INSTITUTO POLITÉCNICO NACIONAL

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN PROYECTO TERMINAL SISTEMA DE DIAGNÓSTICO DE MADUREZ EN EL GOBIERNO DE TECNOLOGÍAS DE LA INFORMACIÓN (USUARIOS, EQUIPOS Y BASE DE DATOS) PARA LA PEQUEÑA Y MEDIANA EMPRESA Tesina para obtener el Título de Ingeniero en Computación Presentan: José Rodrigo Albores Almaraz Jaime Gabriel Chávez Díaz Oscar Esteban López Barrientos José Luis Santelis Ramírez Asesor: Ing. Miguel Ángel Miranda Hernández México, D. F., Mayo del 2014

2 RESUMEN En los últimos años se ha convertido en una necesidad de las organizaciones por mejorar los procesos y gestión de las áreas de los Sistemas de Información para un rendimiento eficaz y con rumbo para su desarrollo óptimo y crecimiento. En este proyecto se presenta una herramienta para el análisis y diagnóstico hacia la empresa con respecto al Gobierno de TI (Tecnologías de la Información) específicamente la pequeña y mediana empresa (PyMEs) con el fin de encontrar esas deficiencias en su área de gobierno TI. El gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. Con el fin de hacer un diagnóstico si la empresa cuenta con una buena gestión en su área de Gobierno de TI por medio de las normativas de CobiT que define un conjunto de procesos genéricos para la gestión de TI. El marco define cada proceso, junto con las entradas y las salidas, proceso-actividades clave, los objetivos del proceso, medidas de rendimiento y un modelo de madurez. En conjunto con ITIL (Information Tecnology Infraestructure Library) es un marco de referencia para la Gestión de los Servicios TI, compuesto por un conjunto de documentos donde se describen las mejores prácticas para la gestión eficiente de los servicios de Tecnología de Información en las empresas. Finalmente valorar si se encuentra en un estado de riesgo o en óptimas condiciones la empresa. Esto se logra en base a sus actividades, métodos y procedimientos en el Gobierno de las tecnologías de la información. i

3 ABSTRACT In recent years it has become a need for organizations to improve their processes in the areas of managing information systems for effective optimal growth and performance. This project presents a tool for analyzing and diagnosing companies with respect to governing information technology. Especially those small and medium enterprises which would help find weaknesses in their governance of IT. In order to make a diagnosis of the company it has to have a good management in the area of IT governance using Cobit regulations and ITIL. Furthermore,With the goal of diagnosing if the Company has with a good management in its IT goverment área using Cobit normatives which define a set of generic processes to managing of IT.The frame determines each process, together with the inputs and outputs, key process-activities,the procesess goals,production measures and a matureness model. In adittion to this,itil(information Tecnology Infraestructure Library) is a reference frame to managing services IT,integrated by a set of documents where are described the better practices to reach an efficient managing of enterprise s IT services. Evaluate if you are in danger or in optimum conditions. This is achieved through methods and procedures in the governing of information technology. ii

4 ÍNDICE GENERAL Contenido Resumen i Abstract ii Glosario de Siglas vii Glosario de Términos v Índice de Figuras ix Introducción 1 Planteamiento del problema 4 Justificación Objetivo General Objetivos Específicos Capitulo 1. El Sistema y sus Componentes 1.1 Sistemas de Información Definiciones Tipos y Usos de los Sistemas de Información Lenguaje PHP Características Lenguaje HTML Lenguaje manejador de Base de Datos MySQL Características PhpMyAdmin BOOTSTRAP 1.7 Servidor Apache : WAMPSERVER 1.9 XDEBUG: Página iii Capitulo 2. Estado de las tecnologías actuales 2.1 Metricus 2.2 Investigaciones realizadas Diagrama arquitectura del sistema iii

5 Capitulo 3. Gobierno TI, COBIT e ITIL 3.1 Gobierno TI Necesidad de Gobierno de TI COBIT y Gobierno de TI Proceso de Implantación de Gobierno de TI CobiT COBIT Áreas de enfoque de Gobierno de TI según COBIT COBIT orientado a procesos Planear y Organizar Adquirir e Implementar Entregar y dar Soporte Monitorear y Evaluar Madurez COBIT ITIL La Librería Características de la Librería ITIL Visión General y Beneficios Capitulo 4. Desarrollo, Pruebas y Resultados 4.1 Desarrollo Gestión de Incidencias Gestión de Problemas Diagrama Madurez y Riego 4.2 Propuesta de Solución 4.3 Sistema Diagrama de Flujo del Sistema Diagrama Gestor Base de Datos 4.4 Pruebas 4.5 Resultados Conclusiones 71 Referencias Bibliográficas 72 iv

6 GLOSARIO GOBIERNO TI (Tecnologías de la información) Gobierno TI.- El Gobierno de la Seguridad TI es una parte del Gobierno Corporativo de las TI que a la vez es una parte del Gobierno Corporativo de las Organizaciones. El Gobierno de TI es una parte integral del gobierno corporativo, que consiste en las estructuras organizacionales y de liderazgo y los procesos que aseguran que la TI pueda dar soporte y se extienda a lo largo de las estrategias y objetivos de la misma. Alineación estratégica: Garantiza el vínculo entre los planes de negocio y de TI. Define, mantiene y valida la propuesta de valor de TI. Alinea las operaciones de TI con las operaciones de la empresa. Entrega de valor: Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega. Asegurando que la TI genere los beneficios prometidos en la estrategia. Optimiza los costos y brinda el valor intrínseco de la TI. Administración de recursos: Inversión óptima y administración adecuada de los recursos críticos de TI:, aplicaciones, información, infraestructura y personas. Optimiza el conocimiento y la infraestructura. Administración de riesgos: Conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa. Comprender los requerimientos de cumplimiento, transparencia en los riesgos significativos para la empresa, y la inclusión de la administración de riesgos dentro de la organización. Medición del desempeño: Monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio. Los tableros de control traducen la estrategia en acción para lograr las metas. CEO s.- Director Ejecutivo CIO s.- Directores de TI TI.- Tecnologías de la Información. v

7 GLOSARIO ITIL ITIL.- Un conjunto de directrices de Buenas Prácticas para Gestión del Servicio de TI. ITIL es propiedad de OGC y consta de una serie de publicaciones que sirven de guía en la prestación de Servicios de TI de calidad, y en los Procesos e instalaciones que se necesitan para darles soporte. Consulte para más información. (SE).- Service Strategy - Estrategia de Servicios (SD).- Service Desing - Diseño de servicios (SO).- Service Operation Operaciones de Servicios (CSI).- Continual Service Improvement - Mejora Continua de Servicios (ST ).- Service Transition - Transición de Servicios Gestor de Servicio.- Service Manager. Un gestor a cuyo cargo está la supervisión de la totalidad del Ciclo de Vida de uno o más Servicios de TI. El término Gestor de Servicio también se usa para hacer referencia a cualquier gestor que sea parte del equipo del Proveedor de Servicios de TI. Se usa con más frecuencia para referirse al Gestor de la Relación de Negocios, al Gestor de Procesos, a un Gestor de cuenta o a un gestor de alto rango a cuyo cargo se encuentren los Servicios de TI como un todo. SLA.- Service Level Agreement o Acuerdo de Nivel de Servicio Dossier.- Es un documento escrito, en soporte físico o en versión digital, que presenta información acerca de uno o varios aspectos de una institución, ya sea esta de carácter público o privado. Gestión del Nivel del Servicio (SLM).- (Diseño del Servicio) (Mejoramiento Continuo del Servicio) El Proceso encargado de la negociación de las Metas de Niveles de Servicio y de asegurar que se cumplan estas. La SLM es responsable de asegurar que todos los Procesos de Gestión del Servicio de TI, los Acuerdos de Nivel Operacional, y los Contratos de Apoyo, sean correctos para las Metas de Niveles de Servicio acordadas. La SLM monitoriza e informa sobre los Niveles de Servicio, y mantiene revisiones regulares con los Clientes. Help Desk.- (Operación del Servicios) Un punto de contacto de los Usuarios para que puedan registrar Incidentes. El Help Desk normalmente tiene más foco en cuestiones técnicas que el Service Desk y no brinda un Punto Único de Contacto para todas las interacciones. El término Help Desk con frecuencia se usa como sinónimo de Service Desk. CMM.- Capability Maturity Model (Modelo de Madurez de la Capacidad) CMMI.- Capability Maturity Model Integration (Integración de Modelos de Madurez de la Capacidad) vi

8 ISO.- International Organization for Standardization(Organización Internacional para la Estandarización) EFQM.- Fundación Europea para la Gestión de Calidad Centro de llamadas (call center).- (Operación del Servicios) Una Organización o una Unidad de Negocios que se encarga de una gran número de llamadas telefónicas que entran o salen. Consulte Service Desk. Centro de servicios (service desk).- (Operación del Servicio) Un Punto Único de Contacto entre el Proveedor de Servicios y los Usuarios. Un Service Desk típico gestiona Incidentes y Solicitudes de servicio, y también se ocupa de la comunicación con los Usuarios. GLOSARIO COBIT COBIT.- Control Objectives for Information and related Technology (Objetivos de Control para la Información y Tecnologías Relacionadas) ISACA.- Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información). ITGI.- Governance Institute. TIC.- Tecnologías de la información y la comunicación. COSO.- Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework (Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión). OGC.- Oficina de Comercio Gubernamental SEI.- Instituto de Ingeniería de Software PMI.- Instituto de Gestión de Proyectos. PMBOK.- Guía para el Cuerpo de Conocimiento de Gestión de Proyectos ISF.- Foro de Seguridad de Información. ME.- MONITOREAR Y EVALUAR. DS.- ENTREGAR Y DAR SOPORTE. PO.- PLANEAR Y ORGANIZAR. AI.- ADQUIRIR E IMPLEMENTAR vii

9 GLOSARIOS DE SIGLAS COBIT: Objetivos de Control para Información y Tecnologías Relacionadas ITIL: Biblioteca de Infraestructura de Tecnologías de Información TI: Tecnologías de la Información PyMEs: Pequeñas y Medianas Empresas SI: Sistema de Información CEO's: Director Ejecutivo CIO's: Oficial en jefatura de sistemas ISACA: Asociación de Auditoría y Control de Sistemas de Información ITGI: Instituto de Gobierno de TI ISO: Organización Internacional de Normalización IEC: Comisión Electrotécnica Internacional. SEI: Instituto de Ingeniería de Software CMM: Modelo de Capacidad y Madurez. CMMI: Integración de modelos de madurez de capacidades PMI: Project Management Institute PMBOK: Project Management Institute PO: Planeación y Organización AI: Adquirir e Implementar DS: Entregar y Dar Soporte ME: Monitorear y Evaluar OGC: Open Geospatial Consortium SS: Estrategia de Servicio SD: Diseño de Servicios SO: Operación de Servicios CST: Mejora Continua del Servicio ST: Transición del Servicio PHP: Procesador de Hipertexto HTML: Lenguaje de Marcas Hipertextuales SQL: lenguaje de consulta estructurado CSS: Hojas de Estilos en Cascada SW: Software HW: Hardware CMDB: Base de Datos de la Gestión de Configuración BD: Base de Datos SLA: Acuerdo de Nivel de Servicio. viii

10 ÍNDICE DE FIGURAS Figura 1. Pirámide de Gobierno de TI 3 Figura 2. Sistema de Información 7 Figura 3. Sistemas 8 Figura 4. Tipos de Sistemas de Información 9 Figura 5. Logo de PhP 10 Figura 6. Estructura de PhP 11 Figura 7. Logo de MySQL 14 Figura 8. Administración-PhpMyAdmin 16 Figura 9.Exportacion a través de PhpMyAdmin 17 Figura 10. Exportación a través de PhpMyAdmin (Continuación) Figura 11. Metricus Figura 12. Arquitectura 23 Figura 13. Logo COBIT 30 Figura 14. Pentágono COBIT 33 Figura 15. Cuadro COBIT 33 Figura 16. Grafica Madurez 38 Figura 17. ITIL 39 Figura 18. Publicaciones ITIL 40 Figura 19. Flujo de Funcionamiento de ITIL 40 Figura 20. Características Librería 42 Figura 21. Diagrama Madurez y Riesgo 59 Figura 22. Diagrama General 60 Figura 23. Página Principal 61 Figura 24. Registro 61 Figura 25. Menú Principal 62 Figura 26. Diagnostico 62 Figura 27. Diagrama de Flujo 65 Figura 28. Diagrama del Gestor de Base de Datos 65 Figura 29. PhpMyAdmin 65 Figura 30. BD MySQL 65 Figura 31. Diagrama Base de Datos 66 Figura 32. Logo de Empresa DASS 67 Figura 33. Organigrama Empresa DASS 68 Figura 34. Lugar DASS 68 Figura 35.Ubicacion DASS 68 Figura 36. Resultados 70 ix

11 INTRODUCCIÓN Para México las PyMEs, son un eslabón fundamental, indispensable para el crecimiento de México. Contamos con una importante base de Micro, Pequeñas y Medianas empresas, claramente más sólida que muchos otros países del mundo, debemos aprovecharla para hacer de eso una fortaleza que haga competitivo al país, que se convierta en una ventaja real para atraer nuevas inversiones y fortalecer la presencia de productos mexicanos tanto dentro como fuera de nuestra nación.[1] Según datos de promexico.gob.mx. Las micro, pequeñas y medianas empresas (PYMES), constituyen la columna vertebral de la economía nacional por los acuerdos comerciales que ha tenido México en los últimos años y asimismo por su alto impacto en la generación de empleos y en la producción nacional. De acuerdo con datos del Instituto Nacional de Estadística y Geografía, en México existen aproximadamente 4 millones 15 mil unidades empresariales, de las cuales 99.8% son PyMEs que generan 52% del Producto Interno Bruto (PIB) y 72% del empleo en el país. Así mismo menciona la importancia de las PyMEs, es importante instrumentar acciones para mejorar el entorno económico y apoyar directamente a las empresas, con el propósito de crear las condiciones que contribuyan a su establecimiento, crecimiento y consolidación. Por otro lado, los apoyos a la exportación que proporciona la Secretaría de Economía a través de la Subsecretaría de la pequeña y mediana empresa, se integran en el programa de oferta exportable PyMEs, el cual su principal objetivo es impulsar y facilitar la incorporación y comercialización de las micros, pequeñas y medianas empresas PyMEs a la actividad exportadora desde un enfoque y mediano plazos de internalización de las empresas mexicanas. Éstas, en su mayoría, son capital multinacional y se desarrollaron dentro del sector formal de la economía. Por otro lado están aquellas que tuvieron un origen familiar caracterizadas por una gestión, a lo que solo le preocupó su supervivencia sin prestar demasiada atención a temas tales como el costo de oportunidad del capital, o la inversión que permite el crecimiento. Podemos mencionar algunas de las ventajas de las Pymes: Son un importante motor de desarrollo del país. Tienen una gran movilidad, permitiéndoles ampliar o disminuir el tamaño de la planta, así como cambiar los procesos técnicos necesarios. Por su dinamismo tienen posibilidad de crecimiento y de llegar a convertirse en una empresa grande. Absorben una porción importante de la población económicamente activa, debido a su gran capacidad de generar empleos. Asimilan y adaptan nuevas tecnologías con relativa facilidad. Se establecen en diversas regiones del país y contribuyen al desarrollo local y regional por sus efectos multiplicadores. Cuentan con una buena administración, aunque en muchos casos influenciada por la opinión personal del o los dueños del negocio. 1

12 Algunas desventajas de las PYMES: No se reinvierten las utilidades para mejorar el equipo y las técnicas de producción. Es difícil contratar personal especializado y capacitado por no poder pagar salarios competitivos. La calidad de la producción cuenta con algunas deficiencias porque los controles de calidad son mínimos o no existen. No pueden absorber los gastos de capacitación y actualización del personal, pero cuando lo hacen, enfrentan el problema de la fuga de personal capacitado. Algunos otros problemas derivados de la falta de organización como: ventas insuficientes, debilidad competitiva, mal servicio, mala atención al público, precios altos o calidad mala, activos fijos excesivos, mala ubicación, descontrol de inventarios, problemas de impuestos y falta de financiamiento adecuado y oportuno. Definimos la importancia del Gobierno de TI en una organización. Seguramente muchos empresarios cuando oyen hablar de la palabra gobernabilidad, intuitivamente la asocian con sus políticas de gobierno, altos costos, presupuestos quemados y procesos muy lentos. Sin embargo, los objetivos del Gobierno de TI (IT Governance) apuntan a todo lo contrario. El gobierno corporativo de TI está hecho especialmente para ayudar a esos empresarios en la toma de decisiones, basadas en buenas prácticas y casos de éxito. Apunta a reducir los costos de la organización, distribuir de manera óptima los presupuestos y poner en marcha los procesos mediante la adopción de una visión empresarial exitosa, en vez de perder tiempo y esfuerzo con la prueba y error. Al final del día, la empresa terminará perdiendo todos sus pasajeros y potenciales clientes (inversores y clientes), ya que nadie querrá arriesgar su vida (dinero) en un vuelo donde el piloto (empresario) vuela con los ojos vendados. El principal objetivo del Gobierno de TI es auxiliar a las empresas para que ejecuten trabajos con un grado mayor de inteligencia de negocio: volar por la ruta delimitada en vez de perdernos en el camino más difícil. De esta manera, permite a nuestra compañía ofrecer productos y servicios confiables a un precio óptimo. Esto se logra mediante la combinación de tres prácticas distintas: Arquitectura Empresarial Gestión de la Cartera de productos Gobierno 2

13 En la figura 1 podemos ver cómo estos elementos interactúan entre sí: Pirámide del Gobierno de TI Misión Estrategia Visión Gestión de carteras Arquitectura empresarial Ejecución Figura 1. Pirámide del Gobierno de TI. La arquitectura empresarial y la gestión de la cartera de productos trabajan mano a mano: La gestión de la cartera de productos se alinea con la misión del empresario y su visión, y se encarga que las inversiones realizadas sean las correctas. La arquitectura empresarial alinea la tecnología con la misión, visión y estrategia empresarial y busca sacar el máximo de la cartera de productos. Finalmente, el Gobierno define quién toma las decisiones y cómo se cumplirán las políticas establecidas en la gestión de cartera de productos y la arquitectura empresarial. El Gobierno abarca el triángulo completo para asegurarse de que todos caminamos hacia la misma meta, hablando el mismo idioma. Sin gobierno, solo tendremos torres de control vacías. [2] 3

14 PLANTEAMIENTO DEL PROBLEMA En la actualidad, Empresas importantes como lo son Coca-Cola, Bimbo, Nestlé por mencionar algunas cuentan con los recursos económicos para solventar el soporte de la seguridad de su información que, en comparación de las pequeñas y medianas empresas (PyMEs) que no cuentan con estos recursos para pagarle a especialistas o consultores en tecnologías de la información para tener un servicio de seguridad de su información, lo que genera grandes pérdidas económicas en este tipo de empresas. Las empresas de orden privado que ofrecen bienes servicios, productos o materiales tienen dentro de las mecánicas de trabajo generar e implementar estándares, políticas y uso mejores prácticas TI: basado lo anterior en las normatividades establecidas por los consorcios/asociaciones y grupos de trabajo que rigen este tipo de actividades: tal es el caso de COBIT, ITIL, entre otros. Estas empresas pueden ser empresas transnacionales y/o de capitales económicos mayores. Para el caso de las empresas catalogadas en México como PyMEs (pequeñas y medianas empresas) estas no siempre se tiene la capacidad para crear departamentos especializados en seguridad informática o de gobierno de TI y consecuentemente quedan lejos o fuera de la implementación de las mejoras practicas, estándares, políticas que ayuden en la mejora operativa así como de la protección de la información y bienes informáticos. Pymes -> mercado más agresivo a causa de la globalización. Pérdida de competitividad. Necesario redefinir estrategias. Necesario una mayor utilización de TI. TI un recurso costoso. Más costoso de operar que de implementar. Necesario un adecuado marco de gobierno. Gobierno implica todas las áreas de TI: Infraestructura, Sistemas, Aplicaciones, Servicio y Seguridad, entre otras. Gobierno implica controles. Controles implican métricas. Cómo podemos diagnosticar la efectividad de los controles en el momento que sea necesario. Existen herramientas desarrolladas por consultoras. Principal problema: Altos costos. Diseñadas principalmente para empresas grandes y globales. Requieren personal altamente calificado. 4

15 JUSTIFICACIÓN Una parte fundamental del proyecto tiene causa en la imposibilidad derivada de los costos y presupuestos que se tienen para contratar gente especializada en el área de gobierno de tecnologías de la información dentro de las PyMEs. Se debe introducir y plantear; desde una perspectiva general el problema y la necesidad de Gobierno TI en una empresa. Consecuencia inmediata es la ejecución práctica, algunos problemas y soluciones relacionados en las actividades, métodos y procedimientos para el diagnóstico del sistema de información. Por la importancia de las PyMEs, es importante instrumentar acciones para mejorar el entorno tecnológico y apoyar directamente a las empresas, con el propósito de crear las condiciones que contribuyan a su establecimiento, crecimiento y consolidación. Como parte de este apoyo el proyecto pretende crear herramientas de bajo costo que les permitan organizarse y controlar su entorno gobierno en tecnologías de información para poder proyectar un crecimiento considerable y un mejor control administrativo generando un valor a la empresa. Concluyendo esta parte del proyecto se menciona que las pequeñas y medianas empresas (PyMEs) son parte fundamental en el desarrollo del país por el cual es importante que se mantengan dentro de la economía de para la creación de empleos y por este motivo, es importante que estas empresas tengan un óptimo desarrollo en su área de tecnologías de la información. 5

16 OBJETIVO GENERAL Desarrollar un sistema de información de diagnóstico y evaluación de actividades, métodos, y procedimientos de gobierno de TI (usuarios, equipos y base de datos) enfocado a PyMEs. OBJETIVOS ESPECÍFICOS Analizar y describir las características principales del gobierno Tecnologías de la Información en base a COBIT-ITIL, así como el significado de riesgo y madures de las empresas. Proponer cuestionarios para generar el diagnóstico de madurez y riesgo. Realizar un diagnóstico basado en COBIT-ITIL para gobierno Tecnologías de Información, proporcionando al usuario un reporte del estado actual de su empresa. Diagnosticar los posibles riesgos y para que sean atendidas. Definir si hay que estabilizar o reducir el riesgo de que el área de Tecnologías de Información para que en las Pymes sea atendida de mejor forma. 6

17 CAPITULO 1 EL SISTEMA Y SUS COMPONENTES 1.1 SISTEMAS DE INFORMACIÓN Los sistemas de información (SI) están cambiando la forma en que operan las organizaciones actuales. A través de su uso se logran importantes mejoras, pues automatizan los procesos operáticos de las empresas, proporcionan información de apoyo al proceso de toma de decisiones y, lo que es más importante, facilitan el logro de ventajas competitivas a través de su implantación de las empresas. Un sistema de información DEFINICIONES Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. En un sentido amplio, un sistema de información no necesariamente incluye equipo electrónico (hardware). Sin embargo, en la práctica se utiliza como sinónimo de sistema computarizado. Estos elementos son de naturaleza diversa y normalmente incluyen: El equipo computacional, es decir el hardware necesario para que el sistema de información pueda operar. El recurso humano que interactúa con el sistema de información, el cual está formado por personas que utilizan el sistema, alimentándolo con datos o utilizando los resultados que genere. Los datos o información fuente que son introducidos en el sistema, son todas las entradas que este necesita para generar como resultado la información que se desea. Los programas que son ejecutados por la computadora y producen diferentes tipos de resultados Las telecomunicaciones que son básicamente hardware y software, facilitan la transmisión de texto, datos, imágenes y voz en forma electrónica. Procedimientos que incluyen las políticas y reglas de operación, tanto en la parte funcional del proceso de negocio, como los mecanismos para hacer trabajar una aplicación en la computadora. 7

18 Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procedimiento y salida de información. A continuación se definen cada una de estas actividades y respectivamente la figura 2 los incorpora. Entrada de información. La entrada es el proceso mediante el cual el sistema de información toma los datos que requiere para procesar la información. Almacenamiento de información. El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sesión o proceso anterior. Procesamiento de información. Es la capacidad del sistema de información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Salida de la información. La salida es la capacidad de un sistema de información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, estaciones de trabajo, la voz, grabaciones, plotters, entre otros. Figura 2. Sistema de información.. 8

19 Tecnologías de la información Del ingles IT (information technology). Este término hace referencia a todas aquellas tecnologías que permiten y dan soporte a la construcción y operación de los sistemas de información. A continuación se muestra una lista no exhaustiva de ejemplos de estas tecnologías. Redes de datos, teletextos, redes de televisión, satélites, teléfono, fibra óptica, videodiscos, discos compactos, fax, gateways, ruteadores, concentradores (hubs), módems, software, sistema de diseño computarizados, unidades de almacenamiento de datos, servicios de transferencia electrónica, tarjetas inteligentes, etc. En la figura 3 se muestra el trabajo del gobierno TI con los sistemas de información. Figura 3. Sistemas. 9

20 1.1.2 TIPOS Y USOS DE LOS SISTEMAS DE INFORMACIÓN Durante los próximos años, los sistemas de información cumplirán tres objetivos básicos dentro de las organizaciones: 1. Automatizar los procesos operativos. 2. Proporcionar información que sirva de apoyo al proceso de toma de decisiones. 3. Lograr ventajas competitivas a través de su implantación y uso. Figura 4. Tipos de sistemas de información. SISTEMA DE PROCESAMIENTO DE TRANSACCIONES: cuando un sistema recopila, almacena y altera la información creada a partir de transacciones llevadas a cabo dentro de una organización se denomina sistema de procesamiento de transacciones. Tiene como finalidad procesar las transacciones diarias de una empresa, acumulando toda la información recibida en una base de datos para su posterior consulta. SISTEMA DE INFORMACIÓN GERENCIAL: un sistema de información gerencial es aquel utilizado por la empresa para solventar inconvenientes en la misma. Es decir, el objetivo del mismo es la suministración de información para la resolución de problemas a través de la interacción entre tecnologías y personas. Los datos aportados por el sistema deben disponer de cuatro cualidades elementales: calidad, oportunidad, cantidad y relevancia. 10

21 SISTEMA DE SOPORTE A DECISIONES: este sistema se basa en el estudio y la comparación entre un conjunto de variables con el objeto de contribuir a la toma de decisiones dentro de una empresa. El apoyo dado por el sistema involucra la estimación, valoración y balance entre alternativas. Al igual que el sistema de información gerencial, esta tecnología interacciona con personas en el filtrado de información que permite optar por la decisión más acertada. SISTEMA DE INFORMACIÓN EJECUTIVA: esta tecnología es utilizada por los gerentes de una empresa, ya que permite acceder a la información interna y externa de la misma, disponiendo de los datos que puedan llegar a afectar su buen rendimiento. De esta manera, el ejecutivo podrá conocer el estado de todos los indicadores, incluso aquellos que no cumplan con las expectativas y a partir de esto, tomar las medidas que considere adecuadas.[4] 1.2 LENGUAJE PHP PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje de 'scripting' de propósito general y de código abierto que está especialmente pensado para el desarrollo web y que puede ser embebido en páginas HTML. Su sintaxis recurre a C, Java y Perl, y es fácil de aprender. La meta principal de este lenguaje es permitir a los desarrolladores web escribir dinámica y rápidamente páginas web generadas; aunque se puede hacer mucho más con PHP (Figura 5). Figura 5. Logo de PHP. PHP está enfocado principalmente a la programación de scripts del lado del servidor, por lo que se puede hacer cualquier cosa que pueda hacer otro programa CGI, como recopilar datos de formularios, generar páginas con contenidos dinámicos, o enviar y recibir cookies. Aunque PHP puede hacer mucho más. 11

22 1.2.1 CARACTERÍSTICAS PHP es un potente lenguaje, y su intérprete, bien como módulo del servidor web o bien como binario CGI, puede acceder a ficheros, ejecutar comandos o abrir conexiones de red desde el servidor. Estas propiedades hacen que, por omisión, sea inseguro todo lo que se ejecute en un servidor web. PHP está diseñado específicamente para ser un lenguaje más seguro para escribir aplicaciones CGI que Perl o C. Partiendo de un correcto ajuste de opciones de configuración para tiempo de ejecución y en tiempo de compilación, y el uso de prácticas de programación apropiadas, pueden proporcionarle la combinación de libertad y de seguridad que necesita. Dado que hay muchas vías para ejecutar PHP, existen muchas opciones de configuración para controlar su comportamiento. Al haber una extensa selección de opciones se garantiza poder usar PHP para un gran número de propósitos, pero a la vez significa que existen combinaciones que conllevan una configuración menos segura (Figura 6). Figura 6. Estructura de php. 12

23 1.3 LENGUAJE HTML El origen de HTML se remonta a 1980, cuando el físico Tim Berners-Lee, trabajador del CERN (Organización Europea para la Investigación Nuclear) propuso un nuevo sistema de "hipertexto" para compartir documentos. Los sistemas de "hipertexto" habían sido desarrollados años antes. En el ámbito de la informática, el "hipertexto" permitía que los usuarios accedieran a la información relacionada con los documentos electrónicos que estaban visualizando. De cierta manera, los primitivos sistemas de "hipertexto" podrían asimilarse a los enlaces de las páginas web actuales. Tras finalizar el desarrollo de su sistema de "hipertexto", Tim Berners-Lee lo presentó a una convocatoria organizada para desarrollar un sistema de "hipertexto" para Internet. Después de unir sus fuerzas con el ingeniero de sistemas Robert Cailliau, presentaron la propuesta ganadora llamada WorldWideWeb (W3). El primer documento formal con la descripción de HTML se publicó en 1991 bajo el nombre HTML Tags (Etiquetas HTML) y todavía hoy puede ser consultado online a modo de reliquia informática. La primera propuesta oficial para convertir HTML en un estándar se realizó en 1993 por parte del organismo IETF (Internet Engineering Task Force). Aunque se consiguieron avances significativos (en esta época se definieron las etiquetas para imágenes, tablas y formularios) ninguna de las dos propuestas de estándar, llamadas HTML y HTML+ consiguieron convertirse en estándar oficial.). En 1995, el organismo IETF organiza un grupo de trabajo de HTML y consigue publicar, el 22 de septiembre de ese mismo año, el estándar HTML 2.0. A pesar de su nombre, HTML 2.0 es el primer estándar oficial de HTML. A partir de 1996, los estándares de HTML los publica otro organismo de estandarización llamado W3C (World Wide Web Consortium). La versión HTML 3.2 se publicó el 14 de Enero de 1997 y es la primera recomendación de HTML publicada por el W3C. Esta revisión incorpora los últimos avances de las páginas web desarrolladas hasta 1996, como applets de Java y texto que fluye alrededor de las imágenes. HTML 4.0 se publicó el 24 de Abril de 1998 (siendo una versión corregida de la publicación original del 18 de Diciembre de 1997) y supone un gran salto desde las versiones anteriores. Entre sus novedades más destacadas se encuentran las hojas de estilos CSS, la posibilidad de incluir pequeños programas o scripts en las páginas web, mejora de la accesibilidad de las páginas diseñadas, tablas complejas y mejoras en los formularios. 13

24 La última especificación oficial de HTML se publicó el 24 de diciembre de 1999 y se denomina HTML Se trata de una revisión y actualización de la versión HTML 4.0, por lo que no incluye novedades significativas. Desde la publicación de HTML 4.01, la actividad de estandarización de HTML se detuvo y el W3C se centró en el desarrollo del estándar XHTML. Por este motivo, en el año 2004, las empresas Apple, Mozilla y Opera mostraron su preocupación por la falta de interés del W3C en HTML y decidieron organizarse en una nueva asociación llamada WHATWG (Web Hypertext Application Technology Working Group). La actividad actual del WHATWG se centra en el futuro estándar HTML 5, cuyo primer borrador oficial se publicó el 22 de enero de Debido a la fuerza de las empresas que forman el grupo WHATWG y a la publicación de los borradores de HTML 5.0, en marzo de 2007 el W3C decidió retomar la actividad estandarizadora de HTML. De forma paralela a su actividad con HTML, W3C ha continuado con la estandarización de XHTML, una versión avanzada de HTML y basada en XML. La primera versión de XHTML se denomina XHTML 1.0 y se publicó el 26 de Enero de 2000 (y posteriormente se revisó el 1 de Agosto de 2002). XHTML 1.0 es una adaptación de HTML 4.01 al lenguaje XML, por lo que mantiene casi todas sus etiquetas y características, pero añade algunas restricciones y elementos propios de XML. La versión XHTML 1.1 ya ha sido publicada en forma de borrador y pretende modularizar XHTML. También ha sido publicado el borrador de XHTML 2.0, que supondrá un cambio muy importante respecto de las anteriores versiones de XHTML. 14

25 1.4 LENGUAJE MANEJADOR DE BASE DE DATOS MYSQL El software MySQL (Figura 1) proporciona un servidor de base de datos SQL (Structured Query Language) muy rápido, multi-threaded, multi usuario y robusto. El servidor MySQL está diseñado para entornos de producción críticos, con alta carga de trabajo así como para integrarse en software para ser distribuido. MySQL es una marca registrada de MySQL AB. (Figura 7). Figura 7. Logo de MySQL. MySQL AB de los fundadores de MySQL y principales desarrolladores. MySQL AB se estableció originalmente en Suecía por David Axmark, Allan Larsson, y Michael "Monty" Widenius. Nos dedicamos a desarrollar el software para la base de datos MySQL y promocionarlo a nuevos usuarios. MySQL AB posee el copyright del código fuente MySQL, el logo MySQL y la marca registrada, y su manual. Los valores clave dirigen cómo MySQL AB trabaja el software de base de datos MySQL: Ser la mejor y más usada base de datos en el mundo. Estar disponible y ser comprable por cualquiera. Fácil de usar. Mejorarlo continuamente mientras es rápido y seguro. Ser divertido de usar y mejorar. Libre de errores. Estos son los valores clave de la compañía MySQL AB y sus empleados: Suscribimos la filosofía Open Source y apoyamos la comunidad Open Source. Ser buenos ciudadanos. Preferimos socios que compartan nuestros valores y forma de pensar. Responder los correos electrónicos y proporcionar soporte. 15

26 1.4.1 CARACTERISTICAS La siguiente lista describe algunas de las características más importantes del software de base de datos MySQL Interioridades y portabilidad Escrito en C y en C++ Probado con un amplio rango de compiladores diferentes Funciona en diferentes plataformas. Usa GNU Automake, Autoconf, y Libtool para portabilidad. APIs disponibles para C, C++, Eiffel, Java, Perl, PHP, Python, Ruby, y Tcl. Uso completo de multi-threaded mediante threads del kernel. Pueden usarse fácilmente múltiple CPUs si están disponibles. Proporciona sistemas de almacenamientos transaccionales y no transaccionales. Usa tablas en disco B-tree (MyISAM) muy rápidas con compresión de índice. Relativamente sencillo de añadir otro sistema de almacenamiento. Esto es útil si desea añadir una interfaz SQL para una base de datos propia. Un sistema de reserva de memoria muy rápido basado en threads. Joins muy rápidos usando un multi-join de un paso optimizado. Tablas hash en memoria, que son usadas como tablas temporales. Las funciones SQL están implementadas usando una librería altamente optimizada y deben ser tan rápidas como sea posible. Normalmente no hay reserva de memoria tras toda la inicialización para consultas. El código MySQL se prueba con Purify (un detector de memoria perdida comercial) así como con Valgrind, una herramienta GPL. El servidor está disponible como un programa separado para usar en un entorno de red cliente/ servidor. También está disponible como biblioteca y puede ser incrustado (linkeado) en aplicaciones autónomas. Dichas aplicaciones pueden usarse por sí mismas o en entornos donde no hay red disponible. 16

27 1.5 PHPMYADMIN Las bases de datos pueden ser guardadas desde la interfaz de PhpMyAdmin, que se conecta con el usuario y contraseña creados durante la instalación del servidor LAMP, la instalación de las bases de datos, o con los datos facilitados por su proveedor de hosting. (Figura 8) Figura 8. Administración PhPMyAdmin. Una vez en la interfaz gráfica de PhpMyAdmin, vaya a la pestaña exportar y seleccione la base de datos a exportar. Si realizó una instalación en una única base de datos encontrará sólo una base de datos, pero si realizó la instalación por defecto encontrará una principal (main) y una base de datos por cada curso. prefix_main prefix_course_1 prefix_course_2 Cada base de datos de un curso de Chamilo está representada por un nombre compuesto por un prefijo y el código del curso. Por ejemplo, si un curso que se llama OpenOffice.org, y estamos utilizando el prefijo chamilo_, tendríamos una base de datos llamada chamilo_openofficeorg. 17

28 Figura 9. Administración - Exportación a través de PhpMyAdmin Es posible que desee cambiar el formato de salida del archivo de copia de seguridad. Para guardar, elija el formato deseado debajo de la base de datos que quiera exportar. En el presente ejemplo se optó por SQL. El nombre del archivo guardado puede cambiarse en la parte inferior de la página de exportación. También puede ser comprimido en tres tipos de formato. No olvide seleccionar el archivo de exportación, pues si no lo hace sólo se imprimirá el resultado del backup en la pantalla y no se producirá la copia como lo muestra la figura 10. Figura 10. Administración - Exportación a través de PhpMyAdmin (continuación). 18

29 El archivo se guarda de forma predeterminada en el directorio de descargas o en el escritorio, dependiendo de la configuración de su navegador. El archivo guardado estará en formato SQL (.sql) pudiéndose importar posteriormente a través de phpmyadmin, en caso de surgir algún problema. 1.6 BOOTSTRAP Últimamente muchos sitios web están basando su diseño en Bootstrap, Qué es Bootstrap? Pues en pocas palabras es el framework de Twitter que permite crear interfaces web con CSS y Javascript que adaptan la interfaz dependiendo del tamaño del dispositivo en el que se visualice de forma nativa, es decir, automáticamente se adapta al tamaño de un ordenador o de una Tablet sin que el usuario tenga que hacer nada, esto se denomina diseño adaptativo o Responsive Design. Aun ofreciendo todas las posibilidades que ofrece Bootstrap a la hora de crear interfaces web, los diseños creados con Bootstrap son simples, limpios e intuitivos, esto les da agilidad a la hora de cargar y al adaptarse a otros dispositivo 1.7 SERVIDOR APACHE: Apache httpd Fecha de lanzamiento 17/03/2014 La Apache Software Foundation y el proyecto Apache HTTP Server se complacen en anunciar el lanzamiento de la versión del servidor HTTP Apache ("Apache"). Esta versión de Apache es nuestra última versión GA de la rama 2.4.x nueva generación de Apache y sólo representa quince años de la innovación por el proyecto, y se recomienda sobre todas las versiones anteriores. Esta versión de Apache es principalmente una versión de corrección de errores y de seguridad. Esta versión de httpd es una gran versión de la rama 2.4 estable, y representa la mejor versión disponible de Apache HTTP Server. Las nuevas características incluyen cargable MPM, las principales mejoras en el soporte de OCSP, modula, configuración dinámica de proxy inverso, autenticación mejorada / Autorización, FastCGI Proxy, Nuevo analizador de expresiones, y una pequeña API de almacenamiento en caché de objetos. 19

30 1.8 WAMPSERVER WampServer es una plataforma para el desarrollo Web en Windows para aplicaciones web dinámicas utilizando el servidor Apache 2, PHP lenguaje de scripting y una base de datos MySQL. También tiene PHPMyAdmin para administrar fácilmente tus bases de datos. 1.9 XDEBUG: Xdebug es una extensión de PHP que ofrece capacidades de depuración y perfilado. Se utiliza el DBGp protocolo de depuración. La información de depuración que puede proporcionar Xdebug incluye lo siguiente: Pila y la función traza en los mensajes de error con: Visualización de parámetros completa para las funciones definidas por el usuario. Nombre de la función, el nombre de archivo y la línea de indicaciones. Apoyo a las funciones miembro. Asignación de memoria. Protección para recursiones infinitas. Xdebug también proporciona: Información de los perfiles de los scripts PHP. Análisis de la cobertura de código. Capacidades para depurar sus scripts de forma interactiva con un depurador frontend. Xdebug también está disponible a través de la PECL. 20

31 CAPITULO 2 ESTADO DE LAS TECNOLOGÍAS ACTUALES País de origen: EUA Licencia: $ 995 US. 2.1 METRICUS Descripción.- Metricus es un software que proporciona un marco para la medición de los procesos de TI, los proyectos o desempeño financiero. Proporciona un marco para la medición de los procesos de TI, los proyectos o desempeño financiero. Figura 11. Metricus. 2.2 INVESTIGACIONES REALIZADAS Tesis: Metodología para el establecimiento de objetivos de control como un medio de seguridad en el área de tecnologías de información Año: Junio de 2009 País de Origen: México D.F. Instituto Politécnico Nacional (IPN), ESIME- Zacatenco Lic. Diana Marisol Prado Oseguera 21

32 Descripción: Este trabajo de tesis, se realizó con la finalidad de proponer una metodología dirigida para aquellas empresas que quieren mejorar o evitar una situación de riesgo, por tener un escaso conocimiento en seguridad de la información de esta área. Tesis: Gobierno y modelado de la seguridad de la información en las organizaciones Año: 2011 País de Origen: Madrid, España Universidad Carlos III de Madrid Sandra Ontoria González Descripción: En este proyecto se estudia el entorno de Gobierno de Seguridad de la Información, con la finalidad de establecer un análisis y diseño de un Sistema de Gobierno de Seguridad de la Información. Tesis: Modelo para seguridad de la información en TIC País de Origen: Concepción, Chile Universidad del Bío-Bío Jorge Burgos Salazar, Pedro G. Campos Descripción Este trabajo presenta un modelo para facilitar la obtención de un adecuado nivel de control de riesgos en Tecnologías de Información y Comunicación (TIC), que permita entre otros evitar y/o disminuir las fallas en los sistemas, redes, Internet y todo el patrimonio informático (hardware, software y datos) de ataques o desastres, antes que éstos ocurran. 22

33 DIAGRAMA ARQUITECTURA DEL SISTEMA AREA 1 AREA 2 AREA 1 Figura 12 Arquitectura. En este diagrama (Figura 12) se describe de manera concreta, las herramientas utilizadas para el desarrollo, así como el flujo del mismo. Como primer punto, el sistema cuenta con un usuario administrador, el cual se encargara de organizar, manipular y administrar toda la información que conlleva a la realización y funcionamiento del sistema, así como de su monitoreo. El sistema está alojado en un servidor, donde se almacena y administra toda la información necesaria para el funcionamiento del sistema. 23

34 El proyecto tiene como base de diseño una base de datos relacional, creada en MySQL, asi como un diseño basado en php y PhpMyAdmin para manejar la administración de MySQL a través de internet y poseer operaciones de uso frecuente gestión de bases de datos, tablas, columnas, relaciones, índices, usuarios, permisos, etc.), entre otras. BOOTSTRAP Permite crear interfaces web con CSS y JavaScript que adaptan la interfaz dependiendo del tamaño del dispositivo en el que se visualice, es decir se adapta al tamaño de un ordenador o de una Tablet sin que el usuario tenga que hacer nada. CSS Utilizado como complemento decorativo, compatible con BOOTSTRAP. HTML5. Utilizado como complemento para la generación de cuestionario y enlace con la base de datos. Al ser un sistema visual en una página web, se requirió el uso de la nube, para la fluidez de la información así como la visualización de la misma en cualquier tipo de equipo con acceso a internet. Finalmente los usuarios podrán tener acceso al sistema desde cualquier dispositivo con acceso a internet y posean un explorador, como es el caso de equipos de cómputo, tabletas y Smartphone. 24

35 CAPITULO 3 GOBIERNO TI, COBIT E ITIL 3.1 GOBIERNO TI Introducción En el pasado, considerar la función de TI de una organización como una función meramente de soporte, una función separada y diferenciada del resto del negocio, era una práctica común. Actualmente, la mayor parte de la inversión en infraestructura y nuevas aplicaciones de TI abarcan líneas y funciones del negocio. Algunas organizaciones incluso llegan a integrar a socios y clientes en sus procesos internos. Por consiguiente los CEO s (directores ejecutivos) y los CIO s (directores de TI) cada vez más sienten la necesidad de aumentar las relaciones entre TI y el negocio. Pero, cómo se puede afrontar este reto estratégico? Las cuestiones clave son: Existe un marco para ayudar a los responsables del negocio y de tecnología en su esfuerzo por cambiar el rol de TI y reducir la distancia entre TI y el negocio que ésta debe soportar y apoyar? Cuáles son las responsabilidades a nivel de dirección y gestión? Es ésta una cuestión de gobierno? Un elemento crítico para el éxito y la supervivencia de la organizaciones, es la administración efectiva de la información y de las Tecnologías de la Información (TI) relacionadas. En esta sociedad global (donde la información viaja a través del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en información y en los sistemas que proporcionan dicha información. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de información. El coste de las inversiones actuales y futuras en información y en tecnología de información. El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. 25

36 Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa. Es más, en nuestro competitivo y rápidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la gerencia requiere servicios que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, así como una mejora continua y una disminución de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo más bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones punteras, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nuevas tecnologías NECESIDAD DE GOBIERNO DE TI Si TI se va a gestionar como un negocio dentro del negocio, el concepto de gobierno (proceso en el que se ayuda la gerencia para conseguir sus objetivos) es también aplicable a la gestión de TI. En muchas organizaciones, TI es fundamental para mantener y hacer que crezca el negocio. Como consecuencia, la gerencia necesita entender la importancia estratégica de TI y debería tener en su agenda el gobierno de TI. El principal objetivo del gobierno de TI es entender las cuestiones y la importancia estratégica de TI para permitir a la organización que mantenga sus operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. La gerencia de la organización necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que 26

37 las Tecnologías de Información son capaces de soportar los objetivos y estrategias de la organización. Cada implementación de gobierno de TI se lleva a cabo en diferentes condiciones y circunstancias (entorno de Gobierno de TI) determinados por factores tales como: Ética y cultura de la organización y de la industria. Leyes, regulaciones y guías vigentes, tanto internas como externas. Misión, visión y valores de la organización. La organización de la organización de sus roles y responsabilidades. Intenciones estratégicas y tácticas de la organización COBIT Y GOBIERNO DE TI Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos. La gerencia deberá además optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con esta responsabilidad, así como para alcanzar sus objetivos, la gerencia debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayudan a satisfacer las múltiples necesidades de la administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas y presenta actividades en una estructura manejable y lógica. Las Buenas prácticas de COBIT reúne el consenso de expertos quienes ayudarán a optimizar la inversión de la información y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado. La gerencia debe asegurar que los sistemas de control interno o el marco referencial están funcionando y soportan los procesos del negocio, y debe de ser consciente de cómo cada actividad individual de control satisface los requerimientos de información e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información. El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia. 27

38 La gerencia, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información actúen con la debida diligencia. La orientación al negocio es el tema principal de COBIT. Está diseñado no sólo para ser utilizado por usuarios y auditores, sino que, lo más importante, está diseñado para ser utilizado por los propietarios de los procesos de negocio como una guía clara y entendible. Los dueños de los procesos deben ser responsables de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados. El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y práctica: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. El Marco de Referencia consta de un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización. Ésta estructura cubre todos los aspectos de la información y de la tecnología que la soporta. Un Objetivo de Control en TI es una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control específicos dentro de una actividad de TI. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podrá asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de los riesgos así como de los beneficios asociados con la información y sus tecnologías relacionadas. 28

39 3.1.3 PROCESO DE IMPLANTACIÓN DE GOBIERNO TI El proceso de implantación de gobierno de TI asiste a los diferentes niveles de la organización con una detallada hoja de ruta que le ayuda en la implementación de sus necesidades de Gobierno TI usando COBIT. Identifica qué componentes de COBIT deben ser mejorados desde las necesidades iniciales hasta la implantación de la solución. La hoja de ruta presenta un proyecto que puede ser largo y que requiere prácticas estrictas de gestión de proyectos. Dicha hoja de ruta es un primer paso para implantar los requerimientos de gobierno de TI. Las fases del proceso de implantación de gobierno de TI en una organización son: 1.- Identificar necesidades. Los siguientes cuatro pasos son necesarios en la fase inicial de un proyecto de implantación de Gobierno de TI: a) Entender en entorno en el que se va a desarrollar el proceso de implantación de gobierno de TI y establecer un proyecto adecuado. b) Entender los objetivos de negocio y cómo trasladarlos a objetivos de TI. c) Entender los riesgos potenciales y la forma en la que estos pueden afectar a los objetivos de TI. d) Definir el alcance del proyecto y qué procesos deben ser implantados o mejorados. 2.- Análisis de la solución. Esta fase prevé la solución y está compuesta de tres pasos. Se debe fijar el estado de madurez actual de los procesos de TI seleccionados y el estado de madurez objetivo en el que se desea que estén tras implantar la solución. El análisis de la distancia entre la situación actual y la situación en la que se desea estar se convierte en oportunidades de mejora. 3.- Planificación de la solución. En esta fase se identifican iniciativas de mejora factibles y las traslada a proyectos justificados. Tras su aprobación, dichos proyectos deben ser integrados en la estrategia de mejora con un plan detallado para alcanzar la solución. 4.- Implementar la solución. Conforme los proyectos van avanzando, el resultado del mismo debe ser monitorizado y dichos resultados deben servir para tomar decisiones acerca de las siguientes iteraciones sobre cada uno de los procesos que se han implantado. Gobierno de TI es una metodología, no es la solución en sí. [6] 29

40 3.2 COBIT El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el mundo. La segunda edición (tema de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición. (Figura 13). Figura 13. Logo COBIT. QUÉ ES COBIT? COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva. 30

41 3.2.1 COBIT 4.1 Para esta versión actualizada de COBIT (COBIT 4.1), seis de los principales estándares mundiales relacionados con TI, marcos de trabajo y prácticas como las principales referencias de soporte para garantizar una cobertura, consistencia y alineación adecuada. Estas son: COSO: [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992 o Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992en los EUA, Cadbury en el Reino Unido y CoCo en Canadá y King en Sudáfrica] Control Interno Marco de Trabajo Integrado, 1994 Administración de Riesgos Empresarial Marco de Trabajo Integrado, 2004 Oficina de Comercio Gubernamental (OGC ): Biblioteca de Infraestructura de TI (ITIL ), ITIL V3 (Information Technology Infraestructure Library o Biblioteca de Infraestructura de Tecnologías de la Información, 2007) Organización Internacional para la Estandarización: ISO/IEC Instituto de Ingeniería de Software (SEI ): SEI Modelo de madurez de la capacidad (CMM ), 1993 SEI Integración del modelo de madurez de la capacidad (CMMI ), 2000 Instituto de Gestión de Proyectos (PMI ): Guía para el Cuerpo de Conocimiento de Gestión de Proyectos (PMBOK ), 2004 Foro de Seguridad de Información (ISF): El estándar de buenas prácticas para la seguridad de la información, 2003 Una temprana adición significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Éxito, Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes para la administración y poder tomar, así, dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI está alcanzando los requerimientos de negocio. La 31

42 Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una función de sus riesgos y objetivos; y proporcionar una base de comparación de sus prácticas de control de TI contra empresas similares o normas de la industria. Esta adición, proporcionará herramientas a la gerencia para evaluar el ambiente de TI de su organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT AREAS DE ENFOQUE DEL GOBIERNO DE TI SEGÚN COBIT 4.1 COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI está alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente La medición del desempeño es esencial para el gobierno de TI como se muestra en la figura 14. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y riesgos de TI, es uno de los más importantes impulsores para el gobierno de TI. Mientras las otras áreas consideradas contribuyen, la transparencia se logra de forma principal por medio de la medición del desempeño. Alineación Estratégica Entrega De Valor Administración De Recursos Administración De Riesgos Medición Del Desempeño 32

43 Figura 14. Pentágono COBIT COBIT ORIENTADO A PROCESOS COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar como se muestra en la figura 15. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. Figura 15. Cuadro COBIT. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de 33

44 responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios (Procesos), se llaman: Planear y Organizar Adquirir e Implementar Entregar y Dar Soporte Monitorear y Evaluar PLANEAR Y ORGANIZAR (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Procesos (PO) PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos 34

45 3.2.5 ADQUIRIR E IMPLEMENTAR (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarán a las operaciones actuales del negocio? Procesos (AI) AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia: Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 35

46 Procesos (DS) DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aún más, se pueden combinar como se necesite por cada empresa. Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuales son sus actividades clave y entregables principales, y quién es el responsable de ellas. 36

47 Procesos (ME) ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI MADUREZ COBIT 4.1 Este modelo de madurez descrito en el sistema COBIT 4.1 describe el estatus del ambiente de control interno y el establecimiento de controles internos en una empresa. Muestra cómo la administración del control interno, y la conciencia de la necesidad de establecer mejores controles internos, por lo general evoluciona de algo ad hoc, hasta un nivel optimizado. El modelo brinda una guía de alto nivel para ayudar a los usuarios de COBIT a apreciar lo que se requiere para un control interno efectivo en TI y ayudar a posicionar a su empresa en la escala de madurez. Puede resultar difícil proporcionar respuestas significativas a estas preguntas. La gerencia de TI está buscando constantemente herramientas de evaluación para benchmarking y herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el dueño del proceso se debe poder evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: 1. Una medición relativa de dónde se encuentra la empresa 2. Una manera de decidir hacia dónde ir de forma eficiente 3. Una herramienta para medir el avance contra la meta El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es avaluar el nivel de adherencia a los objetivos de control. 37

48 Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido. Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podrá identificar: El desempeño real de la empresa Dónde se encuentra la empresa hoy El estatus actual de la industria La comparación El objetivo de mejora de la empresa Dónde desea estar la empresa El crecimiento requerido entre como es y como será Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, donde se presentarán como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar con un método gráfico de presentación representado en la siguiente figura. Figura 16. Grafica madurez. 38

49 3.3 ITIL Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL ) se ha convertido en el estándar mundial por defecto en la Gestión de Servicios Informáticos. (Figura 17). Figura 17. ITIL. QUE ES ITIL? ITIL es un marco de desarrollo que describe las Mejores Prácticas en la Gestión de Servicios de TI, basada en la filosofía de administración que tiene un Gobierno Corporativo, que llevándose a cabo en el área de TI, se le conoce como Gobierno de TI. Contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. ITIL es el enfoque más ampliamente adoptado para la gestión de servicios en el mundo. Proporciona un marco práctico y sensato para identificar, planificar, entregar y apoyar a los servicios de TI con el negocio. [2] ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente LA LIBRERÍA ITIL no comenzó a ser utilizada de manera común hasta aproximadamente 1990; desde esa fecha el crecimiento de la librería se situó en aproximadamente 30 publicaciones que hacían de su utilización un proceso complejo. Se hizo necesaria por tanto una revisión que agrupase los libros según conjuntos estructurados en los procesos que estuvieran más íntimamente relacionados, enmarcando la gran cantidad de publicaciones existente en ocho volúmenes, denominándose desde entonces como ITIL v2. 39

50 La última versión vio la luz en 2007, denominada como ITIL v3. En esta versión se ha realizado un refresco (refreshment en palabras de la OGC), agrupando los elementos principales de ITIL en 5 volúmenes, que pueden encontrarse en la actualidad con los siguientes títulos (en inglés original) 1. ITIL v3 Service Strategy (SS) 2. ITIL v3 Service Design (SD) 3. ITIL v3 Service Operation (SO) 4. ITIL v3 Continual Service Improvement (CST) 5. ITIL v3 Service Transition (ST) Figura 18. Publicaciones ITIL. Estos 5 libros conforman el ciclo de vida ITIL (ITIL Lifecycle) Además y como soporte, información extra, complementaria y relativa a otros aspectos relacionados con la TI, pueden encontrarse multitud de publicaciones que conforman el conjunto del flujo de trabajo de los procesos relacionados con TI a través de ITIL. Figura 19. Flujo de funcionamiento de ITIL / Relación con las publicaciones. 40

51 3.3.2 CARACTERÍSTICAS DE LA LIBRERÍA La causa de que ITIL se haya convertido desde 1990 en un modelo de referencia y haya experimentado una expansión tan grande con respecto a otros modelos como CMM/CMMI y posteriormente COBIT se fundamenta en dos motivos: En las características esenciales de esta librería. Actualmente demuestra ser compatible con respecto a la introducción de normas internacionales y otros modelos de gestión paralelos en la Organización. Las características que han diferenciado a este compendio de buenas prácticas se pueden resumir en las siguientes: 1. No Desarrollada Con Derechos De Propiedad Se trata de un modelo de aplicación basado en mejores prácticas independientemente de proveedores asociados a su aplicación. Las mejores prácticas están basadas en procesos puestos en marcha y recopilados en estos volúmenes, no tienen derechos de uso por prácticas personales o empresariales únicas. 2. De Dominio Público Transición de conocimiento libre. Es de libre utilización. Cualquiera, independientemente de las características de la entidad puede ponerlo en práctica, incluso únicamente las partes que le apliquen. 3. Compendio De Mejores Prácticas Se puede aplicar y obtener beneficios adaptando el modelo a las características de cada necesidad, creciendo constantemente porque se retroalimenta de nuevas mejores prácticas. Estas mejores prácticas son el resultado de los resultados obtenidos por el trabajo diario de expertos y profesionales del mundo de las TI desde hace casi tres décadas. 4. Estándar Internacional Trata de establecer, al igual que se realizó en otras ciencias, una estandarización en los conceptos, lenguaje, estructura y formas de trabajo de las organizaciones en todo el mundo con respecto a las TI. Está desarrollado y responde a la estructura común del lenguaje y su terminología, así como los documentos que se utilizan actualmente en el mundo empresarial (servicios, procesos, estrategia, objetivos, responsabilidades, recursos, etc.). Con respecto a la compatibilidad de esta librería y sus mejores prácticas, puede decirse que ITIL ofrece y trata de crear un nexo de unión y acercamiento de la gestión de las TI con el mundo de la gestión empresarial, basado en ISO, EFQM y otros modelos similares. 41

52 3.3.3 ITIL VISIÓN GENERAL Y BENEFICIOS ITIL se enfoca en la continua medición y mejoramiento de la calidad del servicio entregado; desde el punto de vista tanto del negocio, cómo de la perspectiva del cliente. Este enfoque ha ayudado al éxito y a la proliferación de su uso, de tal forma que dentro de sus beneficios podemos mencionar: Incrementa la satisfacción del cliente con los servicios de TI. Mejora la disponibilidad del servicio, conduciendo directamente al aumento de beneficios empresariales y de ingresos. Ahorros financieros de la reducción de trabajos, pérdida de tiempo y la mejora del uso y gestión de los recursos. Mejoramiento del tiempo de salida al mercado de nuevos productos y servicios. Mejor toma de decisiones y el riesgo optimizado. ITIL aboga por que los servicios de TI deben estar alineados a las necesidades de la empresa y apoyan los procesos de negocio. Proporciona orientación a las organizaciones sobre cómo utilizar las TI como una herramienta para facilitar el cambio de negocios, la transformación y el crecimiento. Soporte al Servicio ITIL El soporte al servicio se preocupa de todos los aspectos que garanticen la continuidad, disponibilidad y calidad del servicio prestado al usuario. Este soporte se representa en la figura 20: Figura 20. Características librería. 42

53 CAPITULO 4 DESARROLLO, PRUEBAS Y RESULTADOS 4.1 DESARROLLO Para poder llevar a cabo este proyecto se tuvo que seleccionar procesos, niveles y los puntos de las métricas COBIT e ITIL sobre madurez y riesgo, que más se adaptarán a nuestras necesidades para las áreas a las que se está delimitando el proyecto. Para la realización de diagnóstico de madurez se ha creado un cuestionario basado en las áreas ya mencionadas de COBIT aunado a la utilización de 16 de los 36 procesos de COBIT. AREAS ENFOCADAS DE COBIT AL DIAGNOSTICO Administración De Recursos EQUIPOS USUARIOS INFORMACION(BASES DE DATOS) Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI; aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura. Administración De Riesgos Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa y la inclusión de las responsabilidades de administración de riesgo dentro de la organización. Medición Del Desempeño Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balance scorecards que traducen la estrategia en acción para lograr las metas medibles más allá del registro convencional. PROCESOS UTILAZADOS PLANEAR Y ORGANIZAR (PO) PO7 Administrar Recursos Humanos de TI PO9 Evaluar y Administrar los Riesgos de TI 43

54 P07. Administrar los Recursos Humanos de TI Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. P09. Evaluar y Administrar los Riesgos de TI Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los Interesados (Stakeholders) y se debe expresar en términos financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia. ADQUIRIR E IMPLEMENTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI1. Identificar Soluciones Automatizadas La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. AI2. Adquirir y Mantener Software Aplicativo Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. 44

55 AI3. Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. AI4. Facilitar la Operación y el Uso El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. ENTREGAR Y DAR SOPORTE DS3 Administrar el desempeño y la capacidad DS5 Garantizar la seguridad de los sistemas DS7 Educar y entrenar a los usuarios DS10 Administrar los problemas DS11 Administrar los datos DS3. Administrar el Desempeño y la Capacidad La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. DS5. Garantizar la Seguridad de los Sistemas La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. 45

56 DS7. Educar y Entrenar a los Usuarios Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios. DS8. Administrar la Mesa de Servicio y los Incidentes Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. DS10. Administración de Problemas Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. DS11. Administración de Datos Una efectiva administración de datos requiere de la identificación de requerimientos de datos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la información del negocio. 46

57 MONITOREAR Y EVALUAR ME2 Monitorear y Evaluar el Control Interno ME4 Proporcionar Gobierno de TI ME2. Monitorear y Evaluar el Control Interno Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. ME4. Proporcionar Gobierno de TI El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para garantizar así que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales. Después de analizar esta información relacionada a las áreas que se está delimitando el proyecto se precedió a realizar un cuestionario relacionado a la información antes mencionada. Cuestionario para nivel de Madurez COBIT 1. Cuentas con un programa de mejora continua de TI así como cimentadas las 2. políticas, requerimientos y procedimientos de calidad, como evaluarías el documento? 3. En caso de contar con empleados a tu cargo, Cuentas con algún tipo de documento en el cual se indique el tipo de responsabilidades y obligaciones de tus empleados?, elige la claridad del documento. 4. En caso de contar con un plan de acción a incidentes significativos, que tan completo y claro es? 5. Realizas alguna evaluación periódica de controles y riesgos en el área?, elige el nivel efectividad. 6. Llevas acabo algún tipo de monitoreo y este es registrado en alguna bitácora y que tan completo es? 7. Estás de acuerdo con las métricas y metas definidas dentro de tu marco de trabajo?, elige una opción. 8. Cómo calificarías el desempeño del personal (usuarios)? 9. En caso de contar con ellas, cómo calificarías las medidas de administración de recursos? 47

58 10. Conoces los requerimientos de las leyes, regulaciones y cumplimientos contractuales relacionados al tipo de giro de empresa y al trabajo que desempeñas?, elige una opción. 11. Proporcionas alguna serie de reportes al consejo directivo o ejecutivos sobre el estado actual del área y que tan completo es? 12. Realizas alguna autoevaluación y con qué frecuencia? 13. El área de TI fue creada en base a alguna arquitectura adecuada al tipo de negocio o empresa?, Cómo calificarías? 14. Al momento de contratar personal te aseguras de proporcionar orientación necesaria y entrenamiento continuo? Elige el valor según corresponda. 15. Al adquirir y mantener tu infraestructura de TI, tomas en cuenta un plan de mantenimiento y protección para prolongar la vida útil? Elige el valor según corresponda. 16. Llevas acabo un informe sobre la estrategia, desempeño y los riesgos de TI y responden a los requerimientos de gobierno de acuerdo a las decisiones de la dirección? Elige el valor según corresponda. 17. Qué tan capaz es el Área de TI para lograr resultados y satisfacer a la mayor parte de los interesados? 18. Qué tan fácil es para la empresa adaptarse a las tendencias y avances tecnológicos? 19. Qué tan frecuente es el monitoreo de las reas de tecnológicos las que cuneta su empresa? 20. Con que frecuencia motiva una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio? 21. Qué calificación le otorga a la gente que apoya al reclutamiento del Área de TI de su empresa? 22. Qué calificación le otorga a la gente que apoya al reclutamiento del Área de TI de su empresa? 23. Con que calificación evalúas las habilidades y agilidades de los responsables del Área de TI? 24. De acuerdo a su marco de trabajo Cómo evalúa su nivel de estrategias de mitigación y riesgos? 25. De acuerdo a su marco de trabajo Cómo evalúa su nivel de estrategias de mitigación y riesgos? 26. Qué tan frecuente evalúa la probabilidad de impacto de todos los posibles riesgos identificados? 27. Qué tan bueno considera usted su proceso de respuesta a riesgos? 28. Para usted que tan importante es planear y priorizar actividades de control ara implementar las respuestas a los riesgos? 29. Qué tan frecuente monitorea la ejecución de los planes y reportes para un posible riesgo? 30. Con que frecuencia realiza estudios de factibilidad para dar posibles soluciones? 31. Qué tan confiable considera el adquirir y/o mantener software aplicativo? 48

59 32. Cómo califica la efectividad y eficiencia de su software que maneja? 33. Con que frecuencia da mantenimiento al software aplicativo que adquiere? 34. Qué tan frecuente es la actualización del software que utiliza? 35. Su empresa cuenta con procesos para adquirir, implementar y actualizar su infraestructura tecnológica? 36. Qué tan frecuente es el mantenimiento de su infraestructura tecnológica? 37. Qué tan satisfactorio es el rendimiento en cuanto a sus requerimientos su infraestructura tecnológica? 38. Qué tan definidos están las medidas de seguridad dentro de su área tecnológica? 39. Cómo califica el conocimiento de los responsables del área de TI sobre nuevas tecnologías disponibles? 40. Qué calificación otorga al entrenamiento de apoyo al usuario para el manejo de nuevas tecnologías adquiridas? 41. Si cuenta con un plan de contingencia, cómo evaluaría su efectividad? 42. Realiza entrevistas periódicamente al personal del área de TI Qué tan frecuentes son? 43. Qué tan frecuente verifica los inventarios realizados al Área de TI? Los niveles adoptados de madurez son: NIVEL 0-NO EXISTE: (1%-16.67%) Carencia completa de cualquier proceso reconocible. L a empresa no ha reconocido siquiera que existe un problema a resolver. NIVEL 1-INICIAL (16.67%-33.34%) Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo, no existen procesos estándar en su lugar existen enfoques ad hoc que entienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. NIVEL 2-REPETIBLE (33.35%-50.02%) Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. NIVEL 3-DEFINIDO (50.12%-66.69%) Los procedimientos se han estandarizado y documentado, y se han difundido a través de entretenimiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. 49

60 NIVEL 4-ADMINISTRADO (66.70%-83.36%) Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. NIVEL 5-OPTIMIZADO (83.37%-100%) Los procesos se han refinado hasta un nivel de mejora práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. Analisisa de evaluacion Posteriormente se realizó un promedio, sumando todas las calificaciones obtenidas divididas entre el número total de posibles incidencias que son las preguntas para después poder hacer una gráfica circular siendo el color verde el estado de madurez arrojado de acuerdo a la evaluación, además de la descripción del mismo. NOTA: Los niveles de madurez se derivan del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. CUESTIONARIO RIESGO ITILv.3 Para el cuestionario de ITIL para riesgo está basado en 1 de las 5 etapas: Service Transition - Transición de Servicios (ST) Gestión de Incidencias Gestión de Problemas. 5 SERVICE OPERATION OPERACIONES DE SERVICIOS (SO) La operación del servicio en ITIL y sus procesos asociados se identifican como buenas prácticas, porque permiten que la organización pueda asegurar que los servicios se prestan de manera eficaz y eficiente. Esta manera de gestionarse incluye el estar atentos y poder cumplir adecuadamente con las peticiones del usuario; la solución de los posibles errores de servicio; la eliminación de los problemas (investigando de sus causas), así como la realización de actividades comerciales por el contacto directo con los usuarios y, por lo tanto, con el cliente. 50

61 Para lograr estos fines, ITIL nos aporta una herramienta muy importante, el centro de servicios, punto esencial para la puesta en marcha de procesos basados en ITIL, en una organización con servicios TI. Centro de Servicios El principal objetivo de un centro de servicios es ser el centro de operaciones de todos los procesos de soporte al servicio. Entre sus funciones están las siguientes: Servir de punto de contacto entre los usuarios y el servicio. Aportar soluciones temporales a los errores, en cooperación con la gestión de problemas. Registrar incidencias. Realizar el seguimiento de estas incidencias. Realizar las derivaciones necesarias para las peticiones de cambio, por parte de los usuarios en colaboración con la gestión de cambios y monitorizarlas. Mantener actualizada la base de datos de configuraciones, para poder ofrecer a los usuarios la información que necesiten. Este punto de contacto con los clientes es esencial para la organización, ya que éstos pueden demandar información personalizada y totalmente actualizada. Para ello es necesario que haya personas que la ofrezcan, que estén informadas y tengan conocimiento del servicio que se está ofreciendo. Por lo tanto, al implementar un centro de servicios, los beneficios que se obtienen están fundamentalmente centrados en una mejora de la satisfacción de los clientes, que permite abrir nuevas oportunidades de negocio. Centrarse en mejorar la atención a los clientes supone para la empresa realizar un ejercicio de fortalecimiento del conocimiento y establecimiento de unos flujos de comunicación muy fluidos para que este centro de servicios esté siempre informado y al tanto de las operaciones del servicio. Eso redunda, finalmente, en una reducción de costes por reasignación de recursos. Las principales causas por las que una organización TI se plantea implantar un centro de servicios suelen provenir de problemas derivados de una gestión inadecuada, que se manifiesta en cualquiera de estas situaciones: Se han detectado problemas idénticos y se siguen resolviendo una vez tras otra, sin plantearse resolver el problema que subyace, para eliminarlos definitivamente. 51

62 Las personas implicadas en la resolución de incidencias no son proactivas y resuelven incidencias críticas constantemente. Malos rendimientos en la atención al cliente. Cargas de trabajo elevadas para las personas implicadas en la gestión de incidencias. Un centro de servicios puede implementarse en una organización de diversas formas: Centro de llamadas (call center). El objetivo de un call center es el de centralizar todas las llamadas de los usuarios y redirigirlas a otras personas o departamentos que puedan solucionar la duda, queja, reclamación o petición de éstos en el menor tiempo posible. Para ello un call center debe realizar un rápido despistaje de necesidades de quienes llaman, para establecer la comunicación con el punto que puede resolver adecuadamente su problema. Si además se permite la recepción de correos electrónicos, faxes, teletipos, o correo ordinario, se denominará como contact center. Centro de soporte (help desk). El objetivo principal de éste es resolver las interrupciones del servicio en el menor tiempo posible, ofreciendo un primer nivel de resolución técnica a incidencias, problemas, dudas o soporte. Centro de servicios (service desk). Representa un enfoque total de servicios al cliente y sus usuarios. Su objetivo principal es ser el punto de referencia para los usuarios del servicio. Este centro suma las funciones de los dos anteriores, ofreciendo además las siguientes: 1. Centralización de todos los procesos de gestión del servicio. 2. Canalización de las peticiones de servicio de los usuarios. 3. Monitorización de los SLA. Estructura física 4. Dependerá de alguna de las siguientes necesidades del cliente y características del servicio: 5. Continuidad. 6. Disponibilidad. 7. Localización. 8. Tipos de clientes. 9. Tipos de usuarios. 10. Costes. Después de realizar un análisis de estos aspectos, la organización deberá decidir el service desk a implantar. Existen tres modelos básicos de estructura: 52

63 Service desk local Es beneficioso en negocios con necesidades locales, ya que permite atender las sedes donde se encuentran los centros de servicios. Mantener varios service desk para cada localización geográfica tiene la ventaja de la optimización de tiempo en la resolución de incidencias. Sin embargo, tiene grandes desventajas tales como: Service desk centralizado Poca optimización de los recursos. Mayores costes. Peor gestión de incidencias. Dificultad de organización con el resto de procesos de gestión necesarios. Difícil monitorización. Disminución de entradas en la BD de gestión del conocimiento, por mayor dificultad de coordinación. Centraliza todos los contactos cliente organización a través de un service desk central. Es principalmente beneficioso para organizaciones con varias sedes, ya que tiene las siguientes ventajas: Reducción de costes. Mejora de la disponibilidad de recursos. Más facilidad en la gestión de incidencias y su monitorización. Mayor coordinación entre procesos de gestión TI. La principal desventaja se produce cuando existe una incidencia o una petición de servicio que debe ser atendida en el lugar físicamente. Gestión de incidencias La gestión de incidencias de un service desk, como se verá además en el apartado 2. Gestión de Incidencias, debe ofrecer a los usuarios, al menos, un primer nivel que permita obtener una respuesta sobre una posible resolución. Este primer nivel puede definirse de dos maneras: 1. Primer nivel con conocimientos básicos/ intermedios en la resolución de incidencias. 2. Primer nivel con escasos conocimientos, pero que conozca perfectamente a quién derivar la gestión de la incidencia. De cualquiera que sea la manera de implementar el primer nivel, el service desk tiene la función y el objetivo primordial de realizar un escalado de incidencias, cuando no pueden 53

64 ser resueltas desde éste. Por lo tanto, sus funciones serán, al menos, las que se mencionan a continuación: Registro de las incidencias y monitorización de las mismas. Escalado y seguimiento del proceso. Identificación de problemas para coordinación con gestión de problemas. Cierre de la incidencia. Comunicación y validación con el cliente. Relación de este servicio con otros procesos de ITIL: Gestión de incidencias: vínculo absoluto, ya que la gestión de incidencias en una organización TI debe ser gestionada a través de un service desk. Gestión de problemas: la detección de un error conocido a tiempo permite ser más eficaces y eficientes en el cierre de incidencias. Gestión de cambios: las peticiones de cambio de los usuarios deben ser coordinadas entre el proceso de gestión de cambios y el service desk. Gestión de los niveles de servicio: la información de los contratos establecidos con el cliente y su nivel de cumplimiento debe quedar reflejada en los SLA, que han de ser constantemente comunicados al service desk, para comprobar si las peticiones de los usuarios se ajustan a lo pactado. Gestión de la estrategia de servicio: el service desk debe estar coordinado a través de la estrategia del negocio, para que las decisiones que se estimen oportunas se vean reflejadas en el trato con el cliente y sus usuarios, y se puedan obtener ventajas gracias a un centro de servicios formado y dinámico GESTIÓN DE INCIDENCIAS La gestión de incidencias tiene como objetivo principal la resolución de los incidentes para restaurar lo más rápidamente el servicio. Para ello deberá detectar cualquiera alteración en los servicios TI, y para dar entrada al proceso de la incidencia registrada. Una incidencia puede provenir de cualquiera de los siguientes elementos: 54

65 Errores de SW o HW Errores en la operación del servicio Peticiones de servicio (usuarios) Pedidos Consultas La gestión de las incidencias se realiza normalmente a través del centro de servicio (service desk), ya que la gran mayoría de éstas provendrán de los usuarios que utilizan el servicio; por lo tanto, la gestión de incidencias es fundamentalmente reactiva. Cualquier incidencia que no sea clasificable como estándar (las que no tienen solución ya propuesta o no responden a niveles de servicio 0 ó 1) debe ser derivada a la gestión de cambios a través de una RFC. Una correcta gestión de incidencias, al igual que la gestión de problemas, aporta grandes beneficios a la organización, como los siguientes: En cuanto a las personas: más organizadas y concienciadas hacia la consecución de los objetivos del proceso. En cuanto a los clientes: mayor satisfacción. En cuanto a la organización: generación de mayor conocimiento y mejor rendimiento del servicio. Relaciones de este proceso con otros de ITIL: Gestión de problemas: interaccionan a través de las BBDD de conocimiento y la CMDB, aportando información sobre problemas; errores conocidos; incidencias o problemas actuales; soluciones posibles, etc. Gestión de la configuración: la CMDB aporta información de mucho valor sobre los CI, que pueden estar implicados en la incidencia. Gestión de cambios: existe una comunicación constante entre estos procesos, de manera que toda incidencia debe ser comunicada a la gestión de cambios, cuando sea necesario establecer una RFC para su resolución. Gestión de la disponibilidad: la monitorización y el seguimiento que se realiza en este proceso aporta información importante para la detección del posible inicio de la incidencia. Gestión de la capacidad: las incidencias pueden ocurrir por problemas en la capacidad de la infraestructura TI. Gestión de los niveles de servicio: cuando se actualizan los SLA para comprobar su cumplimiento, se deben incorporar los informes de seguimiento de la resolución o del estado de las incidencias. 55

66 4.1.2 GESTIÓN DE PROBLEMAS El objetivo principal de la gestión de problemas es investigar y analizar los problemas que afectan al servicio, para identificar causas y proponer soluciones que permitan evitar su repetición. Sus funciones tratan de garantizar lo siguiente: Identificar, registrar y analizar los errores y se mantenga una actitud pro-activa para su predicción. Determinar posibles soluciones a las mismas. Documentar las soluciones propuestas. Proponer las peticiones de cambio (RFC) necesarias para restablecer el servicio. Realizar revisiones post implementación (PIR), para asegurar que los cambios han surtido los efectos buscados, sin crear problemas de carácter secundario. Hacer informes del estado de la infraestructura y el servicio. Los beneficios de centralizar una gestión de problemas pueden ser los siguientes: Una mejora notable en la calidad del servicio. Aumento de la productividad de las personas, debido a que ofrecen soluciones más rápidas y eficaces, gracias a la gestión del conocimiento. Mejora de la satisfacción del cliente por la calidad del servicio y la eficiente resolución de problemas. Incremento del número de soluciones disponibles para nivel 0, gracias a la gestión del conocimiento, que aporta la documentación de las soluciones propuestas para que los problemas se conviertan en errores conocidos. CUESTIONARIO 1. Cuál sería el rango de accesibilidad de los usuarios a la información cuando la necesitan? 2. Consideras que tu información cuenta con integridad, como lo calificarías? 3. Qué nivel de confidencialidad tiene la información importante o delicada, por ejemplo finanzas, reportes directivos, etc.? 4. Qué nivel de medidas, controles y procedimientos de seguridad para la información que ha de ser protegida por la empresa? 5. En qué nivel de claridad tienes presentes la o las políticas de seguridad de la información? 6. con que nivel identificas el seguimiento a los servicios que has realizado? 7. Tienes claramente establecidos los objetivos de tu área?, elige la que más te convenza. 8. Cuentas con la herramienta necesaria para realizar tu trabajo? elige la que más te convenza. 56

67 9. Mantienes una documentación actualizada de cada una de tus actividades, planes de trabajo y recursos fiscos?, elige la que más te convenza. 10. Tienes claramente establecidas las políticas de tu área?, elige la que más te convenza. 11. Qué nivel de colaboración mantienes con otras áreas para la correcta gestión de la seguridad del servicio? 12. Continuamente realizas un monitoreo de servicio para saber si cumplen con los objetivos planteados?, elige el grado de monitoreo. 13. Entregas continuamente reporte de mejoras y actividades al personal de dirección?, elige que tan completo es el reporte. 14. Realizas periódicamente una auditoria interna de seguimiento y mejora?, elige el nivel de complejidad. 15. cuentas con un plan de mantenimiento preventivo y correctivo de tus equipos? elige el nivel de complejidad. 16. Qué importancia le das a los comentarios u observaciones de las demás áreas para el mejoramiento de los servicios? 17. Dentro de la empresa, hay relación entre los planes de negocio y las estrategias de los servicios de TI como considera esta relación 18. Que tan definidos están los objetivos y expectativas de desempeño hacia el servicio de los clientes?? 19. Con que frecuencia es el cumplimiento de los objetivos de los servicio de TI? 20. Cómo evalúa su base de datos de proveedores, contratos y servicios 21. Los planes de continuidad y recuperación de servicios de TI están documentados, actualizados y probados, que calificación le otorga 22. Con que frecuencia se asesora a las demás áreas de la empresa sobre gestión del riesgo y asuntos relacionados con la continuidad y recuperación?? 23. Cómo evalúa la eficiencia del call center a la hora de comunicarse con otros usuarios para dar reportes de riesgo? 24. Cuenta con un Registro de las incidencias y monitorización de las mismas, cómo la calificaría? 25. Cómo evalúa el desempeño del personal encargado del Service desck? 26. Dentro de la empresa, hay relación entre los planes de negocio y las estrategias de los servicios de TI? Cómo es su eficacia? 27. Qué tan definidos considera los objetivos y expectativas de desempeño hacia el servicio de los clientes? 28. Se evalúa con frecuencia el cumplimiento de los objetivos de los servicio de TI? 29. Qué tan frecuente es la actualización de su base de datos de proveedores, contratos y servicios? 30. Los planes de continuidad y recuperación de servicios de TI están documentados, actualizados y probados? Cómo consideraría su eficacia? BD 31. Qué tan eficiente es la asesoría a las demás áreas de la empresa sobre gestión del riesgo y asuntos relacionados con la continuidad y recuperación? 57

68 32. Qué tan generoso es el presupuesto asignado a los planes de continuidad de TI? 33. Qué tan actualizada es la base de datos de configuración (CMDB)? 34. En la base de datos de configuración (CMDB) se encuentran registrados todos sus elementos (hardware, software, documentación, personal, soporte, etc.)?, Qué tan eficaz es su rendimiento? Evalúe. 35. Hay BD donde se almacenen las licencias, versiones definitivas y aprobadas de todo el software de los elementos de configuración? 36. La DML se encuentra en un lugar específico, seguro y su acceso es controlado de forma lógica y física?, Qué tan seguro es? 37. Existe un único punto de contacto para el reporte de incidentes? Cómo evalúa su desempeño? 38. Qué tan eficaz es su registro de incidentes? 39. Qué tan frecuente las inconsistencias de la CMDB son detectadas y reportadas al centro de soporte? 40. Existe una Base de Datos con Errores Conocidos, problemas y sus soluciones, como evalúa su desempeño? 41. Con que frecuencia realiza periódicamente backups de la base de datos de sus sistemas de información? 42. Cuentan con alguna herramienta para la distribución y actualización de software? 43. El SLA de los servicios están bien definidos y comprendidos por los grupos de soporte? 44. Qué tan definidas las plantillas de documentación para los incidentes frecuentes? 45. Se tienen estadísticas por número de incidentes identificados en sus equipos, Qué tan frecuente? 46. Cuenta con herramientas bien definidas para la actualización de software y como evaluaría su desempeño? 47. Qué tan frecuente es la actualización de licencias utilizadas por su software? 48. Qué tan restringido está el acceso a sus sistemas de información para que no puedan ser adulterados los sistemas? 58

69 VALORES Los valores para la evaluación de riesgos son los siguientes: 1% a 30%-Riesgo 31% a 60%-Aceptable/Estable 61% a 100%-No hay riesgo Insignificante Este porcentaje está establecido en base a la propuesta metodológica para el manejo de riesgos COSO, (Sponsoring Organizations of the Treadway) Y al igual que en el nivel de madurez se hace un promedio entre la suma de los valores respondidos entre los diferentes posibles riesgos que son el número de preguntas. Para mostrar un grafica de línea mostrando el nivel de riesgo en las diferentes áreas de análisis como se muestra en la figura 21, muestra la utilización de COBIT e ITIL DIAGRAMA MADUREZ Y RIESGO Figura 21. Diagrama madurez y riesgo. 59

70 4.2 PROPUESTA DE SOLUCIÓN Figura 22. Diagrama general. En este diagrama (Figura 22) representa la solución en cual está dividido en dos partes, en la primera, se hace mención del usuario responsable del área de tecnología de información, con la herramienta de trabajo, posteriormente se describe el funcionamiento interno de la herramienta WEB para llevar el diagnóstico de madurez del gobierno de TI. En esta página WEB desarrollada en PHP y con un manejador de base de datos MySQL. La base de datos cuenta con la información respecto a los usuarios, equipos y base de datos del área de gobierno de TI para la gestión y servicios de dicha área, todo esto en base a las buenas prácticas de COBIT e ITIL. Finalmente obtendremos el diagnostico presentándose mediante una interfaz de usuario vía WEB representada con graficas con variables desde optimo hasta en riesgo. 60

71 4.3 SISTEMA Página de presentación del proyecto. La cual contiene el botón de menú principal para ingresar al sistema. Figura 23. Página principal. Pantalla para iniciar sesión o registrarse según sea el caso. Figura 24. Registro. 61

72 Figura 25. Menú principal. Al acceso al botón de riesgo (ITIL) nos desplegara el cuestionario el cual el usuario tendrá que contestar basándose en las 3 opciones como respuesta. Interfaz principal del sistema el cual contiene los botones para acceso al diagnóstico de riesgo (ITIL) y madurez (COBIT). A su vez el botón de resultado para generar el diagnostico mediante graficas que mostraran la evaluación final. Figura 26. Diagnóstico. Al acceso al botón de madurez (COBIT) nos desplegara el cuestionario el cual el usuario tendrá que contestar basándose en las 3 opciones de respuesta. 62

73 4.3.1 DIAGRAMA DE FLUJO DEL SISTEMA CONEXIÓN A INTERNET PAGINA WEB WEB Figura 27 Diagrama de Flujo. El diagrama (Figura 27) de flujo presentado explica los eventos desde la conexión a internet hasta finalizar la aplicación. Conexión a INTERNET En la figura FALTA VER QUE # DE FIGURA ES se puede observar que se toma como prioridad el establecimiento de una conexión a internet, esto se logra mediante una red alámbrica, inalámbrica o paquete de datos, ésta última sólo en el caso de tratarse de un teléfono celular; si es que la conexión no se ha establecido, la aplicación espera hasta que así sea. 63

74 Página WEB En esta parte del diagrama se está representando la forma de acceso al sistema, ya que se puede hacer de dos modos: Administrador Esta forma de acceso contamos con los privilegios de dar de alta a las empresas para que queden registradas en el sistema además de tener la posibilidad de dar de alta preguntas que formaran parte de los cuestionarios para el diagnóstico. Usuario El acceso como usuario solo está limitado al diagnóstico, pero como se hace: El usuario debe de estar previamente registrado en caso de no estarlo deberá registrarse, una vez registrado el usuario puede proceder a el diagnostico dividido en riesgo (ITIL), madurez (COBIT). Una vez contestados lo cuestionarios el siguiente paso es ver los resultados obtenidos de dicha evaluación. 64

75 4.3.2 DIAGRAMA GESTOR BASE DE DATOS La figura 28. Diagrama del gestor de base de datos. Iniciamos sesión para la administración de nuestra base de datos que esta enlazada con la página WEB. Figura 29. PhpMyAdmin. Figura 30. BD MYSQL. 65

76 . CobiT Administrador Diagnostico Gestor de base de datos Usuarios ITIL Cliente Tipo de ITIL Empresa Tipo de empresa Usuarios DASH Comercios Equipos Base de datos Figura 31. Diagrama Base de datos. Servicios Hospitalarios Turismo Ferrocarriles El gestor de base de datos con el cual se lleva a cabo la inserción de: preguntas de CobiT e ITIL, el tipo ITIL (BD, usuarios y equipos) altas empresa, tipo de empresa, usuarios. 66

77 4.4 PRUEBAS El sistema fue probado/implementado en una empresa para realizar las pruebas necesarias para dar una evaluación final. Datos de la empresa. Nombre de la empresa. Distribuidora de Autopartes Suspensiones y Soportes S.A. de C.V. RFC DAS061023LC9 Tipo de giro. COMERCIALIZADORA DE AUTOPARTES AUTOMOTRICEZ Dirección Calle: Hda. De Solís No. 61 Col. Impulsora Popular Avícola C.P Nezahualcóyotl DF Teléfono Nombre del dueño. José Luis Medrano Coria Encargado del área de TI. Guillermo Navarrete Huerta. Estructura de la empresa. Figura 32. Logo de la empresa DASS. 67

78 Estructura de la empresa Dirección General José Medrano Coria Asistente Carmen cerrano Ventas Noe Medrano Coria Facturación Paty Mendoza Cuentas por Cobrar Juan Hernandez Almacen Roberto Coria IT Guillermo Navarrete Zona A Zona B Zona C Zona D Surtido Luis Carrillo Repartidor 1 Repartidor 2 Repartidor 3 Figura 33. Organigrama empresa DASS. Lugar y Ubicación Figura 34. Lugar DASS. Figura 35. Ubicación DASS. 68