Upload
liber-cerda
View
127
Download
0
Embed Size (px)
Citation preview
DECLARACIÓN
Nosotros, Silvio David Navarro Vásquez, Carlos Xavier Talavera y Erick Javier Ruiz
Treminio declaramos bajo juramento que el trabajo aquí descrito es nuestra autoría; que
no ha sido previamente presentado para ningún grado o calificación profesional; y, que
hemos consultado las referencias bibliográficas que se incluyen en este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad intelectual
correspondientes a este trabajo, al programa académico de la universidad nacional de
ingeniería (UNI-IES), según lo establecido por la Ley de Propiedad Intelectual, por su
reglamento y por la normatividad institucional vigente.
Silvio David Navarro Vásquez
Carlos Xavier Talavera Zepeda
Erick Javier Ruiz Treminio
INTRODUCCIÓN
El presente documento tiene por objetivo presentar los resultados obtenidos del análisis del nivel
de madurez de los procesos de gestión de las Tecnologías de Comunicación e Información (TI)
en la UNI-IES (Universidad Nacional de Ingeniería-Instituto de Estudios Superiores) la metodología
COBIT que se basa en métricas y modelos de madurez para emitir conclusiones y recomendaciones
útiles para mejorar el desempeño del negocio y de sus procesos.
La Universidad Nacional de Ingeniería es una Institución de la Educación Superior, estatal y
autónoma, en búsqueda permanente de la excelencia académica, dedicada a formar profesionales en
el campo de la Ciencia, la Ingeniería y la Arquitectura para que generen y difunden conocimientos
con conciencia social, ética y humanística, con la finalidad de contribuir a la transformación
tecnológica y al desarrollo sustentable de Nicaragua y la región Centroamericana.
Cuya experiencia de muchos años le ha permitido ofrecer el servicio de la educación con excelencia
académica en Managua con UNI-RUSB, UNI-IES, UNI-RUPAP y en Estelí con UNI-RUACS.
UNI-IES nace por los acuerdos del Consejo Universitario No 2 del año 1998, en la sesión No.01-98,
es un centro educativo moderno de enseñanza superior y con una visión tecnológica que ofrece
carreras vinculadas al campo de la ciencia, la ingeniería y la arquitectura.
Por nuestro origen y naturaleza, somos un programa académico de estudios superiores de la
Universidad Nacional de Ingeniería, económicamente autofinanciado sin menoscabo de los
estándares de calidad y excelencia académica.
El programa UNI-IES se caracteriza por brindar no solo una enseñanza de excelente calidad en
materia de ingeniería y arquitectura, ya que cuenta entre su planta docente con profesores de la
Universidad Nacional de Ingeniería.
Las carreras que actualmente se ofertan son:
Ingeniería Civil, Ingeniería Industrial, Ingeniería en Computación, Ingeniería de Sistemas, Ingeniería
en Telecomunicaciones y Arquitectura
Se recomienda que antes de leer el documento vaya a anexos y aprópiese de la información de la entrevista y nivel de madurez (Ver Anexos)
DIAGNOSTICO
A través del estudio y el diagnostico ejecutado en el área se han detectado deficiencias, clasificadas
de la siguiente manera:
Deficiencias Tecnológicas Encontradas
1. La institución no cuenta con un servidor de respaldo
2. En el caso del sistema académico los respaldos se almacenan dentro del disco duro donde se
encuentra alojada la base de datos. Para el caso del sistema contable el respaldo se guarda
dentro del servidor de base de datos y en un disco externo asignado al área de
administración
3. La institución no cuenta con un cuarto de servidores
4. El servidor de Base de datos académico, servidor Proxy y servidor de Antivirus se localizan
en el área de los laboratorios de computo en un ambiente abierto de fácil acceso al público
con condiciones climatológicas inestables; Lo anterior se justifica que durante el día 3 aires
acondicionados mantienen la temperatura de 15 grados Celsius, pero durante la noche
dichos aires son apagados. El servidor de base de datos de administración se encuentra en el
área de administración (apartado de los demás servidores) donde el administrador de los
sistemas no tiene acceso total ya que requiere apertura de la puerta desde adentro. Dicho
servidor se encuentra a vista y fácil manipulación de los usuarios dentro del área, donde el
único obstáculo es la contraseña de Windows del servidor como tal.
5. La institución no cuenta con una infraestructura de red protegida. (Canalización)
6. Procedentes de un patch panel y swtich a través de un rack ubicado en el área de los
laboratorios de computo, los cables salen sin ninguna protección y llegan a su destino de
igual manera.
Deficiencias Organizacionales
La Institución no cuenta con un departamento de sistemas acondicionado.
El personal dentro del área de los laboratorios de cómputo es el personal encargado de la solución
de los problemas técnicos y lógicos encaminados a los sistemas de información y recursos
tecnológicos de la institución. Aunque existe un POA para el área, los recortes de presupuesto no
permiten contar con los recursos necesarios para la ejecución de soluciones satisfactorias a los
problemas emergentes del día a día.
La Institución no cuenta con planes de Contingencia, respaldo, seguridad, mantenimiento, riesgos y
estándares
Las altas autoridades no son conscientes de la necesidad de invertir y ejecutar planes. Cada
problema se soluciona de manera correctiva por parte del área de los laboratorios de cómputo a
espera de la compra de equipos repositorios para solucionar en caso de ser necesario.
La Institución no cuenta con varios de los procedimientos definidos
Ciertos procedimientos no se encuentran documentado, permitiendo que los implicados realicen las
tareas según su intuición y manera de trabajar con el fin de lograr el objetivo, el cual se ve afectado
en calidad por seguir un procedimiento fuera de lo que debe estar establecido.
La Institución no cuenta con seguridad lógica ni de datos
En cuanto a la seguridad lógica del servidor de base de datos académico el administrador de los
sistemas asigna “usuarios” y “contraseñas” a los miembros de la institución que utilicen el sistema
desde la base de datos. Cuando ingresa un nuevo trabajador, el registro del nombre de usuario y
contraseña se sustituyen por el nuevo elemento más no permite que queden registros desde la base
de datos; quedando al final los registros impresos pero no los digitales.
La institución no cuenta con una clasificación apropiada de grupos con restricciones de acceso a
internet.
Existe un servidor proxy que filtra las salidas al mundo o internet, el cual tiene configurado accesos
a la red a través de grupos, sin embargo no existe un control consciente de esta política, puesto que
se ha permitido habilitar el acceso total a la red de solicitudes a páginas indebidas, sociales y
descargas a usuarios que no necesitan tales recursos. Lo cual se traduce a constantes descargas y
mal uso del ancho de banda según reportes del servidor Proxy.
La institución no cuenta con el diseño de distribución física de la red interna de cableado.
Se desconoce las direcciones, recorridos y ubicaciones del cableado de la institución, cuyo origen
son las instalaciones de los laboratorios de cómputo. Se conoce que hay cableado a nivel de concreto
bajo el suelo, lo cual dificulta en un gran grado la sustitución de dicho elemento de ser necesario. Sin
embargo no se tiene documentado dichas excavadoras ni direcciones.
La institución no cuenta con una cultura que se encuentre identificada o que conozca los
procedimientos internos así como el uso apropiado de los canales de comunicación.
Objetivos del Trabajo
I. Identificar procesos y controles que presenten problemas.
II. Evaluar el nivel de madurez de los procesos identificados en la gestión de las TIC a través de
la metodología COBIT
III. Analizar los resultados obtenidos.
IV. Elaborar un informe técnico para administradores.
V. Elaborar un informe ejecutivo para administradores y ejecutivos de la empresa.
APLICACIÓN DE COBIT 4.1
Elementos COBIT 4.1 dentro del Análisis
El marco de trabajo de COBIT se basa en controles y mediciones bajo cuatro dominios:
PLANEAR Y ORGANIZAR (PO)
10 PROCESOS DE GESTIÓN DE TI
ADQUIRIR E IMPLEMENTAR (AI)
7 PROCESOS DE GESTIÓN DE TI
ENTREGAR Y DAR SOPORTE (DS)
13 PROCESOS DE GESTIÓN DE TI,
MONITOREAR Y EVALUAR (ME)
4 PROCESOS DE GESTIÓN DE TI.
Se han analizado uno a uno los procesos de cada dominio dentro de la metodología COBIT 4.1 y
en coordinación con el administrador de los sistemas de información y el director de la
institución examinamos la situación actual de los procesos de gestión de TI en la empresa para
poder emitir recomendaciones que ayuden a mejorar los procesos de gestión de TI y así alcanzar
los objetivos del negocio.
La aplicación de la metodología COBIT en la UNI-IES permite evaluar y mejorar los procesos de
gestión de TI. La evaluación de los procesos de gestión de TI consiste en realizar un análisis de la
situación actual de la organización que determine el nivel de madurez de los procesos de la
empresa con respecto a la metodología aplicada y así poder emitir recomendaciones que expliquen
qué hacer para que un determinado proceso mejore.
Inicialmente haremos una clasificación de los procesos para especificar la prioridad de
implementación de los mismos, para ello realizamos lo siguiente:
Para examinar la situación actual de los procesos de gestión de TI se ha realizado una reunión con
el director de la institución y el administrador de los sistemas de la UNI-IES, así como también
encuentros informales con los usuarios de TI.
A través de COBIT se determinó que la institución no posee una cultura de Gestión definida.
Dominio: PLANEAR Y ORGANIZAR
PO1- Definir un plan estratégico de TI.
El nivel gerencial considera que manejar adecuadamente las tecnologías de información ayudará a
alcanzar las metas del negocio; En este punto se ha estipulado que es necesario contar con un
portafolio de inversiones más específico en los ámbitos del presente y el futuro, haciendo
conciencia sobre las autoridades de las oportunidades que ofrecen las tecnologías salientes,
pensando en pro de las metas y objetivos de la institución.
Cada punto dentro del portafolio debe estar sujeto a evaluaciones de funcionabilidad, costos,
fortalezas, debilidades, análisis de riesgo y transparencia. Se establece que los elementos del plan
estratégicos se deben cambiar según el rumbo de los objetivos de la institución, manteniendo una
administración activa en cuanto a su definición, evaluación, asignación de prioridades, selección y
control de los programas.
La unidad Informática es responsable de desarrollar e implementar planes a corto y largo plazo
que satisfagan la misión y las metas generales de la organización.
En el inventario de soluciones tecnológicas e infraestructura actual se deben evaluar los planes
existentes en términos de:
Nivel de automatización de la institución.
Funcionalidad
Estabilidad
Complejidad
Costos, Fortalezas y debilidades.
En cuanto a los cambios organizacionales se debe asegurar que se establezca un proceso para
modificar oportunamente y con precisión el plan a largo plazo de tecnología de Información con el
objetivo de adaptar los cambios al plan y a las TI
PO2 -Definir la arquitectura de la información.
El nivel gerencial considera que la información de la empresa debe administrarse de mejor
manera y que deben estar sujetas a políticas de seguridad internas. Con el objetivo de que permita
satisfacer los requerimientos del área en cuestión se debe organizar de la mejor manera posible los
sistemas de información, a través de la creación y mantenimiento de un modelo de información de
negocio, asegurándose que se definan los sistemas apropiados para la utilización de esta
información.
Para lo cual se establece lo siguiente:
La documentación deberá conservar consistencia con las necesidades permitiendo a los
responsables llevar a cabo sus tareas eficientes en cuanto a la recuperación de la información,
respaldos y depuración de la información.
La propiedad de la información y la clasificación de la misma debe permitir establecer un marco de
referencia de la ubicación de la información.
Se debe realizar la documentación del diccionario de datos, el cual incorpora reglas de la
organización y que debe ser actualizado según los cambios en el sistema, así como nuevos
requerimientos.
Los requerimientos dentro del plan estratégico deben integrarse con los procesos establecidos en
el área para corroborar que no existan colisiones de información, redundancia de datos y verificar
la confiabilidad de los mismos.
PO3-Determinar la dirección tecnológica.
La institución considera que se necesita una infraestructura tecnológica apropiada que sea soporte
para que la Unidad Informática en pro del desarrollo de la misma según el desarrollo de la
empresa; Con el plan estratégico en unión con los procesos de la empresa se debe determinar la
dirección de la tecnología, la cual se implica la estandarización de sistemas aplicativos.
Para lo anterior se debe establecer un grupo selecto que dirija la arquitectura de la información y
que verifique el cumplimiento de los objetivos de la empresa a través de la misma. Con PO1y PO2,
en PO3 se establece la infraestructura tecnológica que enfoca los aspectos que enfocan el sistema
de información que sustentan la operación de la institución.
En este punto el grupo selecto debe evaluar la infraestructura tecnológica, basándose en los
requerimientos de la arquitectura de la información, la cual se verá afectada por los giros dentro de
los objetivos de la institución; Dichos cambios están ligados a las tendencias del futuro como lo
son:
Factores Ambientales
Factores Energéticos
Paradigmas de Trabajo o Procesos
Factores Financieros
Estos recursos deben combinarse estratégicamente por el área para dinamizar los cambios que la
institución afronta con el avance de las tecnologías.
PO4- Definir los procesos, organización y relaciones de TI.
La institución considera que administrar las tareas y responsabilidades de TI ayudara a una mejor
prestación de servicios debido a que se establecen procesos, políticas de administración y
procedimientos para todas las funciones, administración de riesgos, seguridad de la información y
segregación de funciones.
PO5 Administrar la inversión en TI.
La institución considera que pronosticar presupuestos y definir criterios formales de inversión
permite establecer un marco de trabajo de los programas de inversión, lo que incluye costos,
beneficios, prioridades. Abriendo relaciones entre TI y los dueño de la institución.
PO6 Comunicar las aspiraciones y la dirección de la alta gerencia.
La institución considera que definir un marco de trabajo de control para TI y la definición de
políticas para TI se debe implementar para articular la comunicación y el entendimiento de las
leyes y reglamentos de la institución, con el objetivo de garantizar el cumplimiento de estas.
PO7- Administrar los recursos humanos de TI.
La institución considera que para administrar los elementos de TI, es necesario adquirir personal
competente, por tanto el encargado del área con conjunto con recursos humanos debe ser parte del
filtro seleccionador.
Con un personal estable es necesario mantener la motivación por medio de planes, asignación de
roles importantes según habilidades y destrezas. Tomando en cuenta que se debe tomar cada rol
como parte de la cultura institucional.
PO8- Administrar la Calidad.
Internamente se requiere de un sistema de calidad basado en planeación, implantación y
mantenimiento del sistema de administración de calidad, proporcionando requerimientos,
procedimientos y políticas de calidad.
PO9-Evaluar y Administrar los riesgos de TI.
Crear y dar mantenimiento a un plan de riesgo que permita abordar eventos no planeados que
tengan impactos negativos sobre la organización. Cada riesgo se debe identificar, analizar y evaluar
adoptando estrategias para cada uno.
PO10-Administrar Proyectos.
La institución considera que la definición y planeación de proyectos dentro del portafolio de
proyectos permitirá la entrega de resultados dentro de marcos de tiempo, presupuesto y calidad
acordados en cada uno de estos. Asegurando la reducción de riesgos, evitando la cancelación de
proyecto y mejorando la comunicación entre dueños y usuarios finales.
Dominio: ADQUIRIR E IMPLANTAR
AI1-Identificar soluciones automatizadas.
La necesidad de una aplicación o función requiere de análisis antes de una compra o desarrollo.
Durante el análisis se debe priorizar cuan efectivo y eficiente debe ser la solución automatizada.
Para ello se consideran aspectos como las necesidades, el costo-beneficio, factibilidad tecnológica y
económica.
AI2-Adquirir y mantener software aplicativo.
La institución considera que la buena traducción de los requerimientos TI bajo estándares y
actividades de desarrollo permitirá apoyar la productividad de la institución de forma apropiada
con las aplicaciones automatizadas correctas.
AI3-Adquirir y mantener una infraestructura tecnológica.
Según el plan estratégico y la dirección tecnológica se deben contar con procesos para adquirir,
implementar y actualizar la infraestructura tecnológica. Mejor conocido como soporte tecnológico
continuo para las aplicaciones de la Unidad Informática.
AI4-Facilitar la operación y el uso.
El nivel gerencial considera que el conocimiento sobre el sistema y las nuevas tecnologías deben
estar disponibles para que el personal pueda manejarlos correctamente.
AI5-Adquirir recursos de TI.
La institución considera que una asesoría legal, contractual, la adquisición de hardware, software y
servicios requeridos según la definición de los procedimientos de adquisición permite garantiza
que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y
rentable.
AI6-Administrar Cambios.
La institución considera que se debe establecer una documentación y un procedimiento de
autorización de cambios. Tal procedimiento debe ser comunicado y debe llevar un seguimiento de
estados y reportes a través de técnicas apropiadas. Lo cual garantizara la reducción de riegos en
impacto de la institución.
AI7-Instalar y acreditar soluciones y cambios.
La institución considera que se debe establecer una planeación metodológica que permita evaluar
y ejecutar los resultados de las pruebas para verificar la liberación de errores y el cumplimiento
del propósito deseado, garantizando que los sistemas estén en línea con las expectativas esperadas
Dominio: ENTREGAR Y DAR SOPORTE
DS1-Definir y administrar los niveles de servicio.
La institución considera se deben determinar responsables y niveles de servicio de TI para luego
proceder a administrarlos, De tal manera que la documentación se pueda aplicar según los niveles
de servicios y sin excepción.
DS2-Administrar los servicios de terceros.
La institución considera que se debe establecer mecanismos de medición de los proveedores, para
ello se debe identificar y clasificar al proveedor, analizando los riesgos a los que la institución se
enfrenta y el monitoreo de su desempeño.
DS3-Administrar el desempeño y la capacidad.
La institución considera se debe establecer cuáles son las funciones de TI para posteriormente
lograr administrar su desempeño y capacidad, Permitiendo a la institución, monitorear y mejorar
de manera continua.
DS4-Garantizar la continuidad del servicio.
La institución considera se debe establecer inicialmente un detalle de los servicios y de cómo se
realizara la prestación de los mismos para después garantizar la continuidad.
DS5-Garantizar la seguridad de los sistemas.
La institución considera que debe mantener la integridad de la información y proteger los activos
de TI. Para lo cual es necesario un proceso de administración de la seguridad. Estableciendo roles y
responsabilidades, encaminados por políticas, estándares y procedimientos. De tal manera que
haya entendimiento sobre vulnerabilidades y amenazas, mantenimiento, monitoreo y evaluación
de la seguridad de manera regular.
DS6-Identificar y Asignar Costos.
La institución considera que se debe construir un modelo de costos completo y aceptable que
permita una medición y asignación precisa de costos y transparencia de información que permita
una toma de decisiones clara con respecto al uso de las TI.
DS7-Educar y Entrenar a los usuarios.
La institución considera se debe establecer una educación efectiva a los usuarios sobre las TI del
sistema de la institución, ya que es vital para la productividad de la misma. Para ello se deben
conocer las necesidades de entrenamientos de cada grupo de usuario según la clasificación de la
información que manipulen; Para lograr este punto se debe establecer una estrategia y un plan de
seguimiento para establecer controles y disminuir errores.
DS8-Administrar la mesa de servicio y los incidentes.
La institución considera que para lograr una mejora continúa de los procesos, en la arquitectura de
la información y el hallazgo de nuevos requerimientos es necesario las diferentes, consultas,
problemas e incidentes por parte de los usuarios de TI. Cada inconformidad debe ser administrada
de manera sigilosa, especificando la raíz de la misma, así como la propuesta de solución más
óptima; Permitiendo a la institución incrementar su productividad.
DS9-Administrar la configuración.
La institución considera se debe establecer un plan de contingencia para proteger la continuidad
de operación de la institución. Para ello es necesario poseer disponibilidad de los recursos
software así como su documentación esencial de configuración optima-estándar establecida; El
hardware de igual manera que el software requiere de los mismo aspectos para resolver ante la
inconformidad que pueda darse. Por tanto se necesita de un plan de repositorios que se encuentre
en continua actualización según las TI y la dirección tecnológica.
DS10-Administración de Problemas.
La institución considera que se debe realizar un análisis de causas de los problemas reportados,
analizando tendencias y soluciones, logrando así un efectivo proceso de administración de
problemas, de reducción de costos, riesgos y satisfacción del usuario
DS11-Administración de Datos.
La institución considera que conforme crece la productividad y los requerimientos de la
institución, se debe establecer un proceso de administración de los datos, con el objetivo de que la
arquitectura de la Información brindada a los usuarios de Ti sea integra, fiable y confiable; Esto
permite garantizar la calidad, oportunidad y disponibilidad de la información obtenida por medio
de los datos.
DS12-Administración del ambiente físico.
La institución considera que el acceso a los recursos de TI requiere no solo de protección lógica,
sino también física. Para ello se requiere de un buen diseño de las instalaciones, así como su
administración. Posteriormente es necesarios el monitoreo de factores ambientales físicos para
reducir las interrupciones y daños a los equipos y al personal.
DS13-Administración de Operaciones.
La institución considera que el procesamiento de la información requiere de un buen
procesamiento de datos y de mantenimiento del hardware. Con el fin de reducir los retrasos en las
operaciones, extender la vida útil de los recursos y mantener un cuido exhaustivo de la
arquitectura de TI; Utilizando el monitoreo de los aspectos antes mencionados.
Dominio: MONITOREAR Y EVALUAR
ME1-Monitorear y evaluar el desempeño de TI.
El área en cuestión considera que debe existir una administración del desempeño de las TI con
indicadores que permitan garantizar que las operaciones, se estén ejecutando de manera correcta.
Con herramientas como reportes de desempeño que permitan conocer el estado de las TI en
comparación con las metas de la institución a través del área informática.
ME2-Monitorear y evaluar el control interno.
El área en cuestión considera que inicialmente se deben definir controles integrados en el marco
de trabajo de procesos de TI, documentando las no conformidades que violenten los objetivos de
TI, leyes y reglamentos internos en la institución para después crear un proceso que los monitoree
y evalúe.
ME3-Garantizar el cumplimiento con requerimientos externos.
El área en cuestión considera que para verificar que se está realizando un buen monitoreo y
evaluación de los procesos de la institución.
ME4-Proporcionar Gobierno de TI.
La institución considera que se debe establecer un gobierno de TI ya que habilita a la organización
con las herramientas necesarias para tomar decisiones óptimas respecto a la realización de inversiones
en tecnología considerando la dirección, requerimientos del negocio y su comportamiento financiero.
NIVEL DE MADUREZ DE LOS PROCESOS
Durante las reuniones se definió el grado de madures de cada proceso abordado y considerado
dentro del marco a través del modelo genérico de madurez.
PLANEAR Y ORGANIZAR
PO1-DEFINIR UN PLAN ESTRATÉGICO DE TI
Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los
miembros de la institución que interactúan con las TI se conoce que la definición de un plan
estratégico de TI es un proceso inexistente.
El proceso de definición del plan estratégico empresarial se localiza en el nivel de madurez cero
porque la institución no tiene conciencia de la importancia de la planeación estratégica de TI que
sirve para dar soporte a los objetivos del IES en términos de TI.
PO2 -DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los
miembros de la institución que interactúan con las TI se conoce que la definición de la arquitectura
de la información es un proceso inexistente debido a que el personal no conoce el concepto de
“arquitectura de la información”, y la empresa no posee un modelo de arquitectura que optimice el
uso de su información.
El proceso de definición de la arquitectura de la información se localiza en el nivel de madurez
cero porque la institución no tiene conciencia de lo importante que es definir la arquitectura de
información y mantenerle actualizada, la institución no brinda el apoyo necesario para desarrollar
una arquitectura de información de acuerdo a las necesidades de la organización.
PO3-DETERMINAR LA DIRECCIÓN TECNOLÓGICA
Por la entrevista realizada al administrador de los sistemas se conoce que la determinación de la
dirección tecnológica es un proceso inexistente en la empresa porque no cuentan con los
requerimientos técnico ni el personal suficiente que posea el conocimiento y experiencia
necesarios para desarrollar un buen plan que guié a la organización hacia un acertado cambio
tecnológico.
El proceso para determinar la dirección tecnológica se localiza en el nivel de madurez cero porque
no tiene conciencia sobre el importante aporte de este proceso a la organización, no entiende que
una correcta planeación del cambio tecnológico es crítica para asignar recursos de manera efectiva
a corto y largo plazo.
PO4-DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES TI
Por el diagnóstico realizado a la empresa y las entrevistas ejecutadas de manera informal, se logró
conocer que no existen procedimientos óptimos documentados, además que hay personal no
capacitado en puestos no aptos; Por tanto no se puede establecer una relación de TI que permitan
un crecimiento de la productividad y transparencia de los procesos.
El proceso para definir los procesamientos, organización y relaciones de TI se localiza en el nivel de
madurez cero debido a que no se entiende la importancia de llevar una relación íntima entre la
organización, sus procedimientos con las relaciones de TI que permitan un cumplimiento
satisfactorio de los objetivos de la institución.
PO5-ADMINISTRAR LA INVERSIÓN EN TI
Por la entrevista informal realizada al director de la institución y el administrador de los sistemas
se conoce que no existe una administración de inversión de TI. Esto se debe a que la inversión se
da al momento de pedidos de adquisiciones por parte de la central; Anexo a ello no se cuenta con
un marco estratégico para administrar el presupuesto. A pesar de que se hace el esfuerzo de
diseñar un presupuesto, dado que se ejecuta lo que la central define, el IES no aplica empeño en
este punto.
El proceso para administrar la inversión en TI se localiza en el nivel de madurez cero debido a que
la institución no tiene personería administrativa en el elemento de administración de las
inversiones. Sus adquisiciones se ejecutan según el presupuesto definido desde la central. Y no
existe interés en cuanto al cambio del ambiente por políticas de la central.
PO6-COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA ALTA
GERENCIA
Según la revisión de la página web www.ies.uni.edu.ni y la entrevista informal realizada al
administrador de los sistemas que se encarga de administrar la página web, se conoce que no se
muestra una actualización en cuanto a los cambios institucionales y de tiempo. Se ha mantenido
una información estática y un diseño de la misma magnitud.
El proceso para comunicar las aspiraciones y la dirección de la alta gerencia se localiza en el nivel 1
porque existe un método de comunicación más se ha quedado estático ya que no existe un interés
por parte de la institución en la relación con el administrador de la página web para difundir la
información y lograr el cumplimiento de los objetivos.
PO7-ADMINISTRAR LOS RECURSOS HUMANOS DE TI
Por la entrevista informal realizada al director de la institución, el administrador de sistemas y usuarios
de TI se conoce que no existe transparencia en el proceso de reclutamiento, entrenamiento y
evaluación del desempeño.
El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque
cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios para la
obtención de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones se hacen de
manera preferencial y no por habilidades y destrezas.
PO8-ADMINISTRAR LA CALIDAD
Por la entrevista informal realizada al director de la institución se conoce que la
administración de la calidad es un proceso inicial en la empresa. El personal administra la calidad
según la percepción del usuario.
El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la calidad
como percepción del usuario se realiza de manera preferencial. No hay organización,
documentación ni profesionalismo en este proceso.
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizada a los
miembros de la institución conocemos que la evaluación y administración de los riesgos de TI es
un proceso inexistente en la institución, porque no cuentan con un marco de trabajo definido
que permita analizar y evaluar cualquier impacto potencial sobre las metas de la
organización causado por algún evento no planeado.
El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero
porque la organización no tiene conciencia de la importancia de contar con una metodología, ni con
la documentación ni mejora continua que solucione vulnerabilidades de seguridad e
incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en los
procesos y la arquitectura de la información.
PO10 Administrar Proyectos
Utilizando como base primaria los puntos analizados hasta el momento, entrevistas informales en
general y el diagnostico se conoce que la institución no tiene conciencia de la necesidad de crear un
foro responsable que se encargue de administrar proyectos. Anexo a esto los proyectos no se
realzan ni de manera individual por falta de motivación de la institución.
El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido una
metodología ni se ha seleccionado a un encargado que minimice el impacto en la institución
por la falta del proceso antes mencionado.
RESUMEN DEL DOMINIO “PLANEAR Y ORGANIZAR”
El dominio está relacionado con procesos de planeación y organización empresarial con respecto a
la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se
muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los
procesos evaluados.
DOMINIO: PLANEAR Y ORGANIZAR
PROCESOSNIVEL DE MADUREZ
ACTUAL
NIVEL DE MADIREZ
DESEADO
PO1_Definir un plan estratégico de TI 0 2
PO2_Definir la arquitectura de la información 0 2
PO3_Determinar la dirección tecnológica 0 2
PO4_Definir los procesos, organización y
relaciones TI0 2
PO5_Administrar la inversión en TI 0 2
PO6_Comunicar las aspiraciones y la
dirección de la alta gerencia1 2
PO7_Administrar los recursos humanos de TI 0 2
PO8_Administrar la calidad 0 2
PO9_Evaluar y administrar los riesgos de TI 0 2
PO10_Administrar Proyectos 0 2
Como se muestra en la anterior, en este dominio todos los procesos analizados tienen un grado de
madurez de nivel CERO, estos deben ser motivo de especial atención por parte de la gerencia y su
implantación debe regirse a la prioridad ya que se han tomado los puntos más críticos usando los
elementos de COBIT.
Según COBIT, la empresa en este dominio carece completamente de algún proceso con
metodología específica y definida, se ignora necesidad de implantar estos procesos para así
solucionar sus problemas.
ADQUIRIR E IMPLANTAR
AI1-IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Por la entrevista realizada al administrador de los sistemas se conoce que la identificación de
soluciones automatizadas es un proceso inexistente en la empresa porque no cuentan con un
interés definido para analizar la compra o el desarrollo de nuevas aplicaciones que garantice que
los requisitos del negocio se cumplan de manera efectiva y eficiente.
El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero
porque la institución no lo considera importante y no cuenta con un procedimiento definido
que identifique requerimientos funcionales y operativos para el desarrollo, implantación o
modificación de soluciones tecnológicas disponibles que sirvan de apoyo para que se cumpla con
sus objetivos. Ligado a la dirección tecnológica de la institución.
AI2-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Por las entrevistas realizadas de manera formal e informal al administrador de los sistemas se
conoce que el proceso de adquirir y mantener software aplicativo es inexistente porque no se ha
establecido una metodología que permita apoyar a la institución en las decisiones y elemento
correctos a adquirir aplicaciones automatizadas según el avance de la institución.
El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero ya
que no existe conciencia de la importancia de adquirir software que permitan mejorar los
procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institución.
AI3-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Por la entrevista realizada al administrador de los sistemas se conoce que la adquisición y
mantenimiento de infraestructura tecnológica es un proceso inexistente en la institución
porque no consideran importante adquirir, mantener y proteger la infraestructura.
El proceso de soporte tecnológico continuo se localiza en el nivel de madurez cero porque no se
cuenta con un procedimiento establecido de revisión, mantenimiento y necesidades de nuevos
requerimientos del proceso en cuestión.
AI4-FACILITAR LA OPERACIÓN Y EL USO
Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizadas a los
usuarios de TI se conoce que el facilitar la operación y el uso de los sistemas de TI es un proceso
desorganizado porque la empresa no cuenta con documentación del sistema, manuales de
usuarios, manuales de operación y materiales de entrenamiento.
El proceso para facilitar la operación y el uso se localiza en el nivel de madurez cero porque no
considera necesaria la documentación si se cuenta con un administrador de sistemas y no se
cuenta con una metodología para el desarrollo de manuales de usuario, de TI, de operación y de
procedimiento.
AI5-ADQUIRIR RECURSOS DE TI
Por la entrevista informal realizada a la persona encargada del Departamento
Administrativo conocemos que la adquisición de recursos de TI es un proceso que existe de
manera inicial, no adecuada en cuanto a la definición y seguimiento para lograr el cumplimiento.
El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque
existe un proceso, la institución hace muy poca presión a la central para que estos agilicen el
proceso de adquisición satisfactoria.
AI5-Adquirir recursos de TI.
Por la entrevista informal realizada al administrador del sistema y el diagnostico se conoce que la
institución no cuenta con las capacidades legales necesarias para garantizar que la institución
adquiera los recursos TI necesarios para el cumplimiento de los objetos. En el momento de la
adquisición se busca cantidad y ahorro en sustitución de la calidad en cuanto al hardware.
En cuanto al software no existen planes de adquisición por compra ni desarrollo por parte de la
institución puesto que no consideran importante invertir en este proceso. Realizando las
adquisiciones de manera correctiva y de oportunidad según los estipule la central.
El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1
AI6-Administrar Cambios.
Por la entrevista informal realizada al administrador de sistemas se conoce que el proceso de administrar cambios es un proceso inexistente debido a que no se ejecutan todos los cambios necesarios para el avance de la institución y lo pocos que se ejecutan se realizan de manera que no se integran al sistema y con la debilidad de depender de la persona que resuelve de manera sistemática un proceso no automatizado. Por tanto el cambio no se comunica de manera óptima ni se documenta, simplemente surge como solución, es decir no importa el cómo se resuelva sino que se resuelva la no conformidad.
El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con un plan de administración de los cambios, no existe documentación y no existe un elenco responsable que permita cumplir los objetivos de la institución.
AI7-Instalar y acreditar soluciones y cambios.
Por la entrevista informal realizada al administrador de los sistemas y el análisis del proceso AI6 se conoce que el proceso de instalar y acreditar soluciones y cambios es un proceso inexistente debido a que se trabaja con sistemas cerrados que no permiten cambios o modificaciones.
El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a que los sistemas no permiten cambios y no existe interés en la adquisición de nuevas aplicaciones. Consecuentemente no existe interés en la creación de la idea de este proceso como parte del crecimiento institucional.
RESUMEN DEL DOMINIO “ADQUIRIR E IMPLANTAR”
El dominio está relacionado con procesos de adquisición e implantación empresarial con respecto
a la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se
muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los
procesos evaluados.
DOMINIO: ADQUIRIR E IMPLEMENTAR
PROCESOSNIVEL DE MADUREZ
ACTUAL
NIVEL DE MADIREZ
DESEADO
AI1_Identificar soluciones automatizadas 0 2
AI2_Adquirir y mantener software
aplicativo0 2
AI3_Adquirir y mantener una
infraestructura tecnológica0 2
AI4_Facilitar la operación y el uso 0 2
AI5_Adquirir recursos de TI 1 2
AI6_Administrar Cambios 0 2
AI7_Instalar y acreditar soluciones y
cambios0 2
Como se muestra en la tabla anterior, en este dominio la mayoría de procesos tienen un grado de
madurez de nivel CERO, sin embargo todos los procesos deben ser motivos de atención por parte
de la institución. Según COBIT, la empresa en este dominio carece completamente de algún proceso
con metodología específica y definida; Se ignora la importancia de implantar estos procesos para
así solucionar sus problemas.
En cuanto al único proceso con grado de madurez de nivel UNO, si aplica procedimientos sobre la
base de la ley, especificando que la institución carece de administración para este dominio y los
incidentes se manejan conforme van surgiendo.
ENTREGAR Y DAR SOPORTE
DS1-DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Por la entrevista informal realizada al director de la institución y el administrador de los
sistemas se conoce que la definición y administración de los niveles de servicio es un proceso
inexistente.
El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez cero,
porque la institución no posee documentación y aunque semi-administra de manera empírica, no
lo realiza de manera periódica y desconoce los beneficios de tener un responsable que controle y
documente la administración de acuerdos de niveles de servicio en la empresa.
DS2-ADMINISTRAR LOS SERVICIOS DE TERCEROS
Por la entrevista informal realizada al administrador de los sistemas se conoce que la
administración de los servicios de terceros es un elemento inexistente ya que no existe un método
o entidad que asegure que los servicios previstos por terceros cumplan con los requerimientos de
la institución.
El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si no
existe un estándar de calidad, si no que los servicios de terceros se basan propiamente en el ahorro
monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un proceso fuera de
contexto y desorganizado.
DS3-ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Por la entrevista informal realizada al administrador de los sistemas se conoce que la
administración del desempeño y la capacidad de los recursos de TI es un proceso inexistente en la
empresa porque no existe un procedimiento continuo que evalué la capacidad y desempeño
para asegurar que se está alcanzando el desempeño deseado. Por tanto se hace difícil la
detección de nuevos requerimientos y la continua mejora de la arquitectura de la información en
pro de la dirección tecnológica.
El proceso para administrar el desempeño y la capacidad se localiza en el nivel de madurez cero
porque la institución no tiene conciencia de la necesidad de llevar a cabo un proceso de planeación
de la capacidad y desempeño puesto que no se han establecido procesos claves de administración.
DS4-GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Por la entrevista informal realizada al administrador de los sistemas se conoce que el
garantizar la continuidad del servicio de TI es un proceso inexistente ya que la institución no
ha designado a responsable que se encargue de desarrollar los planes de continuidad de TI,
Cabe destacar que no se cuenta con planes de respaldo ni interno ni externos, al igual que no se
aseguran los respaldos realizados
El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero
porque no existe conciencia en la institución de los riesgos, vulnerabilidades y amenazas de las
operaciones de TI o del impacto por la pérdida de los elementos de los servicios de TI.
DS5-GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Por la entrevista realizada al administrador de los sistemas se conoce que el garantizar la
seguridad de los sistemas es un proceso existente en la empresa pero no seguro ya que no cuentan
con un procedimiento de administración de la seguridad que incluya el establecimiento de roles y
responsabilidades de seguridad, así como no se monitorean los accesos/dominios establecidos
según políticas, estándares y objetivos que la institución debe cumplir.
El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno
porque la institución no tiene conciencia de la necesidad utilizar software de seguridad distintos
a los del sistema operativo y login de los sistemas, no están asignadas las responsabilidades y
rendición de cuentas para garantizar la seguridad y las medidas para soportar y administrar la
seguridad.
DS6-IDENTIFICARY ASIGNAR COSTOS
Por la entrevista informal realizada al área de administración se conoce que el proceso de
identificación y asignación de costos es un proceso inexistente en la institución ya que no cuentan
con una metodología de asignación de costos justa, equitativa y prioritaria para distribuir los
costos de TI de la institución. Corroborando según la entrevista realizada al administrador de los
sistemas que no existe prioridad ni interés en los elementos relacionados a las TI.
El proceso de identificación y asignación de costos se localiza en el nivel cero debido a que existe
conciencia de la necesidad e importancia de reconocer los servicios de TI como una base
actualizable para el cumplimiento de los objetivos y desarrollo de la institución.
DS7-EDUCAR Y ENTRENAR A LOS USUARIOS
Por la entrevista informal realizada al director de la institución y la entrevista formal al
administrador de los sistemas se conoce que la educación y el entrenamiento a los usuarios es un
proceso inicial y desorganizado puesto que no cuentan con un procedimiento efectivo que
administre el entrenamiento de los usuarios, y tampoco cuentan con una educación efectiva
de los usuarios que usan los sistemas de TI. El proceso de entrenamiento se hace de manera
intuitiva y parcial, para lo cual el usuario debe preguntar o efectuar errores para aprender a
utilizar los SI.
El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque la
institución no tiene un programa de entrenamiento y educación con procedimientos
estandarizados, sus empleados reciben capacitación individual e informal.
DS8-ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Por la entrevista informal realizada al administrador de los sistemas se conoce que la
administración de la mesa de servicio y de incidentes es un proceso inexistente en la institución
porque no cuentan con una mesa de servicio que responda de manera oportuna y efectiva a las
consultas y problemas de los usuarios de TI.
El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de madurez
cero porque la no se tiene conciencia que hay un problema que atender, no hay soporte para
resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la
administración de incidentes.
DS9-ADMINISTRAR LA CONFIGURACIÓN
Por la entrevista informal realizada al administrador de los sistemas se conoce que la
administración de la configuración es un proceso inexistente en la empresa porque no cuentan
con un documento completo y preciso que guié las configuraciones de hardware y software que se
realicen en la institución, estos procesos se realizan a prueba y error o de acuerdo a la experiencia
del personal.
No se cuenta con un proceso de establecimiento de normas, la verificación y auditoría de la
configuración y la actualización del documento de configuración conforme se necesite o cambien
los requerimientos de la institución
El proceso para administrar de la configuración se localiza en el nivel de madurez cero porque no
se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y
administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de
hardware como de software.
DS10-ADMINISTRACIÓN DE LOS PROBLEMAS
Por la entrevista formal e informal realizada al administrador de los sistemas y usuarios de TI se
conoce que el proceso de administración de problemas es un elemento existente más no efectivo
debido a que este proceso se ejecuta según ocurrencias o inconformidades. No existe una bitácora,
planes de procedimientos ni mejora continua metodológica de los eventos; Reconociendo que no
hay mantenimiento de errores, revisión de estados de TI, sino que solo se aplican acciones
correctivas según la experiencia y con la cultura de resolver en el menor tiempo sin importar como
se haga.
El proceso de administración de los problemas se localiza en el nivel uno puesto que se han
estandarizado algunos procesos pero de manera mecánica por parte de los encargados de TI, de
manera que la raíz del incidente se busca si y solo si es considerado de gran impacto, en caso
contrario se ejecuta una solución rápida y no se documenta el incidente.
DS11-ADMINISTRAR LOS DATOS
Por la entrevista informal realizada al administrador de los sistemas y a los usuarios de TI se
conoce que la administración de los datos es un proceso desorganizado ya que no cuentan con un
procedimiento definido que contemple metodologías efectivas para administrar la integridad,
confiabilidad y disponibilidad de la información. Para los respaldos no se verifican, sin mencionar
que no existe una estrategia de trabajo de los mismos para monitorear sus cambios en el tiempo y
su integración con nuevos requerimientos.
El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos no se
establecen bajo ninguna prioridad, haciéndolos deficientes en calidad y la seguridad.
DS12-ADMINISTRAR EL AMBIENTE FÍSICO
Por la entrevista realizada al administrador de los sistemas y la entrevista informal a los
trabajadores del área informática se conoce que la administración del ambiente físico es
inexistente en la institución porque no cuentan con la debida protección del ambiente de cómputo
ni del personal, así como tampoco disponen de instalaciones bien diseñadas ni administradas que
controlen el acceso físico de personas no autorizadas a departamentos sensibles de la
organización.
El proceso para administrar el ambiente físico se localiza en el nivel de madurez uno porque no
cuenta con un ambiente físico que proteja los recursos y el personal contra peligros naturales y
causados por el hombre, además el personal se puede mover dentro de las instalaciones sin
restricción.
DS13-ADMINISTRAR LAS OPERACIONES
Por la entrevista realizada al administrador se conoce que la administración de las
operaciones es un proceso inexistente debido a que no cuentan con una completa
administración de la información ni del mantenimiento del hardware que incluya definición de
políticas, procedimientos y estándares de operación para administración, monitoreo y planes
preventivos.
El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se
destina atención ni recursos para la creación de planes administrativos que permitan a las
operaciones de TI reducir retrasos operacionales y extender la vida útil de los equipos.
RESUMEN DEL DOMINIO ENTREGAR Y DAR SOPORTE
El dominio está relacionado con procesos de entrega y soporte empresarial con respecto a la
madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se
muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los
procesos evaluados..
DOMINIO: ENTREGAR Y DAR SOPORTE
PROCESOSNIVEL DE MADUREZ
ACTUAL
NIVEL DE MADIREZ
DESEADO
DS1_Definir y administrar los niveles de
servicio0 2
DS2_Administrar los servicios de terceros 0 2
DS3_Administrar el desempeño y la
capacidad0 2
DS4_Garantizar la continuidad del servicio 0 2
DS5_Garantizar la seguridad de los
sistemas1 2
DS6_Identificar y asignar costos 0 2
DS7_Educar y entrenar a los usuarios 1 2
DS8_Administrar la mesa de servicios y los
incidentes0 2
DS9_Administrar la configuración 0 2
DS10_Administración de problemas 1 2
DS11_Administración de datos 0 2
DS12_Administración del ambiente físico 1 2
DS13_Administración de operaciones 0 2
Como se muestra en la tabla anterior en este dominio la mayoría de procesos tienen un grado de
madurez de nivel CERO a excepción de DS7 que tiene nivel de grado UNO. Se debe poner atención a
todos los procesos sin importar el nivel.
Según COBIT este dominio carece de procedimientos con respectiva metodología y no reconoce la
importancia de implantar procesos para solucionar sus problemas, los incidentes se manejan
conforme van surgiendo.
No existe comunicación ni supervisión del único proceso nivel uno encontrado, notando así una
institución desorganizada que se basa bajo procedimientos individuales según el problema,
incidente o no conformidad.
MONITOREAR Y EVALUAR
ME1-MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Por la entrevista informal realizada al administrador de los sistemas se conoce que el monitoreo
y la evaluación del desempeño de TI es un proceso inexistente debido a que no cuentan con ningún
tipo de monitoreo ni sistema de soporte, que ayude al correcto funcionamiento de los
requerimientos de TI y que garantice calidad según los estándares y políticas que necesita la
institución.
El proceso para monitorear y la evaluar el desempeño de TI se localiza en el nivel de madurez cero
porque no se cuenta con herramientas que permitan desarrollar reportes útiles, oportunos y
precisos de monitoreo.
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO
Por la entrevista informal realizada al administrador de los sistemas se conoce que el monitoreo
y la evolución del control interno es un proceso inexistente en la empresa porque no cuentan con
un procedimiento que incluya el monitoreo y el reporte de las excepciones de control, auto-
evaluaciones ni revisiones por parte de terceros en el ámbito de TI.
El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero
porque la organización carece de atención y procedimientos para establecer el control interno,
administrarlo, monitorearlo y mejorarlo.
ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO
Por la entrevista informal realizada al administrador de los sistemas se conoce que el
garantizar el cumplimiento regulatorio es un proceso inexistente debido a que no cuentan con un
procedimiento independiente de revisión que garantice el cumplimiento de las leyes y regulaciones
e incluya la definición de ética y estándares profesionales, planeación, desempeño y reportes de
auditoria.
El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero
porque la organización no tiene conciencia de los requerimientos externos que afectan a TI, ni de los
procesos referentes al cumplimiento de requisitos regulatorios y legales.
ME4-PROPORCIONAR GOBIERNO DE TI
Por el diagnóstico y entrevistas varias ejecutadas se conoce que el procesos de gobierno de TI es
inexistente debido a que no existen acciones de coordinación para movilizar los recursos de TI de la
forma más eficiente en respuesta a requisitos regulatorios y operativos. Anexando que no existe
como estructura organizativa para asegurar que las TI soportan y facilitan el desarrollo de los
objetivos estratégicos definidos.
El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe un
grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.
RESUMEN DEL DOMINIO “MONITOREAR Y EVALUAR”
El dominio está relacionado con procesos de monitoreo y evaluación empresarial con respecto a
la madurez de las tecnologías de información que se deben evaluar y corregir, a continuación se
muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los
procesos evaluados.
DOMINIO: MONITOREAR Y EVALUAR
PROCESOSNIVEL DE MADUREZ
ACTUAL
NIVEL DE MADUREZ
DESEADO
ME1_Monitorear y evaluar el
desempeño de TI0 2
ME2_Monitorear y evaluar el control
interno0 2
ME3_Garantizar el cumplimiento
regulatorio0 2
ME4_Proporcionar gobierno de TI 0 2
Como se muestra en la tabla anterior, en este dominio todos los procesos tienen un grado de
madurez de nivel CERO, Por tanto se requiere dar atención a todos los procesos sin importar el nivel.
Según COBIT este nivel establece que la organización no reconoce la importancia de implantar
estos procesos para solucionar sus problemas, existiendo altas probabilidades de incidentes,
descontroles y deficiencias en el manejo de los mismos.
ANÁLISIS DE RESULTADOS
En este segmento se muestra el análisis de resultados obtenidos en el proceso de aplicación de
COBIT 4.1 en la UNI-IES a través de un informe técnico y ejecutivo para conocer el nivel de
madurez de los procesos de TI
INFORME EJECUTIVO
La siguiente tabla presenta los 5 niveles genéricos de madurez, el objetivo de ubicar la tabla en el
informe ejecutivo es para que los directivos tengan claros los niveles de madurez en los que se
ubicara a los procesos de gestión de TI de la empresa,
A continuación se muestra el primer criterio de evaluación, partiendo del modelo genérico de
madurez:
MODELO GENERICO DE MADUREZ
CERO No se aplican procedimientos administrativos (No existe)
UNO Los procesos son iniciales y desorganizados (Inicial)
DOS Los procesos siguen un patrón regular (Repetible)
TRES Los procesos se documentan y se comunican (Definido)
CUATRO Los procesos se monitorean y se miden (Administrativos)
CINCO Las buenas prácticas se siguen y se automatizan (Optimizado)
RESUMEN DE LA CLASIFICACIÓN DE LOS PROCESOS.
DOMINIO: PLANEAR Y ORGANIZAR
PROCESOS N. MADUREZ ACTUAL N. DE MADUREZ DESEADO
PO1_Definir un plan estratégico de TI 0 2
PO2_Definir la arquitectura de la información 0 2
PO3_Determinar la dirección tecnológica 0 2
PO4_Definir los procesos, organización y relaciones TI 0 2
PO5_Administrar la inversión en TI 0 2
PO6_Comunicar las aspiraciones y la dirección de la alta gerencia 1 2
PO7_Administrar los recursos humanos de TI 0 2
PO8_Administrar la calidad 0 2
PO9_Evaluar y administrar los riesgos de TI 0 2
PO10_Administrar Proyectos 0 2
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1_Identificar soluciones automatizadas 0 2
AI2_Adquirir y mantener software aplicativo 0 2
AI3_Adquirir y mantener una infraestructura tecnológica 0 2
AI4_Facilitar la operación y el uso 0 2
AI5_Adquirir recursos de TI 1 2
AI6_Administrar Cambios 0 2
AI7_Instalar y acreditar soluciones y cambios 0 2
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1_Definir y administrar los niveles de servicio 0 2
DS2_Administrar los servicios de terceros 0 2
DS3_Administrar el desempeño y la capacidad 0 2
DS4_Garantizar la continuidad del servicio 0 2
DS5_Garantizar la seguridad de los sistemas 1 2
DS6_Identificar y asignar costos 0 2
DS7_Educar y entrenar a los usuarios 1 2
DS8_Administrar la mesa de servicios y los incidentes 0 2
DS9_Administrar la configuración 0 2
DS10_Administración de problemas 1 2
DS11_Administración de datos 0 2
DS12_Administración del ambiente físico 1 2
DS13_Administración de operaciones 0 2
DOMINIO: MONITOREAR Y EVALUAR
ME1_Monitorear y evaluar el desempeño de TI 0 2
ME2_Monitorear y evaluar el control interno 0 2
ME3_Garantizar el cumplimiento regulatorio 0 2
ME4_Proporcionar gobierno de TI 0 2
INFORME TÉCNICO
OBJETIVOS PROPUESTOS DE LA EVALUACIÓN
General
1. Identificar los niveles de madurez de los diferentes procesos de gestión TIC´s y proponer
medidas para mejorar los mismos.
Específicos
1. Determinar el nivel de madurez de los procesos de gestión utilizando COBIT.
2. Definir mecanismos de mejora para los procesos y objetivos de control críticos.
METODOLOGÍA COBIT
La metodología COBIT 4.1 aplicada para la evaluación del nivel de madurez de la gestión de las TI la
UNI-IES es una metodología que evalúa 34 procesos de TI en la empresa divididos en 4 dominios:
1. PLANEAR Y ORGANIZAR.
2. ADQUIRIR E IMPLEMENTA.
3. ENTREGAR Y DAR SOPORTE.
4. MONITOREAR Y EVALUAR.
Para analizar cada proceso es necesario tener como referencia los niveles de madurez explicados a
continuación:
MODELO GENERICO DE MADUREZ
CERO No se aplican procedimientos administrativos No existe
UNO Los procesos son iniciales y desorganizados Inicial
DOS Los procesos siguen un patrón regular Repetible
TRES Los procesos se documentan y se comunican Definido
CUATRO Los procesos se monitorean y se miden Administrativos
CINCO Las buenas prácticas se siguen y se automatizan Optimizado
DESARROLLO DE LA EVALUACIÓN DEL NIVEL DE MADUREZ
En la tabla la siguiente se muestra el nivel de madurez de la gestión de las TI en la empresa;
Presentando el nivel actual y recomendado que permitirán que la empresa mejore sus procesos y su
productividad
El nivel recomendado para todos los procesos es el de nivel 2
DOMINIO: PLANEAR Y ORGANIZAR.
PO1_Definir un plan estratégico de TINivel de madurez Actual
El proceso de definición del plan estratégico empresarial se localiza en el nivel de madurez
cero porque la institución no tiene conciencia de la importancia de la planeación estratégica
de TI que sirve para dar soporte a los objetivos del IES en términos de TI.
Nivel de Madurez Recomendado
Desarrollar un plan estratégico de TI para el IES Ltda.
Todas las áreas de la Institución deberá de actuar en conjunto con la gerencia de la misma
para así desarrollar un plan estratégico de TI concreto y bien detallado para así lograr los
objetivos de la empresa en un periodo determinado, el cual este periodo va estar en
dependencia de los objetivos y arquitectura de la misma. Al final los resultados obtenidos
del plan estratégico se reflejaran de acuerdo al presupuesto brindado por la institución.
La importancia de definir este plan es saber los pasos o secuencia a desarrollar para que la
institución logre sus metas planteadas. Además de definir la relación de la empresa con su
ambiente en función de los objetivos de la empresa.
PO2_Definir la arquitectura de la información
Nivel de madurez Actual
El proceso de definición de la arquitectura de la información se localiza en el nivel de madurez
cero porque la institución no tiene conciencia de lo importante que es definir la arquitectura
de información y mantenerle actualizada, la institución no brinda el apoyo necesario para
desarrollar una arquitectura de información de acuerdo a las necesidades de la organización.
Nivel de Madurez Recomendado
Crear la arquitectura de información para la institución.
A cada área de la institución se le deberá asignar su propio documento de arquitectura de
información para la fácil distribución de los datos, además de un amplio y detallado
diccionario de datos, el cual facilitara la organización, disponibilidad y estructuración de los
datos entre el personal que comprenden el área determinada.
La importancia de definir la arquitectura de información es de tener una fácil comprensión,
ubicación, interpretación y en especial el orden de los datos y de ahorrar un factor muy
importante en la institución como lo es el tiempo y así lograr los objetivos establecidos de la
empresa.
El riesgo de no contar con una arquitectura de información aplicada a toda la empresa es
tener errores compatibilidad, que no haya concordancia entre los datos, archivos huérfanos,
mala interpretación de los datos y un gran desperdicio de tiempo
PO3_Determinar la dirección tecnológica
Nivel de madurez Actual
El proceso para determinar la dirección tecnológica se localiza en el nivel de madurez cero
porque no tiene conciencia sobre el importante aporte de este proceso a la organización, no
entiende que una correcta planeación del cambio tecnológico es crítica para asignar recursos
de manera efectiva a corto y largo plazo.
Nivel de Madurez Recomendado
Se requiere planificar e implementar las diferentes innovaciones que surgen a nivel mundial y
que pueden ser aprovechadas por esta casa de estudios superiores. Permitiendo mejorar los
procesos, mejorando automatización de los mismos.
La Dirección de Tecnologías de Información debe contar al menos con: Centro de Implementación, Mantenimiento y Soporte Técnico, Departamento de Sistemas, Centro de Seguridad y Monitoreo de Datos
PO4_Definir los procesos, organización y relaciones TI
Nivel de madurez Actual
El proceso para definir los procesamientos, organización y relaciones de TI se localiza en el
nivel de madurez cero debido a que no se entiende la importancia de llevar una relación
íntima entre la organización, sus procedimientos con las relaciones de TI que permitan un
cumplimiento satisfactorio de los objetivos de la institución.
Nivel de Madurez Recomendado
Se requiere de un grupo de personas para que definir los procesos, organización y
relaciones de TI que se acoplen a las relaciones del personal de la empresa, sus
funciones, sus roles, sus responsabilidades, la autoridad y la supervisión.
Desarrollar un marco de trabajo que contenga un procedimiento adecuado para la
administración de la organización de TI que verifique el rendimiento de los procesos,
organización y relaciones de TI incorporados en la empresa, además de su correcta ejecución
por parte de los miembros de cada departamento.
Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre
la función de TI y otros interesados dentro y fuera de la función de TI, tales como el consejo
directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de
seguridad, gerentes de riesgo, el grupo de cumplimiento corporativo, los contratistas
externos y la gerencia externa.
PO5_Administrar la inversión en TI
Nivel de madurez Actual
El proceso para administrar la inversión en TI se localiza en el nivel de madurez cero debido a
que la institución no tiene personería administrativa en el elemento de administración de las
inversiones. Sus adquisiciones se ejecutan según el presupuesto definido desde la central. Y
no existe interés en cuanto al cambio del ambiente por políticas de la central.
Nivel de Madurez Recomendado
La institución debería de administrar todo tipo de inversiones en TI debido a que gracias a esta se obtendría
un buen manejo y monitoreo de los gastos que se incurren dentro de la institución llevando así tanto un
control histórico como otro actualizado.
La importancia administrar las inversiones en TI es que tendrá el fácil acceso a los registros de los
desembolsos de un periodo determinado y tener control de todo el dinero invertido por la institución.
Designar un experto dentro de la institución o optar por una capacitación en el tema al administrador de los
sistemas, ya que es el más relacionado con los puntos de la institución. De tal manera que su conocimiento
permita cumplir los objetivos de la empresa
PO6_Comunicar las aspiraciones y la dirección de la alta gerencia
Nivel de madurez Actual
El proceso para comunicar las aspiraciones y la dirección de la alta gerencia se localiza en el
nivel 1 porque existe un método de comunicación más se ha quedado estático ya que no existe
un interés por parte de la institución en la relación con el administrador de la página web para
difundir la información y lograr el cumplimiento de los objetivos.
Nivel de Madurez Recomendado
Designar un encargado de identificar las aspiraciones y la dirección para presentar
propuestas de misión, visión, políticas y procedimientos.
Designar un grupo selecto que funcione de apoyo al encargado en pro del cumplimiento de
los objetivos de la empresa
Es importante tener una documentación clara y no técnica, porque servirá como guía al
momento de plantear un cambio a la misión, visión, políticas, procedimientos y
estándares empresariales, y además para que la gerencia así se asegure de poder
monitorear el desempeño del personal.
PO7_Administrar los recursos humanos de TI
Nivel de madurez Actual
El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque
cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios
para la obtención de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones
se hacen de manera preferencial y no por habilidades y destrezas.
Nivel de Madurez Recomendado
Concientizar de que al personal debe capacitarse solicitando cursos y emitir una basándose en las
necesidades de la organización.
Es importante que el plan de administración de recursos humanos contemple procesos de
reclutamiento, contratación, capacitación y seguimiento del personal de la empresa.
Para ello necesita abocarse de una metodología y usar el método de supervisión transparente
para una selección optima que permita cumplir con los objetivos de la empresa.
PO8_Administrar la calidad
Nivel de madurez Actual
El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la
calidad como percepción del usuario se realiza de manera preferencial. No hay organización,
documentación ni profesionalismo en este proceso.
Nivel de Madurez Recomendado
Abocarse de la ISO 9001 para lograr establecer métodos certificados de calidad que permitan
cumplir con los requerimientos de la empresa
PO9_Evaluar y administrar los riesgos de TI
Nivel de madurez Actual
El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero
porque la organización no tiene conciencia de la importancia de contar con una metodología,
ni con la documentación ni mejora continua que solucione vulnerabilidades de seguridad e
incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en
los procesos y la arquitectura de la información.
Nivel de Madurez Recomendado
Desarrollar un plan de evaluación de riesgos.
El plan de evaluación de riesgos debe ser desarrollado por la gerencia y el personal, que
contemple riesgos de seguridad, disponibilidad e integridad en cada proyecto,
estableciendo un contexto de trabajo general que identifique el origen y evalué todos
aquellos eventos que amenazan al logro de los objetivos empresariales, para así
garantizar los mejores resultados. El plan de evaluación para un riesgo es un proceso
continuo que debe contener niveles de seguridad para poder evitar que el riesgo ocurra.
Es importante conocer que una efectiva gestión de riesgos de TI requiere de una continua
evaluación para conocer qué recursos de TI necesitan ser protegidos, cuáles son exactamente
las amenazas que acechan al sistema y qué puede hacer la empresa para disminuir el
peligro una vez identificados los puntos débiles, es necesario construir un plan eficaz de
contingencia, con la ayuda de un equipo de profesionales capaz de responder a cada
posible emergencia de TI, el documento debe contemplar cualquier incidente.
PO10_Administrar Proyectos
Nivel de madurez Actual
El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido
una metodología ni se ha seleccionado a un encargado que minimice el impacto en la
institución por la falta del proceso antes mencionado.
Nivel de Madurez Recomendado
La institución debe de tomar en cuenta lo que es la gestión de proyectos para la fácil
determinación de roles, asignación de actividades y realización de presupuestos, tiempo
recursos y los gastos.
La importancia de la gestión de proyectos de TI es que no evita incurrir a gastos innecesarios
por parte de la empresa y la cancelación de proyectos por mala gestión de la información y
mala asignación de presupuesto.
Además sin esta gestión no se podrían medir los tiempos y costos del proceso de desarrollo
del proyecto.
DOMINIO: AQUIRIR E IMPLEMENTAR
AI1_Identificar soluciones automatizadas
Nivel de madurez Actual
El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero
porque la institución no lo considera importante y no cuenta con un procedimiento
definido que identifique requerimientos funcionales y operativos para el desarrollo,
implantación o modificación de soluciones tecnológicas disponibles que sirvan de apoyo para
que se cumpla con sus objetivos. Ligado a la dirección tecnológica de la institución.
Nivel de Madurez Recomendado
Se recomienda documentar los procesos a seguir en las áreas así como establecer similitudes
entre los mismos para posteriormente desarrollar un estándar de procesos.
Designar un responsable y expandir la cultura de este proceso en los individuos de la
institución con el objetivo de que conozcan la necesidad de la misma y que funcionen como
pilares de productividad y mejora.
Establecer una estrategia de pro actividad para que funcione como método de cumplimiento
de los objetivos, estableciendo un camino a la dirección tecnológica, conociendo fortalezas y
debilidades.
Estableciendo una cultura permitirá en mejores niveles identificar y dar prioridades a los
requerimientos del negocio, lo cual debe documentarse y mejorarse según los cambios y
avances positivos de la institución; Esto con el objetivo de analizar riesgos y soluciones para
los mismos.
AI2_Adquirir y mantener software aplicativo
Nivel de madurez Actual
El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero
ya que no existe conciencia de la importancia de adquirir software que permitan mejorar los
procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institución.
Nivel de Madurez Recomendado
Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero
similares, en base a la experiencia dentro de la operación de TI. El mantenimiento es a
menudo problemático y se resiente cuando se pierde el conocimiento interno de la
organización. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación
en el diseño o adquisición de software aplicativo
La institución cuenta con software aplicativo académico y contable, sin embargo no ha
recibido mantenimiento debido a que es un problema cerrado. Se necesitan una gran cantidad
de reportes que el administrador de sistemas realiza los mismo haciendo consultas directas a
la base de datos y transportando los datos a un documento de office.
Por tanto se requiere el desarrollo de nuevos módulos, para lo que se recomienda el uso de la
métrica v3 a cargo de un experto que realice todo el estudio de análisis, diseño,
implementación y pruebas.
AI3_Adquirir y mantener una infraestructura tecnológica
Nivel de madurez Actual
El proceso de soporte tecnológico continuo se localiza en el nivel de madurez cero porque no
se cuenta con un procedimiento establecido de revisión, mantenimiento y necesidades de
nuevos requerimientos del proceso en cuestión.
Nivel de Madurez Recomendado
La infraestructura tecnológica es la base primordial de cualquier entidad y permite la
optimización de sus recursos, el aumento del y una respuesta más rápida a los requerimientos
externos de su giro de negocio.
En la institución no ha tenido el cambio necesario según el crecimiento de la misma. Desde sus
inicios no ha habido cambios en la topología de red, anexando que aún existen equipos de
hace más de 7 años.
Una buena infraestructura tecnológica permitirá: Un soporte a los diferentes procesos de
negocio comunicaciones, seguridad, operación de las soluciones de negocios, respaldo y
aseguramiento de la información, soporte a los centros computo, entre otros.
AI4_Facilitar la operación y el uso
Nivel de madurez Actual
El proceso para facilitar la operación y el uso se localiza en el nivel de madurez cero porque
no considera necesaria la documentación si se cuenta con un administrador de sistemas y no
se cuenta con una metodología para el desarrollo de manuales de usuario, de TI, de operación
y de procedimiento.
Nivel de Madurez Recomendado
Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares
en diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la responsabilidad al
individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por
lo tanto, los errores son muy probables.
La documentación adecuada y completa, de una aplicación que se desea implantar, mantener y
actualizar en forma satisfactoria, es esencial en cualquier Sistema de Información, sin embargo,
frecuentemente es la parte a la cual se dedica el menor tiempo y se le presta menos atención.
Se recomienda designar al administrador de los sistemas con un asistente para documentar los
procedimientos correspondientes de los sistemas de TI. (Manuales de Usuario)
Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos, de manera que todos los interesados puedan
tomar la responsabilidad oportunamente por la producción de procedimientos de
administración, de usuario y operativos, como resultado de la introducción o actualización de
sistemas automatizados o de infraestructura.
AI5_Adquirir recursos de TI
Nivel de madurez Actual
El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque
existe un proceso, la institución hace muy poca presión a la central para que estos agilicen el
proceso de adquisición satisfactoria.
El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1
Nivel de Madurez Recomendado
Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el
proceso general de adquisiciones de la organización y con la estrategia de adquisición
para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y
servicios necesarios por el negocio.
Para ello se recomienda llegar a un acuerdo con la central para lograr realizar un proceso de
adquisición de los requerimientos de manera transparente y justa de acuerdo a las
necesidades de la institución
AI6_Administrar Cambios
Nivel de madurez Actual
El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con
un plan de administración de los cambios, no existe documentación y no existe un elenco
responsable que permita cumplir los objetivos de la institución.
Nivel de Madurez Recomendado
Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la
infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se
deben a especificaciones incompletas de la solicitud y detener la implantación de
cambios no autorizados
Establecer procedimientos de administración de cambio formales para manejar de manera
estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a
aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas
fundamentales.
Designar un responsable del proceso que documente los cambios requeridos y dar seguimiento al
cumplimiento de dichos cambios.
AI7_Instalar y acreditar soluciones y cambios
Nivel de madurez Actual
El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a
que los sistemas no permiten cambios y no existe interés en la adquisición de nuevas
aplicaciones. Consecuentemente no existe interés en la creación de la idea de este proceso
como parte del crecimiento institucional.
Nivel de Madurez Recomendado
Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones
de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a
los materiales asociados, como parte de cada proyecto de sistemas de la información de
desarrollo, implementación o modificación.
Designar un responsable que lleve a cabo las pruebas correspondientes; Este proceso
seguirá luego de AI6 con el objetivo de aplicar los cambios en software que lo permitan.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1_Definir y administrar los niveles de servicio
Nivel de madurez Actual
El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez
cero, porque la institución no posee documentación y aunque semi-administra de manera
empírica, no lo realiza de manera periódica y desconoce los beneficios de tener un
responsable que controle y documente la administración de acuerdos de niveles de servicio
en la empresa.
Nivel de Madurez Recomendado
Un acuerdo de nivel de servicio es un convenio interno en la empresa para llegar a un arreglo
entre el gobierno de TI y el personal que usa los recursos de TI, y se establece para sustentar
las necesidades del negocio. Tras su firma el gobierno de TI debe considerar al acuerdo
como un documento de referencia para ofrecer al personal de la empresa los servicios
acordados, por eso es imprescindible que defina claramente los aspectos esenciales del
servicio tales como su descripción, disponibilidad, etc. La empresa debe buscar un experto
del gobierno de TI para que defina y administre los niveles de servicio con acuerdos de
niveles de servicio que sean firmados entre el encargado del gobierno de TI y el personal que
usa los recursos de TI en la empresa, el experto también debe medir el cumplimiento de
dichos acuerdos para verificar que se alcancen los objetivos empresariales y comunicar
de manera formal, frecuente y concisa el desempeño del proceso a la gerencia de la empresa.
DS2_Administrar los servicios de terceros
Nivel de madurez Actual
El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si
no existe un estándar de calidad, si no que los servicios de terceros se basan propiamente en
el ahorro monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un
proceso fuera de contexto y desorganizado.
Nivel de Madurez Recomendado
La institución deberá de realiza una planificación o gestión de los distintos proveedores que
posee la misma para así evitar o reducir los riesgos que pueden presentar los servicios
prestados por las empresas hacia la institución y así poder evitar pérdidas de tiempo por
causa de problemas de los servicios dados por los proveedores que no se desempeñan de
manera adecuada.
El riesgo de no llevar esta gestión la empresa no podrá medir el nivel de eficacia y
funcionamiento de los servicio que los proveedores les brindan, y tendrán varios atrasos a
causa de la mala o poca información que se tiene acerca de los proveedores dando como
resultado que la institución no podrá alcanzar las metas establecidas.
DS3_Administrar el desempeño y la capacidad
Nivel de madurez Actual
El proceso para administrar el desempeño y la capacidad se localiza en el nivel de madurez
cero porque la institución no tiene conciencia de la necesidad de llevar a cabo un proceso de
planeación de la capacidad y desempeño puesto que no se han establecido procesos claves de
administración.
Nivel de Madurez Recomendado
La institución debe de llevar una administración de lo que la capacidad de la TI dentro de la
misma para así tener un control acerca de la disponibilidad, capacidad y la funcionalidad de
los recursos dentro de la empresa, además dentro del proceso de desarrollo de esta
administración se deben de tomar en cuenta los errores que pueden suceder para así poder
tener un mayor desempeño y brindar una mayor funcionalidad en los servicios utilizados
dentro de la institución.
La importancia de que la empresa cuente con este plan de administración es para conocer el
desempeño de la empresa y saber si en verdad los requerimientos de la institución estarán
disponibles de manera continua.
DS4_Garantizar la continuidad del servicio
Nivel de madurez Actual
El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero
porque no existe conciencia en la institución de los riesgos, vulnerabilidades y amenazas de
las operaciones de TI o del impacto por la pérdida de los elementos de los servicios de TI.
Nivel de Madurez Recomendado
La empresa debe buscar un experto que se encargue de desarrollar planes de contingencia y
de continuidad de los servicios de TI que sean aprobados por la gerencia, los planes
deben ayudar a alcanzar los objetivos del negocio y deben establecer prioridades en
situaciones de recuperación considerando los recursos críticos de la empresa, esto
ayudará a reducir el impacto en las funciones y procesos claves del negocio. Un aspecto
importante que el experto debe tener presente es el de almacenar medios de respaldo,
documentación y recursos de TI críticos de la empresa fuera de las instalaciones para evitar el
mal uso o la perdida de la información, los respaldos deben probarse y renovarse
periódicamente porque así la gerencia tiene la confianza en que la reanudación de
funciones de TI será exitosa.
DS5_Garantizar la seguridad de los sistemas
Nivel de madurez Actual
El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno
porque la institución no tiene conciencia de la necesidad utilizar software de seguridad
distintos a los del sistema operativo y login de los sistemas, no están asignadas las
responsabilidades y rendición de cuentas para garantizar la seguridad y las medidas para
soportar y administrar la seguridad.
Nivel de Madurez Recomendado
La empresa debe garantizar la seguridad estudiando los puntos débiles de los distintos
sistemas, analizando cada vulnerabilidad de los mismos, también tomando en cuenta la
circunstancias que pueden ocasionar un accidente de seguridad, además estableciendo
normas de prevención de accidentes así como realizar planes.
La importancia de realizar este plan de seguridad es de saber de qué manera actuar ante
ataque o amenazas inesperadas y así mantener en máxima seguridad los datos almacenados
en dichos sistemas.
Al no contar con estos planes la institución no sabría defenderse ante los diferentes ataques
que todo sistema abarca. contra ataque intencionales hacia el sistema.
DS6_Identificar y asignar costos
Nivel de madurez Actual
El proceso de identificación y asignación de costos se localiza en el nivel cero debido a que
existe conciencia de la necesidad e importancia de reconocer los servicios de TI como una
base actualizable para el cumplimiento de los objetivos y desarrollo de la institución.
Nivel de Madurez Recomendado
La institución debe de asignar planes para la asignación de costos dentro de las distintas áreas
en la institución, además para obtener información acerca de la utilización de los servicios que
ofrece la institución.
Una de las razones que la institución debería de tener para realizar este plan es que tendría
que asignar los costos de manera equitativa entra cada área de la empresa, además para
identificar que situaciones deberían de solucionarse primero en cuestiones de asignación.
DS7_Educar y entrenar a los usuarios
Nivel de madurez Actual
El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque
la institución no tiene un programa de entrenamiento y educación con procedimientos
estandarizados, sus empleados reciben capacitación individual e informal.
Nivel de Madurez Recomendado
La institución debe de dar capacitaciones de TI en conjunto al personal de distintos temas acerca
de la funcionalidad de los distintos sistemas de información. Establecer un grupo determinados
con conocimientos avanzados para poder capacitar a los empleados de nuevo ingreso de la
institución.
Además estas capacitaciones son de suma importancia ya que gracias a estas la institución asegura
que el personal va a utilizar los distintos recursos de manera eficiente, disminuyendo así los
diferentes errores que pueden suceder al utilizar los diferentes servicios de la institución.
Sin estas capacitaciones la institución deberá de estar consciente de que el personal no podrá
utilizar los recursos de la institución de la manera que ellos esperan
DS8_Administrar la mesa de servicios y los incidentes
Nivel de madurez Actual
El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de
madurez cero porque la no se tiene conciencia que hay un problema que atender, no hay
soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de
procesos para la administración de incidentes.
Nivel de Madurez Recomendado
La empresa debe buscar un experto para crear una mesa de servicio y de incidentes que
ayude en la resolución de problemas de los usuarios de TI. La mesa de servicio debe registrar,
comunicar, atender y analizar todas las llamadas de incidentes reportados, requerimientos
de servicio y solicitudes de información que los usuarios realicen, midiendo siempre la
satisfacción del usuario final de la mesa de servicio.
El experto debe establecer procedimientos de mesa de servicios de manera que los
incidentes que no puedan resolverse de forma inmediata sean resueltos apropiadamente
para que estos incidentes no den lugar a otros
DS9_Administrar la configuración
Nivel de madurez Actual
El proceso para administrar de la configuración se localiza en el nivel de madurez cero porque
no se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y
administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de
hardware como de software.
Nivel de Madurez Recomendado
Buscar un experto que se encargue de detallar un plan para controlar la configuración de TI
que contenga los elementos de configuración para hardware, software aplicativo,
documentación, procedimientos y herramientas para operar, acceder y
utilizar los sistemas y los servicios de la empresa.
Para ello se recomienda capacitar a más de dos personas en la configuración con el objetivo de
disminuir las probabilidades de no continuidad de los sistemas
DS10_Administración de problemas
Nivel de madurez Actual
El proceso de administración de los problemas se localiza en el nivel uno puesto que se han
estandarizado algunos procesos pero de manera mecánica por parte de los encargados de TI, de
manera que la raíz del incidente se busca si y solo si es considerado de gran impacto, en caso
contrario se ejecuta una solución rápida y no se documenta el incidente
Nivel de Madurez Recomendado
La institución debe de contar con personal capacitado para cada área en la institución, en el cual cada
trabajador debe de analizar y comprender los diferentes tipos de problemas con los que se puede encontrar
en el transcurso de su trabajo y así saber identificarse y priorizarse ante todos los problemas y poder darle
solución lo más rápido posible.
En caso de que la institución no tenga un control con los diferentes problemas que se encuentre
esta deberá de aplicar diferentes técnicas para la solución en distintos tiempos el cual sería
ineficiente debido a que no hay establecido o guardado métodos de solución de problemas.
DS11_Administración de datos
Nivel de madurez Actual
El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos
no se establecen bajo ninguna prioridad, haciéndolos deficientes en calidad y la seguridad.
Nivel de Madurez Recomendado
La institución deberá de localizar para cada área una o más personas capacitada para poder
manejar la información de manera correcta o mejor aún establecer sistemas de control para cada
área para llevar un mejor control de los registros y evitar inconsistencia de los datos y establecer
un mejor control en cada una de las funciones manuales de la institución.
Además gracias a este tipo de proceso estará siempre en cualquier momento la información
deseada estará disponible para cualquier área de la institución de manera completa, consistente y
precisa según los parámetros establecidos.
DS12_Administración del ambiente físico
Nivel de madurez Actual
El proceso para administrar el ambiente físico se localiza en el nivel de madurez uno porque
no cuenta con un ambiente físico que proteja los recursos y el personal contra peligros
naturales y causados por el hombre, además el personal se puede mover dentro de las
instalaciones sin restricción.
Nivel de Madurez Recomendado
La institución cuenta con un mínimo nivel administración ya que no hay nadie que controle los
tiempos de visita, de préstamo y de otro cualquier tipo de actividad dentro de la institución.
En la institución cada área es responsable del ambiente físico en dicha área.
La institución deberá de establecer normas o políticas para los distintos tipos de acceso
dentro de la institución para así poder llevar un control de las personas que vienen a la
institución a cualquier actividad, además estos registros a la ves serian de gran ayuda en
algún momento para la institución, para realizar una serie de actividades que sean de gran
beneficio para la empresa.
De no tener una administración dentro del ambiente físico habrá un sin número de accidentes
de cualquier tipo el cual la empresa no podrá reaccionar de manera.
DS13_Administración de operaciones
Nivel de madurez Actual
El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se
destina atención ni recursos para la creación de planes administrativos que permitan a las
operaciones de TI reducir retrasos operacionales y extender la vida útil de los equipos
Nivel de Madurez Recomendado
La institución debe de implementar un plan de operaciones para que todas las áreas dentro de la
institución tengan un buen funcionamiento trabajando en conjunto para así realizar efectivamente
cada una de las tareas, y utilizar cada uno de los recursos, aumentar la capacidad y disponibilidad
dentro de la institución.
Además una de las importancias de estos manuales es que ayuda a la institución en lo que es
disponibilidad de datos y reduce los tiempos de consulta desde cualquier área de manera
ordenada.
DOMINIO: Monitorear y Evaluar
ME1_Monitorear y evaluar el desempeño de TI
Nivel de madurez Actual
El proceso para monitorear y la evaluar el desempeño de TI se localiza en el nivel de madurez
cero porque no se cuenta con herramientas que permitan desarrollar reportes útiles,
oportunos y precisos de monitoreo.
Nivel de Madurez Recomendado
Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la
metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI, y
Monitorear la contribución de TI al negocio. Integrar el marco de trabajo con el sistema de
administración del desempeño corporativo
Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la
organización hacia metas identificadas, específicamente en términos del desempeño del portafolio
empresarial de programas de inversión habilitados por TI, niveles de servicio de programas
individuales y la contribución de TI a ese desempeño. Los reportes de estatus deben incluir el
grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de
desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier
desviación respecto al desempeño esperado y se deben iniciar y reportar las medidas de
administración adecuadas.
ME2_Monitorear y evaluar el control interno
Nivel de madurez Actual
El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero
porque la organización carece de atención y procedimientos para establecer el control
interno, administrarlo, monitorearlo y mejorarlo.
Nivel de Madurez Recomendado
Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de
trabajo de control de TI para satisfacer los objetivos organizacionales.
Evaluar el estado de los controles internos de los proveedores de servicios externos.
Confirmar que los proveedores de servicios externos cumplen con los requerimientos
legales y regulatorios y obligaciones contractuales.
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de
evaluación y los informes.
ME3_Garantizar el cumplimiento regulatorio
Nivel de madurez Actual
El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero
porque la organización no tiene conciencia de los requerimientos externos que afectan a TI,
ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.
Nivel de Madurez Recomendado
Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales,
leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de
cumplir para incorporar en las políticas, estándares, procedimientos y metodologías de TI de
la organización.
Obtener y reportar garantía de cumplimiento y adhesión a todas las políticas internas
derivadas de directivas internas o requerimientos legales externos, regulatorios o
contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver
cualquier brecha de cumplimiento por el dueño responsable del proceso de forma oportuna.
Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las
salidas similares provenientes de otras funciones del negocio.
ME4_Proporcionar gobierno de TI
Nivel de madurez Actual
El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe
un grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.
Nivel de Madurez Recomendado
Definir, establecer y alinear el marco de gobierno de TI con la visión completa del entorno de
control y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo
de control y proporcionar la rendición de cuentas y prácticas inequívocas para evitar una rotura en
el control interno y la revisión. Confirmar que el marco de gobierno de TI asegura el cumplimiento
con las leyes y regulaciones y que está alineado, y confirma la entrega de, la estrategia y objetivos
empresariales. Informa del estado y cuestiones de gobierno de TI.
Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso
hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han
alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a
dirección los portafolios relevantes, programas y desempeños de TI, soportados por informes para
permitir a la alta dirección revisar el progreso de la empresa hacia las metas identificadas.
Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislación y
regulación relevante; las políticas de la organización, estándares y procedimientos; practicas
generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI.
CONCLUSIONES
1. El estándar COBIT ofrece una completa guía de alto nivel para la definición y evaluación de los procesos de negocios relacionados con los Sistemas de Información. Por otra parte, permite el uso de otros marcos de trabajo más específicos como CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carácter generalista de COBIT.
2. COBIT es un marco de referencia para profesionalizar el área informática de una compañía, que cuenta con capacidades propias o tercerizadas para la implementación de proyectos típicamente soportados con ERP de clase mundial, que contiene área de servidores, y que cuentan con áreas de mantenimiento y soporte.
3. La herramienta COBIT 4.1 permitió definir el nivel de madurez de los procesos de gestión de TI. Evaluamos
4. La aplicación de la metodología COBIT 4.1 ha permitido definir un marco de recomendaciones y pasos a seguir para la mejora de la institución.
RECOMENDACIONES
- Se recomienda a la institución aplicar los planes requeridos para mejorar el nivel de madures de los procesos aplicados por COBIT 4.1.
- Designar responsables con funciones segregadas para no sobrecargar la evolución de los procesos.
- Se recomienda asignar recursos para crear mejores condiciones a la unidad informática y considerarla como departamento de TI
Contar con personal calificado ayudará a tener una correcta administración de los procesos de gestión de TI.
- Se recomienda realizar auditorías informáticas periódicamente. Al igual que auditorias internas en las otras áreas para culturizar a los usuarios en el buen uso de las TI
Para lograr el objetivo de mejora a través de la metodología COBIT se requiere de todo el apoyo por parte de la central y de las autoridades de la institución.
No existente Inicial Repetible Definido
0 1 2 3
ANEXOS
Anexo 1
MODELO GENÉRICO DE MADUREZ
GRÁFICO DE MADUREZ
Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de
medición creciente a partir de 0, no existente, hasta 5, optimizado. El desarrollo se basó en las
descripciones del modelo de madurez genérico descritas a continuación:
LEYENDA PARA SÍMBOLOS USADOS
Nivel de madurez actual de la empresa.
Nivel de madurez recomendado para la empresa.
MODELO GENÉRICO DE MADUREZ
0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha
reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen
enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque
general hacia la administración es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los
errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a
través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es
poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero
formalizan las prácticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están
bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y
herramientas de una manera limitada o fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
ANEXO 2CONCEPTO DE LOS CUATRO DOMINIOS DE COBIT
1. PLANEAR Y
ORGANIZAR
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Por tanto es de vital importancia que se encuentre bien definido, debido a que representa la base de trabajo de los siguientes dominios.
2. ADQUIRIR E
IMPLANTAR
Este dominio cubre la estrategia de TI, puesto que las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
3. ENTREGAR Y DAR
SOPORTE
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
4. MONITOREA
R Y EVALU
AR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
ANEXO 3
CAPÍTULO I PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA
Sustento Teórico
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una
serie de pasos previos que permitirán dimensionar el tamaño y características del área
dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos
determinar el número y características del personal de auditoría, las herramientas
necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en
caso necesario, poder elaborar el contrato de servicios.
Dentro de la auditoria en general, la planeación es uno de los pasos más importantes,
ya que una inadecuada planeación repercutirá en una serie de problemas, que pueden
provocar que no se cumpla con la auditoria o bien que no se efectúe con el
profesionalismo que debe tener el desarrollo de cualquier auditoria.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los tres objetivos:
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para lograr una adecuada planeación, lo primero que se requiere es obtener
información general sobre la organización y sobre la función de informática a evaluar.
Para ello es preciso hacer un, investigación preliminar y algunas entrevistas previas, y
con base a esto planear el programa de trabajo, el cual deberá incluir tiempo, costo,
personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo
de la misma
Descripción de la práctica
1. Conocimientos que se adquieren: se obtiene una visión general del departamento
por medio de observaciones, entrevistas preliminares y solicitud de documentos
para poder definir el objetivo y alcances del departamento.
2. Habilidades que se desarrollan; Elaboración de la parte metodológica de la
auditoria, investigación de la información de la entidad a auditar, estudio de un
caso.
3. Actitudes que se promueven: discreción, responsabilidad, honestidad, colaboración,
compromiso, apertura, respeto, disposición al cambio y flexibilidad.
4. Especificaciones del procedimiento
5. Los alumnos agrupados en equipos (mínimo cuatro integrantes) solicitarán a la
dirección de la facultad una carta de presentación.
6. El alumno contactará una empresa que le permita realizar dentro de la misma una
auditoria en informática.
7. Los alumnos acordarán con los directivos de la empresa sus horarios de visitas.
8. Se solicitará a los directivos del departamento de informática la información
requerida por los cuestionarios de este capítulo y, de acuerdo a esta planearán el
tiempo de elaboración de la auditoria.
Base de desarrollo:
Tiempo aproximado: 5 horas.
Materiales a emplear: antología y manual de prácticas de auditoria informática,
papelería y consumibles.
Resultados esperados: Que el alumno conozca la responsabilidad de iniciar una
práctica profesional ante instituciones ajenas a su ámbito académico.
Bibliografía: Salazar Díaz María Guadalupe (2004), “Auditoria informática”;
Antología para la carrera de informática, cap. II.
1.1. DATOS GENERALES DE LA EMPRESA. NOMBRE:
La Universidad Nacional de Ingeniería es una Institución de la Educación Superior,
estatal y autónoma, en búsqueda permanente de la excelencia académica, dedicada a
formar profesionales en el campo de la Ciencia, la Ingeniería y la Arquitectura para que
generen y difunden conocimientos con conciencia social, ética y humanística, con la
finalidad de contribuir a la transformación tecnológica y al desarrollo sustentable de
Nicaragua y la región Centroamericana.
UBICACIÓN:
Avenida Universitaria, Recinto Universitario Simón Bolívar
De los semáforos UNI, 500 metros al norte (Campus Albert Einstein)
FECHA DE INICIACIÓN DE OPERACIONES DE LA EMPRESA:
18 de Octubre de 1998
FECHA DE INICIACIÓN DE OPERACIONES DEL CENTRO DE CÓMPUTO:
1999
ESTRUCTURA LEGAL:
MARCO JURÍDICO:
El folIo se encuentra en las instalaciones de la Universidad Nacional de Ingenieria (UNI)
siendo inaccesible obtener la información de este modulo.
GIRO DEL NEGOCIO:
Industria de la Educación
OBJETIVO: (S) DE LA EMPRESA:
1. Brindar un servicio de educación de calidad para las personas de bajos recursos.
2. Velar por el buen funcionamiento de enseñanza según planes de cada carrera.
3. Velar por la disponibilidad de los diferentes recursos necesarios para el desarrollo de los
programas académicos de la institución.
4. Realizar el POA general según requerimientos, prioridades y presupuesto disponible.
5. Gestionar contratos de profesores de alta calidad en unión a los profesores enviados por la
parte pública de la UNI.
Rector Director IES Sub Director IES
Secretario Académico
OBJETIVOS DEL CENTRO DE CÓMPUTO:
1. Velar por la eficiencia de comunicaciones entre los sistemas y los usuarios de la
institución.
2. Mantener el funcionamiento total y parcial de los equipos fuera del sistema de
información pero que forman parte de los procesos institucionales.
3. Realizar el POA para el buen mantenimiento de los equipos informáticos.
4. Velar por el buen aprovechamiento y cuido de los recursos otorgados a las
diferentes áreas a cargo.
5. Monitorear el desempeño del sistema y de los usuarios a través de protocolos,
control de aplicaciones y software de seguridad previamente autorizados.
6. Presentar informes semestrales del uso de cada equipo, así como los elementos
de mantenimientos, sustituciones y solicitudes en sustento con las hojas de
servicio previamente autorizadas y firmadas por el jefe del área solicitante y
proveedora
DIRECTORIO:
Rector Director
1.2. OBJETIVOS Y PROPOSITO DEL DIAGNOSTICO.
Examinar en forma global y constructiva la estructura de la uni ies enfocándose a su
departamento de cómputo, contemplando aspectos tales como: planes y objetivos,
métodos y controles, formas de operación y organización humana y jurídica.
Áreas a revisar:
1. Soporte Técnico Hardware y Software
2. Mantenimiento Preventivo y correctivo.
3. Atención Estudiantil.
1.3 ORGANIGRAMA DE LA EMPRESA.
1.3.1 COMENTARIOS AL ORGANIGRAMA.
La institución se encuentra a nivel de organigrama de manera bien estructurada, sin embargo
físicamente existen contradicciones en cuanto a cargos y áreas.
Por ejemplo en el área de Sub dirección se encuentra la coordinadora de la carrera de
Computación, la cual según el organigrama debería estar en el área de Coordinación.
Dirección
Administracíon y Contabilidad
Servicios Generales Sub Dirección Secretaria
Académico Adquiciiones Coordinación
Otra de las debilidades es el nombramiento del director como coordinador de la carrera de
Ingeniería Civil y Secretario Académico como coordinador de la Carrera Ingeniería de Sistemas.
1.4 Entrevistas1.4.1 Formato Previa de la Entrevista 1
Nombre:
Puesto:
Aréa:
1. ¿Cree usted su trabajo mantiene equilibrado los objetivos de la institución?
2. ¿En que consisten las actividades que realiza para desempeñar su trabajo?
3. ¿Es documentada cada actividad laboral que realiza? Especifique de que
manera.
4. ¿Cómo considera los procedimientos establecidos para ejecurtar una tarea en la
institución?
5. ¿Se realiza el trabajo en equipo, o existen divisiones mal argumentadas?
6. ¿Que sugeriria usted para mejorar algun procedimiento que considere erroneo
de ejecucióin?
7. ¿Cómo es su relación con cada una de las areas a las que usted tiene acceso?
8. ¿Cuál considera es la causa de estas relaciones?
9. ¿Según su contrato laboral, cuales de las obligaciones planteadas en el, usted
cumple a cavalidad?
1.4.2 Formato Previa de la Entrevista 2
1. ¿Cuenta el IES con un plan estratégico para la unidad informática? ¿Quién realizo el
plan estratégico? ¿Se cumple?
La empresa no cuenta con un plan estratégico. Puesto que actualmente se trabaja según los
problemas que surgen. Se realiza una planificación interna como protocolo, sin embargo todo se da
según la central (Universidad Nacional de Ingeniería) ya que no se le da seguimiento desde aquí
(UNI-IES)
2. ¿Está documentado el desarrollo del sistema?
No existe documentación. El sistema usado en la empresa fue desarrollado por una alta
autoridad de la universidad nacional de ingeniería, el cual solo acudió a instalar el sistema, mas no a
especificar como se desarrolló.
3. ¿Existen manuales de usuario o que procedimiento se sigue para capacitar al
personal de la empresa para el uso del sistema?
Si existen manuales de usuario del sistema.
4. ¿Cómo se capacita al personal a cerca del uso del sistema?
No se realiza una capacitación formal. El administrador de los sistemas se encarga de entrenar
parcialmente al usuario del sistema. Posteriormente asesora al usuario cuando este le llama por
alguna duda.
5. ¿Cómo se administra los login y password del sistema?
Al momento de entregar un login y password a un nuevo usuario del sistema el
administrador de los sistemas configura un nuevo usuario utilizando como referencia su
nombre y una contraseña que él puede posteriormente modificar, provocando un registro sin
un proceso estándar de establecimiento.
6. ¿Cómo es el proceso de los respaldos del sistema? ¿Con que frecuencia se realizan?
Los respaldos se realizan sin ningún tipo de planificación. A veces diario o cuando se recuerda
que hay q realizarlos. Los respaldos se almacenan en el disco del servidor y debes en cuando el
respaldo más reciente se guarda en un disco externo. No se verifica la integridad del respaldo.
7. ¿La empresa tiene un proceso debidamente documentado para adquirir nuevo
software de aplicación, hardware o nuevo personal? ¿Existen problemas de
presupuesto?
La empresa no cuenta con un proceso para adquirir nuevo software de aplicación,
hardware o nuevo personal. Cada encargado del área específica sus nuevos requerimientos y es
la central (Universidad Nacional de Ingeniería) q u i e n d e c i d e si la adquisición es
necesaria según el presupuesto disponible o asignado. No cuentan con un presupuesto
destinado para la adquisición de software o hardware.
1. ¿Existe un plan de contingencias para el sistema? ¿Quién soluciona los
problemas que se presentan? ¿Cómo es su solución?
La institución no cuenta con un plan de contingencia. Los problemas se solucionan según el
personal que se encuentre disponible en el momento, aplicando una solución correctiva o bien
sustancial, mientras se corrige el problema
9. ¿Cómo se define la protección de los equipos?
La institución no tiene un buen diseño de las instalaciones. El cuido de los equipos de usuarios es
inexistente puesto que se dejan equipos encendidos por las noches, donde las autoridades no
toman cartas en el asunto. En cuanto a los servidores, no existe un centro de datos y se encuentran
a fácil manipulación y vista del público.
10. ¿Qué tan eficaz y eficiente es la información brindada por el sistema?
La institución no tiene clara la importancia de darle manteniendo al sistema. Conforme a
avanzado el tiempo, nuevos requerimientos han surgido, pero no se han hecho cambios.
Actualmente para brindar información necesaria el administrador realiza las consultas en
tiempo de ejecución con la base de datos, relacionando tablas y parámetros; Posteriormente la
información es exportada a Excel y entregada a la autoridad solicitante.
PROBLEMAS:
El análisis de las entrevistas previas, han dado los siguientes resultados:
Se pueden globalizar en: Organización, Inversión, Actitud y
Comunicación.
a. Cada trabajo realizado debe estar sujeto a un soporte, el cual en la
institución se representa mediante una hoja de servicio que especifica el tipo
de servicio, descripción, quien lo brinda, quien lo recibe y a que área
pertenece. Sin embargo este procedimiento no es cumplido a cabalidad ya
que se realiza el servicio pero no se aplica el documentado mediante la hoja
de servicio por razones no ajenas a la pereza, el olvido, otras.
b. Existe el trabajo en equipo, sin embargo individualmente pueden llegar a no
suplir las necesidades de trabajo puesto que existen pocos contratados y
muchos pasantes que no pueden actuar por no tener autorización, debido a
su estado laboral.
c. En el ámbito de administración de los sistemas, no existe un monitoreo
preventivo definido, es decir está sujeto a supervisión parcial de actividad
informático viral y física. Los soportes que se realizan son de nivel correctivo.
Además que no existen planes de prevención y corrección previamente
planificados, así como no está establecido un equipo de trabajo propio. Lo
anterior tiene como principal causa, las capacidades individuales de los
miembros del equipo, producto de la no capacitación del personal y poca
inversión de la institución en equipos informáticos de calidad duradera y de
procesamiento.
d. El desarrollo de sistemas es una metáfora. Debido a que no se da inversión
para el desarrollo a pesar de que el personal si se encuentra capacitado
suficientemente para la tarea.
e. Los mantenimientos se realizan correctivos y con los elementos a mano. La
única manera en que los procesos se hagan de manera más rápida, es solo
si el área implicada es de mucha relevancia, como lo es Administración y
Dirección. En cuanto al resto de las áreas es preferible buscar equipos
repositorios desfasados en tecnología pero funcionales.
f. El POI del área no se prepara de manera sistemática, si no que se realiza en
media manera y para salir del paso, tratando de suplir lo principal, ya que el
presupuesto no se ajusta a las necesidades del área, encargada de otras
áreas.
g. No existe un estudio lógico de las redes y los equipos completos, puesto que
la atención se centra en equipos de altos niveles jerárquicos.
h. Existe una mala distribución de los equipos de cómputo, donde
procedimientos que requieren equipos con buenas capacidades, no los
tienen y donde quienes no necesitan grandes capacidades, si las tienen.
SUGERENCIAS:
a. Se sugiere realizar un estudio a fondo de los requerimientos y necesidades
de la institución para determinar la inversión en monitoreo, planes de
mantenimiento preventivo, operativo y correctivo de los equipos de cómputo,
elementos de redes y los sistemas de la institución.
b. Se sugiere un reordenamiento físico de la institución, según el orden dentro
del organigrama institucional. Así como también un estudio de capacidades
de equipos, para soportar a los procesos que requieren mejores
capacidades de trabajo y procesamiento.
1.5.1 INVENTARIO DE EQUIPO.
CARTERA Y COBRO
Nombre de Usuario Marcela
Nombre Pc: AdminCYC1
Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.41 512 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-E0-7D-B8-88-5F
IP Numero 192.168.2.11
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Rigo
Nombre Pc: AdminCYC2
Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.41 1GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-E0-7D-B9-54-D9
IP Numero 192.168.1.48
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Rafael
Nombre Pc: CarteraRafa
Características Técnicas Intel Pentium Dual Core 3.40 ghz, 2.41 1GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 3
Numero Mac 00-08-54-A6-9E-25
IP Numero 192.168.1.50
GRUPO DE TRABAJO: ADMINIES
ADMINISTRACION
Nombre de Usuario Hentri
Nombre Pc: AdminAuxCont
Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.40 512 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 001-10-DC-8A-E6-37
IP Numero 192.168.2.28
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Martin Solis
Nombre Pc: Adminjefe
Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.40 760 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-10-DC-8B-72-97
IP Numero 192.168.2.28
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Elyin
Nombre Pc: AdminContador2
Características Técnicas Intel Pentium (R) 3.00 ghz, 2.40 960 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-19-DB-15-25-B8
IP Numero 192.168.1.216
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Luis
Nombre Pc: CAJA2
Características Técnicas Intel Pentium (R) 3.00 ghz, 2.40 504 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-50-FC-89-79-FCIP Numero 192.168.2.45
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Richard
Nombre Pc: CAJA1Características Técnicas Intel Pentium DUAL CORE 2.20
ghz, 2 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-50-FC-97-F1-FBIP Numero 192.168.1.44
GRUPO DE TRABAJO: ADMINIES
Nombre de Usuario Roberto
Nombre Pc: AdminContador1
Características Técnicas Intel Pentium Dual Core(R) 2.20 ghz, 2GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-19-66-A3-4A-DA
IP Numero 192.168.1.215
GRUPO DE TRABAJO: ADMINIES
DEPARTAMENMTO DE COORDINACION
Nombre de Usuario NAIMA
Nombre Pc: SecretCoord
Características Técnicas Intel Pentium 4 (R) 2.40 ghz,2.40 512MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-08-54-1F-2A-0E
IP Numero 192.168.1.38
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario ENA ALVARADO
Nombre Pc: SeccCoord
Características Técnicas Intel Pentium 4 (R) 1.70 ghz,1.70 224MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-40-F4-2F-64-FF
IP Numero 192.168.1.32
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Olga
Nombre Pc: PENDIENTE
Características Técnicas Intel Pentium 4 (R) 1.70 ghz,1.70 224MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-E0-4C-91-1E-E0
IP Numero 192.168.1.68
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Gladys Sanchez
Nombre Pc: Resplanif
Características Técnicas Intel Pentium Dual Core E2200 2.20GHz 2.19 ghz 1.99 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac 00-25-22-10-61-1D
IP Numero 192.168.1.218
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Claudia Aurauz
Nombre Pc: Coord_Civil
Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM
SISTEMA WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION
Numero Mac 00-25-22-6E-97-72
IP Numero 192.168.1.59
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Fredy
Nombre Pc: PiedSilva
Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM
SISTEMA WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION
Numero Mac 00-25-22-6E-9A-B9
IP Numero 192.168.1.66
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Pendiente
Nombre Pc: Coord_Arquitectura
Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac 00-25-22-6E-9A-A9
IP Numero 192.168.1.24
GRUPO DE TRABAJO: COORDINACION
Nombre de Usuario Jaqueline
Nombre Pc: UserJaquilin
Características Técnicas Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 2
Numero Mac 00-25-22-22-16-41
IP Numero 192.168.1.214
GRUPO DE TRABAJO: COORDINACION
INSTITUTO DE IDIOMAS
Nombre de Usuario Alejandra
Nombre Pc: IDI_1
Características Técnicas Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac 00-27-0E-2E-8A-56
IP Numero 192.168.1.212
GRUPO DE TRABAJO: IDI
Nombre de Usuario ------------------
Nombre Pc: IDI_3
Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac 00-27-0E-2E-8A-56
IP Numero ----------------
GRUPO DE TRABAJO: IDI
ombre de Usuario -------------------
Nombre Pc: IDI_2
Características Técnicas Intel Pentium Dual Core E5400 2.7 GHz 2.7 ghz 2GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac 00-25-22-2F-2B-E6
IP Numero 192.168.1.25
GRUPO DE TRABAJO: IDI
DIRECCION
Nombre de Usuario Marisol
Nombre Pc: Sec_Dir
Características Técnicas Intel Pentium4 2.8 GHz 2.8 ghz 504MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 2
Numero Mac 00-80-AD-01-B8-40
IP Numero 192.168.1.100
GRUPO DE TRABAJO: DIRECCION
Nombre de Usuario Lester
Nombre Pc: Bios
Características Técnicas Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac 00-25-22-6E-9A-BB
IP Numero 192.168.1.219
GRUPO DE TRABAJO: DIRECCION
Nombre de Usuario Yuri
Nombre Pc: RRHH
Características Técnicas Intel Pentium Dual Core 2.80 GHz 2.79 ghz 1 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac ------------------------
IP Numero 192.168.1.240
GRUPO DE TRABAJO: DIRECCION
Nombre de Usuario Geisell
Nombre Pc: Sec_Direccion
Características Técnicas Intel Pentium (R)4 CPU 2.40 ghz, 2.41 512 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Version 2002, Service Pack 2
Numero Mac ----------------------
IP Numero 192.168.1.210
GRUPO DE TRABAJO: DIRECCION
Nombre de Usuario ------------
Nombre Pc: Coor_comp
Características Técnicas Intel Pentium Dual Core 2.80 GHz 2.79 ghz 1 GB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 3
Numero Mac ------------------------
IP Numero 192.168.1.225
GRUPO DE TRABAJO: DIRECCION
BODEGA
Nombre de Usuario -----------
Nombre Pc: Bodega
Características Técnicas Intel Pentium4 2.4 GHz 768 MB de RAM
SISTEMA MICROSOFT WINDOWS XP, Profesional Service Pack 2
Numero Mac 00-E0-18-96-66-43
IP Numero 192.168.1.92
GRUPO DE TRABAJO: Inventario PC
1.5.4 PRESUPUESTOS. MANO DE OBRA.
PUESTO SUELDO
MENSUAL POR
PERSONA
NO. DE
PERSONAS
SUELDO
MENSUAL TOTAL
Responsable de la
Unidad Informática
10000 1 10000
Jefe de los
Laboratorios
4000 1 4000
Técnico en
computación
3000 1 3000
Técnico en redes 3000 1 3000
Pasante 1 1000 3 3000
TOTAL: 23,000
1.6 DETERMINACIÓN DEL ÁREA A ESTUDIAR:
EN BASE A LAS INVESTIGACIONES PREELIMINARES Y
CONSIDERANDO LAS ENTREVISTAS REALIZADAS, SE HA DECIDIDO
DESARROLLAR LINA EVALUACIÓN GENERAL DE TODAS LAS ÁREAS QUE
INTEGRAN EL DEPARTAMENTO DE COMPUTO.
Soporte Técnico Hardware y Software
Se han notado debilidades en esta área con respecto a los insumos utilizados para brindar el
servicio en cuestión, así como también la incapacidad individual de algunos elementos del
equipo de trabajo.
Mantenimiento Preventivo y correctivo.
Debido a que no se cuenta con un documento que identifique y especifique los
procedimientos en ejecución de una tarea planificada, se trabajaba únicamente de manera
correctiva, provocando largos tiempos de inactividad según el área y su importancia dentro
del actuar del sistema. Por tanto se realizara un estudio profundo de cada posible tarea en
niveles de preventivo, operativo y correctivo.
Atención Estudiantil.
En este punto, la falta de comunicación con los estudiantes de la institución provoca un
desequilibrio en la entrega de software y soporte a los elementos de recibimiento académico
de la institución.