodología COBIT se realizó las siguientes tablas de evaluación: 1.
Evaluación por objetivos de control (Ver anexo # 2) se tomó en cuenta las siguientes columnas procesos, actividades de los procesos, objetivos de control, peso del objetivo y calificación porcentual del objetivo, donde se da un peso ponderado de acuerdo a la cantidad de objetivos de control de cada proceso y a su vez la calificación es el promedio de la sumatoria de los puntajes de cada objetivo de control expresándolo en porcentaje (%).
2.
Evaluación por procesos (Ver anexo # 1) se consideró las siguientes columnas; dominios, procesos, cantidad de objetivos y calificación porcentual de cada proceso. En la columna cantidad de objetivos se ingresó el número de acuerdo a lo establecido en la metodología COBIT, para la calificación porcentual por procesos se realizó un enlace con la tabla de evaluación por objetivos de control multiplicando lo obtenido en la columna peso del objetivo por lo obtenido en la columna calificación porcentual del objetivo, a este resultado se le agrega la sumatoria de las celdas siguientes del objetivo de control.
3.
Evaluación por dominio (Ver tabla # 6) se utilizó las columnas dominios, cantidad de procesos y calificación porcentual del dominio. En la columna cantidad de procesos se ingresó el número que aplica según la metodología COBIT y para la calificación porcentual del dominio se aplicó un promedio de la sumatoria de los valores porcentuales de cada uno de los procesos tomando como referencia el anexo # 1.
Para la conclusión del cuadro general de COBIT se determinó que el promedio de cumplimiento del departamento de sistemas es igual a: la multiplicación de las columna “cantidad de procesos” por “calificación porcentual del dominio” más las celdas siguientes del dominio, dividido para los 34 procesos que suman en la metodología utilizada. De acuerdo a la decisión tomada de manera grupal se estandarizó para la evaluación general de COBIT, dominios, procesos y objetivos de control el porcentaje >=60%
117
para el cumplimiento aceptable y el porcentaje
