UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA

Transcripción

1 UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA ANÁLISIS Y DESARROLLO DE UN PLAN DE ADMINISTRACIÓN DE INFRAESTRUCTURA INTERNA BASADOS EN DOMINIOS DE COBIT PARA LA EMPRESA SOLTEFLEX S.A TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN INFORMÁTICA. AUTOR: IRENE VIVIANA ACHINA GUALAVISÍ TUTOR: ING. RENÉ ALFONSO CARILLO FLORES QUITO ECUADOR 2015

2 DEDICATORIA A mi madre por ser la mejor del mundo por su esfuerzo, apoyo y confianza depositada en mí por ser esa amiga incondicional y estar a mi lado en todo momento. A mi hermano por su ayuda e inspiración para ser mejor cada día. Con todo mi cariño va dedicado a ustedes mami Mary y mi hermano por ser las personas que amo. ii

3 AGRADECIMIENTO A Dios por concederme salud, sabiduría y fortaleza para cumplir una más de las metas propuestas en mi vida. A mi madre por su amor, apoyo incondicional y palabras de aliento en cualquier circunstancia de mi vida tanto personal, estudiantil y ahora en lo profesional. A mi hermano por poder contar con su apoyo incondicional, su amor y preocupación. A la empresa Solteflex S.A que apoyó la idea y permitió la realización de este tema de tesis. Un sincero agradecimiento a mi tutor y revisores por su apoyo y sobre todo por su paciencia en la elaboración de mi tesis. A mis compañeros y amigos que siempre han estado presente apoyándome para culminar mi carrera y a todas las personas quienes que me apoyaron y siempre estuvieron listas para brindarme toda su ayuda, permitiendo hacer posible este sueño.. iii

4 AUTORIZACIÓN DE AUTORÍA INTELECTUAL Yo, IRENE VIVIANA ACHINA GUALAVISI en calidad de autor del trabajo de investigación o tesis realizada sobre el tema de ANÁLISIS Y DESARROLLO DE UN PLAN DE ADMINISTRACIÓN DE INFRAESTRUCTURA INTERNA BASADOS EN DOMINIOS DE COBIT PARA LA EMPRESA SOLTEFLEX S.A, por la presente autorizo a la UNIVERSIDAD CENTRAL DEL ECUADOR, hacer uso de todos los contenidos que me pertenecen o de parte de los que contiene esta obra, con fines estrictamente académicos o de investigación. Los derechos que como autor me corresponden, con excepción de la presente autorización, seguirán vigentes a mi favor, de conformidad con lo establecido en los artículos 5, 6, 8,19 y demás participantes de la Ley de Propiedad Intelectual y su reglamento. Quito, 06 de Mayo del ACHINA GUALAVISI IRENE C.I iv

5 CERTIFICACIÓN v

6 vi

7 vii

8 CONTENIDO DEDICATORIA... ii AGRADECIMIENTO... iii AUTORIZACIÓN DE AUTORÍA INTELECTUAL... iv CERTIFICACIÓN... v LISTADO DE FIGURAS... xi LISTADO DE TABLAS... xiii LISTADO DE CUADROS... xiii RESUMEN ABSTRACT CAPÍTULO I PRESENTACIÓN DEL PROBLEMA Planteamiento del problema Formulación del problema Interrogantes de la Investigación Objetivos de la investigación Objetivos Generales Objetivos Específicos Alcance y Limitaciones Alcance Limitaciones Justificación e Importancia CAPÍTULO II REVISIÓN BIBLIOGRÁFICA Antecedentes Fundamentación Teórica Qué es COBIT 4.1? Misión de Cobit Visión de Cobit viii

9 2.3 Áreas de Enfoque del Gobierno de TI Dominios en la utilización de COBIT Marco de trabajo completo de Cobit Variables e Indicadores Criterios de Información de Cobit Recursos de TI Generadores de Medición Modelos de Madurez de COBIT Modelos del Grado de Madurez y Esquema de Evaluación Beneficios para la empresa al aplicar la Metodología Cobit CAPÍTULO III METODOLOGÍA Diseño de la Investigación Investigación de campo o directa Diseño No Experimental La Entrevista Método de Análisis Modelado de Procesos CAPÍTULO IV ANÁLISIS Y DISEÑO Diagnóstico del Departamento de Sistemas de Inveligent Breve Descripción de Inveligent Misión de INVELIGENT Visión Valores corporativos Procesos de INVELIGENT Manufactura Almacenamiento Logística y Transporte Retail Fuerza de Ventas ix

10 4.4 Estructura actual de INVELIGENT Datos generales de la empresa Mapa de Procesos de INVELIGENT Modelo de Procesos Riesgos Latentes Análisis FODA de INVELIGENT Oportunidades Debilidades Amenazas Situación Actual de la información de INVELIGENT Tratamiento Actual de la información Conectividad INVELIGENT Evaluación Interna de INVELIGENT Evaluación Alineada a los Dominios de COBIT Dominio: Planificación y Organización Dominio: Adquirir e Implementar Dominio: Entregar y Dar Soporte Dominio: Monitorear y Evaluar Resultados de la Evaluación Mejores Prácticas de COBIT CAPÍTULO V PROPUESTA DE UN PLAN DE INFRAESTRUCTURA INTERNA PARA INVELIGENT Antecedentes Objetivos Objetivo General Objetivos Específicos DESARROLLO Modelo Propuesto y Proceso de Gestión Planear y Organizar Nuevas Estrategias para Inveligent x

11 5.5.3 Propuesta de Nueva Estrategia para Inveligent Diseño Nuevos Productos Implementar Nuevas Soluciones Informáticas Administración de niveles de Servicio Monitorear, Evaluar y Mejorar el Desempeño de TI, en Inveligent Propuesta de actividades para cumplir el modelo presentado CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES GLOSARIO DE TÉRMINOS BIBLIOGRAFÍA ANEXOS LISTADO DE FIGURAS Figura 2-1: Áreas de enfoque del gobierno de TI Figura 2-2 Dominios de Cobit Figura 2-3 Marco de trabajo completo de Cobit Figura 2-4: Procesos Dominio Planear y Organizar Figura 2-5: Procesos Adquirir e Implementar Figura 2-6: Proceso Entrega y Dar Soporte Figura 2-7: Procesos Adquirir e Implementar Figura 2-8: Criterios de Información Figura 2-9: Recursos de TI Figura 3-1: Modelo IDEF Figura 4-1: Valores Corporativos INVELIGENT xi

12 Figura 4-2: Logística y Almacenamiento -Integración de la Cadena de Abastecimiento Figura 4-3:Logística y transporte- Integración de la Cadena de Abastecimiento Figura 4-4: Retail - Integración de la Cadena de Abastecimiento Figura 4-5: Fuerza de Ventas-Integración de la Cadena de Abastecimiento Figura 4-6: Organigrama INVELIGENT Figura 4-7: Logotipo de la empresa Figura 4-8: Procesos Inveligent Figura 4-9: Procesos Internos Inveligent Figura 4-10: Procesos Actuales Inveligent Figura 4-11: Proceso Planificar Figura 4-12: Proceso Organizar Figura 4-13: Proceso Ejecutar Figura 4-14: Infraestructura Inveligent Figura 4-15: Resultados COBIT Figura 5-1: Ejemplo ICOM Figura 5-2: Modelo Infraestructura Tecnológica Figura 5-3: Modelo Propuesto Inveligent Figura 5-4: Modelo Infraestructura Inveligent Figura 5-5: Procesos Propuestos Figura 5-6: Proceso Planear y Organizar Figura 5-7: Plan Operativo Anual de INVELIGENT Figura 5-8: PO3 Determinar la dirección tecnológica Figura 5-9: Procesos, Organización y Relaciones de TI Figura 5-10: Comunicar las Aspiraciones Figura 5-11: Administrar Calidad Figura 5-12: Evaluar y Administrar Riesgos de TI Figura 5-13: Evaluar Administrar Riesgos de TI Figura 5-14: Propuesta de nuevas Estrategias Figura 5-15: Nuevos Productos xii

13 Figura 5-16: Implementar Nuevas Soluciones Figura 5-17: Identificar Soluciones Automatizadas Figura 5-18: Adquirir e Implementar Figura 5-19: Facilitar Operación y Uso Figura 5-20: Adquirir Recursos de TI Figura 5-21: Entregar y Dar soporte Figura 5-22: Definir y Administrar los Niveles de servicio Figura 5-23: Definir y Administrar Desempeño Actual Figura 5-24: Educar y entrenar a los usuarios Figura 5-25: Administración del Ambiente físico Figura 5-26: Administración de operaciones Figura 5-27: Administración de Monitoreo Figura 5-28: Monitorear y evaluar el desempeño de TI Figura 5-29: Garantizar el cumplimiento LISTADO DE TABLAS Tabla 2-1: Variables e Indicadores Tabla 2-2: Esquema de Evaluación LISTADO DE CUADROS Cuadro 4-1: Hardware Inveligent Cuadro 4-2: Software Inveligent Cuadro 4-3: Evaluación Domino Planificación y Organización Cuadro 4-4: Evaluación Dominio Adquirir e Implementar Cuadro 4-5: Evaluación Dominio Entrega de Servicio y Soporte Cuadro 4-6: Evaluación Dominio Monitorear y Evaluar Cuadro 4-7: Resultados evaluación Cobit Cuadro 5-1: Lista actividades Inveligent xiii

14 RESUMEN ANÁLISIS Y DISEÑO DE UN PLAN DE ADMINISTRACIÓN DE INFRAESTRUCTURA INTERNA BASADOS EN DOMINIOS DE COBIT PARA LA EMPRESA SOLTEFLEX S.A. El presente proyecto de titulación tiene como objetivo comprender lo importante que representa el diseño de una metodología de infraestructura tecnológica que para el caso contribuye a la empresa Solteflex S.A, ya que en la actualidad tener bajo control y administrar de manera eficiente el hardware y software y además, colocarlos al servicio del negocio es uno de los desafíos de las empresas, ya que se trata de alinearlos para que cumplan con los objetivos estratégicos de la compañía. Por esta razón se plantea realizar el Análisis y Diseño de un Plan de Administración de Infraestructura Interna basados en Dominios de COBIT para la empresa Solteflex S.A con su nombre comercial Inveligent. Lo que permitirá mejorar los procesos y reaccionar de manera rápida, tal y como el negocio lo necesita alcanzado calidad, oportunidad para tomar buenas decisiones y un mayor control de costos, lo que hace que una empresa sea más competitiva. DESCRIPTORES: SEGURIDAD INFORMÁTICA/ AUDITORÍA SISTEMA DE INFORMACIÓN/ METODOLOGÍA/COBIT. TECNOLOGÍA DE INFORMACIÓN/ GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN/ GESTION DE PROCESOS DE NEGOCIO/ METODOLOGÍA/COBIT. 14

15 ABSTRACT ANALYSYS AND DESIGNOF AN ADMINISTRATION PLAN OF INTERNAL INFRAESTRUCTURE MANAGEMENT BASED ON COBIT DOMAINS FOR THE COMPANY SOLTEFLEX S.A. This qualification project has as an objective to understand the important thing that represents a methodology design for the technology infrastructure that currently contributes to the company Solteflex S.A to have under control and manage efficiently the hardware and software, and also place them at the service of this business. It is one of the challenges for companies, in order to address them to meet the strategic objectives of this Company. For this reason considers carry out the Analysis and Design of a Management Plan of Internal Infrastructure based on COBIT Domain for the Company Solteflex S.A with its trade strategic objectives of this Company. For this reason considers carry out the Analysis and Design of Management Plan of Internal Infrastructure based on Cobit Domain for the Company Solteflex S.A with its trade name Inveligent. This will make possible to improve the processes and respond quickly, as the business needs for achieving quality, opportunity to take good decisions and a greater control of cost, to make a Company more competitive. KEY WORDS: SYSTEMS SEGURITY/ INFORMATION SYSTEM AUDITING/ METHODOLOGY/ COBIT INFORMATION TECHNOLOGY/ INFORMATION TECHNOLOGY MANAGEMENT/ BUSINESS PROCESS MANAGEMENT/ METHODOLOGY/ COBIT 15

16 16

17 17

18 CAPÍTULO I 1 PRESENTACIÓN DEL PROBLEMA 1.1 Planteamiento del problema En los últimos años, la tecnología ha evolucionado a pasos agigantados, obligando a que todo tipo de empresas haga uso de ella para mejorar sus servicios y obtener mayor número de clientes. Pero incursionar en este campo no ha sido tarea fácil, por lo que se ha propuesto el uso de metodologías para alinear el marco tecnológico con los objetivos de la empresa. En la actualidad la mayoría de organizaciones tiende a tener una mayor dependencia de las tecnologías de información (TI), pero su administración se desarrolla de manera tradicional, descuidando muchas veces el uso de un criterio óptimo para medir su rentabilidad, eficiencia y la calidad de los servicios ofrecidos a toda la organización. Actualmente en Inveligent se realiza un manejo básico y limitado de la administración de tecnología, cuando la administración de la tecnología de cualquier organización es controlada de manera básica es complicado tener un control importante y actualizado que permita conocer que los procesos que se manejan estén adecuados, organizados y alineado con la estrategia del negocio al momento de la toma de decisiones. Para mejorar la administración de los procesos de negocio se propone realizar un análisis y desarrollo de un plan de administración e infraestructura interna basada en dominios de Cobit que permitirá el desarrollo de políticas claras y buenas prácticas para el control de TI a lo largo de la organización. 18

19 1.2 Formulación del problema Tomando en cuenta lo planteado anteriormente surge la siguiente pregunta de investigación: Cuál es la situación a nivel interno de la empresa INVELIGENT, como base para el análisis y desarrollo de un plan de administración de infraestructura? El área de tecnología de INVELIGENT cuenta con varios servicios, se encarga de la entrega de servicios a los clientes, de manejar un control general de los recursos, aplicaciones, tecnología y procesos internos de soporte hacia el resto de involucrados en la infraestructura de la empresa. Aunque la empresa posee fortalezas en cuanto a la calidad de sus servicios, su preocupación por mejorar sus procesos de servicio tecnológico la buena atención y búsqueda por estrechar relaciones que sean a largo plazo con los clientes, se puede observar que existe una carencia en la planeación, aspecto que afecta el logro de los objetivos que se proponen; se puede citar como ejemplo, aumentar la cantidad de clientes y ganar nuevos mercados, al no contar con ningún tipo de plan documentado sus estrategias para alcanzar metas tomaran más tiempo en ser cumplidas y esto sumará una falencia administrativa en la empresa. Tomando en cuenta estas carencias resulta pertinente diseñar un plan de administración de infraestructura basada en dominios de Cobit que permitan señalar con exactitud qué se va a seguir y además concentrarse en aspectos que deben ser mejorados para lograr metas estratégicas, alcanzar una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología. 1.3 Interrogantes de la Investigación 19

20 Partiendo del análisis anterior se presentan las siguientes interrogantes: Cuál es el estado en el que se encuentran los procesos y servicios que presta actualmente el área de tecnología? En qué beneficiará el desarrollo de un plan de administración de infraestructura basado en dominios de Cobit 4.1 al área de tecnología de INVELIGENT? Qué beneficios se obtendrán al mejorar los procesos de operación? 1.4 Objetivos de la investigación Objetivos Generales Proponer el desarrollo de un plan de administración de Infraestructura interna basado en dominios de Cobit 4.1 para la empresa INVELIGENT Objetivos Específicos Evaluar la planeación, organización y situación actual de los procesos de INVELIGENT en el área de tecnología, orientándose en las estrategias, tácticas e infraestructura tecnológica de información, que contribuyen al logro de los objetivos del negocio. Lograr mejoras al proceso de negocio mediante el uso eficaz e innovador de las tecnologías de información. 20

21 Alcanzar la excelencia operativa mediante la aplicación eficiente y fiable de la tecnología. 1.5 Alcance y Limitaciones Alcance El alcance del trabajo está orientado a INVELIGENT. El resultado del estudio académico, que para el caso es el desarrollo de un plan de administración de infraestructura basado en dominios de Cobit 4.1 para la empresa, será presentado al director del área de tecnología, quien evaluará su implementación. Los temas en los cuales se realizará este proyecto, abarcan los siguientes aspectos tales como el mejoramiento de los procesos de administración de información e infraestructura del área de tecnología. En el cual se llevará a cabo un diagnóstico al área de tecnología para determinar el grado de cumplimiento de los procesos y objetivos planteados en la metodología de Cobit para determinar de esta manera los puntos críticos de la empresa. Procesos Relacionados: Identificar soluciones en las cuales se utilicen criterios de información que permitan conocer la efectividad y eficiencia en los procesos requeridos por INVELIGENT. Disponibilidad de información útil y relevante para la toma de decisiones. Adquisición y Mantenimiento de la Infraestructura para el procesamiento y aplicaciones, enfocados en los criterios de información de efectividad, 21

22 eficiencia e integridad, para lograr que el proceso utilice las plataformas adecuadas Limitaciones La implementación del Plan de Administración e Infraestructura está expuesta a que el personal del área de Tecnología no se involucre y comprometa en la mejora de los procesos de negocio, ocasionando que no se reflejen los cambios sino al contrario que parezcan que los procesos son inútiles Justificación e Importancia Una necesidad básica de toda empresa en la actualidad es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control se debe proporcionar que permitan corregir errores, ejecutar procesos de calidad y entregarlos en el momento oportuno, detectar las falencias mediante el Desarrollo de un plan de Administración e infraestructura que proponga soluciones efectivas permitirá minimizar los riesgos y mejorar el empleo de la tecnología en la organización. La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla, las empresas deben saber medir dónde se encuentran y dónde se requiere mejorar, e implementar nuevas herramientas para innovar el proceso de negocio. 22

23 COBIT atiende estos temas a través de: Modelos de madurez que facilitan la evaluación por medio del cual se puede identificar las mejoras necesarias. Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos. 23

24 CAPÍTULO II 2 REVISIÓN BIBLIOGRÁFICA 2.1 Antecedentes En la actualidad las empresas se encuentran evolucionando constantemente creando así nuevas oportunidades de crecimiento en el proceso de negocio las mismas que demandan un control más estricto. Por tal motivo han surgido metodologías o estándares que proporciona una serie de herramientas y el desarrollo de las buenas prácticas que ayuden a determinar procesos críticos a nivel de la empresa o departamento creando de esta manera nuevas formas de guiar a las empresas para llevarlas por el camino de la eficiencia y la pro-actividad de quienes la conforman. 2.2 Fundamentación Teórica Qué es COBIT 4.1? (Fitzgerald, 2014), resume a COBIT: Objetivos de control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objetives for Information and related Technology). COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control, aspectos técnicos y riesgos de negocios. 24

25 COBIT habilita el desarrollo de políticas claras y buenas prácticas para el control de TI, creado por la Asociación para la Auditoría y Control de Sistemas de Información, (ISACA, en inglés Information System Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (IT Governace Institute) (pág. 2). COBIT 4.1 hace énfasis en el cumplimiento reglamentario, ayudando a las organizaciones a incrementar el valor de TI, destacando los vínculos entre los objetivos del negocio y TI, y simplificando la implementación del marco de trabajo COBIT Misión de Cobit La misión de COBIT desde sus inicios: Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio, profesionales de TI y profesionales de aseguramiento. (IT Governance Institute, 2007, pág. 9) Visión de Cobit Consolidarse como líder mundial conocido en material de gobierno, control y aseguramiento de la gestión de TI. (Hurtado, 2013) 25

26 2.3 Áreas de Enfoque del Gobierno de TI La alta dirección y el área de TI coordinan un conjunto de acciones que permiten proporcionar servicios optimizados, mejorar el desempeño y administrar los riesgos de manera efectiva para alcanzar los objetivos estratégicos definidos por la organización. En la Figura 1.1 se muestra cada una de las áreas de enfoque del gobierno de TI. Figura 2-1: Áreas de enfoque del gobierno de TI Fuente: (Través, 2013) (Institute, IT Governance, 2014) 26

27 A continuación se describe las áreas de enfoque de Gobierno de TI: Alineación Estratégica Se encargan de asegurar la integración entre el negocio con los planes de TI, además permite mantener y validar las propuestas de valor de TI y alinear las operaciones de TI con las de la empresa las mismas que deben realizarse de manera continua en el trascurso del tiempo. Entrega de valor Se encarga de ejecutar propuestas de valor durante el ciclo de entrega de TI asegurando beneficios relacionados con la estrategia de negocio, su potencial se concentra en la optimización de costos de TI. Administración de Riegos La alta dirección de la empresa juega un papel importante dentro de esta área de enfoque de gobierno ya que debe ser consciente y comprensiva de los riesgos que puede sufrir la organización. Administración de Recursos Se encarga de optimizar la inversiones y gestionar adecuadamente los recursos de TI, es decir aplicación, información, infraestructura y persona, los temas importantes dentro de esta administración es la optimización del conocimiento e infraestructura. 27

28 Medición de Desempeño Se encarga de controlar y dar un seguimiento de las estrategias de implantación, estrategias de proyecto, administración de recursos, rendimiento de procesos y entrega de servicios Dominios en la utilización de COBIT 4.1 Cobit ofrece una herramienta que facilite el cumplimento de los procesos inherente al negocio, consta de una serie de 34 objetivos de control de alto nivel, uno por cada proceso de TI que se encuentra agrupado en cuatro dominios, planificación y organización, adquisición e implementación, entrega y soporte y monitoreo. Figura 2-2: Dominios de Cobit 4.1 Fuente: Elaboración del autor. 28

29 2.3.2 Marco de trabajo completo de Cobit 4.1 Según el manual de COBIT (IT Governance Institute, 2007) El marco de trabajo comienza con la premisa: Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos (p, 26). COBIT es un marco de trabajo y un conjunto de herramientas de Tecnología de Información (TI) que permite el desarrollo de políticas claras y buenas prácticas para el control de TI a lo largo de las organizaciones. Esta estructura abarca todos los aspectos de la información y la tecnología que da soporte. A continuación se puede observar en resumen el marco de trabajo de COBIT

30 Figura 2-3: Marco de trabajo completo de Cobit 4.1 Fuente: (IT Governance Institute, 2007) A continuación se define los 34 objetivos de control agrupados en cada uno de sus dominios los mismos que servirán como guía para la ejecución de este proyecto. 30

31 Planear y Organizar (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de objetivos del negocio. Este dominio está compuesto por los siguientes Institute, 2007): procesos (IT Governance PO1 Definir un plan estratégico de TI.- es necesario para gestionar y dirigir los recursos de TI, el desarrollo de estrategias ayuda a entregar servicios de una forma transparente y rentable. PO2 Definir la arquitectura de la información.- este proceso establece un modelo de datos que incluye un esquema de clasificación de información para incrementar la responsabilidad sobre la integridad, consistencia y seguridad de los datos. PO3 Determinar la dirección tecnológica.- este proceso permite contar con respuestas oportunas a cambios en el ambiente enfocándose en la implementación de un plan de infraestructura tecnológica, arquitectura y estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas. PO4 Definir los procesos, organización y relaciones de TI.- este proceso determina el establecimiento de estructuras y organizaciones de TI transparentes, flexibles y responsables hacia los proceso de negocio y de decisión. PO5 Administrar la inversión en TI.- se refiere a inversiones de TI efectivas y eficientes y el establecimiento y seguimiento de presupuestos de TI de acuerdo a las estrategias de TI y a las decisiones de inversión. 31

32 PO6 Comunicar las aspiraciones y la dirección de la gerencia.- este proceso permite proporcionar políticas, procedimientos, directrices de forma precisa y entendible que se encuentren dentro de un marco de trabajo de control de TI. PO7 Administrar recursos humanos de TI.- este proceso se enfoca en adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. PO8 Administrar la calidad.- se enfoca en la definición de un sistema de administración de calidad, monitoreo continuo de desempeño contra los objetivos y la implantación de un plan de mejora continua de servicios de TI. PO9 Evaluar y administrar los riesgos de TI.-este proceso permite elaborar un marco de trabajo de administración de riesgos el cual está integrado en los marcos gerenciales de riesgo operacional, evaluación de riesgos, mitigación de riegos y comunicación de riesgos. PO10 Administrar proyectos.- este proceso permite establecer un marco de trabajo de administración de programas y proyectos el cual se aplica a todos los proyectos de TI, lo cual facilita la participación de los interesados y el monitoreo de los riesgos y los avances de los proyectos. 32

33 Figura 2-4: Dominio Planear y Organizar Fuente: Elaboración del autor Adquirir e Implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementas e integradas en los proceso de negocio. Este domino trata de que las soluciones satisfagan los objetivos del negocio y consta de los siguientes procesos (IT Governance Institute, 2007). 33

34 AI1 Identificar soluciones automatizadas.- permite la identificación de soluciones técnicamente factibles y rentables. AI2 Adquirir y mantener el software aplicativo.- garantiza que exista un proceso de desarrollo oportuno y confiable. AI3 Adquirir y mantener la infraestructura tecnológica.- proporciona plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología. AI4 Facilitar la operación y el uso.- proporciona manuales efectivos de usuario, operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitoso del sistema. AI5 Adquirir recursos de TI.- se enfoca en adquirir y mantener las habilidades de TI que respondan a las estrategia de entrega, en la infraestructura de TI integrada y estandarizada y reducir el riesgo de adquisición de TI. AI6 Administrar cambios.- permite controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando los errores. AI7 Instalar y acreditar soluciones y cambios.- permite probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén libres de errores y planear las liberaciones a producción. 34

35 Figura 2-5: Dominio Adquirir e Implementar Fuente: Elaboración del autor Entregar y Dar Soporte (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación de los servicios, la administración de la seguridad y de la continuidad, el soporte de servicio a los usuarios la administración de los datos y de las instalaciones operativas. El mismo que nos permite determinar el cumplimiento de los niveles de servicio y consta de los siguientes proceso. (IT Governance Institute, 2007) DS1 Definir y administrar niveles de servicio.- permite la identificación de requerimientos de servicio, niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio. DS2 Administrar servicios de terceros.- se enfoca en el establecimiento de relaciones y responsabilidades con proveedores y el monitoreo de la prestación de servicios. 35

36 DS3 Administrar desempeño y capacidad.- se enfoca en el cumplimiento de los requerimientos de tiempo de respuesta de los niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas. DS4 Garantizar la continuidad del servicio.- este proceso permite desarrollar, mantener y probar planes de continuidad de TI, que permitan minimizar la probabilidad y el impacto de interrupciones mayores en los servicios de TI. DS5 Garantizar la seguridad de los sistemas.- permite mantener la integridad de la información. DS6 Identificar y asignar costos.- permite contar con un registro completo y preciso de los costos de TI para que el negocio tome decisiones más informadas respecto al uso de los servicios de TI. DS7 Educar y entrenar a los usuarios.- permite un claro entendimiento de las necesidades de entrenamiento de los usuarios y la medición de resultados. DS8 Administrar la mesa de servicio y los incidentes. - permite establecer mesas de servicio con tiempo de respuesta rápido. DS9 Administrar la configuración. permite una efectiva administración de la configuración de los activos facilitando una mayor disponibilidad. DS10 Administrar los problemas.- permite rastrear y resolver problemas operativos. 36

37 DS11 Administrar los datos.- este proceso permite mantener la integridad, exactitud, disponibilidad y protección de los datos. DS12 Administrar el ambiente físico.- se enfoca en proporcionar un espacio físico adecuado para proteger los activos de TI. DS13 Administrar las operaciones.- permite cumplir con los niveles operativos de servicio para procesamiento de datos. Figura 2-6: Dominio Entregar y Dar Soporte Fuente: Elaboración del autor. 37

38 Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo de control interno, el cumplimiento regulatorio y la aplicación de gobierno. Monitorear todos los procesos para asegurar que se sigue la dirección provista Este dominio nos permite garantizar que las cosas se realicen de manera correcta y consta de los siguientes procesos. (IT Governance Institute, 2007) ME1 Monitorear y evaluar el desempeño de TI.- se enfoca en realizar el monitoreo para garantizar que la cosas correctas se hagan. ME2 Monitorear y evaluar el control interno.- este proceso permite el monitoreo de los procesos de control interno para la actividades relacionadas con TI e identifica la acciones de mejoramiento. ME3 Garantizar cumplimiento regulatorio.- permite la identificación de la leyes aplicables y el nivel correspondiente de cumplimiento de TI para reducir el riesgo de no cumplimiento. ME4 Proporcionar gobierno de TI.- se enfoca en la elaboración de informes para garantizar así que las inversiones de TI están alineadas y de acuerdo con las estrategias de negocio y objetivos empresariales. 38

39 Figura 2-7: Dominio Monitorear y Evaluar Fuente: Elaboración del autor. 2.4 Variables e Indicadores A continuación se establecen las variables dependientes e independientes que van a ser utilizadas en el desarrollo del proyecto acompañado de sus respectivos indicadores. Como variable independiente se va a definir a la mejora de los procesos del departamento de sistemas de INVELIGENT y como variable independiente se definirá a la metodología de COBIT ya que en este caso depende de la misma. 39

40 Tabla 2-1: Variables e Indicadores Variable Variables Indicadores Independiente Metodología Grado de utilización Cobit 4.1 Nivel de satisfacción de usuario final Toma de decisiones Optimización de recursos Dependiente Mejorar Control Procesos Análisis de Riesgos Fuente: Elaboración del autor. 2.5 Criterios de Información de Cobit 4.1 Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterio de control, lo cuales son referidos en Cobit como requerimientos de información de negocio. Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información (IT Governance Institute, 2007): La efectividad.- tiene que ver con que la información sea relevante y pertinente a los procesos de negocio y se proporcionen de una manera oportuna, correcta, consistente y utilizable. La eficiencia.- se refiere más al proceso de obtención y uso de la información, si satisface las necesidades del consumidor y se obtiene y utiliza de manera fácil es decir consume pocos recursos, esfuerzo físico, tiempo y dinero, entonces el uso de la información es eficiente. 40

41 La confidencialidad.- se refiere a la protección de información de calidad contra la revelación no autorizada. La integridad.- está relacionada con la precisión y completitud de la información, si la información tiene integridad entonces está libre de errores. La disponibilidad.- se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. El cumplimiento.- Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocio. La confiabilidad.-se refiere a entregar la información adecuada para que las personas encargadas de la gerencia administren la entidad y ejerza sus responsabilidades adquiridas. Figura 2-8: Criterios de Información Fuente: (Institute, IT Governance, 2014) 41

42 2.6 Recursos de TI Los recursos identificados en Cobit se pueden definir de la siguiente manera: (IT Governance Institute, 2007) Las aplicaciones.- Se refiere tanto a sistemas automatizados como a procedimientos manuales que procesan información. La información.- Consiste en los datos generados por los sistemas de información, para ser utilizados en cualquier momento por el negocio. La infraestructura.- Enfocada en todo lo que es hardware, software e instalaciones, así como el sitio donde se encuentran y el ambiente que lo soporta Las personas.- Se refiere al personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Figura 2-9: Recursos de TI Fuente: Elaboración del autor. 42

43 2.7 Generadores de Medición Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI. La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla, por ello Cobit 4.1 atiende estos temas a través de: Modelos de madurez que facilitan la evaluación y la identificación de las mejoras necesarias en la capacidad Modelos de Madurez de COBIT Un modelo de madurez permite a la organización ir creciendo de forma gradual y equilibrada, Cobit plantea un modelo de madurez con las siguientes escalas: (Institute, IT Governance, 2014) Nivel 0: Proceso Incompleto o Inexistente.- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver (p, 19). Nivel 1: Proceso Ejecutado Ad Hoc, Inicial.- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso (p, 19). 43

44 Nivel 2: Proceso Gestionado o Repetible pero Intuitivo.- Se han desarrollado los procesos hasta el punto en que se sigue procedimientos similares en diferentes áreas que realizan la mismas tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo (p, 19). Nivel 3: Proceso Establecido o Definido.- Los procedimientos han sido estandarizados, documentados y comunicados a través de capacitaciones. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones sean detectadas. Los procedimientos no son terminados pero formalizan las prácticas existentes. Nivel 4: Proceso Administrado y medido: Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando estos no estén trabajando de manera correcta. Los procesos están bajo constante mejoramiento y proveen de buenas prácticas. Nivel 5: Proceso Optimizado.- Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida (p, 19). 44

45 Al hacer uso de los procesos de madurez desarrollados en cada uno de los 34 procesos de TI la administración podrá identificar: El desempeño real de la empresa - Donde se encuentra ahora la empresa. El estado actual de la industria- Se realiza una comparación. La organización podrá realizar una comparación con relación a su situación actual con respecto a otras empresas similares la misma que servirá para fijar nuevos objetivos. El objetivo de mejora de la empresa Donde desearía estar la empresa. Metas y mediciones de desempeño para los procesos de TI, que permitan demostrar como los procesos satisfacen las necesidades de negocio y de TI. Metas de actividades que permita facilitar el desempeño efectivo de los procesos. 45

46 2.7.2 Modelos del Grado de Madurez y Esquema de Evaluación Evaluar la capacidad de los procesos basados en los modelos de madurez de Cobit 4.1 es una parte primordial de la implementacion de TI. Después de identificar los procesos de TI, los modelos de madurez permiten identificar y demostrar a la dirección las brechas en la capacidad. Para lo cual se pueden crear planes de accion que pemitan llevar a cabo estos procesos hasta el nivel deseado. El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de manera que se pueda evaluar a si misma desde un nivel (1) hasta un nivel (5) de no existente hasta optimizado respectivamente. A continuación se muestra una tabla que permite entender como se desarrolla el modelo de grado de madurez y su esquema de evaluación los mismos que se utilizarán para la evaluación de INVELIGENT. 46

47 Tabla 2-2: Esquema de Evaluación ESQUEMA DE EVALUACIÓN Y GRADOS DE MADUREZ GRADO DE MADUREZ CENTRADO EN PUNTAJE ESTADO OBSERVADO 1. Estado de Gestión Inicial 2. Estado de Gestión Definido 3. Estado de Gestión Organizado 4. Estado de Gestión Cuantitativo 5. Estado de Gestión Optimizado Proceso impredecible y control reactivo Gestión básica del proceso Proceso caracterizado por la organización y eventualmente proactivo Control cuantitativo del proceso Mejora continua del proceso 1-2 El proceso no ha sido registrado formalmente, se gestiona de manera ad-hoc y al no existir procedimientos definidos, los problemas pueden caotizar el trabajo. 3-4 El proceso está definido y se han elaborado algunos procedimientos que no son aplicados de manera sostenida, el éxito depende exclusivamente del esfuerzo individual de las personas involucradas. No existe conocimiento formal para la operatividad del proceso y el ambiente del proceso no es estable. Entrenamiento y formación escasa. 5-6 Se ha definido el proceso y algunos procedimientos y estándares que se aplican en la práctica, se gestionan formalmente algunos requerimientos del cliente, en algunos proyectos o procesos se planifican y controlan los resultados, se hacen algunos esfuerzos por controlar los recursos e integrar los productos. Se ejecutan acciones correctivas cuando se identifican los problemas. Entrenamiento y formación. 7-8 Los procesos se encuentran documentados y estandarizados y se verifica su aplicación. Los productos y servicios se integran eficientemente y a costos adecuados. Se han establecidos procedimientos y registros de control y monitoreo de los procesos, productos y servicios. Se han establecido indicadores de medición cuantitativos para evaluar los productos y servicios. Se realizan acciones de corrección preventivas y los productos tienen una calidad predecible. Entrenamiento y formación calificada La mayoría de procesos, incluyendo los estratégicos, han sido optimizados al máximo y los productos y servicios se generan bajo estándares de calidad especificados. Existe un entendimiento pleno por parte de la organización de lo que significan los procesos de control, medición y evaluación. Se desarrollan permanentemente ideas innovadoras respecto de la eficiencia y competitividad. Se realizan auditorías y verificaciones periódicas, respaldadas por la alta dirección. Fuente: Carlos Trávez S. Trabajos de Consultorías. Matriz de Evaluación de COBIT Beneficios para la empresa al aplicar la Metodología Cobit Si se aplica este modelo dentro de la empresa lo primero que tenemos que hacer es identificar a todas la partes interesadas y sus necesidades, por ejemplo si se habla de infraestructura una de las partes interesadas somos los usuarios que podemos vernos afectados por un fallo en dicha infraestructura, el paso siguiente 47

48 seria identificar nuestras necesidades y una necesidad sería que se salvaguardara la seguridad de las mismas para que ningún incidente pudiera llegar a suponer un riesgo para nosostros. Por lo tanto el uso eficaz de las mejores prácticas permitirá obtener valor de las inversiones y de los servicos de TI, los mismos que serán reflejados en los beneficios que se obtenga en: Optimizar la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI. Generar la confianza y el progresivo involucramiento de beneficiarios y favorecedores del negocio. Reducir peligros, sucesos y fracasos en los proyectos. 48

49 CAPÍTULO III 3 METODOLOGÍA 3.1 Diseño de la Investigación La metodología a utilizarse para el Análisis y desarrollo de un plan de administración de infraestructura interna basado en dominios de Cobit es no experimental ya que los datos de interés son obtenidos de forma directa de la realidad para hacer un análisis sistemático del problema, con la finalidad de interpretarlo, explicar su causa y efecto y recomendar una solución Investigación de campo o directa Es de campo porque se realizó en el ambiente en el que se desarrollan las actividades de las personas consultadas las mismas que proporcionan los datos relevantes que serán luego analizados. 3.2 Diseño No Experimental En el desarrollo de este proyecto se utilizará como método de investigación, el método de la entrevista, el método de análisis, también nos apoyaremos de herramientas para el modelamiento de procesos. 49

50 3.2.1 La Entrevista El tema de la entrevista ocupa un lugar muy destacado dentro de las técnicas aplicadas de recogida de datos ya que es una de las más utilizadas en las investigaciones. (Sánchez, 2015) y (Grados, 2014) afirman: La entrevista es una forma de comunicación interpersonal que tiene por objeto proporcionar o recibir información, y en virtud de las cuales se toman determinadas decisiones (p, 53). La entrevista a las personas de la organización se la realiza con la finalidad de obtener los datos necesarios para el análisis de la situación y efectuar el diagnóstico comparando los resultados obtenidos con lo que recomienda Cobit Método de Análisis Según (Martin, 2015) indica: El método de análisis consiste en la realización de las operaciones a las que el investigador someterá los datos con la finalidad de alcanzar los objetivos del estudio. Las reglas del método de análisis son: Observación de un fenómeno, sus hechos, comportamiento, partes y componentes. Descripción. Identificación de todos sus elementos, partes y componentes para poder entenderlo. Clasificación. Ordenación de cada una de las partes por clases, siguiendo el patrón del fenómeno analizado, para conocer sus características, detalles y comportamiento. 50

51 Conclusión. Analizar los resultados obtenidos, estudiarlos y dar una explicación del fenómeno observado Modelado de Procesos Un modelo es una representación de un sistema. Los sistemas pueden estar formados por distintos elementos interrelacionados tales como: personas, equipos, productos, tareas, materiales, documentación, software, hardware, etc. Un modelo describe qué hace el sistema, cómo funciona, cómo se controla, y qué produce. Los modelos se elaboran con objeto de comprender, analizar, mejorar o sustituir un sistema. La elaboración de un modelo requiere un método de representación específico, coherente, ágil, sencillo y flexible. Tenemos técnicas de modelado de procesos como: Diagrama IDEF0 Diagrama de flujo 51

52 IDEF0 La traducción literal de las siglas IDEF es Integration Definition for Function Modeling (Definición de la integración para la modelización de las funciones). Metodología para representar de manera estructurada y jerárquica las actividades que conforman un sistema o empresa y los objetos o datos que soportan la interacción de esas actividades. IDEF0 modela actividades y es independiente de la organización y tiempo. No es un organigrama, no es un diagrama de flujo. IDEF0 fomenta el trabajo en equipo de manera disciplinada y coordinada. Aunque esto no significa que el modelo refleje el consenso del pensamiento del equipo. Cada caja en un diagrama es origen o salida de flechas que representan (Martinez, Jesus, 2005, pág. 9): Datos de entrada: Datos que necesita la actividad y se transforman en datos de salida Datos de salida: Datos o informaciones creados por la actividad. Datos de control: Datos para controlar la actividad. No se transforman en datos de salida. Mecanismo: Recursos necesarios. 52

53 Figura 3-1: Modelo IDEF0 Fuente: Martinez, Métodos de modelado IDEF0 e IDEF3 Aplicabilidad de IDEF0 Medio para comunicar reglas y procesos de negocios. Obtener una vista estratégica de un proceso. Facilitar el análisis para identificar puntos de mejora 53

54 CAPÍTULO IV 4 ANÁLISIS Y DISEÑO 4.1 Diagnóstico del Departamento de Sistemas de Inveligent Breve Descripción de Inveligent INVELIGENT es una empresa que reúne 15 años de experiencia en la automatización de la cadena de abastecimiento. Desarrolla soluciones personalizadas para la optimización de cada una de las etapas relacionadas con el flujo y la transformación de bienes y productos, desde la Manufactura, Almacenamiento, Logística y transporte, hasta la Gestión en Campo y servicio Post-Venta. Las soluciones de INVELIGENT permiten optimizar al máximo los recursos, incrementar la productividad de las empresas y mejorar la calidad de atención de sus clientes garantizando su fidelidad. Sus sistemas de automatización integran la computación móvil con los ERP mediante el uso de tecnología de punta y software especializado con un alto componente de personalización, para otorgar la solución más adecuada de acceso remoto a la información, ejecución de tareas, análisis y publicación de resultados mediante un control de calidad y consultoría personalizada (Iveligent, 2010). 54

55 4.1.2 Misión de INVELIGENT INVELIGENT es una empresa creada con el fin de satisfacer a sus Clientes con soluciones móviles eficaces para la Automatización de la Cadena de Abastecimiento, que le permita mejorar sus operaciones críticas, maximizando su producción, reduciendo costos y generando herramientas para la toma de decisiones. Tenemos experiencia garantizada en la implementación de soluciones integrales en Manufactura, Almacenamiento y Logística, y Gestión en el Campo para las empresas medianas y grandes en el país. Nuestro compromiso es solventar las necesidades del negocio de los Clientes, generando soluciones que dan valor a sus operaciones. Contamos con un equipo de trabajo de alta calidad y seriedad al igual que partners comprometidos con el negocio de nuestra empresa (Inveligent, 2009) Visión INVELIGENT se proyecta como una empresa líder en el Ecuador en la generación de soluciones de automatización a través de productos innovadores y de calidad que generan utilidad para sus Clientes y para beneficio de sí misma, apoyados en el profundo sentido ético de su gente y siendo referentes en el mercado de su pasión por el servicio y realizando proyectos de responsabilidad social (Inveligent, 2009). INVELIGENT es una organización protagonista del bienestar de nuestros clientes, líder y promotora de cambios en la atención especializada. 55

56 4.2 Valores corporativos El personal de INVELIGENT se apoya en el cumplimiento de Valores Corporativos para cumplir su misión y visión como empresa (Inveligent, 2009): Figura 4-1: Valores Corporativos INVELIGENT Cumplimiento Mediante la realización de nuestra labor con compromiso y acorde con las características de control de calidad. En nuestra actividad, este valor se refleja de manera especial en la Puntualidad, Responsabilidad y Organización con que tratamos a nuestros clientes. Agilidad La facilidad y soltura con las cuales nos desarrollamos en nuestras labores y funciones, atendiendo de manera fluida, satisfactoria y confortable a nuestros clientes. Servicio El personal en la atención al cliente refleja el entusiasmo, la vocación y el sentido de satisfacción propio por la asistencia a los demás. Mediante la afectividad, cordialidad, respeto y amabilidad en el trato con nuestros clientes, compañeros y socios comerciales. Compromiso Surge de la convicción personal y profesional en torno a los beneficios que trae el desempeño responsable y organizado de las actividades a cargo de cada miembro de Inveligent. Innovación Poner en práctica la creatividad del personal en cuanto a redefinición y / o reinvención de nuevos productos, estrategías, actividades y funciones con proyección de mejora. Excelencia Todo el personal es altamente calificado, capacitado y especializado en su labor, para ofrecer al cliente los mejores resultados buscando la excelencia. Honestidad y Transparencia Son la base de la relación con nuestros Clientes y Proveedores, garantizando la integridad, el respaldo y seguridad. Fuente: (Inveligent, Valores Corporativos, 2015) 56

57 4.3 Procesos de INVELIGENT Manufactura Con el fin de garantizar la competitividad y el crecimiento sostenido a lo largo del tiempo, las empresas actuales tienen un desafío que se puede resumir en el titánico esfuerzo por equilibrar tres factores: Productividad, Calidad, Rentabilidad. (Inveligent, Proceso Manufactura, 2014) Entre los principales factores que deben controlar están los plazos de entrega, balancear procesos, incrementar la velocidad y optimizar inventarios. La solución de automatización MMS (Manufacturing Management System) de INVELIGENT, ofrece las herramientas necesarias para gestionar: La materia prima, componentes, órdenes de producción. Distribución y reporte de tareas de manufactura. Control del mantenimiento de maquinarias. Gestión del control de procesos de calidad. Almacenamiento de producto terminado. Trazabilidad y monitoreo en tiempo real de los procesos de manufactura desde materia prima hasta producto terminado. 57

58 Desarrollando aplicaciones para todo tipo de empresas de manufactura dando como resultado una solución integral que equilibra la estrategia y capacidad de ejecución de las tareas de producción generando: Visibilidad de información Disminución de los reprocesos y de actividades que no generan valor. Control de materiales y de materia prima. Procesos de control de calidad. Ahorro de recursos y el aprovechamiento de la capacidad real del personal con la utilización de herramientas de control y seguimiento apropiadas. Registro de costos asociados a cada proceso productivo. KPIs: Indicadores visuales de desempeño actualizados en tiempo real. (Inveligent, Proceso Manufactura, 2014) Figura12: Manufactura-Integración de la Cadena de Abastecimiento Fuente: (Inveligent, Proceso Manufactura, 2014) 58

59 4.3.2 Almacenamiento La solución WMS (Warehouse Management System) de INVELIGENT, es el conjunto de herramientas que controlan el movimiento y almacenamiento de productos y materiales en las bodegas y centros de distribución. (Inveligent, Almacenamiento, 2012) Entre las tareas que el WMS maneja a través de tecnología de cómputo móvil e incluso tecnología de voz están las siguientes: Recepción completa o parcial de mercadería Registro de ubicaciones Registro de movimientos internos y transferencias Armado de pedidos a través del cálculo de la ruta óptima. Administración de stocks mínimos y ejecución de tareas de reabastecimiento. Armado de bultos. Carga de camiones. Conteo cíclico. Opción de implementación de Voice picking* para los Centros de Distribución que requieren del mayor desempeño para su operación. Opción de implementación mediante el uso de código de barra o RFID. 59

60 Voice picking La solución por voz de INVELIGENT establece un diálogo entre los operarios y los diferentes módulos del WMS. El trabajo dirigido por voz ayuda a que los trabajadores se concentren completamente en la tarea que tienen entre sus manos, puesto que ya no requieren leer una pantalla, una lista de selección o una orden de pedido. (Inveligent, Voice Picking, 2014) Obteniendo beneficios del WMS de INVELIGENT en la: Administración más eficiente del espacio en bodegas. Control obligatorio de rotación de los productos. Trazabilidad de productos y recursos. Reducción de tiempo y errores. Control y medición de tiempos y movimientos. Reducción de inventario de seguridad. Mejora continua mediante indicadores de desempeño. Incremento en la calidad de servicio del cliente. El uso de Tecnología de Voz genera los siguientes beneficios: Aumento de la productividad entre un 25% y 40%. Mejora de la precisión hasta el 99,99%. 60

61 Reducción del tiempo de entrenamiento en un 50%. Distribución automática de las tareas a ejecutar en el Centro de Distribución. Recuperación de la inversión en 12 meses o menos. Figura 4-2: Logística y Almacenamiento Fuente: (Inveligent, Almacenamiento, 2012) Logística y Transporte La Solución TMS (Transportation Management System) permite la administración, seguimiento y control de las operaciones de transporte y logística, permitiendo un ahorro en tiempo y recursos en tareas como: gestión de flota, administración de patios y andenes de carga, entrega y recolección de productos. (Inveligent, Logistica y Transporte, 2012) EL TMS de INVELIGENT automatiza los siguientes aspectos de la operación: Control de cubicaje. Administración de andenes y patios de carga. Cálculo de balanceo de carga y vehículos. 61

62 Gestión de devoluciones. Validación de planificación versus ejecución de ruta. Control de cumplimiento de ventanas horarias de entrega. Despliegue de información visual en mapas (GIS: Sistemas de Información Geográfica). Gestión de rutas: ruta óptima de retiro y entrega de productos. Entre los principales beneficios del TMS están: Visibilidad en tránsito. Reducción de los costos de operación. Visibilidad de la operación: estatus del retiro y entrega de productos en tiempo real. Captura de coordenadas geográficas Proveer un servicio diferenciado. Figura 4-3: Logística y transporte Fuente: (Inveligent, Logistica y Transporte, 2012) 62

63 4.3.4 Retail La solución de RS (Retail Solution) de INVELIGENT brinda el rendimiento y el desempeño que necesita una empresa para mejorar las operaciones en sus locales y mejorar el servicio al cliente. La solución es personalizada a las necesidades particulares de la operación y se adapta a la extensa gama de terminales portátiles, versátiles y robustas, y de sistemas de código de barras o RFID que permiten alcanzar nuevos niveles de eficacia en la cadena de abastecimiento para ayudarle a mejorar la visibilidad del inventario, reducir los costos operativos y disminuir la falta de existencias. Módulos del RS de INVELIGENT (Inveligent, Soluciones Retail, 2014): Mantenimiento de perchas: código de barras o RFID. Conteo cíclico de productos. Rompe filas. Acompañamiento al cliente en tienda. Tarjetas de fidelización. El RS de INVELIGENT ofrece los siguientes beneficios: Atención personalizada para una mejor experiencia de compra. Gestión de inventario perpetuo. Visibilidad de disponibilidad de productos en punto de venta. 63

64 Reducción de tiempos en conteo de inventario. Figura 4-4: Retail - Integración de la Cadena de Abastecimiento Fuente: (Inveligent, Soluciones Retail, 2014) Fuerza de Ventas La solución SF (Sales force) de INVELIGENT permite a las empresas mantener un control total de un proceso crítico como es la venta de sus productos mediante el uso de dispositivos móviles robustos o smartphones dependiendo de los requerimientos de la operación. Los trabajadores móviles podrán registrar las transacciones en campo tales como: visita, toma de pedido, cobranza, encuestas, actualización de información, creación de clientes, información de promociones y existencia de productos. Los supervisores por su parte acceden a reportes automáticos de las transacciones realizadas por su fuerza de venta en tiempo real e información de la cobertura geográfica mediante el uso de GIS (Sistema de Información Geográfica). (Inveligent, Soluciones Control de Activos, 2014) La utilización de la solución SF de INVELIGENT permite: Optimizar el tiempo de gestión de los vendedores mediante la administración óptima de la ruta de clientes. 64

65 Garantizar la visita del vendedor mediante la validación de presencia real con el cliente. Revisar el histórico de pedidos y pagos del cliente. Agilizar la toma de pedidos y cobranzas en tiempo real, tanto en sistemas de auto venta o preventa que incluyan consultas de stock de existencias y la programación de entregas. Reducir los costos operativos. Disminuir el proceso administrativo desde el usuario del dispositivo móvil hasta el cliente final. Figura 4-5: Fuerza de Ventas Fuente: (Inveligent, Soluciones Control de Activos, 2014) 65

66 4.4 Estructura actual de INVELIGENT La empresa cuenta con una estructura conformada por varios departamentos. A continuación se presenta de manera detallada el organigrama de la empresa. Figura 4-6: Organigrama INVELIGENT Fuente: (Inveligent, 2014) Datos generales de la empresa Figura 4-7: Logotipo de la empresa. Fuente: (Inveligent, 2014) 66

67 Razón Social: Soluciones Tecnológicas Solteflex S.A Nombre Comercial: INVELIGENT Ruc: Dirección: Av. Orellana E11-75 y Av. Coruña esq. Edificio Albra, Of. 306 Teléfono: PBX Matriz: Quito Figura 4-8 Organigrama Departamento Sistemas Fuente: (Inveligent, 2014) 4.5 Mapa de Procesos de INVELIGENT Para elaborar el diseño de los procesos actuales de INVELIGENT se utilizó la herramienta de modelamiento de procesos denominado Edraw Max que permite realizar diagramas a través de los cuales se expresan los procesos de negocio para facilitar la compresión a los usuarios. 67

68 4.5.1 Modelo de Procesos INVELIGENT presenta los siguientes procesos, a continuación se presentan los procesos con sus entradas, políticas, mecanismos y salidas. Figura 4-9: Procesos Inveligent Fuente: Elaboración del autor. A continuación se definen los procesos internos que maneja INVELIGENT 68

69 Figura 4-10: Procesos Internos Inveligent Fuente: Elaboración del autor. En el siguiente INVELIGENT. grafico se muestra los procesos que actualmente dispone Figura 4-11: Procesos Actuales Inveligent 69

70 Proceso Planificar Figura 4-12: Proceso Planificar Fuente: Elaboración del autor. Proceso Organizar Figura 4-13: Proceso Organizar Fuente: Elaboración del autor 70

71 Proceso Ejecutar Figura 4-14: Proceso Ejecutar Fuente: Elaboración del autor. 71

72 4.6 Riesgos Latentes INVELIGENT debe entender que tiene riesgos latentes en todos los aspectos por lo que deben estar preparados de la mejor manera para afrontar estas situaciones. Debido a que cuando se trata de riesgos operacionales catastróficos, es imposible identificar todas las amenazas, las estimaciones de probabilidad son inciertas o se basan en información histórica inexacta, los impactos no son fijos y las escalas numéricas muchas veces sobre exponen el impacto de eventos menores, por tales motivos, la valoración de riegos enfatiza las concentraciones inaceptables de riego conocidos como Simples Puntos de Falla. Para este estudio se realizó el FODA de INVELIGENT Análisis FODA de INVELIGENT INVELIGENT para mantener su competitividad en el mercado analiza sus fortalezas y debilidades así como sus oportunidades y amenazas Fortalezas 1. Conocimiento especializado en consultoría, desarrollo, venta, asistencia técnica, eventos. 2. Trabajo en equipo. 72

73 3. Buena imagen corporativa. 4. Fuerza laboral técnica con nivel medio y superior. 5. Experiencia y conocimiento en el manejo y automatización de bodegas. 6. Cumplimiento de las responsabilidades sociales, tributarias y de servicio. 7. Estructura organizacional reducida y funcional que permite rápida toma de decisiones y gestión de recursos. 8. Instalaciones en buenas condiciones. 9. Prestigio en la prestación de servicios con trayectoria de honradez, honestidad Oportunidades 1. Acceso a nuevas tecnologías de comunicación y procesos. 2. Adaptabilidad de las aplicaciones en las diferentes bodegas. 3. Cambios en el entorno social, económico, político y tecnológico. 4. Posibilidad de exportar. 5. Brindar al cliente un valor agregado. 6. Categorizar a los clientes. 73

74 Debilidades 1. Falta de personal especializado 2. Salarios del sector público más altos que del sector privado 3. Productos a medida. 4. La infraestructura posiblemente con el aumento laboral de proyectos nuevos no sea la adecuada Amenazas 1. Competencia Nacional. 2. Estancarse con un solo producto y no ofrecer diversidad a los clientes. 3. Ingreso de competidores con estructuras de costos menores. 4. Presupuesto mínimo por parte de la empresa para la inversión en el área de tecnología de la información. 74

75 4.7 Situación Actual de la información de INVELIGENT Tratamiento Actual de la información INVELIGENT cuenta con la siguiente infraestructura tecnológica como se muestra a continuación: Figura 4-15: Infraestructura Inveligent. Fuente: (Inveligent, 2014) La zona desmilitarizada o DMZ(Demilitarized zone) se encuentra todavía en un proceso de implementación en el que se alojará el servidor de aplicaciones permitiendo así la conexión entre la red interna de la organización y una red externa (Internet), posee un firewall, para garantizar que se cumplan de manera adecuada las políticas para proteger a las redes locales. 75

76 Posee un modelo jerárquico de tres capas núcleo, distribución y acceso. Dentro de la capa de distribución y núcleo se encuentra conectado un router principal con cableado estructurado (UTP) categoría 5, las funciones de esta capa son proveer ruteo, filtrado, acceso a la red y permite determinar que paquetes deben llegar al núcleo o Core, aquí se encuentran conectados los servidores de base de datos y servicios de INVELIGET. Dentro de la capa de acceso conocida también como capa de puestos de trabajo es el punto donde se clasifica a cada usuario los recursos a los cuales tiene acceso dentro de la red tales como servidores, impresoras, bases de datos. Cuenta con la siguiente infraestructura en hardware: Cuadro 4-1: Hardware Inveligent Hardware que dispone INVELIGENT Comercial 3 Portátil Procesador Core i GHz Memoria 4 GB RAM Disco 500 GB Financiero 4 Portátiles Procesador Core i GHz Memoria 4 GB RAM Disco 500 GB Desarrollo 8 Portátiles Procesador Core i GHz Memoria 4 GB RAM Disco 500 GB 76

77 2 Portátiles Procesador Core i GHz Memoria 6 GB RAM Disco 500 GB 2 Portátiles Procesador Core i GHz Memoria 6 GB RAM Disco 1 TB 2 Portátiles Procesador Core i GHz Memoria 8 GB RAM Disco 1 TB 2 Portátiles Procesador Core 2 DUO 2.2 GHz Memoria 4 GB RAM Disco 1 TB Servidor 1 Servidor de Virtualización con XENSERVER 4 Monitores Samsung 1 LCD LG 1 Proyector Sony 22 Teléfonos Panasonic Fuente: Elaboración del autor 77

78 4.7.2 Conectividad INVELIGENT Cuenta con acceso a red inalámbrica con la cual provee a todos los departamentos para brindar mejor servicio a los clientes y usuarios Software base Cuadro 4-2: Software Inveligent SOFTWARE QUE CUENTA INVELIGENT Terminales: Windows 7 - Windows 8.1 Servidores Windows Server 2008 Base de Datos Microsoft SQL Server Aplicaciones Microsoft office 2010 WinRar Lenguajes de Programación Java Eclipse versión Luna C# Microsoft Visual Studio Dispositivos Móviles My Mobiler SQL Mobile 2008 Fuente: Elaboración del autor 78

79 4.8 Evaluación Interna de INVELIGENT Se evalúa la información obtenida y facilitada por Inveligent utilizando los grados de madurez del cuadro MODELO DE MADUREZ Y ESQUEMA DE EVALUACIÓN. A continuación de detalla la ponderación utilizada. Valor 1-2. Estado de Gestión Inicial. El proceso no ha sido registrado formalmente, se gestiona de manera ad-hoc y al no existir procedimientos definidos, los problemas pueden caotizar el trabajo. Valor 3-4 Estado de Gestión Definido. El proceso está definido y se han elaborado algunos procedimientos que no son aplicados de manera sostenida, el éxito depende exclusivamente del esfuerzo individual de las personas involucradas. No existe conocimiento formal para la operatividad del proceso y el ambiente no es estable. El entrenamiento y la formación es escasa. Valor 5-6 Estado de Gestión Organizado. Se ha definido el proceso y algunos procedimientos y estándares que se aplican en la práctica se gestionan formalmente, algunos requerimientos del cliente en ciertos proyectos o procesos se planifican y controlan los resultados. Se hacen algunos esfuerzos por controlar los recursos e integrar los productos. Se ejecutan acciones correctivas cuando se identifican los problemas. En éste nivel se pone énfasis en el entrenamiento y formación. Valor 7-8 Estado de Gestión Cuantitativo. Los procesos se encuentran documentados y estandarizados y se verifica su aplicación. Los productos y servicios se integran eficientemente y a costos adecuados. Se han establecido procedimientos y registros de control y monitoreo de los procesos, productos y servicios. Se han establecido indicadores de medición cuantitativos para evaluar los productos y servicios. Se realizan 79

80 acciones de corrección preventivas y los productos tienen una calidad predecible. Entrenamiento y formación calificada. Valor 9-10 Estado de Gestión Optimizado La mayoría de procesos, incluyendo los estratégicos, han sido optimizados al máximo y los productos y servicios se generan bajo estándares de calidad especificados. Existe un entendimiento pleno por parte de la organización de lo que significan los procesos de control, medición y evaluación. Se desarrollan permanentemente ideas innovadoras respecto de la eficiencia y competitividad. Se realizan auditorías y verificaciones periódicas, respaldadas por la alta dirección. Los procesos se evalúan aplicando las buenas prácticas de COBIT. 4.9 Evaluación Alineada a los Dominios de COBIT En este punto se evalúa los procesos de INVELIGENT utilizando el cuadro de MODELOS DE MADUREZ Y ESQUEMA DE EVALUACIÓN alineados a las buenas prácticas de COBIT. Evaluación de los dominios con los respectivos procesos: 80

81 4.9.1 Dominio: Planificación y Organización Cuadro 4-3: Evaluación Domino Planificación y Organización 1. PLANIFICACIÓN Y ORGANIZACIÓN 2.31 PO1 Definir un plan estratégico de TI 2.00 PO1.1 Administración del valor de TI 2.00 PO1.2 Alineación de TI con el negocio 2.00 PO1.3 Evaluación del desempeño actual 2.00 PO1.4 Plan estratégico de TI 2.00 PO1.5 Planes tácticos de TI 2.00 PO1.6 Administración del portafolio de TI 2.00 PO2 Definir la arquitectura de la información 3.00 PO2.1 Modelo de arquitectura de información 3.00 empresarial. PO2.2 Diccionario de datos empresarial y reglas de 3.00 sintaxis de datos. PO2.3 Esquema de clasificación de datos PO2.4 Administración de la integridad PO3 Determinar la dirección tecnológica 4.00 PO3.1 Planeación de la dirección tecnológica 4.00 PO3.2 Plan de infraestructura tecnológica 4.00 PO3.3 Monitoreo de tendencias y regulaciones futuras 4.00 PO3.4 Estándares tecnológicos 4.00 PO3.5 Consejo de arquitectura 4.00 PO4 Definir los procesos, organización y 1.00 relaciones de TI PO4.1 Marco de trabajo del proceso 1.00 PO4.2 Comité estratégico

82 PO4.3 Comité directivo (Steering Committee) 1.00 PO4.4 Ubicación organizacional de la función de TI 1.00 PO4.5 Estructura organizacional 1.00 PO4.6 Roles y responsabilidades 1.00 PO4.7 Responsabilidad de aseguramiento de calidad de 1.00 TI PO4.8 Responsabilidad sobre el riesgo, la seguridad y el 1.00 cumplimiento PO4.9 Propiedad de datos y de sistemas 1.00 PO4.10 Supervisión 1.00 PO4.11 Segregación de funciones 1.00 PO4.12 Personal de TI 1.00 PO4.13 Personal clave de TI 1.00 PO4.14 Políticas y procedimientos para personal 1.00 contratado PO4.15 Relaciones 1.00 PO5 Administrar la inversión en TI 3.20 PO5.1 Marco de trabajo para la administración financiera 2.00 PO5.2 Prioridades dentro del presupuesto de TI 1.00 PO5.3 Proceso presupuestal 1.00 PO5.4 Administración de costos 6.00 PO5.5 Administración de beneficios 6.00 PO6 Comunicar las aspiraciones y la dirección de 1.00 la gerencia PO6.1 Ambiente de políticas y de control 1.00 PO6.2 Riesgo Corporativo y Marco de Referencia de 1.00 Control Interno de TI PO6.3 Administración de políticas para TI 1.00 PO6.4 Implantación de políticas de TI 1.00 PO6.5 Comunicación de los objetivos y la dirección de TI

83 PO7 Administrar recursos humanos de TI 1.00 PO7.1 Reclutamiento y Retención del Personal 1.00 PO7.2 Competencias del personal 1.00 PO7.3 Asignación de roles 1.00 PO7.4 Entrenamiento del personal de TI 1.00 PO7.5 Dependencia sobre los individuos 1.00 PO7.6 Procedimientos de Investigación del personal 1.00 PO7.7 Evaluación del desempeño del empleado 1.00 PO7.8 Cambios y terminación de trabajo 1.00 PO8 Administrar la calidad 1.67 PO8.1 Sistema de administración de calidad 1.00 PO8.2 Estándares y prácticas de calidad 1.00 PO8.3 Estándares de desarrollo y de adquisición 3.00 PO8.4 Enfoque en el cliente 3.00 PO8.5 Mejora continua 1.00 PO8.6 Medición, monitoreo y revisión de la calidad 1.00 PO9 Evaluar y administrar los riesgos de TI 1.00 PO9.1 Alineación de la administración de riesgos de TI y 1.00 del negocio PO9.2 Establecimiento del contexto del riesgo 1.00 PO9.3 Identificación de eventos 1.00 PO9.4 Evaluación de riesgos 1.00 PO9.5 Respuesta a los riesgos 1.00 PO9.6 Mantenimiento y monitoreo de un plan de acción 1.00 de riesgos PO10 Administrar proyectos 5.21 PO10.1 PO10.2 Marco de trabajo para la administración de 6.00 programas Marco de trabajo para la administración de 6.00 proyectos 83

84 PO10.3 Enfoque de administración de proyectos 6.00 PO10.4 Compromiso de los interesados 7.00 PO10.5 Estatuto de alcance del proyecto 6.00 PO10.6 Inicio de las fases del proyecto 7.00 PO10.7 Plan integrado del proyecto 7.00 PO10.8 Recursos del proyecto 7.00 PO10.9 Administración de riesgos del proyecto 3.00 PO10.10 Plan de calidad del proyecto 1.00 PO10.11 Control de cambios del proyecto 1.00 PO10.12 Planeación del proyecto y métodos de 4.00 aseguramiento PO10.13 Medición del desempeño, reportes y monitoreo 5.00 del proyecto PO10.14 Cierre del proyecto 7.00 Fuente: Elaboración del autor Dominio: Adquirir e Implementar Cuadro 4-4: Evaluación Dominio Adquirir e Implementar 2. ADQUISICION E IMPLEMENTACION 2.59 AI1 Identificar soluciones automatizadas 2.00 Definición y mantenimiento de los requerimientos AI1.1 técnicos y funcionales del negocio AI1.2 Reporte de análisis de riesgos

85 AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos AI1.4 Requerimientos, decisión de factibilidad y aprobación AI2 Adquirir y mantener software aplicativo 3.00 AI2.1 Diseño de alto nivel 1.00 AI2.2 Diseño detallado 1.00 AI2.3 Control y auditabilidad de las aplicaciones 2.00 AI2.4 Seguridad y disponibilidad de las aplicaciones AI2.5 Configuración e implantación de software aplicativo adquirido 4.00 AI2.6 Actualizaciones importantes en sistemas existentes 5.00 AI2.7 Desarrollo de software aplicativo 5.00 AI2.8 Aseguramiento de la Calidad del Software 2.00 AI2.9 Administración de los requerimientos de aplicaciones 5.00 AI2.10 Mantenimiento de software aplicativo 4.00 AI3 Adquirir y mantener infraestructura tecnológica 1.00 AI3.1 Plan de adquisición de infraestructura tecnológica 1.00 Protección y disponibilidad del recurso de AI3.2 infraestructura 1.00 AI3.3 Mantenimiento de la infraestructura 1.00 AI3.4 Ambiente de prueba de factibilidad 1.00 AI4 Facilitar la operación y el uso 2.50 AI4.1 Plan para soluciones de operación 2.00 AI4.2 Transferencia de conocimiento a la gerencia del negocio 2.00 AI4.3 Transferencia de conocimiento a usuarios finales 3.00 Transferencia de conocimiento al personal de AI4.4 operaciones y soporte 3.00 AI5 Adquirir Recursos de TI 5.00 AI5.1 Control de adquisición

86 AI5.2 Administración de contratos con proveedores 5.00 AI5.3 Selección de proveedores 5.00 AI5.4 Adquisición de recursos de TI 5.00 AI6 Administrar cambios 2.00 AI6.1 Estándares y procedimientos para cambios 2.00 AI6.2 Evaluación de impacto, priorización y autorización 2.00 AI6.3 Cambios de emergencia 2.00 AI6.4 Seguimiento y reporte del estatus de cambio 2.00 AI6.5 Cierre y documentación del cambio 2.00 AI7 Instalar y acreditar soluciones y cambios 2.67 AI7.1 Entrenamiento 5.00 AI7.2 Plan de prueba 5.00 AI7.3 Plan de implantación 1.00 AI7.4 Ambiente de prueba 4.00 AI7.5 Conversión de sistema y datos 1.00 AI7.6 Pruebas de Cambios 5.00 AI7.7 Prueba final de aceptación 1.00 AI7.8 Transferencia a producción 1.00 AI7.9 Revisión posterior a la implantación 1.00 Fuente: Elaboración del autor 86

87 4.9.3 Dominio: Entregar y Dar Soporte Cuadro 4-5: Evaluación Dominio Entrega de Servicio y Soporte 3. ENTREGA DE SERVICIO Y SOPORTE 2.94 DS1 Definir y administrar los niveles de servicio 4.00 Marco de trabajo de la administración de los niveles DS1.1 de servicio 4.00 Definición de servicios DS1.2 Reporte de análisis de riesgos 4.00 DS1.3 Acuerdos de niveles de servicio 4.00 DS1.4 Acuerdos de niveles de operación Monitoreo y reporte del cumplimento de los niveles DS1.5 de servicio 4.00 Revisión de los acuerdos de niveles de servicio y de DS1.6 los contratos 4.00 DS2 Administrar los servicios de terceros 4.00 Identificación de las relaciones con todos los DS2.1 proveedores 1.00 Administración de las relaciones con los DS2.2 proveedores 5.00 DS2.3 Administración de riesgos del proveedor 5.00 DS2.4 Monitoreo del desempeño del proveedor 5.00 DS3 Administrar el desempeño y la capacidad 3.40 DS3.1 Planeación del desempeño y la capacidad 4.00 DS3.2 Capacidad y desempeño actual 4.00 DS3.3 Capacidad y desempeño futuros 1.00 DS3.4 Disponibilidad de recursos de TI 4.00 DS3.5 Monitoreo y reporte 4.00 DS4 Garantizar la continuidad de los servicios

88 DS4.1 TI Marco de trabajo de continuidad 4.00 DS4.2 Planes de continuidad de TI 4.00 DS4.3 Recursos críticos de TI 4.00 DS4.4 Mantenimiento del plan de continuidad de TI 4.00 DS4.5 Pruebas del plan de continuidad de TI 4.00 DS4.6 Entrenamiento del plan de continuidad de TI 4.00 DS4.7 Distribución del plan de continuidad de TI 4.00 DS4.8 Recuperación y reanudación de los servicios de TI 4.00 Almacenamiento de respaldos fuera de las DS4.9 instalaciones 1.00 DS4.10 Revisión post-reanudación 4.00 DS5 Garantizar la seguridad de los sistemas 3.18 DS5.1 Administración de la seguridad de TI 4.00 DS5.2 Plan de seguridad de TI 1.00 DS5.3 Administración de identidad 4.00 DS5.4 Administración de cuentas del usuario 4.00 DS5.5 Pruebas, vigilancia y monitoreo de la seguridad 4.00 DS5.6 Definición de incidente de seguridad 4.00 DS5.7 Protección de la tecnología de seguridad 4.00 DS5.8 Administración de llaves criptográficas 4.00 Prevención, detección y corrección de software DS5.9 malicioso 1.00 DS5.10 Seguridad de la red 4.00 DS5.11 Intercambio de datos sensitivos 1.00 DS6 Identificar y asignar costos 4.00 DS6.1 Definición de servicios 4.00 DS6.2 Contabilización de TI 4.00 DS6.3 Modelación de costos y cargos 4.00 DS6.4 Mantenimiento del modelo de costos

89 DS7 Educar y entrenar a los usuarios 1.00 Identificación de necesidades de entrenamiento y DS7.1 educación 1.00 DS7.2 Impartición de entrenamiento y educación 1.00 DS7.3 Evaluación del entrenamiento recibido 1.00 DS8 Administrar la Mesa de Servicio y los Incidentes 2.80 DS8.1 Mesa de Servicios 1.00 DS8.2 Registro de consultas de clientes 4.00 DS8.3 Escalamiento de incidentes 4.00 DS8.4 Cierre de incidentes 4.00 DS8.5 Análisis de tendencias 1.00 DS9 Administrar la configuración 1.00 DS9.1 Repositorio de configuración y línea base 1.00 DS9.2 Identificación y mantenimiento de elementos de configuración 1.00 DS9.3 Revisión de integridad de la configuración 1.00 DS10 Administración Problemas 4.00 DS10.1 Identificación y clasificación de problemas 4.00 DS10.2 Rastreo y resolución de problemas 4.00 DS10.3 Cierre de problemas 4.00 DS10.4 Integración de las administraciones de cambios, configuración y problemas 4.00 DS11 Administración de la información 4.00 Requerimientos del negocio para administración de DS11.1 datos 4.00 DS11.2 Acuerdos de almacenamiento y conservación 4.00 DS11.3 Sistema de administración de librerías de medios 4.00 DS11.4 Eliminación 4.00 DS11.5 Respaldo y restauración

90 DS11.6 Requerimientos de seguridad para la administración de datos 4.00 DS12 Administración del ambiente físico 1.00 DS12.1 Selección y diseño del centro de datos 1.00 DS12.2 Medidas de seguridad física 1.00 DS12.3 Acceso Físico 1.00 DS12.4 Protección contra factores ambientales 1.00 DS12.5 Administración de instalaciones físicas 1.00 DS13 Administración de operaciones 2.20 DS13.1 Procedimientos e instrucciones de operación 1.00 DS13.2 Programación de tareas 1.00 DS13.3 Monitoreo de la infraestructura de TI 4.00 DS13.4 Documentos sensitivos y dispositivos de salida DS13.5 Mantenimiento preventivo del hardware 1.00 Fuente: Elaboración del autor Dominio: Monitorear y Evaluar Cuadro 4-6: Evaluación Dominio Monitorear y Evaluar 4. MONITOREO 2.83 ME1 Monitorear y evaluar el desempeño de TI 2.00 ME1.1 Enfoque del Monitoreo 1.00 ME1.2 Definición y recolección de datos de monitoreo Reporte de análisis de riesgos 3.00 ME1.3 Método de monitoreo 3.00 ME1.4 Evaluación del desempeño

91 ME1.5 Reportes al consejo directivo y a ejecutivos 1.00 ME1.6 Acciones correctivas 3.00 ME2 Monitorear y evaluar el control interno 4.00 ME2.1 Monitorear el marco de trabajo de control interno 4.00 ME2.2 Revisiones de Auditoria 4.00 ME2.3 Excepciones de control 4.00 ME2.4 Auto-evaluación de control 4.00 ME2.5 Aseguramiento del control interno 4.00 ME2.6 Control interno para terceros 4.00 ME2.7 Acciones correctivas 4.00 ME3 Garantizar el cumplimiento regulatorio 2.60 Identificar las leyes y regulaciones con impacto ME3.1 potencial sobre TI 3.00 Optimizar la respuesta a requerimientos ME3.2 regulatorios 3.00 ME3.3 Evaluación del cumplimiento con requerimientos regulatorios 3.00 ME3.4 Aseguramiento positivo del cumplimiento 3.00 ME3.5 Reportes integrados 1.00 ME4 Proporcionar gobierno de TI 2.71 ME4.1 Establecer un marco de trabajo de gobierno para TI 1.00 ME4.2 Alineamiento estratégico 1.00 ME4.3 Entrega de valor 4.00 ME4.4 Administración de recursos 4.00 ME4.5 Administración de riesgos 4.00 ME4.6 Medición del desempeño ME4.7 Aseguramiento independiente Fuente: Elaboración del autor 91

92 4.10 Resultados de la Evaluación Mejores Prácticas de COBIT Una vez culminada la evaluación se obtiene lo siguientes resultados de los dominios de COBIT, que son productos del promedio de los procesos evaluados A continuación se detalla los resultados obtenidos en base a la documentación que se puede encontrar en los documentos del Anexo C. Cuadro 4-7: Resultados evaluación Cobit RESULTADOS DOMINIOS DE COBIT PUNTAJE 1. PLANIFICACIÓN Y ORGANIZACIÓN ADQUISICION E IMPLEMENTACION ENTREGA DE SERVICIO Y SOPORTE MONITOREAR Y EVALUAR 2.83 Fuente: Elaboración del autor Se puede concluir que la mayoría de los procesos de Inveligent están en un estado inicial con respecto a las mejores prácticas de COBIT. Se puede observar que los dominios de COBIT obtuvieron puntajes bajos como se refleja en el Cuadro 4-7. El dominio de ENTREGA DE SERVICIO Y SOPORTE es el dominio que tuvo mayor puntuación, lo que nos indica que existe preocupación por mejorar los servicios de Inveligent 92

93 A continuación se presenta el gráfico de los resultados obtenidos: Figura 4-16: Resultados COBIT 4.1 Fuente: Elaboración del autor Con la evaluación de COBIT 4.1 se visualiza en forma general que en Inveligent está comenzando un proceso de mejoramiento y utilizando nuevas metodologías, pero requieren de mayor esfuerzo para lograr sus objetivos. Se describe algunas realidades de Inveligent y su interrelación con otras áreas. No existe un área dentro de Inveligent que se dedique a gestionar la tecnología que requiere, que juntamente con la dirección de informática tomen decisiones compartidas para satisfacer las necesidades reales. No se dispone de un presupuesto de infraestructura tecnológica. 93

94 Se puede notar que el manejo del control de riesgos se da por esfuerzos individuales antes que por esfuerzos en conjuntos los mimos que sean planificados con anterioridad que sirvan para proteger los activos de información. No se dispone de Planes de continuidad del Negocio. No cuenta con un programa planificado de backups que permita respaldar la información, en caso de presentarse algún inconveniente inesperado. No se cuenta con una política para el manejo de la información generada por Inveligent al contrario cada uno es responsable de la información que maneja. La Dirección de Informática dispone de estándares, procedimientos y buenas prácticas para asegurar la ejecución de procesos de calidad, pero falta implementarlos y difundirlos con mayor interés. De la misma manera, cuenta con estándares para el desarrollo de sistemas que en su momento no son aplicados en su totalidad sino solo parte de ella, se tiene metodologías y convenciones para identificar datos y dar solución pero no se aplican de manera continua. No se evidencia procesos de mejora continua en relación a la administración de calidad. Existe un esfuerzo por cumplir con las normas de contratación de personal, capacitación, evaluación del desempeño y culminación de contratos por parte de la administración de talento humano, observado y cumpliendo con las políticas y normas internas con lo que se refiere a este aspecto. 94

95 CAPÍTULO V 5 PROPUESTA DE UN PLAN DE INFRAESTRUCTURA INTERNA PARA INVELIGENT. En este capítulo se desarrollará la propuesta de modelo de infraestructura Interna para Inveligent basados en COBIT 4.1, tomando en cuenta las evaluaciones realizadas en el capítulo anterior. Previo al desarrollo de la propuesta, se consideran las siguientes conclusiones que derivan del análisis realizado: Falta un marco de trabajo para la administración de los niveles de servicio, tampoco existen acuerdos definidamente formalizados de niveles de servicio acorde a los requerimientos y exigencias de Inveligent. Inveligent ha mantenido una mejora continua de su gestión, pero se ve limitado por la falta de infraestructura tecnológica, por esta razón es indispensable definir un modelo de gobierno de TI para Inveligent y no depender de terceros. En la dirección de informática falta un área o personal especializado asignado a resolver los requerimientos internos. 5.1 Antecedentes 95

96 Inveligent necesita mejorar la infraestructura tecnológica que posee actualmente para brindar un servicio de calidad, que permita analizar e implementar las seguridades en todos los aspectos para el manejo de información. 5.2 Objetivos 5.3 Objetivo General Desarrollar, con base en COBIT, un plan de administración de infraestructura tecnológica para fortalecer el uso de las TI y satisfacer las necesidades de los clientes Objetivos Específicos Analizar la situación tecnológica de Inveligent. Determinar las características y requerimiento tecnológicos de Inveligent. Entregar un plan de administración de infraestructura interna para proporcionar orientación sobre cómo usar y apoyar una variedad de actividades de aseguramiento de TI. Elaborar un modelo de Infraestructura interna mediante COBIT para la administración de Inveligent. 5.4 DESARROLLO 96

97 Inveligent dispone de información la cual se deberá resguardar de la mejor manera y proteger buscando la confidencialidad, disponibilidad, integridad y autenticidad. Además, tiene recursos de tecnología como aplicaciones, infraestructura y de recursos humanos, desarrollaremos el plan de infraestructura basados en la buenas prácticas de COBIT. Se utilizó la siguiente herramienta Edraw Max para la elaboración de procesos, pretendiendo modelar funciones, procesos y actividades e ir descubriendo sus interrelaciones, con el fin de contestar las diferentes preguntas que son difíciles de entender y describir en palabras. Edraw Max está basando en el ICOM, que es un acrónimo de las siguientes categorías de información (Intriago, 2014) : I = Input, algún bien, dato o información que se consume en el proceso. C= Control, una restricción en la operación del proceso. O= Output, lo que sale del proceso. M= Mechanic, mecanismo que es usado para ejecutar el proceso, pero que este no es consumido. Todos los ICOM son capturados en los diagramas IDEF0 (Integrated Computer Automated Manufacturing Definition) y siguiendo la metodología SAD, (Structured Analysis and Desig Technique) (Intriago, 2014, pág. 4). 97

98 Es una notación diagramática diseñando específicamente para ayudar a las personas a describir y comprender los sistemas. Ofrece la construcción de bloques para representar a entidades y actividades, y una variedad de flechas para relacionar las cajas. Estas cajas y flechas tienen una semántica informal la misma que se puede utilizar como una herramienta de análisis funcional de un proceso dado, utilizando niveles sucesivos de detalles. Este método no solo permite definir las necesidades del usuario para desarrollos de TI, que a menudo se utilizan en los sistemas de información industrial, sino también para explicar y presentar los procesos de una actividad de fabricación y procedimientos Figura 5-1: Ejemplo ICOM Fuente: Elaboración del autor 98

99 Desarrollo de un Modelo de Infraestructura Tecnológica para INVELIGENT basado en dominios de COBIT. Modelo basado en las mejores prácticas de COBIT que se adaptan a las necesidades del negocio de INVELIGENT. Figura 5-2: Modelo Infraestructura Tecnológica Fuente: COBIT 4.1 Elaboración del autor 99

100 5.5 Modelo Propuesto y Proceso de Gestión Inveligent deberá manejar los procesos que se muestra a continuación: Figura 5-3: Modelo Propuesto Inveligent Fuente: COBIT 4.1 Elaboración del autor 100

101 Mapa de modelo de procesos para INVELIGENT. Figura 5-4: Modelo Infraestructura Inveligent. Fuente: COBIT 4.1 Elaboración del autor 101

102 A continuación se muestra los procesos que se debería disponer en INVELIGENT. Figura 5-5: Procesos Propuestos Fuente: COBIT 4.1 Elaboración del autor 102

103 5.5.1 Planear y Organizar Proceso Planear y Organizar con sus entradas, herramientas, procedimientos y salidas. Figura 5-6: Proceso Planear y Organizar. Fuente: COBIT 4.1 Elaboración del autor El ciclo de vida comenzará con la primera fase que es planear y organizar en donde destacaremos los siguientes procesos: PO1 Definir el plan estratégico de TI Inveligent debe tener una planeación estratégica de TI interna que refleje su objetivo principal y los medios efectivos para lograrlo el mismo que debe ir alineando el plan estratégico de la Dirección de Informática, para que satisfaga 103

104 los requerimientos de TI y al mismo tiempo se mantengan los beneficios de costo y riesgo. Al integrarse los objetivos de forma balanceada se convierte en un plan operativo anual POA el mismo que permite concretar y facilitar la implementación de las propuestas contenidas en el plan estratégico. Figura 5-7: Plan Operativo Anual de Inveligent Fuente: COBIT 4.1 Elaboración del autor Un plan estratégico busca satisfacer metas a largo y corto plazo para cumplir con los objetivos del negocio y su relación con las necesidades tecnológicas. PO3 Determinar la dirección tecnológica. Este proceso está relacionado con los criterios de información de efectividad y eficiencia esta función de servicios debe dar soporte al negocio el mismo que debe contar con un plan de infraestructura tecnológica y un comité de arquitectura 104

105 que se enfoque en aprovechar las oportunidades tecnológicas y permita planear cuál dirección tecnológicas es apropiada tomar para llevar a cabo las estrategias de TI y de arquitectura de negocios. Figura 5-8: PO3 Determinar la dirección tecnológica. Modelo de Arquitectura de Información Empresarial Diccionario de Datos Empresariales y Reglas de sintaxis de datos Esquema de Calsificació n de datos Administación de la Integridad Fuente: COBIT 4.1 Elaboración del autor PO4 Definir Procesos, organización y Relaciones de TI. Se debe definir los procesos, organización y relaciones de TI tomando en cuenta los requerimientos de personal, funciones, delegaciones, autoridad, roles, responsabilidades. Enfocándose en la definición de procesos de TI para llevar a cabo con los propietarios tareas relacionadas que permitan generar servicios y la integración de roles y responsabilidades hacia los procesos de negocio y al momento de la toma de decisiones. 105

106 Figura 5-9: Procesos, Organización y Relaciones de TI. Fuente: Elaboración del autor Fuente: COBIT 4.1 Elaboración del autor PO6 Comunicar las aspiraciones y la dirección de la Gerencia. Se debe contar con un marco de control para TI bajo parámetros claros de comunicación continua de políticas y procedimientos que permitan alinearse con las directrices de la gerencia para lograr los objetivos de servicio y que exista armonía en la administración de esta área. 106

107 Figura 5-10: Comunicar las Aspiraciones Fuente: COBIT 4.1 Elaboración del autor PO8 Administrar Calidad. Administrar calidad se enfoca en buscar el mejoramiento integral de la organización mediante la creación continua de valor para el cliente la optimización y mejora de los procesos para lo cual se debe elaborar un sistema de administración de calidad el cual cumpla con los procesos y estándares, tomando en cuenta que este es un proceso interno de Inveligent. 107

108 Figura 5-11: Administrar Calidad Fuente: COBIT 4.1 Elaboración del autor PO9 Evaluar y Administrar riesgos de TI Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. 108

109 Figura 5-12: Evaluar y Administrar Riesgos de TI Fuente: COBIT 4.1 Elaboración del autor Nuevas Estrategias para Inveligent En esta fase se establece el valor del servicio que tiene Inveligent. El valor se crea a través del efecto de la utilidad y la garantía. El proveedor de servicios debe entender cuál es la proposición de valor adecuada para sus clientes y después proporcionarla. Definir el mercado, desarrollar lo que se ofrecerá. 109

110 Para lo cual se desarrollará dos gestiones que son: Portafolio de Servicios y Demanda que dará como resultado la documentación de los objetivos y políticas de negocio que permitirán ver mercados que se acoplen al servicio. Portafolio de Servicios: Definir (Inventario de servicios / Casos de Negocio) Analizar (Proposición de valor / Prioridades) Aprobar (Portafolio de Servicios, autorización) Comunicación de servicios y Distribución de Recursos. Necesidades del negocio Proveedores de servicios. Análisis de impacto en el negocio (BIA) Gestión de la Demanda Modelos de la actividad del negocio. Análisis de patrones de actividades Perfiles de usuarios. 110

111 Figura 5-13: Evaluar Administrar Riesgos de TI Fuente: COBIT 4.1 Elaboración del autor 111

112 5.5.3 Propuesta de Nueva Estrategia para Inveligent Proceso Nuevas Estrategias con entradas, herramientas, procedimientos y salidas. Figura 5-14: Propuesta de nuevas Estrategias Fuente: COBIT 4.1 Elaboración del autor 112

113 5.5.4 Diseño Nuevos Productos En el proceso de diseño y soluciones de servicio de infraestructura informática que sean innovadoras intervienen un gran número de factores, ente los cuales se menciona los técnicos y económicos que son en este caso los más relevantes. Por lo tanto llevar a cabo el diseño de un nuevo producto o servicio se verá asociado con entender el Valor del servicio que presta Inveligent, para que los elementos tecnológicos y los procesos respondan con las estrategias planteadas cumpliendo con el diseño de la arquitectura y las políticas de TI. Figura 5-15: Nuevos Productos Fuente: COBIT 4.1 Elaboración del autor 113

114 5.5.5 Implementar Nuevas Soluciones Informáticas Proceso Implementar Nuevas Soluciones Informáticas con entradas, herramientas, procedimientos y salidas. Figura 5-16: Implementar Nuevas Soluciones Fuente: COBIT 4.1 Elaboración del autor AI1 Identificar soluciones automatizadas. Realizar un análisis previo antes de adquirir una nueva aplicación o función dará una visión completa que garantice que los requisitos de negocio se satisfacen de manera eficiente y confiable antes de realizar la compra o el desarrollo permitiendo de esta manera realizar gastos innecesarios. 114

115 Figura 5-17: Identificar Soluciones Automatizadas Fuente: COBIT 4.1 Elaboración del autor AI3 Adquirir y mantener la infraestructura tecnológica Adquirir y mantener la infraestructura tecnológica de una empresa define en gran medida el éxito y eficiencia de la misma, lo cual se traduce en un incremento sostenido de la inversión en IT. La adquisición de infraestructura, se va dando en base a las necesidades que surgen con los requerimientos presentados en un momento determinado no se refiere a realizar una evaluación tecnológica para identificar el desempeño de un nuevo hardware o software. 115

116 Figura 5-18: Adquirir e Implementar Fuente: COBIT 4.1 Elaboración del autor AI4 Facilitar la operación y el uso. Este proceso especifica aspectos a implementar o adecuar para mejorar el rendimiento de la empresa. Permite contar con un plan para identificar y documentar los aspectos técnicos tales como manuales de usuario, de TI también proporciona capacitaciones y entrenamiento sobre los nuevos sistemas para garantizar el uso adecuado de las aplicaciones y la infraestructura interna. Figura 5-19: Facilitar Operación y Uso 116

117 Fuente: Elaboración del autor AI5 Adquirir recursos de TI. Adquirir recursos de TI mejora la organización permitiendo controlar y coordinar las actividades y permite tomar decisiones mucho más efectivas. Implementar tecnologías de información apropiadas incluyendo personas, hardware, software y servicios puede significar un incremento en el potencial competitivo de la empresa. Involucrando directamente a la Dirección Administrativa y la Dirección de Informática las cuales con un análisis técnico puedan seleccionar proveedores, que se ajuste a las necesidades y al presupuesto para que se pueda realizar las adquisiciones necesarias. Figura 5-20: Adquirir Recursos de TI Fuente: COBIT

118 Elaboración del autor Administración de niveles de Servicio Proceso Administración de Niveles de servicio con entradas, herramientas, procedimientos y salidas. Figura 5-21: Entregar y Dar soporte Fuente: COBIT 4.1 Elaboración del autor 118

119 DS1 Administrar niveles de servicio. Contar con una documentación y un acuerdo de servicios de TI y establecer un entendimiento de los niveles de servicio permite formalizar los criterios de rendimiento contra los cuales se medirá la cantidad y la calidad del servicio que se entregará. Permitiendo que los problemas y los incidentes sean resueltos a la brevedad posible. Figura 5-22: Definir y Administrar los Niveles de servicio Fuente: COBIT 4.1, 2011 Elaboración del autor 119

120 DS3 Administrar desempeño y capacidad. Administrar el desempeño y la capacidad de los recursos de TI asegura que todos los servicios estén respaldados correctamente para que funcionen interrumpidamente de manera confiable y a un costo razonable y en caso que la disponibilidad falle se pueda responder de manera oportuna. Esta gestión debe ser revisada periódicamente. Figura 5-23: Definir y Administrar Desempeño Actual Fuente: COBIT 4.1, 2011 Elaboración del autor DS7 Educar y entrenar a los usuarios. Para lograr una educación efectiva de los usuarios de sistemas de TI, es necesario identificar las necesidades de cada grupo y entrenarlos de manera 120

121 eficiente para que puedan responder de manera oportuna en cualquier eventualidad que se presente. Figura 5-24: Educar y entrenar a los usuarios Fuente: COBIT 4.1, 2011 Elaboración del autor DS12 Administrar el ambiente físico. La protección del equipo de cómputo y del personal requiere de instalaciones bien diseñadas y bien administradas (IT Governance Institute, 2010). De lo definido por COBIT el área de Sistemas de Inveligent entiende y acepta la necesidad de mantener un ambiente físico controlado por lo cual se va a trabajar en este aspecto para de esta manera satisfacer las necesidades y brindar los servicios que la organización requiere. 121

122 Figura 5-25: Administración del Ambiente físico Fuente: COBIT 4.1, 2011 Elaboración del autor DS13 Administrar las operaciones. La administración de operaciones provee de una guía de actividades y es una herramienta que se utiliza para tomar decisiones y alcanzar una administración eficiente del procesamiento de datos y del mantenimiento de hardware. 122

123 Figura 5-26: Administración de operaciones Fuente: COBIT 4.1, 2011 Elaboración del autor Monitorear, Evaluar y Mejorar el Desempeño de TI, en Inveligent Proceso Monitoreó con entradas, herramientas, procedimientos y salidas. 123

124 Figura 5-27: Administración de Monitoreo Fuente: COBIT 4.1, 2011 Elaboración del autor ME1 Monitorear y evaluar el desempeño de TI. Una efectiva administración del desempeño de TI requiere un proceso de monitoreo. Monitorear asegura que el área de tecnología de información se desempeñe tal y como se espera, el objetivo es proporcionar a los usuarios finales una experiencia de calidad. Al momento Inveligent no cuenta con un proceso que incluya la definición de indicadores de desempeño que permitan poder tomar medidas cuando estos no estén funcionando de manera correcta. 124

125 Figura 5-28: Monitorear y evaluar el desempeño de TI Fuente: COBIT 4.1, 2011 Elaboración del autor ME3 Garantizar cumplimiento regulatorio. Una supervisión del cumplimiento regulatorio permite la identificación de los requisitos legales y regulatorios con TI, evaluar el impacto de los requisitos regulatorios permitirá conocer a Inveligent si cumple con las normas de regulación relacionadas con TI. 125

126 Figura 5-29: Garantizar el cumplimiento Fuente: COBIT 4.1, 2011 Elaboración del autor Como último paso se muestra el modelo propuesto, el mismo que se irá mejorando con el paso del tiempo. A continuación se elabora una guía práctica que aportará a Inveligent en la mejora de sus servicios mediante la aplicación efectiva de sus procesos y la calidad de los mismos. 126

127 5.6 Propuesta de actividades para cumplir el modelo presentado A continuación se presentan un listado con el resumen de actividades que Inveligent deberá cumplir para poner en práctica el modelo del plan de administración de infraestructura propuesto en el presente proyecto, ya sea una parte o su totalidad, el mismo que deberá acoplarse con los procesos y políticas para cumplir el logro de los objetivos. Cuadro 5-1: Lista actividades Inveligent INVELIGENT Actualizar el plan de seguridad de TI y monitoreo. Análisis para garantizar los requisitos del negocio funcional y técnico. Coordinar con las áreas para poder evaluar, identificar, cuantificar y asignar presupuesto. Formar un equipo de personal capacitado para realizar un análisis de los requerimientos reales que necesita Inveligent en cuanto a las TIC. Monitoreo de la infraestructura de TI. Monitorear y evaluar el desempeño interno. Proceso de administración del ambiente físico de TI. Definición de niveles de servicios con los usuarios. Políticas bien definidas. Mejorar los procesos internos. Fortalecer y mejorar los procedimientos para adquirir recursos TIC. Implementar un portafolio de servicios. Asegurar la información de impacto ya sea en la nube o en sitios seguros. Planificar reuniones para la evaluación de riesgos, seguridad y cumplimiento. Dar seguimiento y registro de mantenimiento de los equipos existentes ya sean estos preventivos o correctivos. Realizar el Plan de mejora continua. Plan para adquirir, implementar y actualizar la infraestructura tecnológica. Fuente: Elaboración del autor 127

128 CAPÍTULO VI 6 CONCLUSIONES Y RECOMENDACIONES A continuación se presentan las conclusiones y recomendaciones obtenidas en la realización del presente proyecto. 6.1 CONCLUSIONES Se eligió COBIT por ser una herramienta de buenas prácticas ya probadas a nivel mundial, para mejorar la gestión de las empresas en general. En el presente proyecto ha sido pilar fundamental, ya que ha permitido proponer un modelo de gestión de TI para Inveligent, alineando a las políticas de la organización. Dentro del entorno actual de las empresas, la posesión de tecnología no supone por sí misma una ventaja competitiva, es la gestión adecuada de la misma lo que puede hacer la diferencia; por esta razón COBIT se convierte en una solución apropiada para el desarrollo de la gestión, gracias a sus ventajas en el manejo tecnológico, de modo que se oriente hacia metas de la empresa a través de una administración inteligente de las TI. En cuanto a la adquisición de recursos tecnológicos, tiene una dependencia directa de la Dirección Administrativa y Financiera Adquisiciones. 128

129 Falta de un procedimiento para el manejo de Incidentes que permita solucionar en el menor tiempo las alteraciones en los servicios, clasificando por nivel de solución de las incidencias. Falta la formación un equipo multidisciplinario para solucionar los requerimientos de TI. Existen muchos estándares a seguir, esto no quiere decir que se deben utilizar todos, hay que identificar qué se desea mejorar y tomar las mejores prácticas que sirvan como modelo. En el presente proyecto, se tomó como referencia las buenas prácticas de COBIT, que son estándares que ayudan a contar con un buen Gobierno de TI, que permitirá asegurar la obtención de beneficios de las inversiones en TI, en base a la correcta gestión de riesgos, recursos y alineamiento estratégico. La propuesta del plan de administración de infraestructura desarrollado en el presente proyecto, ha sido creado en base a la información proporcionada por Inveligent, orientando a sus objetivos y estrategias de negocios. Adoptar un plan de forma progresiva con énfasis en la mejora continua permite una visibilidad relativamente rápida de los beneficios del buen Gobierno de TI y un mejor manejo del cambio cultural en la organización. 129

130 6.2 RECOMENDACIONES Mejorar la infraestructura tecnológica de Inveligent, aplicando las estrategias propuestas en el modelo. Que en la Dirección de Informática existan profesionales asignados exclusivamente a satisfacer los requerimientos de Inveligent. Capacitar a los encargados de la gestión de TI, como por ejemplo para que realicen respaldos de seguridad de datos de forma permanente y confiable. Desarrollar el portafolio de servicios con su identificación, definición, evaluación, priorización, selección y gestión de proyectos. En cada uno de estos se mantiene un marco de gestión del proyecto en el cual se define el alcance y los límites de la gestión de los proyectos para cada año. Revisar cada año la arquitectura de información de Inveligent para observar y analizar si cumple con la lógica del negocio. Inveligent debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo. TI debe garantizar el cumplimiento de la aplicación de las leyes, regulaciones y los requerimientos contractuales están bajo su responsabilidad como por ejemplo sobre mantenimiento, licenciamiento y renovación. 130

131 Diseñar una estrategia adecuada para el cumplimiento de esta actividad con la incorporación de profesionales con especialidad en Tecnologías de Información y Comunicación (TIC). Existen varias razones por las que se recomienda implementar la metodología COBIT 4.1, ya que se podrá obtener los siguientes beneficios como: Optimización de recursos, Disponibilidad de Información, Infraestructura tecnológica, Soporte a usuarios, Protección de datos, Políticas y procedimientos adecuados para cada proceso. Permitiendo así alcanzar todo el potencial que promete la tecnología, generando un ambiente de confianza con los directivos y usuarios, contribuyendo al logro de los objetivos estratégicos de la empresa. 131

132 7 GLOSARIO DE TÉRMINOS A ADQUISICIÓN E IMPLEMENTACIÓN: Dominio de COBIT el cual, para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. APLICACIONES: Recurso de TI en COBIT, definido como sistemas de aplicación; la suma de procedimientos manuales y programados. C CATÁLOGO DE SERVICIOS: es el subconjunto de la cartera de servicios visible para los clientes. Actúa como portal de adquisición para los clientes, donde se incluyen los precios y compromisos acerca de los servicios, además de los términos y condiciones para la prestación de los servicios. COBIT: Control Objetives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas). CONFIDENCIALIDAD: Criterio de información de COBIT que hace referencia a la protección de información sensible contra divulgación no autorizada. D DATOS: Recurso de TI en COBIT, definido como los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. 132

133 DISPONIBILIDAD: Criterio de información de COBIT que hace referencia a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. E EFECTIVIDAD: Criterio de información de COBIT que hace referencia a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. EFICACIA: Factor de evaluación de los procesos en que se mide el logro apropiado de los objetivos. EFICIENCIA: Factor de evaluación de los procesos en que se mide el manejo apropiado de los recursos. ENTREGA Y SOPORTE: Dominio de COBIT que hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. F FODA: Fortalezas, Oportunidades, Debilidades y Amenazas. Lo podemos definir como una herramienta de análisis estratégico, que permite analizar elementos internos a la empresa y por tanto controlables, tales como fortaleza y debilidades, además de factores externos a la misma y por tanto no controlables, tales como oportunidad y amenazas. 133

134 G GOBIERNO: Hace referencia a los procesos y estructuras utilizados para dirigir y gerenciar la organización. Hace referencia al rol de la Alta Gerencia y de la Junta Directiva. I IDEF0 o IDEFØ: (Integration Definition for Function Modeling) es un método diseñado para modelar decisiones, acciones y actividades de una organización o sistema. INTEGRIDAD: Criterio de información de COBIT que hace referencia a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. ISACA: Information Systems Audit and Control Asociation. IT: Information Technology Tecnología de Información. L LÓGICA DEL NEGOCIO: el término lógica de negocio es la parte de un sistema que se encarga de las tareas relacionadas con los procesos de un negocio, tales como ventas, control de inventario, contabilidad, etc. 134

135 M MONITOREO: Dominio de COBIT el cual evalúa regularmente todos los procesos a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. P PLANEACIÓN Y ORGANIZACIÓN: Dominio de COBIT que cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. PORTAFOLIOS DE SERVICIOS: Representa una lista completa de los servicios gestionados por un proveedor de servicios; algunos de estos servicios son visibles a los clientes. Contiene compromisos contractuales vigentes, información sobre el desarrollo de servicios nuevos y planes de mejoramiento continuo a los servicios, iniciados por Perfeccionamiento Continuo del Servicio. T TECNOLOGÍA: Recurso de TI en COBIT, definido que cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. TIC: son tecnologías de la información y de comunicaciones, constan de equipos de programas informáticos y medios de comunicación para reunir, almacenar, procesar, transmitir y presentar información en cualquier formato es decir voz, datos, textos e imágenes. 135

136 8 BIBLIOGRAFÍA 1. ACHINA, I. Elaboracion del autor. Quito. 2. FITZGERALD, O. (8 de 10 de 2014). Investigación 2 Cobit. Obtenido de Investigación 2 Cobit: 02 de Octubre de 2014 de 3. GRADOS, J. (s.f de 2014). La entrevista en las Organizaciones. Obtenido de La entrevista en las Organizaciones: 05 de Octubre de 2014 de 4. HURTADO, M. (s.f de 2013). Auditoría de Sistemas. Obtenido de Auditoría de Sistemas: 12 de Octubre de 2014 de hurtado.blogspot.com/p/cobit_198.html 5. Institute, IT Governance. (01 de 08 de 2014). Institute, IT Governance (2007). Obtenido de COBIT 4.1: 6. INTRIAGO, J. (31 de 07 de 2014). Diagrama de Datos. Obtenido de Diagrama de Datos: 18 de Octubre de 2014 de 7. INVELIGENT. (12 de 01 de 2012). Almacenamiento. Obtenido de Almacenamiento: 14 de Octubre de 2014 de 8. INVELIGENT. (12 de 01 de 2012). Logistica y Transporte. Obtenido de Logistica y Transporte: 20 de Octubre de 2014 de 9. INVELIGENT. (16 de 12 de 2014). Organigrama Estructural. Quito. 10. INVELIGENT. (16 de 01 de 2014). Proceso Manufactura. Obtenido de Proceso Manufactura: INVELIGENT. (02 de 11 de 2014). Soluciones Control de Activos. Obtenido de Soluciones Control de Activos: INVELIGENT. (12 de 12 de 2014). Soluciones Retail. Obtenido de Soluciones Retail: 136

137 13. INVELIGENT. (12 de 12 de 2014). Voice Picking. Obtenido de Voice Picking: INVELIGENT. (16 de 01 de 2015). Misión Inveligent. Obtenido de Misión Inveligent: INVELIGENT. (16 de 01 de 2015). Valores Corporativos. Obtenido de Valores Corporativos: IT Governance Institute. (2007). Manual COBIT 2da Edición. En I. G. Institute, Manual COBIT 2da Edición (pág. 26). 17. IT Governance Institute. (2007). Manual COBIT 4.1. Rolling Meadows, IL EE.UU: Printed in the United States of America. 18. MARTIN, R. M. (15 de 01 de 2015). Estadística y Metodologia de Investigación. Obtenido de Análisis de Contenido: AN%C3%81LISIS%20DE%20CONTENIDO.pdf 19. MARTINEZ, Jesus. (2 de febrero de 2005). Métodos de modelado IDEF0 e IDEF3. Obtenido de Métodos de modelado IDEF0 e IDEF3: 20 de septiembre de 2014 de ftp://ftp.espe.edu.ec/guiasmed/mgp2p/procesos/estudiantes /teoria/idef0-idef3-e.pdf 20. SÁNCHEZ, E. (23 de 01 de 2015). La entrevista en las Organizaciones. Obtenido de La entrevista en las Organizaciones: TRAVÉS, J. (09 de 04 de 2013). Desarrollo de un modelo de infraestructura tecnológica para el centro cultural de la PUCE basado en ITIL y COBIT. (Tesis, PUCE). Obtenido de Desarrollo de un modelo de infraestructura tecnológica para el centro cultural de la PUCE basado en ITIL y COBIT. (Tesis, PUCE): (2015) 22. TRÁVEZ Carlos S. (2012).Trabajos de Consultorías COBIT-5-Initiative. 23. OVERTI. (2013). COBIT. Recuperado 28 septiembre 2014 de 137

138 24. IT BitCompany. (2012, 9 de abril). Un marco de referencia para la información y la tecnología. Recuperado 23 de Agosto de 2014 de: 138

139 9 ANEXOS Anexo A MARCO DE TRABAJO COMPLETO DE COBIT Dominio Planear y Organizar 139

140 Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) 140

141 2. Dominio: Adquirir e Implementar Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) 141

142 3. Dominio: Entregar y Dar Soporte 142

143 Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) 143

144 4. Dominio: Monitorear y Evaluar Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) 144

145 Anexo B Entrevista al Gerente de INVELIGENT El siguiente anexo presenta la entrevista realizada al Gerente de Inveligent. 145

146 146

147 Anexo C Evaluación COBIT a Inveligent 1. Evaluación Dominio Planificar y Organizar 1. PLANIFICACIÓN Y ORGANIZACIÓN 2.31 Documentación revisada - Evidencia PO1 Definir un plan estratégico de TI 2.00 Por la entrevista Administración del valor de TI 2.00 realizada de Alineación de TI con el negocio 2.00 manera informal al Evaluación del desempeño actual 2.00 encargado de TI, Plan estratégico de TI 2.00 conocemos que la Planes tácticos de TI 2.00 definición de un Administración del portafolio de TI 2.00 plan estratégico de TI es un proceso inicial. La planeación de TI se realiza según se necesite como respuesta a un requerimiento de negocio específico. Definir la arquitectura de la PO2 información 3.00 Modelo de arquitectura de información empresarial Diccionario de datos empresarial y reglas de sintaxis de datos Esquema de clasificación de datos Por la entrevista realizada de manera informal a la persona encargada 147

148 PO3 Administración de la integridad conocemos que la definición de la arquitectura de la información es un proceso definido. Existen procedimientos, auques intuitivos e informales, que se sigue por distintos individuos dentro de la organización. No existe conocimiento formal para la operatividad del proceso y el ambiente del proceso no es estable. Determinar la dirección tecnológica 4.00 Planeación de la dirección tecnológica 4.00 Plan de infraestructura tecnológica 4.00 Monitoreo de tendencias y regulaciones futuras 4.00 Estándares tecnológicos 4.00 Consejo de arquitectura 4.00 Por la entrevista realizada conocemos que la determinación de la dirección tecnológica es un proceso definido. Existe un plan de infraestructura 148

149 PO4 tecnológica definido, aunque se aplica de forma inconsistente. Definir los procesos, organización y relaciones de TI 1.00 Marco de trabajo del proceso 1.00 No cuenta con un Comité estratégico 1.00 marco de trabajo Comité directivo (Steering las actividades y Committee) 1.00 funciones de TI son Ubicación organizacional de la reactivas y se función de TI 1.00 implantan de forma Estructura organizacional 1.00 inconsistente para Roles y responsabilidades 1.00 responder de forma Responsabilidad de aseguramiento táctica a las de calidad de TI 1.00 necesidades de los Responsabilidad sobre el riesgo, la clientes. No seguridad y el cumplimiento 1.00 dispone de un Propiedad de datos y de sistemas comité estratégico Supervisión No 1.00 existe una Segregación de funciones función 1.00 que Personal de TI soporte o asista a 1.00 Personal clave de TI los procesos de TI Políticas y procedimientos para No se cuenta con personal contratado un personal fijo de 1.00 Relaciones TI PO5 Administrar la inversión en TI 3.20 Marco de trabajo para la administración financiera 2.00 Dirección financiera, no 149

150 PO6 PO7 Prioridades dentro del presupuesto de TI 1.00 Proceso presupuestal 1.00 Administración de costos 6.00 Administración de beneficios 6.00 Comunicar las aspiraciones y la dirección de la gerencia 1.00 cuenta con un presupuesto específico para la gestión de costos. La Dirección General Financiera gestiona los costos. La Dirección General Financiera gestiona los beneficios Ambiente de políticas y de control 1.00 Por la entrevista Riesgo Corporativo y Marco de informal realizada 1.00 Referencia de Control Interno de TI conocemos que no Administración de políticas para TI 1.00 está difundida de Implantación de políticas de TI 1.00 manera correcta Comunicación de los objetivos y la 1.00 las aspiraciones dirección de TI para lograr el cumplimiento de los objetivos de TI. No se dispone políticas de TI. Administrar recursos humanos de TI 1.00 Reclutamiento y Retención del Por la entrevista Personal 1.00 informal y por la Competencias del personal 1.00 encuesta realizada Asignación de roles 1.00 a la gerencia véase 150

151 Entrenamiento del personal de TI 1.00 Anexo Nº 2, Dependencia sobre los individuos 1.00 conocemos que no Procedimientos de Investigación del personal 1.00 se cuenta con un proceso Evaluación del desempeño del previamente empleado 1.00 establecido que Cambios y terminación de trabajo 1.00 siga prácticas definidas y aprobadas para el reclutamiento, entrenamiento, evaluación del desempeño. El proceso para administrar el recurso humano se localiza en el nivel de madurez inicial. PO8 Administrar la calidad 1.67 Sistema de administración de calidad 1.00 Estándares y prácticas de calidad 1.00 Estándares de desarrollo y de adquisición 3.00 Enfoque en el cliente 3.00 Mejora continua 1.00 Medición, monitoreo y revisión de la calidad 1.00 Por la entrevista informal conocemos que la administración de calidad es un proceso inicial en la empresa, el personal administra la calidad de su trabajo indistintamente y 151

152 PO9 PO1 Evaluar y administrar los riesgos de TI 1.00 Alineación de la administración de riesgos de TI y del negocio 1.00 Establecimiento del contexto del riesgo 1.00 Identificación de eventos 1.00 Evaluación de riesgos 1.00 Respuesta a los riesgos 1.00 Mantenimiento y monitoreo de un plan de acción de riesgos 1.00 sin supervisión ya que no tiene una metodología definida en la organización y no tiene una estructura documentada para seguir, todo se realiza de manera intuitiva. No se dispone de un sistema de un sistema de calidad. No posee una metodología de evaluación de riesgos. 0 Administrar proyectos 5.21 Marco de trabajo para la administración de programas 6.00 Marco de trabajo para la administración de proyectos 6.00 Posee un marco de trabajo para la administración de proyectos, 152

153 Enfoque de administración de proyectos 6.00 Compromiso de los interesados 7.00 Estatuto de alcance del proyecto 6.00 Inicio de las fases del proyecto 7.00 Plan integrado del proyecto 7.00 Recursos del proyecto 7.00 Administración de riesgos del proyecto 3.00 Plan de calidad del proyecto 1.00 Control de cambios del proyecto 1.00 Planeación del proyecto y métodos de aseguramiento 4.00 Medición del desempeño, reportes y monitoreo del proyecto 5.00 Cierre del proyecto 7.00 coordina como un líder de proyecto, dentro del compromiso, alcance y fases del proyecto se realiza documento (Acuerdo),los recursos del proyecto involucra al Coordinador, existe una planificación del proyecto, pero no se dispone de métodos de aseguramiento. 2. Evaluación Adquisición e Implementación 2. ADQUISICIÓN E IMPLEMENTACIÓN 2.59 Documentación revisada - Evidencia Identificar soluciones Existen algunos AI1 automatizadas 2.00 enfoques intuitivos 153

154 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio Reporte de análisis de riesgos 2.00 Estudio de factibilidad y formulación de cursos de acción alternativos Requerimientos, decisión de para identificar que existen soluciones de TI y éstos varían a lo largo del negocio. Las soluciones se identifican de manera informal con base en la experiencia interna. AI2 factibilidad y aprobación Adquirir y mantener software aplicativo 3.00 Diseño de alto nivel 1.00 Existen procesos de Diseño detallado 1.00 adquisición y Control y auditabilidad de las mantenimiento en base aplicaciones 2.00 a la experiencia dentro Seguridad y disponibilidad de las de la operación. Se aplicaciones tiene poca Configuración e implantación de consideración hacia la software aplicativo adquirido 4.00 seguridad de la Actualizaciones importantes en aplicación. sistemas existentes 5.00 Desarrollo de software aplicativo 5.00 Aseguramiento de la Calidad del Software 2.00 Administración de los requerimientos de aplicaciones 5.00 Mantenimiento de software AI3 aplicativo 4.00 Adquirir y mantener infraestructura tecnológica

155 Plan de adquisición de infraestructura tecnológica 1.00 Protección y disponibilidad del recurso de infraestructura 1.00 Mantenimiento de la infraestructura 1.00 Ambiente de prueba de factibilidad 1.00 AI4 Facilitar la operación y el uso 2.50 Plan para soluciones de operación 2.00 Transferencia de conocimiento a la gerencia del negocio 2.00 Transferencia de conocimiento a usuarios finales 3.00 Transferencia de conocimiento al personal de operaciones y soporte 3.00 Por la entrevista realizada al Gerente, véase Anexo Nº 2 conocemos que no existe un plan para la adquisición de infraestructura tecnológica. Por la entrevista informal realizada se conoce que se utiliza enfoques para generar procedimientos y documentación, pero no se basan en un enfoque estructural o marco de trabajo. AI5 Adquirir Recursos de TI 5.00 Control de adquisición 5.00 La Dirección General Administración de contratos con Financiera se encarga proveedores 5.00 de comprar los Selección de proveedores 5.00 recursos de TI en base a criterios técnicos del departamento de Adquisición de recursos de TI 5.00 Informática. AI6 Administrar cambios 2.00 Estándares y procedimientos para cambios 2.00 Evaluación de impacto, priorización y autorización 2.00 Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y 155

156 AI7 Cambios de emergencia 2.00 es muy probable que Seguimiento y reporte del se puedan dar cambios estatus de cambio 2.00 sin autorización. Sin embargo el proceso no está estructurado, es Cierre y documentación del rudimentario y cambio 2.00 propenso a errores. Instalar y acreditar soluciones y cambios 2.67 Entrenamiento 5.00 Los procedimientos Plan de prueba 5.00 son formales y se Plan de implantación 1.00 desarrollan para ser Ambiente de prueba 4.00 organizados. Pero Conversión de sistema y datos 1.00 todavía se ve que se Pruebas de Cambios 5.00 debe mejorar en gran Prueba final de aceptación 1.00 nivel estos puntos. Es Transferencia a producción 1.00 posible que se esté satisfecho con el nivel actual de eficiencia a Revisión posterior a la pesar de la ausencia implantación 1.00 de una evaluación. 3. Evaluación Entrega de servicio y soporte 3. ENTREGA DE SERVICIO Y SOPORTE 2.94 Documentación revisada - Evidencia DS1 Definir y administrar los niveles de servicio 4.00 Los niveles de servicio están acordados pero 156

157 Marco de trabajo de la administración de los niveles de servicio 4.00 Definición de servicios Reporte de análisis de riesgos 4.00 Acuerdos de niveles de servicio 4.00 Acuerdos de niveles de operación Monitoreo y reporte del cumplimento de los niveles de pueden no responder a las necesidades del negocio. Los servicios y los niveles de servicio están definidos, las deficiencias en los niveles de servicio están identificadas pero los procedimientos para resolver las deficiencias son informales. DS2 DS3 servicio 4.00 Revisión de los acuerdos de niveles de servicio y de los contratos 4.00 Administrar los servicios de terceros 4.00 Identificación de las relaciones con todos los proveedores 1.00 Administración de las relaciones con los proveedores 5.00 Administración de riesgos del proveedor 5.00 Monitoreo del desempeño del proveedor 5.00 Administrar el desempeño y la capacidad 3.40 Planeación del desempeño y la capacidad No existen procedimientos para las relaciones con los proveedores. La naturaleza de los servicios a prestar se detalla en el contrato e incluyen requerimientos legales, operativos y de control. Se ha definido el proceso y algunos procedimientos

158 DS4 DS5 Capacidad y desempeño actual 4.00 Capacidad y desempeño futuros 1.00 Disponibilidad de recursos de TI 4.00 Monitoreo y reporte 4.00 Garantizar la continuidad de los servicios 3.70 TI Marco de trabajo de continuidad 4.00 Planes de continuidad de TI 4.00 Recursos críticos de TI 4.00 Mantenimiento del plan de continuidad de TI 4.00 Pruebas del plan de continuidad de TI 4.00 Entrenamiento del plan de continuidad de TI 4.00 Distribución del plan de continuidad de TI 4.00 Recuperación y reanudación de los servicios de TI 4.00 Almacenamiento de respaldos fuera de las instalaciones 1.00 Revisión post-reanudación 4.00 Garantizar la seguridad de los sistemas 3.18 Administración de la seguridad de TI 4.00 que se aplican en la práctica, pero estos pueden ser de forma esporádica e inconsistente, se gestionan formalmente algunos requerimientos. La responsabilidad sobre la administración de la continuidad de servicio es clara. El plan de continuidad de TI está documentado y basado en la criticidad de los sistemas. Existe conciencia sobre la seguridad, pero no 158

159 Plan de seguridad de TI 1.00 cuenta con un plan de Administración de identidad 4.00 seguridad. Administración de cuentas del Las responsabilidades usuario 4.00 están asignadas, pero no Pruebas, vigilancia y continuamente monitoreo de la seguridad 4.00 implementadas. Definición de incidente de seguridad 4.00 Protección de la tecnología de seguridad 4.00 Administración de llaves criptográficas 4.00 Prevención, detección y corrección de software malicioso 1.00 Seguridad de la red 4.00 Intercambio de datos sensitivos 1.00 DS6 Identificar y asignar costos 4.00 Definición de servicios 4.00 El proceso está definido y Contabilización de TI 4.00 Modelación de costos y cargos 4.00 Mantenimiento del modelo de costos Educar y entrenar a los DS7 usuarios se han elaborado algunos procedimientos que no son aplicados de manera sostenida. Existe un nivel apropiado de conciencia de los costos atribuibles a los servicios de información. 159

160 Identificación de necesidades de entrenamiento y educación 1.00 Impartición de entrenamiento y educación 1.00 Evaluación del entrenamiento No existe una definición para llevar a cabo una evaluación o identificación de necesidades. DS8 DS9 recibido 1.00 Administrar la Mesa de Servicio y los Incidentes 2.80 Mesa de Servicios 1.00 Se conoce por la Registro de consultas de entrevista que no se clientes 4.00 cuenta con una mesa de Escalamiento de incidentes 4.00 servicio. Las consultas y Cierre de incidentes 4.00 los incidentes se rastrean Análisis de tendencias 1.00 de forma manual y se monitorean de forma individual, pero no existe un sistema formal de reporte. Administrar la configuración 1.00 Repositorio de configuración y No existe una línea base 1.00 herramienta de soporte. Identificación y mantenimiento de elementos de configuración 1.00 Revisión de integridad de la DS1 configuración Administración Problemas 4.00 Identificación y clasificación de problemas 4.00 El proceso está definido y se han elaborado algunos 160

161 DS1 1 DS1 2 Rastreo y resolución de problemas 4.00 Cierre de problemas 4.00 Integración de las administraciones de cambios, configuración y problemas 4.00 Administración de la información 4.00 Requerimientos del negocio para administración de datos 4.00 Acuerdos de almacenamiento y conservación 4.00 Sistema de administración de librerías de medios 4.00 Eliminación 4.00 Respaldo y restauración 4.00 Requerimientos de seguridad para la administración de datos 4.00 Administración del ambiente físico 1.00 Selección y diseño del centro de datos 1.00 Medidas de seguridad física 1.00 Acceso Físico 1.00 Protección contra factores ambientales 1.00 Administración de instalaciones físicas 1.00 procedimientos que no son aplicados de manera sostenida. La revisión de incidentes y resolución de problemas son limitados e informales. La administración de datos se formaliza y se utilizan algunas herramientas para respaldos/ recuperación. Las responsabilidades para la administración de datos son asignadas de manera informal. No existe un proceso de administración del ambiente físico. 161

162 DS1 3 Administración de operaciones 2.20 Procedimientos e instrucciones de operación 1.00 Programación de tareas 1.00 Monitoreo de la infraestructura de TI 4.00 Documentos sensitivos y dispositivos de salida Se reconoce la necesidad de estructurar las funciones de soporte de TI. Las operaciones de soporte están definidas pero se las aplica de manera informal Mantenimiento preventivo del hardware Evaluación Monitoreo Documentación 4. MONITOREO 2.83 revisada - Evidencia ME1 Monitorear y evaluar el desempeño de TI 2.00 Enfoque del Monitoreo 1.0 Definición y recolección de datos de monitoreo Reporte de análisis de riesgos Método de monitoreo Evaluación del desempeño Se han identificado algunas mediciones básicas a ser monitoreadas. La interpretación de los resultados de monitoreo de basa en la experiencia de individuos clave. 162

163 ME2 ME3 Reportes al consejo directivo y a ejecutivos Acciones correctivas Monitorear y evaluar el control interno 4.00 Monitorear el marco de trabajo de control interno Revisiones de Auditoria Excepciones de control Auto-evaluación de control Aseguramiento del control interno Control interno para terceros Acciones correctivas Garantizar el cumplimiento regulatorio 2.60 Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluación del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Se conoce que se utiliza reportes de control informales para comenzar iniciativas de acción correctiva. La gerencia apoya el monitoreo de control interno. Existe una supervisión del cumplimiento regulatorio. 163

164 ME4 Reportes integrados 1.0 Proporcionar gobierno de TI Establecer un marco de trabajo de gobierno para TI Alineamiento estratégico Entrega de valor Administración de recursos 4.0 Administración de riesgos 4.0 Medición del desempeño. 4.0 Aseguramiento independiente No existe un Marco de Trabajo de Gobierno para TI. Los procesos de TI seleccionados se identifican para ser mejorados. Puede ser que se monitoreen los procesos sin embargo la mayoría de desviaciones, se resuelven con iniciativa individual. 164

165 Anexo D Marco de Trabajo Propuesto por Cobit Para Inveligent 165