Download - Trabajo Final (Grupo 2)
-
UNIVERSIDAD CATOLICA
SANTO TORIBIO DE MOGROVEJO
PROGRAMA DE ESPECIALIZACIN
PROYECTO FINAL DEL DIPLOMADO DE AUDITORIA DE
TECNOLOGAS DE LA INFORMACIN Y SEGURIDAD
INFORMTICA.
TITULO:
IMPLEMENTACIN DEL MODELO DE REFERENCIA COBIT
5.0 EN LA UNIVERSIDAD CSAR VALLEJO PARA LA
GESTIN DE CONTROL INTERNO TI EN EL REA DE
REGISTROS ACADMICOS.
INTEGRANTES: (Grupo de investigacin y desarrollo - GRUPO 2).
CSAR A. CRDOVA.
DOCENTE: Ing. OMAR NEYRA CRDOVA
Chiclayo, 17 de Agosto de 2013.
DEDICATORIA
-
A nuestras familias y amigos por las ausencias los fines de
semana, durante el desarrollo de estudio de este
Diplomado.
Para nuestros compaeros que compartieron el aula y
ayudaron al desarrollo del curso.
A los organizadores, y a los Docentes que dejaron y
compartieron con nosotros sus conocimientos y
experiencias.
Integrantes de Grupo 2
-
CONTENIDO
DEDICATORIA ................................................................................................................ 1
RESUMEN ...................................................................................................................... 5
INTRODUCCION ............................................................................................................. 6
CAPITULO 1: DIAGNOSTICO ........................................................................................... 8
1.1 DIAGNOSTICO FUNCIONAL .............................................................................................. 8
1.1.1 BREVE RESEA DE LA ORGANIZACIN ........................................................................................... 10
1.1.2 LNEA DE PRODUCTOS ................................................................................................................... 11
1.1.3 CLIENTES ........................................................................................................................................ 11
1.1.4 PROVEEDORES ............................................................................................................................... 11
1.1.5 PROCESOS ...................................................................................................................................... 11
1.1.6 ORGANIZACIN ............................................................................................................................. 12
CAPITULO 2: PROBLEMA, OBJETIVOS Y JUSTIFICACION DEL PROYECTO ACADMICO ..... 15
2.1 DEFINICION DEL PROBLEMA .......................................................................................... 15
2.2.1 OBJETIVO GENERAL DEL PROYECTO .............................................................................................. 15
2.2.2 OBJETIVOS ESPECFICOS................................................................................................................. 16
2.3 JUSTIFICACION Y DELIMITACION DEL INFORME FINAL DEL PROYECTO ............................ 17
2.3.1 JUSTIFICACIN (ANALISIS COSTO BENEFICIO) ............................................................................... 17
2.3.2 DELIMITACIN ............................................................................................................................... 17
CAPITULO 3: MARCO TEORICO ..................................................................................... 19
3.1 MARCO TEORICO .......................................................................................................... 19
Auditora Informtica .............................................................................................................................. 19
Estndares de Auditora Informtica ...................................................................................................... 19
Relacin entre COSO y COBIT ................................................................................................................. 21
Gobernabilidad Empresarial ................................................................................................................... 22
La Gobernabilidad de la TI ...................................................................................................................... 22
COBIT ...................................................................................................................................................... 22
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ....................................... 22
3.2 DESARROLLO DEL PROYECTO. ........................................................................................ 28
DIAGNOSTICO DE LOS SI DE LA UCV ....................................................................................................... 28
Consideraciones generales ................................................................................................................. 28
Polticas y procedimientos ................................................................................................................. 28
Funciones y roles ................................................................................................................................ 28
Aplicaciones desarrolladas ................................................................................................................. 28
Alineamiento de los Objetivos de TI con el Objetivos Negocio .............................................................. 30
Identificacin y Evaluacin de Riesgos de TI: rea Registros Acadmicos ......................................... 31
Aplicacin de los Procesos de Dominio (COBIT 5.0) ............................................................................... 31
Diagnstico de la Gestin de Conocimiento ........................................................................................... 31
-
CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES .................................................... 32
4.1 CONCLUSIONES ............................................................................................................. 32
REFERENCIA BIBLIOGRFICA ........................................................................................ 33
GLOSARIO DE TERMINOS ............................................................................................. 34
ANEXOS ....................................................................................................................... 35
rea de Registros Acadmicos ..................................................................................... 36
Diagnstico de la gestin de Conocimiento. ................................................................. 37
Evidencias: .................................................................................................................. 45
-
RESUMEN
Las organizaciones para poder coexistir en el mercado tan competitivo como el
actual y en este entorno globalizado, y con un avance desmesurado de la tecnologa,
es una buena medida la gestin de su SI (Sistemas de Informacin) y TI (Tecnologas
de Informacin).
La UCV (Universidad Cesar Vallejo) no est exenta de este tema y es por ello que en el
presente trabajo titulado Implementacin del modelo de referencia COBIT 5.0 en la
Universidad Csar Vallejo para la Gestin de Control Interno TI en el rea de
Registros Acadmicos, se aborda para la propuesta de su implementacin, en el
presente proyecto se consideran cuatro captulos (I Diagnstico, II Problema,
Objetivos y Justificacin del Proyecto Acadmico, III Marco Terico, IV Conclusiones
y Recomendaciones), cada uno de los cuales nos darn el alcance a desarrollar.
En el captulo I, trata del Diagnstico, este incluye los principales componentes de la
organizacin, definiendo la manera como estos componentes trabajan juntos con
miras de alcanzar los objetivos del negocio. Se utiliza una metodologa descriptiva y
evaluativa, que nos permite realizar actividades como la recopilacin de la
documentacin requerida, y analizar el modelado del negocio, entre otros,
estableciendo el marco de referencia para estudiar el contexto tecnolgico dentro de
la universidad.
Se hace uso de COBIT 5.0 como estndar de gobernabilidad para este proyecto, se
analiza algunos procesos, as como algunas actividades de este framework, con la
finalidad de evaluar el modelo de madurez en que se encuentra la organizacin.
Para finalizar, se sugieren algunos lineamientos para que la institucin pudiera seguir
en el ajuste de niveles de gobernabilidad para su mejora continua.
-
INTRODUCCION
Actualmente las Tecnologas de Informacin (TI) son muy importantes dentro de
una organizacin y su avance es desmesuradamente, las empresas se ven obligadas a
mejorar sus procesos en adquisicin, mantenimiento y control de sus equipos de
cmputo, a su vez el personal que la gestiona debe estar en constante preparacin
para la atencin de esta, en este tema como se denota, lo nico constante es el
cambio.
Al disear procedimientos de implementacin tecnolgica para adquirir equipos de
cmputo, es fundamental el desarrollo de una estrategia para hacer frente a su
obsolescencia, en el avance de la tecnologa, sabido es que, un equipo puede ser
catalogado como "obsoleto" (teniendo en cuenta los progresos vigentes) al trmino
de uno o dos aos de su compra, tambin hay que considerar que estas implican
altos costos para su desarrollo y soporte, adicionalmente se asocian enormes riesgos,
esto se debe considerar cuando se adquiere nueva tecnologa, una decisin que hay
que tomar de seguir usando o no la tecnologa que se ha considerado obsoleta, tal
vez valdra el cambio, pero uno de los limitantes a considerar es el presupuesto de la
organizacin.
Si bien es cierto que una de las reas que genera un gran esfuerzo para una
institucin educativa como una universidad es Registros Acadmicos, tambin
podemos mencionar que a la par se denota un esfuerzo por el uso de aprovechar la
tecnologa para poder aliviar el trabajo en esta rea, claro y la gestin de su SI, y
como es afectado por TI. Las tecnologas deben estar alineadas a los objetivos del
negocio, pero muchas organizaciones muestran carencias en el gobierno de TI y no
existen polticas dentro de la organizacin que lideren los procesos tecnolgicos.
Aun cuando existen una serie de crticas a los procesos formales de
planeamiento estratgico que suelen llevar a cabo las organizaciones; nuestra
experiencia, en el terreno de la administracin de los negocios pblicos y
privados, nos ha hecho ver que, en determinado momento del ciclo de vida de
una organizacin, sobre todo, en su etapa de madurez, como es el caso de la
Universidad Csar Vallejo, es imprescindible pensar y actuar de manera
estratgica, con la finalidad de orientar el desarrollo futuro de la organizacin a
mediano y largo plazo.
El sector de la educacin universitaria en el Per se ha vuelto cada vez ms
competitivo y ha crecido de manera explosiva en las ltimas dcadas. Un solo
indicador nos puede dar una idea aproximada de lo que estamos afirmando:
hacia 1991, existan en el pas un total de 53 Universidades (28, pblicas; y, 25,
-
privadas); al 2011, tenemos 133 Universidades (51, pblicas; y, 82, privadas). Un
crecimiento, en solo 2 dcadas, del orden del 150%.
Estamos convencidos que el trabajo laborioso y participativo que ha significado
el presente plan, rendir finalmente los frutos que los diversos grupos de inters
esperan de una Universidad que, adems de autodefinirse como cientfica,
tecnolgica y humanista, ha nacido para contribuir al desarrollo sostenible de la
regin y del pas.1
El objetivo de este trabajo es puntualizar el contexto tecnolgico actual de la
organizacin UCV y la correlacin a la gobernabilidad de TI y su alineamiento
estratgico a los objetivos del negocio, especficamente en el rea de Registros
Acadmicos, para lo cual se hace uso de una metodologa descriptiva y evaluativa,
que nos permite realizar actividades como la recopilacin de la documentacin
requerida, y analizar el modelado del negocio, entre otros, estableciendo el marco
de referencia para estudiar el contexto tecnolgico dentro de la universidad.
Finalmente, se incluye un captulo de conclusiones y recomendaciones as como un
glosario de trminos el cual permite identificar con claridad los conceptos
presentados en el trabajo.
1
Dr. Csar Acua Peralta (Fundador Universidad Csar Vallejo), Plan Estratgico UCV 2013-2015.
-
CAPITULO 1: DIAGNOSTICO
Se realiza y aplica un esquema holista a la organizacin, para su anlisis y posterior
estudio y juicios a recalcar en el presente proyecto.
1.1 DIAGNOSTICO FUNCIONAL
La Universidad Cesar Vallejo no solo ofrece los servicios de enseanza
universitaria sino tambin esta los servicios de bolsa de trabajo, consultoras.
La Universidad ha generado un estado de ganancias y prdidas en los ltimos
tres aos, como se muestra en el siguiente cuadro.
DESCRIPCIN
Acumulado
2010
Acumulado
2011
Acumulado
2012
Ventas Netas 4,551,007.42 9,920,649.89 21,922,824.35
Otros Ingresos 73,946.17 53,288.18 161,694.07
Egresos
-
4,698,382.27
-
7,836,548.98
-
17,525,592.26
RESULTADO
ANTES DE
IMP RENTA
-73,428.68 2,137,389.09 4,558,926.16
% -2% 22% 21%
La Universidad Cesar Vallejo en los ltimos tres aos ha ido incrementado el
nmero de estudiantes en los diferentes programas, tal y como se muestra en el
siguiente cuadro.
PROGRAMA
POBLACIN AL
2010
POBLACIN AL
2011
POBLACIN AL
2012
PREGRADO 748 892 1187
POSGRADO 876 4051 5296
PFA 641 1059 2157
TOTAL 2265 6002 8640
Fuente: Oficina de Registros Acadmicos
-
La Universidad Cesar Vallejo tiene como objetivo incrementar la poblacin
estudiantil en los 3 programas como se indica en el siguiente cuadro:
PROGRAMA META AVANCE AL
16 MARZO %
PREGRADO 900 805 89%
POSGRADO 2190 1801 82%
PFA (SUBE) 880 1043 119%
TOTAL 3970 3649 92%
Se tiene establecido un presupuesto para la publicidad de la institucin,
apoyndose los medios de comunicacin en los diferentes programas de la
institucin:
PLAN DE MEDIOS: PRESUPUESTADO Y EJECUTADO MARZO
PROGRAMA MEDIO PRESUPUESTO
MARZO
EJECUTADO
MARZO %
% POR
PROGRAMA
PREGRADO
RADIO 101,478.0 63,029.6 62%
65%
TV 64,321.3 29,246.5 45%
DIARIOS 64,705.1 58,246.7 90%
POSGRADO
RADIO 80,988.0 22,200.0 27%
27%
TV 46,076.0 8,040.0 17%
DIARIOS 39,128.7 15,299.6 39%
SUBE
RADIO 62,481.0 15,560.0 25%
16%
TV 55,826.0 5,250.0 9%
DIARIOS 62,664.6 8,639.1 14%
TOTAL 577,668.6 225,511.4 39% 39%
-
1.1.1 BREVE RESEA DE LA ORGANIZACIN2
En 1991, el Ingeniero Csar Acua Peralta tuvo la vocacin y la visin de
mejorar la educacin que hasta ese momento se ofreca en todo el Per.
Fue as que, en noviembre de ese ao, decidi fundar la Universidad Csar
Vallejo en la ciudad de Trujillo. Apenas contaba con 58 alumnos, pero sus
ganas de salir adelante nos impulsaron a seguir con este sueo y hacer que
valga la pena.
Han pasado 18 aos desde aquel da y, aunque ahora contamos con 7 sedes
distribuidas en Lima, Trujillo, Tarapoto, Chiclayo, Piura y Chimbote, y ms
de cien mil estudiantes a nivel nacional, hemos mantenido el mismo
espritu emprendedor que nos hizo enfrentar los problemas del pasado y
superarlos con xito.
Gracias al esfuerzo de cada uno de nuestros trabajadores y a los jvenes
talentosos que confiaron en nosotros, nos hemos consolidado hoy como
una de las mejores universidades a nivel nacional, ya que, adems de
nuestras metodologas innovadoras y la calidad de nuestros egresados,
formamos parte del Consorcio Universitario ms grande del Per, junto
con las universidades Seor de Sipn y Autnoma del Per, importante
respaldo que nos diferencia del resto de instituciones de educacin
superior.
Visin
La UCV ser reconocida como una de las mejores universidades a nivel
nacional, por la calidad de sus graduados, su produccin acadmica y su
contribucin al desarrollo sostenible de la sociedad.
Misin
La UCV forma profesionales idneos, productivos, competitivos, creativos,
con sentido humanista y cientfico; comprometidos con el desarrollo
sostenible del pas; constituyndose en un referente innovador y de
conservacin del ambiente.
2
http://www.ucv.edu.pe/acercade_ucv.aspx?nUniOrgCodigo=70000
-
1.1.2 LNEA DE PRODUCTOS
La universidad Csar Vallejo est dedicada al rubro de la educacin dentro
de sus principales productos que ofrece al mercado son:
Carreras Universitaria de Pre Grado
Post Grado
Maestras
Doctorados
Diplomados
Formacin para adultos.
1.1.3 CLIENTES
Son los alumnos y organizaciones o instituciones locales, Pblicas y
Privadas, con las cuales se tiene convenios para la capacitacin de su
personal. Dentro de sus principales cliente corporativos se tiene:
- Electronorte.
- Gobierno Regional.
- EPSEL.
- Ministerio de Educacin, etc.
- Rama Magisterial
- Ministerio Pblico, etc.
1.1.4 PROVEEDORES
La UCV cuenta con muchos proveedores ya que se encuentra en distintos
puntos del pas. A nivel corporativo sus proveedores son
- HP
- CISCO
- PANDUIT
- TELEFONICA
- PAPELERA DEL PERU
1.1.5 PROCESOS
La UCV cuenta con muchos procesos para atender a sus clientes, entre los
principales tenemos:
Proceso de admisin Proceso de matrcula Proceso gestin y administracin de la infraestructura Proceso de gestin y administracin de TI Proceso de gestin acadmica
-
1.1.6 ORGANIZACIN 3
La Junta General de Accionistas es el rgano supremo de la sociedad. Los
accionistas constituidos en junta general debidamente convocada, y con el
qurum correspondiente, deciden por la mayora que establece la ley
general de sociedades los asuntos propios de su competencia. Todos los
accionistas, incluso los disidentes y los que no hubieran participado en la
reunin, estn sometidos a los acuerdos adoptados por la Junta General. La
Junta General podr reunirse adems del lugar de la sede social, en la
ciudad de Trujillo o en la ciudad de Lima.
El Directorio es elegido por la Junta General de Accionistas y ejerce la
administracin de la UCV S.A.C.
La universidad funciona de conformidad con la estructura orgnica
siguiente.
1. RGANOS DE ALTA DIRECCIN.
a. JUNTA GENERAL DE ACCIONISTAS
b. DIRECTORIO.
c. CONSEJO UNIVERSITARIO.
d. RECTORADO.
e. VICERRECTORADOS.
f. GERENCIA DE ADMINISTRACIN Y FINANZAS
g. DIRECCIN GENERAL DE ADMINISTRACIN Y FINANZAS
2. RGANOS DE APOYO.
a. SECRETARA GENERAL.
i. DIRECCIN DE REGISTROS ACADMICOS
ii. DIRECCIN DE GRADOS Y TTULOS.
b. DIRECCIN DE COOPERACIN INTERNACIONAL.
c. DIRECCIN DE IMAGEN INSTITUCIONAL
d. DIRECCIN DE INVESTIGACIN.
e. DIRECCIN DE DESARROLLO ACADMICO
f. DIRECCIN DE BIBLIOTECA.
3. RGANOS DE ASESORA.
a. DIRECCIN DE PLANIFICACIN Y DESARROLLO INSTITUCIONAL
b. ASESORA LEGAL.
c. DIRECCIN DE EVALUACIN, ACREDITACIN Y CERTIFICACIN.
4. RGANO DE CONTROL.
a. AUDITORA INTERNA
5. RGANOS DE LNEA DEL VICERRECTORADO ACADMICO.
a. FACULTADES
3
http://limaeste.ucv.edu.pe/modulosinformativos/documentos/REGLAMENTO%20GENERAL%202008.pdf
-
b. ESCUELAS ACADMICO PROFESIONALES
c. ESCUELA DE POSTGRADO.
d. PROGRAMA ACADMICO DE FORMACIN GENERAL.
e. PROGRAMA ACADMICO DE SEGUNDA TITULACIN.
PROGRAMA ACADMICO DE EDUCACIN SUPERIOR A DISTANCIA.
6. RGANOS DE LNEA DEL VICERRECTORADO DE ASUNTOS
ESTUDIANTILES.
a. DIRECCIN DE EXTENSIN Y PROYECCIN UNIVERSITARIA.
b. DIRECCIN DE BIENESTAR Y ASUNTOS ESTUDIANTILES.
c. CEPRE
7. RGANOS DE LNEA DE LA GERENCIA GENERAL
a. DIRECCIN DE CONTABILIDAD Y FINANZAS
b. DIRECCIN DE LOGSTICA.
c. DIRECCIN DE TECNOLOGAS DE LA INFORMACIN.
d. DIRECCIN DE RECURSOS HUMANOS.
e. DIRECCIN DE MARKETING Y PROMOCIN.
f. DIRECCIN DE CENTROS EMPRESARIALES.
g. DIRECCIN DE INFRAESTRUCTURA Y SERVICIOS GENERALES
8. RGANOS DESCONCENTRADOS
a. FILIALES
-
CAPITULO 2: PROBLEMA, OBJETIVOS Y JUSTIFICACION DEL
PROYECTO ACADMICO
2.1 DEFINICION DEL PROBLEMA
En este proyecto se identifica la situacin problemtica de la Universidad Cesar
Vallejo (UCV), ubicada al noroeste de la ciudad de Chiclayo, provincia del
Departamento de Lambayeque, la UCV es una entidad educativa privada.
Por el antecedente histrico de la UCV, se puede observar que el crecimiento de
sus servicios que ha llevado a la universidad a contar con una infraestructura
tecnolgica moderna, con la cual brinda servicios de educacin tanto a la
poblacin estudiantil como a la administrativa.
Dentro de las organizaciones las tecnologas deben estar alineadas a los objetivos
del negocio, pero su principal problemtica es la carencia en el gobierno de TI y
no existen polticas dentro de la organizacin que lideren los procesos
tecnolgicos. As mismo, el crecimiento de la organizacin conlleva a una
inversin econmica en infraestructura y tecnologa, y esta debe ser gestionada
con procedimientos que garanticen el buen uso de estas.
Por lo que se plantea la siguiente hiptesis: De qu manera la implementacin
del Modelo de Referencia COBIT 5.0 en la Universidad Csar Vallejo mejora la
Gestin del Control Interno TI en el rea de Registros Acadmicos.
2.2.1 OBJETIVO GENERAL DEL PROYECTO
El objetivo de este trabajo es definir el contexto tecnolgico actual de la
UCV en relacin a los conceptos de Gobernabilidad de TI y Alineamiento
Estratgico con el fin de establecer criterios de Gobernabilidad de TI.
Se establece como objetivo general: Mejorar la Gestin de Control Interno
TI en el rea de Registros Acadmicos con la implementacin del modelo
de referencia COBIT 5.0 en la Universidad Csar Vallejo.
-
2.2.2 OBJETIVOS ESPECFICOS
Se determina los siguientes objetivos especficos para proporcionar las
actividades e indicadores claves de servicio.
Asegurar que los recursos de TI sean utilizados responsablemente
Asegurar que los riesgos asociados a las TI sean administrados
apropiadamente
Asegurar que las TI son aplicadas de tal forma que se contribuyan a
cumplir con los objetivos del negocio
Revisar peridicamente la evolucin de los proyectos aprobados y
tomar decisiones de cancelacin o de continuacin
-
2.3 JUSTIFICACION Y DELIMITACION DEL INFORME FINAL DEL PROYECTO
2.3.1 JUSTIFICACIN (ANALISIS COSTO BENEFICIO)
Estamos seguros que muchos han escuchado la frase: nada se puede
controlar, si este no es medido, pues bien en este proyecto se usa el marco
de trabajo COBIT 5.0 que nos da las herramientas suficientes para poder
medir y aplicar polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar razonablemente que los
objetivos del negocio sern alcanzados, y que eventos no deseables sern
prevenidos o detectados y corregidos.
Por lo antes expuesto se considera que la justificacin de un proyecto de
esta naturaleza asegura una continuidad del negocio, controlando sus
bases y cimientos de cualquier organizacin.
2.3.2 DELIMITACIN
El presente proyecto est demarcado por la aplicacin de los siguientes
procesos del modelo de referencia COBIT 5.0:
Cuadro N1: Procesos del COBIT 5.0
Procesos COBIT elegidos para el Proyecto
Procesos COBIT 5.0 Declaracin del Propsito del Proceso DSS01 Gestionar operaciones.
Entregar los resultados del servicio operativo de TI, segn lo planificado.
DSS02 Gestionar peticiones e incidentes de servicio.
Lograr una mayor productividad y minimizar las interrupciones mediante la rpida resolucin de consultas de usuario e incidentes.
DSS03 Gestionar problemas.
Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la comodidad y satisfaccin del cliente reduciendo el nmero de problemas operativos.
DSS04 Gestionar la continuidad.
Continuar las operaciones crticas para el negocio y mantener la disponibilidad de la informacin a un nivel aceptable para la empresa ante el evento de una interrupcin significativa.
APO03 Gestionar la arquitectura empresarial
Representar a los diferentes mdulos que componen la empresa y sus interrelaciones, as como los principios rectores de su diseo y evolucin en el tiempo, permitiendo una entrega estndar, sensible y eficiente de los objetivos operativos y estratgicos
-
APO09 Gestionar los acuerdos de servicio.
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.
BAI06 Gestionar los cambios.
Posibilitar una entrega de los cambios rpida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se aplica el cambio.
BAI10 Gestionar la configuracin.
Proporcionar suficiente informacin sobre los activos del servicio para que el servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes del servicio.
Con la finalidad de identificar y evaluar los riesgos que de alguna manera
pueden perjudicar en la organizacin debido al uso y demanda de las TI.
Con respecto a la Implementacin del Control Interno de TI, se espera
como resultado identificar los riesgos e incorporar los controles necesarios
y seguridad adecuada para obtener una mejora significativa en las reas
que se aplique,
As mismo, se evaluarn los sistemas de informacin con la finalidad de
evidenciar si estos cubren las necesidades actuales de la institucin en los
proceso de matrcula, registro de alumnado, proceso de notas etc.
Para lograr este objetivo se requiere el apoyo de la autoridad mxima de la
institucin para que se autorice y disponga la documentacin requerida
para su respectiva evaluacin y revise el informe final emitido.
-
CAPITULO 3: MARCO TEORICO
3.1 MARCO TEORICO
Auditora Informtica
1.- Definicin:
J.J. Acha, define auditora informtica como un conjunto de procedimientos
y tcnicas para evaluar y controlar total o parcialmente un sistema
informtico, con el fin de proteger sus activos y recursos, verificar si sus
actividades se desarrollan eficientemente y de acuerdo con la normativa
informtica y general existente en cada empresa y para conseguir la eficacia
exigida en el marco de la organizacin correspondiente.
2.- Alcance:
El alcance de la auditora define con precisin el entorno y los lmites en que
va a desarrollarse la auditora informtica y se complementa con los objetivos
de sta. El alcance se concretar expresamente en el informe final, de modo
que quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.4
Estndares de Auditora Informtica
El auditor de procesos TI tiene una variada gama de herramientas y/o marcos de
trabajo que pueden asistirle al momento de aplicar la auditora que corresponda,
dando una visin objetiva para que el auditor decida qu marco es el mejor para
usarse en base al medio donde realice su trabajo y dependiendo de la funcin
que cumple la organizacin:5
A continuacin en el Cuadro 02, se resumen en un cuadro comparativo los
marcos de trabajo que se han considerado ms importantes, cuya principal
diferencia entre ellos es el enfoque que manejan para atender y desarrollar las
reas de TI y su cobertura:
4
Vandama N.; Lescay M.; Castillo G. y Garca F. Auditora Informtica en ETECSA. [En Lnea]. Cuba. Disponible en:
http://espejos.unesco.org.uy/simplac2002/Ponencias/Segurm%E1tica/VIR024.doc
5
Einnova, Estndares TI. Disponible en: http://auditorasistemas.com/estandaresti/
-
Cuadro 02: Cuadro Comparativo de Marcos de Trabajo
Cuadro 01.
Cuadro
comparativo
entre COBIT,
ITIL y la ISO
27000 REA
COBIT 5.0
(Gestin de la
Seguridad de la
Informacin)
ITIL (Gestin de la
Seguridad de la
Informacin)
ISO 27000 (Gestin
de la Seguridad de la
Informacin)
Alcance Abarca todo el
espectro de las
actividades de IT
(seguridad, control,
servicios y riesgo )
Muy centrado en la
administracin de
servicios
Cubre todo lo
referente a la entrega
de servicios de TI
Objetivo
principal
Establece controles
internos para
asegurar buenas
prcticas de
gestin de IT y un
gobierno de IT
exitoso.
Dar soporte a los
procesos del
negocio desde una
perspectiva de
gestin de
servicios.
Definir los
requerimientos
necesarios para
realizar una entrega
de servicios de TI
alineados con las
necesidades del
negocio.
Funciones Mapeo de procesos
IT
Mapeo de la
Gestin de Niveles
de Servicio de IT
Marco de referencia
de seguridad de la
informacin
reas 5 Dominios, 37
Procesos y 1112
actividades
9 Procesos 10 Dominios
Creador ISACA OGC ISO International
Organization for
Standardization
Para qu se
implementa?
Auditora de
Sistemas de
Informacin
Gestin de Niveles
de Servicio
Cumplimiento del
estndar de seguridad
Quines lo
evalan?
Compaas de
contabilidad,
Compaas de
consultora en TI
Compaas de
consultora en TI
Compaas de
consultora en TI,
Empresas de
seguridad,
Consultores de
seguridad en redes.
Fuentes: http://bibdigital.epn.edu.ec/bitstream/15000/2222/1/CD3019.pdf.
-
Relacin entre COSO y COBIT
-
Gobernabilidad Empresarial
Conjunto de responsabilidades y prcticas del ejercicio de la Direccin y la
Gerencia Ejecutiva con el propsito de brindar Direccin Estratgica, asegurar el
logro de los objetivos de la empresa, asegurar la apropiada administracin de los
riesgos y verificar que los recursos de la empresa son usados de forma
responsable. (ITGI)
La Gobernabilidad de la TI
Parte integral de la Gobernabilidad Empresarial que debe asegurar que las
estrategias y objetivos de la organizacin, se sustentan y extienden
adecuadamente en el mbito de la Tecnologa de la Informacin.
COBIT
Es una gua de mejores prcticas presentado como framework, dirigida a la
gestin de tecnologa de la informacin (TI). Mantenido por ISACA (en ingls:
Information Systems Audit and Control Association) y el IT Governance Institute
(ITGI, en ingls: IT Governance Institute), tiene una serie de recursos que pueden
servir de modelo de referencia para la gestin de TI, incluyendo un resumen
ejecutivo, un framework, objetivos de control, mapas de auditora, herramientas
para su implementacin y principalmente, una gua de tcnicas de gestin.
Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)
1. Antecedentes6
El modelo de los Objetivos de Control para Informacin y Tecnologa
Relacionada, de aqu en adelante COBIT, por sus siglas en ingls, es una
iniciativa desarrollada por la Asociacin de Auditora y Control de Sistemas de
Informacin (ISACA, por sus siglas en ingls) y el Instituto de Gobierno de
Tecnologa de Informacin (ITGI, por sus siglas en ingls).
La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), fue
fundada en 1969 en los Estados Unidos de Amrica y es una organizacin lder
en Gobernabilidad, Control, Aseguramiento y Auditora de Tecnologa de
Informacin, con sede en Chicago, Illinois, Estados Unidos de Amrica, cuenta
con ms de sesenta mil miembros en ms de 100 pases. Realiza eventos,
conferencias, desarrolla estndares de gobierno de tecnologa de informacin,
aseguramiento, auditora y seguridad.
6
Dionicio, L. (2011). Evaluacin de controles segn el Modelo COBIT, para la Adquisicin y mantenimiento de
Aplicaciones Informticas en el Departamento de Informtica de una Empresa Distribuidora de Vehculos Automotores.
Universidad de San Carlos de Guatemala. Guatemala.
-
El Instituto de Gobierno de Tecnologa de Informacin se estableci en 1998
en los Estados Unidos de Amrica, buscando evolucionar el pensamiento y los
estndares internacionales respecto a la direccin y control de la tecnologa
de informacin de una empresa. Un gobierno de tecnologa de informacin
efectivo, ayuda a garantizar que esa tecnologa de informacin brinde soporte
al logro de las metas del negocio, optimice el retorno de la inversin en
tecnologa de informacin, y administre de forma adecuada los riesgos y
oportunidades asociados a la tecnologa de informacin.
COBIT fue desarrollado como un estndar generalmente aplicable y aceptado
para las buenas prcticas de seguridad y control en Tecnologa de
Informacin, partiendo de la premisa de que los recursos de Tecnologa de
Informacin se deben gestionar mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la informacin que la empresa
necesita para alcanzar sus objetivos.
A continuacin una resea de la evolucin del modelo COBIT:
1992 Comienza la actualizacin de los objetivos de control de ISACA
1996 ISACA proporciona a los profesionales de tecnologas de informacin
un marco de mejores prcticas de control generalmente aplicables y
aceptadas.
1998 Se actualiza y se publica una segunda versin a la que se le
incorporan las Herramientas de implantacin y un CD
2000 Se publica la 3 Edicin
2004 Ante las regulaciones internacionales, ISACA publica COBIT para el
cumplimiento con la ley Sarbanes-Oxley de los Estados Unidos de Amrica.
2005 Se publica COBIT 4.0, fortaleciendo el enfoque de Marco de
Gobernabilidad de Tecnologa de Informacin.
2007 Se publica COBIT 4.1, incluyendo mejoras en cuadros y guas para la
medicin del desempeo, los objetivos de control y mejoras en la
alineacin de objetivos de negocio y de TI.
Esta evolucin hasta COBIT 4 responde a las necesidades actuales, con lo cual
ha pasado de ser una herramienta para auditora, a un marco de
gobernabilidad de tecnologas de informacin.
COBIT 5.0:
COBIT 5 una nueva versin del ya conocido estndar para el cumplimiento de
objetivos de control para el CIO y su rea. Esta versin, profundamente revisada
-
y mejorada, provee un marco de referencia integral que contribuye en la
organizacin al logro de los objetivos y entrega de valor a travs de un efectivo
gobierno y gestin de la TI empresarial. A partir de su participacin en la crtica
objetiva en los borradores preliminares del modelo, en este artculo, Sergio
Sperat, socio de Estratega y profesional certificado en el gobierno de TI
empresarial (CGEIT), responde las preguntas que el CIO se hace al acercarse a
este nuevo estndar para ayudarle a descubrir cmo le puede ayudar a mejorar
su gestin.
Cul ES EL PROPOSITO DE COBIT?
COBIT fue creado para ayudar a las organizaciones a obtener el valor ptimo de
TI manteniendo un balance entre la realizacin de beneficios, la utilizacin de
recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holstica para toda la organizacin, tomando
en consideracin el negocio y reas funcionales de punta a punta as como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaos, tanto en el sector privado, pblico o entidades sin fines de
lucro.
Quin UTILIZA COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad
primaria los procesos de negocio y la tecnologa, aquellos de quien depende la
tecnologa y la informacin confiable, y los que proveen calidad, confiabilidad y
control de TI.
Qu OCURRIO CON LOS OBJETIVOS DE CONTROL EN COBIT 5?
Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prcticas de gobierno
y gestin para describir las acciones que son ejemplo de mejores prcticas de su
aplicacin. COBIT 5 ha cambiado su enfoque de objetivos de control a una
visin por proceso, descripta en detalle por uno de los principales redactores del
nuevo estndar, Erik Guidentops, en su artculo Where Have All The Control
Objectives Gone?
Cules SON LOS 5 PRINCIPIOS DE COBIT 5.0?
Satisfacer las necesidades del accionista
1. Considerar la empresa de punta a punta
2. Aplicar un nico modelo de referencia integrado
3. Posibilitar un enfoque holstico
4. Separar gobierno de la gestin.
-
Cules SON LOS 7 HABILITADORES DE COBIT 5?
1. Principios, polticas y modelos de referencia
2. Procesos
3. Estructuras organizacionales
4. Cultura, tica y comportamiento
5. Informacin
6. Servicios, infraestructura y aplicaciones
7. Gente, habilidades y competencias.
Qu HAY DE LA SEPARACION ENTRE GOBIERNO Y GESTION?
El gobierno asegura que los objetivos empresariales se logran evaluando las
necesidades de los accionistas, las condiciones y opciones; establecer la
direccin a travs de la priorizacin y la toma de decisiones; y monitorear el
desempeo, el cumplimiento y el progreso versus la direccin y objetivos
acordados (EDM, por Evaluar, Dirigir, Monitorear).
Por su parte la gestin se ocupa de planificar, construir, ejecutar y monitorear las
actividades alineadas con la direccin establecida por el organismo de gobierno
para el logro de los objetivos empresariales (PBRM o Planificar, Construir,
Ejecutar y Monitorear, por su sigla en ingls).
La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces
confundidos:
-
ES COBIT 5 UN MODELO SUPERIOR A OTROS MODELOS DE CONTROL
ACEPTADOS?
La mayora de los ejecutivos conocen la importancia de los marcos generales de
control en relacin con la responsabilidad fiduciaria, tales como COSO,
Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente son
conscientes del nivel de detalle de cada uno. Por otro lado, los ejecutivos cada
vez ms conocen la importancia de guas tcnicas como ITIL (para la gestin de
servicios de TI) e ISO 27001 (para seguridad de informacin).
Si bien estos estndares y modelos enfatizan el control del negocio y la seguridad
y servicio de TI, COBIT es el nico que se ocupa de los controles especficos de TI
desde la perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e
ITIL. No se pretende que COBIT reemplace estos modelos de control, sino lo que
se destacan son los elementos de gobierno y gestin y las prcticas necesarias
para crear valor para la compaa.
Cul ES LA FORMA MAS RAPIDA Y EFECTIVA DE PRESENTAR COBIT A LOS
EJECUTIVOS?
La cultura empresarial es de vital importancia. Una cultura proactiva ser ms
receptiva que una que no lo es. Sin embargo, hay que considerar el nfasis que
COBIT hace en la creacin de valor para el accionista por estar guiado por los
objetivos del negocio, la alineacin con estndares internacionales reconocidos
y su simplicidad. Las reas de gobierno y gestin emanan de tan slo 5
principios y 7 habilitadores.
Conclusiones
Ya entrada la segunda dcada del siglo XXI, la relevancia de TI en el
funcionamiento de cualquier organizacin, sin importar su tamao, es
absolutamente incuestionable e indiscutida. Sin embargo, y en nuestra extensa
experiencia como consultores y asesores de reas de sistemas, no son pocos los
responsables de reas de TI que manifiestan su dificultad al momento de
mostrarle al negocio su aporte de valor.
Ya hace unos aos hicimos un aporte ampliamente reconocido en esta rea a
travs de nuestro modelo de medicin de la contribucin del valor de TI al
negocio (ver nuestros artculos parte 1 y parte 2 donde presentamos esta
temtica).
Complementariamente, tambin hemos venido promocionando desde 2007 el
re-posicionamiento del CIO, Gerente de Sistemas o Gerente de TI como mximo
responsable de la nueva Oficina de Procesos de Negocio (BPMO, por su sigla en
ingls).
-
Cinco aos despus, y en total sintona con nuestra visin de la evolucin del
CIO, ISACA publica la nueva versin de COBIT ntegramente enfocada a
procesos, como Estratega sabe que es la mejor manera de abordar esta temtica.
As que estamos absolutamente convencidos que este enfoque est ms cerca del
negocio que el resto de los estndares y modelos que recomiendan mejores
prcticas para la gestin interna de las reas de Sistemas.
Estratega, con slida y probada experiencia como asesor lder del CIO, puede
ayudarlo con una nutrida cartera de servicios que contribuyan al logro de sus
objetivos:
Estrategia de gobierno de TI (ISO 38500, COBIT).
Diseo de Tablero de Control de TI (Balanced Scorecard).
Oficina de Calidad de Servicio de TI.
Mejora de Procesos de Negocio.
Plan de Continuidad del Negocio (BCP, BS 25999).
Conclusiones:
Es un estndar cada vez ms aceptado al ser de acceso libre en muchos de sus
componentes.
Est en evolucin permanente.
Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estndares
relacionados.
COBIT es un marco de gobierno de las tecnologas de informacin que
proporciona una serie de herramientas para que la gerencia pueda conectar
los requerimientos de control con los aspectos tcnicos y los riesgos del
negocio
COBIT permite el desarrollo de las polticas y buenas prcticas para el control
de las tecnologas en toda la organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
incrementar su valor a travs de las tecnologas, y permite su alineamiento
con los objetivos del negocio
-
3.2 DESARROLLO DEL PROYECTO.
DIAGNOSTICO DE LOS SI DE LA UCV
Consideraciones generales
El rea encargada de los Sistemas de Informacin de la Universidad est denominada como Desarrollo de Sistemas a cargo del Ing. Alan Saavedra Arroyo.
El personal que labora en Desarrollo de Sistemas est conformado por 4 personas: 2 Bachilleres en Ingenieros encargados del desarrollo y mantenimiento de los sistemas, 1 Ingeniero encargado del rea y 1 Ingeniero encargado de la documentacin y reestructuracin de los procesos de desarrollo.
El rea fue creada el 2010 con el fin de automatizar los procesos acadmicos y administrativos de la UCV (cabe recalcar que la central se encuentra en Trujillo, de donde se recibe o se da el servicio de Sistemas Web para la Institucin).
Con respecto a la ubicacin en el organigrama institucional se encuentra como un rea dependiente de la Facultad de Ingeniera.
La oficina se encuentra ubicada a una altura del piso de un metro y medio, y es un rea concurrida por estudiantes y profesores que requieren de soporte para alguna aplicacin y no se cuenta con un registro de accesos.
Polticas y procedimientos
Actualmente no se tiene definido polticas ni procedimientos documentados para la atencin de requerimientos de sistemas, solamente se ha tenido como criterio atender lo urgente.
Funciones y roles
En el rea de Desarrollo se tienen definido las siguientes funciones:
Analistas programadores.- realiza labores de desarrollo, mantenimiento y soporte.
Documentador. Aplicaciones desarrolladas
El rea de Desarrollo de Sistemas elabora software web de tipo administrativo que se detallan a continuacin:
Sistemas Web de Trmite Documentario.
Utilizan como herramientas de desarrollo Software PHP con MySql.
Las aplicaciones se desarrollan en un servidor de pruebas.
Se sacan backups diarios de respaldo de la base de datos.
-
Cuadro N 3: Organigrama de TI
Informacin del Parque Informtico de la UCV Chiclayo.
Jefe OTI
Jefe Soporte Tcnico
Asistente Soporte Tcnico
Jefe Desarrollo
Asistentes de Desarrollo
Asistente OTI
TIPO CPU MONITORES PROYECTOR IMPRESORAS
Administrativos 140 152 0 45
Aulas 52 52 52 0
Laboratorios 170 170 4 0
TOTAL 362 374 56 45
Piso Switch Anexo Anexo Virtual
Piso 1 4 10 0
Piso 2 2 13 2
Piso 3 5 15 2
Piso 4 2 6 10
Piso 5 1 5 5
Piso 6 1 1 3
EQUIPAMIENTO INFORMTICO
COMUNICACIONES
-
Alineamiento de los Objetivos de TI con el Objetivos Negocio
Se tiene presente este punto para que los adjetivos de ambos se armonicen y den una
continuidad al negocio.
N Objetivos del Negocio Objetivos de rea de Tecnologas de Informacin
1
Lograr un adecuado equilibrio en la satisfaccin de las legtimas
aspiraciones de los diversos grupos de inters de la universidad,
generando un crculo virtuoso de crecimiento y desarrollo
sostenibles.
6. Asegurar la disponibilidad y uso de los equipos y usuarios, de
acuerdo con los estndares establecidos por la Direccin y
nacionales e internacionales.
2Implantar la calidad como eje de la cultura organizacional de la
universidad para garantizar la satisfaccin de nuestros usuarios.
5. Mantener alerta la atencin al cliente y al cambio cultural, para el
manejo y el uso eficiencia y eficacia de los recursos de tecnologas
de informacin en el campo universitario.
3
Mejorar el desarrollo del proceso de enseanza-aprendizaje que
responda al perfil del egresado de las carreras profesionales y
programas de posgrado.
1. Entregar soporte tecnolgico con eficiencia y eficacia a las
actividades fundamentales de la Institucin: Enseanza e
Investigacin, con los servicios soportados en el principio de
Calidad.
4 Fortalecer el programa de internacionalizacin.
4. Mantener alerta la atencin al cliente y al cambio cultural, para el
manejo y el uso eficiencia y eficacia de los recursos de tecnologas
de informacin en el campo universitario.
5
Promover la investigacin a nivel de pregrado y posgrado
motivando la creatividad de los estudiantes y docentes,
comprometidos con el desarrollo socioeconmico del pas.
1. Entregar soporte tecnolgico con eficiencia y eficacia a las
actividades fundamentales de la Institucin: Enseanza e
Investigacin, con los servicios soportados en el principio de
Calidad.
6
Desarrollar la proyeccin y extensin universitaria integrada al
proceso de formacin profesional, orientada al desarrollo
sostenible de la comunidad.
8. Asegurar la formacin y capacitacin para los usuarios, en el uso y
manejo de las tecnologas de informacin.
7Contribuir al mejoramiento de la calidad de vida y desarrollo
humano de los miembros de la comunidad universitaria.
4. Mantener alerta la atencin al cliente y al cambio cultural, para el
manejo y el uso eficiencia y eficacia de los recursos de tecnologas
de informacin en el campo universitario.
8 Mejorar la eficiencia de gestin administrativa de la universidad.10. Coordinar la asistencia tcnica, con eficiencia y eficacia para
mantener la continuidad del negocio.
9Modernizar la infraestructura y equipamiento que requieren los
usuarios acadmicos y administrativos.
2. Implementar procedimientos y normas para el uso, mejora y
adquisicin de los recursos y servicios de Tecnologas de
Informacin.
10Asegurar que el personal docente y administrativo cumpla con las
competencias necesarias para su ptimo desempeo.
12. Mantener la motivacin y formacin necesaria para contar con el
equipo idneo en el desarrollo de nuestras funciones en el rea de
TI.
Alineamiento de Objetivos de Negocio con los Objetivos de TI
-
Identificacin y Evaluacin de Riesgos de TI: rea Registros Acadmicos
Se evala los riesgos en el rea de Registros Acadmicos (ver Anexo N 1), y se mide
la probabilidad y el impacto de estos, con cada una de sus niveles de severidad, para
tomar las medidas preventivas, para minimizar el impacto de estos.
Probabilidad: 1=Imposible, 2=Raro, 3= Probable, 4=Muy Probable, 5=Casi Cierto
Impacto= 1= Muy Bajo, 2=Bajo, 3=Medio, 4=Alto, 5= Muy Alto
Aplicacin de los Procesos de Dominio (COBIT 5.0)
Se ha determinado 8 procesos de tres dominios diferentes de los cuales se fijara ms
adelante las actividades que correspondan, para dar soporte al rea donde se aplica
el proyecto.
Diagnstico de la Gestin de Conocimiento
Se aplic este diagnstico de los procesos elegidos para determinar el grado de
riesgo al que est expuesta la organizacin y determinar los posibles procesos y
actividades para lidiar con estos procesos (ver Anexos de 2 a 9).
Objetivos de rea de Tecnologas de
InformacinRiesgo Probabilidad Impacto
Nivel de
Severidad
Equipos defectuosos, que presentan fallas no
permiento el correcto desempeo de las labores2 4 8
Caida de los servicios brindados por el rea
(Correo, sistema, comunicaciones)1 5 5
No disponibilidad de la informacion en cuanto se
necesite2 5 10
Cambios generados y no informados a los usuarios 4 2 8
Poca capacidad de los servicios sobrepasada por la
demanda de los usuarios1 5 5
6. Asegurar la disponibilidad y uso de los
equipos y usuarios, de acuerdo con los
estndares establecidos por la Direccin y
nacionales e internacionales.
5. Mantener alerta la atencin al cliente y al
cambio cultural, para el manejo y el uso
eficiencia y eficacia de los recursos de
tecnologas de informacin en el campo
universitario.
Identificacin y Evaluacion de Riesgos de TI
Objetivos de rea de Tecnologas de Informacin Procesos de (Dominio Evaluado) Responsables Indicadores de Medicin
Jefe Soporte Tcnico Nmero de incidentes atendidos
Jefe OTI Nivel de satisfaccion de los usuarios
DSS02 Gestionar peticiones e incidentes de servicio. Help Desk Numero de incidentes registradas
Help Desk Numero de incidentes derivados
Soporte Tcnico Numero de problemas resueltos
DSS04 Gestionar la continuidad. Jefe OTI Tiempo de disponibilidad de los serviciosJefe OTI Nivel de satisfaccion de los usuariosJefe DTI Nivel de madurez de la infraestructura implementadaGerencia Admin Costo de la arquitectura
APO09 Gestionar los acuerdos de servicio. Jefe OTI Numero de servicios brindados
BAI06 Gestionar los cambios. Jefe OTI Nivel de cambios registrados
BAI10 Gestionar la configuracin. Jefe OTI Numero de plantilas y configuraciones registradas
Definicion de Procesos del Dominio
6. Asegurar la disponibilidad y uso de los equipos y usuarios, de acuerdo con
los estndares establecidos por la Direccin y nacionales e internacionales.
5. Mantener alerta la atencin al cliente y al cambio cultural, para el manejo
y el uso eficiencia y eficacia de los recursos de tecnologas de informacin
en el campo universitario.
DSS01 Gestionar operaciones.
DSS03 Gestionar problemas.
APO03 Gestionar la arquitectura empresarial
-
CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
El departamento de TI debe alinear sus objetivos estratgicos a los objetivos de la
organizacin con el fin de dar un mejor soporte a todos los procesos de la
organizacin, los cuales en el tiempo estarn en un nivel de madurez optimo, lo
que permitir entregar productos y servicios a la organizacin que cumplan
todas
-
REFERENCIA BIBLIOGRFICA
[1] Narvez Lizardo, Lavell Allan y Prez Gustavo. La Gestin del Riesgo de Desastres: un enfoque basado en Procesos. Secretara General de la Comunidad Andina, Proyecto PREDECAN. 2009.
[2] La versin original es: Estrategia Andina para la Prevencin y Atencin de Desastres. Decisin 591. Decimotercera Reunin Ordinaria del Consejo Andino de
Ministros de Relaciones Exteriores. 10 de julio de 2004. Quito Ecuador. Puede encontrarse en: www.caprade.org/caprade/doc_estrat/eapad.pdf. La versin
armonizada citada es la aprobada en la Decisin 713 del 19 de agosto de 2009.
[3] Information Systems and Disaster Risk Reduction. World Summit on the
Information Society. Ginebra 2003 Tnez 2005. www.unisdr.org/news/WSIS/WSIS.pdf
[4] The Global Disaster Information Network. Disaster Information. Task Force
Report. November 1997.
www.westerndisastercenter.org/DOCUMENTS/DITF_Report.pdf
[5] An Information Infrastructure for Disaster Management in Pacific Island
Countries. Ken Granger. Australian Geological Survey, 1999. Organisation. ISSN:
1039-0073. ISBN: 0 642 39796 1. www.crid.
or.cr/digitalizacion/pdf/eng/doc13818/doc13818.pdf
[6] Fred C. Cuny. Principles of Disaster Management: Information Management.
Journal of Prehospital and Disaster Medicine. Volume 14, 1999.
http://pdm.medicine.wisc.edu/Volume14/cuny.htm
[7] Recomendaciones sobre difusin de datos para apoyo a la gestin del riesgo.
Informe del Proyecto SIAPAD. PREDECAN/UE, 2009.
-
GLOSARIO DE TERMINOS
Accin correctiva: Actos o hechos empleados para remediar una situacin o
eliminar un error.
Activo de proceso: Cualquier cosa que la organizacin considere til para alcanzar
las metas de un rea de proceso.
Anlisis de requisitos: La determinacin de las caractersticas funcionales
especficas y atributos de calidad del producto o servicio, basndose en el anlisis de
las necesidades, expectativas y limitaciones del cliente; en el concepto operacional;
en los entornos de uso proyectados para las personas, los productos los servicios y
los procesos; y en las medidas de eficacia.
Anlisis de riesgos: La evaluacin, clasificacin y priorizacin de los riesgos.
Anlisis funcional: Examen de una funcin definida con el fin de identificar todas
las subfunciones necesarias para realizarla; identificacin de las relaciones
funcionales e interfaces (internas y externas) y captura de estas relaciones e
interfaces en una arquitectura funcional; y descomposicin de los requisitos de
mayor nivel y asignacin de estos requisitos a subfunciones de menor nivel.
Convergencia de servicios y redes: Es la factibilidad tecnolgica de ofrecer distintos
servicios de telecomunicaciones a travs de la misma infraestructura o de comunicar
redes diferentes para ofrecer el mismo servicio. El trmino se utiliza para referirse a
tres aspectos: (1) convergencia de servicios, que determina la capacidad de utilizar
una nica red para la prestacin de mltiples servicios; (2) convergencia de redes,
que permite que un mismo servicio pueda transitar y proveerse por y desde
cualquier red o combinacin de redes; (3) convergencia de proveedores,
determinando la unin o la colaboracin de agentes de diferentes servicios y
sectores.
Descripcin de proceso: Una especificacin documentada de un conjunto de
actividades realizadas para alcanzar un propsito determinado.
-
ANEXOS
-
Anexo 01:
rea de Registros Acadmicos
Gelen Alberca Guerrero (Jefe De Registros Acadmicos)
Funciones:
Controlar, monitorear y hacer cumplir los procesos acadmicos de acuerdo a
los reglamentos de ingreso, matrcula y evaluacin del estudiante, establecidos
por nuestra institucin.
Velar por el acervo documentario de nuestros estudiantes, tener actualizado y
en ptimas condiciones el archivo institucional.
Orientar las acciones necesarias para mejorar la calidad del servicio
LOS COLABORADORES
Ingrith Pulache Machado (Asistente De Registros Acadmicos)
Funciones Principales.
Registrar matrculas.
Registrar notas en el sistema.
Realizar seguimiento de los alumnos que no registran matrcula para que
regularicen este proceso.
Solicitar registros oficiales de los cursos dictados a los docentes responsables.
Mantener actualizadas las notas.
Dalila Silva Prez (Asistente De Registros Acadmicos)
Funciones Principales:
Recepcin, verificacin, y trmite de carpetas de Grado de Bachiller, Magister
y Doctorados, y de Ttulos.
Trmite y Emisin de Constancias de Estudio para los alumnos y egresados de
Pregrado y del Programa de Formacin para Adultos.
Trmites de Certificados de Estudios para los alumnos de las dos modalidades
de estudios.
Olga Chanam Quevedo (Asistente De Registros Acadmicos)
Funciones Principales
Recepcin y control de carpetas de admisin (Pregrado, PFA, Postgrado)
Organizacin de carpetas (clasificar, ordenar, describir).
Control de Ingreso de la Documentacin.
Control de documentos emitidos.
Seleccin, Traslado de la Documentacin.
Ingreso de documentacin extempornea de Postgrado, PFA y Pregrado de las
diferentes sedes.
Atencin al cliente.
Marita Rojas Muoz (Asistente De Registros Acadmicos)
Funciones Principales
Registro de matricula Registro de notas
Emisin de actas Verificacin de notas
Emisin de certificados Tramite de resoluciones
Atencin al cliente
-
Anexo N 2:
Diagnstico de la gestin de Conocimiento.
PROCESO: DSS01 Gestionar operaciones.
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el xi to de
la empresa?
1 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in
l s i es necesarioNo en todos
2
Est claro quin es
responsable en l tima
instancia del resultado
fina l?
4 Todo el mundo sabePersona que conoce
y aceptaPersona conoce Persona sospecha
No est claro en
todos
3El proceso se rea l i za de
una manera formal?3
Todos los aspectos
son documentados
Todos los aspectos
repetibles
Algunos aspectos
son documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l i za
correctamente?3
Todos s iempre se se
rea l i za bien
Las partes s iempre
estn bien
rea l izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente a lgunos
aspectos
5Est claro quin es
responsable del proceso?3
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas conocen y
aceptan la
responsabi l idad.
Algunos conoces y
aceptan parte de la
responsabi l idad
Algunos conocen;
sus
responsabi l idades ,
pero no aceptan
Nadie sabe
6El proceso tiene una
direccin y objetivos claros?4
Integrado en la
medicin del
desempeo
Comunicado pero no
vinculados a las
medidas
Documentado, pero
no comunicado
Conocido por la a l ta
di reccin, no
documentado
No en todos
7 El proceso es medido? 4
Integrados y
vinculados a los
objetivos de TI y los
del negocio
Eficiencia y eficacia ,
no vinculados a los
objetivos
Algunas medidas de
eficacia
Algunas medidas
financierasNo en todos
8 El proceso es auditado? 3
Basado en el riesgo y
los resultados
s iempre accionados
Parte del plan
basado en el riesgo
y los resultados
peridicamente
accionados
Regularmente y los
resultados en
ocas iones
accionados
Ad hoc No en todos
9Se conocen las debi l idades
de control del proceso?4
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i
exis ten debi l idades
10La tecnologa uti l i zada
tiene vulnerabi l idades?2
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y muchos
bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i exis ten
vulnerabi l idades .
TOTAL 31
*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de Conocimiento
-
Anexo N 3:
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el xi to
de la empresa?
2 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in
l s i es necesarioNo en todos
2
Est claro quin es
responsable en l tima
instancia del resultado
fina l?
4 Todo el mundo sabePersona que conoce
y aceptaPersona conoce Persona sospecha
No est claro en
todos
3El proceso se rea l i za de
una manera formal?3
Todos los aspectos
son documentados
Todos los aspectos
repetibles
Algunos aspectos
son documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l i za
correctamente?4
Todos s iempre se se
rea l i za bien
Las partes s iempre
estn bien
rea l izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente a lgunos
aspectos
5
Est claro quin es
responsable del
proceso?
3
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas conocen y
aceptan la
responsabi l idad.
Algunos conoces y
aceptan parte de la
responsabi l idad
Algunos conocen;
sus
responsabi l idades ,
pero no aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
2
Integrado en la
medicin del
desempeo
Comunicado pero no
vinculados a las
medidas
Documentado, pero
no comunicado
Conocido por la a l ta
di reccin, no
documentado
No en todos
7 El proceso es medido? 3
Integrados y
vinculados a los
objetivos de TI y los
del negocio
Eficiencia y eficacia ,
no vinculados a los
objetivos
Algunas medidas de
eficacia
Algunas medidas
financierasNo en todos
8 El proceso es auditado? 5
Basado en el riesgo
y los resultados
s iempre accionados
Parte del plan
basado en el riesgo
y los resultados
peridicamente
accionados
Regularmente y los
resultados en
ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de control
del proceso?
4
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i
exis ten debi l idades
10La tecnologa uti l i zada
tiene vulnerabi l idades?3
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y muchos
bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i exis ten
vulnerabi l idades .
TOTAL 33
*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: DSS02 Gestionar peticiones e incidentes de servicio.
-
Anexo N 4:
N tems evaluados del Estado* 1 2 3 4 5
1
Es el proceso de TI
importante para el xi to de
la empresa?
2 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in
l s i es necesarioNo en todos
2
Est claro quin es
responsable en l tima
instancia del resultado
fina l?
3 Todo el mundo sabePersona que conoce
y aceptaPersona conoce Persona sospecha
No est claro en
todos
3El proceso se rea l iza de una
manera formal?3
Todos los aspectos
son documentados
Todos los aspectos
repetibles
Algunos aspectos
son documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l iza
correctamente?3
Todos s iempre se se
rea l iza bien
Las partes s iempre
estn bien
real izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente a lgunos
aspectos
5Est claro quin es
responsable del proceso?4
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas conocen y
aceptan la
responsabi l idad.
Algunos conoces y
aceptan parte de la
responsabi l idad
Algunos conocen;
sus
responsabi l idades ,
pero no aceptan
Nadie sabe
6El proceso tiene una
direccin y objetivos claros?4
Integrado en la
medicin del
desempeo
Comunicado pero no
vinculados a las
medidas
Documentado, pero
no comunicado
Conocido por la a l ta
direccin, no
documentado
No en todos
7 El proceso es medido? 5
Integrados y
vinculados a los
objetivos de TI y los
del negocio
Eficiencia y eficacia ,
no vinculados a los
objetivos
Algunas medidas de
eficacia
Algunas medidas
financierasNo en todos
8 El proceso es auditado? 5
Basado en el riesgo
y los resultados
s iempre accionados
Parte del plan
basado en el riesgo
y los resultados
peridicamente
accionados
Regularmente y los
resultados en
ocas iones
accionados
Ad hoc No en todos
9Se conocen las debi l idades
de control del proceso?3
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i
exis ten debi l idades
10La tecnologa uti l i zada tiene
vulnerabi l idades?3
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y muchos
bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i exis ten
vulnerabi l idades .
TOTAL 35*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: DSS03 Gestionar problemas.
-
Anexo N 5:
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el xi to
de la empresa?
1 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in l
s i es necesarioNo en todos
2
Est claro quin es
responsable en l tima
instancia del resultado
fina l?
2 Todo el mundo sabePersona que conoce y
aceptaPersona conoce Persona sospecha No est claro en todos
3El proceso se rea l iza de
una manera formal?3
Todos los aspectos son
documentados
Todos los aspectos
repetibles
Algunos aspectos son
documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l iza
correctamente?3
Todos s iempre se se
rea l iza bien
Las partes s iempre
estn bien real izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente a lgunos
aspectos
5
Est claro quin es
responsable del
proceso?
3
Todo el mundo conoce y
acepta plenamente la
responsabi l idad
La mayora de las
personas conocen y
aceptan la
responsabi l idad.
Algunos conoces y
aceptan parte de la
responsabi l idad
Algunos conocen; sus
responsabi l idades , pero
no aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
3
Integrado en la
medicin del
desempeo
Comunicado pero no
vinculados a las
medidas
Documentado, pero no
comunicado
Conocido por la a l ta
direccin, no
documentado
No en todos
7 El proceso es medido? 5
Integrados y vinculados
a los objetivos de TI y
los del negocio
Eficiencia y eficacia , no
vinculados a los
objetivos
Algunas medidas de
eficacia
Algunas medidas
financierasNo en todos
8 El proceso es auditado? 5
Basado en el riesgo y
los resultados s iempre
accionados
Parte del plan basado
en el riesgo y los
resultados
peridicamente
accionados
Regularmente y los
resultados en ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de control
del proceso?
4Continuamente
monitoreado y mitigado
Regularmente
monitoreado y muchas
bajo control
Reconocidos , s in
embargo no han s ido
tratados
Consciente de a lgunas
neces idades pero no se
hace nada a l respecto
No conoce s i exis ten
debi l idades
10La tecnologa uti l i zada
tiene vulnerabi l idades?4
Continuamente
monitoreado y mitigado
Un seguimiento
peridico y muchos bajo
control
Reconocidos , s in
embargo no han s ido
tratados
Consciente de a lgunas
neces idades pero no se
hace nada a l respecto
No conoce s i exis ten
vulnerabi l idades .
TOTAL 33*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: DSS04 Gestionar la continuidad.
-
Anexo N 6:
Ntems evaluados
del ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el
xi to de la empresa?
3 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in
l s i es necesarioNo en todos
2
Est claro quin es
responsable en
l tima instancia del
resultado fina l?
5 Todo el mundo sabePersona que conoce
y aceptaPersona conoce Persona sospecha
No est claro en
todos
3
El proceso se rea l iza
de una manera
formal?
3Todos los aspectos
son documentados
Todos los aspectos
repetibles
Algunos aspectos
son documentados
Algunos aspectos
repetiblesNo en todos
4
El proceso se
rea l iza
correctamente?
4Todos s iempre se se
rea l iza bien
Las partes s iempre
estn bien
real izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente a lgunos
aspectos
5
Est claro quin es
responsable del
proceso?
4
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas conocen y
aceptan la
responsabi l idad.
Algunos conoces y
aceptan parte de la
responsabi l idad
Algunos conocen;
sus
responsabi l idades ,
pero no aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
3
Integrado en la
medicin del
desempeo
Comunicado pero no
vinculados a las
medidas
Documentado, pero
no comunicado
Conocido por la a l ta
direccin, no
documentado
No en todos
7El proceso es
medido?3
Integrados y
vinculados a los
objetivos de TI y los
del negocio
Eficiencia y eficacia ,
no vinculados a los
objetivos
Algunas medidas de
eficacia
Algunas medidas
financierasNo en todos
8El proceso es
auditado?3
Basado en el riesgo
y los resultados
s iempre accionados
Parte del plan
basado en el riesgo
y los resultados
peridicamente
accionados
Regularmente y los
resultados en
ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de
control del proceso?
4
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i
exis ten debi l idades
10
La tecnologa
uti l i zada tiene
vulnerabi l idades?
4
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y muchos
bajo control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada a l
respecto
No conoce s i exis ten
vulnerabi l idades .
TOTAL 36*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: APO03 Gestionar la arquitectura empresarial
-
Anexo N 7:
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el
xi to de la empresa?
2 Crtica Muy importante Faci l i ta las cosas
Puede sobrevivi r
s in l s i es
necesario
No en todos
2
Est claro quin es
responsable en l tima
instancia del
resultado fina l?
3Todo el mundo
sabe
Persona que
conoce y aceptaPersona conoce
Persona
sospecha
No est claro en
todos
3
El proceso se rea l i za
de una manera
formal?
2
Todos los
aspectos son
documentados
Todos los
aspectos
repetibles
Algunos aspectos
son
documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l i za
correctamente?4
Todos s iempre
se se rea l i za
bien
Las partes
s iempre estn
bien rea l izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente
a lgunos aspectos
5
Est claro quin es
responsable del
proceso?
3
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas
conocen y
aceptan la
responsabi l idad.
Algunos conoces
y aceptan parte
de la
responsabi l idad
Algunos conocen;
sus
responsabi l idad
es , pero no
aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
4
Integrado en la
medicin del
desempeo
Comunicado pero
no vinculados a
las medidas
Documentado,
pero no
comunicado
Conocido por la
a l ta di reccin, no
documentado
No en todos
7El proceso es
medido?3
Integrados y
vinculados a los
objetivos de TI y
los del negocio
Eficiencia y
eficacia , no
vinculados a los
objetivos
Algunas medidas
de eficacia
Algunas medidas
financierasNo en todos
8El proceso es
auditado?5
Basado en el
riesgo y los
resultados
s iempre
accionados
Parte del plan
basado en el
riesgo y los
resultados
peridicamente
accionados
Regularmente y
los resultados en
ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de control
del proceso?
3
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo
control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades
pero no se hace
nada a l respecto
No conoce s i
exis ten
debi l idades
10
La tecnologa
uti l i zada tiene
vulnerabi l idades?
4
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y
muchos bajo
control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades
pero no se hace
nada a l respecto
No conoce s i
exis ten
vulnerabi l idades
.
TOTAL 33*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: APO09 Gestionar los acuerdos de servicio.
-
Anexo N 8
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el
xi to de la empresa?
1 Crtica Muy importanteFaci l i ta las
cosas
Puede sobrevivi r
s in l s i es
necesario
No en todos
2
Est claro quin es
responsable en
l tima instancia del
resultado fina l?
4Todo el mundo
sabe
Persona que
conoce y aceptaPersona conoce
Persona
sospecha
No est claro en
todos
3
El proceso se rea l i za
de una manera
formal?
3
Todos los
aspectos son
documentados
Todos los
aspectos
repetibles
Algunos
aspectos son
documentados
Algunos
aspectos
repetibles
No en todos
4
El proceso se
rea l i za
correctamente?
3
Todos s iempre
se se rea l i za
bien
Las partes
s iempre estn
bien rea l izadas .
A veces todos
los aspectos
A veces a lgunos
aspectos
Raramente
a lgunos
aspectos
5
Est claro quin es
responsable del
proceso?
3
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de
las personas
conocen y
aceptan la
responsabi l idad
.
Algunos conoces
y aceptan parte
de la
responsabi l idad
Algunos
conocen; sus
responsabi l idad
es , pero no
aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
4
Integrado en la
medicin del
desempeo
Comunicado
pero no
vinculados a las
medidas
Documentado,
pero no
comunicado
Conocido por la
a l ta di reccin,
no documentado
No en todos
7El proceso es
medido?5
Integrados y
vinculados a los
objetivos de TI y
los del negocio
Eficiencia y
eficacia , no
vinculados a los
objetivos
Algunas
medidas de
eficacia
Algunas
medidas
financieras
No en todos
8El proceso es
auditado?5
Basado en el
riesgo y los
resultados
s iempre
accionados
Parte del plan
basado en el
riesgo y los
resultados
peridicamente
accionados
Regularmente y
los resultados
en ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de
control del proceso?
3
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo
control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades
pero no se hace
nada a l respecto
No conoce s i
exis ten
debi l idades
10
La tecnologa
uti l i zada tiene
vulnerabi l idades?
3
Continuamente
monitoreado y
mitigado
Un seguimiento
peridico y
muchos bajo
control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades
pero no se hace
nada a l respecto
No conoce s i
exis ten
vulnerabi l idade
s .
TOTAL 34*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.
Diagnstico de la Gestin de ConocimientoPROCESO: BAI06 Gestionar los cambios.
-
Anexo N 9
Ntems evaluados del
ProcesoEstado* 1 2 3 4 5
1
Es el proceso de TI
importante para el xi to
de la empresa?
2 Crtica Muy importante Faci l i ta las cosas
Puede sobrevivi r
s in l s i es
necesario
No en todos
2
Est claro quin es
responsable en l tima
instancia del resultado
fina l?
2Todo el mundo
sabe
Persona que
conoce y aceptaPersona conoce
Persona
sospecha
No est claro en
todos
3El proceso se rea l i za de
una manera formal?2
Todos los
aspectos son
documentados
Todos los
aspectos
repetibles
Algunos aspectos
son
documentados
Algunos aspectos
repetiblesNo en todos
4 El proceso se rea l i za
correctamente?3
Todos s iempre se
se rea l i za bien
Las partes
s iempre estn
bien rea l izadas .
A veces todos los
aspectos
A veces a lgunos
aspectos
Raramente
a lgunos aspectos
5Est claro quin es
responsable del proceso?3
Todo el mundo
conoce y acepta
plenamente la
responsabi l idad
La mayora de las
personas
conocen y
aceptan la
responsabi l idad.
Algunos conoces
y aceptan parte
de la
responsabi l idad
Algunos conocen;
sus
responsabi l idade
s , pero no
aceptan
Nadie sabe
6
El proceso tiene una
direccin y objetivos
claros?
3
Integrado en la
medicin del
desempeo
Comunicado pero
no vinculados a
las medidas
Documentado,
pero no
comunicado
Conocido por la
a l ta di reccin, no
documentado
No en todos
7 El proceso es medido? 5
Integrados y
vinculados a los
objetivos de TI y
los del negocio
Eficiencia y
eficacia , no
vinculados a los
objetivos
Algunas medidas
de eficacia
Algunas medidas
financierasNo en todos
8 El proceso es auditado? 5
Basado en el
riesgo y los
resultados
s iempre
accionados
Parte del plan
basado en el
riesgo y los
resultados
peridicamente
accionados
Regularmente y
los resultados en
ocas iones
accionados
Ad hoc No en todos
9
Se conocen las
debi l idades de control
del proceso?
4
Continuamente
monitoreado y
mitigado
Regularmente
monitoreado y
muchas bajo
control
Reconocidos , s in
embargo no han
s ido tratados
Consciente de
a lgunas
neces idades pero
no se hace nada
a l respecto
No conoce s i
exis ten
debi l idades
10La tecnologa uti l i zada
tiene vuln