SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

Transcripción

1 SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para la Implantación de COBIT en una Empresa de Producción Área Piloto: Departamento de Sistemas Tesistas: Martha Elizabeth de la Torre Morales Ingrid Kathyuska Giraldo Martínez Carmen Azucena Villalta Gómez Director: Ing. Bertha Alice Naranjo Sánchez, MSC Septiembre 2012

2 DECLARACIÓN Nosotras; Martha Elizabeth de la Torre Morales, Ingrid Kathyuska Giraldo Martínez y Carmen Azucena Villalta Gómez, declaramos bajo juramento que este trabajo es de nuestra autoría y que hemos consultado las referencias bibliográficas incluidas en este documento. Dejamos constancia que cedemos los derechos de propiedad intelectual a la Universidad Politécnica Salesiana Sede Guayaquil según lo establecido por la ley de Propiedad Intelectual, por su Reglamento y por la Normativa institucional vigente. MARTHA E. DE LA TORRE MORALES INGRID K. GIRALDO MARTÍNEZ CARMEN A. VILLALTA GÓMEZ 2

3 AGRADECIMIENTO Y DEDICATORIA Primero a Dios, el centro de mi vida y mi fortaleza. A Santiago y Haydeé, mis padres, mi inspiración, por su eterno apoyo. A Ángel Santiago, mi amado hijo, por soportar y comprender mis ausencias mientras recorría este largo camino. A Gustavo, mi partner, por su solidaridad y complicidad en esta travesía. A mi familia en general, por estar siempre conmigo. A mis amigos, por su incondicionalidad. Sin ustedes no podría avanzar en mis propósitos. Gracias. Los amo infinitamente. Un agradecimiento especial, a la Ing. Lilia Santos. Martha E. de la Torre Morales 3

4 AGRADECIMIENTO Y DEDICATORIA Principalmente a Dios. A mi madre y mi tío, porque creyeron en mí y porque me sacaron adelante, dándome ejemplos dignos de superación y entrega. Gracias a ellos, hoy puedo ver alcanzada esta meta, ya que siempre estuvieron impulsándome en los momentos más difíciles y porque el orgullo que sienten por mí, fue lo que me hizo ir hasta el final. Esto es por ustedes, por lo que significan para mí, y porque admiro su esfuerzo a pesar de las dificultades. A mis hermanas, primos, abuelos y amigos. Gracias por haber fomentado en mí el deseo de superación y el anhelo de triunfo en la vida. Sin ustedes este trabajo no hubiera podido ser realizado. No me alcanzarían las palabras para agradecerles su apoyo y sus consejos. A todos, espero no defraudarlos y contar siempre con su valioso apoyo, sincero e incondicional. Ingrid Giraldo Martínez 4

5 AGRADECIMIENTO Y DEDICATORIA Quiero dar gracias a: DIOS: Por haberme dado la vida, sabiduría y su infinita misericordia. MI ESPOSO: Por su amor, comprensión y apoyo; brindados en los momentos más difíciles de mi vida. MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de bien. MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia. MI FAMILIA: Por fomentar los buenos valores y principios morales. MIS AMIGOS: Por su apoyo incondicional a lo largo de mi carrera. A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los bendiga Carmen Villalta Gómez 5

6 CERTIFICADO Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska Giraldo Martínez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta Gómez; bajo mi dirección. Guayaquil, Septiembre del Ing. Bertha Naranjo Sánchez, MSC DIRECTORA DE TESIS 6

7 ÍNDICE CAPÍTULO PLANTEAMIENTO DEL PROBLEMA FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS ALCANCE VARIABLES E INDICADORES MATRIZ CAUSA EFECTO 22 CAPÍTULO MARCO TEÓRICO INTRODUCCIÓN COBIT DOMINIOS EN LA UTILIZACIÓN DE COBIT DOMINIO PLANEAR Y ORGANIZAR (PO) DOMINIO ADQUIRIR E IMPLEMENTAR (AI) DOMINIO ENTREGAR Y DAR SOPORTE (DS) DOMINIO MONITOREAR Y EVALUAR (ME) MISIÓN DE COBIT ÁREAS DE ENFOQUE DEL GOBIERNO DE TI CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI MODELO DE MADUREZ COBIT BENEFICIOS PARA LA EMPRESA EN APLICAR LA METODOLOGÍA COBIT 79 7

8 CAPÍTULO ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN TIPO DE INVESTIGACIÓN MÉTODO DE INVESTIGACIÓN FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN LIBROS DE COBIT UTILIZADOS PARA EL DIAGNÓSTICO MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS DEFINICIONES PARA EL ANÁLISIS DE RIESGOS ANÁLISIS FODA 83 CAPITULO DIAGNÓSTICO DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP BREVE DESCRIPCIÓN DE LA EMPRESA EP HISTORIA PRODUCTOS FABRICADOS POR LA EMPRESA EP SERVICIOS QUE OFRECE LA EMPRESA EP PROMOCIONES DISPONIBLES EN LA EMPRESA EP ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA EP ANÁLISIS FODA DEL DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN DISEÑO DEL MODELO DE EVALUACIÓN EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA EMPRESA EP APLICANDO LA METODOLOGÍA COBIT RESULTADOS FINALES OBTENIDOS RESULTADO DE LA EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL RESULTADO FINAL DE LA EVALUACIÓN POR DOMINIO 119 8

9 RESULTADO FINAL DE LA EVALUACIÓN POR PROCESO RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL RESULTADO FINAL DE LA EVALUACIÓN POR OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO EVALUACIÓN DE RIESGOS DE TI ELABORACIÓN DE POLÍTICAS A APLICAR ACORDE A LOS OBJETIVOS DE CONTROL CRÍTICOS 180 CONCLUSIONES y RECOMENDACIONES 188 BIBLIOGRAFÍA 211 DEFINICIONES DE TÉRMINOS 212 9

10 ÍNDICE DE ILUSTRACIONES ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT ILUSTRACIÓN 2: DOMINIOS COBIT ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI.. 37 ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 ADMINISTRAR LA INVERSIÓN DE TI ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 ADMINISTRAR RECURSOS HUMANOS DE TI ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS ILUSTRACIÓN 14: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR ILUSTRACIÓN 15: OBJETIVOS DE CONTROL DEL PROCESO AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

11 ILUSTRACIÓN 16: OBJETIVOS DE CONTROL DEL PROCESO AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ILUSTRACIÓN 17: OBJETIVOS DE CONTROL DEL PROCESO AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA ILUSTRACIÓN 18: OBJETIVOS DE CONTROL DEL PROCESO AI4 FACILITAR LA OPERACIÓN Y EL USO ILUSTRACIÓN 19: OBJETIVOS DE CONTROL DEL PROCESO AI5 ADQUIRIR RECURSOS DE TI ILUSTRACIÓN 20: OBJETIVOS DE CONTROL DEL PROCESO AI6 ADMINISTRAR CAMBIOS ILUSTRACIÓN 21: OBJETIVOS DE CONTROL DEL PROCESO AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS ILUSTRACIÓN 22: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE ILUSTRACIÓN 23: OBJETIVOS DE CONTROL DEL PROCESO DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO ILUSTRACIÓN 24: OBJETIVOS DE CONTROL DEL PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS ILUSTRACIÓN 25: OBJETIVOS DE CONTROL DEL PROCESO DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD ILUSTRACIÓN 26: OBJETIVOS DE CONTROL DEL PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO ILUSTRACIÓN 27: OBJETIVOS DE CONTROL DEL PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS ILUSTRACIÓN 28: OBJETIVOS DE CONTROL DEL PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS ILUSTRACIÓN 29: OBJETIVOS DE CONTROL DEL PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS ILUSTRACIÓN 30: OBJETIVOS DE CONTROL DEL PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ILUSTRACIÓN 31: OBJETIVOS DE CONTROL DEL PROCESO DS9 ADMINISTRAR LA CONFIGURACIÓN

12 ILUSTRACIÓN 32: OBJETIVOS DE CONTROL DEL PROCESO DS10 ADMINISTRAR LOS PROBLEMAS ILUSTRACIÓN 33: OBJETIVOS DE CONTROL DEL PROCESO DS11 ADMINISTRAR LOS DATOS ILUSTRACIÓN 34: OBJETIVOS DE CONTROL DEL PROCESO ILUSTRACIÓN 35: OBJETIVOS DE CONTROL DEL PROCESO DS13 ADMINISTRAR LAS OPERACIONES ILUSTRACIÓN 36: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR ILUSTRACIÓN 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI ILUSTRACIÓN 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO ILUSTRACIÓN 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS ILUSTRACIÓN 40: OBJETIVOS DE CONTROL DEL PROCESO M4 - PROPORCIONAR GOBIERNO DE TI ILUSTRACIÓN 41: ÁREAS DE ENFOQUE DEL GOBIERNO DE TI ILUSTRACIÓN 42: CRITERIOS DE INFORMACIÓN ILUSTRACIÓN 43: RECURSOS DE TI ILUSTRACIÓN 44: ANÁLISIS FODA ILUSTRACIÓN 45: MATRIZ FODA ILUSTRACIÓN 46: ESTRUCTURA ORGÁNICA ACTUAL DE LA EMPRESA EP ILUSTRACIÓN 47: ORGANIGRAMA FUNCIONAL DE LAS TI EN LA EMPRESA EP ILUSTRACIÓN 48: ORGANIGRAMA ESTRUCTURAL DE LAS TI EN LA EMPRESA EP

13 ÍNDICE DE TABLAS TABLA 1: VARIABLES E INDICADORES TABLA 2: MATRIZ CAUSA EFECTO TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT TABLA 4: ANÁLISIS FODA ÁREA TI TABLA 5: MATRIZ GENERAL COBIT TABLA 6: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL TABLA 7: EVALUACIÓN POR DOMINIO TABLA 8: LISTADO DE AMENAZAS/OBJETOS DEFINIDOS POR EL DEPARTAMENTO DE SISTEMAS TABLA 9: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR AMENAZAS TABLA 10: COMPARACIÓN DE CATEGORÍAS DE RIESGOS POR OBJETOS TABLA 11: MATRIZ RESULTADO AMENAZAS/OBJETOS TABLA 12: DEFINICIÓN DE LOS NIVELES DE RIESGO/SENSIBILIDAD DE TI TABLA 13: MATRIZ IDENTIFICACIÓN DE LOS NIVELES DE RIESGO

14 ÍNDICE DE GRÁFICOS GRÁFICO 1: EVALUACIÓN DEL CUMPLIMIENTO DEL DEPARTAMENTO DE SISTEMAS A NIVEL GENERAL GRÁFICO 2: EVALUACIÓN POR DOMINIO GRÁFICO 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR GRÁFICO 4: PROCESOS DEL DOMINIO ADQUIRIR E IMPLEMENTAR GRÁFICO 5: PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE GRÁFICO 6: PROCESOS DEL DOMINIO MONITOREAR Y EVALUAR GRÁFICO 7: OBJETIVOS DE CONTROL DEL PROCESO PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI GRÁFICO 8: OBJETIVOS DE CONTROL DEL PROCESO PO2 DEFINIR LA ARQUITECTURA DE TI GRÁFICO 9: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA GRÁFICO 10: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI 130 GRÁFICO 11: OBJETIVOS DE CONTROL DEL PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI GRÁFICO 12: OBJETIVOS DE CONTROL DEL PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA GRÁFICO 13: OBJETIVOS DE CONTROL DEL PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI GRÁFICO 14: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD GRÁFICO 15: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI GRÁFICO 16: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS

15 GRÁFICO 17: OBJETIVOS DE CONTROL DEL PROCESO AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS GRÁFICO 18: OBJETIVOS DE CONTROL DEL PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO GRÁFICO 19: OBJETIVOS DE CONTROL DEL PROCESO AI3 - ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA GRÁFICO 20: OBJETIVOS DE CONTROL DEL PROCESO AI4 - FACILITAR LA OPERACIÓN Y EL USO GRÁFICO 21: OBJETIVOS DE CONTROL DEL PROCESO AI5 - ADQUIRIR RECURSOS DE TI GRÁFICO 22: OBJETIVOS DE CONTROL DEL PROCESO AI6 - ADMINISTRAR CAMBIOS GRÁFICO 23: OBJETIVOS DE CONTROL DEL PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS GRÁFICO 24: OBJETIVOS DE CONTROL DEL PROCESO DS1 DEFININIR Y ADMINISTRAR LOS NIVELES DE SERVICIO GRÁFICO 25: OBJETIVOS DE CONTROL DEL PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS GRÁFICO 26: OBJETIVOS DE CONTROL DEL PROCESO DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD GRÁFICO 27: OBJETIVOS DE CONTROL DEL PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO GRÁFICO 28: OBJETIVOS DE CONTROL DEL PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS GRÁFICO 29: OBJETIVOS DE CONTROL DEL PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS GRÁFICO 30: OBJETIVOS DE CONTROL DEL PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS GRÁFICO 31: OBJETIVOS DE CONTROL DEL PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES GRÁFICO 32: OBJETIVOS DE CONTROL DEL PROCESO DS9 ADMINISTRAR LA CONFIGURACIÓN

16 GRÁFICO 33: OBJETIVOS DE CONTROL DEL PROCESO DS10 ADMINISTRAR LOS PROBLEMAS GRÁFICO 34: OBJETIVOS DE CONTROL DEL PROCESO DS11 ADMINISTRAR LOS DATOS GRÁFICO 35: OBJETIVOS DE CONTROL DEL PROCESO DS12 ADMINISTRAR EL AMBIENTE FÍSICO GRÁFICO 36: OBJETIVOS DE CONTROL DEL PROCESO DS13 ADMINISTRAR LAS OPERACIONES GRÁFICO 37: OBJETIVOS DE CONTROL DEL PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI GRÁFICO 38: OBJETIVOS DE CONTROL DEL PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO GRÁFICO 39: OBJETIVOS DE CONTROL DEL PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO GRÁFICO 40: OBJETIVOS DE CONTROL DEL PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI GRÁFICO 41: RESUMEN DE LOS OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO GRÁFICO 42: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS

17 ANEXOS ANEXO 1: EVALUACIÓN POR PROCESOS ANEXO 2: EVALUACIÓN POR OBJETIVOS DE CONTROL ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO ANEXO 4: EVALUACIÓN DE OBJETIVOS DE CONTROL CRÍTICOS ANEXO 5: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (A) ANEXO 6: FORMATO DE APLICACIÓN ANÁLISIS DE RIESGOS DE TI (B) ANEXO 7: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (1) ANEXO 8: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (2) ANEXO 9: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (3) ANEXO 10: APLICACIÓN ANÁLISIS DE RIESGOS EN EL DEPARTAMENTO DE SISTEMAS (4)

18 CAPÍTULO PLANTEAMIENTO DEL PROBLEMA Las empresas ecuatorianas evolucionan constantemente en el crecimiento general de sus economías, se van creando nuevas oportunidades de negocios que demandan controles más estrictos para que el desarrollo organizacional vaya continuamente por el camino de la eficiencia y la pro-actividad de quienes conforman la organización. La orientación del crecimiento institucional suele ser un problema centrado en las preocupaciones sin medir las reglas claras y normas conscientes que permitan buscar certificaciones internacionales para el eficiente progreso de la organización donde se detalla la importancia del actuar empresarial. Es motivo de consideración el manejo correcto de la información en base a las nuevas metodologías y estándares que beneficia en tiempo y costo a las organizaciones y de esa forma se logra un mayor entendimiento claro y básico en una dirección sistemática. La tecnología implica mucho riesgo, siendo un problema constante el manejo de las tecnologías de Información reales y progresivas con estándares de control adecuados para ser eficientes en el desarrollo de la información, la mayor parte de empresas se desplazan en la despreocupación de controlar sus técnicas de información y evalúan solo los procedimientos y no aplican los indicadores secuenciales de control. COBIT es una metodología que garantiza el indicador de despliegue de la información con el uso de materiales tecnológicos, siendo práctico y responsable en las plataformas de comunicación establecidas. COBIT analiza los procedimientos de información y ayuda a determinar qué sector o espacio está fallando y promueve los controles para mejorar la actividad eficiente de la información. La inversión en sistemas de control contribuye a descubrir que podemos mejorar a través del desglose y transformación de los medios y recursos de tecnologías de información aplicada. Por lo tanto, se debería de emplear en las organizaciones dominios en base a la planificación, la parte organizativa en manejo de los requerimientos y la entrega de tales requerimientos con soportes físicos y digitales. 18

19 Así mismo deberían tomar como recomendación el uso de metodologías o estándares que les permitan determinar procesos críticos a nivel de la empresa o departamento FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN Cuáles son los principales aspectos de concienciación en los procesos aplicados para la implementación del uso de COBIT en el departamento de sistemas de la empresa EP 1? PREGUNTAS DEL PROBLEMA DE INVESTIGACIÓN Con la aplicación de la metodología COBIT Cuáles serían los principales problemas resueltos en el departamento de sistemas de las diferentes empresas ecuatorianas? Con la aplicación de la metodología COBIT los empleados del departamento de sistemas podrán realizar mejor su trabajo en la empresa EP? Es voluntaria la aplicación de una metodología de calidad de la información en las industrias públicas y privadas, pero a nuestro criterio todo departamento de TI debería considerar obligatoria su implementación en aras de mejorar en su calidad. 1 El nombre de la Empresa se lo mantiene en reserva para proteger su información 19

20 1.2 OBJETIVOS OBJETIVO GENERAL Contribuir a mejorar los procesos del departamento de sistemas mediante el diagnóstico con la metodología COBIT aplicada en la empresa EP OBJETIVOS ESPECÍFICOS Estudiar los treinta y cuatro procesos de COBIT para poder evaluar la situación del departamento de sistemas de la empresa EP. Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en el departamento de sistemas. Determinar los riesgos relacionados con la prestación de servicios de TI en el departamento de sistemas. Evaluar el resultado del diagnóstico realizado en el departamento de sistemas considerando los procesos críticos y las falencias de los controles para extender las recomendaciones respectivas. Definir políticas a desarrollar de cinco de los objetivos críticos para el control de TI en el departamento de sistemas de la empresa EP. 1.3 ALCANCE El proyecto será desarrollado en la matriz de la empresa EP ubicada al sur de la ciudad de Guayaquil, comprende un diagnóstico de sus procesos para determinar el grado de cumplimiento de los procesos y objetivos de control planteados en el modelo metodológico de COBIT 4.1 e identificar los más críticos de la organización. 20

21 1.4 VARIABLES E INDICADORES En la tabla siguiente se determinan las variables dependiente e independiente con sus respectivos indicadores a utilizarse en el desarrollo del proyecto. Como variable dependiente se define la mejora de los procesos del departamento de sistemas de la empresa EP que dependería de la metodología COBIT la que se constituye por lo tanto en variable independiente. TABLA 1: VARIABLES E INDICADORES VARIABLES INDICADORES Independiente Metodología COBIT 4.1 Grado de utilización Nivel de satisfacción de usuario final Toma de decisiones Optimización de recursos Dependiente Mejorar procesos Control Políticas Análisis de Riesgos Elaborado: Las Autoras 21

22 1.5 MATRIZ CAUSA EFECTO Se identifica el problema, las causas y las soluciones viables que se deberían aplicar en el departamento de sistemas de la empresa EP, detallados en la tabla 2. TABLA 2: MATRIZ CAUSA EFECTO Problema general Objetivo general Hipótesis general Cuáles son los principales aspectos de concienciación en los procesos aplicados para la implementación del uso de COBIT en el departamento de sistemas de la empresa EP? Sus Problemas específicos Estudiar los treinta y cuatro procesos de COBIT 4.1 para poder evaluar la situación del departamento de sistemas de la empresa EP. Determinar los riesgos relacionados con la prestación de servicios de TI en el departamento de sistemas. Contribuir a mejorar los procesos del departamento de sistemas mediante el diagnóstico de la metodología COBIT aplicada en la empresa EP. Objetivos específicos Realizar el Diagnóstico de los Procesos y Objetivos de Control de COBIT en el departamento de sistemas. Evaluar los resultados de los diagnósticos realizados en el departamento de sistemas considerando los procesos críticos y las falencias de los controles para extender las recomendaciones respectivas. Definir políticas a desarrollar para el control de TI en el departamento de sistemas en la empresa EP. Con COBIT, la organización podrá controlar sus procesos de TI y sus ejecutivos tomarán decisiones oportunas y efectivas en el departamento de sistemas en la empresa EP. Hipótesis particulares El departamento de sistemas de la empresa EP aplica los procesos de COBIT para alcanzar los objetivos del negocio. Definiendo políticas se mejoran los controles y los procesos críticos en el departamento de sistemas. Elaborado: Las Autoras 22

23 CAPÍTULO MARCO TEÓRICO INTRODUCCIÓN COBIT DEFINICIÓN DE COBIT Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objetives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (IT Governance Institute) en (Fundación Wikimedia, 2012) COBIT fue creado para ayudar a la alta dirección a garantizar el logro de objetivos de los negocios mediante la dirección y control adecuado de las TI, sin embargo la aplicación de COBIT se debería de dar en todos los niveles organizativos de la empresa y no tan solo concentrarse en la tecnología de la información. COBIT está involucrado en reflejar las principales directrices jerárquicas que permitan el control de la tecnología de información aplicada en la empresa DOMINIOS EN LA UTILIZACIÓN DE COBIT 4.1 En la ilustración siguiente se resume cómo los distintos elementos del marco de trabajo COBIT 4.1 se relacionan con las áreas de Gobierno de TI. 23

24 ILUSTRACIÓN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras Para la realización de la siguiente tabla nos hemos basado en el Manual COBIT 4.1 cuya clasificación por dominio, procesos y objetivos de control servirá de guía en la ejecución del diagnóstico de este proyecto. 24

25 TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL PLANEAR Y ORGANIZAR PO1 - Definir un Plan Estratégico de TI PO2 - Definir la Arquitectura de la Información PO3 - Determinar la Dirección Tecnológica PO4 - Definir los Procesos, Organización y Relaciones de TI PO5 - Administrar la Inversión en TI PO1.1 - Administración del Valor de TI PO1.2 - Alineación de TI con el Negocio PO1.3 - Evaluación del Desempeño y la Capacidad Actual PO1.4 - Plan Estratégico de TI PO1.5 - Planes Tácticos de TI PO1.6 - Administración del Portafolio de TI PO2.1 - Modelo de Arquitectura de Información Empresarial PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 - Esquema de Clasificación de Datos PO2.4 - Administración de Integridad PO3.1 - Planeación de la Dirección Tecnológica PO3.2 - Plan de Infraestructura Tecnológica PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras PO3.4 - Estándares Tecnológicos PO3.5 - Consejo de Arquitectura de TI PO4.1 - Marco de Trabajo de Procesos de TI PO4.2 - Comité Estratégico de TI PO4.3 - Comité Directivo de TI PO4.4 - Ubicación Organizacional de la Función de TI PO4.5 - Estructura Organizacional PO4.6 - Establecimiento de Roles y Responsabilidades PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 - Propiedad de Datos y de Sistemas PO Supervisión PO Segregación de Funciones PO Personal de TI PO Personal Clave de TI PO Políticas y Procedimientos para Personal Contratado PO Relaciones PO5.1 - Marco de Trabajo para la Administración Financiera PO5.2 - Prioridades dentro del Presupuesto de TI PO5.3 - Proceso Presupuestal PO5.4 - Administración de Costos de TI PO5.5 - Administración de Beneficios 25

26 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL PLANEAR Y ORGANIZAR PO6 - Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 - Administrar Recursos Humanos de TI PO8 - Administrar la Calidad PO9 - Evaluar y Administrar los Riesgos de TI PO10 - Administrar Proyectos PO6.1 - Ambiente de Políticas y de Control PO6.2 - Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 - Administración de Políticas para TI PO6.4 - Implantación de Políticas de TI PO6.5 - Comunicación de los Objetivos y la Dirección de TI PO7.1 - Reclutamiento y Retención del Personal PO7.2 - Competencias del Personal PO7.3 - Asignación de Roles PO7.4 - Entrenamiento del Personal de TI PO7.5 - Dependencia Sobre los Individuos PO7.6 - Procedimientos de Investigación del Personal PO7.7 - Evaluación del Desempeño del Empleado PO7.8 - Cambios y Terminación de Trabajo PO8.1 - Sistema de Administración de Calidad PO8.2 - Estándares y Prácticas de Calidad PO8.3 - Estándares de Desarrollo y de Adquisición PO8.4 - Enfoque en el Cliente de TI PO8.5 - Mejora Continua PO8.6 - Medición, Monitoreo y Revisión de la Calidad PO9.1 - Marco de Trabajo de Administración de Riesgos PO9.2 - Establecimiento del Contexto del Riesgo PO9.3 - Identificación de Eventos PO9.4 - Evaluación de Riesgos de TI PO9.5 - Respuesta a los Riesgos PO9.6 - Mantenimiento y Monitoreo de un Plan de Acción de Riesgos PO Marco de Trabajo para la Administración de Programas PO Marco de Trabajo para la Administración de Proyectos PO Enfoque de Administración de Proyectos PO Compromiso de los Interesados PO Declaración de Alcance del Proyecto PO Inicio de las Fases del Proyecto PO Plan Integrado del Proyecto PO Recursos del Proyecto PO Administración de Riesgos del Proyecto PO Plan de Calidad del Proyecto PO Control de Cambios del Proyecto PO Planeación del Proyecto y Métodos de Aseguramiento PO Medición del Desempeño, Reporte y Monitoreo del Proyecto PO Cierre del Proyecto 26

27 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL ADQUIRIR E IMPLEMENTAR AI1 - Identificar soluciones automatizadas AI2 - Adquirir y mantener software aplicativo AI3 - Adquirir y mantener infraestructura tecnológica AI4 - Facilitar la operación y el uso AI5 - Adquirir recursos de TI AI6 - Administrar cambios AI7 - Instalar y acreditar soluciones y cambios AI1.1 - Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 - Reporte de Análisis de Riesgos AI1.3 - Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos. AI1.4 - Requerimientos, Decisión de Factibilidad y Aprobación AI2.1 - Diseño de Alto Nivel AI2.2 - Diseño Detallado AI2.3 - Control y Posibilidad de Auditar las Aplicaciones AI2.4 - Seguridad y Disponibilidad de las Aplicaciones AI2.5 - Configuración e Implantación de Software Aplicativo Adquirido AI2.6 - Actualizaciones Importantes en Sistemas Existentes AI2.7 - Desarrollo de Software Aplicativo AI2.8 - Aseguramiento de la Calidad del Software AI2.9 - Administración de los Requerimientos de Aplicaciones AI Mantenimiento de Software Aplicativo AI3.1 - Plan de Adquisición de Infraestructura Tecnológica AI3.2 - Protección y Disponibilidad del Recurso de Infraestructura AI3.3 - Mantenimiento de la Infraestructura AI3.4 - Ambiente de Prueba de Factibilidad AI4.1 - Plan para Soluciones de Operación AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 - Transferencia de Conocimiento a Usuarios Finales AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte AI5.1 - Control de Adquisición AI5.2 - Administración de Contratos con Proveedores AI5.3 - Selección de Proveedores AI5.4 - Adquisición de Recursos de TI AI6.1 - Estándares y Procedimientos para Cambios AI6.2 - Evaluación de Impacto, Priorización y Autorización AI6.3 - Cambios de Emergencia AI6.4 - Seguimiento y Reporte del Estatus de Cambio AI6.5 - Cierre y Documentación del Cambio AI7.1 - Entrenamiento AI7.2 - Plan de Prueba AI7.3 - Plan de Implantación AI7.4 - Ambiente de Prueba AI7.5 - Conversión de Sistemas y Datos AI7.6 - Pruebas de Cambios AI7.7 - Prueba de Aceptación Final AI7.8 - Promoción a Producción AI7.9 - Revisión Posterior a la Implantación 27

28 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS1.1 - Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 - Definición de Servicios DS1.3 - Acuerdos de Niveles de Servicio DS1.4 - Acuerdos de Niveles de Operación DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 - Revisión de los Acuerdos de Niveles de Servicio y de los Contratos DS2.1 - Identificación de Todas las Relaciones con Proveedores DS2.2 - Gestión de Relaciones con Proveedores DS2.3 - Administración de Riesgos del Proveedor DS2.4 - Monitoreo del Desempeño del Proveedor DS3.1 - Planeación del Desempeño y la Capacidad DS3.2 - Capacidad y Desempeño Actual DS3.3 - Capacidad y Desempeño Futuros DS3.4 - Disponibilidad de Recursos de TI DS3.5 - Monitoreo y Reporte DS4.1 - Marco de Trabajo de Continuidad de TI DS4.2 - Planes de Continuidad de TI DS4.3 - Recursos Críticos de TI DS4.4 - Mantenimiento del Plan de Continuidad de TI DS4.5 - Pruebas del Plan de Continuidad de TI DS4.6 - Entrenamiento del Plan de Continuidad de TI DS4.7 - Distribución del Plan de Continuidad de TI DS4.8 - Recuperación y Reanudación de los Servicios de TI DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones DS Revisión Post Reanudación. DS5.1 - Administración de la Seguridad de TI DS5.2 - Plan de Seguridad de TI DS5.3 - Administración de Identidad DS5.4 - Administración de Cuentas del Usuario DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 - Definición de Incidente de Seguridad DS5.7 - Protección de la Tecnología de Seguridad DS5.8 - Administración de Llaves Criptográficas DS5.9 - Prevención, Detección y Corrección de Software Malicioso DS Seguridad de la Red DS Intercambio de Datos Sensitivos 28

29 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL ENTREGAR Y DAR SOPORTE DS6 Identificar y asignar costos DS7 Educar y entrenar a usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones DS6.1 - Definición de Servicios DS6.2 - Contabilización de TI DS6.3 - Modelación de Costos y Cargos DS6.4 - Mantenimiento del Modelo de Costos DS7.1 - Identificación de Necesidades de Entrenamiento y Educación DS7.2 - Impartición de Entrenamiento y Educación DS7.3 - Evaluación del Entrenamiento Recibido DS8.1 - Mesa de Servicios DS8.2 - Registro de Consultas de Clientes DS8.3 - Escalamiento de Incidentes DS8.4 - Cierre de Incidentes DS8.5 - Análisis de Tendencias DS9.1 - Repositorio y Línea Base de Configuración DS9.2 - Identificación y Mantenimiento de Elementos de Configuración DS9.3 - Revisión de Integridad de la Configuración DS Identificación y Clasificación de Problemas DS Rastreo y Resolución de Problemas DS Cierre de Problemas DS Integración de las Administraciones de Cambios, Configuración y Problemas DS Requerimientos del Negocio para Administración de Datos DS Acuerdos de Almacenamiento y Conservación DS Sistema de Administración de Librerías de Medios DS Eliminación DS Respaldo y Restauración DS Requerimientos de Seguridad para la Administración de Datos DS Selección y Diseño del Centro de Datos DS Medidas de Seguridad Física DS Acceso Físico DS Protección Contra Factores Ambientales DS Administración de Instalaciones Físicas DS Procedimientos e Instrucciones de Operación DS Programación de Tareas. DS Monitoreo de la Infraestructura de TI DS Documentos Sensitivos y Dispositivos de Salida DS Mantenimiento Preventivo del Hardware 29

30 COBIT 4.1 DOMINIO PROCESOS OBJETIVOS DE CONTROL ME1.1 - Enfoque del Monitoreo ME1.2 - Definición y Recolección de Datos de Monitoreo ME1 - Monitorear y Evaluar el Desempeño de TI ME1.3 - Método de Monitoreo ME1.4 - Evaluación del Desempeño ME1.5 - Reportes al Consejo Directivo y a Ejecutivos ME1.6 - Acciones Correctivas ME2.1 - Monitorización del Marco de Trabajo de Control Interno ME2.2 - Revisiones de Auditoría MONITOREAR Y EVALUAR ME2 - Monitorear y Evaluar el Control Interno ME3 - Garantizar el Cumplimiento Regulatorio ME2.3 - Excepciones de Control ME2.4 - Control de Auto Evaluación ME2.5 - Aseguramiento del Control Interno ME2.6 - Control Interno para Terceros ME2.7 - Acciones Correctivas ME3.1 - Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3.2 - Optimizar la Respuesta a Requerimientos Externos ME3.3 - Evaluación del Cumplimiento con Requerimientos Externos ME4 - Proporcionar Gobierno de TI ME3.4 - Aseguramiento Positivo del Cumplimiento ME3.5 - Reportes Integrados ME4.1 - Establecimiento de un Marco de Gobierno de TI ME4.2 - Alineamiento Estratégico ME4.3 - Entrega de Valor ME4.4 - Administración de Recursos ME4.5 - Administración de Riesgos ME4.6 - Medición del Desempeño ME4.7 - Aseguramiento Independiente Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 30

31 COBIT se centra en un modelo de gestión basada en cuatro dominios que se presentan en la siguiente ilustración para luego dar una breve explicación de cada uno: ILUSTRACIÓN 2: DOMINIOS COBIT 4.1 Planear Y Organizar Adquirir e Implementar Entregar y Dar Soporte Monitorear y Evaluar Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras DOMINIO PLANEAR Y ORGANIZAR (PO) Este dominio cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Basado en procesos y estos a su vez subdivididos en objetivos de control que se muestran en cada ilustración. (IT Governance Institute, COBIT 4.1, Pág.12, 2007) 31

32 El dominio planear y organizar está compuesto de 10 procesos que se detallan en la ilustración siguiente: ILUSTRACIÓN 3: PROCESOS DEL DOMINIO PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratégico de TI PO5 Administrar la Inversión en TI PO2 Definir la Arquitectura de la Información PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO3 Determinar la Dirección Tecnológica PO7 Administrar Recursos Humanos de TI PO4 Definir los Procesos, Organización y Relaciones de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los riesgos de TI PO10 Administrar Proyectos Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 32

33 PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI Según COBIT 4.1 La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. (IT Governance Institute, COBIT 4.1, Pág.29, 2007) En la siguiente ilustración se detallan los 6 objetivos de control que componen el proceso definir un plan estratégico de TI. ILUSTRACIÓN 4: OBJETIVOS DE CONTROL DEL PROCESO PO1- DEFINIR UN PLAN ESTRATÉGICO DE TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La viabilidad de todo proceso implica una conjugación de pasos estratégicos que amerita la concertación de actividades para la búsqueda de beneficios óptimos en eficiencia de los objetivos de un proceso organizacional. La consecución de los objetivos depende directamente de los pasos secuenciales difundidos dentro de la empresa para la correcta administración de los objetivos que inciden en los valores implementados en la alineación estratégica de la misma, buscan incurrir en las evaluaciones constantes y perennes para conseguir el plan estratégico institucional que permita describir los planes tácticos a implementar a la realización del tema. 33

34 PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN La descripción del proceso de COBIT detalla lo siguiente La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. (IT Governance Institute, COBIT 4.1, Pág.33, 2007) Los 4 objetivos de control que abarca el proceso definir la arquitectura de la información se detallan en la siguiente ilustración: ILUSTRACIÓN 5: OBJETIVOS DE CONTROL DEL PROCESO PO2- DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Cuando los objetivos implican el manejo de una infraestructura basada en la información es necesario respetar un modelo de tendencia para que los objetivos incurran en un proceso pro-activo de gestión ilimitada para que con una base informativa a través de diccionarios de valores y elementos ejecutables dentro de la organización mantengan las reglas claras en el desarrollo de los datos, realizando una esquematización que busca integrar la confianza y la responsabilidad de todos 34

35 quienes conforman las actividades de la TI en su completa y extensa calidad en la empresa. PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA El marco de trabajo COBIT indica: La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. (IT Governance Institute, COBIT 4.1, Pág.37, 2007) El proceso determinar la dirección tecnológica está compuesto de 5 objetivos de control que se muestran en la siguiente ilustración: ILUSTRACIÓN 6: OBJETIVOS DE CONTROL DEL PROCESO PO3 - DETERMINAR LA DIRECCIÓN TECNOLÓGICA Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La dirección tecnológica involucra la planificación estratégica y la creación de un consejo de arquitectura con la finalidad de responder oportunamente a los cambios 35

36 sistemáticos y además permitan planificar de forma eficaz las tendencias y regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo y la evaluación de sistemas aplicativos así como recursos y capacidades que permitan aprovechar las oportunidades tecnológicas. PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Se define en COBIT este proceso como: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. (IT Governance Institute, COBIT 4.1, Pág.41, 2007) Se detallan los 15 objetivos de control que comprende el proceso definir los procesos, organización y relaciones de TI en la siguiente ilustración: 36

37 ILUSTRACIÓN 7: OBJETIVOS DE CONTROL DEL PROCESO PO4 - DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Las relaciones de TI responden a las responsabilidades de entregar calidad en cada proceso, con la información y los datos que deben de estar adecuadamente supervisados para que la segregación de funciones sean lo más efectivo posible y el personal involucrado en la consecución de los objetivos elaboren un marco de trabajo estratégico que amplíe los constantes esfuerzos por alcanzar nuevas metas en la infraestructura, las tendencias organizativas incitan a un entorno sólido y característico para alcanzar roles relativamente responsables en cada meta trazada. 37

38 PROCESO PO5 - ADMINISTRAR LA INVERSIÓN EN TI COBIT indica que el proceso debe: Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto. (IT Governance Institute, COBIT 4.1, Pág.47, 2007) En la siguiente ilustración se detallan los 5 objetivos de control que conforman el proceso administrar la inversión en TI. ILUSTRACIÓN 8: OBJETIVOS DE CONTROL DEL PROCESO PO5 ADMINISTRAR LA INVERSIÓN DE TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas áreas, sin embargo la inversión consiste en medir el esfuerzo, la eficiencia y optimizar los recursos con una adecuada gestión financiera, que permita difundir habilidades de comunicación integradoras para la correcta consecución de beneficios. El manejo adecuado y garantizado del proceso implica cambios sustanciales que garanticen beneficios y nuevos objetivos trazados. 38

39 PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA Lo que menciona COBIT para este proceso es: La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las políticas. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. (IT Governance Institute, COBIT 4.1, Pág.51, 2007) En la siguiente ilustración se detallan los 5 objetivos de control que abarca el proceso comunicar las aspiraciones y la dirección de la gerencia. ILUSTRACIÓN 9: OBJETIVOS DE CONTROL DEL PROCESO PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El principal elemento para la consecución de los objetivos es el control siendo prioridad en las actividades integradoras que aplica la empresa en su proceso de enlazar la TI con el contorno de comunicación existente en los diferentes departamentos de la empresa, generando la elaboración y administración de políticas con el objeto de tener una dirección más efectiva. 39

40 El efecto comunicación garantiza un síntoma de creer que se pueden hacer las cosas mejor de lo que se está haciendo, creando un clima de constante motivación y deseo por alcanzar las metas definidas. PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI COBIT indica para este proceso: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. (IT Governance Institute, COBIT 4.1, Pág.55, 2007) Los 8 objetivos de control comprendidos en el proceso administrar recursos humanos de TI se muestran en la siguiente ilustración: ILUSTRACIÓN 10: OBJETIVOS DE CONTROL DEL PROCESO PO7 ADMINISTRAR RECURSOS HUMANOS DE TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras 40

41 ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: El factor o talento humano implica la correcta aplicación de las competencias en relación al desempeño de las funciones del recurso más importante para los objetivos estratégicos de la empresa. Un manejo adecuado en el reclutamiento involucra un proceso de estudio y análisis de competencias para la asignación de cargos y ejecución de roles, de esto dependerá que el recurso humano sea proactivo y no se cree dependencia en cada una de las actividades. El objetivo es enmarcar una eficiencia de al menos un 90% del personal de toda la empresa, sin embargo el indicador influye para mejorar y mantener el equilibrio en las distintas actividades del personal, por eso es necesaria la proactividad, la evaluación y el desempeño de las actividades grupales. PROCESO PO8 - ADMINISTRAR LA CALIDAD Para el cumplimiento del proceso, COBIT indica: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. La administración de calidad es esencial para garantizar que TI está dando valor al negocio, mejora continua y transparencia para los interesados. (IT Governance Institute, COBIT 4.1, Pág.59, 2007) El proceso administrar la calidad está conformado por 6 objetivos de control que se presentan en la siguiente ilustración: 41

42 ILUSTRACIÓN 11: OBJETIVOS DE CONTROL DEL PROCESO PO8 - ADMINISTRAR LA CALIDAD Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Un servicio es considerado como tal cuando la calidad envuelve el soporte de toda acción ejecutada por el personal de la empresa, sin embargo la medición de la calidad está reflejada en las actividades ampliadas y en el desarrollo de nuevas tecnologías que involucra un proceso de cambio y mejoras para con los clientes internos y externos de la organización. La calidad forma parte de la planeación, control y evaluación por lo que refiere varios objetivos enlazados para encontrar los estándares de calidad y desarrollo, además su enfoque en los clientes internos y externos refleja una integración en base a la responsabilidad y confianza prescrita en cada analogía de los objetivos de control que mantiene COBIT. 42

43 PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI De acuerdo con COBIT para este proceso se debe: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. El resultado de la evaluación debe ser entendible para los Interesados (Stakeholders) y se debe expresar en términos financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia. (IT Governance Institute, COBIT 4.1, Pág.63, 2007) En la siguiente ilustración se detallan los 6 objetivos de control comprendidos en el proceso evaluar y administrar los riesgos de TI. ILUSTRACIÓN 12: OBJETIVOS DE CONTROL DEL PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: La administración del riesgo de TI está basada en los indicadores de control que ayudan en la identificación de eventos, su posterior evaluación y elaboración de respuestas estratégicas y oportunas que permitan un efectivo control de las amenazas y disminución del impacto, todo esto encuadrado en un marco de trabajo y considerado en un plan de acción de riesgo debidamente evaluado y monitoreado periódicamente. 43

44 PROCESO PO10 - ADMINISTRAR PROYECTOS Para COBIT se debe: Establecer un marco de trabajo de administración de programas y proyectos para la administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribución a los programas de inversión facilitados por TI. (IT Governance Institute, COBIT 4.1, Pág.67) Se muestran los 14 objetivos de control que comprende el proceso administrar proyectos en la siguiente ilustración: ILUSTRACIÓN 13: OBJETIVOS DE CONTROL DEL PROCESO PO10 - ADMINISTRAR PROYECTOS Fuente: Manual COBIT 4.1 (IT Governance Institute, 2007) Elaborado: Las Autoras ANÁLISIS GENERAL DE LOS OBJETIVOS DE CONTROL: Estos objetivos de control se relacionan con el manejo adecuado de los proyectos desde su inicio hasta su culminación, midiendo el desempeño, reportando y monitoreando su desenvolvimiento, vigilando de esta manera la utilización apropiada de los recursos para que la calidad del proyecto sea la más efectiva. 44