UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
La Universidad Católica de Loja
ÁREA TÉCNICA
TITULACIÓN DE INGENIERO EN INFORMÁTICA
Diseño e implementación de una guía para evaluar los Sistemas
Informáticos que se ejecutan en el área de Estadística del Hospital
Provincial General “Julius Doepfner” – Zamora
TRABAJO DE FIN DE TITULACIÓN.
AUTORES: Bautista Bastidas, Jhuliana Lizeth
Espinoza Torres, Grecia Miluska
DIRECTOR: Jaramillo Hurtado, Danilo Rubén, Ing.
CENTRO UNIVERSITARIO ZAMORA
2015
ii
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN
Ingeniero.
Danilo Rubén Jaramillo Hurtado.
DOCENTE DE LA TITULACIÓN
De mi consideración:
El presente trabajo de fin de titulación: “Diseño e implementación de una guía para evaluar los
sistemas informáticos que se ejecutan en el área de Estadística del Hospital Provincial General
Julius Doepfner de Zamora" realizado por Bautista Bastidas Jhuliana Lizeth y Espinoza Torres
Grecia Miluska, ha sido orientado y revisado durante su ejecución, por cuanto se aprueba la
presentación del mismo.
Loja, febrero del 2015
f)………………………………
iii
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS
“Nosotras Bautista Bastidas Jhuliana Lizeth y Espinoza Torres Grecia Miluska declaramos ser
autores del presente trabajo de fin de titulación: “Diseño e implementación de una guía para
evaluar los sistemas informáticos que se ejecutan en el área de Estadística del Hospital Provincial
General Julius Doepfner de Zamora", de la Titulación de Ingenieros en Informática, siendo el
Ing. Jaramillo Hurtado Danilo Rubén, director del presente trabajo; y eximimos expresamente a la
Universidad Técnica Particular de Loja y a sus representantes legales de posibles reclamos o
acciones legales. Además certificamos que las ideas, conceptos, procedimientos y resultados
vertidos en el presente trabajo investigativos, son de nuestra exclusiva responsabilidad.
Adicionalmente declaramos conocer y aceptar la disposición del Art. 67 del Estatuto Orgánico de la
Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: “Forman
parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos
científicos o técnicos y tesis de grado que se realicen a través, o con el apoyo financiero,
académico o institucional (operativo) de la Universidad”
f.)……………………………………. f.)…………………………………….
Autores: Bautista Bastidas Jhuliana Lizeth Espinoza Torres Grecia Miluska
Cédulas: 1900504232 1900492784
iv
DEDICATORIA
TODO LO QUE HAGÁIS, HACEDLO DE CORAZÓN,
COMO PARA EL SEÑOR Y NO PARA LOS HOMBRES
Colosenses 3:23
Quiero dedicar este proyecto:
Primeramente a mi Dios por la fuerza y la fe que me dio para culminar este proyecto tan
importante en mi vida.
A mis amados padres Franklin y Noralda porque han sido mi impulso durante mi carrera y
el pilar fundamental para la culminación de la misma.
A mi amado esposo Geovanny que con su apoyo constante y su amor incondicional ha sido
mi amigo y compañero inseparable, fuente de sabiduría, calma y consejo en todo momento
A mi adorado hijo Allen que a pesar de su corta edad ha sabido comprender mi ausencia
en todo este tiempo y que en los momentos más difíciles de este trayecto me has brindado
una sonrisa, un beso y un fuerte abrazo dándome el ánimo y la fuerza de seguir adelante,
TE AMO HIJO MIO.
Jhuliana
v
DEDICATORIA
Quiero dedicar esta tesis a mi guía incondicional Dios y la Virgen Santísima del Cisne por no
permitirme desfallecer aún en los momentos más duros que he tenido que afrontar.
A mi bella Madre Andrea Torres por ser la creadora de cada sueño e ilusión en mi vida.
A mis hermosas Hijas Melanie y Kimberly, a mis angelitos que me acompañan desde el cielo Ángel
María y Ana Joaquín.
A mi Esposo por ser el apoyo cada día y por soportar tanto tiempo de ausencia y desesperación
emocional.
A mis hermanos, a la familia Bautista Bastidas, a Jhuly, su esposo e hijo.
Al director de tesis Ing. Danilo Jaramillo por el tiempo y dedicación que supo brindarnos para que
logremos nuestro objetivo.
Milusk
vi
AGRADECIMIENTO
Agradezco:
A Dios, el creador de todas las cosas, el que me ha dado su inmenso amor y me dio la
fortaleza, la valentía de seguir cuando mis fuerzas y ánimo no daban para más, gracias
infinitamente Padre por no soltarme de tu mano ni un solo instante porque solo así no me
rendí.
Agradezco también a mi madre por su cariño, comprensión, apoyo y confianza que sin
dudar en el trayecto de mi vida supo guiarme por el camino del bien y con su sabiduría me
enseñó amar con el corazón y el alma.
A mi mejor amiga Miluska por su apoyo incondicional en cada momento de estas largas
circunstancia de la vida y así mismo por su cariño sincero.
Al Ing. Danilo Jaramillo por su guía y apoyo en el trayecto desde el inicio hasta el final de
este proyecto
Finalmente a mis confidentes de locura y lucha en la vida Paola, Diana, Santiago e Israel
recuerden siempre el amor a ustedes es inmenso.
Jhuliana
vii
AGRADECIMIENTO
Quiero que estas cortas pero demostrativas líneas sirvan para agradecer a todos quienes forman
parte fundamental de mi vida en especial:
A Dios y a la Virgen Santísima del Cisne que con su infinita bondad han sido artífices de éste
logro, y no han soltado mi mano aunque me he visto en el abismo sobre todo al final de este
trayecto.
A mi Madre la luz de vida y mi mejor ejemplo, mi amiga, mi mayor orgullo.
A mis hijas Melanie y Kimberly, a mis hermosos tesoros que me acompañan desde el cielo Ángel
María y Ana Joaquín, gracias por ser el motor que me impulsa a seguir adelante cuando quiero
desfallecer.
A mi esposo Byron Zhuma que ha sido mi soporte para alcanzar mis metas profesionales y
siempre me ha brindado palabras de aliento y fe.
A mis hermanos Eberth, Naidelynne y Junior. A mi mejor amiga y compañera a lo largo de diez
años de vida y con quien hemos emprendido este proyecto Jhuliana Bautista y a toda su familia
por su apoyo incondicional.
De manera especial agradezco al Ing. Danilo Jaramillo por creer en nosotras y permitirnos cumplir
nuestro tan ansiado objetivo, gracias por brindarnos su acertado asesoramiento ya que sin su
ayuda habría sido imposible concluir con éxito la presente tesis.
A todos Ustedes gracias por impulsarme cada día a ser mejor ser humano, que Dios derrame
bendiciones sobre sus vidas y me permita compartir muchos años más a su lado.
Milusk
viii
ÍNDICE DE CONTENIDOS
CARÁTULA ......................................................................................................................................... i
CERTIFICACIÓN ............................................................................................................................... ii
DECLARACIÓN DE AUTORÍA DE DERECHOS ............................................................................. iii
DEDICATORIA .................................................................................................................................. iv
AGRADECIMIENTO.......................................................................................................................... vi
INDICE DE CONTENIDOS ............................................................................................................. viii
RESUMEN ................................................................................................................................................... 1
ABSTRACT ................................................................................................................................................. 2
INTRODUCCIÓN ........................................................................................................................................ 3
DEFINICIÓN DEL PROBLEMA ................................................................................................................ 5
OBJETIVOS .............................................................................................................................................. 13
OBJETIVO GENERAL ............................................................................................................................. 13
OBJETIVOS ESPECÍFICOS ................................................................................................................... 13
CAPÍTULO I: ............................................................................................................................................. 14
ESTADO DEL ARTE ................................................................................................................................ 14
1.1. Software ........................................................................................................................................ 15
1.1.1. Ciclos de vida del software ......................................................................................................... 16
1.1.2. Estándares del ciclo de vida del Software ................................................................................ 16
1.1.3. Categorías del software .............................................................................................................. 17
1.1.4. Calidad del Software ................................................................................................................... 17
1.1.5. Atributos de la calidad del software ........................................................................................... 19
1.1.6. Aseguramiento de la calidad del software ................................................................................ 19
1.1.7. Software de información ............................................................................................................. 20
1.2. Modelos de Calidad ..................................................................................................................... 20
1.2.1. Modelo de Mc Call ....................................................................................................................... 21
1.2.2. Modelo de BOEHM ...................................................................................................................... 23
1.2.3. Modelo de FURPS+..................................................................................................................... 26
1.2.4. Modelo de DROMEY ................................................................................................................... 27
1.3. Estándares de calidad ................................................................................................................. 28
1.3.1. Normas ISO 9000 ........................................................................................................................ 28
1.3.2. ISO/ IEC 9126 .............................................................................................................................. 30
1.3.3. ISO 27000 ..................................................................................................................................... 32
1.3.4. ISO/IEC 12207 ............................................................................................................................. 34
1.3.5. Estándar Capability Maturity Model (CMM) .............................................................................. 35
1.3.6. Estándar MOPROSOFT (NMX-I-059/02-NYCE-2011) ............................................................ 35
CAPITULO II: ............................................................................................................................................ 37
COBIT 5- MARCO DE TRABAJO .......................................................................................................... 37
2.1. ¿Qué es COBIT? ......................................................................................................................... 38
2.1.1. Evolución de COBIT. ................................................................................................................... 38
ix
2.1.2. Marco de Trabajo Completo de COBIT 5. ................................................................................ 40
2.1.3. Dominios en la utilización de COBIT. ........................................................................................ 42
2.1.3.1. Planear y Organizar (PO). ................................................................................................... 42
2.1.3.2. Adquirir e implementar (AI). ................................................................................................. 43
2.1.3.3. Entregar y dar Soporte (DS). ............................................................................................... 43
2.1.3.4. Monitorear y Evaluar (ME). .................................................................................................. 43
2.1.4. Beneficios de COBIT 5................................................................................................................ 43
2.1.5. Principios de COBIT 5. ................................................................................................................ 44
2.1.5.1. Primer Principio: Satisfacer las necesidades de las partes interesadas. ...................... 45
2.1.5.2. Segundo Principio.- Cubrir la organización de forma integral. ....................................... 45
2.1.5.3. Tercer Principio.- Aplicar un solo marco integrado. ......................................................... 46
2.1.5.4. Cuarto Principio.- Habilitar un enfoque holístico. ............................................................. 47
2.1.5.5. Quinto principio: Separar el gobierno de la administración. ........................................... 48
2.1.6. Catalizadores de COBIT 5. ......................................................................................................... 48
2.1.6.1. Primer Catalizador: Principio, políticas y macros. ............................................................ 48
2.1.6.2. Segundo Catalizador: Proceso. .......................................................................................... 49
2.1.6.3. Tercer Catalizador: Estructuras Organizacionales. .......................................................... 49
2.1.6.4. Cuarto Catalizador: Cultura, ética y comportamiento. ..................................................... 49
2.1.6.5. Quinto Catalizador: Información. ........................................................................................ 49
2.1.6.6. Sexto Catalizador: Servicios, infraestructura y aplicaciones. ......................................... 49
2.1.6.7. Séptimo Catalizador: Personas habilitantes y competencias. ........................................ 49
2.1.7. COBIT 5 para la Seguridad de Información. ............................................................................ 50
2.1.7.1. Componentes del BMIS de Cobit. ...................................................................................... 50
CAPITULO III. ........................................................................................................................................... 52
ESTUDIOS DE SITUACIÓN ACTUAL DEL ÁREA DE ESTADÍSTICA DEL HOSPITAL “JULIUS DOEPFNER” DE ZAMORA ..................................................................................................................... 52
3.1. Introducción .................................................................................................................................. 53
3.2. Situación actual de procesos. .................................................................................................... 54
3.2.1. Agendamiento, Call Center y Archivo. ...................................................................................... 54
3.2.2. RDACAA: Registro Diario Automatizado de Consultas y Atenciones Ambulatorias. ......... 55
3.2.3. Gestión de camas y egresos hospitalarios. .............................................................................. 56
3.2.4. Procesamiento de datos. ............................................................................................................ 57
3.3. Descripción del hardware y software de Estadística. ............................................................. 58
3.3.1. Hardware. ..................................................................................................................................... 58
3.3.2. Software. ....................................................................................................................................... 59
3.3.3. Funcionalidades de los sistemas. .............................................................................................. 60
3.3.3.1. Software “Fichas”. ................................................................................................................. 60
3.3.3.2. Software “RDACAA”. ............................................................................................................ 60
3.3.3.3. Software “Egresos Hospitalarios – Gestión de Camas”. ................................................. 60
3.3.3.4. Software “VIEPI4”. ................................................................................................................ 60
3.3.3.5. Software “UCMMSP”. ........................................................................................................... 61
x
3.4. Inventario de sistemas existentes de Estadística .................................................................... 61
CAPITULO IV: ........................................................................................................................................... 62
ELABORACIÓN DE UNA GUÍA PARA EVALUAR LOS SISTEMAS INFORMÁTICOS DEL HOSPITAL “JULIUS DOEPFNER” DE ZAMORA ................................................................................ 62
4.1. Justificación .................................................................................................................................. 63
4.2. Desarrollo ...................................................................................................................................... 66
4.3. Alcance .......................................................................................................................................... 66
4.4. Marco de trabajo .......................................................................................................................... 67
4.4.1. Objetivos de la entidad................................................................................................................ 67
4.4.2. Recursos de la tecnología de información. .............................................................................. 67
4.5.1. Objetivos de Control. ................................................................................................................... 68
4.6. Guía para evaluar los sistemas informáticos de Estadística del Hospital “Julius Doepfner” de Zamora ....................................................................................................................................................... 75
CAPÍTULO V: ............................................................................................................................................ 92
EVALUACIÓN DE LOS SISTEMAS INFORMÁTICOS DE ESTADÍSTICA MEDIANTE EL SOFTWARE DE “EVALSIS” ................................................................................................................... 92
5.1. Introducción .................................................................................................................................. 93
5.2. Metodología de desarrollo AUP ................................................................................................. 93
5.2.1. Gestión del proyecto. .................................................................................................................. 93
5.2.2. Desarrollo del software Evalsis para evaluar los sistemas de Estadística. ......................... 94
5.3. Herramientas de Desarrollo de Evalsis ..................................................................................... 96
5.3.1. Software de Programación. ........................................................................................................ 96
5.3.2. Base de Datos. ............................................................................................................................. 96
5.3.3. Software de Modelado. ............................................................................................................... 96
5.4. Prototipo de Evalsis ..................................................................................................................... 96
5.4.1. Interfaz Gráfica de Evalsis. ......................................................................................................... 96
5.4.2. Funcionalidades de Evalsis. ....................................................................................................... 96
5.4.3. Construcción de Evalsis. ............................................................................................................. 99
5.5. Resultados de Evaluación de los Sistemas Informáticos de Estadística con el software Evalsis…. ................................................................................................................................................. 100
5.5.1. Evaluaciones ejecutadas por el Líder Departamental. ......................................................... 100
5.5.2. Evaluaciones ejecutadas por los Técnicos Responsables .................................................. 113
5.5.3. Evaluaciones ejecutadas por los Usuarios ............................................................................. 132
CONCLUSIONES ................................................................................................................................... 141
RECOMENDACIONES .......................................................................................................................... 143
BIBLIOGRAFÍA ....................................................................................................................................... 144
WEBGRAFÍA ........................................................................................................................................... 146
ANEXOS ........................................................................................................................................ 148
xi
INDICE DE ILUSTRACIONES
Figura 1Ciclo de vida del software ...................................................................................................... 16
Figura 2 Componentes del software .................................................................................................. 20
Figura 3 Cronología aproximada de la aparición de los principales modelos de calidad del software ............................................................................................................................................................. 20
Figura 4 Representación gráfica del modelo de Boehm .................................................................... 24
Figura 5 Actividades del ciclo de vida del modelo Boehm ................................................................. 25
Figura 6 Jerarquía de constructores de calidad en el modelo Boehm .............................................. 25
Figura 7 Organización jerárquica de las relaciones de los elementos del modelo se Dromey ......... 28
Figura 8 Organización jerárquica de las propiedades y atributos del modelo de Dromey ................ 28
Figura 9 Características de la calidad según la ISO/IEC-9126 .......................................................... 31
Figura 10 Características de la vista en uso la ISO/IEC-9126 ........................................................... 32
Figura 11 Evolución de la norma ISO 27000 ...................................................................................... 33
Figura 12 Claves prácticas del CMM .................................................................................................. 35
Figura 13 Evolución del COBIT .......................................................................................................... 38
Figura 14 Marco de trabajo completo del COBIT ............................................................................... 41
Figura 15 Principios del COBIT .......................................................................................................... 45
Figura 16 Primer principio del COBIT ................................................................................................ 45
Figura 17 Segundo principio de COBIT .............................................................................................. 46
Figura 18 Tercer principio de COBIT .................................................................................................. 47
Figura 19 Cuarto principio de COBIT ................................................................................................ 47
Figura 20 Quinto principio de COBIT ................................................................................................. 48
Figura 21 Catalizadores de COBIT5 .................................................................................................. 48
Figura 22 Estructura general del desarrollo de EVALSIS .................................................................. 94
Figura 23 Interfaz del sistema EVALSIS ............................................................................................ 96
Figura 24 Interfaz de la función de acceso- registro de usuario de EVALSIS .................................. 97
Figura 25 Interfaz de la función perfil de usuarios evaluadores de EVALSIS .................................. 97
Figura 26 Interfaz de la función gestión de sistema de EVALSIS ..................................................... 98
Figura 27 Interfaz de la función gestión de evaluaciones- administrar preguntas de EVALSIS ....... 98
Figura 28 Responder evaluaciones – encuestas de EVALSIS .......................................................... 99
Figura 29 Arquitectura cliente- servidor de EVALSIS ...................................................................... 102
Figura 30 Definir los objetivos institucionales claros y alcanzables................................................. 100
Figura 31 Definir planes de adquisición de hardware y software .................................................... 103
Figura 32 Planificar y definir un comité encargado de detallar las funciones de servicio de los usuarios ............................................................................................................................................. 103
Figura 33 Conocer la responsabilidad con la tecnología informática por parte de alta gerencia ... 104
Figura 34 Determinar custodios de TI .............................................................................................. 104
Figura 35 determinar un técnico responsable del sistema y su equipamiento informático ............. 105
Figura 36 Definir relaciones de trabajo ............................................................................................. 105
Figura 37 Desarrollar inventarios detallados de la tecnología informática ...................................... 106
Figura 38 Debe existir convenios y compromisos de confidencialidad de la información............... 106
xii
Figura 39 Se debe desarrollar un plan documentado de continuidad, para prolongar las actividades del sistema informático y su equipamiento tecnológico .................................................................. 106
Figura 40 El plan de continuidad debe contener estrategias y filosofías de trabajo para la muestra en marcha .......................................................................................................................................... 107
Figura 41 El contenido del plan de continuidad debe ser entendible a todos los usuarios ejecutores ........................................................................................................................................................... 107
Figura 42 El mantenimiento y actualización del plan de continuidad de TI debe ser constante y basarse en la realidad institucional ................................................................................................... 108
Figura 43 se deben realizar pruebas de funcionalidad del plan de continuidad de TI .................... 108
Figura 44 Se debe capacitar en el plan de continuidad de TI a todos los usuarios del sistema .... 109
Figura 45 Se debe realizar la distribución del plan de continuidad de TI a todos los usuarios inmersos en la funcionalidad y usabilidad del sistema..................................................................... 109
Figura 46 Verificar la existencia de un sitio físico seguro para el aseguramiento del hardware que ocupa el sistema ............................................................................................................................... 109
Figura 47 Debe existir un administrador de perfiles, el cual deberá detallar los roles de cada usuario dentro del sistema ............................................................................................................... 110
Figura 48 Debe existir seguridad física para los equipos, personal y demás recursos ................. 110
Figura 49 El lugar designado para el sistema y hardware debe estar identificado y etiquetado .... 111
Figura 50 Se debe establecer políticas de higiene que debe cumplir el personal para el hardware ........................................................................................................................................................... 111
Figura 51 El lugar designado para el sistema y hardware debe estar identificado y etiquetado .... 111
Figura 52 Desarrollar y determinar indicadores de desempeño para todos los usuarios del sistema ........................................................................................................................................................... 112
Figura 53 Realizar evaluación de desempeño de todos los usuarios del sistema ......................... 112
Figura 54 Evaluar el nivel de satisfacción de los usuarios del sistema ........................................... 113
Figura 55 Debe registrar los incidentes que afecten al hardware y al sistema informático ........... 116
Figura 56 Supervisar periódicamente el hardware y sistema informático ....................................... 116
Figura 57 Determinar pros y contras de utilizar el sistema informático y su hardware ................... 117
Figura 58 Definir planes de adquisición de hardware para el correcto funcionamiento del sistema informático ......................................................................................................................................... 117
Figura 59 Evaluar exhaustivamente el funcionamiento del sistema informático ............................ 117
Figura 60 Realizar mantenimientos preventivos continuos de hardware ....................................... 118
Figura 61 El técnico responsable de las TI departamentales debe realizar soporte preventivo de equipos informáticos ......................................................................................................................... 118
Figura 62 Verificar y mantener las seguridades del sistema informático ....................................... 118
Figura 63 Registrar las actualizaciones que se realizan en el sistema informático ........................ 119
Figura 64 Generar una guía de las actividades que cada función del sistema cumple .................. 119
Figura 65 Preparar y organizar la temática a tratar en la capacitación de usuarios ...................... 119
Figura 66 Documentar los servicios que el sistema brinda para cada perfil de usuario ................ 120
Figura 67 Evaluar el desempeño del sistema monitoreando los tiempos de espera y respuesta . 120
Figura 68 Dar soporte técnico a los procesos del sistema y realizar los cambios que necesita el usuario .............................................................................................................................................. 120
Figura 69 Debe existir un plan de requerimientos de disponibilidad y desempeño del sistema .... 121
Figura 70 El plan de requerimiento y desempeño ........................................................................... 121
xiii
Figura 71 Realizar un cronograma de inspecciones al sistema informático y su hardware ........... 121
Figura 72 Verificar que las funciones del sistema faciliten las actividades del usuario ................. 122
Figura 73 Revisar la capacidad de almacenamiento del equipo informático donde funciona el sistema ............................................................................................................................................. 122
Figura 74 Registrar en un listado los recursos físicos y digitales del sistema que estén disponibles ........................................................................................................................................................... 122
Figura 75 Implementar medidas de respaldo de la información para conocimiento y ejecución de los usuarios del sistema ................................................................................................................... 123
Figura 76 Identificar y registrar un listado de los principales recursos físicos y digitales del sistema informático ....................................................................................................................................... 123
Figura 77 Controlar que sólo los usuarios autorizados tengan acceso al sistema ........................ 124
Figura 78 Implementar políticas para la creación de usuarios y contraseñas ............................... 124
Figura 79 Debe mantener un registro de incidentes de: violación de acceso, perfiles de usuarios, funciones, etc. .................................................................................................................................. 125
Figura 80 Identificar y asignar a cada usuario actividades de protección del sistema informático y su hardware ...................................................................................................................................... 125
Figura 81 Proteger el sistema informático mediante el uso de software antivirus ......................... 126
Figura 82 Verificar y configurar las conexiones de red del equipo donde funciona el sistema informático ........................................................................................................................................ 126
Figura 83 Debe actualizar periódicamente a los usuarios sobre cada cambio que sufre el sistema ........................................................................................................................................................... 126
Figura 84 Realizar actividades de preparación y depuración de la información del sistema ........ 127
Figura 85 Definir políticas del uso de la información del sistema ................................................... 127
Figura 86 Resguardar la información de origen del sistema .......................................................... 128
Figura 87 Debe dar mantenimiento correctivo a los problemas de origen del sistema .................. 128
Figura 88 Verificar que los datos de salida del sistema sean registrados correctamente ........... 128
Figura 89 Verificar que el sistema realice cálculos internos para control de la salida de información ...........................................................................................................................................................129
Figura 90 Verificar que la información del sistema esté protegida durante la transmisión y transporte de datos ........................................................................................................................ 129
Figura 91 Comprobar los lugares de almacenamiento de la información del sistema .................. 130
Figura 92 Verificar los tiempos de almacenamiento de la información que genera el sistema informático ....................................................................................................................................... 130
Figura 93 Comprobar que los mensajes de ayuda del sistema estén protegidos de cambios y ediciones por parte de los usuarios ................................................................................................ 130
Figura 94 Verificar que la información del sistema que ha sido almacenada esté completa e íntegra ........................................................................................................................................................... 131
Figura 95 Comprobar que el sistema permita imprimir reportes de actividades de cada usuario ........................................................................................................................................................... 131
Figura 96 Monitorear el funcionamiento interno del sistema de forma periódica ............................ 132
Figura 97 Debe ejecutar evaluaciones constantes del funcionamiento interno del sistema informático ........................................................................................................................................ 132
Figura 98 El técnico debe instalar y verificar la funcionalidad del software en el equipo donde funciona el sistema ....................................................................................................................... 134
Figura 99 Debe tener un manual comprensible de las operaciones del sistema ........................... 134
Figura 100 El sistema debe solicitar su registro al momento del ingreso ...................................... 135
xiv
Figura 101 Debe acceder de forma individual al sistema ................................................................ 135
Figura 102 Debe cambiar la clave de acceso cuando lo requiera ................................................ 135
Figura 103 Ha comprobado si el sistema se bloquea cuando realiza varios intentos fallidos .... 136
Figura 104 El sistema debe restringir el acceso dependiendo de la hora y el día laboral permitido ........................................................................................................................................................... 136
Figura 105 El sistema debe bloquear el acceso a un perfil de usuario que no le corresponde ..... 136
Figura 106 La interfaz gráfica del sistema debe ser agradable y comprensible ............................ 137
Figura 107 El sistema debe permitir acceder a funciones mediante la combinación de teclas .....137
Figura 108 El sistema debe ser de fácil manipulación y ejecución ................................................ 138
Figura 109 Las ayudas del sistema deben ser claras y constar únicamente las necesarias para que usted se guíe .................................................................................................................................... 138
Figura 110 Los textos del sistema deben ser agradables visualmente .......................................... 139
Figura 111 Los formatos de salida de datos deben contener la información necesaria ............. 139
Figura 112 Debe tener un manual de procedimientos específicos ................................................ 140
xv
INDICE DE TABLAS
Tabla 1 Resultados obtenidos de la entrevista realizada a los usuarios de Estadística ................... 06
Tabla 2 Estándares de ciclo de vida del software .............................................................................. 16
Tabla 3 Atributos esenciales de un buen software ............................................................................. 19
Tabla 4 Ejes, factores y criterios de Mc Call ..................................................................................... 21
Tabla 5 Métricas aplicables a los diferentes factores de calidad propuestas por MC Call .............. 23
Tabla 6 Atributos de los requerimientos no funcionales (URPS) ....................................................... 26
Tabla 7 Requerimientos FURPS + ..................................................................................................... 27
Tabla 8 Propiedades y atributos de calidad del modelo de Dromey.................................................. 27
Tabla 9 Características y subcaracterísticas de calidad modelo ISO/IEC.9126 ............................... 30
Tabla 10 Metas de COBIT5 ................................................................................................................ 41
Tabla 11 Detalle de agendamiento y producción actual (2014) ......................................................... 53
Tabla 12 Hardware de Estadística del Hospital “Julius Doepfner” de Zamora ................................. 58
Tabla 13 Software de Estadística del Hospital “Julius Doepfner” de Zamora .................................. 59
Tabla 14 Inventario del software de Estadística del Hospital “Julius Doepfner” de Zamora ............ 61
Tabla 15 Comparativa de cuatro modelos de calidad del software .................................................. 64
Tabla 16 Comparativa de normas y estándares de calidad .............................................................. 65
Tabla 17 Resumen de los objetivos de control de los dominios de COBIT que se cumplen con la guía de evolución – Usuario: Líder Departamental ............................................................................ 81
Tabla 18 Resumen de los objetivos de control de los dominios de COBIT que se cumplen con la guía de evolución – Usuario: Técnico Responsable .......................................................................... 88
Tabla 19 Resumen de los objetivos de control de los dominios de COBIT que se cumplen con la guía de evolución – Usuario: Usuario Final ........................................................................................ 90
Tabla 20 Resultados obtenidos de la evaluación mediante EVALSIS- ejecución del líder departamental ................................................................................................................................... 100
Tabla 21 Resultados de las respuestas que generó el líder departamental al ejecutar la evaluación en el software EVALSIS ................................................................................................................... 101
Tabla 22 Resultados obtenidos de la evaluación mediante EVALSIS- ejecución de técnico responsables .................................................................................................................................... 113
Tabla 23 Resultados de las respuestas que generaron los técnicos responsables al ejecutar la evaluación en el software EVALSIS………………………………………………………………………………………..…………..114
Tabla 24 Resultados obtenidos de la evaluación mediante EVALSIS- ejecución de usuarios ...... 132
Tabla 25 Resultados de las respuestas que generaron los usuarios al ejecutar la evaluación en el software EVALSIS ............................................................................................................................ 133
xvi
ÍNDICE DE ANEXOS
Anexo 1 Solicitud al Director del HJDZ para que autorice realizar el proyecto de Tesis en
Estadística
Anexo 2 Entrevistas preliminares
Anexo 3 Esquema departamental del Hospital “Julius Doepfner” de Zamora
Anexo 4 Manual de manejo, archivo de las historias clínicas
Anexo 5 Acuerdo Ministerial 0002687- funcionamiento y aplicación del RDCAA físico y digital
OF/ON LINE
Anexo 6 Disposición de implementación de software RDCAA a nivel Nacional
Anexo 7-A Amverso RDCAA físico 2013-2014
Anexo 7-B Reverso RDACA físico 2013-2014
Anexo 8 Reportes que se generan del software RDCAA
Anexo 9 Formulario del INEC para elm registro de nacido vivo
Anexo 10-A Formulario del INEC para el registro de defunsión (PAG. 1)
Anexo 10-B Formulario del INEC para el registro de defunsión (PAG. 2)
Anexo 11 Formulario del INEC para el registro de defunsión fetal
Anexo 12-A Anverso formulario 008 para el registro de emergencia
Anexo 12-B Reverso formulario 008 para el registro de emergencia
Anexo 13 Formulario 555 para el ingreso de pacientes de hospitalización
Anexo 14 Plantillas de los dominios propuestos por COBIT5
Anexo 15 Plantillas de preguntas del sistema Evalsis
Anexo 16 Documento de Visión General del Proyecto Evalsis
Anexo 17 Documento de Elaboración del Proyecto Evalsis
Anexo 18 Caso de Uso general del Proyecto Evalsis
Anexo 19 Diagrama de Clases general del Proyecto Evalsis
Anexo 20 Documento de Construcción – Plan de Iteraciones
Anexo 21 Documento de Transición
Anexo 22 Manual de usuario Evalsis
Anexo 23 Evaluaciones ejecutadas por el líder departamental
Anexo 24 Evaluaciones ejecutadas por los Técnicos responsables
Anexo 25 Evaluaciones ejecutadas por los usuarios
1
RESUMEN
El presente proyecto se enfoca en la elaboración de la guía de seguridad mediante la investigación
realizada sobre la situación actual de los sistemas y procesos informáticos que se ejecutan en el
departamento de Estadística del Hospital Provincial General Julius Doepfner de Zamora. La guía
se desprende de la selección previa de los objetivos de control de COBIT - SI y el componente de
BMIS.
Como resultado de la investigación se creó la guía de evaluación para los diferentes perfiles de
usuarios, además se diseñó como un complemento el sistema Evalsis, el mismo que permitió
automatizar el proceso de evaluación de la tecnología informática existente.
Los resultados proporcionados por las evaluaciones ejecutadas, permitieron obtener indicadores
gráficos, los cuales sirvieron de base para presentar datos comparativos entre usuarios y sistemas
evaluados; dichos datos servirán para el mejoramiento e implementación de normas encaminadas
al buen uso de las TI departamentales.
Palabras claves: COBIT – SI, BMIS, Evalsis.
2
ABSTRACT
This project focuses on the development of security guidance through the research on the current
status of the systems and processes running in the Department of Statistics of the Provincial
General Hospital Julius Doepfner of Zamora. The guide follows from the previous selection of the
COBIT control objectives - SI and component BMIS.
As a result of research evaluation guide for different user profiles are created , the Evalsis addition,
it allowed automate the process of evaluating existing IT tenología system was designed as a
complement.
The results provided by the executed assessments, allowed to obtain graphical indicators , which
formed the basis for present comparative data between users and systems evaluated ; these data
will serve for the improvement and implementation of standards to ensure the efficient use of
departmental IT .
Keywords: COBIT - SI, BMIS , Evalsis .
3
INTRODUCCIÓN
El crecimiento poblacional ha inducido al incremento de las instituciones de Salud Pública en
nuestro país, lo que está generando que día a día más pacientes sean atendidos en los
Hospitales, Centros, Sub-centros y Puestos de Salud; todo esto implica mayor información en
datos estadísticos a nivel provincial y nacional, por lo que el Hospital Provincial General “Julius
Doepfner” de Zamora no es la excepción.
Considerando la cantidad de información y datos que se maneja a nivel nacional, el Ministerio de
Salud Pública “MSP” ha desarrollado varios sistemas informáticos a lo largo de la última década, lo
que ha permitido mejorar la forma en que se procesa los datos y cómo se obtiene la información
estadística.
Anteriormente el proceso era manual y no permitía la obtención de datos de manera rápida y
confiable, únicamente con aproximaciones. Este tipo de problemas ha generado de que el MSP
deba ir de la mano con la tecnología, por tanto ha creído oportuno la implementación de sistemas
web y de escritorio que permitan generar datos más precisos.
En la actualidad existen varios sistemas informáticos orientados al área de Estadística de los
Hospitales del país, los mismos que funcionan en línea mediante sistemas web diseñados para
este proceso. Además existen sistemas de escritorio que permiten realizar registros y generan
archivos mensual para que el MSP procese la información y pueda hacer uso de los datos cuando
así lo requiera.
Actualmente el área de Estadística funciona como un solo proceso con el área de agendamiento y
ventanilla, lugar en el cual se otorgan turnos a los pacientes que lo requieran de acuerdo a sus
patologías; son ocho los funcionarios que laboran en el departamento tanto en procesamiento de
datos, agendamiento, egresos hospitalarios y RDACAA (Registro Diario Automatizado de
Consultas y Atenciones Ambulatorias). Todos los oficinistas del área trabajan de lunes a sábado
cumpliendo turnos de acuerdo a la función que realizan.
Referente a la tecnología y al recurso humano se puede decir que no es la más óptima, sin
embargo y pese a las limitaciones en los equipos y personal, todos los funcionarios se han
adaptado para laborar en equipo y lograr cumplir con los objetivos y metas departamentales.
Debido a los argumentos descritos y que los miembros del departamento de Estadística han
entendido que la información que mantienen es uno de sus activos más valiosos, se ha
comprendido la importancia de crear una guía en la que se especifique los parámetros a evaluar
para identificar los inconvenientes que presentan las tecnologías informáticas del departamento.
Así, la presente tesis diseña una guía para evaluar los sistemas informáticos que se ejecutan en el
área de Estadística del Hospital Provincial General “Julius Doepfner” de Zamora, para verificar el
4
nivel de satisfacción, utilidad, operatividad y funcionamiento del software y sus procesos, además
del hardware y demás recursos que interactúan con las TI departamentales incluyendo al personal
e información.
5
DEFINICIÓN DEL PROBLEMA
La problemática actual del departamento de Estadística ha permitido considerar oportuno
desarrollar una entrevista preliminar para conocer con mayor detalle la situación actual en cuanto a
la productividad, seguridad, funcionamiento, agilidad, y procesamiento de información del recurso
humano, equipos y sistemas informáticos que se ejecutan en el departamento.
Como inicio de este proceso se solicitó las respectivas autorizaciones a la autoridad competente
para poder entrevistar al personal de Estadística del Hospital de Zamora (Verificar Anexo 1 de
solicitud de permiso).
Posteriormente se diseñó una entrevista previa la misma que se refleja a continuación:
ESTUDIO PARA DETERMINAR EL NIVEL DE SATISFACCIÓN DE LOS USUARIOS CON LOS
SISTEMAS INFORMÁTICOS DE ESTADÍSTICA
En este cuestionario, se presenta una serie de preguntas relacionadas con los sistemas informáticos que se ejecutan en el departamento de Estadística, resultados que pueden ser relevantes para evaluar el funcionamiento del software, usuarios, instalaciones y hardware relacionado.
DATOS DE IDENTIFICACIÓN
Nombre del funcionario: Cargo que desempeña: Tiempo de trabajo en el departamento: Fecha de la entrevista:
1. ¿Ha recibido capacitaciones de acuerdo al cargo que desempeña? a. Si b. No
2. ¿Con qué frecuencia es capacitado dentro del departamento? a. Mensual b. Trimestral c. Semestral d. Anual e. Nunca
3. Considera que el ambiente laboral en el departamento es: a. Excelente b. Bueno c. Malo d. Regular
4. ¿Considera que cuenta con el equipamiento informático y ergonómico adecuado para desempeñar sus funciones?
a. Si b. No
5. El equipo de cómputo bajo su cargo está en condiciones: a. Óptimas b. Bueno c. Malo
6. ¿Los dispositivos y sistemas informáticos están en un lugar seguro y adecuado para su desempeño? a. Si b. No
7. ¿Tiene libre acceso a la información física y digital que requiere para desempeñar sus funciones y actividades?
a. Si b. No
8. ¿Dentro de sus funciones utiliza sistemas informáticos o aplicaciones computarizadas? a. Si b. No
6
9. ¿Tiene un usuario y contraseña para ingresar al sistema que utiliza? a. Si b. No
10. ¿Los sistemas informáticos que utiliza son fáciles de manipular? a. Si b. No
11. ¿Qué medio utiliza para almacenar los datos e información que usted genera? a. No realizo respaldo de la información. b. El equipo de cómputo que está bajo mi cargo. c. CD- DVD(discos) d. Flash memory. e. Disco extraíble. f. Otros medios.
12. ¿Su equipo de cómputo cuenta con software antivirus? a. Si b. No
13. ¿Con qué frecuencia se realizan actualizaciones y mantenimiento al o los sistemas que usted utiliza? a. Mensual b. Trimestral c. Semestral d. Anual e. Nunca
14. ¿Le informan sobre los cambios que existen en el o los softwares que manipula? a. Si b. no
15. ¿Cree que se deberían realizar mejoras en el o los sistemas informáticos que usted maneja? a. Si b. No
Mediante la aplicación de la entrevista se pudo conocer la realidad departamental de los usuarios
frente a la tecnología informática del departamento. Los resultados de las entrevistas físicas
obtenidas de las respuestas que emitieron los funcionarios se detallan en la tabla N°1 que se
muestra a continuación (revisar anexo N° 3 entrevistas realizadas).
Tabla 1: Resultados obtenidos de la entrevista realizada a los usuarios de Estadística Fuente: Autoras, 2014
PREGUNTAS OPCIONES
USUARIOS Líder Asistente
Est. R. Gestión de camas
RDACAA Vent. 1 AG
Vent. 2 KA
Vent. 3 AU
Vent. 4 RG
¿Ha recibido capacitaciones de acuerdo al cargo que desempeña?
SI NO
SI
Si
Si
Si
Si
Si
Si
Si
¿Con qué frecuencia es capacitado dentro del
departamento?
1.Mensual 2.Trimestral 3.Semestral
4.Anual 5.Nunca
3
4
4
4
4
4
3
4
Considera que el ambiente laboral en el departamento
1.Excelente 2.Bueno 3.Malo 4.Regular
2
3
2
3
2
2
3
3
¿Considera que cuenta con el equipamiento informático y ergonómico adecuado para desempeñar sus funciones?
SI NO
No
No
Si
No
No
No
No
No
El equipo de cómputo bajo su cargo está condiciones
1.Optimas 2.Bueno 3.Malo
1
3
1
3
2
3
2
3
Los dispositivos y sistemas informático están en un lugar seguro y adecuado para su desempeño
SI NO
No
No
No
No
No
No
No
No
¿Tiene libre acceso a la información física y digital que requiere para desempeñar sus funciones y actividades?
SI NO
Si
Si
Si
Si
Si
Si
Si
No
¿Dentro de sus funciones utiliza sistemas informáticos o aplicaciones computarizadas?
SI NO
Si
Si
Si
Si
Si
Si
Si
Si
7
Tiene un usuario y contraseña para ingresar al sistema que utiliza
SI NO
Si
No
Si
Si
Si
Si
No
No
¿Los sistemas informáticos que utiliza son fáciles de manipular?
SI NO
Si
Si
Si
Si
Si
Si
No
Si
¿Qué medio utiliza para almacenar los datos e información que usted genera?
1. No realizo respaldo de la información. 2. El equipo de cómputo que está bajo mi cargo. 3.CD-DVD 4. Flash memory. 5.Disco extraíble 6.Otros medios
2 y 4
3
2
5 y 6
1
1
1
1
¿Su equipo de cómputo cuenta con software antivirus?
SI NO
No
No
Si
Si
Si
Si
No
Si
¿Con qué frecuencia se realizan actualizaciones y mantenimiento al o los sistemas que usted utiliza?
1. Mensual. 2. Trimestral. 3. Semestral. 4. Anual. 5.Nunca
4
5
5
3
4
4
5
4
¿Le informan sobre los cambios que existen en el o los softwares que manipula?
SI NO
Si
No
Si
Si
Si
Si
Si
Si
¿Cree que se deberían realizar
mejoras en el o los sistemas informáticos que usted maneja?
SI NO
Si
Si
Si
Si
Si
Si
Si
Si
A continuación se presenta en gráficos estadísticos los totales obtenidos por pregunta y opción de
las entrevistas preliminares realizadas:
Pregunta 1:
El total de los funcionarios ha recibido capacitaciones de acuerdo a la función que ejecuta en su
departamento. (SI: 8, NO: 0)
Pregunta 2:
La mayor cantidad de usuarios coinciden en recibir capacitaciones anuales, lo que indica la falta de
adiestramiento y actualización de conocimientos a los funcionarios (Mensual: 0, Trimestral: 0,
Semestral: 2, Anual: 6, Nunca: 0)
Pregunta 3:
En el gráfico tres se ve reflejado un desacuerdo en las respuestas obtenidas de los funcionarios,
ya que la mitad considera que el ambiente laboral es bueno, mientras que la contraparte da un
resultado opuesto; por lo que se podría considerar que el ambiente laboral debería mejorar para
100%
0%
¿ Ha recibido capacitaciones de acuerdo al cargo que desempeña?
Si
No
0%11%
22%
67%
0%
¿Con qué frecuencia es capacitado dentro del departamento?Mensual
Trimestral
Semestral
Anual
Nunca
8
equilibrar la satisfacción total de los empleados departamentales (Excelente: 0, Bueno: 4, Malo: 4,
Regular: 0)
Pregunta 4:
La mayor parte de funcionarios no está trabajando bajo condiciones que propicien el desarrollo
óptimo de sus funciones, por lo que el líder departamental debería gestionar la dotación de los
equipos o materiales necesarios. (Si: 1, No: 7)
Pregunta 5:
La mayor parte del equipamiento informático con el que están trabajando los funcionarios de
Estadística no cumplen con los requerimientos mínimos necesarios para optimizar las actividades
designadas que realizan; por ello se debería considerar oportuno gestionar la adquisición
institucional de computadores que agiliten los procesos laborales (Óptimas: 2, Bueno: 2, Malo: 4)
Pregunta 6:
Todos los funcionarios consideran que el lugar designado para el equipamiento informático no es
el adecuado, lo que demuestra falta de gestionamiento una vez más por parte de los responsables
departamentales (Si: 0, No: 8)
0%
50%
50%
0%
¿Considera que el ambiente laboral en el departamento es:?
Excelente
Bueno
Malo
Regular
12%
88%
¿Considera que cuenta con el equipamiento informático y ergonómico adecuado para desempeñar sus funciones?
Si
No
25%
25%
50%
¿El equipo de cómputo bajo su cargo está en condiciones?
Optimas
Bueno
Malo
9
Pregunta 7:
En cuanto a los accesos es importante recalcar que la mayor parte de los funcionarios tiene la
facilidad de hacer uso de la información necesaria cuando lo requiera, sin embrago ésta debería
estar disponible para todos los funcionarios de acuerdo a las actividad que le corresponda sin
excepción alguna (Si: 7, No: 1)
Pregunta 8:
Cada uno de los funcionarios afirma utilizar aplicaciones informáticas dentro de sus funciones
diarias, por tanto se puede determinar que los procesos departamentales han sido automatizados
para facilitar el desempeño laboral (Si: 8, No: 0)
Pregunta 9:
Pese a que todos utilizan aplicaciones informáticas, varios funcionarios afirman no contar con un
usuario y contraseña personal para ingresar a dichos sistemas; lo que refleja un déficit en el
control de acceso a los sistemas informáticos (Si: 5, No: 3)
0%
100%
¿Los dispositivos y sistemas informáticos están en un lugar seguro y adecuado para su desempeño?
Si
No
87%
13%
¿Tiene libre acceso a la información física y digital que requiere para desempeñar sus funciones y actividades?
Si
No
100%
0%
¿Dentro de sus funciones utiliza sistemas informáticos o aplicaciones computarizadas?
Si
No
10
Pregunta 10:
Los sistemas informáticos implementados en el departamento en su mayoría son de fácil
manipulación, por tanto los usuarios pueden desempeñar sus funciones con facilidad (Si: 7, No: 1)
Pregunta 11:
Aproximadamente la mitad de los funcionarios no respalda la información que genera en su trabajo
diario, sin embargo la otra parte de usuarios respalda los datos en diferentes medios,
considerando los resultados se debería concientizar a los funcionarios en la importancia de
resguardar la información de su trabajo ya que de esto depende el correcto desempeño de sus
actividades, y permitirá hacer uso de la información cuando se lo requiera(No realizo respaldo de
la información:4, El equipo de cómputo que está bajo mi cargo: 2, CD-DVD (discos):1, Flash
memory:1, Disco extraíble:1, Otros medios:1)
Pregunta 12:
La mayoría de los equipos informáticos del departamento se encuentran con un software antivirus,
aquí se puede detectar la falta de priorización equitativa para todos los equipos sin considerar
excepción alguna (Si: 5, No: 3)
62%
38%
¿Tiene un usuario y contraseña para ingresar al sistema que utiliza?
Si
No
87%
13%
¿Los sistemas informáticos que utiliza son fáciles de manipular?
Si
No
40%
20%
10%
10%
10%
10%
¿Qué medio utiliza para almacenar los datos e información que usted genera?
No realizo respaldo
Mi equipo
CD-DVD
Flash memory
Disco extraíble
Otros medios
11
Pregunta 13:
La minimización en la actualización o mantenimiento de los sistemas informáticos implementados
en el departamento no se le ha dado la importancia que amerita, por lo que debería ser una de las
prioridades (Mensual: 0, Trimestral: 0, Semestral: 1, Anual: 4, Nunca: 3)
Pregunta 14:
Por lo general al existir cambios en los sistemas se ha comunicado al usuario que lo utiliza, pese a
esto al verificar la existencia de un funcionario que desconoce que sean efectuado cambios o no,
demuestra una vez más la falta de equidad e igualdad en el trato que se da y la consideración que
se tiene a todos los funcionarios en el departamento (Si: 7, No: 1)
Pregunta 15:
En su totalidad los usuarios de los sistemas informáticos (funcionarios) consideran que se debería
implementar mejoras, actualizaciones y cambios en las aplicaciones (Si: 8, No: 0)
38%
62%
¿Su equipo de cómputo cuenta con software antivirus?
Si
No
0%
0%12%
50%
38%
¿Con qué frecuencia se realizan actualizaciones y mantenimiento al los sistemas que usted utiliza?
Mensual
Trimestral
Semestral
Anual
Nunca
87%
13%
¿Le informan sobre los cambios que existen en el o los softwares que manipula?
Si
No
12
Las gráficas estadísticas descritas permiten cuantificar y reconocer:
El nivel de satisfacción de los usuarios con los sistemas informáticos
Las falencias actuales.
La falta de equipamiento.
La falta de gestionamiento.
La falta de capacitación al personal.
El desconocimiento.
El ambiente laboral, entre otros.
Además se ha identificado aspectos positivos tales como:
Adaptabilidad de los funcionarios a la realidad actual.
Cooperatividad.
Valores éticos y morales, etc.
100%
0%
¿Cree que se deberían realizar mejoras en el o los sistemas informáticos que usted maneja?
Si
No
13
OBJETIVOS
OBJETIVO GENERAL
Diseñar e Implementar una guía para evaluar los sistemas informáticos que se ejecutan en el
área de Estadística del Hospital Provincial General “Julius Doepfner” de Zamora.
OBJETIVOS ESPECÍFICOS
Conceptualizar las definiciones y temas más relevantes que van acordes al diseño e
implementación de la guía de evaluación de sistemas informáticos de Estadística del
Hospital “Julius Doepfner” de Zamora. tesis.
Realizar un estudio de la situación actual de los procesos que se ejecutan con los sistemas
informáticos del área de Estadística del Hospital de Zamora.
Diseñar la guía para evaluar los sistemas informáticos que se ejecutan en el área de
Estadística del Hospital de Zamora.
Automatizar el proceso de evaluación de sistemas informáticos del área de Estadística del
Hospital de Zamora con la implementación de un software en base a la guía diseñada.
Evaluar los sistemas informáticos que se ejecutan en el departamento de Estadística del
Hospital de Zamora a través de software.
Analizar los resultados obtenidos de la evaluación realizada mediante el software, para
emitir un cuadro comparativo de datos.
Determinar conclusiones y recomendaciones finales.
14
CAPÍTULO I:
ESTADO DEL ARTE
15
1.1. Software
El software es un producto que tiene características muy especiales, se debe tener en cuenta que
es un producto que se desarrolla y se centra en el diseño, con una existencia lógica de
instrucciones sobre un soporte. Es un producto que no se gasta con el uso como otros y repararlo
no significa restaurarlo al estado original, sino corregir algún defecto de origen lo que significa que
el producto entregado posee defectos, que podrán ser solucionados en la etapa de
mantenimiento[1].
La importancia de tener una descripción e imagen clara de qué es un software es fundamental, es
por ello que a continuación se citan algunas definiciones de software:
IEEE Std. 610[2] define el software como: “programas, procedimientos y documentación y datos
asociados, relacionados con la operación de un sistema informático”
Según el Webster’sNew Colegiate Dictionary[3], “software es un conjunto de programas,
procedimientos y documentación relacionada asociados con un sistema, especialmente un sistema
informático”.
El software se puede definir como el conjunto de tres componentes programas, datos y
documentos. Un componente de software es una unidad de composición con interfaces
contractualmente especificadas y explícitas sólo con dependencias dentro de un contexto. Un
componente de software puede ser desplegado independientemente y es sujeto a la composición
de terceros.[4], P 20-22.
Independiente de la definición que se otorgue a un componente de software, deberían existir
algunas características básicas para que un elemento sea considerado un componente[5]:
Identificable: Debe tener una identificación que permita acceder fácilmente a sus servicios y
que permita su clasificación.
Auto contenido: Un componente no debe requerir de la utilización de otros para finiquitar la
función para la cual fue diseñado.
Puede ser remplazado por otro componente: Se puede remplazar por nuevas versiones u
otro componente que lo remplace y mejore.
Con acceso solamente a través de su interfaz: Debe asegurar que éstas no cambiaran a lo
largo de su implementación.
Sus servicios no varían: Las funcionalidades ofrecidas en su interfaz no deben variar, pero
su implementación sí.
Bien documentado: Un componente debe estar correctamente documentado para facilitar
su búsqueda si se quiere actualizar, integrar con otros, adaptarlo, etc.
Es genérico: Sus servicios deben servir para varias aplicaciones.
Reutilizado dinámicamente: Puede ser cargado en tiempo de ejecución en una aplicación.
16
Independiente de la plataforma: Hardware, Software, S.O.
1.1.1. Ciclos de vida del software
El ciclo de vida del software indica el desarrollo del mismo delimitando el inicio, el final y cada una
de sus fases.
Un modelo de ciclo de vida del software:
Describe las fases principales de desarrollo de software
Define las fases primarias esperadas de ser ejecutadas durante esas fases.
Ayuda a administrar el progreso del desarrollo, y
Provee un espacio de trabajo para la definición de un detallado proceso de desarrollo de
software.
A continuación se ilustra el proceso del ciclo de vida del software en la Figura N° 1:
Figura 1: Ciclos de vida del software Fuente: 24 mayo, 2010 — Jadisha Yarif Elaborado por: Autoras, 2015
1.1.2. Estándares del ciclo de vida del Software
Los estándares son las normas que permiten regular cada fase del ciclo de vida del desarrollo del
software. Existe un estándar internacional que regula el método de selección, implementación y
monitoreo del ciclo de vida del software es el ISO 12207. La tabla N°2 presenta a detalla los
estándares dispuestos para cada fase del ciclo de vida del software.
Tabla 2: Estándares de ciclo de vida del software
Fuente: 24 mayo, 2010 — Jadisha Yarif Elaborado por: Autoras, 2015
Requerimientos IEEE STDA 830-1998 IEEE. Práctica recomendada para especificaciones de requisitos de software.
Análisis y Diseño
IEEE STDA 1471-2000 IEEE práctica recomendada para la descripción arquitectónica de software intensivo. IEEE STDA 1471-2000 IEEE práctica recomendada para la descripción arquitectónica de sistemas intensivos en software
Construcción del Software ANSI/IEEE1008-1987 IEEE norma para las pruebas unitarias de software
Pruebas del Software
IEEE STDA1012-1998 IEEE norma para la verificación y validación de software IEEE STDA1730-2002 IEEE norma para los planes de aseguramiento de la calidad del software IEEE STDA 829-1998 IEEE estándar para la documentación de pruebas de software
Integración del Software ISO 12207
Mantenimiento del Software IEEE STDA 219-1998 IEEE norma para el mantenimiento de software
REQUERIMIENTOS
MANTENIMIENTO
DEL SOFTWARE ANÁLISIS Y DISEÑO
INTEGRACIÓN DEL
SOFTWARE
CONSTRUCCIÓN
DEL SOFTWARE
PRUEBAS DEL
SOFTWARE
17
1.1.3. Categorías del software
El software puede dividirse en dos grandes categorías:
Software de sistemas: denominado también software de base, se usa para operar y mantener un
sistema informático. Permite a los usuarios usar los recursos del ordenador directamente y a
través de otro software. Algunos ejemplos de este tipo de software son: sistemas operativos,
compiladores y otras utilidades del sistema. El Software de Sistemas se divide en:
Sistema Operativo, tales como monousuario, multiusuario, monotarea, multitarea,
uniproceso, multiproceso, S.O. en red, y S.O. distribuidos.
Controladores de Dispositivos
Programas Utilitarios
Software de aplicaciones: Es aquel que hace que el computador coopere con el usuario en la
realización de tareas determinadas para personas. Se utilizan para proveer servicios a clientes y
ejecutar negocios de forma más eficiente.
La diferencia que existe entre un programa de aplicación y un programa de utilidad radica en que
éstos últimos sirven para que el usuario se relacione con el ordenador, facilitando su uso, mientras
que los de aplicación ayudan al usuario en la realización de tareas que anteriormente se
realizaban manualmente.
El software de aplicaciones puede ser un sistema pequeño o uno grande integrado. El software de
aplicación puede ser de dos tipos vertical y horizontal.
Software vertical: Son aquellos que se especializan en un mercado en particular, cubren
requerimientos definidos, estrechos y únicos para un solo tipo de mercado.
Software horizontal: Son aquellos que cubren una gama más amplia, capaz de solucionar
los problemas de un mercado más general. No se limita a cubrir necesidad específicas
sino necesidad más generales y amplias.
1.1.4. Calidad del Software
Para comprender lo que implica la calidad de software se debe iniciar conceptualizando y
definiendo la calidad de acuerdo a varios expertos.
“La palabra calidad es usada para darle el significado relativo a frases como buena calidad, mala
calidad y ahora a calidad de vida. Calidad de vida es un cliché porque cada receptor asume que el
orador dice exactamente lo que el receptor, quiere decir. Esa es precisamente la razón por la que
definimos calidad como Conformidad con requerimientos”.[6]
“Los problemas inherentes en tratar de definir la calidad de un producto, casi de cualquier
producto, fueron establecidos por el maestro Walter Shewhart. La dificultad en definir calidad es
18
traducir las necesidades futuras de los usuarios en características medibles, solo así un producto
puede ser diseñado y fabricado para dar satisfacción a un precio que el cliente pagará. Esto no es
fácil, y tan pronto como uno se siente exitoso, encuentra rápidamente que las necesidades del
cliente han cambiado y que la competencia ha mejorado, hay nuevos materiales para trabajar,
algunos mejores que los anteriores, otros peores, otros más baratos, otros más caros”.[7]
"La calidad no es una determinación del cliente, o una determinación del ingeniero, ni de
Mercadeo, ni del Gerente General. Está basada en la experiencia actual del cliente con los
productos o servicios, comparado con sus requerimientos, establecidos o no establecidos,
consientes o inconscientes, técnicamente operacionales o enteramente subjetivos. Y siempre
representando un blanco móvil en un mercado competitivo. La calidad del producto y servicio
puede ser definida como: Todas las características del producto y servicio provenientes de
Mercadeo, Ingeniería, Manufactura y Mantenimiento que estén relacionadas directamente con las
necesidades del cliente”.[8]
Tomando en consideración las definiciones anteriores se puede concluir que: La calidad es una
forma de medir los requerimientos propios en un producto o servicio, tomando como medida
máxima el nivel de conformidad esperado de un cliente.
Existen actualmente diferentes puntos de vista para definir la calidad de software. Desde el punto
de vista del cumplimiento de los requerimientos.
La calidad del software se define como: El cumplimiento de los requerimientos funcionales y de
performance explícitamente definidos, de los estándares de desarrollo explícitamente
documentados y de las características implícitas esperadas del desarrollo de software
profesional[9].
La calidad no se trata de tener cero defectos o una mejora medible de la proporción de defectos,
no se trata de tener los requerimientos documentados. No es más ni menos que satisfacer las
necesidades del cliente (por más que las necesidades estén o no correctamente
documentadas.[10]
Más allá de cómo definamos la calidad del software, para que la definición tenga sentido esta debe
ser medible. Para poder controlar la calidad del software es necesario, ante todo definir los
parámetros, indicadores o criterios de medición, ya que como bien es planteado en el libro
Controlling Software Poyects: [11]"No se puede controlar lo que no se puede medir".
Finalmente, desde estas dos perspectivas el glosario de la IEEE para la ingeniería de software
define la calidad del software como: “El grado con el cual un sistema, componente o proceso
cumple con los requerimientos y con las necesidades y expectativas del usuario.
19
1.1.5. Atributos de la calidad del software
Los atributos de calidad son las características o propiedad de calidad que tiene el software para
satisfacer al cliente[12].
Según [12] éstas cualidades están por encima dela funcionalidad, que es la declaración primordial
delas capacidades del sistema, los servicios, y el comportamiento. La funcionalidad es la
capacidad del sistema para realizar el trabajo para el cual fue destinado.
El logro de los atributos de calidad debe ser considerado en todo el ciclo de vida del software, por
lo que no siempre es fácil determinar qué atributos de calidad son los más factibles para evaluar
correctamente el software. A continuación se detallan en la tabla N°3 los atributos de calidad que
son esenciales en un software bien diseñado:
Tabla 3: Atributos esenciales de un buen software Mantenibilidad
El software debe escribirse de tal forma que pueda evolucionar para cumplir las necesidades de cambio de los clientes. Este es un atributo crítico debido a que el cambio en el software es una consecuencia inevitable de un cambio en el entorno de negocios.
Confiabilidad
La confiabilidad del software tiene un gran número de características, incluyendo la fiabilidad, protección y seguridad. El software confiable no debe causar daños físicos o económicos en caso de una falla del sistema.
Eficiencia
El software no debe hacer que se malgasten los recursos del sistema, como la memoria y los ciclos del procesamiento. Por lo tanto la eficiencia incluye tiempos de respuesta y de procesamiento, utilización de la memoria, etc.
Usabilidad
El software debe ser fácil de usar sin esfuerzo adicional, por el usuario para quien está diseñado. Esto significa que debe tener una interfaz de usuario apropiada y una documentación adecuada.
Fuente [12] Elaborado por: Autoras, 2015
1.1.6. Aseguramiento de la calidad del software
Verificar la calidad de un producto tangible o intangible implica evaluar la funcionalidad del mismo
en sus diferentes niveles y características, para poder fortalecer las posibles debilidades
encontradas dentro del proceso de desarrollo.
Sridharan[13] indica que: “Mientras el software que se está desarrollado reúne los requerimientos y
su desempeño es el esperado, es preciso que se supervisen las actividades de desarrollo del
software y su rendimiento, en distintas oportunidades durante cada fase del ciclo de vida. Este es
el papel del aseguramiento de la calidad del software”.
Existen tres aspectos fundamentales con relación al aseguramiento de la calidad del software: [14]
La calidad no se puede probar, se construye.
El aseguramiento de la calidad del software no es una tarea que se realiza en una fase
particular del ciclo de vida de desarrollo.
Las actividades asociadas con el aseguramiento de la calidad del software deben ser
realizadas por personas que no estén directamente involucradas en el esfuerzo de
desarrollo.
20
1.1.7. Software de información
Un sistema de información se compone de varios elementos los mismos que interactúan entre sí
con la finalidad de apoyar y facilitar las actividades de una empresa, institución o negocio. Entre
los componentes que forman parte de un software de información están los descritos en la figura
N°2 que se muestra a continuación:
Figura 2: Componentes del software Fuente: Las Autoras, 2015 Elaborado por: Autoras, 2015
Software: son programas que facilitan la funcionalidad deseada cuando son ejecutadas por
el ordenador. Están escritos usando lenguajes específicos de programación que los
ordenadores comprenden y ejecutan.
Datos: Los programas proporcionan la funcionalidad requerida manipulando datos. El
mantenimiento y las pruebas de los programas también necesitan datos para su
funcionamiento y evaluación. El diseño del programa asume la disponibilidad de las
estructuras de datos tales como bases de datos y archivos que contienen datos.
Hardware: Es el equipo informático donde se ejecuta el software y de información.
Personas: Es el recurso humano que operará el software de información en el hardware
para obtener datos.
1.2. Modelos de Calidad
La calidad está compuesta por un sinnúmero de características, es por eso que un modelo de
calidad debe describir éstas características y las relaciones que existen entre ellas.
La calidad del software se interpreta de diferentes maneras y a medida que ha transcurrido el
tiempo se ha desarrollado varios modelos que sirven de base para controlar y medir la calidad del
software. De acuerdo a esto se especifica en la figura N°3 la evolución de los modelos de acuerdo
a su cronología de aparición:
Figura 3. Cronología aproximada de la aparición de los principales modelos de calidad del software Fuente: las Autoras, 2015 Elaborado por: Autoras, 2015
1976: MODELO DE BOHEM
1977: MODELO DE McCall
1985: MODELO DE ARTHUR
1988: MODELO DE GILB/ MODELO DE DEUTSCH Y WILLIS
1990: MODELO DE SCHULMEYER
1992: MODELO DE GILIES / MODELO REBOOT
1995: MODELO DE DROMEY
2001: ISO 9126
M
O
D
E
L
O
S
D
E
C
A
L
I
D
A
D
SOFTWARE DATOS HARDWARE PERSONAS SISTEMAS DE INFORMACIÓN
21
1.2.1. Modelo de Mc Call
El modelo de McCall es uno de los modelos tradicionales, fue presentado por McCall en 1977.
Este modelo de calidad organiza los Factores determinantes de la calidad del software en tres ejes
(11 en total). En cada uno de estos ejes se aplican un conjunto de criterios o propiedades (23 en
total), y finalmente se especifica para cada criterio las métricas para evaluarlo, indicando los
valores máximo y mínimo aceptables.
McCall [15]propone tres perspectivas para agrupar los factores de calidad:
Revisión del producto: habilidad para ser cambiado
Transición del producto: adaptabilidad al nuevo ambiente
Operación del producto: características de operación
Revisión del producto
Mantenibilidad: esfuerzo requerido para localizar y corregir fallas.
Flexibilidad: facilidad de realizar cambios.
Testeabilidad: facilidad para realizar el testing, para asegurarse que el producto no tiene
errores y cumple con la especificación.
Transición del producto
Portabilidad: esfuerzo requerido para transferir entre distintos ambientes de operación.
Reusabilidad: facilidad de reusar el software en diferentes contextos
Interoperabilidad: esfuerzo requerido para acoplar el producto con otros sistemas
Operación del producto
Correctitud: el grado en el que el producto cumple con su especificación.
Confiabilidad: la habilidad del producto de responder ante situaciones no esperadas.
Eficiencia: el uso de los recursos tales como tiempo de ejecución y memoria de ejecución.
Integridad: protección del programa y sus datos de accesos no autorizados.
Usabilidad: facilidad de operación del producto por parte de los usuarios.
A continuación en la tabla N°3 se detalla los ejes, factores y criterios dispuestos por Mc Call en su
modelo de calidad:
Tabla 4: Ejes, Factores y Criterios de Mc Call
PUNTOS DE VISTA/EJES
FACTOR CRITERIOS
OPERACIÓN DEL
PRODUCTO
Facilidad de
uso
Facilidad de Operación: Atributos del software que determinan la facilidad de operación del software.
Facilidad de comunicación: Atributos del software que proporcionan entrada y salida fácilmente asimilables.
Facilidad de Aprendizaje: Atributos del software que facilitan la familiarización inicial del usuario con el software y la transición del modo actual de operación.
Formación: el grado en que el software ayuda para permitir que nuevos usuarios apliquen en el sistema.
Integridad
Control de accesos: Atributos del software que proporcionan control de acceso al software y los datos que maneja
Facilidad de auditoría: Atributos del software que facilitan la auditoría de los accesos del software. Seguridad: la seguridad del mecanismo que controlen y protejan los programas y los datos.
Corrección
Completitud: Atributos del software para la implementación de todas las funciones requeridas. Consistencia: Atributos del software que proporcionan uniformidad de las técnicas y notaciones de
diseño e implementación.
22
Trazabilidad o rastreabilidad: Atributos del software que proporcionan una traza desde los requerimientos a la implementación con respecto a un entorno operativo concreto.
Fiabilidad
Precisión: Atributos del software que proporcionan el grado de precisión requerido en los cálculos y los resultados.
Consistencia. Tolerancia a fallos: Atributos del software que posibilitan la continuidad del funcionamiento bajo
condiciones no usuales Modularidad: Atributos del software que proporcionan una estructura de módulos altamente
independientes. Simplicidad: Atributos del software que posibilitan la implementación de funciones de la forma más
comprensible posible. Exactitud: La precisión de los cálculos y del control
Eficiencia
Eficiencia en ejecución: Atributos del software que minimizan el tiempo de procesamiento. Eficiencia en almacenamiento: Atributos del software que minimizan el espacio de almacenamiento
necesario.
REVISIÓN DEL
PRODUCTO
Facilidad de
mantenimiento
Modularidad. Simplicidad Consistencia. Concisión: Atributos del software que posibilitan la implementación de una función con la menos
cantidad de códigos posible. Auto descripción: Atributos del software que proporcionan explicaciones sobre la implementación de
las funciones.
Facilidad de prueba
Modularidad Simplicidad Auto descripción Instrumentación: Atributos del software que posibilitan la observación del comportamiento del
software durante su ejecución para ejecutar las mediciones del uso o la identificación de errores.
Flexibilidad Auto descripción Capacidad de expansión: Atributos del software que posibilitan la expansión del software en cuanto
a capacidades funcionales y datos. Generalidad: Atributos del software que proporcionan amplitud a las funciones implementadas. Modularidad.
Reusabilidad
Auto descripción Generalidad Modularidad Independencia entre sistema y software: Atributos del software que determinan su dependencia del
entorno operativo Independencia del Hardware: Atributos del software que determinan su dependencia del hardware
Interoperabilidad
Modularidad Compatibilidad de comunicaciones: Atributos del software que posibilitan el uso de protocolos de
comunicaciones interfaces estándar. Compatibilidad de datos: Atributos del software que posibilitan el uso de representaciones de datos
estándar. Estandarización en los datos: el uso de estructuras de datos y de tipos estándar a lo largo de todo
el programa.
Portabilidad Auto descripción Modularidad Independencia entre sistema y software Independencia del hardware
Fuente: [15] Elaborado por: Autoras, 2015
Cada factor determinante de la calidad se descompone en una serie de criterios o propiedades que
determinan su calidad. Los criterios pueden ser evaluados mediante un conjunto de métricas. Para
cada criterio deben fijarse unos valores máximo y mínimo aceptables para cada criterio.
En adaptaciones y mejoras posteriores del modelo se han agrupado los factores en dos grupos:
Factores de calidad Externos que comprende:
Integridad
Fiabilidad
Usabilidad
Corrección
Eficiencia
Interoperabilidad
Factores de calidad Internos que incluye:
23
Mantenibilidad
Testeabilidad
Flexibilidad
Reusabilidad
Portabilidad
Las métricas y factores de calidad que se aplican en el modelo propuesto por McCall se presentan
en la tabla N°5 a continuación para mayor ilustración y detalle:
Tabla 5: Métricas aplicables a los diferentes factores de calidad propuestos por McCall
FACTOR
MÉTRICAS
CO
RR
EC
CIÓ
N
FIA
BIL
IDA
D
EF
IIE
NC
IA
INT
EG
RID
AD
MA
NT
EN
IMIE
NT
O
FLE
XIB
ILID
AD
CA
PC
IDA
D D
E
PR
UE
BA
S
PO
RT
AB
ILID
AD
RE
US
AB
ILID
AD
INT
ER
OP
ER
AT
IVI D
AD
US
AB
ILID
AD
FACILIDAD DE AUDITORÍA X X
EXACTITUD X
ESTAND. DE COMUNICACIONES X
COMPLECIÓN X
COMPLEJIDAD X X X
CONSICIÓN X X X
CONSISTENCIA X X X X
ESTANDARIZACIÓN DE DATOS X
TOLERANCIA A ERRORES X
EFICIENCIA DE EJECUCIÓN X
CAPACIDAD DE EXPANSIÓN X
GENERALIDAD X X X X
INDEPENDENCIA DEL HARDWARE X X
INSTRUMENTACIÓN X X X
MODULARIDAD X X X X X X X
OPERATIVIDAD X X
SEGURIDAD X
AUTODOCUMENTACIÓN X X X X X
SIMPLICIDAD X X X X
INDEPENDENCIA DEL SISTEMA X X
TRAZABILIDAD X
FACILIDAD DE FORMACIÓN X
Fuente: [16] Elaborado por: Autoras, 2015
1.2.2. Modelo de BOEHM
Es el segundo modelo más conocido. El modelo de Boehm quien describe el modelo con el
siguiente concepto:“El modelo de desarrollo en espiral es un generador del modelo de proceso
guiado por el riesgo que se emplea para conducir sistemas intensivos de ingeniería de software
concurrente y a la vez con muchos usuarios” [17].
El modelo de Boehm presenta un diseño en espiral, por lo que gráficamente se representa su
proceso en la figura N°4, que se expone a continuación:
24
Figura 4: Representación gráfica del modelo de Boehm Fuente: Tratado de Boehm expuesto en 1988 Elaborado por: Autoras, 2015
Boehm introduce tres tipos de características: de alto nivel, de nivel intermedio y primitivo; cada
una de ellas contribuye al nivel general de la calidad.
Características de alto nivel
Representan los requisitos básicos de utilización real de la evaluación dela calidad. Las
características de alto nivel son:
Utilidad.
Mantenimiento.
Movilidad.
Características de nivel intermedio
La característica de nivel intermedio representa siete factores de calidad Boehm que en conjunto
representan las cualidades a esperar de un software:
Portabilidad
Fiabilidad
Eficiencia
Usabilidad
25
Capacidad de prueba
Comprensibilidad
Flexibilidad.
Características primitivas
Las características primitivas proporcionan la base para la definición de métricas de calidad. Al ser
un modelo de Ciclo de Vida orientado a la gestión de riesgo se dice que uno de los aspectos
fundamentales de su éxito radica en que el equipo que lo aplique tenga la necesaria experiencia y
habilidad para detectar y catalogar correctamente los riesgos.[17]. Para cada ciclo habrá cuatro
actividades específicas, las mismas que se evidencian en la figura N°5 que se ilustra a
continuación:
Figura 5: Actividades de los ciclos de vida del modelo de Boehm Fuente: [17] Elaborado por: Autoras, 2015
En resumen, desde este modelo se considera que un software de buena calidad debe hacer lo que
el usuario quiere que haga, utilizar recursos de la computadora eficientemente, ser fácil de
aprender y de usar para los usuarios habituales; estar bien diseñado, bien codificado, puede ser
probado, y mantenido fácilmente. La estructura jerárquica de los constructores de calidad de
Boehm se refleja en la siguiente figura N°6 para mayor comprensión:
Figura 6: Jerarquía de Constructores de calidad en el modelo de Boehm Fuente: Ingeniería de Requerimientos – Especificación de requerimientos, Álvaro Ortas 2007 Elaborado por: Autoras, 2015
M
E
T
R
I
C
A
S
Portabilidad
Usabilidad
Confiabilidad
Eficiencia
Chequeabilidad
Comprensibilidad
Modificabilidad
Independencia
Completitud
Consistencia
Exactitud
Eficiencia
Accesibilidad
Comunicatividad
Estructuración
Autodescriptividad
Concisión
Legibilidad
Expansividad
Constructores Intermedios Constructores Primitivos
Utilidad General
Utilidad Percibida
Mantenibilidad
General
Constructores Primarios
26
1.2.3. Modelo de FURPS+
FURPS es un modelo de calidad establecido por Robert Grady y Heweltt Packard. Fue
desarrollado en 1987 tomando como base el modelo de McCall; establece cinco características
como factores de calidad que son los que le dan nombre:
Funcionalidad
Usabilidad
Confiabilidad
Prestación
Soporte
Se divide en dos grupos de Requerimientos:
Requerimientos funcionales (F): puede incluir
Características de sistemas.
Capacidades.
Seguridad
Requerimientos no funcionales (URPS)incluye:
Usabilidad
Confiabilidad
Prestación, y
Soporte.
FURPS además establece los atributos que se deben considerar en los requerimientos no
funcionales, dichos atributos se presentan en la tabla N°6 a continuación:
Tabla 6. Atributos de los requerimientos No Funcionales (URPS)
USABILIDAD CONFIABILIDAD PRESTACIÓN SOPORTE
a. Factores humanos.
b. Estética.
c. Consistencia.
d. Documentación.
e. Recuperabilidad.
f. Precisión.
g. Predicción.
h. Velocidad.
i. Eficiencia.
j. Disponibilidad
k. Consumo.
l. Productividad.
m. Tiempo de respuesta.
n. Tiempo de recuperación.
o. Utilización de recursos.
p. Adaptabilidad.
q. Extensibilidad.
r. Mantenibilidad.
s. Compatibilidad.
t. Configurabilidad.
Fuente: Autoras, 2014 Elaborado por: Autoras, 2015
El desarrollo incluye además requerimientos adicionales que son restricciones, las cuales
contienen cuatro tipos, los mismos que se describen a continuación:
Restricciones de diseño: Limitan las posibilidades para diseñar un sistema.
Restricciones de implementación: Se refieren a las reglas para la programación, como la
utilización especifica de un lenguaje, o apegarse a ciertos estándares.
Restricciones de interface: Indican elementos externos con los que el sistema debe
interactuar.
Restricciones físicas: Se refieren a indicaciones para el hardware.
27
La siguiente tabla N°7 presenta los requerimientos adicionales que especifica FURPS en su
modelo de calidad:
Tabla 7: Requerimientos FURPS+
Fuente: Adaptado de Craig Larman[18] Elaborado por: Autoras, 2015
1.2.4. Modelo de DROMEY
El modelo de DROMEY se propuso como un “framework” para utilizarlo en la aplicación de criterios
de calidad tanto en la verificación como para la validación del software y además durante su
desarrollo, además se enfoca en su uso como ayuda para dirigir el desarrollo del producto de
software1[19].
Este modelo describe la idea de relacionar atributos del producto con atributos de calidad para su
evaluación. De esta forma, a diferencia del modelo de McCall, [19] considera que la calidad se
construye de abajo hacia arriba, desde las propiedades tangibles de bajo nivel hacia los atributos
de calidad de alto nivel.
Dromey sugiere además en su modelo cuatro categorías que implican propiedades de calidad, que
son: Correctitud, Internas, Contextuales y Descriptivas, las mismas que se exponen en la siguiente
tabla N°8 especificando los atributos de calidad que conforman cada una.
Tabla 8: Propiedad y Atributos de Calidad del Modelo de Dromey
Fuente: Dromey, 1996 Elaborado por: Autoras, 2015
1 Dromey propone el uso de diferentes modelos de calidad para cada etapa de desarrollo del software.
SIGLA TIPO DE
REQUERIMIENTO DESCRIPCIÓN
F FUNCIONAL Características, capacidades y algunos aspectos de seguridad.
U FACILIDAD DE USO Factores humanos (interacción), ayuda, documentación.
R FIABILIDAD Frecuencia de fallos, capacidad de recuperación de un fallo y grado de previsión.
P RENDIMIENTO Tiempos de respuesta, productividad, precisión, disponibilidad, uso de los recursos.
S SOPORTE Adaptabilidad, facilidad de mantenimiento, internalización, facilidad de configuración
+
PLUS
IMPLEMENTACIÓN Limitación de recursos, lenguajes y herramientas, hardware.
INTERFAZ Restricciones impuestas para la interacción con sistemas externos (no es GUI)
OPERACIONES Gestión de sistema, pautas administrativas, puesta en marcha.
EMPAQUETAMIENTO Forma de distribución
LEGALES Licencia, derechos de autor, etc.
PROPIEDADES DEL PRODUCTO ATRIBUTOS DE CALIDAD
CORRECTITUD
Funcionalidad Confiabilidad
INTERNAS
Mantenibilidad Eficiencia Confiabilidad
CONTEXTUALES
Mantenibilidad Reusabilidad Portabilidad Confiabilidad
DESCRIPTIVAS
Mantenibilidad Reusabilidad Portabilidad Usabilidad
28
Los atributos de calidad de alto nivel del modelo de Dromey se indican en la figura N°7 para mayor
ilustración:
Figura 7: Organización Jerárquica de las Relaciones de los Elementos del Modelo de Dromey Fuente: [20]
Elaborado por: Autoras, 2015
Los elementos del modelo de Dromey interactúan en una organización de jerarquías en las cuales
se describen las propiedades del producto y los atributos de cada propiedad, en la figura N°7 se
refleja dicha estructura:
Figura 8: Organización Jerárquica de las Propiedades y Atributos del Modelo de Dromey Fuente:[21] Elaborado por: Autoras, 2015
1.3. Estándares de calidad
La calidad se ha convertido actualmente a nivel holístico en una necesidad obligada si se desea
permanecer en el mercado; es por ello que existen normas y estándares para medir y gestionar la
calidad de un producto o servicio, de ahí la importancia de aplicar estándares de calidad en la
creación o supervisión de software.
Según [22] los estándares son los que regulan los niveles mínimo y máximo deseados, o
aceptables de calidad que debe tener el resultado de una acción, una actividad, un programa, o un
servicio. En otras palabras, el estándar es la norma técnica que se utilizará como parámetro de
evaluación de la calidad.
1.3.1. Normas ISO 9000
La serie de Normas ISO 9000 (Organización Internacional de Normalización) son un conjunto de
enunciados, los cuales detallan qué elementos deben integrar el Sistema de Gestión de la Calidad
COMPONENTE
COMPONENTE
PROPIEDAD DE
CALIDAD TANGIBLE
PROPIEDAD DE
CALIDAD TANGIBLE
Modelo del producto
ATRIBUTOS DE
CALIDAD DE ALTO
NIVEL
CUALIDADES/ATRIBUTOS
PROPIEDADES
DEL PRODUCTO
IMPLEMENTACIÓN
INTERNAS CORRECTITUD CONTEXTUALES DESCRIPTIVA
S
FUNCIONALIDAD
CONFIABILIDAD
MANTENIBILIDAD
EFICIENCIA
CONFIABILIDAD
MANTENIBILIDAD
REUSABILIDAD
PORTABILIDAD
CONFIABILIDAD
MANTENIBILIDAD
REUSABILIDAD
PORTABILIDAD
USABILIDAD
SOFTWARE /PRODUCTO
29
de una Organización y cómo deben funcionar en conjunto estos elementos para asegurar la
calidad de los bienes y servicios que produce la Organización.
Por ello los sistemas de gestión de la calidad basados en las normas ISO 9000, que reflejan la
aprobación internacional, han cobrado gran popularidad y muchas organizaciones han decidido
implantarlas.
La familia de Normas ISO 9000 citadas a continuación se ha elaborado para asistir a las
organizaciones de todo tipo y tamaño, en la implementación y la operación de sistemas de gestión
de calidad eficaces:
ISO 9000: Sistemas de Gestión de la Calidad − Fundamentos y Vocabulario. En ella se
define la terminología, además se describe los lineamientos generales para los Sistemas
de Gestión de la Calidad.
ISO 9001: Sistemas de Gestión de la Calidad − Requisitos. Establece los requisitos
mínimos que debe cumplir un Sistema de Gestión de la Calidad. Puede utilizarse para su
aplicación interna, para certificación o para fines contractuales.
ISO 9004: Sistemas de Gestión de la Calidad −Directrices para la Mejora del desempeño.
Proporciona orientación para ir más allá de los requisitos de la ISO 9001, persiguiendo la
Mejora Continua del Sistema de Gestión de la Calidad.
La ISO 9001 del 2000 utiliza un enfoque orientado a Procesos. Un Proceso es un conjunto
de actividades que utiliza recursos humanos, materiales y procedimientos para transformar
lo que entra al proceso en un producto de salida.
La Norma ISO 19011 proporciona orientación relativa a las auditorías de sistemas de
gestión de la calidad y de gestión ambiental.
Todas estas normas juntas forman un conjunto coherente de normas de sistemas de gestión de la
calidad que facilitan la comprensión mutua en el comercio nacional e internacional.
Principios de Gestión de la Calidad:
Para operar una organización en forma exitosa se requiere que ésta se dirija y controle en forma
constante y transparente. Se puede alcanzar el éxito implementando y manteniendo un sistema de
gestión que esté diseñado para mejorar constantemente su desempeño, considerando las
necesidades de todas las partes interesadas. Se identifican ocho principios de gestión de la
calidad que sirven para conducir la organización a un desempeño más eficiente, a continuación se
las describe:
a. Enfoque al cliente: Satisfacer los requisitos del cliente, en medida de las posibilidades
procurar exceder las expectativas de los mismos.
b. Liderazgo: Los líderes deben crear y mantener un ambiente interno adecuado, en el cual
el personal inmerso pueda involucrarse completamente en el logro de los objetivos
propuesto en la organización.
30
c. Participación del personal: El personal en toda organización y en todos los niveles es el
activo más importante, y el compromiso de cada uno posibilita que sus habilidades sean
usadas para el beneficio de la organización.
d. Enfoque basado en procesos: Para alcanzar un resultado deseado, es fundamental
gestionar las actividades y los recursos relacionados como un proceso.
e. Enfoque de sistema para la gestión: Identificar y gestionar los procesos interrelacionados
como un sistema, contribuye a la eficacia de una organización en el logro de sus objetivos.
f. Mejora continua: La mejora continua del desempeño global de la organización debería ser
un objetivo permanente de ésta.
g. Enfoque basado en hechos para la toma de decisión: Toda decisión acertada debe
basarse en un análisis completo de los datos y la información existente.
h. Relaciones mutuamente beneficiosas con el proveedor: Una organización y sus
proveedores son interdependientes, y una relación mutuamente beneficiosa aumenta la
capacidad de ambos para crear valor.
1.3.2. ISO/ IEC 91262
De acuerdo a lo que indica [23] “Es un estándar internacional para evaluar la calidad del software.
Es supervisado por el proyecto SquaRE3y la ISO 25000:2005, el cual sigue los mismos conceptos,
la norma aún sigue en revisión constante”. El estándar está dividido en cuatro partes[23] las cuales
dirigen lo siguiente:
Realidad,
Métricas externas,
Métricas internas y
Calidad en las métricas de uso y expendido.
El ISO/IEC 9126 se deriva del modelo establecido por[15]y sus colegas, los cuales propusieron un
modelo para especificar la calidad del software. El modelo indica que cualquier componente de la
calidad del software puede ser descrito en términos de uno o más de seis características básicas
las cuales son especificadas en la tabla N°9 que se presenta a continuación:
Tabla 9: Características y subcaracterísticas de calidad. Modelo ISO/IEC-9126 CARACTERÍSTICAS PREGUNTA CENTRAL
Funcionalidad
Adecuación Exactitud Interoperabilidad Seguridad
Confiabilidad
Madurez Tolerancia a fallas Recuperabilidad
Usabilidad
Entendibilidad Capacidad de aprendizaje Operabilidad
Eficiencia
Comportamiento en tiempo Comportamiento de recursos
2La parte primera, Modelo de Calidad es un estándar aprobado y publicado siendo el resto de partes de la norma informes que se encuentran en la fase denominada Technical Report (TR).
3 Ingeniería de Requisitos de Calidad de Seguridad o Security Quality Requirements Engineering.
31
Mantenibilidad
Analizabilidad Modificabilidad Estabilidad Capacidad de pruebas
Portabilidad
Adaptabilidad Instalabilidad Reemplazabilidad
Fuente: [24] Elaborado por: Autoras, 2015
ISO 9126 provee tres conjuntos de métricas, para medir respectivamente las características
externas (en ISO 9126-2), las internas (en ISO 9126-3), y las de uso (en ISO 9126-4).[25].
Características propuestas por ISO/ IEC -9126
De acuerdo al documento de [22] el modelo ISO/ IEC -9126establece diez características, seis que
son comunes a la vista interna y externa y cuatro que son propias de la vista en uso.
Las características que definen la vista interna y externa del modelo, se muestran en la siguiente
figura N°9:
Figura 9: Características de la Calidad según la ISO/IEC - 9126 Fuente: Portal ISO 25000 Elaborado por: Autoras, 2015
Funcionalidad: capacidad del software de proveer los servicios necesarios para cumplir con
los requisitos funcionales.
Fiabilidad: capacidad del software de mantener las prestaciones requeridas del sistema,
durante un tiempo establecido y bajo un conjunto de condiciones definidas.
Usabilidad: esfuerzo requerido por el usuario para utilizar el producto satisfactoriamente.
Calidad Interna/Externa
Funcionalidad
Fiablilidad
"Usabilidad"
Eficiencia
"Mantenibilidad"
"Portabilidad"
Idoneida
d
Precisión
Interoperabilidad
Tolerancia a fallos
Cumplimiento de la
funcionalidad
Madurez
Interoperabilidad
Capacidad de recuperación
Cumplimiento de la fiabilidad
Inteligibilidad
Facilidad de aprendizaje
“Operabilidad”
Atractividad
Cumplimiento de la usabilidad
Cumplimiento de la eficiencia
Utilización de recursos
Comportamiento en el tiempo
Cumplimiento de mantenibilidad
Capacidad de ser probado
Estabilidad
“cambiabilidad”
Anazabilidad
Cumplimiento de
portabilidad
Intercambiabilidad
Coexistencia
Facilidad de instalación
Adaptabilidad
32
Eficiencia: relación entre las prestaciones del software y los requisitos necesarios para su
utilización.
Mantenibilidad: esfuerzo necesario para adaptarse a las nuevas especificaciones y
requisitos del software.
Portabilidad: capacidad del software ser transferido de un entorno a otro.
Mientras que las características propias de la vista en uso, se muestran a continuación en la figura
N°10 para mayor ilustración y comprensión:
Figura 10: Características de la vista en uso, según la ISO/IEC - 9126 Fuente: ISO/IEC 9126 Elaborado por: Autoras, 2015
Efectividad, capacidad del software de facilitar al usuario alcanzar objetivos con precisión y
completitud.
Productividad, capacidad del software de permitir a los usuarios gastar la cantidad
apropiada de recursos en relación a la efectividad obtenida.
Seguridad, capacidad del software para cumplir con los niveles de riesgo permitidos tanto
para posibles daños físicos como para posibles riesgos de datos.
Satisfacción, capacidad del software de cumplir con las expectativas de los usuarios en un
contexto determinado.
ISO 9126 distingue entre fallo y no conformidad. Un fallo es el incumplimiento de los requisitos
previos, mientras que la no conformidad es el incumplimiento de los requisitos especificados. Una
distinción similar es la que se establece entre validación y verificación.
1.3.3. ISO 27000
Partiendo del fundamento de que el estándar ISO/IEC 27001 indica qué requisitos deben
conformar un SGSI (sistema de gestión de seguridad de la información) pero no cómo cumplirlos,
algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar
mejores prácticas en aspectos o incluso cláusulas concretas de la norma ISO/IEC 27001 de modo
que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantación.
VISTA EN USO
EFECTIVIDADPRODUCTIVIDAD
SEGURIDADSATISFACCION
33
Evolución de ISO 27000
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con
27799 finalizando la serie formalmente en estos momentos.
La serie de normas de referencia y su estado de aprobación de Ediciones a lo largo del tiempo se
indican en la figura siguiente (figura N°11):
Figura 11: Evolución de la norma ISO 27000 Fuente: www.iso27000.es Elaborado por: Autoras, 2015
Para el propósito de este trabajo se toman como enfoque de análisis de la serie ISO 27000, las
normas ISO 27001 e ISO 27002.
ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO e IEC, que proporcionan un
marco de gestión para la seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña. La mayoría de estos estándares se encuentran en
preparación. Dentro de los más importantes de esta serie están4: ISO 27000, ISO 27001, ISO
27002, ISO 27003, ISO 27004, ISO 27005, ISO 27006.
Norma ISO 27001
Tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización
británica, la British Standards Institution (BSI). Sustituye a la BS 7799-2, habiéndose establecido
unas condiciones de transición para aquellas empresas certificadas en esta última. Esta norma
abarca todos los tipos de organizaciones ya sean empresas comerciales, entes del gobierno u
organizaciones sin fines de lucro y ha sido preparada con el fin de proporcionar a estas
4 ISO 27000 Directory. An Introduction to ISO 27000. [En línea] ISO 27000, 2009. [Citado el: 29 de 05 de 2012.] http://www.27000.org/.
27001 (Ed 1)
2005
27006 (Ed 1)
27002 Ed. 17799 2005
2007
2799 (Ed 1) 27005 (Ed 1) 27011(Ed 1)
2008
2700 (Ed 1) 27004 (Ed 1) 27033.1(Ed)
27003 (Ed 1) 27033-3 (Ed 1)
27031 (Ed 1) 27005 (Ed 2) 27035(Ed 1) 27008(Ed 1) 27007(Ed 1) 27006(Ed 2)
27933-2 (Ed 1) 27037 (Ed 1) 27013(Ed 1) 27010(Ed 1) 27015(Ed 1)
27014 27018 27017 27018 27019
27036 27038 27039
27033-4 27033-5
27040-44
2009
2010
2011
2012
2013
2014
34
organizaciones un modelo para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el sistema de seguridad de la Información5
Norma ISO 27002
Un estándar para la seguridad de la información publicado por primera vez como ISO/IEC
17799:2000 y renombrado sin modificar su contenido en 2007 a ISO/IEC 27002:2005. Tiene su
origen en el British Standard BS 7799-1 que fue desarrollado y publicado por el BSI. Esta norma es
una guía de buenas prácticas de seguridad de la información, contiene los objetivos de control y
controles recomendables para seguridad de la información6
Este estándar está compuesto por 39 objetivos de control y 133 controles, agrupados en 11
dominios o cláusulas de control de seguridad.
Cláusulas de control de seguridad
Cada cláusula contiene un número de categorías de seguridad principales. Cada categoría está
compuesta de un objetivo de control que establece lo que se debería lograr y uno o controles que
se pueden aplicar para lograr el objetivo de control.
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de Activos
Seguridad de Recursos Humanos
Seguridad Física y Ambiental
Gestión de Comunicaciones y Operaciones
Control de Acceso
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Gestión de Incidentes de Seguridad de la Información
Gestión de la Continuidad Comercial
Cumplimiento
1.3.4. ISO/IEC 12207
ISO/IEC 12207 Procesos del Ciclo de Vida del Software, es una norma que provee una serie de
objetivos de control para la gestión de los proyectos de desarrollo de software. Para un
desempeño ideal de las áreas de desarrollo de sistemas de información. La norma surge a
principios de la década de los noventa, como un estándar internacional, su principal motivación fue
establecer un marco de trabajo común a la ingeniería del Software, y permitir su aplicabilidad a la
Ingeniería y a la gestión.
Los Grupos de Procesos incluidos en la norma NTP-ISO/IEC 12207:2006, son descritos en la
norma pero la misma no especifica cómo implementarlos, a continuación se realiza una
descripción de los procesos[26]:
5 ISO/IEC. International Standard 27001. Switzerland: ISO copyright office, 2005. ISO/IEC 27001:2005(E). p.5 6 ISO/IEC. International Standard 17799. Switzerland: ISO copyright office, 2005. ISO/IEC 17799:2005.p.vii
35
PROCESOS PRINCIPALES
Este grupo de procesos incluye:
Adquisición y Suministro
Desarrollo y Operación
Mantenimiento.
PROCESOS DE APOYO
Este grupo de procesos incluye:
Documentación y Gestión de la Configuración
Aseguramiento de la Calidad y Verificación
Validación y Revisión Conjunta
Auditoría y Solución de Problemas.
PROCESOS ORGANIZATIVOS
Este grupo de procesos incluye:
Infraestructura y Mejora de procesos
Recursos Humanos.
1.3.5. Estándar Capability Maturity Model (CMM)
El SEI (Software Enginering Institute) desarrolló el CMM Capability Maturity Model, el cual permite
identificar el estado de madurez de la gestión de los procesos de desarrollo de software. En la
práctica, este modelo no ha sido empleado solamente a procesos de software, sino también a los
procesos de gestión organizacionales en general, y a los procesos de gestión de proyectos en
particular. El CMM es el estándar de calidad exigido en el mundo desarrollado para las empresas
de desarrollo de software. Paulk et al. (1993) indicaron los niveles de madurez y las claves
prácticas del CMM las mismas que se ven reflejadas en la figura N°12:
Figura 12: Claves Prácticas del CMM Fuente: Paulk et al. (1993). Elaborado por: Autoras, 2015
1.3.6. Estándar MOPROSOFT (NMX-I-059/02-NYCE-2011)
MoProsoft es un modelo mexicano basado en una combinación de estándares, se originó debido a
la necesidad de cumplir con la estrategia número 6 del Programa para el Desarrollo de la Industria
Initial (1)
Repeatable (2)
Defined (3)
Managed(4)Optimizing(5)
Diciplined
process
Estándar
consistent
process
Predictable
process
Continuously improving
process
36
del Software (Prosoft) y está enfocada a “alcanzar niveles internacionales de capacidad de
procesos” por parte de las pequeñas y medianas empresas mexicanas desarrolladoras de
software.
La creación de este estándar no fue casual, con esto se logró dar legitimidad y certeza jurídica al
modelo de evaluación de madurez de la capacidad de procesos, para así elevarlo a la categoría de
norma, hoy estándar MoProsoft.
Existen puntos clave que son de beneficio para los usuarios de las organizaciones dedicadas al
desarrollo y mantenimiento de software como son:
Certidumbre, ya que las empresas verificadas deben llevar a cabo sus actividades con
prácticas validadas por las normas mexicanas.
Calidad, porque al llevar a cabo buenas prácticas de desarrollo y mantenimiento de
software los resultados son medibles.
Capacidad, ya que los procesos con los que se desarrolla o mantiene el software son
repetibles.
Características:
Cubre todos los ámbitos de una organización.
Está orientado a facilitar y ayudar a empresas desarrolladoras y que den mantenimiento al
software.
Facilita el cumplimiento de los requisitos de otros modelos como ISO 9000:2000, CMM y
CMMI
Se enfoca a procesos.
Se le considera práctico en su aplicación, principalmente en organizaciones pequeñas, con
bajos niveles de madurez.
Es sencillo de entender, adoptar e implantar.
Tiene un bajo costo, tanto para su adopción como para su evaluación.
Mejora los procesos, para contribuir a los objetivos de negocio y no simplemente se un
marco de referencia o certificación.
37
CAPITULO II:
COBIT 5- MARCO DE TRABAJO
38
2.1. ¿Qué es COBIT?
Conforme a los criterios expuestos por varios expertos, es rescatable considerar una definición
emitida por [27]“Se puede decir que COBIT es un modelo que nos permite evaluar o auditar la
gestión y control de los sistemas de Información y tecnología”. En el año de 1995COBIT tuvo sus
inicios como un proyecto y fue promovido por algunos expertos de diferentes países, su desarrollo
lo hizo un grupo que fue conformado y denominado ISACA “Information, Systems Audit and
Control Association” (Asociación para la auditoría y control de los sistemas de información).
Por lo tanto, el objetivo principal de COBIT es el desarrollo de políticas claras y de buenas
prácticas para la seguridad y el control de la tecnología de la Información, esto fue con la finalidad
de obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo. El propósito de COBIT es desarrollar estos objetivos de control
principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa.
2.1.1. Evolución de COBIT.
La evolución de COBIT en su primera edición se pudo definir el uso de los estándares
internacionales, pautas y la investigación, permitiendo el desarrollo de los objetivos de control, las
pautas de la intervención se desarrollaron conforme el paso del tiempo para así poder determinar
si los objetivos del control están siendo ejecutados apropiadamente. A continuación se refleja en la
figura N°13 la evolución de COBIT:
Figura 13: Evolución de COBIT Fuente: Álvaro G. Jaikel, CISA, CISM, CRISC, CGEIT, Junio/2013 Elaborado por: Autoras, 2015
Según lo manifiestan [28] en su investigación la primera y segunda edición de COBIT fueron
incluidos la colección y el análisis de fuentes internacionales identificadas asignando a los
investigadores con la que la compilación, revisión, gravamen e incorporación apropiada de los
estándares técnicos internacionales, códigos de la conducta, estándares de calidad, estándares
AUDITORÍA
COBIT 1
CONTROL
GESTIÓN
GOBIERNO TI
MARCO GOBIERNO TI
COBIT2 COBIT3 COBIT 4.0/4.1 COBIT5
VAL IT 2.0
(2008)
RISK IT (2009)
A M B I
T O
D E
E V O L U C
I Ó N
1996 1998 2000 2005/7 2012
39
profesionales en la revisión, y las prácticas y los requisitos de la industria, como se relacionan con
el marco y con los objetivos del control individual.
Así mismo los investigadores se sintieron desafiados y examinaron cada dominio hacer procesado,
profundizándose en la colección y el análisis en los objetivos del control aplicados en el proceso,
para luego poder sugerir ya sean nuevos o modificaciones en los mismos, todo esto fue una
consolidación realizada por el Comité de Dirección de COBIT.
[27]Argumenta en su investigación que la primera edición de COBIT, fue publicada en 1996 y fue
vendida en 98 países de todo el mundo.
La segunda edición es publicada en Abril de 1998, desarrollada y mejorada a lo que poseía la
anterior mediante la incorporación de un mayor número de documentos de referencia
fundamentales, nuevos y revisados en forma detallada, objetivos de control de alto nivel,
intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de
implementación.
En el año 2001 se publicó la tercera edición de COBIT, el cual consiste en el desarrollo de las
pautas de la gerencia y actualizar la segunda edición de COBIT basándose en nuevas y revisadas
referencias internacionales. Además, el marco de COBIT fue revisado y realzado para apoyar, el
aumento de control de la gerencia, introduciéndose en la gerencia de funcionamiento.
En su evolución provee a la gerencia un uso del marco, permitiendo que se puede determinar y
hacer que las opciones sean desarrolladas con las mejoras del control sobre su información con la
tecnología relacionada, así mismo el funcionamiento de la medida, las pautas de la gerencia
incluyen modelos de madurez, factores críticos del éxito, los indicadores dominantes de la menta y
del funcionamiento relacionados con los objetivos del control.
Según Magda Mejía [29]La garantía de calidad de los objetivos iniciales fue conducida por el
Comité de Dirección de COBIT y los resultados fueron fijados para la exposición en la página web
de ISACA.
El documento de las pautas de la gerencia ofreció un nuevo sistema de gerencia orientado a
herramientas, mientras que proveía de la integración y de la consistencia al marco COBIT.
La actualización a los objetivos del control en la edición de COBIT 3, se basa en nuevas y
revisadas referencias internacionales, fue conducida por los miembros de ISACA, bajo la dirección
de los miembros del Comité de Dirección de COBIT.
La intención no era realizar un análisis global de todo el material o de una reconstrucción de los
objetivos del control, sino proporcionar un proceso incremental de la actualización.
40
En el marco de COBIT se utilizó los resultados del desarrollo de las pautas de la gerencia,
especialmente las consideraciones, las metas y las declaraciones del activador delos objetivos de
alto nivel del control.
Según [29]COBIT 4.0 fue publicado en diciembre del año 2005, fue la primera actualización del
contenido de COBIT ya que la tercera edición fue liberada en el año 2001. La última edición fue
emitida en el 2007, y se denomina COBIT 4.1.
De acuerdo a [27]COBIT 4.1 hace énfasis en el cumplimiento reglamentario, ayudando a las
organizaciones a incrementar el valor de TI, destacando los vínculos entre los objetivos del
negocio y TI, simplificando la implementación del marco de trabajo COBIT.
Este marco de trabajo es la base para diferentes entes reguladores a nivel mundial, con la finalidad
de lograr que las entidades reguladas optimicen sus inversiones de TI y administren
adecuadamente sus riesgos tecnológicos.
Según Franco [30] COBIT 5 es la evolución de la familia de COBIT, beneficiándose de las
versiones anteriores y las prácticas actuales, por ello el 9 de abril de 2012 fue publicado
oficialmente por ISACA el marco de referencia, el cual posee algunos cambios en cuanto a
cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011.
El estudio que realiza[31] define que COBIT 5 ayuda a las Organizaciones a crear un valor óptimo
a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los
niveles de riesgo y utilización de los recursos.
COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren
de una manera holística a nivel de toda la Organización, incluyendo:
El alcance completo de todas las áreas de responsabilidad funcionales y, de negocios.
Considerando los intereses relacionados con la TI de las partes interesadas internas y
externas.
COBIT 5 permite desarrollar políticas y prácticas para el control de la tecnología en una
organización.
2.1.2. Marco de Trabajo Completo de COBIT 5.
El marco de trabajo de COBIT ayuda a las empresas a crear, obtener un valor óptimo de la TI,
manteniendo un balance entre:
Beneficios
Riesgos
Recursos.
41
Obteniendo de esta manera un enfoque global para administrar y gobernar la información, y la
tecnología relacionada en toda la empresa ya que con todo esto nos permite definir realmente las
razones del porqué necesitan el gobierno de TI los interesados y qué se necesita para cumplir con
el gobierno de TI. A continuación se presenta en la figura N°14 el marco de trabajo completo de
COBIT 5.
Figura 14: Marco de trabajo completo del COBIT Fuente: [29] Elaborado por: Autoras, 2015
En el marco de trabajo de COBIT se puede involucrar los recursos de tecnología de información,
los procesos de trabajo y los requerimientos del negocio. A continuación se detalla cada una de las
metas de COBIT 5 en la tabla N°10:
Tabla 10: Metas de COBIT 5
Recursos de Tecnologías de
Información
Datos: los elementos de datos en su más amplio sentido, estructurados, gráficos, sonido, etc. Sistemas de información: se entiende como sistemas de aplicación la suma de procedimientos manuales
y programados. Tecnología: cubre equipos, software, SO, bases de datos, entre otros. Instalaciones.- recursos para alojar y dar soporte a los sistemas de información Recursos Humanos.-habilidades del personal, conocimiento, conciencia, y productividad para planear,
OBJETIVO DEL
NEGOCIO
OBJETIVOS DEL
GOBIERNO
INFORMACIÓN
RECURSOS
MONITOREAR
Y EVALUAR
PLANEAR Y
ORGANIZAR
ENTREGAR Y
DAR SOPORTE
ADQUIRIR E
IMPLANTAR
EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD
APLICACIONES INFORMACIÓN INFRAESTRUCTURA PERSONAS
DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempleo y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones
AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el software aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
ME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio ME4 Proporcionar gobierno de TI
PO1 Definir el plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relaciones de TI PO5 Administrar la inversión de TI PO6 Comunicar las aplicaciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos
42
organizar adquirir, entregar, soportar, monitorear servicios y sistemas de información[32]
Proceso de Trabajo
Planeación y organización: se define el plan estratégico, la dirección, la organización y la inversión de TI, así logrando la comunicación de los objetivos y políticas de la administración de recursos humanos asegurando el cumplimiento con leyes y reglamentos externos, con la evaluación de riesgos en la administración de proyectos y calidad
Adquisición e implementación: nos permite la identificación de soluciones con la adquisición y mantenimiento de aplicaciones con el desarrollo y mantenimiento de procedimientos de TI, así mismo con la instalación de sistemas y la administración de cambios
Prestación de servicios y soporte: nos permite conocer los niveles de servicio a través de la administración de servicio con terceros con el desempeño y capacidad de continuidad de servicio, seguridad de los sistemas para identificar costos, entrenamientos de usuarios, para asistir e informar a clientes del TI con la administración de la configuración, de problemas e incidencias, de la data, de facilidades y operaciones
Monitoreo o Seguimiento: nos permite realizar un seguimiento a los procesos con una evaluación del control interno con una auditoría interna para proveer independencia a la función de auditoría [32]
Requerimientos del Negocio
Efectividad, se refiere a que la información relevante sea pertinente para el proceso del negocio así como que su entrega sea oportuna, correcta, consistente y de manera utilizable
Eficiencia, se refiere a la provisión de información a través de la utilización óptima de recursos Confidencialidad, es la reserva de la formación más importante para que no sea publicada por personal no
autorizado Integridad, se refiere a que la información debe estar completa, y debe ser la que exactamente se
almacenó. Disponibilidad, se refiere a que la información debe estar lista y disponible cuando el personal autorizado
así lo requerida. Cumplimiento, es referente a dar absoluto cumplimiento a las normas que rigen en la empresa o que se
han diseñado para dicho proyecto. Confiabilidad de información, se refiere a la provisión de información apropiada para la administración
con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. [32]
Fuente: Autoras, 2015 Elaborado por: Autora,2015
2.1.3. Dominios en la utilización de COBIT.
Es importante mencionar que COBIT define las actividades de la tecnología de la información en
un modelo de 34 procesos genéricos pero los agrupa para su desarrollo en cuatro dominios, para
lo cual se detalla a continuación cada uno:
2.1.3.1. Planear y Organizar (PO).
Según [33] este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera
en que TI puede contribuir de la mejor manera al logro de los objetivos de la entidad; además, la
realización de la visión estratégica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una
estructura tecnológica apropiada.
Los procesos de este dominio son:
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11 Administración de Calidad
43
2.1.3.2. Adquirir e implementar (AI).
Según [33] para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos de la entidad.
Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio
para garantizar que las soluciones sigan satisfaciendo los objetivos de la organización.
2.1.3.3. Entregar y dar Soporte (DS).
Según [33] este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la
prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio
a los usuarios, la administración de los datos y de las instalaciones operativas.
2.1.3.4. Monitorear y Evaluar (ME).
Según [33] todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del
desempeño, monitoreo del control interno, cumplimiento regulatorio y la aplicación del gobierno
2.1.4. Beneficios de COBIT 5.
En los beneficios de COBIT 5, según Franco Nelson [34] tal como lo describe ISACA, es un
Framework para alcanzar los objetivos empresariales de Gobernanza y de Administración de la
Información y de todos sus recursos tecnológicos relacionados, con origen en las Necesidades de
los Stakeholders y cobertura de TI de punta a punta, pudiendo ser aplicado en cualquier tipo de
organización, inclusive en aquellas que no poseen fin de lucro y en el sector público.
La aparición de COBIT 5 es consecuencia de buscar la forma más adecuada desde ISACA de
brindar oportuna respuestas a las siguientes necesidades; Consolidar lo mejor de los estándares
de ISACA (COBIT, Val IT, Risk IT, BMIS, ITAF, etc.), haciendo un material más fácil de navegar,
conectar y alinear, de forma clara y consistente ante los Stakeholders, este framework con otros
estándares internacionales relevantes tales como:
ITIL® (Information Technology Infrastructure Library).
PRINCE2 (Projects IN Controlled Environments 2).
DistintasNorma ISO (International Organization of Standards).
Permite proveer lineamientos avanzados en áreas de alto interés, como la arquitectura
empresarial, gestión de activos y servicios, y el gerenciamiento de la innovación en TI[30]. A
continuación se cita algunos beneficios que se puede tener al momento de ser aplicado en la
empresa a la cual se decida según [31]:
Mantener información de calidad para apoyar las decisiones del negocio.
Generar un valor comercial de las inversiones habilitadas por la tecnología de la
información.
44
Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.
Mantener el riesgo con la tecnología de la información a niveles aceptables.
Optimizar el costo de la tecnología y los servicios de tecnología de la información.
Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y
seguridad de TI.
Consolidar y armonizar estándares originados en países desarrollados.
Concientizar a la comunidad sobre importancia de control y la auditoría de tecnologías de
información.
Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI,
como factor crítico de éxito.
Aplica a todo tipo de organizaciones independiente de sus plataformas de tecnologías de
información.
Ratifica la importancia de la información, como uno de los recursos más valiosos de toda
organización exitosa.
Define una estructura de procesos y relaciones para la gobernabilidad de TI en una
organización.
Crea una vista completa, e integrada del gobierno empresarial y gestión de TI.
Provee una vista de punta a punta de todo lo relacionado con TI.
Provee una visión sistémica.
Apoya al cumplimiento de requerimientos regulatorios establecidos internacionalmente.
Crea un lenguaje común entre negocio y TI para el gobierno empresarial y gestión de
Tecnologías de Información.
Crea un lenguaje de negocio para asuntos de TI de tal forma que todos los involucrados lo
pueden entender.
Es consistente con los estándares de gobierno corporativo globalmente aceptados y estos
ayudan a cumplir con requerimientos regulatorios.
Crea un marco de trabajo integrador y una estructura para habilitadores (incluyendo
procesos) que son uniformes a lo largo de la empresa para el uso de negocio y TI.
Incluye un modelo de información.
2.1.5. Principios de COBIT 5.
Los principios de COBIT son de carácter genérico y útil para las empresas de todos los tamaños,
ya sea comercial, sin fines de lucro o en el sector público. La figura N°15 evidencia los cinco
principios de COBIT:
45
Figura 15: Principios de COBIT Fuente: Andrés Pastor; Abril/2012 Elaborado por: Autoras, 2015
A continuación se describen cada uno de los principios de COBIT:
2.1.5.1. Primer Principio: Satisfacer las necesidades de las partes interesadas.
[31]Define que las empresas existen para crear valor para sus accionistas, manteniendo un
equilibrio entre la obtención de beneficios y la optimización del riesgo y el uso de los recursos.
COBIT 5 proporciona todos los procesos necesarios y otros facilitadores para apoyar la creación
de valor del negocio a través del uso de las TI. Debido a que todas las empresas tiene diferentes
objetivos la empresa puede personalizar COBIT 5 para poder adaptar con su propio contexto a
través de la cascada de objetivos convirtiéndolos en alto nivel de la empresa en ser fáciles de usar
siendo específicos y objetivos relacionados con la TI. En la figura N°16 se ilustra el primer principio
de COBIT:
Figura 16: Primer principio de COBIT Fuente: Cobit 5, 2012 ISACA. Elaborado por: Autoras, 2015
2.1.5.2. Segundo Principio.- Cubrir la organización de forma integral.
Integra la gobernanza y la administración de las TI relacionadas desde la perspectiva integral
abarcando todas las funciones y procesos dentro de la empresa; se considera a la gobernanza del
TI relacionados con la gestión de los facilitadores para toda la empresa y de extremo a extremo. El
segundo principio de COBIT se refleja en la figura N°17:
PRINCIPIOS DE COBIT
1.Satisfacer las necesidades de las
partes
2.Cubrir la organiación de forma
integral
3. Aplicar un solo marco integrado4. Habilitar un
enfoque holístico
5.Separar el gobierno de la administración
NECESIDADES DE LAS PARTES INTERESADAS
REALIZACIÓN
DE BENEFICIOS OPTIMIZACIÓN
DE RIESGOS
OPTIMIZACIÓN
DE RECURSOS
CREACIÓN DE VALOR
OBJETIVOS DE GOBIERNO
I
M P U L S A
N
46
Figura 17: Segundo principio de COBIT Fuente: Cobit5, 2012 ISACA Elaborado por: Autoras, 2015
2.1.5.3. Tercer Principio.- Aplicar un solo marco integrado.
Hay muchos estándares y mejores prácticas relacionadas con la TI, cada una proporciona
orientación sobre un subconjunto de las actividades de TI, pero Cobit 5 se alinea con otros
estándares y marcos pertinentes en máximo nivel, por lo tanto puede servir como marco general
para la gobernanza y la gestión de las TI corporativas.
[31]Define que Cobit 5 está alineado con los últimos marcos y normas relevantes usadas por las
organizaciones.
Podemos mencionar que en el corporativo está con los estándares:
COSO (Committe of sponsoring organizations of the Treadway Commission Internal
Control Integrated Framewok 1992),
COSO ERMi(Enterprise Risk Management – Integrated Framework 2004),
ISO/IEC 9000,
ISO/IEC 31000
En los relacionados con TI: ISO/IEC 38500,
ITIL,
La serie ISO/IEC 27000,
TOGAF,
PMBOX/PRINCE2,
CMM.
El marco integrado del tercer principio de COBIT se muestra en la figura N°18:
Realización de beneficios
Optimización de riesgos
Optimización de recursos
OBJETIVOS DEL GOBIERNOS: Creación de valor
Habilitadores de Gobierno Alcance de gobierno
Roles – Actividades - Relaciones
Delegan Ente regulador Fijar directivas Instruir y alinear
Diseño y partes interesadas
Monitorear Rendición Administración Operaciones y ejecución
Informar
47
Figura 18: Tercer principio de COBIT Fuente Cobit 5, 2012 ISACA Elaborado por: Autoras, 2015
2.1.5.4. Cuarto Principio.- Habilitar un enfoque holístico.
Un gobierno eficiente y eficaz, en la gestión de TI de la empresa requiere un enfoque integral,
COBIT5 nos permite definir un conjunto de facilitadores para así apoyar la implementación de una
gestión integral y un sistema de gestión de las TI corporativas. El proceso del cuarto principio de
COBIT se indica en la figura N°19 que se refleja a continuación:
Figura 19: Cuarto Principio de COBIT Fuente: Cobit 5 2012 ISACA Elaborado por: Autoras, 2015
GUIAS Y CONTENIDOS ESTRUCTURA PARA CONTENIDOS
FUTUROS
NUEVOS MATERIALES DE GUIA DE ISACA
OTROS ESTANDARES Y MARCOS
GUIAS ISACA EXISTENTES (COBIT, VAL IT, RISK BMS)
BASE DE CONOCIMIENTOS COBIT5
FILTRO DE CONTENIDOS PARA LA BASE DE CONOCIMIENTO
CATALIZADORES COBIT 5
FAMILIA DE PRODUCTOS COBIT 5
COBIT 5
GUIA DE CATALIZADORES
COBIT 5
GUIAS PROFESIONALES
COBIT 5
ENTORNO COLABORATIVO
ONLINE COBIT 5
DIMENSIÓN DE HABILITADORES
PARTES INTERESADAS INTERNAS EXTERNAS
METAS CALIDAD INTRISECA CALIDAD CONTEXTUAL (RELEVANCIA EFECTIVIDAD) ACCESIBILIDAD Y SEGURIDAD
CICLO DE VIDA PLANIFICAR, DISEÑAR, CONSTRUIR, ADQUIRIR, CREAR, IMPLEMENTAR, USAR, OPERAR, EVALUAR, MONITOREAR, ACTUALIZAR, DISPONER
BUENAS PRÁCTICAS PRACTICAS PRODUCTOS DE TRABAJO (ENTRADAS SALIDAS
ADMINISTRACIÓN DEL DESEMPEÑO DE LOS HABILITADORES
¿SE ATIENDEN LAS NECESIDADES DE LAS
PARTES INTERESADAS?
METRICAS PARA EL LOGRO DE LAS METAS (INDICADORES DE RESULTADOS
METRICAS PARA LA APLICACIÓN DE PRÁCTICAS (INDICADORES DE DESEMPEÑO)
¿SE LOGRAN LAS METAS DE LOS
HABILITADORES?
¿SE ADMINISTRA EL CICLO DE VIDA?
¿SE PRACTICAN BUENAS
PRÁCTICAS?
48
2.1.5.5. Quinto principio: Separar el gobierno de la administración.
Es necesario establecer un esquema donde se diferencie el gobierno y la gestión, estas dos áreas
comprenden acciones para cada estructura institucional con objetivos diferenciados. El proceso del
quinto principio de COBIT se refleja en la figura N°20:
Figura 20: Quinto principio de COBIT Fuente Cobit 5 2012 ISACA Elaborado por: Autoras, 2015
2.1.6. Catalizadores de COBIT 5.
Según [35] los catalizadores o habilitantes de Cobit 5 específicamente son siete, los cuales se
detalla a continuación en la figura N°21:
Figura 21: Catalizadores de COBIT 5 Fuente: COBIT 5 2012, ISACA Elaborado por: Autoras, 2015
2.1.6.1. Primer Catalizador: Principio, políticas y macros.
[35]Define que son los vehículos para traducir el comportamiento deseado en una orientación
práctica para la administración diaria.
1. PRINCIPIOS – POLÍTICAS Y MARCOS
2. Procesos 3. Evaluar 4. Monitorear
5. Información 6. servicios, infraestructura y aplicaciones
7. Personas, habilitadores y competencias
GOBIERNO
RETROALIMENTACIÓN GENERAL
NECESIDADES DEL NEGOCIO
EVALUAR
DIRIGIR MONITOREAR
ADMINISTRACIÓN
PLANIFIFAR
(APO)
CONSTRUIR
(BAJ)
OPERAR
(DSS)
MONITOREAR
(MEA)
49
2.1.6.2. Segundo Catalizador: Proceso.
[35]Define que permite describir una serie organizada de prácticas y actividades para lograr
determinados objetivos y producir una serie de resultados como apoyo al logro de las metas
globales relacionadas con la empresa.
2.1.6.3. Tercer Catalizador: Estructuras Organizacionales.
[35]Describen que constituyen las entidades claves para la toma de decisiones en la organización.
2.1.6.4. Cuarto Catalizador: Cultura, ética y comportamiento.
[35]Define de los individuos así como de la organización, se subestima frecuentemente como
factor de éxito en las actividades de gobierno y administración.
2.1.6.5. Quinto Catalizador: Información.
[35]Se encuentra presente en todo el ambiente de cualquier organización; obtenemos toda la
información producida y utilizada.
La información es requerida para mantener la organización andando y bien gobernada, sin olvidar
que la información frecuente a nivel operativo es el producto clave de la organización en sí.
2.1.6.6. Sexto Catalizador: Servicios, infraestructura y aplicaciones.
El sexto catalizador incluye:
La infraestructura,
La tecnología y
Las aplicaciones
Todos estos elementos proporcionan servicios y procesamiento de tecnología de la información a
la organización [35].
2.1.6.7. Séptimo Catalizador: Personas habilitantes y competencias.
Están vinculados con las personas y son requeridas para completar exitosamente todas las
actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones
correctivas.[31]
[31]Concluye que COBIT 5 permite con los principios y catalizadores a la Organización de
cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público construir un
marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores,
que optimizan la inversión en tecnología e información, así como su uso en beneficio de las partes
interesadas.
50
Además se puede indicar que según Rafael Martínez [36] ha sido adaptado para alinearse con la
norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute).
2.1.7. COBIT 5 para la Seguridad de Información.
COBIT para la Seguridad de Información se desprende de la familia de COBIT 5, como un nuevo
miembro que permite integrar los componentes de BMIS (Business Model Information Security)
“Modelo de Negocios para la Seguridad de la Información”.
COBIT SI7 se destaca porque:
Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la
información.
Establece un lenguaje común para referirse a la protección de la información.
Desafía la visión convencional de la inversión en seguridad de la información.
Explica en forma detallada el modelo de negocio para gestionar la seguridad de la
información, invitando a utilizar una perspectiva sistémica.
2.1.7.1. Componentes del BMIS de Cobit.
La mayor parte de los componentes de la BMIS8 han sido integrados a COBIT 5 como
habilitadores para interactuar y resguardar la gestión en la organización para que puedan alcanzar
sus objetivos y metas. Dichos componente son:
Organización
Procesos
Personas
Factores humanos
Tecnología
Cultura
Habilitación
Soporte
Gobierno
Arquitectura
“Emergence”
COBIT 5 para SI contiene principalmente los siguientes contenidos:
Directrices sobre los principales drivers y beneficios de la seguridad de la información para
la organización.
Aplicación de los principios de COBIT 5 por parte de los profesionales de la seguridad de la
información.
7 www.isaca.org/bmis 8 www.segurinfo.org
51
Mecanismos e instrumentos para respaldar el gobierno y la gestión de la seguridad de la
información en la organización.
Alineamiento con otros estándares de seguridad de la información.
52
CAPITULO III.
ESTUDIOS DE SITUACIÓN ACTUAL DEL ÁREA DE ESTADÍSTICA DEL HOSPITAL “JULIUS
DOEPFNER” DE ZAMORA
53
3.1. Introducción
El presente capítulo está dirigido a dar un enfoque más cercano a la realidad del departamento de
Estadística del Hospital Provincial General “Julius Doepfner” de Zamora.
El Hospital “Julius Doepfner” fue fundado el 10 de noviembre de 1976 en la ciudad de Zamora por
Monseñor Jorge Mosquera, debido a la necesidad de la existencia de una casa de salud para el
control de enfermedades y prevención de las mismas, ya que las circunstancias de distancia y
tiempo que involucraba el traslado de Zamora a la ciudad de Loja de todos los pacientes
independientemente de la gravedad, lo que ocasionaba un alto índice de mortalidad y deficiencia
en la atención de los pacientes trasladados.
Los inicios del Hospital dan a conocer que una vez abierta la Casa de Salud se pudo atender a los
pacientes con enfermedades menores y trasladar al Hospital Isidro Ayora de la ciudad de Loja,
únicamente a quienes se encontraban con enfermedades catastróficas, crónicas y casos de
emergencia e intoxicaciones graves.
En la actualidad el Hospital “Julius Doepfner ”de Zamora es una unidad de salud que ha sido
ascendida a Hospital de segundo nivel o categoría B, ya que en su infraestructura funciona
Atención Primaria en Salud que involucra Medicina General y Odontología, además
Especialidades teniendo 14 ramas de especialización. Conjuntamente en el área de Clínica y
Hospitalización funcionan 57 camas entre internación y rotación para los pacientes que son
ingresados a hospitalización.
Todas las especificaciones anteriores tanto de Atención Primaria en Salud y Especialidad, además
de las áreas conjuntas y administrativas se las detallan en el Anexo 4.
Según los datos que se solicitó al departamento de Estadística del Hospital de Zamora se puede
especificar los promedios de producción actual, los mismos que se reflejan en la tabla N°11 a
continuación:
Tabla 11: Detalle de Agendamiento y producción actual (2014)
ÁREA PROMEDIO DE PRODUCCIÓN DIARIA
Emergencias 60
Hospitalización 10
APS 250/6consultorios
Odontología 30 turnos agendados e interconsultas en 2 consultorios
Traumatología 13, 1 consultorio
Psicología 18, 2 consultorios
Acupuntura 12, 1 consultorio
Pediatría 17, 1 consultorio
Medicina interna 16, 1 consultorio
Ginecología 18, 1 consultorio
Cirugía 17, 1 consultorio
Oftalmología 17, 1 consultorio
Dermatología 17, 1 consultorio
Gastroenterología 17, 1 consultorio
Nutrición y Dietética 17, 1 consultorio
Fuente: Estadistica-HPGJDZ, 2015 Elaborado por: Autoras, 2015
54
3.2. Situación actual de procesos.
Actualmente el departamento de Estadística del Hospital Provincial General “Julius Doepfner”, está
localizada en la planta de hospitalización y consulta externa del II bloque de la institución, en la
ciudad de Zamora.
El área de Estadística, denominada también procesamiento de datos debido a las funciones que
se cumple; es definitivamente el área administrativa de mayor afluencia de la casa de salud debido
a que todos los datos de hospitalización, emergencia y consulta externa se consolidan en el
departamento, además de las subdivisiones que posee, entre las cuales están:
Agendamiento, Call Center y Archivo
RDACAA.
Gestión de camas y egresos hospitalarios.
Procesamiento de datos.
3.2.1. Agendamiento, Call Center y Archivo.
El área de agendamiento, es la encargada de la asignación de turnos subsecuentes a los usuarios
que acuden a ventanilla, además de asignar turnos a los pacientes referidos de Atención Primaria
en Salud y Hospitalización a una Especialidad específica de acuerdo a la patología clínica que
determine el Médico General.
En el Hospital “Julius Doepfner” de Zamora, el área de agendamiento está unida con el Call
Center, es decir las personas encargadas de agendar también son las responsables de contestar
la línea fija designada para turnos en la ciudad, y de procesar la base de datos del Call Center
Nacional 171 en la cual se asigna un cita médica a los usuarios que lo requieran mediante una
llamada telefónica previa dentro de una Unidad Operativa, la misma que se fijará de acuerdo a su
residencia habitual y actual.
El archivo, es el área física donde reposan todas las historias clínicas de los pacientes, está
conformado por un archivo activo, pasivo y defunciones, se describe a continuación cada uno de
ellos con más detalle:
Archivo activo: Constan todas las historias clínicas de los pacientes que acuden
asiduamente a la atención en la casa de salud, en el mismo constan carpetas de usuarios
que no se han hecho atender desde el año 2009 ya que según las normas del Ministerio de
Salud, ninguna historia clínica deja de ser activa mientras no se cumpla un período de
cinco años de no realizarse ninguna atención médica ya sea por consulta externa,
hospitalización o emergencia.
Archivo pasivo: Constan todas las historias clínicas de los pacientes que no han acudido
al Hospital por más de 5 años.
Archivo de defunciones: Aquí reposan todas las carpetas de los pacientes que tuvieron
historia clínica dentro del Hospital y que han fallecido, siempre y cuando hayan sido
reportados a esta Casa de Salud y se haya entregado un certificado de defunción que
55
emite el departamento de Estadística en un formulario designado por el INEC9 para este
propósito.
El personal de agendamiento, tienen como responsabilidad custodiar el archivo ya que manejan
directa y diariamente las historias clínicas.
Para el área de agendamiento y ventanilla se cuenta con tres usuarios, las mismas que tienen bajo
su responsabilidad las siguientes actividades:
Agendamiento de turnos
Procesamiento de datos del Call Center 171
Rotulación de turnos en historias clínicas
Manejo del archivo para: extracción y archivo de historias clínicas
Depuración de historias clínicas, de acuerdo al Manual de Depuración de Historias Clínicas
del Ministerio de Salud Pública (revisar Anexo 5).
Levantamiento de horarios de médicos generales, especialistas y odontólogos a la matriz
de agendamiento.
Cierres de atenciones médicas en la matriz de agendamiento.
Apertura de historias clínicas de acuerdo a las normas y manuales del MSP, con los
debidos formularios designados para el propósito.
3.2.2. RDACAA: Registro Diario Automatizado de Consultas y Atenciones
Ambulatorias.
El RDACAA es una matriz física y digital dispuesta por el Ministerio de Salud Pública (en adelante
MSP) mediante el Acuerdo Ministerial 0002687 (ver Anexo 6) para registrar las atenciones de
pacientes en consulta externa; y según lo especifica la Ley todas las atenciones son estrictamente
confidenciales y con fines estadísticos10.
El MSP dispuso (ver Anexo 7) la implementación de la más reciente versión del RDACAA físico a
nivel nacional con fecha 28 de diciembre 2012, en la cual constan el cambio en el parte diario y la
implementación de RDACAA digital 1.0 desde enero 2013, a partir de marzo 2013 lanzaron la
versión 1.1 y en junio del mismo año se lanzó un actualizador como versión 1.5. Para el 2014 se
dispuso utilizar la versión 1.6 en cuanto se lanzó como versión de descarga para el personal del
MSP.
En la versión física se recopilan datos diariamente para registrar en el digital (ver matriz física del
RDACAA Anverso y reverso Anexo 8-A y 8-B) y ver el consolidado de información mediante el
exportado en Excel que permite generar mes a mes el sistema RDACAA.
Todo parte diario comúnmente conocido el RDACAA, tanto físico como digital deberá ser generado
y registrado por el profesional que de la atención al paciente o usuario.
9Instituto Ecuatoriano de Estadísticas y Censos 10Según el artículo 21 de la ley de Estadística que establece: “Los datos individuales que se obtengan para efecto de estadística y censos son de carácter reservado; en consecuencia, no podrán darse a conocer informaciones individuales de ninguna especie…”
56
Para el procesamiento de esta información existe un funcionario designado como responsable del
RDACAA el mismo que está encargado de:
Recibir en fechas límites los RDACAA físico y digital
Revisar los archivos físicos y exportados, comparando datos erróneos con la historia
clínica.
Reportar detalle de errores en RDACAA a los médicos, especialistas y odontólogos.
Consolidar datos mensuales por grupos de atención.
Reportar datos estadísticos (se detallan más adelante).
Realizar cierres del sistema mensualmente en la versión de escritorio.
Realizar cierres del sistema mensualmente en la versión web.
Además del registro manual diario los profesionales médicos generales, especialistas y
odontólogos tiene la obligación de registrar todas las atenciones de consulta externas en sus
diferentes servicios al software of/line RDACAA de forma diaria y cumplir con los plazos
establecidos por el Ministerio de Salud Pública del Ecuador y por el Director Provincial de Salud de
su dependencia. Conjuntamente es el responsable de Estadística quien procesa toda la
información del RDACAA mediante el uso del archivo exportado; dicho archivo permite reportar
datos mensuales, trimestrales, semestrales y anuales de las atenciones por consulta externa (ver
detalle de reportes en el Anexo 9).
3.2.3. Gestión de camas y egresos hospitalarios.
El proceso de gestión de camas, se denomina así por el sistema on-line implementado por el MSP
para realizar los ingresos y egresos de los pacientes de hospitalización a un determinado número
de camilla, de acuerdo al tiempo de estada en la casa de salud.
Para la actividad indicada se ha designado a un funcionario responsable del proceso, el mismo
que tiene bajo su responsabilidad:
Ingresar pacientes a un número de camilla hospitalaria al s istema de “Gestión de Camas”
en las diferentes áreas de hospitalización.
Egresar pacientes a un número de camilla hospitalaria al sistema de “Gestión de Camas”
en las diferentes áreas de hospitalización
Realizar apertura de historias clínicas de pacientes que no tienen una historia clínica única
en el Hospital “Julius Doepfner” de Zamora.
Realizar apertura de historia clínica única inicial a todo recién nacido en el Hospital “Julius
Doepfner” de Zamora.
Reportar datos de peruanos y ecuatorianos hospitalizados por sexo y servicio.
Realizar actividades de agendamiento en ausencia de los funcionarios de ventanilla.
Una vez consolidados los datos mensuales el encargado debe ser capaz de reportar:
57
Egresos hospitalarios11.
Días de estada12.
Total de nacidos vivos en el Hospital “Julius Doepfner” de Zamora.
Total de pacientes por servicio atendidos en clínica.
3.2.4. Procesamiento de datos.
El área de procesamiento de datos está constituida por dos funcionarios, entre las cuales consta la
Líder del departamento de Estadística y una Asistente administrativa.
Las funciones que tienen a cargo son diversas entre las cuales se describen a continuación:
1. Líder Departamental:
Consolidar y reportar datos de maternidad gratuita de hospitalización, emergencia y
consulta externa.
Consolidar y reportar semanalmente el perfil epidemiológico de hospitalización.
Consolidar y reportar mensualmente el perfil epidemiológico de emergencia.
Reporte de datos mensuales para Gobierno por Resultados “GPR”.
Control de actividades de agendamiento, Call center, gestión de camas, RDACAA, entre
otras inmersas en el departamento estadístico.
Consolidar datos de peruanos y ecuatorianos ingresados y atendidos en hospitalización,
emergencia y consulta externa.
Consolidar y reportar producción semanal de consulta externa de “APS”, Atención Primaria
en Salud.
Consolidar y reportar análisis estadísticos.
Consolidar y reportar datos de atenciones prenatales, partos, postpartos y cesáreas.
Consolidar y reportar datos de cirugías realizadas, programadas, canceladas y nivel de
satisfacción de usuarios.
Consolidar y reportar datos
2. Asistente Administrativo:
Entregar y controlar mensual de formularios de nacidos vivos13 (Anexo 10).
Entregar y controlar mensual de formulario de defunciones14(Anexo 11-A y 11-B).
Entregar y controlar mensual de formularios de defunción fetal15(Anexo 12).
11Es la salida del establecimiento de un paciente hospitalizado. Un egreso implica la conclusión del período de hospitalización y la desocupación de una cama de hospital ya sea por alta o defunción. 12 Definición del diccionario del MSP: Es el número de días de permanencia en el hospital de un paciente egresado, comprendido entre la fecha de ingreso y la fecha de egreso. 13 “Según definición en el diccionario del MSP”: Es la expulsión o extracción completa del cuerpo de la madre, independientemente de la duración del embarazo, del producto de la concepción que, después de la separación respira y manifiesta cualquier otro signo de vida…. Todo producto de tal nacimiento es considerado como nacido vivo. 14Es la desaparición total y permanente de todo signo de vida en un momento cualquiera posterior al nacimiento sin posibilidad de resurrección. 15Es la muerte de un producto de la concepción, antes de su expulsión o su extracción completa del cuerpo de su madre, independientemente de la duración del embarazo; la muerte está indicada por el hecho de que después de la separación, el feto no respira ni da ninguna otra señal de vida.
58
Registrar y controlar diario del formulario de emergencia16(Anexo 13-A y 13-B).
Registrar y controlar diario de pacientes ingresados y egresados de hospitalización, en el
censo hospitalario (Anexo 14).
Registrar los pacientes para agendamiento de turnos con referencias a una especialidad
específica.
Depuración de historias clínicas del archivo activo.
Transferencia de historias clínicas pasivas del archivo activo al pasivo.
3.3. Descripción del hardware y software de Estadística.
En el área de Estadística del Hospital “Julius Doepfner” de Zamora se maneja software y hardware
informático para el registro de datos y levantamiento de los mismos al Ministerio de Salud Pública
del país, actualización de información y agendamiento de turnos primarios, subsecuentes,
referencias, contrareferencias, atención integral a pacientes críticos, adolescentes, adulto mayor, e
interconsultas a todos los usuarios que se hacen atender diariamente en los diferentes servicios de
medicina general, odontología y especialidades que ofrece esta Casa de Salud.
3.3.1. Hardware.
Actualmente existen siete computadores para las actividades del departamento las cuales se
dividen entre los funcionarios. El hardware departamental se describe a detalle en la tabla N°12:
Tabla Nº 12: Hardware de Estadística del Hospital “Julius Doepfner” de Zamora
CANT EQUIPO TIPO DE EQUIPO
DESCRIPCIÓN DE EQUIPO ESTADO DEL
EQUIPO ÁREA DE OCUPACIÓN
1
COMPUTADOR
PORTATIL
HPPAVILION G SERIES, CORE i5-2430M , RAM 4GB, 500GB DE HARD-DISCK
BUENO
Responsable del Departamento (procesamiento de datos)
1
COMPUTADOR
PORTATIL
LENOVO L430, CORE i7-29990GHZ, RAM 4GB, 500GB DE HARD DISCK.
BUENO
Egresos hospitalarios y gestión de camas.
1
COMPUTADOR
ESCRITORIO
CELERON, PENTIUM-IV 2.40 GHZ, RAM 512MB, 80GB DE HARD DISCK
MALO
Asistente de procesamiento de datos.
1
COMPUTADOR
ESCRITORIO
CELERON, INTELE CORE 2DUO, RAM 1GB, 380GB HARD-DISCK
MEDIO
Responsable del RDACAA.
3
COMPUTADOR
ESCRITORIO
1.CELERON, INTEL CORE 2 DUO 2.66 GHZ, RAM 1GB, 360GB DE HARD DISCK.
2.CELERON, INTEL CORE 2DUO 2.66GHZ, RAM 4GB, 180GB DE HARD DISCK.
3.CELERON, INTEL CORE 2 QUAD 2.133GHZ, RAM 3GB, 450GB DE HARD DISCK
MEDIO
Agendamiento y ventanilla.
1
IMPRESORA
MATRICIAL
EPSON LQ-2180, matriz de puntos - 24 espiga – monocromo.
MEDIO
Asistente de procesamiento de datos.
1
IMPRESORA
MATRICIAL
EPSON FX-890, MATRIZ DE PUNTOS 9 PINES
MEDIO
TODO EL DEPARTAMENTO
1
COPIADORA /IMPRESORA
LASER
RICOH-AFICIO 2075, 75 PPM, RESOLUCIÓN 1200 x 1200 dpi
MEDIO
TODO EL ÁREA DE HOSPITALIZACION
1 DISCO DURO EXTRAÍBLE TOSHIBA
BUENO
Responsable del RDACAA
Fuente: Estadistica-HPGJDZ, 2015 Elaborado por: Autoras, 2015
59
3.3.2. Software.
Además del hardware el departamento cuenta con diversos softwares para cumplir con sus
actividades, los mismos que se detallan en la tabla N°13:
Tabla Nº 13: Software de Estadística del Hospital “Julius Doepfner” de Zamora EQUIPO DESCRIPCIÓN DE SOFTWARE DE CADA EQUIPO
PROCESAMIENTO DE DATOS –LÍDER
WIDOWS 7 ULTIMATE MICROSOFT OFFICE 2007 MOZILLA FIREFOX 28.0 GOOGLE CHROME ADOBE FLASH PLAYER 13 ACTIVEX ADOBE FLASH PLAYER 13 PLUGIN ADOBE RADER XI (11.0.6) ESET NOD 32 – VERSIÓN DE PRUEBA 4.0.467.0 ADOBE SHOCKWAVE PLAYER 12.0 WINRAR
PROCESAMIENTO DE DATOS –ASISTENTE
WIDOWS 7 ULTIMATE MICROSOFT OFFICE PROFESIONAL PLUS 2010 MOZILLA FIREFOX 28.0 GOOGLE CHROME ADOBE FLASH PLAYER 13 ACTIVEX ADOBE FLASH PLAYER 13 PLUGIN ADOBE RADER XI (11.0.6) WINRAR FICHAS MÉDICAS GOOGLE DRIVE MICROSOFT SECURITY ESSENTIALS
RDACAA
WIDOWS 7 ULTIMATE MICROSOFT OFFICE ESTÁNDAR 2007 12.0.6425.1000 RDACAA 1.5 WINRAR MOZILLA FIREFOX 28.0 GOOGLE CHROME 34.0.1847.131 ESET NOD 32 – VERSIÓN DE PRUEBA 4.0.467.0 ADOBE FLASH PLAYER 10 ACTIVEX 10.0.32.18 ADOBE FLASH PLAYER 10 PLUGIN 10.0.3.18 ADOBE RADER 9.2 .0 KUAZIP MICROSOFT VISUAL C++ REDISTRIBUTABLE 8.0.56336 MICROSOTF .NET FRAMEWORK 4.5.1
EGRESOS HOSPITALARIOS Y GESTIÓN DE CAMAS
WIDOWS 7 PROFESIONAL ACTIVE PROTECTION SYSTEM DE ThinkVantage 1.76 ADOBE FLASH PLAYER 11 ACTIVEX 11.5.502.135 ADOBE RADER XI 11.0.06 MOZILLA FIREFOX 25.0.1 CREATE RECOVERY MEDIA 1.20.0.00 GOOGLE CHROME 34.0.1847.131 GOOGLE EARTH 7.1.2.2041 MICROSOFT SECURITY ESSENTIALS 4.5.216.0 MICROSOFT SQL SERVER 2005 COMPACT EDITION [ENU] 3.1.0000 MICROSOFT OFFICE
AGENDAMIENTO Y VENTANILLA EQUIPO 1
WIDOWS XP 2002 SERVICE PACK 3 ADOBE FLASH PLAYER 13 PLUGIN ADOBE RADER XI 11.0.01 EASY BURNER FICHAS MEDICAS GOOGLE CHROME 34.0.1847.131 MICROSOFT OFFICE PROFESIONAL PLUS 2010 MOZILLA FIREFOX 28.0 WINZIP 15.0
AGENDAMIENTO Y VENTANILLA EQUIPO 2
WIDOWS 7 ULTIMATE ADOBE FLASH PLAYER 12 ACTIVEX 12.0.0.70 ADOBE FLASH PLAYER 12 PLUGIN 12.0.0.70 ADOBE RADER XI 11.0.06 ADOBE SHOCKWAVE PLAYER 12.0.2.1.22 WINRAR FICHAS MÉDICAS GOOGLE CHROME 34.0.1847.131 McAfee Security Scan Plus 3.8.141.11 MICROSOFT OFFICE PROFESIONAL PLUS 2010 MICROSOFT SECURITY ESSENTIALS 4.2.223.1 MOZILLA FIREFOX 29.0.1
WIDOWS XP 2002 SERVICE PACK 3
60
AGENDAMIENTO Y VENTANILLA EQUIPO 3
ADOBE FLASH PLAYER 13 ACTIVEX ADOBE FLASH PLAYER 13 PLUGIN ADOBE RADER XI 11.0.06 ADOBE SHOCKWAVE PLAYER 12.0.2.1.22 WINRAR FICHAS MÉDICAS GOOGLE CHROME 34.0.1847.131 MICROSOFT SECURITY ESSENTIALS MICROSOFT SILVERLIGHT MOZILLA FIREFOX 13.0.1 MSMXML 4.0 SP3 ÀRSER (4B2758694) TEANVIEWER8
Fuente: Estadistica-HPGJDZ, 2015 Elaborado por: Autoras, 2015
Existen varios software de escritorio y on-line, los mismos que son utilizados y dispuestos por el
Ministerio de Salud para mantener actualizados los datos de las atenciones en Consulta externa,
Hospitalización y Emergencia, entre los cuales están:
Sistema de egresos hospitalarios y gestión de camas.
Fichas médicas.
RDACAA: Registro Diarios Automatizado de Atenciones Ambulatorias
VIEPI4
UCMMSP
3.3.3. Funcionalidades de los sistemas.
3.3.3.1. Software “Fichas”.
Restricción de acceso.
Permite la creación de una historia clínica.
Actualización de datos del paciente.
Transferencia de pacientes del activo al pasivo y viceversa.
3.3.3.2. Software “RDACAA”.
Control de acceso.
Permite el ingreso de profesionales médicos, enfermeras, bioquímicos, odontólogos.
Registro de atenciones diarias de cada paciente atendido por el profesional de salud.
Exportado de archivos con la información mensual o con corte de fechas.
Cierres mensuales en escritorio y web de la producción de los profesionales de la salud
y creación del archivo “.rdacaa”.
3.3.3.3. Software “Egresos Hospitalarios – Gestión de Camas”.
Control de acceso.
Creación de pacientes y usuarios.
Ingreso de paciente a un servicio hospitalario.
Exportado de producción diaria, semanal, mensual y anual por servicio o general.
3.3.3.4. Software “VIEPI4”.
Control de acceso
61
Registro del caso
Reporte de caso
Emisión de informe
3.3.3.5. Software “UCMMSP”.
Control de acceso
Revisión de reportes diarios de agendamiento al Call Center nacional 171 para verificar
citas médicas agendadas para el Hospital “Julius Doepfner” de Zamora.
Exportar reportes diarios, semanales, mensuales
Descartar o confirmar turnos asignados al 171 para reportar índice de agendamiento,
inasistencia, producción.
3.4. Inventario de sistemas existentes de Estadística
En la tabla N°14 se detalla cada uno de los sistemas departamentales identificando las
características de cada uno y los datos más importantes.
Tabla 14: Inventario del software de Estadística de Hospital “Julius Doepfner” de Zamora INVENTARIO DEL SOFTWARE DE ESTADISTICA DEL HOSPITAL PROVINCIAL GENERAL “JULIUS DOEPFNER – ZAMORA”
NOMBRE DEL SOFTWARE
FICHAS MÉDICAS
RDACAA EG. HOSPITALARIOS
Y G. DE CAMAS VIEPI4 UCMMSP
NOMBRE DEL CREADOR
Ing. Obaco MSP MSP MSP MSP
FECHA DE CREACIÓN 2004-2005 2012 2012 - 2012
USUARIOS EN USO DE SOFTWARE
6 INDETERMINADO INDETERMINADO INDETERMINADO INDETERMINADO
B/D DEL SOFTWARE ACCES S/N S/N S/N S/N
LENGUAJE DE PROGRAMACIÓN
VISUAL BASIC S/N
S/N S/N
VERSIONES 5.0 1.0/1.1/1.5/1.6 S/N S/N S/N
S. O. EN EL FUNCIONA Windows Windows/Linux EN LÍNEA EN LÍNEA EN LÍNEA
TIPO DE CONEXIÓN on line off/on line on line on line on line
CARACTERISTICAS MINIMAS DEL PROCESADOR
Pentium 4
Pentium 4
S/N
S/N
S/N
CARACTERISTICAS MINIMAS DE MEMORIA
512 MB
512 MB
S/N
S/N
S/N
CODIGO FUENTE SI NO NO NO NO
REQUERIMIENTOS DE CAMBIOS
SI
SI NO NO NO
FUNCIONALIDAD Y FACILIDAD DE USO
SI SI SI SI SI
INTERFAZ DE USUARIO ACEPTABLE ACEPTABLE ACEPTABLE MEDIANAMENTE
ACEPTABLE MEDIANAMENTE
ACEPTABLE
ESTABILIDAD MEDIA MEDIA ALTA ALTA MEDIA
COMPATIBILIDAD MEDIA ALTA ALTA ALTA ALTA
INTEROPERABILIDAD MEDIA ALTA ALTA ALTA ALTA
SOPORTE Y GARANTIA NO SI SI SI SI
USABILIDAD ALTA ALTA ALTA MEDIA ALTA
UTILIDAD MEDIA MEDIA ALTA ALTA MEDIA
EFECTIVIDAD MEDIA BAJA ALTA ALTA ALTA
FIABILIDAD MEDIA BAJA ALTA ALTA ALTA
CONSISTENCIA MEDIA MEDIA ALTA MEDIA MEDIA
Fuente: Estadistica-HPGJDZ, 2015 Elaborado por:Autoras, 2015
62
CAPITULO IV:
ELABORACIÓN DE UNA GUÍA PARA EVALUAR LOS SISTEMAS INFORMÁTICOS DEL
HOSPITAL “JULIUS DOEPFNER” DE ZAMORA
63
4.1. Justificación
Para elaborar una guía que permita evaluar los sistemas informáticos del área de Estadística del
Hospital “Julius Doepfner” de Zamora es necesario vincular la documentación, con la información
de los apartados anteriores, en los cuales se describen temáticas relacionadas al software, su ciclo
de vida, modelos, normas y estándares de calidad; además del marco de trabajo de COBIT 5.
Asimismo con la información obtenida del estudio de la situación actual del departamento de
Estadística y la entrevista preliminar que se realiza para adquirir conocimientos previos se obtiene
los contenidos e información oportuna para diseñar una guía acorde a la realidad vigente del
departamento.
Como aporte personal a los estudios de modelos de calidad hemos realizado una tabla
comparativa del estudio de los diferentes modelos de calidad en la cual se detallan los puntos más
importantes de cada autor frente a su modelo propuesto. Posterior al estudio de los modelos
hemos creído oportuno tomar como base para el diseño de la guía e evaluación de los sistemas
informáticos varios de los parámetros propuestos en el Modelo de Dromey, ya que es el único
modelo que define atributos como parte de los componentes de calidad, además porque abarca
los elementos de calidad más importantes que exponen los demás autores estudiados en la
presente tesis.
Conjuntamente se hizo un breve estudio de las principales normas y estándares de calidad, de los
cuales se pudo verificar la importancia de seguir las estructuras dispuestas por las
normatizaciones internacionales para obtener un producto con una calidad aceptable, el mismo
que puede ser modificado con el transcurso del tiempo en base a los cambios que presenten
dichos estándares.
A continuación se presenta la tabla donde se comparan los modelos de calidad y se expone la
tabla comparativa de las normas y estándares de calidad.
La tabla N°15 presenta una comparativa de los principales Modelos de Calidad del software
estudiados en el primer capítulo de la presente tesis. Además la tabla N°16 indica una comparativa
de las normas y estándares de calidad del software
Los cuadros comparativos han sido realizados como aporte personal de las tesistas para ilustrar
con mayor facilidad las diferencias y similitudes de los modelos y normas de calidad.
64
Tabla 15: Comparativa de los principales Modelos de Calidad del Software
MODELO COMPONENTES CATEGORÍAS ATRIBUTOS DE
CALIDAD CARACTERÍSTICAS QUE
LO DEFINEN ELEMENTOS DE CADA NIVEL
McCall
Factores de calidad Criterios Métricas
Revisión del producto: habilidad para ser cambiado
Transición del producto: adaptabilidad al nuevo ambiente
Operación del producto: caract. de operación
Mantenibilidad Flexibilidad Testeabilidad Portabilidad Reusabilidad Interoperabilidad Correctitud Confiabilidad Eficiencia Integridad Usabilidad
Facilidad de auditoría, Exactitud
Estándares de comunicaciones Compleción, Complejidad, Concisión, Consistencia Estandarización de datos Tolerancia a errores, Eficiencia
de ejecución, Capacidad de expansión, Generalidad
Independencia del hardware Instrumentación, Modularidad Operatividad, Seguridad Autodocumentación Simplicidad, Independencia del
sist., Trazabilidad, Facilidad de formación
Cuenta con 14 factores (3 en subdivisión principal, 11 en el segundo nivel y 23 criterios)
Las métricas no son indicadas porque las define el usuario
Bohem
Características de alto nivel
Características de nivel intermedio
Características de nivel primitivas
Métricas
Constructores primarios. Constructores intermedios. Constructores primitivos
Portabilidad Fiabilidad Eficiencia Usabilidad Capacidad de prueba Comprensibilidad Flexibilidad
Seguridad Hacer lo q el Usuario quiere que haga.
Utilizar recursos de la computadora correcta y eficientemente.
Ser fácil de aprender y de usar para los usuarios habituales.
Estar bien: diseñado, codificado y puede ser probado y mantenido fácilmente.
Cuenta con 9 características de alto nivel y 15 características primitivas.
Las métricas no son indicadas porque las define el usuario
Furps +
Atributos de calidad Métricas
Req. funcionales. Req. no funcionales. Req. Adicionales
Funcionalidad Usabilidad Confiabilidad Prestación Soporte
Restric. de diseño Restric. de implementación: Se refieren a las reglas para la programación.
Restric. de interfaz Restric. físicas: Se refieren al
hardware.
Cuenta con 5 atributos de cal., en el 1er nivel: 27 atributos de cal., en el 2do nivel: las métricas no son indicadas porque las define el usuario
Dromey
Sugiere 4 categorías que implican propiedades de calidad
Correctitud Internas Contextuales Descriptivas
Funcionalidad Confiabilidad Mantenibilidad Eficiencia Reusabilidad Portabilidad
Relaciona atributos del producto con atributos de calidad para su evaluación.
la calidad se construye de abajo hacia arriba, desde las propiedades tangibles de bajo nivel hacia los atributos de calidad de alto nivel.
2 Niveles superiores Componentes no indicados
Fuente: Capíitulo I – Modelos de Boehm Elaborado por: Autoras, 2014
65
Tabla 16: Comparativa de normas y estándares de calidad
ESTÀNDARES Y NORMAS DE CALIDAD
ISO 9000
ISO/IEC 9126
ISO/IEC 27000
ISO/IEC 12207
ESTÁNDAR CAPABILITY
MATURITY MODEL (CMM)
MOPROSOFT
CONCEPTOS
Sistemas de Gestión de la Calidad − Fundamentos y Vocabulario.
Estándar internacional para evaluar la calidad del software.
Permite docut. mejores prácticas en aspectos o incluso cláusulas concretas de ISO/IEC 27001.
Procs. de ciclo de vida de software. Estándar Internacional
Estándar exigido en el mundo, desarrollado para las emp. de desarrollo de softw.
Cumple con el modelo de eval. de madurez de la capacidad de proc.
PRINCIPIOS / PROCESOS
Enfq. al cliente, Liderazgo, Partic. del personal, Enfq. basado en procs., Enfq. de sistema para la G., Mejora continua, Enfq. basado en hechos para la toma de decisión y relaciones con el proveedor
PRINCIPALES:Adquisición, Suministros, Desarrollo, Operación, Mantenimiento APOYO:Documentación, G. de la Confg, Asg. De la Cal., Verifc., validc., Rev. Conjunta, Auditoría, Sol. Prob. ORGANIZATIVOS:Infrestr., Mejora, R. H.
Inicio Repetible, Definición Dirección Optimización
Cubre:
Certidumbre
Calidad
Capacidad
CARACTERISTICAS
Funcionalidad Confiabilidad Usabilidad Eficiencia Mantenimiento Portabilidad
Se divide en 4 partes: Realidad Métricas externas Métricas internas Calidad en las métricas de uso y expendido.
Proporciona un marco de gestión para la seguridad de la información utilizable por cualquier tipo de organización.
Establece un marco de trabajo para la Ingeniería de software
Identifica el estado de madurez de la gestión de los procesos de software.
Cubre ámbitos de la org, Fac.y ayuda a empresas de sfw., Fac.el cumplimiento de: ISO9000:2000,CMM y CMMI, Se enfoca a proc., Práctico en su aplicc., Es sencillo de entender, adoptar e implantar, Tiene un bajo costo, Mejora los proc.
EVOLUCIÒN
ISO 9001: SGC – Requisitos, ISO 9004: SGC−Directrices para la Mejora del desempeño, ISO 9001 del 2000 utiliza un enfoque orientado a Procesos, ISO 19011 proporciona orientación relativa a las auditorías de sistemas de GC y de G. ambiental.
Dentro de esta norma se encuentra: ISO 27000 ISO 27001 ISO 27002
Fuente: Capítulo I – Estánndares y normas de calidad Elaborado por: Autoras, 2015
66
4.2. Desarrollo
[37]Define que: “Actualmente el enfoque de procesos permite establecer la definición de los
servicios de COBIT de soporte a una organización”.
Los procesos actualmente en el área de Estadística no se manejan de la manera apropiada, los
funcionarios están utilizando de forma deficiente los recursos, lo cual incrementa el grado de datos
erróneos y falencias de los mismos.
Para medir el desempeño y el resultado de un proceso es fundamental aplicar una metodología
que permita verificar si es correcta o no la ejecución de los procesos que se llevan a cabo en la
actualidad.
La presente guía se basa en COBIT5-SI debido a que su marco de trabajo permite definir objetivos
de control de tecnologías de la información. De acuerdo a [37]COBIT permite identificar los
procesos dentro de cuatro dominios relacionas con la planificación y organización, adquisición e
implementación, entrega y soporte; y monitoreo.
Mediante el uso de COBIT para elaborar la guía de evaluación será posible relacionar los procesos
de la tecnología de información con los objetivos del departamento de Estadística.
COBIT 5 también será utilizado porque permite cuantificar el grado de madurez de los procesos y
porque a través de los parámetros adecuados de evaluación permite alcanzar los objetivos de la
presente guía.
Con la elaboración de la guía y desarrollo general de la tesis se busca definir puntos de evaluación
específicos para evaluar los procesos y medir el grado de eficiencia de los mismos; que son
posiblemente la causa de los problemas actuales. Se espera presentar una guía que permita
evaluar los procesos y tecnología informática (hardware, software, recurso humano, ergonomía,
seguridad, etc.); para que el departamento de Estadística pueda optimizar los recursos de TI.
4.3. Alcance
El alcance de la guía es definir pautas y pasos a seguir para que se pueda evaluar la tecnología de
información departamental y que a futuro se pueda implementar el rediseño de los procesos
requeridos en caso de que los responsables de Estadística lo crean oportuno.
La guía para evaluar los sistemas informáticos de Estadística da un acercamiento a la realidad de
los procesos y se enfoca en presentar resultados del nivel de satisfacción de los usuarios frente a
los sistemas que utilizan.
COBIT5 presenta un marco de trabajo enmarcado en cinco principios básicos y habilitantes para
su construcción, los mismos que se verán expuestos dentro del desarrollo de la guía de
evaluación.
67
4.4. Marco de trabajo
De acuerdo al marco de trabajo indicado en el flujograma de la figura 14(capítulo II), los objetivos,
información y recursos de TI están estrechamente relacionados para abarcar globalmente las
necesidades del departamento de Estadística, es por eso que a continuación se presentan los
objetivos que persigue el área con la guía de evaluación.
4.4.1. Objetivos de la entidad.
Determinar el nivel del manejo de los sistemas informáticos de Estadística.
Conocer las áreas que deben ser mejoradas, los procesos internos y externos que
determinan la funcionalidad y manejo del software.
Verificar la existencia o escases de los niveles de integridad, confidencialidad y
disponibilidad de los datos que se manejan en los sistemas informáticos.
Establecer niveles del control de acceso al software.
Evaluar la seguridad de la información y software.
4.4.2. Recursos de la tecnología de información.
En el capítulo III, se ha descrito detalladamente los diferentes recursos existentes del
departamento de Estadística, por tanto a continuación se realiza una descripción de lo que abarca
cada uno de éstos.
Datos - Información: Los datos que se procesan en estadística están inmersos en los
sistemas con los que se cuenta dentro del departamento, los mismos que son los
contenedores de información, almacenados en su estructura de información.
Aplicación - Sistemas de información: aplicaciones que permiten ingresar y presentar los
datos al líder departamental en base a los requerimientos en forma automatizada.
Infraestructura - Tecnología: Cubre el hardware y software, infraestructura de
comunicaciones como redes, enlaces, etc.
Recurso humano: Es el recurso más importante con el que cuenta el departamento, con
todas sus experiencias, aptitudes para administrar, gestionar, y proveer los servicios de
tecnologías de información.
4.5. Proceso de trabajo
COBIT5 presenta cuatro dominios en su proceso de trabajo, los mismos que contienen diferentes
plantillas que sirven de guía para la evolución de la realidad organizacional.
Los dominios propuestos por COBIT5con las respectivas guías se pueden visualizar en el Anexo
15. A continuación haciendo referencia a la realidad de Estadística se hará uso únicamente de las
plantillas necesarias que van acorde a la guía de evaluación de sistemas informáticos, además se
realizará un aporte personal de acuerdo a los requerimientos existentes en el desarrollo de la guía
de evaluación.
68
4.5.1. Objetivos de Control.
Seguidamente se describe en forma detallada los objetivos de control propuestos por [32].
COBIT 5 presenta 34 objetivos de control y sus respectivos componentes, para el propósito de
nuestra guía se utilizaran únicamente los objetivos que van acorde con la presente tesis y que
permitan evaluar los sistemas informáticos del área de Estadística.
Los campos que se utilizarán en cada formato se describen a continuación:
CÓDIGO: Código del objetivo de control utilizado por COBIT.
NOMBRE DEL PROCESO: Nombre del proceso de TI sobre el que se implementa el
objetivo de control.
CRITERIOS DE INFORMACIÓN: Consiste en un listado de los criterios de información que
son impactados por el objetivo de control. Se utilizará la letra P si el impacto es un nivel
primario y una S si el impacto es secundario.
RECURSO DE TI: Es un listado con los recursos de TI definidos por COBIT, se utilizará
una X cuando el objetivo de control lo requiera de cada recurso para su ejecución.
REQUERIMIENTOS DE NEGOCIO QUE SATISFACE: descripción de cómo el objetivo de
control se enlaza y requerimientos de negocio.
DECLARACIÓN DE CONTROLES: se describe la estrategia de alto nivel que se va a
implementar para que el objetivo de control se vuelva a una realidad.
PRACTICAS DE CONTROL QUE SE CONSIDERAN: Es el listado de pasos a seguir para
asegurar el cumplimiento del objetivo de control y la ejecución de los controles que lo
hacen posibles.
OBJETIVOS DE CONTROL DE BAJO NIVEL: Es el listado de actividades detalladas que
deben ser implementadas dentro del objetivo de control para garantizar el éxito de su
implantación.
PLANEACIÓN Y ORGANIZACIÓN
Tal como se describe en el apartado 4.4 Proceso de Trabajo, se citarán únicamente las plantillas
que se utilizarán para la creación y diseño de la guía de evaluación de sistemas informáticos ya
que luego de revisar cada una de ellas con su respectiva descripción se ha decidido que el
enfoque de la guía utiliza varios objetivos de control de COBIT pero no todos están enfocados en
la evaluación que se realizará a los sistemas de Estadística del Hospital “Julius Doepfner” de
Zamora.
Por tanto las plantillas que se presentan a continuación son las seleccionadas para que sirvan de
base para la creación de la guía de evaluación:
Código PO1
Nombre de Proceso: Definición de un plan estratégico de tecnología de la información
CRITERIOS DE INFORMACIÓN RECURSO DE TI
Efectividad P Personal X
Eficiencia S Aplicaciones X
69
Confiabilidad P Tecnología X
Integridad P Instalaciones X
Disponibilidad S Información X
Cumplimiento P
Requerimientos de negocio que satisface: Alcanzar un nivel estable entre la oferta y demanda de recursos de TI para asegurar el cumplimiento de objetivos de seguridad de los sistemas informáticos de Estadísticas.
Declaración de Controles que lo hacen posible: Realizar una planeación estratégica la cual debe ser emprendida y aplicada en intervalos de tiempo determinados, lo cual permita alcanzar objetivos planteados a largo y corto plazo.
Prácticas de Control que se consideran: Definición de objetivos de negocio y necesidades de TI Inventario de soluciones tecnológicas e infraestructura actual Cambios organizacionales Estudios de factibilidad oportunos Evaluación de sistemas existentes
Objetivos de Control de bajo nivel: La tecnología de información como parte del plan de la organización acorto y largo plazo Plan de TI a largo plazo Enfoque y estructura de la planificación de TI a largo plazo Cambios del plan de TI a largo plazo Planificación a corto plazo de la función servicios de información Evaluación de los sistemas existentes
Código PO3
Nombre de Proceso: Determinación de la dirección tecnológica
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal
Eficiencia P Aplicaciones
Confiabilidad S Tecnología X
Integridad P Instalaciones X
Disponibilidad S Información
Cumplimiento P
Requerimientos de negocio que satisface: Aprovechar la tecnología disponible.
Declaración de Controles: La creación y mantenimiento de un plan de infraestructura tecnológica inmerso en las necesidades del departamento.
Prácticas de Control que se consideran: Capacidad de adecuación y evolución de la infraestructura actual Monitoreo de desarrollos tecnológicos Plan de contingencias Planes de adquisición
Objetivos de Control de bajo nivel: Planificación de la infraestructura tecnológica Monitoreo de las futuras tendencias y reglamentaciones Contingencias de la infraestructura tecnológica Planes de adquisición de hardware y software Normas de tecnología Definición de la organización
Código PO4
Nombre de Proceso: Definición de la organización y las relaciones de TI
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia S Aplicaciones
Confiabilidad P Tecnología X
Integridad P Instalaciones
Disponibilidad P Información X
Cumplimiento S
Requerimientos de negocio que satisface: Prestación de servicios de TI
Declaración de Controles: Una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas
Prácticas de Control que se consideran: Comité de dirección Responsabilidad a nivel de alta gerencia o del consejo Propiedad, custodia y supervisión Segregación de funciones Roles y responsabilidades Niveles de asignación de personal Personal clave
Objetivos de Control de bajo nivel: Planificación de la función servicios de información o el comité de dirección Ubicación de los servicios de información en la organización Revisión de los logros organizacionales Roles y responsabilidades Responsabilidad por garantía de calidad
70
Responsabilidad por la seguridad lógica física Propiedad y custodia Propiedad de los datos y sistemas Supervisión Distribución de tareas Personal de TI Descripciones de los cargos o puestos del personal de la función servicios de información Personal clave de TI Procedimientos relativos al personal contratado Relaciones
Código PO9
Nombre de Proceso: Evaluación de riesgos
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad S Personal X
Eficiencia S Aplicaciones X
Confiabilidad P Tecnología X
Integridad P Información X
Disponibilidad P
Cumplimiento S
Requerimientos de negocio que satisface: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI
Declaración de Controles: La participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos
Prácticas de Control que se consideran: Diferentes tipos de riesgos de TI Alcance: Global o de sistemas específicos Actualización de evaluaciones de riesgos Medición de riesgos cualitativos y/o cuantitativos Plan de acción de riesgos
Objetivos de control de bajo nivel: Evaluaciones de riesgos de negocio Enfoque de la evaluación de riesgos Identificación de riesgos Medición de riesgos Plan de acción de reducción de riesgos Aceptación de riesgos
ADQUISIÓN E IMPLEMENTACIÓN Código AI3
Nombre de Proceso: Adquisición y mantenimiento de arquitectura de software
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal
Eficiencia P Aplicaciones
Confiabilidad Tecnología X
Integridad S Información
Disponibilidad
Cumplimiento
Requerimientos de negocio que satisface: Proporcionar las plataformas apropiadas que soporten los sistemas que se utilizan en el departamento.
Declaración de Controles: Evaluar el funcionamiento del software, proveer mantenimiento de las aplicaciones y funcionamiento en general de los sistemas de forma periódica, verificar y controlar la seguridad de los sistemas.
Prácticas de Control que se consideran: Evaluación de la tecnología existente. Mantenimiento preventivo de hardware. Seguridades de software.
Objetivos de control de bajo nivel: Evaluación del hardware y software nuevos Mantenimiento preventivo del hardware Seguridad del software de sistemas Instalación del software de sistemas Mantenimiento del software de sistemas Controles de cambios del software de sistemas
Código AI4
Nombre de Proceso: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia P Aplicaciones X
Confiabilidad Tecnología X
Integridad S Información X
Disponibilidad
Cumplimiento S
71
Requerimientos de negocio que satisface: Asegurar el uso apropiado de las aplicaciones y las soluciones tecnológicas establecidas
Declaración de Controles: Llevar un enfoque estructurado de los manuales y procedimientos y operaciones que se desarrollan.
Prácticas de Control que se consideran: Procedimientos de controles. Documentación Procedimientos de operatividad.
Objetivos de control de bajo nivel: Requerimientos operativos y niveles de servicio futuros Manuales de procedimientos del usuario Manual de operaciones Materiales de capacitación
ENTREGA DE SERVICIOS Y SOPORTE
Código DS1
Nombre de Proceso: Definición de niveles de Servicio
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia P Aplicaciones X
Confiabilidad S Tecnología X
Integridad S Información X
Disponibilidad S
Cumplimiento S
Requerimientos de negocio que satisface: Establecer una comprensión común del nivel de servicio requerido
Declaración de Controles: El establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio.
Prácticas de Control que se consideran: Convenios formales Definición de responsabilidades Tiempos y volúmenes de espera Dependencias Cargos Garantías de seguridad Convenios de confidencialidad
Objetivos de control de bajo nivel:
Marco de referencia para el convenio de nivel de servicio
Aspectos sobre los convenios de nivel de servicio
Procedimientos de desempeño
Monitoreo y soporte
Revisión de convenios y contratos de nivel de servicio
Elementos sujetos a cargo
Programa de mejoramiento del servicio
Código DS3
Nombre de Proceso: Administración de desempeño y capacidad
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal
Eficiencia P Aplicaciones X
Confiabilidad Tecnología X
Integridad Información X
Disponibilidad S
Cumplimiento
Requerimientos de negocio que satisface: Asegurar que la capacidad adecuada esté disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado
Declaración de Controles: Controles de manejo de capacidad y desempeño que recopilan datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones , manejo y demanda de recursos
Prácticas de Control que se consideran: Requerimientos de disponibilidad y desempeño Monitoreo y reportes Herramientas de modelado Administración de capacidad Disponibilidad de recursos
Objetivos de control de bajo nivel: Requerimientos de disponibilidad y desempeño Plan de disponibilidad Monitoreo e informes Herramientas para la creación de modelos Administración proactiva del desempeño Pronósticos de la carga de trabajo Administración de la capacidad de los recursos
72
Disponibilidad de recursos Lista de recursos
Código DS4
Nombre de Proceso: Asegurar la continuidad del servicio
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia S Aplicaciones X
Confiabilidad Tecnología X
Integridad Información X
Disponibilidad P
Cumplimiento
Requerimientos de negocio que satisface: Mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones
Declaración de Controles: Un plan de continuidad probado y funcional que este alineado con el plan de continuidad de negocio y relacionado con los requerimientos de negocio
Prácticas de Control que se consideran: Clasificación de severidad Plan documentado Procedimientos alternativos
Objetivos de control de bajo nivel: Marco de continuidad de TI Estrategia y Filosofía del plan de continuidad de TI Contenido del plan de continuidad de TI Reducción de los requerimientos de continuidad de TI Mantenimiento del plan de continuidad de TI Prueba del plan de continuidad de TI. Capacitación para el plan de continuidad de TI Distribución del plan de continuidad de TI Procedimientos de resguardo del procesamiento alternativo del departamento usuario Recursos críticos de TI Hardware y sitio de resguardo Procedimientos de resumen
Código DS5
Nombre de Proceso: Garantizar la seguridad de sistemas
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad Personal X
Eficiencia Aplicaciones X
Confiabilidad P Tecnología X
Integridad P Información X
Disponibilidad S
Cumplimiento S
Requerimientos de negocio que satisface: Salvaguardar la información contra usos no autorizados, divulgación , modificación, daño o pérdida
Declaración de Controles: Controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios utilizados
Prácticas de Control que se consideran: Autorización Autenticación Acceso Perfiles e identificación de usuarios Administración de llaves criptográficas Manejo, reporte y seguimiento de incidentes Prevención y detección de virus Firewalls
Objetivos de control de bajo nivel: Administración de medidas de seguridad Identificación, autenticación y acceso Seguridad del acceso en línea Administración de cuentas de usuarios Revisión de la gerencia de cuentas de usuarios Control de los usuarios de las cuentas de los usuarios Supervisión de la seguridad Clasificación de datos Administración centralizada de identificaciones y derechos de acceso Informes de violación y actividades de seguridad Manejo de incidentes Re acreditación Confianza en la contraparte Autorización de transacción Sin rechazo Ruta de acceso confiable Funciones de protección de seguridad Administración de claves criptográficas
73
Corrección, detección y prevención de software malicioso Arquitectura de “firewall” y conexiones con redes públicas Protección del valor electrónico
Código DS7
Nombre de Proceso: Educación y entrenamiento de usuarios
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia S Aplicaciones
Confiabilidad Tecnología
Integridad Información
Disponibilidad
Cumplimiento
Requerimientos de negocio que satisface: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados
Declaración de Controles: Plan completo de entrenamiento y desarrollo
Prácticas de Control que se consideran: Currículum de entrenamiento Campañas de concientización Técnicas de concientización
Objetivos de control de bajo nivel: Identificación de las necesidades de capacitación Organización de la capacitación Principios de seguridad y capacitación para la concientización
Código DS11
Nombre de Proceso: Administración de datos
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad Personal
Eficiencia Aplicaciones
Confiabilidad P Tecnología
Integridad P Información
Disponibilidad
Cumplimiento
Requerimientos de negocio que satisface: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización y almacenamiento
Declaración de Controles: Una combinación efectiva de controles generales y de aplicación sobre las operaciones TI
Prácticas de Control que se consideran: Diseño de formatos Controles de documentos fuente Controles de entrada Controles de procesamiento Controles de salida Identificación, movimiento y administración de la librería de medios Administración de almacenamiento y respaldo de medios Autenticación e integridad
Objetivos de control de bajo nivel: Procedimientos de preparación de datos Procedimientos de autorización de documentos fuente Recopilación de datos de documentos fuente Manejo de errores de documentos fuente Conservación de documentos fuente Procedimientos de autorización de entrada de datos Verificaciones de exactitud, totalidad y autorización Manejo de errores de entrada de datos Integridad del procesamiento de datos Validación y edición del procesamiento de datos Manejo de errores del procesamiento de datos Manejo y conservación de salidas Distribución de salidas de datos Balance y conciliación de salidas de datos Revisión y manejo de errores de salidas de datos Seguridad de los informes de salida Protección de información crítica durante la transmisión y el transporte Protección de información crítica ordenada Administración del almacenamiento Períodos de conservación y almacenamiento Sistema de administración de bibliotecas de medios Responsabilidades de administración de bibliotecas de medios Resguardo y restauración Tareas de resguardo Almacenamiento de resguardos
74
Archivos Protección de mensajes Autenticación e integridad Integridad de la transacción electrónica Integridad permanente de datos almacenados
Código DS12
Nombre de Proceso: Administración de instalaciones
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad Personal
Eficiencia Aplicaciones
Confiabilidad Tecnología
Integridad P Información
Disponibilidad P
Cumplimiento
Requerimientos de negocio que satisface: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas
Declaración de Controles: La instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
Prácticas de Control que se consideran: Acceso a instalaciones Identificación del centro de cómputo Seguridad física Salud y seguridad del personal Protección contra amenazas ambientales
Objetivos de control de bajo nivel: Seguridad física Discreción del sitio de TI Acompañantes de visitas Seguridad e Higiene del personal Protección contra factores ambientales Fuentes de alimentación de energía interrumpible
Código DS13
Nombre de Proceso: Administración de operaciones
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia P Aplicaciones X
Confiabilidad Tecnología
Integridad S Información X
Disponibilidad S
Cumplimiento
Requerimientos de negocio que satisface: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada
Declaración de Controles: Calendarización de actividades de soporte que se registra y completa en cuanto al logro de todas las actividades
Prácticas de Control que se consideran: Manual de procedimiento de operaciones Documentación de procedimientos de arranque Administración de servicios de red Calendarización de personal y cargas de trabajo Proceso de cambio de turno Registro de eventos de sistemas
Objetivos de control de bajo nivel: Manuales de operaciones, procedimientos e instrucciones de procesamiento Documentación del proceso depuesta en marcha y otras operaciones Cronogramas de trabajo Desviaciones de los cronogramas estándar de trabajo Continuidad del procesamiento Registros de operaciones Operaciones remotas
MONITOREO
Código M1
Nombre de Proceso: Monitoreo del proceso
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia S Aplicaciones X
Confiabilidad S Tecnología
Integridad S Información X
Disponibilidad S
75
Cumplimiento S
Requerimientos de negocio que satisface: Asegurar el logro de los objetivos establecidos para los procesos de TI
Declaración de Controles: Por parte de gerencia reportes e indicadores de desempeño gerenciales, la implementación de sistemas de soporte así como la atención regular a los reportes emitidos
Prácticas de Control que se consideran: Indicadores clave de desempeño Factores críticos de éxito Evaluación de satisfacción de clientes Reportes gerenciales
Objetivos de control de bajo nivel: Recopilación de datos de monitoreo Evaluación del desempeño Evaluación de la satisfacción del cliente Informes de la administración
Código M2
Nombre de Proceso: Evaluar lo adecuado del control interno
CRITERIOS DE INFORMACIÓN RECURSOS DE TI
Efectividad P Personal X
Eficiencia P Aplicaciones X
Confiabilidad S Tecnología X
Integridad S Información X
Disponibilidad S
Cumplimiento S
Requerimientos de negocio que satisface: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI
Declaración de Controles: Compromiso de la gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular
Prácticas de Control que se consideran: Monitoreo permanente de control interno Comparación con mejores prácticas Reportes de errores y excepciones Autoevaluaciones Reportes gerenciales
Objetivos de control de bajo nivel: Monitoreo de los controles internos Operación oportuna de los controles internos Informe de nivel de los controles internos Garantía de los controles internos y seguridad de operaciones
De las plantillas seleccionadas de COBIT se desarrolla la guía de evaluación de los sistemas
informáticos del área de Estadística del Hospital “Julius Doepfner” de Zamora y el software de
evaluación Evalsis para cumplir con el propósito de la presente Tesis.
4.6. Guía para evaluar los sistemas informáticos de Estadística del Hospital “Julius
Doepfner” de Zamora
Una estructura es la disposición y orden de las partes dentro de un todo; es un conjunto de
secuencias que permiten cumplir un fin determinado; partiendo desde este punto la guía debe ser
aplicable para la evaluación de los sistemas actuales que se ejecutan en el departamento de
Estadística del Hospital “Julius Doepfner” de Zamora, por lo tanto los pasos propuestos a seguir
para evaluar los sistemas y tecnología informática en general se detallan a continuación.
Actualización de la guía: Es necesario conocer que la guía debe ser actualizada periódicamente
al menos una vez al año ya que en base al cambio de tecnologías informáticas del departamento
se afectará los niveles y usuarios de evaluación.
76
Beneficios: Contar con una guía para evaluar la tecnología informática de un determinado
departamento es necesario y fundamental ya que a través de ésta se podrá identificar los errores
de TI.
ETAPA I: CONTAR CON AUTORIZACIÓN DE AUTORIDADES
1) Permisos
Es importante durante la primera etapa contar con los permisos y autorización de autoridades de la
institución previo a ejecutar un proceso de evaluación, debido a que en éste tipo de actividades se
hace uso de la información, datos, documentación, sistemas, hardware y declaraciones de los
funcionarios, en este caso específicamente por ser una institución pública con más razón es
necesario dejar constancia de que se cuenta con el permiso y apoyo de los líderes institucionales y
departamentales para ejecutar las investigaciones necesarias y conocer la realidad vigente.
a. Solicitar permiso para realizar la guía de evaluación de los sistemas informáticos.
Los pasos a seguir que se sugiere son:
Dialogar con la autoridad de la Institución sobre el proyecto que se pretende ejecutar e
implementar, previo a realizar la solicitud de permiso.
Elaborar solicitud de permiso al Director del Hospital “Julius Doepfner” de Zamora
Ciudad, fecha de solicitud
Nombre del destinatario CARGO QUE DESEMPEÑA EL DESTINATARIO Ciudad.- De mi consideración: Por medio del presente “realizar saludo al destinatario”; aprovecho esta oportunidad muy respetuosamente para solicitarle de la manera más comedida lo siguiente: “Especificar el motivo de la solicitud y pedir la autorización correspondiente para realizar la investigación pertinente”, indicar el área de la institución en dónde se aplicará y desarrollará el proyecto, además indicar y resaltar un compromiso de confidencialidad con los datos e información obtenida durante el proceso; definir los beneficios que traerá al departamento o institución que el destinatario dirige.
Agradecimiento por la atención prestada y despedida. Atentamente, Firma del solicitante (s) NOMBRE DE SOLICITANTE(s)
Definir si existe o no la aprobación por parte de la autoridad de la Institución en donde se
ejecutará el proyecto.
2) Entrevista preliminar
La entrevista preliminar es fundamental para conocer cómo están funcionando los procesos,
recurso humano, equipamiento, entre otros antes de iniciar el desarrollo de la guía de evaluación y
en base a ésta definir los objetivos necesarios.
Los pasos sugeridos para realizar la entrevista preliminar son:
Preparar al entrevistado (enviar la entrevista al menos 48 horas antes de realizarla)
77
Realizar entrevista al mayor número de usuarios del departamento.
Análisis de entrevistas.
Determinar resultados de las entrevistas realizadas.
Determinar conclusiones de las entrevistas.
ETAPA II: EVALUACIÓN DE LA TECNOLOGÍA INFORMÁTICA
La segunda etapa es la definición y estructura de la guía, se presenta los parámetros necesarios
para evaluar la tecnología informática que se utiliza, además del funcionamiento y usabilidad que
se da a la misma.
Se ha definido una evaluación por el tipo de usuario existente en el departamento, en este caso
interactúan tres tipos de usuarios evaluadores de la tecnología informática interactúan: líder
departamental, técnico responsable y usuario final ya que el nivel de cumplimiento y
responsabilidad frente a las TI es diferente para cada uno, además el nivel de compresión de los
términos técnicos difiere según sus conocimientos y funciones dentro del departamento.
La guía de evaluación se detalla a continuación:
1) Evaluación del Líder Departamental
El líder departamental es el responsable de un área institucional específica, es quien está a cargo
de liderar y dirigir un grupo humano, equipamiento, software y demás activos, por tanto debe ser
capaz de analizar la problemática existente, gestionar recursos y capacitaciones para los
funcionarios, tomar decisiones efectivas y acertadas cuando el caso lo requiera.
En tal virtud los puntos específicos que debería cumplir el Líder departamental frente a la
tecnología informática, usuarios y equipamiento a su cargo son:
a. Definir los objetivos institucionales claros y alcanzables
Es necesario que el Líder departamental defina metas factibles de realizar a corto y largo
plazo (de preferencia semestral o anual), ya que esto permitirá plantear actividades
acordes a lo que se desea alcanzar como departamento.
b. Definir planes de adquisición de hardware y software
Tener claro lo que se necesita adquirir en equipamiento y software para mejorar el
desempeño de las actividades de los funcionarios es fundamental, por lo tanto deben existir
planes para realizar adquisiciones y de esta manera evitar adquirir equipos y sistemas que
no sirvan para el propósito que se necesita alcanzar.
c. Planificar y definir un comité encargado de detallar las funciones de servicio de los
usuarios
Se deben detallar las funciones que debe cumplir cada usuario del sistema informático a su
cargo ya que de esto depende que se ejecuten todas las actividades correctamente. Para
78
realizar el detalle de funciones es necesario que se conforme un comité el mismo que
planificará y definirá cada función del usuario final.
d. Conocer la responsabilidad con la tecnología informática por parte de alta gerencia
Todos los funcionarios especialmente el Líder departamental deben conocer que la
tecnología informática existente en el área es sumamente importante para el desempeño
de las funciones de todos los empleados, por tanto contar con la responsabilidad y
compromiso de los líderes permitirá que se concientice a todos los funcionarios.
e. Determinar custodios de TI
La tecnología informática departamental es uno de los activos más importantes en la
actualidad de todas las organizaciones, es por eso que resguardar el equipamiento es
crucial si se desea evitar posibles pérdidas. Con este antecedente es necesario asignar
custodios de la tecnología informática del área, dichos custodios estarán a cargo de velar
por el bien que se le asigne hasta que el líder lo disponga.
f. Determinar un técnico responsable del sistema y su equipamiento informático
Es necesario que exista un técnico responsable de un sistema informático y del hardware
que ocupa el software, para que pueda estar al tanto de los incidentes que se presenten
con los activos físicos y el sistema correspondiente. El técnico será designado por el líder
departamental, o podrá ser el técnico informático de la institución quien esté como
responsable.
g. Definir relaciones de trabajo
La relación laboral entre compañeros de trabajo es fundamental para que los objetivos
departamentales se cumplan a cabalidad, por tanto es responsabilidad del líder dar a
conocer los reglamentos internos de la correcta convivencia entre funcionarios y evitar que
posibles inconvenientes de los empleados afecten el ambiente laboral y el convivir diario en
el departamento.
h. Desarrollar inventarios detallados de la tecnología informática
Se debe documentar e inventariar todos los activos físicos y digitales, además es necesario
mantener actualizado el estado de la tecnología informática. Dicha actividad permitirá
conocer ¿con qué se cuenta? y ¿en qué estado están los equipos y sistemas informáticos
departamentales?
i. Debe existir convenios y compromisos de confidencialidad de la información por
parte de todos los usuarios del sistema
Considerando que la información departamental es un activo sumamente importante ya que
en ésta reposa toda la producción generada de las actividades que realizan los usuarios del
sistema, es primordial establecer políticas que determinen compromisos de
confidencialidad y discreción absoluta de la información existente en el departamento, para
así evitar posible pérdida, duplicidad y alteración de los datos con los que se cuenta en el
área.
79
j. Se debe desarrollar un plan documentado de continuidad, para prolongar las
actividades del sistema informático y su equipamiento tecnológico
“Se entiende por Plan de Contingencia los procedimientos alternativos a la operación
normal en una organización, cuyo objetivo principal es permitir el continuo funcionamiento y
desarrollo normal de sus operaciones, preparándose para superar cualquier eventualidad
ante accidentes de origen interno o externo, que ocasionen pérdidas importantes de
información”
Es por ello que se debe contar con plan de contingencias donde se detalle los pasos a
seguir para reestablecer y continuar con las funciones lo antes posible para que las
actividades y la producción no se detengan en el departamento.
k. El plan de continuidad debe contener estrategias y filosofías de trabajo para la
puesta en marcha
El plan de continuidad debe documentarse con estrategias claras que faciliten su ejecución,
además debe detallar la filosofía de trabajo (cómo se va a ejecutar) para que el usuario que
ponga en marcha el plan de contingencias comprenda lo que debe hacer y cómo debe
hacerlo, y de esta manera evitar contratiempos.
l. El contenido del plan de continuidad debe ser entendible a todos los usuarios
ejecutores
El plan de contingencias debe estar diseñado con un lenguaje comprensible a todos los
usuarios que lo van a ejecutar, y debe ser lo más detallado posible para evitar que el
usuario se confunda en el proceso.
m. El mantenimiento y actualización del plan de continuidad de TI debe ser constante y
basarse en la realidad institucional
El plan de contingencias que se diseñe para la tecnología informática departamental debe
ser actualizado constantemente. Es oportuno realizar cambios cuando: “se cambia,
incrementa o modifica los bienes y sistemas informáticos”, “cada cierto período de tiempo,
ej.: 6 meses”, “cuando la realidad departamental cambia por motivos institucionales”, etc.
n. Se deben realizar pruebas de funcionalidad del plan de continuidad de TI
Todo plan de continuidad debe ser probado antes de la puesta en marcha para de esta
manera evaluar su efectividad, identificar los puntos críticos y así poder fortalecer con una
retroalimentación, ya que de esto depende que cuando se ejecute funcione correctamente.
o. Se debe capacitar en el plan de continuidad de TI a todos los usuarios del sistema
Una vez esté listo el plan de contingencias y aprobado por la autoridad pertinente se debe
capacitar al usuario ejecutor en su correcto funcionamiento, para que en caso de
presentarse incidentes que ameriten su puesta en marcha sea posible su funcionamiento
rápido y oportuno evitando la menor cantidad de contratiempos posibles para evitar fallas
futuras.
80
p. Se debe realizar la distribución del plan de continuidad de TI a todos los usuarios
inmersos en la funcionalidad y usabilidad del sistema
El plan de contingencias de TI debe ser entregado a todos los usuarios que van a
ejecutarlo, debe estar claro y contener toda la documentación del plan.
q. Verificar la existencia de un sitio físico seguro para el aseguramiento del hardware
que ocupa el sistema
El lugar físico donde reposen los equipos que utiliza el sistema informático debe ser seguro,
al cual deben tener acceso únicamente los usuarios autorizados.
Se sugiere:
El usuario del sistema debe verificar que los cables de conexión no sean pisados al
colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un
reubicación con el técnico informático.
Cuando se necesite efectuar varios cambios de los equipo de cómputo por reubicación
de trabajo o cambios locales, éstos deberán ser notificados con tres días de
anticipación al técnico informático.
Se debería prohibir rotundamente que el usuario o funcionario abra o destape los
equipos de cómputo, sólo el técnico informático debe realizar este proceso.
r. Debe existir un administrador de perfiles, el cual deberá detallar los roles de cada
usuario dentro del sistema
Es necesario que el técnico responsable del sistema informático y administrador de los
perfiles de usuario especifique detalladamente las funciones que deben cumplir cada
usuario del sistema.
s. Debe existir seguridad física para los equipos, personal y demás recursos
La seguridad física no debe incluir sólo equipos sino también debe existir seguridad para el
recurso humano departamental ya que el personal es el activo más importante de una
organización, es por eso que el lugar de trabajo debe ser seguro para el hardware y
además se debe contar la seguridad correspondiente para el personal.
t. El lugar designado para el sistema y hardware debe estar identificado y etiquetado
El lugar que se designe para las TI departamentales debe ser identificado para que los
nuevos usuarios identifiquen y se adapten con facilidad, además para que exista un lugar
correctamente identificable para los usuarios externos.
u. Se debe establecer políticas de higiene que debe cumplir el personal para el
hardware; y proveer los implementos y suministros necesarios para que este ítem se
cumpla a cabalidad
Como sugerencia se detalla:
Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o
ingerir líquidos.
81
Se debe evitar colocar objetos encima del equipo cómputo o tapar las salidas de
ventilación del monitor o del CPU.
Se debe mantener el equipo informático en un lugar limpio y sin humedad.
v. Se debe contar con fuentes de alimentación de energía ininterrumpible para prevenir
posibles cortes de funcionamiento de los equipos
Es necesario que los equipos de cómputo del departamento cuenten con una conexión
eléctrica segura, es por eso que el líder departamental debe gestionar en caso de no existir
aún, la adquisición y conexión de un equipo UPS para que el hardware no deje de
funcionar cuando se presenten cortes eléctricos y evitar contratiempos con los sistemas y
actividades de los funcionarios.
w. Desarrollar y determinar indicadores de desempeño para todos los usuarios del
sistema
Es función del responsable de cada unidad departamental levantar un perfil de desempeño
de cada funcionario, en el cual deben estar detalladas las actividades más relevantes que
debe cumplir y la meta propuesta a alcanzar.
x. Realizar evaluación de desempeño de todos los usuarios del sistema
Se debe evaluar al menos anualmente el desempeño de cada usuario del sistema
informático en base a los lineamientos planteados en el perfil de desempeño para verificar
el nivel de cumplimiento de cada funcionario.
y. Evaluar el nivel de satisfacción de los usuarios del sistema
Es importante conocer si los usuarios están o no satisfechos con el sistema que manejan,
es por eso que se debe evaluar periódicamente al usuario, ya que esto permite identificar si
el sistema está facilitando el trabajo del usuario y si se pueden realizar mejoras en el
mismo.
A continuación se resume en la tabla N°17 los objetivos de control de cada dominio de COBIT que
intervienen en la parte de la guía especificada para el líder departamental:
Tabla 17: Resumen de los Objetivos de Control de los Dominios de COBIT que se Cumplen con la guía de Evaluación – Usuario: Líder Departamental
OBJETIVO DE CONTROL ITEMS
PO1 a
PO3 b
PO4 c, d, e, f, g
AI4 h
DS1 i
DS4 j, k, l, m, n, o, p, q
DS5 r
DS12 s, t, u, v
M1 w, x, y
Fuente: guía de evaluación de SI Elaborado por: Autoras, 2015
82
2) Evaluación Técnico Responsable del sistema
El Técnico Responsable del Sistema, es un profesional especializado en informática y nuevas
tecnologías, por tanto debe estar preparado y poseer conocimientos en hardware, software,
redes, mantenimientos, proyectos, entre otros tipos de habilidades y destrezas que le permitan
y faciliten su accionar laboral a cargo de la tecnología informática del área o institución que se
le asigne. Por tanto los puntos más relevantes que debería considerar un Técnico informático
para evaluar las TI se proponen a continuación:
a. Debe registrar los incidentes que afecten al hardware y al sistema informático
El técnico responsable de sistema informático debe registrar todos los inconvenientes
que se presentan y afectan al sistema y su equipamiento ya que esto permitirá contar
con una bitácora de incidentes.
b. Supervisar periódicamente el hardware y sistema informático
Es función del técnico informático revisar el sistema informático y su equipamiento
tecnológico de forma periódica de acuerdo a un cronograma previamente establecido
para evitar incidentes futuros.
c. Determinar pros y contras de utilizar el sistema informático y su hardware
Es importante que el técnico responsable verifique y detalle las ventajas y desventajas
que se presentan al utilizar el sistema informático y su equipamiento tecnológico para
poder determinar acciones para mejorar el funcionamiento en caso de que se detecte
falencias.
d. Definir planes de adquisición de hardware para el correcto funcionamiento del
sistema informático
Para que el líder departamental gestione la adquisición de equipamiento informático es
necesario que el técnico responsable emita un informe generando la necesidad
debidamente justificada y enfocada en un plan previamente establecido.
e. Evaluar exhaustivamente el funcionamiento del sistema informático
Es primordial y cargo del técnico responsable evaluar exhaustivamente el
funcionamiento del sistema al menos semestralmente, en el cual debe revisar y
documentar de forma detallada todo proceso y función del software, esta actividad
permitirá identificar errores internos y de procesamiento.
f. Realizar mantenimientos preventivos continuos de hardware
El técnico responsable de las TI departamentales debe realizar soporte preventivo de
equipos informático, entre los cuales se sugiere:
Limpieza de hardware.
Cambio de piezas
Cambio de aceites y lubricantes
El mantenimiento preventivo debe evitar los fallos en el equipo antes de que estos
ocurran.
83
g. Verificar y mantener las seguridades del sistema informático
Es responsabilidad del técnico informático verificar constantemente la seguridad del
sistema, es decir que para el correcto funcionamiento debe contar con lo necesario y
así evitar daños; para esto es importante:
Que en el equipo esté instalado únicamente el software indispensable.
Que los usuarios conozcan el correcto funcionamiento para no ejecutar acciones
indeseadas.
Que se de mantenimiento preventivo periódicamente previa planificación.
Entre otras actividades que el técnico considere importantes, etc.
h. Registrar las actualizaciones que se realizan en el sistema informático
Es fundamental que el técnico registre de forma detallada cada proceso de
actualización que se genere en el sistema informático, para que se cuente con dicha
información cuando sea necesario y conocer cada actividad realizada, fechas del
proceso y detalle de la actualización del sistema.
i. Identificar las posibles actualizaciones que deben hacerse a las funciones del
sistema
El técnico responsable debe identificar mediante un estudio del sistema qué funciones
necesitan ser actualizadas de acuerdo a la demanda vigente, es decir cada cierto
período de tiempo verificar las funciones propensas a una actualización, la misma que
se hará en mejora de la actividad actual que cumple dicha función.
j. Generar una guía de las actividades que cada función del sistema cumple
Es necesario que el usuario cuente con una guía detallada de las funciones que cumple
el sistema informático que utiliza.
k. Preparar y organizar la temática a tratar en la capacitación de usuarios
Previo a dictar una capacitación a los usuarios es necesario que el Técnico prepare la
temática, estructure la documentación y verificar que sea comprensible al usuario que
recibirá dicha capacitación.
l. Documentar los servicios que el sistema brinda para cada perfil de usuario
Es responsabilidad del técnico documentar de forma detallada a qué funciones tiene
acceso el usuario de acuerdo al perfil que cumple dentro del sistema, y de esta manera
evitar el desconocimiento de los usuarios.
m. Evaluar el desempeño del sistema monitoreando los tiempos de espera y
respuesta
El técnico responsable del sistema debe evaluar los tiempos de espera del sistema (es
decir si el tiempo es largo, corto o medio que un usuario espera para que responda el
sistema o una de sus funciones), además los tiempos de respuesta. (Cuánto tiempo
demora el sistema en responder a una función u orden que ejecuta el usuario).
84
n. Dar soporte técnico a los procesos del sistema y realizar los cambios que
necesita el usuario
Es necesario que el técnico responsable del soporte a los procesos que ejecuta el
sistema para identificar errores, o realizar cambios que se deban ejecutar para mejorar
el desempeño.
o. Debe existir un plan de requerimientos de disponibilidad y desempeño del
sistema
El plan de requerimiento y desempeño es necesario para identificar:
Si el sistema está siendo utilizado y si está disponible para el uso.
Además para conocer el nivel de desempeño (excelente, bueno, malo, regular,
obsoleto) del sistema.
p. Realizar un cronograma de inspecciones al sistema informático y su hardware
Los cronogramas de trabajo permiten organizar las fechas y plazos de las actividades,
es por ello que es fundamental que el técnico responsable desarrolle un cronograma
donde se especifique:
Nombre del sistema a inspeccionar
Fecha de inspección del sistema y hardware
Detalle del proceso a realizar
Incidentes presentados
Hallazgos
Entre otros puntos que considere necesarios e importantes.
q. Verificar que las funciones del sistema faciliten las actividades del usuario
Una de las actividades del técnico es verificar que el sistema y sus funciones estén
diseñado para facilitar el trabajo del usuario final, debe ser un puntal de ayuda no de
problemas, por eso el informático debe verificar que esto se cumpla o tomar los
correctivos correspondientes.
r. Revisar la capacidad de almacenamiento del equipo informático donde funciona
el sistema
Es fundamental que el equipo donde funciona el sistema informático cuente con los
requerimientos mínimos necesario, por tanto el técnico debe verificar que los
dispositivos de almacenamiento cubran las necesidades de acuerdo a información
diaria que se genera.
s. Registrar en un listado los recursos físicos y digitales del sistema que estén
disponibles
Se debe contar con un listado de los recursos físicos y digitales disponibles con los que
cuenta el sistema, el mismo que debe ser actualizado períodicamente.
85
t. Implementar medidas de respaldo de la información para conocimiento y
ejecución de los usuarios del sistema
Se deben implementar y disponer políticas de respaldo y almacenamiento de la
información que se genera, por tanto dichas políticas deben ser de fácil comprensión, y
regirse en las indicaciones propuestas por el técnico responsable para que el usuario
final puede ejecutar dicha tarea de la mejor manera posible y evitar posibles errores y
fallas futuras.
u. Identificar y registrar un listado de los principales recursos físicos y digitales del
sistema informático
El técnico debe identificar y registrar un detalle de los recursos más importantes con los
que cuenta el sistema informático tanto a nivel de hardware como de software.
v. Controlar que sólo los usuarios autorizados tengan acceso al sistema
El técnico debe verificar que el sistema controle el acceso de usuarios a través de la
solicitud de usuario y contraseña individual para que personal no deseado No acceda al
sistema sin la autorización pertinente.
w. Implementar políticas para la creación de usuarios y contraseñas
Se debe crear e implantar políticas para ingresar, modificar y eliminar los usuarios y
contraseñas del sistema, para que se lleve un control de dicho proceso.
x. Debe registrar, actualizar y documentar todos los cambios que realiza con los
usuarios del sistema
Es necesario que el técnico registre detalladamente cada cambio que realiza con los
usuarios, tales como: ingreso, eliminación, edición, cambios de perfil, entre otros.
y. Debe mantener un registro de incidentes de: violación de acceso, perfiles de
usuarios, funciones, etc.
Es responsabilidad del técnico informático llevar un registro detallado y actualizado de
los incidentes de seguridad que se presentan en el sistema.
z. Identificar y asignar a cada usuario actividades de protección del sistema
informático y su hardware
El técnico informático debe planificar y asignar a cada usuario una actividad específica
la misma que debe ir enfocada a la protección del sistema informático que utiliza. Se
sugieren algunas como ejemplo:
El usuario debe reportar de forma inmediata al técnico informático cuando detecte
un riesgo real o potencial sobre el hardware, tales como caídas de agua, choques
eléctricos, caídas o golpes, o peligro de incendio.
El usuario tienen el deber de preservar las unidades de almacenamiento que se
encuentren bajo su responsabilidad, aun cuando no se utilicen.
86
Es responsabilidad del usuario evitar en todo momento la salida de información del
departamento que se encuentre almacenada en los equipos de cómputo asignados
para el uso del sistema, entre otras.
aa. Proteger el sistema informático mediante el uso de software antivirus
Es necesario que el técnico instale y configure el software antivirus en el equipo del
sistema informático, además es necesario que se determinen políticas para los
usuarios, se sugieren:
Para prevenir infecciones por virus informático, los usuarios no deben hacer uso de
software que no haya sido proporcionado y autorizado por el técnico responsable.
Los usuarios deben verificar que la información y los medios de almacenamiento
autorizados, estén libres de cualquier tipo de virus, para lo cual deben ejecutar el
software antivirus autorizado por el técnico.
Ningún usuario o personal externo, podrá descargar software de sistemas, de correo
electrónico, de mensajería instantánea o redes sociales sin la autorización del
técnico responsable.
En caso de que el usuario sospeche de alguna infección por virus deberá dejar de
usar inmediatamente el equipo y notificar al Técnico para la revisión y erradicación
del virus, entre otras.
bb. Verificar y configurar las conexiones de red del equipo donde funciona el sistema
informático
El técnico informático es el único responsable de verificar y configurar las conexiones
de red de área local, conexiones remotas a redes internas o externas, intercambio de
información con otros equipos de cómputo utilizando el protocolo de transferencia de
archivos (FTP), u otro tipo de protocolo para la transferencia de información empleando
la infraestructura de red del departamento o institución.
cc. Debe actualizar periódicamente a los usuarios sobre cada cambio que sufre el
sistema
En caso de existir cambios o modificaciones en el sistema informático, es necesario que
el Técnico informe y capacite al usuario para que no tenga problemas en ejecutar el
sistema que utiliza.
dd. Realizar actividades de preparación y depuración de la información del sistema
El técnico informático debe planificar actividades que permitan preparar y depurar la
información generada del sistema, y de esta manera evitar duplicidad de datos, y
almacenar datos que no son importantes.
ee. Definir políticas del uso de la información del sistema
Es necesario que el técnico responsable defina y establezca políticas del uso correcto
de la información generada del sistema.
87
ff. Resguardar la información de origen del sistema
El técnico debe guardar y proteger toda la información inicial del sistema, ya que esto
permitirá reestablecer el sistema en caso de ser necesario, además de que dará
apretura para la rectificación de procesos inconcluos o mlas diseñados.
gg. Debe dar mantenimiento correctivo a los problemas de origen del sistema
En caso de detectar problemas con la información de origen del sistema es actividad y
responsabilidad del técnico dar mantenimiento correctivo para evitar contratiempos
posteriores.
hh. Verificar que los datos de salida del sistema sean registrados correctamente
El técnico debe revisar periódicamente que los datos de salida del sistema que son
generados por los usuarios sean registrados correctamente y se mantengan íntegros
durante dicho proceso.
ii. Verificar que el sistema realice cálculos internos para control de la salida de
información
El técnico tiene la responsabilidad de verificar y comprobar si el sistema a su cargo
realiza cálculos internos para controlar la salida de información.
jj. Verificar que la información del sistema esté protegida durante la transmisión y
transporte de datos
Es responsabilidad del técnico verificar que la información del sistema esté protegida
durante los procesos de transmisión y transporte de datos, para que no sea alterada ni
interrumpida.
kk. Comprobar los lugares de almacenamiento de la información del sistema
El técnico debe controlar periódicamente los sitios donde se almacenan los datos del
sistema, si se ha cambiado la ruta, si existen alteraciones de almacenamiento, entre
otros.
ll. Verificar los tiempos de almacenamiento de la información que genera el sistema
informático
El técnico debe verificar el tiempo que transcurre almacenada la información del
sistema informático, la misma que ha sido previamente respaldada por el usuario
ejecutor del sistema.
mm. Comprobar que los mensajes de ayuda del sistema estén protegidos de
cambios y ediciones por parte de los usuarios
Se debe verificar que la ayuda del sistema esté correctamente protegida, esto para que
ningún usuario, ni personal externo no autorizado pueda: editar, eliminar o cambiar la
información de la ayuda del sistema bajo ninguna circunstancia.
Únicamente y bajo las respectivas justificaciones, el técnico del sistema puede tener
acceso y realizar dicho proceso en caso de que lo crea necesario e importante para
mejorar el desempeño del sistema.
88
nn. Verificar que la información del sistema que ha sido almacenada esté completa e
íntegra
Cada cierto período de tiempo el técnico debe realizar procesos de verificación para
comprobar que la información almacenada del sistema esté completa y sin modificación
alguna, este proceso permitirá detectar posibles incidentes y fallas de almacenamiento.
oo. Comprobar que el sistema permita imprimir reportes de actividades de cada
usuario
El técnico debe comprobar que el sistema informático permita la impresión de reportes
de las actividades que realizan los usuarios dentro del software, y de esta manera
verificar los movimientos ejecutados, el cumplimiento de las actividades asignadas,
entre otros.
pp. Monitorear el funcionamiento interno del sistema de forma periódica
Es imprescindible que el técnico verifique y registre el funcionamiento interno del
sistema de acuerdo a un cronograma previamente planificado.
qq. Debe ejecutar evaluaciones constantes del funcionamiento interno del sistema
informático
Es necesario que se evalué de forma exhaustiva y periódica el funcionamiento del
sistema para contar con una bitácora de hallazgos, incidentes, y sugerir posibles
mejoras a realizar en una fecha futura.
A continuación se resume en la tabla N°18 los objetivos de control de cada dominio de COBIT que
intervienen en la parte de la guía especificada para el técnico responsable:
Tabla 18: Resumen de los Objetivos de Control de los Dominios de COBIT que se Cumplen con la guía de Evaluación – Usuario: Técnico Responsable
OBJETIVO DE CONTROL ITEMS
PO1 a, b, c
PO3 d
AI3 e, f, g, h
AI4 i, j, k
DS1 l, m, n
DS3 o, p, q, r, s
DS4 t ,u
DS5 v, w, x, y, z, aa, bb
DS7 cc,
DS11 dd, ee, ff, gg, hh, ii, jj, kk, ll, mm, nn
M1 oo
M2 pp, qq,
Fuente: guía de evaluación de SI Elaborado por: Autoras, 2015
3) Evaluación al Usuario final
El Usuario Final del Sistema, es el encargado de manipular y ejecutar del software para realizar
sus actividades laborales, por tanto el usuario evaluará desde su punto de vista.
89
Por lo tanto a continuación se propone los ítems de mayor relevancia para que se evalúe
desde la perspectiva de usuarios las TI departamentales:
a. El técnico debe instalar y verificar la funcionalidad del software en el equipo
donde funciona el sistema
El usuario debe verificar que el técnico responsable instale y compruebe la
funcionalidad el sistema que va a utilizar para evitar problemas posteriores.
b. Debe tener un manual comprensible de las operaciones del sistema
Es necesario que el funcionario cuente con un manual de usuario del sistema, el cual
debe estar claro, detallado y ser comprensible al lenguaje del usuario final, que será
quien ejecute el software.
c. El sistema debe solicitar su registro al momento del ingreso
El sistema debe pedir que se identifique para que pueda acceder al mismo y hacer uso
de las funciones que le corresponden de acuerdo a su perfil de usuario.
d. Debe acceder de forma individual al sistema
El usuario debe poseer un usuario y contraseña personal para acceder al sistema que
utiliza.
e. Debe cambiar la clave de acceso cuando lo requiera
El usuario debe tener la posibilidad de cambiar su contraseña de acceso al sistema
cuando crea necesario sin que esta actividad presente complicaciones en el proceso.
f. Ha comprobado si el sistema se bloquea cuando realiza varios intentos fallidos
El sistema debe bloquearse cuando un usuario autorizado o no autorizado realice varios
intentos fallidos para acceder al mismo.
g. El sistema debe restringir el acceso dependiendo de la hora y el día laboral
permitido
El sistema no debe permitir que ningún usuario acceda en horario y fechas no
autorizadas.
h. El sistema debe bloquear el acceso a un perfil de usuario que no le corresponde
Dependiendo del perfil de usuario que se asigne a un funcionario se deberá tener
acceso a cierto tipo de funciones. Ningún usuario debe tener acceso a procesos de
otro perfil de usuario que no le corresponde...
i. La interfaz gráfica del sistema debe ser agradable y comprensible
La interfaz o diseño del sistema debe ser amigable con el usuario.
j. El sistema debe permitir acceder a funciones mediante la combinación de teclas
El sistema debe funcionar con mouse y teclado; y debe tener activas las funciones de
acceso a menús mediante la combinación de teclas específicas.
k. El sistema debe ser de fácil manipulación y ejecución
El sistema deber ser de manipulación fácil para el usuario, ya que de esto depende la
adaptabilidad del mismo.
90
l. Las ayudas del sistema deben ser claras y constar únicamente las necesarias
para que usted se guíe
El sistema debe contar con las ayudas necesarias para guiar al usuario cuando lo
requiera, éstas deben ser claras y precisas para facilitar la comprensión.
m. Los textos del sistema deben ser agradables visualmente
El sistema debe presentar un diseño de los textos agradable visualmente de los
usuarios para no causar ruido visual.
n. Los formatos de salida de datos deben contener la información necesaria
El sistema debe contar con formatos claros, diseñados en base a lo que necesita
visualizar el usuario.
o. Debe tener un manual de procedimientos específicos
El usuario del sistema debe contar con un manual donde se detallen los procedimientos
del sistema, dicho manual debe ser creado o autorizado por el técnico informático.
A continuación se resume en la tabla N°19 los objetivos de control de cada dominio de COBIT que
intervienen en la parte de la guía especificada para el usuario final:
Tabla 19: Resumen de los Objetivos de Control de los Dominios de COBIT que se Cumplen con la guía de Evaluación – Usuario: Usuario final
OBJETIVO DE CONTROL ITEMS
AI3 a
AI4 b
DS5 c, d, e, f, g, h, i, j, k, l, m
DS11 n
DS13 o
Fuente: Guía de evaluación de SI Elaborado por: Autoras, 2015
4) Determinar conclusiones y recomendaciones
a. Conclusiones:
La guía de evaluación permitirá conocer los niveles de satisfacción de los usuarios
con la tecnología informática del departamento.
A través de los resultados que se obtengan de la ejecución de la guía el
Responsable departamental podrá tomar medidas correctivas con las Tics.
La guía permitirá detectar los inconvenientes que se presentan con el uso,
manipulación, conexiones, redes, software, hardware entre otros.
Separar por usuarios en el proceso de evaluación permitirá identificar los errores
que se están presentando por desconocimiento, falta de compromiso y escases de
capacitaciones a los usuarios dependiendo su función dentro del departamento.
b. Recomendaciones:
Es necesario que una vez se autorice realizar el proceso de evaluación todos los
usuarios se comprometan en responder con la verdad para que los datos sean
reales.
91
Previo a ejecutar la guía de evaluación es necesario que se comunique y detalle a
todos los usuarios en qué va a consistir el proceso y la finalidad de su aplicación.
Se recomienda realizar cuadros comparativos de resultados.
Es importante mediante los resultados tomar decisiones que permitan mejorar el
proceso o actividades que presentan problemas.
92
CAPÍTULO V:
EVALUACIÓN DE LOS SISTEMAS INFORMÁTICOS DE ESTADÍSTICA MEDIANTE EL
SOFTWARE DE “EVALSIS”
93
5.1. Introducción
En base a los lineamientos, documentación y estudios de la realidad actual descritos en los
apartados anteriores, y de acuerdo a la necesidad del presente proyecto de tesis es indispensable
enfocarse en el diseño de un software que permita aplicar la guía de evaluación de los sistemas
informáticos de Estadística elaborada en el capítulo IV, de ahí se desprende el software de
Evaluación “Evalsis”.
El software Evalsis permitirá automatizar el proceso de evaluación que se podría realizar
manualmente y generar tiempos demasiado largos, por lo que tratándose de mejorar esta situación
se desarrolla Evalsis para poder obtener resultados y en base a éstos lograr datos comparativos
que permitan sacar conclusiones rápidas y precisas.
Para desarrollar el software fue necesario generar preguntas claras para cada ítem que propone la
guía creada, por tanto éstas interrogantes están dirigidas igualmente de acuerdo a un perfil de
usuario evaluador, las interrogantes que constarán en el software se desarrollaron utilizando
plantillas de diseño para conocer varios parámetros. Para visualizar el detalle de las plantillas con
preguntas revise el Anexo 16.
La etapa de evaluación de los sistemas informáticos permitirá:
Determinar el estado actual de los sistemas que se manejan en el departamento.
Conocer el nivel de satisfacción de los usuarios de dicho software.
Verificar el funcionamiento del sistema y hardware.
Verificar las seguridades del software y hardware.
Determinar niveles de frecuencia de capacitación a usuarios.
Entre otros.
5.2. Metodología de desarrollo AUP
En pros de establecer como meta de diseño una metodología ágil que permita avanzar sin
contratiempos, y que establezca parámetros claros en su estructura se ha decido desarrollar el
software Evalsis mediante la metodología AUP, ya que ésta ofrece una manera simple de fácil de
comprensión para el desarrollo de aplicaciones.
5.2.1. Gestión del proyecto.
La metodología AUP propone cuatro etapas para la elaboración y desarrollo dentro de su
estructura, es por ello que para lograr el propósito de diseño es necesario ejecutar las etapas que
define la metodología, las cuales permitirán considerar los posibles riesgos, los recursos
necesarios, las pautas a seguir, etc.
La estructura general del desarrollo de la aplicación se ve reflejada en el gráfico que se expone a
continuación:
METODOLOGÍA AUP
94
Figura 22: Estructura general del desarrollo de Evalsis Fuente: Autoras, 2015 Elaborado por: Autoras, 2015
Con la metodología AUP se definirá el ámbito y objetivos del proyecto, se establecerá alcance,
riesgos, arquitectura y se termina con el plan de iteraciones.
Lo que se pretende realizar en esta etapa toma las siguientes fases que se decriben a
continuación:
5.2.2. Desarrollo del software Evalsis para evaluar los sistemas de Estadística.
I ETAPA: Iniciación (Documento de Visión)
En la primera etapa se realiza la definición de los objetivos propuestos y se da un acercamiento al
proceso de inicio del desarrollo del sistema. Durante esta primera etapa se detalla varias fases
(para ver de forma detalla revise el Anexo 17) entre las cuales están:
1) Posicionamiento: Se enfoca en la oportunidad de desarrollo, y en definir el problema y el
impacto de su ejecución en todo el proceso de desarrollo.
2) Descripción de actores: Da una descripción de cada uno de los actores y usuarios que
interactúan en el desarrollo y ejecución del sistema, sus funciones y roles.
3) Visión general del software: Da una representación gráfica y descrita del entorno del
software, además de sus beneficios y características.
4) Descripción del software: En esta parte se da una descripción de las funciones del
software.
II ETAPA: Elaboración
La segunda etapa de la metodología detalla la construcción de la arquitectura del software.
Revisar Anexo 18 para visualizar el documento completo, las fases son:
1) Perspectiva del software: Da una definición del software y hardware además de la
interfaz que interactúa con el usuario.
2) Funciones del software: Se detalla la función que cumple el hardware y software en el
desarrollo del sistema, además de las actividades del usuario.
INICIALIZACIÓN CONSTRUCCIÓN ELABORACIÓN
MODELO REQUERIMIENTO
REQUERIMIENTOS
NO FUNCIONALES
REQUERIMIENTOS
FUNCIONALES DOCUMENTO
DE VISIÓN
ANALISIS DISEÑO
MODELOS
DE DISEÑO
PROTOTIPO
MODELO
DE DATOS
IMPLANTACIÓN PRUEBA
S
PRUEBAS
MATERIAL DE
SOPORTE
EJECUTABLE
TRANSICIÓN
DESPLIEGUE
SOFTWARE
COMPLETO
PRUEBAS DE
ACEPTACIÓN
95
3) Consideraciones del software: Define los atributos que debe cumplir el software,
descripción de los actores participantes del software.
4) Identificación de requisitos: Se identifican los requerimientos funcionales de los módulos
del sistema, no funcionales referentes a la arquitectura de desarrollo.
5) Características de actores (usuarios): Define las características de los dos tipos de
actores usuarios y administrador.
6) Funciones específicas del software: Detalla las funciones específicas que permite
realizar el software.
7) Caso de uso general: Se genera el diseño del caso de uso general del software. Revisar
anexo 19.
8) Diagrama de clases: Diagrama de clases general del software. Anexo 20.
III ETAPA: Construcción
En la tercera etapa se presenta la construcción del sistema en base a los lineamientos planteados
en las dos primeras etapas de la metodología. Para revisar de forma detalla es necesario ver el
Anexo 21, a continuación se detalla las fases que se introducen en esta etapa:
1) Plan de Iteraciones: Estimación de tiempos de construcción de cada fase del proyecto.
2) Recursos: Detalla el recurso humano que estará a cargo de cada etapa del proyecto
3) Asignación de Recursos: Detalla el responsable de cada proceso de las etapas del
proyecto.
4) Criterios de Evaluación: Se define los criterios que se considerarán para la evaluación de
la etapa de Construcción.
IV ETAPA: Transición
La etapa de transición, es la última etapa del proyecto por tanto con ella se concluye y se ajusta
los problemas que aún se presentan en el software, se capacita al personal que utilizará el
sistema, y se brinda la asesoría necesaria al técnico que será responsable de Evalsis para la
instalación y puesta en marcha del software en los equipos pertinentes.
Para ver de forma detalla la etapa cuatro, es necesario revisar el Anexo 22. La transición
comprenderá:
1) Descripción general: Define las actividades realizadas en esta etapa de la metodología.
2) Despliegue: Define la culminación, instalación y verificación del funcionamiento del
sistema Evalsis a cabalidad.
3) Creación de documentos guía: En este proceso se generan los documentos de apoyo
tales como: manual de instalación, manual de usuario.
4) Capacitación de usuarios: Se realiza la socialización del software, se capacita al personal
en el uso correcto del sistema.
96
5.3. Herramientas de Desarrollo de Evalsis
5.3.1. Software de Programación.
El software en el cual se diseñó el sistema Evalsis es Visual Basic 2012, del paquete de Visual
Studio 2012, ya que es un lenguaje de fácil comprensión y de adaptabilidad para la codificación.
5.3.2. Base de Datos.
Se hace uso del Gestor de Base de datos SQL Server 2012 ya que permite una conexión segura y
soporta gran cantidad de datos almacenados.
5.3.3. Software de Modelado.
Se utiliza el software Argo UML 0.32.1 (UML Modelling Tool) para el proceso de modelado del
caso de uso general y diagrama de clases.
5.4. Prototipo de Evalsis
5.4.1. Interfaz Gráfica de Evalsis.
La interfaz del software Evalsis se define como un diseño de simple comprensión y adaptabilidad
para el usuario evaluador y quien fungirá como administrador. En la pantalla de ingreso al sistema
se presenta la opción de logueo para que el usuario ejecute su nombre y contraseña, una vez se
ingresa se encuentra la siguiente pantalla que se muestra en la figura N°23, la misma que contiene
las opciones que permitirá ejecutar el sistema:
Figura 23: Interfaz del sistema Evalsis Fuente: Evalsis Elaborado por: Autoras, 2015
5.4.2. Funcionalidades de Evalsis.
PERFIL DE ACCESO
Se define los usuarios que tendrán acceso al sistema como administrador u operador del sistema
(evaluador). La figura N°24 refleja la pantalla del perfil de acceso:
97
Figura 24: Interfaz de la función de Acceso – Registro de usuario de Evalsis Fuente: Evalsis
Elaborado por: Autoras, 2015
GESTIONAR USUARIOS
Se realizan la creación, eliminación, edición y búsqueda de usuarios que responderán la
evaluación. En la figura N°25 se visualiza la pantalla del perfil de usuario del software:
Figura 25: Interfaz de la función Perfiles de Usuarios Evaluadores de Evalsis Fuente: Evalsis Elaborado por: Autoras, 2015
GESTIONAR SISTEMAS
En este proceso se puede registrar, eliminar, editar o buscar los sistemas que serán evaluados por
los usuarios evaluadores:
Usuarios final
Líder departamental
Técnico responsable del sistema.
98
La figura N°26 expone la pantalla de gestión de sistemas dentro del software Evalsis:
Figura 26: Interfaz de la función Gestión de Sistemas de Evalsis Fuente: Evalsis
Autoras, 2015
GESTIONAR EVALUACIONES
En esta ventana se puede editar, eliminar o actualizar las preguntas de la evaluación con su
respectivo ítem de selección. La pantalla de administración de las preguntas del software se refleja
en la figura N°27:
Figura 27: Interfaz de la función Gestión de Evaluaciones – Administrar Preguntas de Evalsis Fuente: Evalsis Autoras, 2015
99
RESPONDER EVALUACIONES
Este proceso permite que los usuarios evaluadores respondan las preguntas de acuerdo a su perfil
de evaluación, además podrán visualizar las respuestas generadas e imprimir un reporte de las
respuestas.
La pantalla de evaluaciones se muestra en la figura siguiente:
Figura 28: Responder Evaluaciones – Encuestas de Evalsis Fuente: Evalsis Elabora por: Autoras, 2014
5.4.3. Construcción de Evalsis.
Evalsis se basa en la arquitectura cliente – servidor, ya que el sistema base estará instalado en un
equipo principal, y los demás usuarios tendrán acceso desde los equipos (clientes) que se
conecten a través de la red. Es decir lo que se refleja en la figura 29 indica la arquitectura del
software Evalsis:
Figura 29: Arquitectura Cliente – Servidor de Evalsis Fuente: Autoras Elaborado por: autoras, 2015
BASE DEDATOS
100
5.5. Resultados de Evaluación de los Sistemas Informáticos de Estadística con el
software Evalsis
En esta sección de la tesis se presenta los resultados obtenidos de las evaluaciones ejecutadas a
los sistemas informáticos de Estadística del Hospital “Julius Doepfner” de Zamora por parte de los
usuarios evaluadores (líder departamental, técnico responsable, usuario final).
Para la evaluación se ingresó los cinco software que se ocupan diariamente en el departamento:
Software de Fichas
RDACAA
Egresos hospitalarios y gestión de camas
VIEP4
UCMMSP
Quienes fungieron de usuarios evaluadores son:
Líder departamental: Dra. Rosa Carrión
Técnico responsable:
o RDACAA : Miluska Espinoza
o S. Fichas: Ing. Ana Maurad
Usuario final:
o RDACAA: Dr. José Luis Pilco, Dra. Marjorie Salazar
o UCMMSP: Karina Arévalo
o VIEPI4: Lcda. Bélgica Marín
o Fichas: Ruth Guerrero, Alexandra Urgilés, Ing. Alexandra González
o Egresos Hospitalarios: Héctor Bermeo
Las evaluaciones fueron realizadas el mes de diciembre del 2014 (ver Anexos 24, 25,26).
A continuación se detalla los resultados obtenidos luego del proceso de evaluación ejecutado:
5.5.1. Evaluaciones ejecutadas por el Líder Departamental.
Se inicia con la evaluación realizada al líder departamental, quien evalúa desde su perspectiva a
todos los sistemas informáticos del departamento, los resultados de dicha evaluación se reflejan
en la tabla N°20, la misma que se expone a continuación:
Tabla 20: Resultados obtenidos de la Evaluación mediante Evalsis – ejecución del Líder departamental SOFTWARE DETALLE
SOF. FICHAS
SOF. RDACAA
SOF. EGRESOS HOSPITALARIOS
SOF. VIEPI4
SOF. UCMMSP
¿Los objetivos y metas que se pretenden alcanzar con el sistema son claros, precisos y entendibles para todos los involucrados?
a a b b a
¿Cuenta con proyección a futuro para realizar la adquisición de software adicional y equipamiento tecnológico para mejorar el desempeño del sistema?
a a c c b
¿Existe un comité encargado de determinar las funciones que debe cumplir cada usuario dentro del sistema?
b c b a a
¿Todos los funcionarios del departamento están conscientes de la responsabilidad que tienen en cuanto a la tecnología informática existente del sistema?
a a a a a
¿Se cuenta con un responsable custodio de los equipos del sistema c c c c b
101
informático?
¿Se cuenta con personal técnico exclusivo para verificar el desempeño del equipamiento y sistema informático?
c a c b b
¿Se maneja un reglamento interno donde se de las pautas de la correcta convivencia laboral entre usuarios del sistema?
c a a a a
¿Existe un inventario donde repose toda la información referente al sistema y equipos informáticos que utiliza (por ejemplo: códigos, series, versión, fecha de adquisición, etc.)?
c b c c b
¿Se ha elaborado y socializado un documento donde consten los compromisos adquiridos por los usuarios de estricta confidencialidad del funcionamiento y datos del sistema?
b a c a a
¿Se cuenta con un plan para continuar con las actividades del sistema y equipos informáticos en caso de posibles fallas que perjudiquen el funcionamiento de éstos?
b a b b b
¿Se han definido las estrategias y filosofías de trabajo que se aplicarán para alcanzar las metas del plan para continuar con las actividades en caso de que se presenten fallas?
b a b b b
¿El contenido del plan para continuar con las actividades en caso de posibles errores está diseñado con pautas claras, precisas y entendibles a los usuarios que lo van a ejecutar?
c a c b c
¿Se realizan actualizaciones y mantenimientos constantes del plan que se ha diseñado para continuar con las actividades en caso de presentarse fallas?
a c a a a
¿Se han realizado pruebas de desempeño para verificar la funcionalidad del plan diseñado para continuar con las actividades en caso de presentarse fallas?
b b b b b
¿Se ha capacitado a todos los usuarios e involucrados en la ejecución correcta del plan diseñado para continuar con las actividades?
b a b b b
¿Se ha distribuido y entregado a todos los usuarios el plan diseñado para continuar con las actividades en caso de posibles fallas?
b a b b b
¿El departamento posee un lugar físico seguro para el hardware del sistema informático?
c a a b c
¿Se ha determinado un técnico responsable de crear usuarios del sistema y definir las funciones a las que puede tener acceso cada uno?
a a a a a
¿Se cuenta con medidas de seguridad para el hardware y recurso humano del sistema informático?
b b b b b
¿Ha etiquetado el lugar específico donde funciona el sistema? a a b a b
¿Ha definido políticas de higiene para el personal que accede a los equipos que funcionan con el sistema informático?
a a a a a
¿Cuenta con un equipo generador de energía continua UPS para las descargas eléctricas que pueden afectar al sistema y equipos informáticos?
a a a a a
¿Ha definido indicadores (guías) de desempeño para cada usuario del sistema?
b b b b b
¿Evalúa el desempeño de cada usuario del sistema de forma periódica?
b c b b b
¿Realiza monitoreos de satisfacción de los usuarios que hacen uso del sistema?
b a b b b
Fuente: Resultados Evalsis Elaborado por: Autoras, 2015
Totalización de resultados, especificando la pregunta con las cantidades de respuestas generadas.
Para ilustración visualizar la tabla siguiente con los resultados de las respuestas generadas por el
líder departamental de Estadística:
Tabla 21: Resultados de las respuestas del Líder departamental al ejecutar la evaluación en el software Evalsis
PREGUNTAS
RESPUESTAS
a b c
¿Los objetivos y metas que se pretenden alcanzar con el sistema son claros, precisos y entendibles para todos los involucrados?
3 2 0
¿Cuenta con proyección a futuro para realizar la adquisición de software adicional y equipamiento tecnológico para mejorar el desempeño del sistema?
2 1 2
¿Existe un comité encargado de determinar las funciones que debe cumplir cada usuario dentro del sistema? 2 2 1
¿Todos los funcionarios del departamento están conscientes de la responsabilidad que tienen en cuanto a la tecnología informática existente del sistema?
5 0 0
¿Se cuenta con un responsable custodio de los equipos del sistema informático? 0 1 4
102
¿Se cuenta con personal técnico exclusivo para verificar el desempeño del equipamiento y sistema informático? 1 2 2
¿Se maneja un reglamento interno donde se de las pautas de la correcta convivencia laboral entre usuarios del sistema?
4 0 1
¿Existe un inventario donde repose toda la información referente al sistema y equipos informáticos que utiliza (por ejemplo: códigos, series, versión, fecha de adquisición, etc.)?
0 2 3
¿Se ha elaborado y socializado un documento donde consten los compromisos adquiridos por los usuarios de estricta confidencialidad del funcionamiento y datos del sistema?
3 1 1
¿Se cuenta con un plan para continuar con las actividades del sistema y equipos informáticos en caso de posibles fallas que perjudiquen el funcionamiento de éstos?
1 4 0
¿Se han definido las estrategias y filosofías de trabajo que se aplicarán para alcanzar las metas del plan para continuar con las actividades en caso de que se presenten fallas?
1 4 0
¿El contenido del plan para continuar con las actividades en caso de posibles errores está diseñado con pautas claras, precisas y entendibles a los usuarios que lo van a ejecutar?
1 1 3
¿Se realizan actualizaciones y mantenimientos constantes del plan que se ha diseñado para continuar con las actividades en caso de presentarse fallas?
4 0 1
¿Se han realizado pruebas de desempeño para verificar la funcionalidad del plan diseñado para continuar con las actividades en caso de presentarse fallas?
0 5 0
¿Se ha capacitado a todos los usuarios e involucrados en la ejecución correcta del plan diseñado para continuar con las actividades?
1 4 0
¿Se ha distribuido y entregado a todos los usuarios el plan diseñado para continuar con las actividades en caso de posibles fallas?
1 4 0
¿El departamento posee un lugar físico seguro para el hardware del sistema informático? 2 1 2
¿Se ha determinado un técnico responsable de crear usuarios del sistema y definir las funciones a las que puede tener acceso cada uno?
5 0 0
¿Se cuenta con medidas de seguridad para el hardware y recurso humano del sistema informático? 0 5 0
¿Ha etiquetado el lugar específico donde funciona el sistema? 3 2 0
¿Ha definido políticas de higiene para el personal que accede a los equipos que funcionan con el sistema informático?
5 0 0
¿Cuenta con un equipo generador de energía continua UPS para las descargas eléctricas que pueden afectar al sistema y equipos informáticos?
5 0 0
¿Ha definido indicadores (guías) de desempeño para cada usuario del sistema? 0 5 0
¿Evalúa el desempeño de cada usuario del sistema de forma periódica? 0 4 1
¿Realiza monitoreos de satisfacción de los usuarios que hacen uso del sistema? 1 4 0
Fuente: Resultados, evalsis Elaborado por: Autoras, 2015
A continuación se exponen los gráficos estadísticos de los resultados de la Evaluación del Líder
Departamental de Estadística por cada una de las preguntas:
Figura 30: Definir los objetivos institucionales claros y alcanzables Fuente: Autoras Elaborado por: Autoras, 2015
De acuerdo a lo que refleja la figura 30 se puede verificar que el 60% de los objetivos definidos
para los sistemas informáticos están correctamente estructurados, además casi la mitad de los
objetivos son conocidos y comprendidos por los usuarios que hacen uso de los diferentes sistemas
60,00%
40,00%
0%
20%
40%
60%
80%
100%
¿Los objetivos y metas que se pretenden alcanzar con elsistema son claros, precisos y entendibles para todos los
involucrados?
Líder Departamental - Pregunta 1
a) Objetivos definidos correctamente
b) Todos los usuarios conocen y comprenden los objetivos
c) No se han definido objetivos
103
informáticos. Se considera además que el 100% de sistemas informáticos cuenta con objetivos
definidos ya que la respuesta c) se refleja con 0% de coincidencias.
Figura 31: Definir planes de adquisición de hardware y software Fuente: Autoras Elaborado por: Autoras, 2015
Basado en la figura 31 se puede concluir que existen pocos planes de proyección a futuro
definidos correctamente para adquirir tecnología informática que posibilite mejorar el desempeño
de los sistemas, por tanto como contraparte se refleja un 20% de la inexistencia de planes de
adquisición y un elevado 40% que muestra la realidad departamental ya que no se considera
adquirir tecnología informática.
Figura 32: Planificar y definir un comité encargado de detallar las funciones de
servicio de los usuarios Fuente: Autoras Elaborado por: Autoras, 2015
La figura 32 demuestra que un 40% de los sistemas cuentan con un comité para que especifica las
funciones del usuario dentro del sistema, mientras que un preocupante 40% contradice el primer
punto. Además según el gráfico se indica que el 20% de los sistemas es manipulado por usuarios
40,00%
20,00%
40,00%
0%
20%
40%
60%
80%
100%
¿Cuenta con proyección a futuro para realizar la adquisiciónde software adicional y equipamiento tecnológico para
mejorar el desempeño del sistema?
Líder Departamental - Pregunta 2
a) Planes a futuro bien definidos para adquisiciones
b) Falta de planes para adquirir tecnología informática a futuro
c) No se ha considerado realizar adquisiciones de tecnología informática
40,00% 40,00%
20,00%
0%
20%
40%
60%
80%
100%
¿Existe un comité encargado de determinar las funciones que debecumplir cada usuario dentro del sistema?
Líder Departamental - Pregunta 3
a) Se cuenta con un comité responsable de organizar y planificar las TI
b)No se ha determinado un comité para organizar y planificar las TI
c) Los usuarios conocen las funciones que deben cumplir dentro del sistema
104
que conocen ya las funciones que deben realizar para ejecutar correctamente sus actividades
dentro del software por previas experiencias.
Figura 33: Conocer la responsabilidad con la tecnología informática por parte de alta
gerencia Fuente: Autoras Elaborado por: Autoras, 2015
Según la figura 33 el 100% da a conocer que todos los funcionarios líderes del departamento
tienen pleno conocimiento y cumplen a cabalidad con su responsabilidad frente a la tecnología
informática existente en el área de Estadística del HPGJDZ actualmente.
Figura 34: Determinar custodios de TI Fuente: Autoras Elaborado por: Autoras, 2015
La figura 34 demuestra que en un 80% se coincide que las medidas de seguridad que se aplican a
los sistemas son las impuestas por la institución y un 20% asegura el departamento no cuenta con
un custodio específico de los equipos que ocupa el sistema que maneja.
100,00%
0,00%0%
20%
40%
60%
80%
100%
¿Todos los funcionarios del departamento están conscientesde la responsabilidad que tienen en cuanto a la tecnologíainformática existente del sistema?
Líder Departamental - Pregunta 4
a) Líderes conocen responsabilidades con las TI
b)Desconocimiento de responsabilidades con TI
0,00%
20,00%
80,00%
0%
20%
40%
60%
80%
100%
¿Se cuenta con un responsable custodio de los equipos delsistema informático?
Líder Departamental - Pregunta 5
a)Se han determinado custodios del hardware y del sistema informático
b)No existen custodios específicos del hardware del sistema
c) El departamento cuenta con medidas de seguridad impuestas por la institución
105
Figura 35: Determinar un técnico responsable del sistema y su equipamiento informático
Fuente: Autoras Elaborado por: Autoras 2015
En la figura 35 se puede observar que aproximadamente la mitad de sistemas del departamento
no cuentan con un técnico para monitoreo de un sistema en específico, el otro 40% refleja que el
técnico a cargo está además de responsable de otros sistema. Conjuntamente es fundamental
recalcar que el 20% de los sistema si cuentan con un técnico exclusivo para verificar el
desempeño del mismo.
Figura 36: Definir relaciones de trabajo Fuente: Autoras Elaborado por: Autoras, 2015
Para el 80% de sistemas informáticos se utiliza un reglamento interno de convivencia laboral
según lo refleja la figura 36, por lo que sorprende un 20%, el mismo que corresponde a un sistema
el cual no se rige bajo las normas impuestas.
20,00%
40,00% 40,00%
0%
20%
40%
60%
80%
100%
¿Se cuenta con personal técnico exclusivo para verificar eldesempeño del equipamiento y sistema informático?
Líder Departamental - Pregunta 6
a)Si se cuenta con técnico exclusivo para verificar el nivel de desempeño de las TI
b)No hay un técnico dispuesto para evaluar desempeño de un único sistema
c) El técnico informático tiene varios sistemas a cargo
80,00%
0,00%
20,00%
0%
20%
40%
60%
80%
100%
¿Se maneja un reglamento interno donde se de las pautas dela correcta convivencia laboral entre usuarios del sistema?
Líder Departamental - Pregunta 7
a)Reglamento interno de convivencia laboral
b)Existe un reglamento interno pero los usuarios desconocen o no hacen usodel mismo
c) No existe un reglamento interno de convivencia laboral
106
Figura 37: Desarrollar inventarios detallados de la tecnología informática Fuente: Autoras Elaborado por: Autoras, 2015
La figura 37 demuestra que un poco más de la mitad de sistemas cuentan con un inventario de
registro de la información, mientras que un preocupante 40% define que no se tiene la cultura de
registrar la información del sistema, por lo que se debería tomar medidas correctivas.
Figura 38: Debe existir convenios y compromisos de confidencialidad de la
información Fuente: Autoras Elaborado por: Autoras, 2015
El 60% de los sistemas cuenta con compromisos de confidencialidad correctamente definidos,
mientras que el 40% restante definen la inexistencia de pautas y normas que rigen le reserva de la
información de los sistemas informáticos departamentales, según los demuestra la figura 38.
Figura 39: Desarrollar un plan documentado de continuidad de TI
Fuente: Autoras Elaborado por: Autoras, 2015
0,00%
40,00%
60,00%
0%
20%
40%
60%
80%
100%
¿Existe un inventario donde repose toda la informaciónreferente al sistema y equipos informáticos que utiliza (por
ejemplo: códigos, series, versión, fecha de adquisición, etc.)?
Líder Departamental - Pregunta 8
a)Inventario tecnológico detallado
b)No se registra en un inventario la información del hardware del sistema
c) El inventario existente no brinda toda la información del sistema
60,00%
20,00% 20,00%
0%
20%
40%
60%
80%
100%
¿Se ha elaborado y socializado un documento donde consten loscompromisos adquiridos por los usuarios de estricta
confidencialidad del funcionamiento y datos del sistema?
Líder Departamental - Pregunta 9
a)Se ha determinado estrictas normas de confidencialidad de usuarios del sistema
b)Inexistencia de normas de privacidad de información del sistema
c) No se ha pautado normas de confidencialidad que deben cumplir los usuarios del sistema
20,00%
80,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Se cuenta con un plan para continuar con las actividades delsistema y equipos informáticos en caso de posibles fallas que
perjudiquen el funcionamiento de éstos?
Líder Departamental - Pregunta 10
a)Existe un plan de continuidad de actividades
b)No se cuenta con un plan de continuidad actividades
c)Plan de continuidad de actividades sin actualizar
107
En la figura 39 se indica que el 80% de los sistemas no cuenta con un plan de contingencias
definido por lo que apenas 1 sistema (20%) posee un plan de contingencia que permita ejecutar
las actividades cotidianas en caso de fallas o problemas que se presenten.
Figura 40: El plan de continuidad debe contener estrategias y filosofías de trabajo
Fuente: Autoras Elaborado por: Autoras, 2015
Se puede concluir de la imagen 40 que apenas el 20% de los sistemas ha definido estrategias de
trabajo del plan de continuidad, mientras que un 80% no cuenta con estrategias bien definidas o
nulas del plan de continuidad del sistema.
Figura 41: El contenido del plan de continuidad debe ser entendible a todos los usuarios ejecutores
Fuente: Autoras Elaborado por: Autoras, 2015
Los resultados ilustrados de la imagen 41, demuestran la falta de tomar medidas que permitan
ejecutar planes de continuidad comprensibles para quienes los van a ejecutar, apenas el 20% de
los planes de continuidad de los sistemas es comprensible al usuario final frente a un 80% de
incomprensión y mala definición del plan de continuidad.
20,00%
80,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Se han definido las estrategias y filosofías de trabajo que seaplicarán para alcanzar las metas del plan para continuar con
las actividades en caso de que se presenten fallas?
Líder Departamental - Pregunta 11
a)Se ha definido estrategias de trabajo del plan de continuidad
Las estrategias de trabajo del plan de continuidad no son correctas
c)Plan de continuidad de actividades sin actualizar
20,00% 20,00%
60,00%
0%
20%
40%
60%
80%
100%
¿El contenido del plan para continuar con las actividades encaso de posibles errores está diseñado con pautas claras,
precisas y entendibles a los usuarios que lo van a ejecutar?
Líder Departamental - Pregunta 12
a)El plan de continuidad es comprensible para todos los usuarios
b)El plan de continuidad es incomprensible para los usuarios finales
c)El plan de continuidad está mal definido
108
Figura 42: El mantenimiento y actualización del plan de continuidad de TI debe ser constante y basarse en la realidad institucional Fuente: Autoras Elaborado por: Autoras, 2015
En el gráfico 42 una vez más se refleja la realidad de la carencia de actualizaciones de los planes
de contingencia que vayan acordes a la realidad, lo que es realmente preocupante, del total de los
datos apenas un 20% demuestra que el plan se actualiza periódicamente, actividad que se debería
realizar para todos los planes de los sistemas informáticos del departamento.
Figura 43: Se deben realizar pruebas de funcionalidad del plan de continuidad de TI Fuente: Autoras Elaborado por: Autoras, 2015
Los datos de la figura 43 reflejan que en su totalidad no se han realizado pruebas de desempeño
de los planes de contingencia creados para los sistemas informáticos, cuando lo óptimo sería que
se prueben los planes para su posterior puesta en marcha y a través de dichas pruebas se pueda
identificar posibles errores de diseño, estructura u otros.
80,00%
0,00%
20,00%
0%
20%
40%
60%
80%
100%
¿Se realizan actualizaciones y mantenimientos constantesdel plan que se ha diseñado para continuar con las
actividades en caso de presentarse fallas?
Líder Departamental - Pregunta 13
a)Plan de continuidad no se actualiza
b)Se aplican actualizaciones esporádicas del plan de continuidad
c)El plan de continuidad está correctamente actualizado
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Se han realizado pruebas de desempeño para verificar lafuncionalidad del plan diseñado para continuar con las
actividades en caso de presentarse fallas?
Líder Departamental - Pregunta 14
a)Se ha evaluado el desempeño del plan de continuidad de TI
b)No se realizan pruebas de desempeño del plan de continuidad de las TI
c)Se ejecuta pruebas de desempeño del plan de continuidad cada vez que serealizan cambios o actualizaciones del mismo
109
Figura 44: Se debe capacitar en el plan de continuidad de TI a todos los usuarios del sistema Fuente: Autoras Elaborado por: Autoras, 2015
La figura 44 indica que la mayor parte de usuarios de los cinco sistemas no han sido capacitados
en la ejecución de los planes de continuidad, apenas se refleja que los usuarios de un sistema han
sido capacitados mientras que un 80% no se ha considerado para una capacitación previa a la
puesta en marcha.
Figura 45: Se debe realizar la distribución del plan de continuidad de TI a todos los usuarios inmersos en la funcionalidad y usabilidad del sistema
Fuente: Autoras Elaborado por: Autoras, 2015
La figura 45 demuestra que los planes de contingencia no han sido distribuidos, es considerable la
respuesta generada debido a que se desprenden de la temática anterior la que refleja varias
falencias, el 20% de los planes ha sido entregado a los usuarios interesados.
Figura 46: Verificar la existencia de un sitio físico seguro para el aseguramiento del hardware que ocupa el sistema
Fuente: Autoras Elaborado por: Autoras, 2015
20,00%
80,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Se ha capacitado a todos los usuarios e involucrados en laejecución correcta del plan diseñado para continuar con las
actividades?
Líder Departamental - Pregunta 15
a)Se ha capacitado a todos los usuarios b)Ningún usuario han sido capacitado
c)Sólo los líderes han sido capacitados
20,00%
80,00%
0%
20%
40%
60%
80%
100%
¿Se ha distribuido y entregado a todos losusuarios el plan diseñado para continuar con las
actividades en caso de posibles fallas?
Líder Departamental - Pregunta 16
a)Todos los usuarios poseen el plan de continuidad de TI
b) No se ha distribuido el plan de continuidad de TI
40,00%
20,00%
40,00%
0%
20%
40%
60%
80%
100%
¿El departamento posee un lugar físico seguro para elhardware del sistema informático?
Líder Departamental - Pregunta 17
a)Se cuenta con un espacio físico seguro para el hardware del sistema
b)No existe un espacio físico seguro para el hardware y del sistema
c)El espacio físico asignado no es seguro
110
En la figura 46 se indica que para el 40% de los sistemas informáticos el lugar físico asignado es el
adecuado ya que cuenta con las medidas de seguridad apropiadas, mientras que otro 40% de los
sistemas no está en un lugar físico que brinde la seguridad necesaria, el 20% restante igualmente
refleja falencias d seguridad en los sitios físicos donde reposan el hardware y software.
Figura 47: Debe existir un administrador de perfiles, el cual deberá detallar los roles de cada usuario dentro del sistema Fuente: Autoras Elaborado por: Autoras, 2015
Todos los sistemas informáticos departamentales cuentan con un administrador el mismo que está
a cargo de crear y definir las funciones de cada usuario dentro del sistema que le corresponda,
según refleja la figura 47.
Figura 48: Debe existir seguridad física para los equipos, personal y demás recursos Fuente: Autoras Elaborado por: Autoras, 2015
La figura 48 indica que en su totalidad los niveles de seguridad aplicados a los sistemas y
equipamiento no son los adecuados, por lo que se debería aplicar medidas de seguridad que
permitan proteger las TI departamentales.
0,00%
0%
20%
40%
60%
80%
100%
¿Se ha determinado un técnico responsable de crearusuarios del sistema y definir las funciones a las que puede
tener acceso cada uno?
Líder Departamental - Pregunta 18
a)Administrador de usuarios del sistema definido
b)Administrador de usuarios no definido
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Se cuenta con medidas de seguridad para el hardware y recursohumano del sistema informático?
Líder Departamental - Pregunta 19
a)Existe seguridad de hardware y recurso humano
b)Los niveles de seguridad existentes no son óptimos
c)No se han aplicado medidas de seguridad de hardware y recurso humano|
111
Figura 49: El lugar designado para el sistema y hardware debe estar identificado y etiquetado Fuente: Autoras Elaborado por: Autoras, 2015
En la figura 49 se indica que el 60% poco más de la mitad de los sistemas informáticos están
identificados de acuerdo al área y función que cumplen, actividad que se debería realizar para el
otro 40% que carece de identificativos apropiados.
Figura 50: Se debe establecer políticas de higiene que debe cumplir el personal para el hardware Fuente: Autoras Elaborado por: Autoras, 2015
Las políticas de higiene para todos los sistemas han sido correctamente definidas por lo que el
100% refleja el máximo nivel de satisfacción para la pregunta 21 expuesta en la figura 50.
Figura 51: Se debe contar con fuentes de alimentación de energía ininterrumpible para prevenir posibles cortes de funcionamiento de los equipos Fuente: Autoras Elaborado por: Autoras, 2015
60,00%
40,00%
0,00%0%
20%
40%
60%
80%
100%
¿Ha etiquetado el lugar específico donde funciona el sistema?
Líder Departamental - Pregunta 20
a)Se ha etiqueta el área de trabajo del sistema
b)No se ha etiquetado el área de trabajo del sistema
c)Las etiquetas existentes no son acordes a la realidad
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha definido políticas de higiene para el personal que accede alos equipos que funcionan con el sistema informático?
Líder Departamental - Pregunta 21
a)Se ha definido políticas de higiene
b)No se ha definido políticas de higiene
c)Las políticas de higiene existentes no son aplicadas a cabalidad
0,00%
0%
20%
40%
60%
80%
100%
¿Cuenta con un equipo generador de energía continuaUPS para las descargas eléctricas que pueden afectar al
sistema y equipos informáticos?
Líder Departamental - Pregunta 22
a)Se tiene un generador de energía continua UPS para el hardware
b)No se tiene un generador de energía continua UPS para el hardware
112
Según lo demuestra la figura 51, el 100% de los equipos cuentan con un generador de energía lo
que refleja que si se procura la seguridad eléctrica de todo el hardware de cada sistema
departamental.
Figura 52: Desarrollar y determinar indicadores de desempeño para todos los usuarios del sistema Fuente: Autoras Elaborado por: Autoras, 2015
De acuerdo al resultado reflejado en el gráfico 52 no existen indicadores que permitan evaluar el
desempeño de los usuarios con el sistema, por lo que éste debería ser uno de los puntos
principales que debería considerar aplicar el líder departamental.
Figura 53: Realizar evaluación de desempeño de todos los usuarios del sistema Fuente: Autoras Elaborado por: Autoras, 2015
La gráfica ilustrada en la figura 53 da a conocer que no se realizan evaluaciones a los usuarios de
los sistemas informáticos considerando plazos o un cronograma previamente establecido. Además
refleja que apenas el 20% de los usuarios de las TI es evaluado pero en caso de presentarse
casos considerados como especiales.
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha definido indicadores (guías) de desempeño para cada usuariodel sistema?
Líder Departamental - Pregunta 23
a)Se cuenta con un perfil de desempeño para los usuarios del sistema
b)No se ha definido perfil de desempeño para los usuarios del sistema
c)El perfil de desempeño no está creado para todos los usuarios
0,00%
80,00%
20,00%
0%
20%
40%
60%
80%
100%
¿Evalúa el desempeño de cada usuario del sistema de forma periódica?
Líder Departamental - Pregunta 24
a)Se evalúa el desempeño de los usuarios del sistema periódicamente
b)No se evalúa el desempeño de los usuarios del sistema periódicamente
c)Se evalúa el desempeño de los usuarios cuando se presentan casos especiales
113
Figura 54: Evaluar el nivel de satisfacción de los usuarios del sistema Fuente: Autoras Elaborado por: Autoras, 2015
El gráfico 54 refleja que el 20% del total de usuarios ha sido cuestionado sobre su satisfacción con
el sistema que utiliza, mientras que el 80% no ha sido interrogado por este propósito, lo que da a
conocer la carencia de datos de satisfacción de usuarios de los sistemas.
5.5.2. Evaluaciones ejecutadas por los Técnicos Responsables
La segunda parte de resultados refleja los datos obtenidos de la evaluación realizada por los
técnicos responsables de los sistemas informáticos, es importante en este punto aclarar que
únicamente dos sistemas han sido evaluados por los técnicos ya que los demás software son
monitoreados directamente por los Tics del Ministerio de Salud Pública del país. Los datos se
indican en la tabla siguiente:
Tabla 22: Resultados obtenidos de la Evaluación mediante Evalsis – ejecución de Técnico Responsables
20,00%
80,00%
0%
20%
40%
60%
80%
100%
¿Realiza monitoreos de satisfacción de los usuariosque hacen uso del sistema?
Líder Departamental - Pregunta 25
a)Se realiza monitoreos de satisfacción del uso del sistema a los usuarios
b)No se realizan monitoreos de satisfacción del uso del sistema a los usuarios
RESPUESTAS PREGUNTAS
Técnico RDACAA
Técnico Fichas
¿Tiene un documento donde registre todos los problemas que han afectado el sistema y su equipamiento tecnológico?
a c
¿Ha supervisado oportunamente el sistema y su equipamiento tecnológico? a b
¿Ha determinado las ventajas y desventajas que se presentan al utilizar el sistema informático y el equipamiento tecnológico?
c b
¿Ha realizado un plan donde se detallen las necesidades tecnológicas que presenta el sistema? b c
¿Ha realizado evaluaciones exhaustivas del sistema informático? b c
¿Realiza revisiones y arreglos periódicos a los equipos informáticos que ocupa el sistema, tales como: computador, impresora, pendrive, etc. para prevenir posibles fallas?
a
a
¿Configura y revisa que el sistema y todas las aplicaciones cuenten con medidas de seguridad? a a
¿Cuándo realiza actualizaciones del sistema registra dichos procesos para tener un control de los cambios que se han ejecutado?
c a
¿Ha identificado las necesidades de actualización de las funciones que cumple el sistema y el equipamiento tecnológico?
b a
¿Cuenta con un registro donde se detalle los procedimientos e instrucciones que cada función del sistema debe cumplir?
a b
¿Ha diseñado un documento formal donde conste a detalle todos los temas a tratar en una capacitación a los usuarios del sistema?
a c
¿Existen documentos donde se haya definido los servicios que presta el sistema en sus diferentes perfiles?
a b
¿Ha evaluado el nivel de desempeño del sistema utilizando medidas de tiempo de: respuesta y espera?
b c
¿Ha brindado soporte técnico a los procesos que se ejecutan en el sistema para que funcionen correctamente y como necesita el usuario final?
b b
114
Fuente: Autoras Elaborado por: Autoras, 2015
A continuación se presenta la totalización delos resultados, especificando la pregunta que se
realizó al técnico responsable con las cantidades de respuestas generadas de su proceso de
evaluación. Para ilustración se puede visualizar la tabla 23 presentada a continuación:
Tabla 23: Resultados de las respuestas que generaron los Técnicos responsables al ejecutar la evaluación en el software Evalsis
PREGUNTAS RESPUESTAS
a b c
¿Tiene un documento donde registre todos los problemas que han afectado el sistema y su equipamiento tecnológico?
1 0 1
¿Ha supervisado oportunamente el sistema y su equipamiento tecnológico? 1 1 0
¿Ha determinado las ventajas y desventajas que se presentan al utilizar el sistema informático y el equipamiento tecnológico?
0 1 1
¿Ha realizado un plan donde se detallen las necesidades tecnológicas que presenta el sistema? 0 1 1
¿Se cuenta con un documento donde se detalle las necesidades de disponibilidad y desempeño que presenta el sistema y su hardware?
b a
¿Cuenta con un cronograma para realizar inspecciones al sistema y equipamiento informático? a b
¿Ha verificado que el sistema cuente con funciones que faciliten las actividades y tareas que realizan los usuarios?
a a
¿Ha revisado la capacidad de almacenamiento que posee el equipamiento informático del sistema?
a b
¿La disponibilidad de los recursos físicos y digitales del sistema se han registrado en un listado de recursos correctamente actualizado?
a a
¿Existe una cultura de respaldo de la información más importante del sistema por parte de todos los usuarios?
a a
¿Ha identificado y registrado los recursos más importantes físicos y digitales que posee el sistema?
c b
¿El sistema es utilizado únicamente por el personal autorizado? a a
¿Se ha determinado un número máximo y mínimo de letras que debe contener tanto el usuario como la contraseña de ingreso al sistema?
a b
¿Registra, actualiza y documenta los cambios de usuarios que realiza (creación, edición, eliminación)?
a c
¿Lleva un registro de todas las actividades de violación de: acceso, perfil de usuarios, cambios de función dentro del sistema sin autorización, entre otros?
c c
¿Ha especificado e indicado a los usuarios las actividades que se deben ejecutar para proteger el sistema?
a c
¿El sistema está protegido de virus, troyanos, entre otras posibles amenazas mediante el uso de un sistema antivirus correctamente configurado?
a a
¿Ha verificado que todas las conexiones de red del equipo de cómputo donde opera el sistema estén configuradas correctamente?
a a
¿Actualiza e informa periódicamente al usuario en el uso correcto del sistema y su hardware? a c
¿Ha realizado actividades para preparar y organizar la información que genera el sistema? a c
¿Ha detallado políticas de uso para los usuarios que tienen acceso a la información del sistema?
a c
¿Ha recopilado y respaldado los datos de origen del sistema? b b
¿Ha dado mantenimiento a los errores que presenta el sistema desde su creación? a c
¿Ha verificado si el sistema registra los datos de salida que se generan? a b
¿Ha verificado si el sistema realiza cálculos para comprobar la correcta salida de datos? c c
¿Ha verificado que la información más importante del sistema esté protegida mientras se realiza la transmisión y transporte de la misma?
a a
¿Ha comprobado dónde y cómo se almacenan los datos e información del sistema? a a
¿Ha verificado y registrado los periodos de tiempo que se conserva la información del sistema que ha sido almacenada?
b b
¿Ha verificado que los mensajes de ayuda del sistema estén protegidos de posibles ediciones y/o eliminaciones?
a a
¿Ha verificado que los datos almacenados estén completos? a c
¿El sistema permite la impresión de informes de actividad de cada usuario? a c
¿Realiza monitoreos constantes del funcionamiento interno del sistema? a c
¿Ejecuta evaluaciones periódicas del funcionamiento interno del sistema? c b
115
¿Ha realizado evaluaciones exhaustivas del sistema informático? 0 1 1
¿Realiza revisiones y arreglos periódicos a los equipos informáticos que ocupa el sistema, tales como: computador, impresora, pendrive, etc. para prevenir posibles fallas?
2 0 0
¿Configura y revisa que el sistema y todas las aplicaciones cuenten con medidas de seguridad? 2 0 0
¿Cuándo realiza actualizaciones del sistema registra dichos procesos para tener un control de los cambios que se han ejecutado?
1 0 1
¿Ha identificado las necesidades de actualización de las funciones que cumple el sistema y el equipamiento tecnológico?
1 1 0
¿Cuenta con un registro donde se detalle los procedimientos e instrucciones que cada función del sistema debe cumplir?
1 1 0
¿Ha diseñado un documento formal donde conste a detalle todos los temas a tratar en una capacitación a los usuarios del sistema?
1 0 1
¿Existen documentos donde se haya definido los servicios que presta el sistema en sus diferentes perfiles?
1 1 0
¿Ha evaluado el nivel de desempeño del sistema utilizando medidas de tiempo de: respuesta y espera?
0 1 1
¿Ha brindado soporte técnico a los procesos que se ejecutan en el sistema para que funcionen correctamente y como necesita el usuario final?
0 2 0
¿Se cuenta con un documento donde se detalle las necesidades de disponibilidad y desempeño que presenta el sistema y su hardware?
1 1 0
¿Cuenta con un cronograma para realizar inspecciones al sistema y equipamiento informático? 1 1 0
¿Ha verificado que el sistema cuente con funciones que faciliten las actividades y tareas que realizan los usuarios?
2 0 0
¿Ha revisado la capacidad de almacenamiento que posee el equipamiento informático del sistema? 1 1 0
¿La disponibilidad de los recursos físicos y digitales del sistema se han registrado en un listado de recursos correctamente actualizado?
2 0 0
¿Existe una cultura de respaldo de la información más importante del sistema por parte de todos los usuarios?
2 0 0
¿Ha identificado y registrado los recursos más importantes físicos y digitales que posee el sistema? 0 1 1
¿El sistema es utilizado únicamente por el personal autorizado? 2 0 0
¿Se ha determinado un número máximo y mínimo de letras que debe contener tanto el usuario como la contraseña de ingreso al sistema?
1 1 0
¿Registra, actualiza y documenta los cambios de usuarios que realiza (creación, edición, eliminación)?
1 0 1
¿Lleva un registro de todas las actividades de violación de: acceso, perfil de usuarios, cambios de función dentro del sistema sin autorización, entre otros?
0 0 2
¿Ha especificado e indicado a los usuarios las actividades que se deben ejecutar para proteger el sistema?
1 0 1
¿El sistema está protegido de virus, troyanos, entre otras posibles amenazas mediante el uso de un sistema antivirus correctamente configurado?
2 0 0
¿Ha verificado que todas las conexiones de red del equipo de cómputo donde opera el sistema estén configuradas correctamente?
2 0 0
¿Actualiza e informa periódicamente al usuario en el uso correcto del sistema y su hardware? 1 0 1
¿Ha realizado actividades para preparar y organizar la información que genera el sistema? 1 0 1
¿Ha detallado políticas de uso para los usuarios que tienen acceso a la información del sistema? 1 0 1
¿Ha recopilado y respaldado los datos de origen del sistema? 0 2 0
¿Ha dado mantenimiento a los errores que presenta el sistema desde su creación? 1 1
¿Ha verificado si el sistema registra los datos de salida que se generan? 1 1 0
¿Ha verificado si el sistema realiza cálculos para comprobar la correcta salida de datos? 0 0 2
¿Ha verificado que la información más importante del sistema esté protegida mientras se realiza la transmisión y transporte de la misma?
2 0 0
¿Ha comprobado dónde y cómo se almacenan los datos e información del sistema? 2 0 0
¿Ha verificado y registrado los periodos de tiempo que se conserva la información del sistema que ha sido almacenada?
0 2 0
¿Ha verificado que los mensajes de ayuda del sistema estén protegidos de posibles ediciones y/o eliminaciones?
2 0 0
¿Ha verificado que los datos almacenados estén completos? 1 0 1
¿El sistema permite la impresión de informes de actividad de cada usuario? 1 0 1
¿Realiza monitoreos constantes del funcionamiento interno del sistema? 1 0 1
¿Ejecuta evaluaciones periódicas del funcionamiento interno del sistema? 0 1 1
Fuente: Autoras Elaborado por: Autoras, 2015
Los gráficos estadísticos de los resultados de la Evaluación ejecutada por los Técnicos
Responsables de los sistemas RDACAA y Fichas del departamento de Estadística del Hospital
116
“Julius Doepfner” de Zamora se verán reflejados en cada una de las gráficas que se detallan a
continuación, las mismas que contienen los porcentajes correspondientes a las respuestas
generadas al responder las preguntas presentadas durante la evaluación preparada para su
ejecución en el software Evalsis (sistema diseñado e implementado por las tesistas):
Figura 55: Debe registrar los incidentes que afecten al hardware y al sistema informático Fuente: Autoras Elaborado por: Autoras, 2015
La gráfica 55 demuestra que uno de los técnicos de los sistemas lleva un registro formal de los
incidentes que afectan al hardware y al software, mientras que el otro técnico presenta un
resultado que da a conocer que ejecuta la revisión de incidentes en el hardware y software pero no
actualiza periódicamente el registro de incidentes de tecnología informática a su cargo.
Figura 56: Supervisar periódicamente el hardware y sistema informático
Fuente: Autoras Elaborado por: Autoras, 2015
Como se trata de dos técnicos quienes evaluaron los sistemas que tienen a cargo se refleja en la
figura 56 que uno de ellos supervisa de forma periódica el funcionamiento del sistema y su
equipamiento tecnológico, mientras que el otro en su respuesta indica que revisa las TI
únicamente cuando se producen problemas. Por lo que se sugiere manejar cronogramas de
revisiones periódicas los cuales se actualicen constantemente de acuerdo a los cambios que se
ejecuten en los equipos y sistemas informáticos departamentales.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Tiene un documento donde registre todos los problemas que hanafectado el sistema y su equipamiento tecnológico?
Técnico Responsable del sistema- Pregunta 1
a)Se registran problemas presentados
b)No se registran los problemas presentados
c)Falta de actualización del registro periódicamente
50,00% 50,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Ha supervisado oportunamente el sistema y su equipamientotecnológico?
Técnico Responsable del sistema- Pregunta 2
a)Se supervisa las TI periódicamente
b)Se supervisa las TI únicamente cuando se reportan incidentes
c)No se supervisan las TI
117
Figura 57: Determinar pros y contras de utilizar el sistema informático y su hardware
Fuente: Autoras Elaborado por: Autoras, 2015
En la figura 57 nuevamente se ve la discrepancia de actividades técnicas el 50% de los
responsables no evalúan los beneficios y debilidades del sistema frente a un 50% si lleva un
registro donde constan las ventajas y desventajas del sistema que supervisa.
Figura 58: Definir planes de adquisición de hardware para el correcto funcionamiento
del sistema informático Fuente: Autoras Elaborado por: Autoras, 2015
En la figura 58 se refleja que las respuestas se dividen entre dos por tanto el 50% no ha definido
las necesidades tecnológicas del sistema que tiene a cargo mientras que el otro 50% no ha
definido ni identificado las posibles necesidades existentes.
Figura 59: Evaluar exhaustivamente el funcionamiento del sistema informático Fuente: Autoras Elaborado por: Autoras, 2015
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha determinado las ventajas y desventajas que se presentan alutilizar el sistema informático y el equipamiento tecnológico?
Técnico Responsable del sistema- Pregunta 3
a)Se evalúa los beneficios y debilidades del sistema y hardware
b)No se evalúa los beneficios y debilidades del sistema y hardware
c)Se cuenta con un registro de ventajas y desventajas que presentan el sistema yhardware
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha realizado un plan donde se detallen las necesidadestecnológicas que presenta el sistema?
Técnico Responsable del sistema- Pregunta 4
a)Existe un plan detallado de las necesidades tecnológicas del sistemab)No se ha definido las necesidades tecnológicas del sistemac)Existencia de necesidades tecnológicas sin identificar ni definir
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha realizado evaluaciones exhaustivas del sistema informático?
Técnico Responsable del sistema- Pregunta 5
a)Se da soporte técnico completo al sistema
b)El sistema no ha sido evaluado exhaustivamente
c)Se ha evaluado únicamente los componentes más importantes del sistema
118
Existe contradicción entre los dos técnicos por tanto el 50% no se ha evaluado los sistemas y el
otro 50% solamente se ha evaluado los componentes de los sistemas, según se visualiza en la
figura 59.
Figura 60: Realizar mantenimientos preventivos continuos de hardware Fuente: Autoras
Elaborado por: Autoras, 2015
Según la gráfica 60 refleja que todos los técnicos ejecutan actividades de mantenimiento del
hardware, logrando así que se encuentren en buen estado de funcionamiento.
Figura 61: El técnico responsable de las TI departamentales debe realizar soporte
preventivo de equipos informáticos Fuente: Autoras Elaborado por: Autoras, 2015
La figura 61 indica que según los técnicos el 100% de los sistemas y aplicaciones que se utilizan
se encuentran configuradas las medidas de seguridad, permitiendo así un buen rendimiento.
Figura 62: Verificar y mantener las seguridades del sistema informático
Fuente: Autoras Elaborado por: Autoras, 2015
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Realiza revisiones y arreglos periódicos a los equipos informáticosque ocupa el sistema, tales como: computador, impresora, pendrive,
etc. para prevenir posibles fallas?
Técnico Responsable del sistema- Pregunta 6
a)Mantenimiento de hardwareb)Hardware no recibe mantenimiento preventivoc)El hardware no recibe mantenimiento correctivo
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Configura y revisa que el sistema y todas las aplicacionescuenten con medidas de seguridad?
Técnico Responsable del sistema- Pregunta 7
a)Medidas de seguridad de software configuradas.
b)No se ha configurado la seguridad del software
c)El sistema cuenta con medidas de seguridad básicas definidas por defecto.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Cuando realiza actualizaciones del sistema registra dichos procesospara tener un control de los cambios que se han ejecutado?
Técnico Responsable del sistema- Pregunta 8
a)Registro de actualizaciones ejecutadas en el sistema.
b)No se registran las actualizaciones ejecutadas en el sistema.
c)Se realizan actualizaciones pero no existe un registro del proceso.
119
Existe una contradicción entre los dos técnicos ya que la figura 62 refleja que el 50% indica que
registra las actualizaciones realizadas en los sistemas y el otro 50% manifiesta que no lleva un
registro de los procesos de actualizaciones que ejecuta.
Figura 63: Registrar las actualizaciones que se realizan en el sistema informático
Fuente: Autoras Elaborado por: Autoras, 2015
La figura 63 indica que mientras la mitad ha cumplido con la detección de requerimientos futuros
de TI, la otra mitad considera que se prevé realizar futuros en el equipamiento tecnológico.
Figura 64: Generar una guía de las actividades que cada función del sistema cumple Fuente: Autoras
Elaborado por: Autoras, 2015
Según con muestra la gráfica 64 es fácil deducir un trabajo detallado de uno de las técnicas
mientras que el otro técnico demuestra la falta de un registro y documentos de respaldo de las
funciones del sistema que tiene a cargo ya que no detalla los procesos ni instrucciones que realiza
el sistema.
Figura 65: Preparar y organizar la temática a tratar en la capacitación de usuarios Fuente: Autoras Elaborado por: Autoras, 2015
50,00% 50,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Ha identificado las necesidades de actualización de las funcionesque cumple el sistema y el equipamiento tecnológico?
Técnico Responsable del sistema- Pregunta 9
a)Detección de requerimiento futuro de las TI
b)No se prevé cambios futuros de TI
c)No se han realizado detección de requerimientos futuros de TI
50,00% 50,00%
0,00%0%
20%
40%
60%
80%
100%
¿Cuenta con un registro donde se detalle los procedimientos einstrucciones que cada función del sistema debe cumplir?
Técnico Responsable del sistema- Pregunta 10
a)Existe una guía detallada de los procesos e instrucciones que debe cumplir cadafunción del sistema
b)No se detallan los procesos ni instrucciones del sistema.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha diseñado un documento formal donde conste a detalletodos los temas a tratar en una capacitación a los usuarios del
sistema?
Técnico Responsable del sistema- Pregunta 11
a)Guía de capacitación de usuario
b)Se capacita sin previa preparación del expositor
c)No se diseñan guías de capacitación
120
De acuerdo a la figura 65 los técnicos manifiestan en un 50% que preparan la documentación
pertinente para impartir la capacitación a los usuarios del sistema, en cambio el otro 50%
manifiesta que no prepara material para capacitar a los usuarios.
Figura 66: Documentar los servicios que el sistema brinda para cada perfil de usuario Fuente: Autoras
Elaborado por: Autoras, 2015
Según la figura 66 uno de los técnicos si ha definido las funciones de cada perfil del sistema, el
otro técnico en cambio no tiene una descripción de las funciones de cada perfil de usuario del
sistema lo que da a notar la falta de información formal del sistema y sus funciones.
Figura 67: Evaluar el desempeño del sistema monitoreando los tiempos de espera y respuesta Fuente: Autoras Elaborado por: Autoras, 2015
Según la gráfica 67 uno de los técnicos ha realizado evaluaciones de los tiempos que demora el
sistema en responder a un proceso específico, sin embargo el otro técnico no ha realizado dichas
evaluaciones para comprobar la agilidad del software.
Figura 68: Dar soporte técnico a los procesos del sistema y realizar los cambios que
necesita el usuario Fuente: Autoras Elaborado por: Autoras, 2015
50,00% 50,00%
0,00%0%
20%
40%
60%
80%
100%
¿Existen documentos donde se haya definido los servicios quepresta el sistema en sus diferentes perfiles?
Técnico Responsable del sistema- Pregunta 12
a)Se ha definido las funciones de cada perfil del sistema.b)No se especifica las funciones de cada perfil del sistema.c)Se ha definido las funciones únicamente del perfil del administrador
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha evaluado el nivel de desempeño del sistema utilizando medidasde tiempo de: respuesta y espera?
Técnico Responsable del sistema- Pregunta 13
a)Se evalúa la agilidad de respuestas del sistemab)Se ha evaluado los tiempos de espera del sistemac)No se evalúa la existencia de la comprobación del desempeño del sistema.
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿Ha brindado soporte técnico a los procesos que se ejecutan en el sistemapara que funcionen correctamente y como necesita el usuario final?
Técnico Responsable del sistema- Pregunta 14
a)Ha dado soporte técnico de los procesos del sistema.
b)No se ha realizado mantenimiento a los procesos del sistema.
c)Se da mantenimiento a los procesos únicamente cuando se solicita por parte del usuario.
121
De acuerdo a la gráfica 68 ninguno de los técnicos ha dado mantenimiento a los procesos que
ejecuta el sistema para facilitar las tareas internas del usuario.
Figura 69: Debe existir un plan de requerimientos de disponibilidad y desempeño del
sistema Fuente: Autoras Elaborado por: Autoras, 2015
En la figura 69 se indica que los dos técnicos tienen criterios diferentes por lo que se indica que
50% cuenta con un registro detallado de los requerimientos de disponibilidad y desempeño de los
sistemas en cambio el otro 50% considera que no ha identificado ninguna necesidad de hardware
y software.
Figura 70: El plan de requerimiento y desempeño Fuente: Autoras Elaborado por: Autoras, 2015
Según la gráfica 70 ningún técnico lleva un cronograma para inspeccionar el sistema y su
hardware, uno de ellos lo hace cuando se presentan problemas, mientras que el otro técnico no
lleva un programa de monitoreos definido.
Figura 71: Realizar un cronograma de inspecciones al sistema informático y su hardware Fuente: Autoras Elaborado por: Autoras, 2015
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Se cuenta con un documento donde se detalle las necesidades dedisponibilidad y desempeño que presenta el sistema y su
hardware?
Técnico Responsable del sistema- Pregunta 15
a)Registro de requerimientos de disponibilidad y desempeño de las TI
b)No se identifican necesidad de disponibilidad y desempeño de las TI
50,00% 50,00%
0,00%0%
20%
40%
60%
80%
100%
¿Cuenta con un cronograma para realizar inspecciones alsistema y equipamiento informático?
Técnico Responsable del sistema- Pregunta 16
a)Cronograma de monitoreos y reporte de incidencias de TIb)Se inspecciona las TI cuando presentan erroresc)No existen un programa definido
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿Ha verificado que el sistema cuente con funciones que faciliten lasactividades y tareas que realizan los usuarios?
Técnico Responsable del sistema- Pregunta 17
a)El sistema cuenta con funciones que facilitan la actividad del usuario
b)No se ha verificado la existencia de funciones que faciliten la actividad del usuario
c)No existen funciones específicas para facilitar las actividades de usuario
122
Según las respuestas que se indican en la figura 71 realizadas por los dos técnicos evaluadores se
refleja el 100% de que los sistemas cuentan con funciones que facilitan las actividades que
realizan los usuarios
Figura 72: Verificar que las funciones del sistema faciliten las actividades del usuario
Fuente: Autoras Elaborado por: Autoras, 2015
De acuerdo a la figura 72 existe contrariedad entre los dos técnicos ya que según la gráfica el
50%confirma que si ha verificado la capacidad de almacenamientos del sistema que está bajo su
responsabilidad en cambio el otro técnico no ha realizado dicha actividad.
Figura 73: Revisar la capacidad de almacenamiento del equipo informático donde funciona el sistema Fuente: Autoras Elaborado por: Autoras, 2015
Según la gráfica 73 se muestra que el 100% del técnico lleva un registro actualizado de la
disponibilidad de los recursos físicos y digitales de los sistemas.
Figura 74: Registrar en un listado los recursos físicos y digitales del sistema que
estén disponibles Fuente: Autoras Elaborado por: Autoras, 2015
50,00% 50,00%
0,00%0%
20%
40%
60%
80%
100%
¿Ha revisado la capacidad de almacenamiento que posee elequipamiento informático del sistema?
Técnico Responsable del sistema- Pregunta 18
a)Se ha verificado la capacidad de almacenamiento de TI
b)No se ha verificado la capacidad de almacenamiento de TI
c)Los equipos cuenta con poca capacidad de almacenamiento
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿La disponibilidad de los recursos físicos y digitales del sistema se hanregistrado en un listado de recursos correctamente actualizado?
Técnico Responsable del sistema- Pregunta 19
a)Registro de disponibilidad hardware y software
b)No se registra la disponibilidad de hardware y software
c)Se actualiza la disponibilidad del hardware y software
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿Existe una cultura de respaldo de la información más importante delsistema por parte de todos los usuarios?
Técnico Responsable del sistema- Pregunta 20
a)Los usuarios del sistema respaldan la información y los datos que generan en el sistema
b)Desconocimiento de los usuarios
c)No se respalda la información del software
123
La figura 74 indica en cuanto al respaldo de la información que se debe almacenar todos los
técnicos confirman que son los usuarios de los sistemas quienes respaldan la información y datos
más importantes del sistema que utilizan.
Figura 75: Implementar medidas de respaldo de la información para conocimiento y
ejecución de los usuarios del sistema Fuente: Autoras Elaborado por: Autoras, 2015
En la figura 75 se refleja que el 50% de los técnicos asegura que no se han identificado, ni
registrado los recursos del TI en cambio el otro 50% considera que si han sido identificadas pero
no cuenta con un registro de ello.
Figura 76: Identificar y registrar un listado de los principales recursos físicos y digitales
del sistema informático Fuente: Autoras
Elaborado por: Autoras, 2015
La gráfica 76 expone que los sistemas informáticos que están a cargo de los dos técnicos son de
uso exclusivo de los usuarios autorizados ya que le gráfico demuestra el 100% para la primera
opción de respuesta.
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha identificado y registrado los recursos más importantes físicosy digitales que posee el sistema?
Técnico Responsable del sistema- Pregunta 21
a)Identificación y registro de los principales recursos de TI
b)No se ha identificado ni registrado los recursos más importantes de TI
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿El sistema es utilizado únicamente por el personal autorizado?
Técnico Responsable del sistema- Pregunta 22
a)El sistema lo utiliza sólo usuarios autorizados
b)Cualquiera tiene acceso al sistema
c)El sistema bloquea el acceso a usuarios sin identificación ni clave
124
Figura 77: Controlar que sólo los usuarios autorizados tengan acceso al sistema Fuente: Autoras
Elaborado por: Autoras, 2015
Uno de los técnicos si maneja niveles de seguridad de contraseñas mediante la cantidad de
caracteres especificados, mientras que el otro técnico no maneja este tipo de seguridad en el
sistema que es de su responsabilidad, de acuerdo a lo que se visualiza en la figura 77.
Figura 78: Implementar políticas para la creación de usuarios y contraseñas Fuente: Autoras
Elaborado por: Autoras, 2015
De acuerdo al gráfico 78 se puede verificar que uno de los técnicos si lleva una registro
actualizado en un documento formal donde existen todos los movimientos que realiza con los
usuarios del sistema.
Por el contrario el otro técnico que representa el 50% en la gráfica manifiesta que no lleva un
registro de los proceso de administración de perfiles y cuentas de usuarios.
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Se ha determinado un número máximo y mínimo de letras quedebe contener tanto el usuario como la contraseña de ingreso
al sistema?
Técnico Responsable del sistema- Pregunta 23
a)Niveles de seguridad de contraseña definidos
b)No se ha definido niveles de seguridad de contraseñas de usuarios
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Registra, actualiza y documenta los cambios de usuarios querealiza (creación, edición, eliminación)?
Técnico Responsable del sistema- Pregunta 24
a)Registro de administración de usuarios y perfiles
b)Rutinas de depuración de usuarios
c)No se registran los procesos de administración de perfiles y usuarios que seejecutan.
125
Figura 79: Debe mantener un registro de incidentes de: violación de acceso, perfiles de usuarios, funciones, etc. Fuente: Autoras
Elaborado por: Autoras, 2015
Visualizando la figura 70 se puede determinar que el 100% de los técnicos indican en su
evaluación que llevan un registro de incidencias pero únicamente de las que representan mayor
relevancia.
Figura 80: Identificar y asignar a cada usuario actividades de protección del sistema informático y su hardware Fuente: Autoras
Elaborado por: Autoras, 2015
De acuerdo a la gráfica80 el 50% refleja que de las actividades que se han detallado para el uso
de los sistemas son ejecutadas y el otro 50% han sido aplicadas incluso sin haber existido alguno
indicación técnica.
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Lleva un registro de todas las actividades de violación de: acceso,perfil de usuarios, cambios de función dentro del sistema sin
autorización, entre otros
Técnico Responsable del sistema- Pregunta 25
a)Registro actualizado de incidencias de inseguridad
b)No se registran los procesos de falla de seguridad
c)Se registran únicamente las incidencias de seguridad de mayor relevancia
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha especificado e indicado a los usuarios las actividades que sedeben ejecutar para proteger el sistema?
Técnico Responsable del sistema- Pregunta 26
a)Detalle de procesos para proteger el sistema
b)Actividades de protección del sistema sin definir
c)Las actividades de protección son aplicadas por los usuarios sin indicacionestécnicas
126
Figura 81: Proteger el sistema informático mediante el uso de software antivirus Fuente: Autoras
Elaborado por: Autoras, 2015
Según la figura 81 las respuestas de los dos técnicos los sistemas informáticos cuentan al 100%
con un software antivirus configurado correctamente en el equipo donde funciona el sistema.
Figura 82: Verificar y configurar las conexiones de red del equipo donde funciona el sistema informático Fuente: Autoras
Elaborado por: Autoras, 2015
En la figura 82 se indica que los dos técnicos han verificado que todas las funciones de seguridad
estén correctamente configuradas en el equipo donde funciona el sistema que tienen a cargo para
de esta manera evitar problemas de inseguridad.
Figura 83: Debe actualizar periódicamente a los usuarios sobre cada cambio que sufre el sistema Fuente: Autoras
Elaborado por: Autoras, 2015
0,00%0%
20%
40%
60%
80%
100%
El sistema está protegido de virus, troyanos, entre otras posiblesamenazas mediante el uso de un sistema antivirus correctamente
configurado?
Técnico Responsable del sistema- Pregunta 27
a)Software antivirus instalado y actualizado
b)No se tiene software antivirus en el equipo donde funciona el sistema
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Actualiza e informa periódicamente al usuario en el uso correctodel sistema y su hardware?
Técnico Responsable del sistema- Pregunta 29
a)Se actualiza periódicamente al usuario en el uso del sistema
b)No se actualiza en conocimientos al usuario del sistema
c)Se retroalimenta al usuario únicamente cuando existen cambios importantes en elsistema
0,00%0%
20%
40%
60%
80%
100%
¿Ha verificado que todas las funciones de seguridad del equipo decómputo donde opera el sistema estén activadas y que las
conexiones de red estén configuradas correctamente
Técnico Responsable del sistema- Pregunta 28
a)Verificación y actualización de firewell, redes y recursos compartidos
b)Firewell, redes y recursos compartidos sin configuración
127
La figura 83 muestra que uno de los técnicos asegura actualizar a los usuarios constantemente en
el uso del sistema, mientras que el otro técnico manifiesta que existe una retroalimentación al
usuario únicamente cuando se presentan cambios significativos del sistema.
Figura 84Realizar actividades de preparación y depuración de la información del sistema Fuente: Autoras
Elaborado por: Autoras, 2015
Según la gráfica 84 el 50% de los técnicos que evaluaron la tecnología de TI de Estadística
confirma que realiza actividades para preparar y organizar la información generada del sistema,
mientras que el otro técnico afirma que ésta actividad es realizada por los mismos usuarios del
sistema.
Figura 85: Definir políticas del uso de la información del sistema Fuente: Autoras
Elaborado por: Autoras, 2015
El gráfico 85 demuestra que uno de los técnicos si ha detallado políticas de uso de la información
para los usuarios del sistema, mientras que el otro técnico afirma que las políticas de uso están
definidas en forma general y no de forma detallada que sería lo óptimo.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha realizado actividades para preparar y organizar la información quegenera el sistema?
Técnico Responsable del sistema- Pregunta 30
a)Se realiza actividades para organizar la información del sistema
b)No se organiza la información del sistema mediante actividades
c)La preparación y organización de la información del sistema es una actividad querealizan los usuarios.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha detallado políticas de uso para los usuarios que tienen accesoa la información del sistema?
Técnico Responsable del sistema- Pregunta 31
a)Se ha detallado políticas de uso de la información del sistema
b)No existen políticas de uso detalladas de la información del sistema
c)Las políticas de uso de la información del sistema está definida de forma general
128
Figura 86: Resguardar la información de origen del sistema Fuente: Autoras
Elaborado por: Autoras, 2015
Según la gráfica 86 ningúno de los dos técnicos ha respaldado la información de origen del
sistema por lo que no se cuenta con dicha información en caso de ser necessario.
Figura 87: Debe dar mantenimiento correctivo a los problemas de origen del sistema Fuente: Autoras
Elaborado por: Autoras, 2015
Los resultados del gráfico 87 demuestran que uno de los técnicos afirma que no se han
presentado errores de origen del sistema, frente al otro técnico que afirma no haber detectado
posibles errores por lo que no ha tomado medidas correctivas.
Figura 88: Verificar que los datos de salida del sistema sean registrados correctamente Fuente: Autoras
Elaborado por: Autoras, 2015
De acuerdo al resultado reflejado en el gráfico 88 uno de los técnicos si verifica y registra los datos
que salen del sistema a su cargo, mientras que el otro técnico no ha revisado por tanto tampoco
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha recopilado y respaldado los datos de origen del sistema?
Técnico Responsable del sistema- Pregunta 32
a)Se ha recopilado y respaldado todos los datos de origen del sistema
b)No se ha recopilado y respaldado todos los datos de origen del sistema
c) Se ha respaldado los datos más importantes de origen del sistema
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha dado mantenimiento a los errores que presenta el sistema desdesu creación?
Técnico Responsable del sistema- Pregunta 33
a)No se han presentado fallas de funcionamiento de origen del sistema
b)Se ha dado mantenimiento a los errores de origen del sistema
c) No se ha detectado posibles errores por tanto no se ha corregido el sistema
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ha verificado si el sistema registra los datos de salida que segeneran?
Técnico Responsable del sistema- Pregunta 34
a)Se ha verificado el registro correcto de los datos que salen del sistema
b)No se ha verificado el registro de los datos de salida que genera el sistema
129
existe un registro de los datos de salida del sistema, lo que demuestra una vez más la
discrepancia en las actividades que realizan los técnicos.
Figura 89: Verificar que el sistema realice cálculos internos para control de la salida de información
Fuente: Autoras Elaborado por: Autoras, 2015
Según la figura 89 en su totalidad ninguno de los técnicos ha verificado si el sistema ejecuta
cálculos internos para comprobar los datos de salida emitidos por el software.
Figura 90: Verificar que la información del sistema esté protegida durante la transmisión y transporte de datos Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 90 refleja que los técnicos aseguran en la evaluación que la transmisión de datos es
segura por tanto está protegida de pérdida alguna.
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha verificado si el sistema realiza cálculos para comprobar lacorrecta salida de datos?
Técnico Responsable del sistema- Pregunta 35
a)El sistema realiza cálculos internos para comprobación de los datos de salida
b)El sistema no realiza cálculos internos para comprobación de los datos de salida
c)No se comprobado si el sistema realiza cálculos internos para comprobación de losdatos de salida
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha verificado que la información más importante del sistema estéprotegida mientras se realiza la transmisión y transporte de la misma?
Técnico Responsable del sistema- Pregunta 36
a)Transmisión y transporte de datos segura
b)Transmisión y transporte de datos sin medidas de seguras
c)seguridad de la transmisión y transporte
130
Figura 91: Comprobar los lugares de almacenamiento de la información del sistema Fuente: Autoras
Elaborado por: Autoras, 2015
Los datos del gráfico 91 reflejan que en su totalidad se han comprobado los medios de
almacenamiento de la información de los sistemas informáticos.
Figura 92: Verificar los tiempos de almacenamiento de la información que genera el sistema informático Fuente: Autoras
Elaborado por: Autoras, 2015
Los datos de la figura 92 reflejan en su totalidad que los tiempos de almacenamiento de la
información generada del sistema se la realizan sin comprobación ni registro alguno.
Figura 93: Comprobar que los mensajes de ayuda del sistema estén protegidos de cambios y ediciones por parte de los usuarios Fuente: Autoras
Elaborado por: Autoras, 2015
0,00% 0,00%
0%
20%
40%
60%
80%
100%
¿Ha comprobado dónde y cómo se almacenan los datos e informacióndel sistema?
Técnico Responsable del sistema- Pregunta 37
a)Se ha comprobado los medios de almacenamiento de la información del sistema
b)No se ha comprobado los medios de almacenamiento de la información del sistema
c)En la información del sistema constan medios y sitios de almacenamiento paraconocimiento general
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿Ha verificado y registrado los periodos de tiempo que se conserva lainformación del sistema que ha sido almacenada?
Técnico Responsable del sistema- Pregunta 38
a)Comprobación y registro de tiempos de almacenamiento de los datos
b)Tiempos de almacenamiento de los datos sin comprobación ni registro
c)Se actualiza periódicamente los registros de tiempos de almacenamiento previacomprobación
0,00% 0,00%0%
20%
40%
60%
80%
100%
¿Ha verificado que los mensajes de ayuda del sistema estén protegidosde posibles ediciones y/o eliminaciones?
Técnico Responsable del sistema- Pregunta 39
a)Se ha verificado la protección de los mensajes de ayuda que ofrece el sistema
b)No se ha verificado la protección de los mensajes de ayuda que ofrece el sistema
c)En la información del sistema constan medios y sitios de almacenamiento paraconocimiento general
131
El gráfico 93 demuestra que los mensajes de ayuda que ofrece los sistemas informáticos en su
totalidad cuentan con la protección respectiva para que no pueda ser manipulada la información de
ellos.
Figura 94: Verificar que la información del sistema que ha sido almacenada esté completa e íntegra Fuente: Autoras
Elaborado por: Autoras, 2015
Según la figura 94 uno de los técnicos ha verificado y comprobado que la información almacenada
del sistema está completa, mientras que el otro técnico no ha verifico dicho proceso por lo que
desconoce si los datos guardados está íntegros.
Figura 95: Comprobar que el sistema permita imprimir reportes de actividades de cada usuario Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 96 indica que el 50% de los técnicos indica que el sistema informático que maneja si
permite la impresión de un informe de actividades por cada uno de los usuarios en cambio el otro
50% no permite la impresión esto refleja falencias al reportar las actividades realizadas por los
usuarios.
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Ha verificado que los datos almacenados estén completos?
Técnico Responsable del sistema- Pregunta 40
a)Los datos almacenados están completos
b)Los datos almacenados no están completos
c)No se ha verificado si los datos almacenados están o no completos
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿El sistema permite la impresión de informes de actividad de cadausuario?
Técnico Responsable del sistema- Pregunta 41
a)Impresión de informe de actividades por usuario
b)Impresión de informe de actividades por rol
c)No permite impresión de informe de actividades
132
Figura 96: Monitorear el funcionamiento interno del sistema de forma periódica Fuente: Autoras
Elaborado por: Autoras, 2015
En la figura 96 se indica que no de los técnicos si monitorea constantemente el funcionamiento
interno del sistema, mientras que el otro técnico únicamente realiza monitores del sistema cuando
se presentan incidentes que perjudican su funcionamiento.
Figura 97: Debe ejecutar evaluaciones constantes del funcionamiento interno del sistema informático Fuente: Autoras
Elaborado por: Autoras, 2015
El gráfico 97 refleja que no se evalúa el funcionamiento interno de los sistemas de forma periódica
por parte de un técnico, mientras el otro técnico si realiza evaluaciones del funcionamiento interno
del sistema una vez al año.
5.5.3. Evaluaciones ejecutadas por los Usuarios
La tercera parte de los resultados refleja los datos obtenidos de la evaluación realizada por los
usuarios finales de los sistemas informáticos departamentales, dichos datos se reflejan en la tabla
N°24 para mayor comprensión:
Tabla 24: Resultados obtenidos de la Evaluación mediante Evalsis – ejecución de Usuarios
50,00%
0,00%
50,00%
0%
20%
40%
60%
80%
100%
¿Realiza monitoreos constantes del funcionamiento interno delsistema?
Técnico Responsable del sistema- Pregunta 42
a)Se monitorea constantemente el funcionamiento interno del sistema
b)No se ha monitoreado el funcionamiento del sistema
c)Se realizan monitoreos del funcionamiento del sistema cuando se presentaninconvenientes
0,00%
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Ejecuta evaluaciones periódicas del funcionamiento interno delsistema?
Técnico Responsable del sistema- Pregunta 43
a)Se evalúa el funcionamiento interno del sistema de forma periódica
b)No se evalúa el funcionamiento interno del sistema de forma periódica
c)Las evaluaciones del funcionamiento interno del sistema se realizan 1 vez al año
RESPUESTAS PREGUNTAS
VIEPI4 Eg.
Hosp. UCMMSP
RDACAA Fichas
¿Al configurar el sistema en el computador que usted maneja el técnico verificó que funcione correctamente tanto al ingresar, cerrar
a b b a a a a a
133
Fuente: Autoras Elaborado por: autoras, 2015
Totalización de resultados, especificando la pregunta con las cantidades de respuestas generadas.
Para ilustración visualizar la tabla 25 que se expone a continuación:
Tabla 25: Resultados de las respuestas que generaron los Usuarios al ejecutar la evaluación en el software Evalsis
PREGUNTAS RESPUESTAS
a b c
¿Al configurar el sistema en el computador que usted maneja el técnico verificó que funcione correctamente tanto al ingresar, cerrar y manipular las diferentes funciones que cumple?
6 2 0
¿Cuenta con un manual de fácil comprensión donde se explique todos los procedimientos y operaciones que permite realizar el sistema?
5 3 0
¿El sistema solicita que se identifique al momento del ingreso? 8 0 0
¿Accede de forma personal e individual al sistema? 5 3 0
¿Puede cambiar la clave de ingreso al sistema cuando lo necesita? 1 7 0
¿Al realizar varios intentos no exitosos de ingreso al sistema, se bloquea automáticamente por un período de tiempo antes de que pueda volver a intentar el ingreso?
3 5 0
¿El sistema le limita el acceso dependiendo de la fecha u horario considerado como no permitido?
0 8 0
¿Existe el bloqueo automático de acceso a procesos que no le corresponden dependiendo de la función que cumple dentro del sistema?
4 4 0
¿El diseño gráfico del sistema es agradable y de fácil comprensión? 7 1 0
¿El sistema permite ejecutar tareas mediante el uso de una combinación de teclas? 6 2 0
¿El diseño del sistema cumple con lo necesario para que pueda manipularlo fácilmente? 7 1 0
¿Las ayudas del sistema son claras, precisas y necesarias? 5 2 1
¿El diseño de los textos del sistema es agradable visualmente para el usuario? 5 3 0
¿El modelo de los formatos de salida de información del sistema está diseñado de 5 3 0
y manipular las diferentes funciones que cumple?
¿Cuenta con un manual de fácil comprensión donde se explique todos los procedimientos y operaciones que permite realizar el sistema?
a a a a a b b b
¿El sistema solicita que se identifique al momento del ingreso? a a a a a a a a
¿Accede de forma personal e individual al sistema? a a a a a b b b
¿Puede cambiar la clave de ingreso al sistema cuando lo necesita? b a b b b b b b
¿Al realizar varios intentos no exitosos de ingreso al sistema, se bloquea automáticamente por un período de tiempo antes de que pueda volver a intentar el ingreso?
a a a b b b b b
¿El sistema le limita el acceso dependiendo de la fecha u horario considerado como no permitido?
b b b b b b b b
¿Existe el bloqueo automático de acceso a procesos que no le corresponden dependiendo de la función que cumple dentro del sistema?
a a a a b b b b
¿El diseño gráfico del sistema es agradable y de fácil comprensión?
b a a a a a a a
¿El sistema permite ejecutar tareas mediante el uso de una combinación de teclas?
b b a a a a a a
¿El diseño del sistema cumple con lo necesario para que pueda manipularlo fácilmente?
b a a a a a a a
¿Las ayudas del sistema son claras, precisas y necesarias? a a b a a b c a
¿El diseño de los textos del sistema es agradable visualmente para el usuario?
a a a a a b b b
¿El modelo de los formatos de salida de información del sistema está diseñado de acuerdo a los resultados que se desea obtener?
a a a a a b b b
¿Cuenta con manuales de procesos específicos: inicio, funcionamiento y cierre correcto del sistema?
b a b a a b b b
134
acuerdo a los resultados que se desea obtener?
¿Cuenta con manuales de procesos específicos: inicio, funcionamiento y cierre correcto del sistema?
3 5 0
Fuente: Autoras Elaborado por: Autoras, 2015
A continuación se indican los gráficos estadísticos de los resultados de la Evaluación ejecutada por
los Usuarios finales:
Figura 98: El técnico debe instalar y verificar la funcionalidad del software en el equipo donde funciona el sistema Fuente: Autoras
Elaborado por: Autoras, 2015
En el gráfico 98 se puede verificar que la mayoría de los usuarios coinciden que los sistemas
fueron configurados correctamente por el técnico responsable del software de acuerdo a la
respuesta de los usuarios, además el 25% detalla que no se han realizado configuraciones de los
sistemas.
Figura 99: Debe tener un manual comprensible de las operaciones del sistema
Fuente: Autoras Elaborado por: Autoras, 2015
La figura 99 indica que la mayoría de usuarios tiene un manual para poder retroalimentar sus
conocimientos, sin embargo aún existe carencia de manuales guías para el 32,5% de los usuarios
departamentales.
75,00%
25,00%
0,00%
0%
20%
40%
60%
80%
100%
¿Al configurar el sistema en el computador que usted maneja el técnico verificóque funcione correctamente tanto al ingresar, cerrar y manipular las diferentesfunciones que cumple?
Usuario final - Pregunta 1
a)Se verificó el cumplimiento y satisfacción del software
b) No se realiza comprobación de funcionamiento del software
c) El sistema no cumple las funciones para las que fue creado
62,50%
32,50%
0%
20%
40%
60%
80%
100%
¿Cuenta con un manual de fácil comprensión donde se explique todoslos procedimientos y operaciones que permite realizar el sistema?
Usuario final - Pregunta 2
a) Manual de usuario del sistema b) No existe guía de usuario
135
Figura 100: El sistema debe solicitar su registro al momento del ingreso Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 100 demuestra que todos los usuarios tienen acceso al sistema mediante el uso de un
usuario y contraseña de acuerdo a los resultados de la gráfica anterior.
Figura 101: Debe acceder de forma individual al sistema Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 101 indica que la mayor parte de usuarios accede con un usuario y contraseña personal,
sin embargo el 37,5% refleja que ingresa mediante usuario y contraseña general, esto da a
conocer la realidad actual lo que genera un problema grave de seguridad ya que estos usuarios y
claves pueden replicarse.
Figura 102: Debe cambiar la clave de acceso cuando lo requiera Fuente: Autoras
Elaborado por: Autoras, 2015
En el gráfico 105 se puede visualizar una gran desfase entre un 12,5% que puede cambiar su
contraseña de acceso al sistema frente a una gran mayoría que no tiene la posibilidad de cambiar
100,00%
0,00%
0%
20%
40%
60%
80%
100%
¿El sistema solicita que se identifique al momento del ingreso?
Usuario final - Pregunta 3
a) Control de acceso b)No existe control de acceso
62,50%
37,50%
0%
20%
40%
60%
80%
100%
¿Accede de forma personal e individual al sistema?
Usuario final - Pregunta 4
a) Acceso personalizado b) Acceso general al software
12,50%
87,50%
0%
20%
40%
60%
80%
100%
¿Puede cambiar la clave de ingreso al sistema cuando lo necesita?
Usuario final - Pregunta 5
a) Proceso de cambio de clave periódico y personal
b) El usuario no puede cambiar su clave
136
su clave cunado lo requiere. El cambio de contraseña debería ser opcional para el usuario cuando
lo crea necesario hacerlo sin tener dificultad en el proceso.
Figura 103: Ha comprobado si el sistema se bloquea cuando realiza varios intentos fallidos Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 104 refleja que un factor importante de la seguridad es que el acceso sea restringido, en
este caso refiriéndose al gráfico anterior es fundamental que se incremente los bloqueos
automáticos ya que los resultados reflejan un 62,5% de inexistencia de políticas de bloqueos en el
acceso al sistema.
Figura 104: El sistema debe restringir el acceso dependiendo de la hora y el día laboral permitido Fuente: Autoras
Elaborado por: Autoras, 2015
En la gráfica 104 se demuestra que ningún sistema de Estadística permite controlar los accesos
dependiendo del horario o fecha, por tanto debería ser un control a implementar.
Figura 105: El sistema debe bloquear el acceso a un perfil de usuario que no le corresponde Fuente: Autoras
Elaborado por: Autoras, 2015
32,50%
62,50%
0%
20%
40%
60%
80%
100%
¿Al realizar varios intentos no exitosos de ingreso al sistema, sebloquea automáticamente por un período de tiempo antes de que
pueda volver a intentar el ingreso
Usuario final - Pregunta 6
a) Se han definido bloqueos del sistema por intentos fallidos de ingreso
b) No se definen políticas de bloqueos del software
0,00%
100,00%
0%
20%
40%
60%
80%
100%
¿El sistema le limita el acceso dependiendo de la fecha u horarioconsiderado como no permitido
Usuario final - Pregunta 7
a) Bloqueo del sistema en horarios no permitidos
b) No se ha considerado bloqueos del software en horarios restringidos
50,00% 50,00%
0%
20%
40%
60%
80%
100%
¿Existe el bloqueo automático de acceso a procesos que no lecorresponden dependiendo de la función que cumple dentro del sistema
Usuario final - Pregunta 8
a) Bloqueo de funciones definidos según el perfil de acceso
b) No se han determinado bloqueos de procesos
137
La figura 105 indica que la mitad de los sistemas informáticos cuenta con bloqueos de perfil,
mientras que la otra mitad no, por tanto debería implementarse a su totalidad para evitar que se
ejecuten funciones por parte de usuarios que no corresponde.
Figura 106: La interfaz gráfica del sistema debe ser agradable y comprensible Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 106 refleja la mayor parte de los sistemas cuentan con una interfaz gráfica agradable a
los usuarios por lo que se debería procurar mejorar el 12,5% para que los niveles de satisfacción
sean superiores.
Figura 107: El sistema debe permitir acceder a funciones mediante la combinación de teclas Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 107 ilustra que para facilitar la funcionalidad la mayor parte de sistemas tienen activadas
funciones mediante la combinación de teclas, por tanto es recomendable que el otro 25% restante
active dichas funciones ya que en caso de que el usuario no cuente con mouse podría acoplarse
temporalmente al uso de funciones mediante teclas específicas.
87,50%
12,50%
0%
20%
40%
60%
80%
100%
¿El diseño gráfico del sistema es agradable y de fácil comprensión
Usuario final - Pregunta 9
a) Interfaz gráfica amigable con el usuario
b) La interfaz gráfica no es de fácil comprensión para el usuario
75,00%
25,00%
0%
20%
40%
60%
80%
100%
¿El sistema permite ejecutar tareas mediante el uso de unacombinación de teclas
Usuario final - Pregunta 10
a) El sistema permite la activación de funciones mediante teclas específicas
b) El sistema no permite la activación de funciones mediante teclas específicas
138
Figura 108: El sistema debe ser de fácil manipulación y ejecución Fuente: Autoras
Elaborado por: Autoras, 2015
El grafico anterior demuestra que los sistemas de Estadística en un 87,5% cumplen con un diseño
funcional, de fácil comprensión y manipulación para los usuarios, tan solo un 12,5% presenta un
diseño complicado para el usuario, por lo que es necesario que se sugiera la pronta
reestructuración del diseño para que se facilite el trabajo, comprensión e interfaz amigable del
usuario cuando interactúa con el sistema.
Figura 109: Las ayudas del sistema deben ser claras y constar únicamente las necesarias para que usted se guíe Fuente: Autoras
Elaborado por: Autoras, 2015
En la figura 109 se indica que las ayudas de los sistemas son fundamentales para que el usuario
se guíe en caso de tener conflictos inesperados dentro del sistema, es por eso que los resultados
demuestran que el 62,5% ofrece ayudas claras para que el usuario pueda interactuar fácilmente y
guiarse, mientras que un 25% que representa la cuarta parte de usuarios del total consideran que
algunos mensajes está de más y no son necesarios para ayudar al usuario, asimismo se refleja un
12,5% de inconformidad ya que consideran que las ayudas no son las adecuadas, ni
comprensibles para cubrir las necesidades que se presentan durante la manipulación del sistema.
87,50%
12,50%
0,00%
0%
20%
40%
60%
80%
100%
¿El diseño del sistema cumple con lo necesario para que puedamanipularlo fácilmente
Usuario final - Pregunta 11
a) El sistema es fácil de manipulación y comprensión para el usuario
b) El sistema es complicado de manipular por el usuario
c) El sistema es incomprensible para el usuario
62,50%
25,00%0,125
0%
20%
40%
60%
80%
100%
¿Las ayudas del sistema son claras, precisas y necesarias
Usuario final - Pregunta 12
a) La ayuda que ofrece el sistema es clara y precisa
b) Algunos mensajes de ayuda del sistema no son necesarios
c) Los mensajes de ayuda del sistema no son claros para el usuario
139
Figura 110: Los textos del sistema deben ser agradables visualmente Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 110 indica que los textos del sistema van de la mano con la interfaz, el diseño, como se
presenta el sistema y sus funcionalidades al usuario, de ahí que el gráfico refleja un 62,5% de
conformidad con los textos que presenta el software, frente esto como contraparte el 32,5% de
usuarios especifica en su respuesta que los diseños de los textos no cuentan con un diseño
agradable a la vista lo que demuestra que el sistema no es lo suficientemente acogido por todos
los usuarios que lo ejecutan.
Figura 111: Los formatos de salida de datos deben contener la información necesaria Fuente: Autoras
Elaborado por: Autoras, 2015
En la figura 111 demuestra que los formatos de salida de información nos permiten visualizar los
resultados del proceso interno que se ejecuta en el sistema por tanto los resultados que se
obtienen permiten verificar la funcionalidad de los formatos de los sistemas de Estadística,
considerando esto se verifica en el gráfico que un 62,5% de los usuarios consideran que los
diseños de los sistemas son los adecuados, mientras que un 32,5% contradice presentando una
respuesta negativa sobre los formatos de los sistemas; es importante recalcar además que ningún
sistema está exento de un formato ya que todos los usuarios rechazaron la tercera opción
considerando así que los sistemas tienen formatos aunque no todos son los correctos ni están bien
62,50%
32,50%
0%
20%
40%
60%
80%
100%
¿El diseño de los textos del sistema es agradable visualmentepara el usuario
Usuario final - Pregunta 13
a) Los textos del sistema son visualmente agradables al usuario
b) Los textos del sistema no son visualmente agradables al usuario
62,50%
32,50%
00%
20%
40%
60%
80%
100%
¿El modelo de los formatos de salida de información del sistemaestá diseñado de acuerdo a los resultados que se desea obtener
Usuario final - Pregunta 14
a) El diseño de los formatos de salida de información es preciso para losresultados que se requieren
b) El diseño de los formatos de salida de información no es el adecuado
c) Falta configurar los formatos de salida de información de acuerdo a larealidad vigente
140
definidos de acuerdo a lo que necesita el usuario final del software, por lo que los técnicos
responsables deberían mejorar este punto y así mejorar los resultados finales.
Figura 112: Debe tener un manual de procedimientos específicos Fuente: Autoras
Elaborado por: Autoras, 2015
La figura 112 permite visualizar que la mayor parte de usuarios confirma en un 62,5% que no
existen manuales de proceso específicos, mientras que un 32,5% responde positivamente a la
existencia de manuales específicos.
32,50%
62,50%
0,00%
0%
20%
40%
60%
80%
100%
¿Cuenta con manuales de procesos específicos: inicio,funcionamiento y cierre correcto del sistema
Usuario final - Pregunta 15
a) Si se cuenta con manuales de procesos específicos
b) No se cuenta con manuales de procesos específicos
c) Existen manuales del manejo general del sistema
141
CONCLUSIONES
El presente trabajo de tesis ha sido un reto en el cual hemos podido desarrollar los
aprendizajes obtenidos a lo largo de nuestra preparación académica universitaria.
El trabajar con una institución del estado derivada del Ministerio de Salud Pública, ha
presentado varios inconvenientes para la recolección de datos; puesto que la información
de una Casa de Salud es confidencial debido a la sensibilidad de la información, ha
implicado un reto mayor que se ha podido enfrentar mediante el diálogo continuo con las
autoridades institucionales y departamentales.
La temática propuesta para la tesis permite abarcar puntos estratégicos para la evaluación
de la tecnología informática existente en el departamento de Estadística del Hospital “Julius
Doepfner” de Zamora.
Para la creación de la Guía de Evaluación de sistemas informáticos fue necesario estudiar
modelos y normas de calidad ya que esta temática da a conocer las pautas a seguir en
cuanto a metodología, atributos, seguridad y conceptos claves que se deben considerar en
la tecnología informática.
Se utilizó COBIT 5-SI ya que permite cuantificar el grado de madurez de los procesos y
porque a través de los parámetros adecuados de evaluación se puede dar alcance a los
objetivos definidos en la guía. Así mismo el marco de trabajo propuesto por Cobit permite
determinar el manejo de los sistemas informáticos, las áreas claves que deben ser
mejoradas y automatizadas, los procesos internos y externos que determinan la
funcionalidad y manejo del software, la escases del nivel de integridad, confidencialidad y
disponibilidad de los datos que se manipulan en los sistemas informáticos del
departamento de Estadística.
La guía de evaluación durante su proceso de desarrollo fue sujeta a varios
replanteamientos y desafíos no expuestos de manera inicial, uno de estos fue la división de
usuarios evaluadores ya que dependiendo del tipo de usuario se manejan diferentes
temáticas de evaluación, otro de los retos enfrentados fue la elaboración del software
Evalsis para la automatización del proceso de evaluación; resultando en una guía que
puede ser usada en proyectos futuros o ser parte de una buena base para usarse en la
construcción de una nueva guía si el caso lo requiere. Además la guía puede ser adaptada
con facilidad para la evaluación de sistemas para otras áreas, al igual que el software
debido a su fácil comprensión y aplicación lo que permitirá agregar mayor movilidad u
usabilidad.
La creación del software de evaluación Evalsis, el cual es un complemento de la guía de
evaluación, permite implementar una solución automatizada capaz de evaluar los
programas informáticos existentes en el departamento de Estadística mediante la creación
de módulos de usuarios, perfiles, accesos, evaluación y resultados, los mismos que son la
142
base de los datos estadísticos definitivos, obtenidos posterior a la ejecución de la
evaluación correspondiente.
Utilizar la metodología AUP para la implementación del software Evalsis significó un gran
reto por la poca información técnica existente. AUP maneja en sus cuatro etapas procesos
ágiles de desarrollo, lo que permite adaptarse fácilmente e ir edificando cada etapa
conforme se va avanzando en la construcción del software, las cuales dividieron el proyecto
en objetivos lógicos y alcanzables; esto se ve reflejado en la documentación de Evalsis,
donde se detallan las pautas más importantes, los requerimientos, descripciones de actores
y demás funciones que cumple el software para obtener el resultado final del proyecto, la
metodología también impulsó la creación de un diagrama de caso de uso y diagrama de
clases general, los que ayudan a exponer tanto los requerimientos y flujo del software. Una
vez finalizadas las fases del desarrollo se obtuvo un prototipo del software de evaluación
completamente funcional, capaz de presentar datos de una evaluación individual de los
sistemas dependiendo del perfil de usuario evaluador.
Para concluir se evaluó los sistemas informáticos de Estadística del HJDZ mediante el
software Evalsis, reflejando una variedad de datos que dan a conocer las falencias de: los
sistemas informáticos actuales, falta de controles de acceso, carencia de limitación de
acceso, falta de especificación de perfiles, errores en el hardware departamental, la
incorrecta ejecución de actividades y procesos, desconocimiento de las actividades de
seguridad y almacenamiento de información, falta de capacitaciones oportunas y
correctamente dirigidas, gestionamientos para adquisiciones, falta de revisiones,
mantenimiento, entre otras.
143
RECOMENDACIONES
Es recomendable que el Hospital “Julius Doepfner” de Zamora asuma el compromiso de
continuar mejorando las medidas de seguridad informática en el departamento de
Estadística.
Que el Hospital “Julius Doepfner” de Zamora considere a uno de los Técnicos Informáticos
con más experiencia en tecnología para que forme parte de la toma de decisiones cuando
se requiera adquirir hardware, seguridad física y lógica en los sistemas informáticos de
Estadística.
Que el personal que labora en el departamento de Estadística asuma el uso y comprensión
de la guía de evaluación previa a su ejecución y puesta en marcha, para así evitar
problemas durante la ejecución de la evaluación de los sistemas y demás tecnología
informática existentes en el área departamental.
Que cada uno de los usuarios del departamento ejecute la guía de evaluación con una
validación que refleje la realidad actual, que permita conocer el ambiente y entorno vigente
en cuanto a los sistemas y tecnología informática.
Que se considere los resultados obtenidos en la evaluación de los sistemas y tecnología
informática al realizar los procesos, actividades y gestionamientos los mismos que permitan
mejorar y tomar ventajas sobre los puntos que presenten índices de peligro y alarma.
Que se concientice a todos los usuarios de la importancia de cuidar, proteger, asegurar y
guardar absoluta reserva sobre la tecnología y sistemas que posee el departamento para
propiciar el correcto funcionamiento de los sistemas y equipos informáticos
departamentales.
Que el Hospital “Julius Doepfner” de Zamora, en el departamento de Estadística haga
énfasis en la necesidad de manejar los riesgos relacionados en la seguridad de datos, ya
que se encuentra expuestos a posibles modificaciones de información de cualquiera de los
empleados del hospital, por lo que se deben asignar claves de acceso a los equipos
guardando du respectiva copia en la Dirección, donde se cambien periódicamente, lo que
permitirá salvaguardar la información de los pacientes.
Que el Director del Hospital en el cumplimiento de calidad de la seguridad informática del
departamento implemente la guía de evaluación; esto en beneficio de los recursos
tecnlógicos, para poder cumplir con los estándares de calidad y así mantener la
infraestructura de seguridad, asimiso es necesario que la capacitación sea periódica para
los usuarios del sistema, y de esta manera verificar ue los recursos sean utilizados y
aprovechados de la manera correcta.
Para finalizar se recomienda que se evalúe los sistemas y tecnología informática al menos
una vez al año para evitar inconvenientes mayores que paralicen los procesos cotidianos y
a su vez se tome medidas correctivas y preventivas en lo que se requiera.
144
BIBLIOGRAFÍA
[1] Piattini, Análisis y diseño detallado de aplicaciones informáticas de gestión, 1996.
[2] o. E. a. E. E. Institute, IEEE Std. 610, 1990.
[3] M. Webster, Webster's New Colegiate Dictionary, Houston, TX, U.S.A.: Publishers. Hardcover, 1975.
[4] C. Szyperski, Component Software Beyond Object – Oriented Programming, New York: Addison-Wesley Professiona, 1998.
[5] N. A. y. J. A. C. Jonás A. Montilva C., “Desarrollo basado en Componente", Mérida, Venezuela, 2003.
[6] P. Crosby, Quality is Free, New York: Mc Graw Hill, 1979.
[7] E. Deming, Out of the crisis, Cambridge: MIT Press., 1988.
[8] A. V. Feigenbaum, Total Quality Contro, Hardcover: McGraw-Hill Professiona, 2004.
[9] R. Pressman, Software Engineering: A Practioner's Approach (Sixth Edition, International Edition), McGraw-Hil, 2005.
[10] A. M. Davids, Software Requirements, Prentice Hall, 1993.
[11] T. d. Marco, Controlling Software Proyects: Management Miasurement, and Estimation, New York: Prentice Hall/Yourdon Press, 1982.
[12] I. Sommerville, Ingeniería del software, 7ma. edición, Madrid: Pearson Educación, S.A, 2005.
[13] K. Sridharan, Computer Applications in Engineering Education, Madison, 2000.
[14] K. E. Wiegers, Software Requirements, Second Edition, 1990.
[15] R. McCall, Factors in Software Quality, Pearson Education, 1977.
[16] N. &. Fenton, Software Metrics: A Rigorous and Practic Approach (Second ed.), Londres: International Thomson Computer Press, 1996.
[17] B. Boehm, Engineering Economics, Indiana: Prentice Hal, 1978.
[18] C. Larman, UML y Patrones 2da. Edición, Madrid: PEARSON EDUCACIÓN, S.A., 2003.
[19] R. Dromey, How to Solve it By Computer, Prnetice-Hall Of India, 1996.
[20] A. Álvarez, Atributos de la calidad del software, México: Prentice Hal, 2012.
[21] V. Alonso Secades, La Gestión del Conocimiento: Modelos de Transferencia del Conocimiento y Calidad en los Medios de Comunicación, Organizaciones y Empresas., Salamanca, España: Conde Nast, 2008.
[22] A. M. Nardi, Administrando estratégicamente una biblioteca universitaria, Eudecor, 2003.
[23] R. Richter Medrano, ISO-9126.
[24] R. Pressman, Ingeniería de Software. Un Enfoque Práctico. Quinta Edición. Mc, Pearson Addison Wesley, 2002.
[25] P. Fillottrani, Calidad en el Desarrollo de Software, Modelos de Calidad del software, 2007.
[26] M. S. Alfonzo P., “Los estándares internacionales y su importancia para la industria del software,” 15 Abril 2013.
[27] G. M. H. A. R. F. S. A. Calixto E., COBIT, Toluca, 2013.
[28] V. M. Paredes G., DESARROLLO DE UNA METODOLOGÍA PARA LA AUDITORÍA DE RIESGOS INFORMÁTICOS Y SU APLICACIÓN AL DEPARTAMENTO DE INFORMÁTICA DE LA DIRECCIÓN PROVINCIAL DE ´PICHINCHA DEL CONSEJO DE LA JUDICATURA, Riobamba, 2011.
[29] M. Mejía, «Establecimiento de un sistema de control interno basado en Cobit en el área de informática de la clínica de enfermedades infecciosas, Hospital Roosevelt,» Guatemala, 2011.
145
[30] N. Franco, Cobit 5 comparativo con Cobit 4.1, 2012.
[31] ISACA, COBIT 5 Resumen Ejecutivo, 2012.
[32] ISACA, Gobernabilidad, Control y Auditoria de informacion y tecnologia relacionadas, Madrid, 1998.
[33] I. G. Institute, Control Objectives, Management Guidelines and Maturity Models, Estados Unidos de America, 2005.
[34] N. Franco, «Beneficios de implementar Cobit 5,» 2012.
[35] P. Andrés, Novedades del Cobit, Madrid: ATI Madrid, 2012.
[36] M. V. Rafael, Certified Information Systems Auditor- CISA CPAAI Cabrera Internacional S. A., 2012.
[37] M. K. Cárdenas Y., Mejora de la Calidad del Servicio Post-Implementación de la Consultora K&C Consulting Utilizando COBIT e ITIL, 2012.
[38] Institute, IT Governance, COBIT 4.1 Control Objetives, Management Guidelines and Maturity Models, Quinta Edición ed., Estados Unidos de América, 2007.
146
WEBGRAFÍA
http://slideplayer.es/slide/141586/
http://prof.usb.ve/lmendoza/Documentos/PS-6116/Guia%20Arquitectura%20v.2.pdf
http://www.slideshare.net/draw507/cuadro-comparativo-14732993
http://kybele.escet.urjc.es/Documentos/ISI/Calidad%20del%20software.ppt
http://www.gismedia.pt/newsletter/newsletter.cfm?edinum=17&p=3
http://es.geocities.com/modeloespiral/definicion.htm
http://es.wikipedia.org/wiki/Desarrollo_en_espiral
http://148.202.148.5/cursos/cc321/fundamentos/unidad1/espiral.htm
http://eprints.rclis.org/10174/1/Tecnicas_e_instrumentos_de_medicion_para_los_procesos_de
_autoevaluacion_en_bibliotecas.pdf
http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/COBIT%20audit%20y%20ctr
ol%20sists%20inf.pdf
http://prezi.com/8pjgauekh0xi/metodologia-cobit
http://es.scribd.com/doc/31006796/Cuadro-Comparativo-Cobit-Mof-Itil
http://www.netconsul.com/riesgos/cci.pdf
http://www.slideshare.net/nikifitz/cobit-1154456
28http://www.slideshare.net/franckonel/equipo3-presentacion2-cobit#
http://repositorio.espe.edu.ec/bitstream/21000/5197/1/T-ESPE-033091.pdf
http://www.methodware.com/products/cobit/idx-cobitm.shtml
http://en.wikipedia.org/wiki/COBIT
http://www.monografias.com/trabajos38/cobit/cobit2.shtml#rese
http://dspace.espoch.edu.ec/bitstream/123456789/1497/1/18T00459.pdf
http://www.isaca.org/COBIT/Documents/COBIT5-Introduction-Spanish.ppt
http://www.slideshare.net/franckonel/equipo3-presentacion2-cobit#
http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf
http://cdigital.udem.edu.co/TESIS/CD-ROM51872010/12.Capitulo6.pdf
http://temariotic.wikidot.com/cobit
http://es.escribd.com/doc/59484913/Historia-de-la-Seguridad-a
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBI
T/cobiT4.1spanish.pdf
http://www.cs.uns.edu.ar/~prf/teaching/SQ07/clase6.pdf
http://www.manualdeestilo.com/visualizar/interfaz-grafica-de-usuario-gui/La interfaz gráfica
http://muziek-filmkunst.blogspot.com/2011/01/seguridadlogica-y-confidencial.html
http://sedici.unlp.edu.ar/bitstream/handle/10915/3956/3Aseguramiento_de_la_calidad_del_soft
ware.pdf?sequence=11
147
http://slideplayer.es/slide/96777/
http://www.slideshare.net/cenedis/redes-configuración-y-topologia
148
ANEXOS
149
ANEXO1: Solicitud al Director del HJDZ para que autorice realizar el proyecto de Tesis en Estadística – Fuente (Autoras, 2014)
150
ANEXO 2: Entrevistas preliminares – Fuente: (Autores, 2014)
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
DIR
EC
CIO
N
Secretaría General
Archivo General
Estadística
Procesamiento de Datos
Rdacaa
Egresos Hospitalarios
Agendamiento
Coordinación de Área
Procesamiento de Datos
Unidades Operativas
Banco de Vacunas
Coordianción Médica
APSMedicina General
Odontología
Especialidad
Ginecología
Traumatología
Pediatría
Acupuntura
Gastroenterología
Oftafología
Dermatología
Nutrición
Medicina Interna
Psicología
Audiometría
Cirugía
Terapia Respiratoria
Trabajo socialCoordinación de Enfermería
Hospitalización
Consulta Externa
Emergencia
PCT
ImagenologíaMamografía
Rayos X
Ecosonografía
Laboratorio
Área Administrativa
Financiero
Pagaduría
Red Pública
Contabilidad General
Administración
Ecnomato
Transportes
Informática
Mantenimiento
Proveeduría
Servicios Administrativos
Bodega General
Bodega de Farmacia
Farmacia
Talento Humano
Jurídico
ANEXO 3: Esquema departamental del Hospital “Julius Doepfner” de Zamora – Fuente: (Autores, 2014)
167
ANEXO 4: Manual del manejo, Archivo de las Historias Clínicas
168
169
170
171
172
173
ANEXO 5: Acuerdo Ministerial 0002687 – Funcionamiento y Aplicación del RDACAA físico y
digital Of/On Line
174
175
ANEXO 6: Disposición de implementación del software RDACAA a Nivel Nacional
176
ANEXO 7-A: Anverso RDACAA físico 2013 – 2014 - Fuente: Departamento de Estadística del
Hospital “Julius Doepfner” de Zamora
177
ANEXO 7-B: Reverso RDACAA físico 2013 – 2014 - Fuente: Departamento de Estadística del
Hospital “Julius Doepfner” de Zamora
178
Anexo 8: Reportes que se generan del software RDACAA
Prevención
Morbilidad
Condiciones de diagnóstico
Lugar de atención
Atención por sexo
Grupos etarios
Atención prenatal
Atención por grupo prioritario17
Planificación familiar por sexo y método anticonceptivo.
Control general por grupos de edad
Atenciones por Nacionalidad
Subdivisiones por tipo de afiliación al seguro
Subdivisiones por etnia, nacionalidad y pueblo
Residencias (lugar actual de domicilios)
Cantidades de procedimientos efectuados
Actividades odontológicas realizadas
Perfil epidemiológico18 de consulta externa por grupos de edad y sexo
Total de atenciones de enfermedades crónicas.
Atención a ITS19 (trabajadoras sexuales)
Total de Referencias20 por médicos, especialistas y odontólogos
Total de Contra-referencias21 realizadas
Interconsultas solicitadas
Interconsulta recibidas
Matrices CONE (Cuidados Obstétricos Neonatales Esenciales).
17 La Constitución Ecuatoriana en el artículo 35 establece que las personas y grupos de atención prioritaria son: adultos mayores, mujeres embarazadas; niños, niñas y adolescentes; personas con discapacidad; personas privadas de la libertad, personas que adolezcan de enfermedades catastróficas o de alta complejidad; así como las personas en situación de riesgo, las víctimas de violencia doméstica y sexual, maltrato infantil, desastres naturales o antropogénicos. 18Es un grupo de morbilidad o patologías para determinar datos estadísticos referentes a una edad, sexo, lugar y en un tiempo específico. 19Infección de transmisión sexual 20 De acuerdo al diccionario del MSP: Es el procedimiento por el cual los prestadores de salud envían a las usuarias o los usuarios de un establecimiento de salud de menor a mayor o al mismo nivel de atención o de complejidad; cuando la capacidad instalada no permite resolver el problema de salud. 21 Según indica el dirección del MSP: Es el procedimiento obligatorio por el cual, un usuario o usuaria que inicialmente fue referido/derivado es retornado luego de haber recibido la atención con la información pertinente al establecimiento de salud de menor nivel de atención correspondiente, para garantizar la continuidad y complementariedad de su atención.
179
ANEXO 9: Formulario del INEC para el registro de Nacido Vivo - Fuente: Departamento de
Estadística del Hospital “Julius Doepfner” de Zamora
180
ANEXO 10-A: Formulario del INEC para el registro de Defunción (primera página) - Fuente:
Departamento de Estadística del Hospital “Julius Doepfner” de Zamora
181
ANEXO 10-B: Formulario del INEC para el registro de Defunción (segunda página) - Fuente:
Departamento de Estadística del Hospital “Julius Doepfner” de Zamora
182
ANEXO 11: Formulario del INEC para el registro de Defunción Fetal - Fuente: Departamento
de Estadística del Hospital “Julius Doepfner” de Zamora
183
ANEXO 12-A: Anverso Formulario 008 para el Registro de Emergencias - Fuente:
Departamento de Estadística del Hospital “Julius Doepfner” de Zamora
184
ANEXO 12–B: Reverso Formulario 008 para Registro de Emergencia - Fuente: Departamento
de Estadística del Hospital “Julius Doepfner” de Zamora
185
ANEXO 13: Formulario 555 para ingreso y egreso de pacientes de hospitalización - Fuente:
Departamento de Estadística del Hospital “Julius Doepfner” de Zamora
186
ANEXO 14: Plantillas de los dominios propuestos por COBIT5
Planear y Organizar
“Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos de la entidad. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. (Revisar cada 6 meses a 1 año) Preguntas
¿Están alineadas las estrategias y de la organización? ¿Está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades de la entidad?
Para sacar una puntuación de confianza de cada control de alto nivel se utilizara una media entre los subprocesos y para el nivel de madurez de todo el dominio se sacara una media de medias de todos los procesos. Así se realizara en cada dominio. PLANEACIÓN Y ORGANIZACIÓN posee 10 procesos de control de alto nivel y 74 objetivos de control detallados.” [38].
PO1 – Definición de un plan estratégico: gestión del valor, alineación con las necesidades del negocio, planes estratégicos y tácticos.
P02 – Definición de la arquitectura de información: modelo de arquitectura, diccionario de datos, clasificación de la información, gestión de la integridad.
P03 – Determinar las directrices tecnológicas: análisis de tecnologías emergentes, monitorizar tendencias y regulaciones.
P04 – Definición de procesos IT, organización y relaciones: análisis de los procesos, comités, estructura organizativa, responsabilidades, propietarios de la información, supervisión, segregación de funciones, políticas de contratación.
P05 – Gestión de la inversión en tecnología: gestión financiera, priorización de proyectos, presupuestos, gestión de los costes y beneficios.
P06 – Gestión de la comunicación: políticas y procedimientos, concienciación de usuarios. P07 – Gestión de los recursos humanos de las tecnologías de la información: contratación, competencias del
personal, roles, planes de formación, evaluación del desempeño de los empleados. P08 – Gestión de la calidad: mejora continua, orientación al cliente, sistemas de medición y monitorización de la
calidad, estándares de desarrollo y adquisición. P09 – Validación y gestión del riesgo de las tecnologías de la información. P10 – Gestión de proyectos: planificación, definición de alcance, asignación de recursos, etc.
D O
M
I N
I O
P R O C E S O
SIETE CRITERIOS DE INFORMACION EN LA
IDENTIDAD
RECURSOS DE TI
Efe
ctivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Dis
ponib
ilidad
Cum
plim
iento
Fia
bili
dad
Aplic
ació
n
Info
rmació
n
Infr
aestr
uctu
ra
Pers
onas
PLANEACION Y ORGANIZACIÓN
PO1 Definir un plan estratégico de TI P S X X X X
PO2 Definir la arquitectura de información S P P P X X
PO3 Determinar la dirección tecnológica P P X X
PO4 Definir los procesos, organización y relaciones de TI P P X
PO5 Administrar la inversión en TI P P S X X X
PO6 Comunicar aspiraciones y la dirección de la gerencia P S X X
PO7 Administrar recursos humanos de TI P P X
PO8 Administrar la calidad P P S X X X
PO9 Evaluar y administrar los riesgos de TI S S P P P S S X X X X
PO10 Administrar proyectos P P X X X
(P): Factor primario cuando el objetivo impacta directamente (S): Factor secundario, cuando el objetivo satisface únicamente de forma indirecta
COBIT también ofrece mecanismos para la medición de las capacidades de los procesos con el objetivo de obtener una mejora continua, para ello proporciona indicadores para valorar la madurez en función de la misma clasificación utilizada por estándares ISO 15540. En la siguiente tabla se realiza la medición de madurez en base a los indicadores propuestos:
187
D O
M
I N
I O
P R O C E S O
NIVEL DE MADUREZ
Niv
el O
: pro
ceso
incom
ple
to
Niv
el 1: P
roceso
eje
cuta
do
Niv
el 2: pro
ceso
gestionad
o
Niv
el 3: pro
ceso
definid
o
Niv
el 4: pro
ceso
pre
decib
le
Niv
el 5: P
roceso
optim
izado
PLANEACION Y ORGANIZACIÓN
PO1 Definir un plan estratégico de TI X
PO2 Definir la arquitectura de información X
PO3 Determinar la dirección tecnológica X
PO4 Definir los procesos, organización y relaciones de TI X
PO5 Administrar la inversión en TI X
PO6 Comunicar aspiraciones y la dirección de la gerencia X
PO7 Administrar recursos humanos de TI X
PO8 Administrar la calidad X
PO9 Evaluar y administrar los riesgos de TI X
PO10 Administrar proyectos X
Nivel 0: el proceso no existe o no cumple con los objetivos. Nivel 1: Proceso ejecutado Nivel 2: El proceso no solo se encuentra en funcionamiento sino que es planificado, monitorizado y ajustado. Nivel 3: El proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizados. Nivel 4: Se han definido técnicas de medición de resultados y controles. Nivel 5: Todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.
Adquisición e implementación (AI)
“Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos de la entidad. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos de la organización. Preguntas
¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades de la organización? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajaran adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectaran a las operaciones actuales de la entidad?
ADQUISICIÓN E IMPLEMENTACIÓN posee 7 procesos de control de alto nivel y 40 objetivos de control detallados.” [38].
Con el objetivo de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentran alineado con las necesidades de negocio, el estándar de COBIT define los 7 procesos:
AI1 – Identificación de soluciones: análisis funcional y técnico, análisis del riesgo, estudio de la viabilidad. AI2 – Adquisición y mantenimiento de aplicaciones: Diseño, controles sobre la seguridad, desarrollo,
configuración, verificación de la calidad, mantenimiento. AI3 – Adquisición y mantenimiento de la infraestructura tecnológica: Plan de infraestructuras, controles de
protección y disponibilidad, mantenimiento. AI4 – Facilidad de uso: Formación a gerencia, usuarios, operadores y personal de soporte. AI5 – Obtención de
recursos tecnológicos: control y asignación los recursos disponibles, gestión de contratos con proveedores, procedimientos de selección de proveedores.
AI6 – Gestión de cambios: Procedimientos de solicitud/autorización de cambios, verificación del impacto y priorización, cambios de emergencia, seguimiento de los cambios, actualización de documentos.
AI7 – Instalación y acreditación de soluciones y cambios: Formación, pruebas técnicas y de usuario, conversiones de datos, test de aceptación por el cliente, traspaso a producción.
D O
M
I N
I O
P R O C E S O
SIETE CRITERIOS DE INFORMACION EN LA
IDENTIDAD
RECURSOS DE TI
Efe
ctivid
ad
Eficie
ncia
Confidencia
lid
ad
Inte
grid
ad
Dis
ponib
ilidad
Cum
plim
iento
Confiabili
dad
Aplic
ació
n
Info
rmació
n
Infr
aestr
uctu
ra
Pers
onas
ADQUISICIÓN E IMPLEMENTACIÓN
AI1 Identificar soluciones automatizadas P S X X
AI2 Adquisición y mantener software de aplicación P P S S X
AI3 Adquirir y mantener arquitectura del TI S P S S X
AI4 Facilitar la operación y el uso P P S S S S X X X
188
AI5 Adquirir recursos de TI S P S S X X X X
AS6 Administrar cambios P P P P S X X X X
AI7 Instalar y acreditar soluciones y cambios P S S S X X X X
D O
M
I N
I O
P R O C E S O
NIVEL DE MADUREZ
Niv
el O
: pro
ceso
incom
ple
to
Niv
el 1: P
roceso
eje
cuta
do
Niv
el 2: pro
ceso
gestionad
o
Niv
el 3: pro
ceso
definid
o
Niv
el 4: pro
ceso
pre
decib
le
Niv
el 5: P
roceso
optim
izado
ADQUISICIÓN E IMPLEMENTACIÓN
AI1 Identificar soluciones automatizadas X
AI2 Adquisición y mantener software de aplicación X
AI3 Adquirir y mantener arquitectura del TI X
AI4 Facilitar la operación y el uso X
AI5 Adquirir recursos de TI X
AI6 Administrar cambios X
AI7 Instalar y acreditar soluciones y cambios X
Presentación de servicios y soporte (DS) “Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativas. Preguntas ¿Se están entregando los servicios TI de acuerdo con las prioridades de la organización? ¿Están optimizados los costos de TI? ¿Está capacitado el personal para utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
ENTREGAR Y DAR SOPORTE posee 13 procesos de control de alto nivel y 71 objetivos de control detallados.”
[38]. La entrega y soporte de servicios están constituidos por diversos procesos orientados a asegurar la eficiencia y eficacia de los sistemas de información. El estándar COBIT ha definido los siguientes procesos: DS1 – Definición y gestión de los niveles de servicio: SLA con usuarios/clientes DS2 – Gestión de servicios de terceros: gestión de las relaciones con proveedores, valoración del riesgo,
monitorización del servicio. DS3 – Gestión del rendimiento y la capacidad: planes de capacidad, monitorización del rendimiento, disponibilidad de
recursos. DS4 – Asegurar la continuidad del servicio: plan de continuidad, recursos críticos, recuperación de servicios, copias
de seguridad. DS5 – Garantizar la seguridad de los sistemas: gestión de identidades, gestión de usuarios, monitorización y test de
seguridad, protecciones de seguridad, prevención y corrección de software malicioso, seguridad de la red, intercambio de datos sensibles.
DS6 – Identificar y asignar costes. DS7 – Formación a usuarios: identificar necesidades, planes de formación. DS8 – Gestión de incidentes y Help Desk: registro y escalado de incidencias, análisis de tendencias. DS9 – Gestión de configuraciones: definición de configuraciones base, análisis de integridad de configuraciones. DS10 – Gestión de problemas: identificación y clasificación, seguimiento, integración con la gestión de incidentes y
configuraciones. DS11 – Gestión de los datos: acuerdos para la retención y almacenaje de los datos, copias de seguridad, pruebas de
recuperación. DS12 – Gestión del entorno físico: acceso físico, medidas de seguridad, medidas de protección medioambientales. DS13 – Gestión de las operaciones: planificación de tareas, mantenimiento preventivo.
D O
M
I N
I O
P R O C E S O
SIETE CRITERIOS DE INFORMACION EN LA
IDENTIDAD
RECURSOS DE TI
Efe
ctivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Dis
ponib
ilidad
Cum
plim
iento
Confiabili
dad
Aplic
ació
n
Info
rmació
n
Infr
aestr
uctu
ra
Pers
onas
SERVICIOS Y SOPORTE
DS1 Definir niveles de servicio P S X X X X
189
DS2 Administrar servicios de terceros S P P P X X
DS3 Administrar desempeño y capacidad P P X X
DS4 Asegurar servicio continuo P P X
DS5 Garantizar la seguridad P P S X X X
DS6 Identificar y asignar costos P S X X
DS7 Capacitar usuarios P P X
DS8 Administrar la mesa de servicio y los incidentes P P S X X X
DS9 Administrar la configuración S S P P P S S X X X X
DS10 Administrar problemas e incidentes P P X X X
DS11 Administrar datos P P X
DS12 Administrar instalaciones P P X
DS13 Administrar operaciones P P S S X X X X
D O
M
I N
I O
P R O C E S O
NIVEL DE MADUREZ
Niv
el O
: pro
ceso
incom
ple
to
Niv
el 1: P
roceso
eje
cuta
do
Niv
el 2: pro
ceso
gestionad
o
Niv
el 3: pro
ceso
definid
o
Niv
el 4: pro
ceso
pre
decib
le
Niv
el 5: P
roceso
optim
izado
SERVICIOS Y SOPORTE
DS1 Definir niveles de servicio X
DS2 Administrar servicios de terceros X
DS3 Administrar desempeño y capacidad X
DS4 Asegurar servicio continuo X
DS5 Garantizar la seguridad X
DS6 Identificar y asignar costos X
DS7 Capacitar usuarios X
DS8 Administrar la mesa de servicio y los incidentes X
DS9 Administrar la configuración X
DS10 Administrar problemas e incidentes X
DS11 Administrar datos X
DS12 Administrar instalaciones X
DS13 Administrar operaciones X
Monitoreo y Evaluación (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Preguntas
¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Jefatura de la Clínica garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
MONITOREAR Y EVALUAR posee 4 procesos de control de alto nivel y 25 objetivos de control detallados.” [38].
El último dominio se centra en la supervisión de los sistemas con la finalidad de garantizar la alineación con las estrategias del departamento, verificar las desviaciones en base a los acuerdos del nivel de servicio, validad el cumplimiento regulatorio. Esta supervisión implica paralelamente la verificación de los controles por parte de auditores (internos, externos), ofreciendo una visión objetiva de la situación y con independencia del responsable del proceso. COBIT define los siguientes procesos: ME1 – Monitorización y evaluación del rendimiento. ME2 – Monitorización y evaluación del control interno. ME3 – Asegurar el cumplimiento con requerimientos externos. ME4 – Buen gobierno
D O
M
I N
I O
P R O C E S O
SIETE CRITERIOS DE INFORMACION EN LA
IDENTIDAD
RECURSOS DE TI
Efe
ctivid
ad
Eficie
ncia
Confidencia
lidad
Inte
grid
ad
Dis
ponib
ilidad
Cum
plim
iento
Confiabili
dad
Aplic
ació
n
Info
rmació
n
Infr
aestr
uctu
ra
Pers
onas
MONITOREO
ME1 Monitorear y evaluar el desempeño de TI S S P P S S S X X X X
ME2 Monitorear y evaluar el control interno S S P P S S S X X X X
190
ME3 Garantizar el cumplimiento regulatorio P S X X X X
ME4 Proporcionar gobierno TI P P S S S S S X X X X
D O
M
I N
I O
P R O C E S O
NIVEL DE MADUREZ
Niv
el O
: pro
ceso
incom
ple
to
Niv
el 1: P
roceso
eje
cuta
do
Niv
el 2: pro
ceso
gestionad
o
Niv
el 3: pro
ceso
definid
o
Niv
el 4: pro
ceso
pre
decib
le
Niv
el 5: P
roceso
optim
izado
MONITOREO Y EVALUACIÓN
ME1 Monitorear y evaluar el desempeño de TI X
ME2 Monitorear y evaluar el control interno X
ME3 Garantizar el cumplimiento regulatorio X
ME4 Proporcionar gobierno TI X
191
ANEXO 15: Plantillas de preguntas del sistema Evalsis – Fuente: autores 2014
Plantillas de preguntas propuestas para el software de evaluación de los Sistemas Informáticos del departamento de Estadística del Hospital “Julius Doepfner” de Zamora
a. Preguntas para el Líder Departamental: CÓDIGO PO1: Definición de un plan estratégico de tecnología de la información
Pregunta 1-LD: ¿Los objetivos y metas que se pretenden alcanzar con el sistema son claros, precisos y entendibles para todos los involucrados?
Dirigida a: Líder departamental
Área de COBIT Planeación y Organización
Respuesta Objetivos definidos correctamente
Todos los usuarios conocen y comprenden los objetivos
No se han definido objetivos
Observaciones
Determinar si existe el conocimiento de los objetivos y metas planteadas por parte de todos los usuarios del sistema y si se realiza las actividades oportunas para cumplirlos.
MEDICIONES
¿Qué se pretende evaluar? El nivel de entendimiento y compromiso de los usuarios del sistema con las metas y objetivos que se busca alcanzar.
CÓDIGO PO3: Determinación de la dirección tecnológica
Pregunta 2-LD: ¿Cuenta con proyección a futuro para realizar la adquisición de software adicional y equipamiento tecnológico para mejorar el desempeño del sistema?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Planes a futuro bien definidos para adquisiciones
Falta de planes para adquirir tecnología informática a futuro
No se ha considerado realizar adquisiciones de tecnología informática.
Observaciones Verificar planificaciones a futuro para adquirir equipamiento de software y hardware según las necesidades y requerimientos que se presenten.
MEDICIONES
¿Qué se pretende evaluar? Verificar que se cuente con propósitos posteriores de compra de equipos o cambios de aplicaciones y funciones del sistema.
CÓDIGO PO4: Definir la organización y las relaciones de TI
Pregunta 3-LD: ¿Existe un comité encargado de determinar las funciones que debe cumplir cada usuario dentro del sistema?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Se cuenta con un comité responsable de organizar y planificar las TI.
No se ha determinado un comité para organizar y planificar las TI.
Los usuarios conocen las funciones que deben cumplir dentro del sistema.
Observaciones La existencia de un comité permite organizar la tecnología informática entorno al sistema con la que se cuenta y planificar procesos de actualización y mejora del software y su hardware.
MEDICIONES
¿Qué se pretende evaluar? La existencia de una comisión encargada de la tecnología informática del sistema.
CÓDIGO PO4: Definir la organización y las relaciones de TI
Pregunta 4-LD:
¿Todos los funcionarios del departamento están conscientes de la responsabilidad que tienen en cuanto a la tecnología informática existente del sistema?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Líderes conocen responsabilidades con las TI
Desconocimiento de responsabilidades con TI
Observaciones Se cuenta con el conocimiento pleno del compromiso que se debe asumir en cuanto a las TI relacionadas con el sistema
MEDICIONES
¿Qué se pretende evaluar? Conocer el grado de compromiso de cada uno de los líderes departamentales e informáticos sobre la tecnología informática.
CÓDIGO PO4: Definir la organización y las relaciones de TI
Pregunta 5-LD: ¿Se cuenta con un responsable custodio de los equipos del sistema informático?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Se han determinado custodios del hardware y del sistema informático
No existen custodios específicos del hardware del sistema.
El departamento cuenta con medidas de seguridad impuestas por la institución
Observaciones Es importante definir custodios de las TI del sistema para que no existan pérdidas de hardware ni datos.
MEDICIONES
¿Qué se pretende evaluar? La existencia de un encargado de custodiar y proteger los sistemas y equipos tecnológicos.
192
CÓDIGO PO4: Definir la organización y las relaciones de TI
Pregunta 6-LD: ¿Se cuenta con personal técnico exclusivo para verificar el desempeño del equipamiento y sistema informático?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Se realizan ejecuciones técnicas programadas para verificar el nivel de desempeño de las TI
No se ejecutan evaluaciones técnicas del desempeño de TI
Se evalúa el desempeño del sistema y su hardware esporádicamente (cuando se presentan inconvenientes)
Observaciones Comprobar que se verifique el desempeño de las TI mediante evaluaciones técnicas periódicas.
MEDICIONES
¿Qué se pretende evaluar? Si se realizan evaluaciones del nivel de cumplimiento en el desempeño del sistema.
CÓDIGO PO4: Definir la organización y las relaciones de TI
Pregunta 7-LD: ¿Se maneja un reglamento interno donde se de las pautas de la correcta convivencia laboral entre usuarios del sistema?
Dirigida a Líder departamental
Área de COBIT Planeación y Organización
Respuesta Reglamento interno de convivencia laboral
Existe un reglamento interno pero los usuarios desconocen o no hacen uso del mismo
No existe un reglamento interno de convivencia laboral
Observaciones Verificar el trabajo en equipo y la existencia o escases de armonía laboral entre usuarios del sistema.
MEDICIONES
¿Qué se pretende evaluar? El grado de comunicación y trabajo en equipo entre los usuarios del sistema
CÓDIGO AI4: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información
Pregunta 8-LD: ¿Existe un inventario donde repose toda la información referente al sistema y equipos informáticos que utiliza (por ejemplo: códigos, series, versión, fecha de adquisición, etc.)?
Dirigida a Líder departamental
Área de COBIT Adquisición e implementación
Respuesta Inventario tecnológico detallado
No se registra en un inventario la información del hardware del sistema
El inventario existente no brinda toda la información del sistema.
Observaciones Determinar si se cuenta con un inventario tecnológico detallado y actualizado del hardware existente.
MEDICIONES
¿Qué se pretende evaluar? Que exista la información pertinente del sistema y equipos informáticos cuando sea necesario utilizarla.
CÓDIGO DS1: Definición de niveles de servicio
Pregunta 9-LD: ¿Se ha elaborado y socializado un documento donde consten los compromisos adquiridos por los usuarios de estricta confidencialidad del funcionamiento y datos del sistema?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha determinado estrictas normas de confidencialidad de usuarios del sistema.
Inexistencia de normas de privacidad de información del sistema.
No se ha pautado normas de confidencialidad que deben cumplir los usuarios del sistema.
Observaciones Guardar absoluta reserva de los datos y funcionalidad del software es compromiso que debe ser adquirido por todos los usuarios del sistema.
MEDICIONES
¿Qué se pretende evaluar? La existencia de normas y obligaciones de reserva del funcionamiento del sistema y los datos que este reporta.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 10-LD: ¿Se cuenta con un plan para continuar con las actividades del sistema y equipos informáticos en caso de posibles fallas que perjudiquen el funcionamiento de éstos?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Existe un plan de continuidad de actividades
No se cuenta con un plan de continuidad actividades
Plan de continuidad de actividades sin actualizar
Observaciones Contar con un plan de continuidad es muy importante en las organizaciones ya que permite retomar con mayor facilidad las actividades cotidianas en caso de que las TI sufran daños permanentes o temporales debido a causas externas o internas.
MEDICIONES
¿Qué se pretende evaluar? La existencia de un documento formal donde se indiquen los pasos a seguir para continuar con las actividades normales de los usuarios si es que se llegan a presentar problemas con las TI.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 11-LD: ¿Se han definido las estrategias y filosofías de trabajo que se aplicarán para alcanzar las metas del plan para continuar con las actividades en caso de que se presenten fallas?
Dirigida a Líder departamental
193
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha definido estrategias de trabajo del plan de continuidad
No se ha definido estrategias de trabajo del plan de continuidad
Las estrategias de trabajo del plan de continuidad no son correctas
Observaciones Definir estrategias claras con métodos y pautas que permitan entender el plan de continuidad y su aplicación permitirá que las actividades se retomen de forma rápida y con mayor fluidez.
MEDICIONES
¿Qué se pretende evaluar? Para verificar que existan estrategias de trabajo y métodos que permitan una ejecución fácil del plan de continuidad.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 12-LD: ¿El contenido del plan para continuar con las actividades en caso de posibles errores está diseñado con pautas claras, precisas y entendibles a los usuarios que lo van a ejecutar?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta El plan de continuidad es comprensible para todos los usuarios
El plan de continuidad es incomprensible para los usuarios finales
El plan de continuidad está mal definido
Observaciones Plantear puntos exactos y claros en el plan de continuidad permitirá al usuario comprender fácilmente y aplicarlo de forma inmediata y correcta.
MEDICIONES
¿Qué se pretende evaluar? Que la guía planteada sea comprensible, y los pasos a seguir sean precisos para no confundir al ejecutor del plan.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 13-LD: ¿Se realizan actualizaciones y mantenimientos constantes del plan que se ha diseñado para continuar con las actividades en caso de presentarse fallas?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Plan de continuidad no se actualiza
Se aplican actualizaciones esporádicas del plan de continuidad
El plan de continuidad está correctamente actualizado
Observaciones Mantener el plan de continuidad actualizado periódicamente es fundamental para cuando sea utilizado las actividades que refleje sean coherentes con la situación actual de las TI.
MEDICIONES
¿Qué se pretende evaluar? Si se han previsto reajustes posteriores al diseño inicial del plan de continuidad, en caso de las TI de acuerdo a la situación actual.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 14-LD: ¿Se han realizado pruebas de desempeño para verificar la funcionalidad del plan diseñado para continuar con las actividades en caso de presentarse fallas?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha evaluado el desempeño del plan de continuidad de TI
No se realizan pruebas de desempeño del plan de continuidad de las TI
Se ejecuta pruebas de desempeño del plan de continuidad cada vez que se realizan cambios o actualizaciones del mismo.
Observaciones Realizar pruebas del plan de continuidad previo a la puesta en marcha permite detectar los errores e inconvenientes que éste presenta y corregir los mismos a tiempo.
MEDICIONES
¿Qué se pretende evaluar? Si se considera realizar pruebas de desempeño del plan de continuidad para verificar si funciona correctamente o se deben realizar cambios.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 15-LD: ¿Se ha capacitado a todos los usuarios e involucrados en la ejecución correcta del plan diseñado para continuar con las actividades?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha capacitado a todos los usuarios
Ningún usuario han sido capacitado
Sólo los líderes han sido capacitados
Observaciones Todos los usuarios que pondrán en marcha el plan de continuidad deben tener conocimiento de cómo funciona y lo que deben realizar para ejecutarlo correctamente.
MEDICIONES
¿Qué se pretende evaluar? Si todos los usuarios tienen conocimiento y saben cómo ejecutar el plan de continuidad.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 16-LD: ¿Se ha distribuido y entregado a todos los usuarios el plan diseñado para continuar con las actividades en caso de posibles fallas?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta Todos los usuarios poseen el plan de continuidad de TI
No se ha distribuido el plan de continuidad de TI
Observaciones Es necesario que todos los usuarios tengan el plan de continuidad de TI para que puedan conocer
194
detalladamente su funcionamiento y puedan ejecutarlo en caso de ser necesario.
MEDICIONES
¿Qué se pretende evaluar? Si todos los usuarios cuentan con un documento donde se indiquen los pasos a seguir para continuar con las actividades en caso de posibles fallas.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 17-LD: ¿El departamento posee un lugar físico seguro para el hardware del sistema informático?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Se cuenta con un espacio físico seguro para el hardware del sistema
No existe un espacio físico seguro para el hardware y del sistema
El espacio físico asignado no es seguro
Observaciones La importancia de contar con un espacio físico seguro para los equipos del sistema permite resguardar el equipamiento y la información almacenada.
MEDICIONES
¿Qué se pretende evaluar? Si se ha designado un espacio físico para el hardware del sistema.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 18-LD: Administración de perfiles de acceso ¿Se ha determinado un técnico responsable de crear usuarios del sistema y definir las funciones a las que puede tener acceso cada uno?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Administrador de usuarios del sistema definido
Administrador de usuarios no definido
Observaciones Es importante la existencia de un técnico responsable de la administración de los usuarios y perfiles de accesos
MEDICIONES
¿Qué se pretende evaluar? La existencia de un administrador de perfiles de acceso del sistema.
CÓDIGO DS12: Administración de instalaciones
Pregunta 19-LD: ¿Se cuenta con medidas de seguridad para el hardware y recurso humano del sistema informático?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Existe seguridad de hardware y recurso humano
Los niveles de seguridad existentes no son óptimos
No se han aplicado medidas de seguridad de hardware y recurso humano|
Observaciones Asegurar físicamente el hardware y el recurso humano es fundamental para preservar los equipos y al personal
MEDICIONES
¿Qué se pretende evaluar? La existencia de medidas de seguridad del hardware y recurso humano
CÓDIGO DS12: Administración de instalaciones
Pregunta 20-LD: ¿Ha etiquetado el lugar específico donde funciona el sistema?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha etiquetado el área de trabajo del sistema
No se ha etiquetado el área de trabajo del sistema
Las etiquetas existentes no son acordes a la realidad
Observaciones Etiquetar los lugares de trabajo permite a los usuarios guiarse con facilidad y conocer el espacio específico de cada área
MEDICIONES
¿Qué se pretende evaluar? Si se ha etiquetado o no los espacios físicos
CÓDIGO DS12: Administración de instalaciones
Pregunta 21-LD: ¿Ha definido políticas de higiene para el personal que accede a los equipos que funcionan con el sistema informático?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha definido políticas de higiene
No se ha definido políticas de higiene
Las políticas de higiene existentes no son aplicadas a cabalidad
Observaciones Las medidas de higienes son importantes debido a que permite mantener los espacios, equipos y personal limpios.
MEDICIONES
¿Qué se pretende evaluar? Si se aplican políticas de higiene o no.
CÓDIGO DS12: Administración de instalaciones
Pregunta 22-LD: ¿Cuenta con un equipo generador de energía continua UPS para las descargas eléctricas que pueden afectar al sistema y equipos informáticos?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
195
Respuesta
Se tiene un generador de energía continua UPS para el hardware
No se tiene un generador de energía continua UPS para el hardware
Observaciones Los UPS permiten continuar con energía un tiempo determinado en caso de interrupciones eléctricas
MEDICIONES
¿Qué se pretende evaluar? Si se cuenta o no con un UPS para el hardware que ocupa el sistema informático.
CÓDIGO M1: Monitoreo del proceso
Pregunta 23-LD: ¿Ha definido indicadores (guías) de desempeño para cada usuario del sistema?
Dirigida a Líder departamental
Área de COBIT Monitoreo
Respuesta
Se cuenta con un perfil de desempeño para los usuarios del sistema
No se ha definido perfiles de desempeño para los usuarios del sistema
El perfil de desempeño no está creado para todos los usuarios
Observaciones Los perfiles de desempeño permiten al usuario conocer sus actividades y las metas que deben cumplir
MEDICIONES
¿Qué se pretende evaluar? Si se cuenta o no con perfiles de desempeño para usuarios.
CÓDIGO M1: Monitoreo del proceso
Pregunta 24-LD: ¿Evalúa el desempeño de cada usuario del sistema de forma periódica?
Dirigida a Líder departamental
Área de COBIT Monitoreo
Respuesta
Se evalúa el desempeño de los usuarios del sistema periódicamente
No se evalúa el desempeño de los usuarios del sistema periódicamente
Se evalúa el desempeño de los usuarios cuando se presentan casos especiales
Observaciones Las evaluaciones de desempeño permiten identificar si el usuario ha cumplido con las actividades previstas en su perfil óptimo.
MEDICIONES
¿Qué se pretende evaluar? La frecuencia de las evaluaciones de desempeño de los usuarios del sistema
CÓDIGO M1: Monitoreo del proceso
Pregunta 25-LD: ¿Realiza monitoreos de satisfacción de los usuarios que hacen uso del sistema?
Dirigida a Líder departamental
Área de COBIT Entrega de servicio y soporte
Respuesta
Se realiza monitoreos de satisfacción del uso del sistema
No se realizan monitoreos de satisfacción del uso del sistema
Observaciones Los monitoreos de satisfacción son importantes para determinar si los usuarios están o no conformes con el rendimiento del sistema
MEDICIONES
¿Qué se pretende evaluar? Si se realizan monitoreos de satisfacción del uso del sistema por parte de los usuarios.
b. Preguntas para el Técnico Responsable del Sistema CÓDIGO PO1: Definición de un plan estratégico de tecnología de la información
Pregunta 1-TS:
¿Tiene un documento donde registre todos los problemas que han afectado el sistema y su equipamiento tecnológico?
Dirigida a Técnico responsable del sistema
Área de COBIT Planeación y Organización
Respuesta
Se registran problemas presentados
No se registran los problemas presentados
Falta de actualización del registro periódicamente
Observaciones Determinar la existencia de un registro donde se especifique y actualice las eventualidades que ocurren con las TI.
MEDICIONES
¿Qué se pretende evaluar? Que se mantenga un registro actualizado con todos los eventos que ocurran en el sistema y en el equipo informático.
CÓDIGO PO1: Definición de un plan estratégico de tecnología de la información
Pregunta 2-TS: ¿Ha supervisado oportunamente el sistema y su equipamiento tecnológico?
Dirigida a Técnico responsable del sistema
Área de COBIT Planeación y Organización
Respuesta
Se supervisa las TI periódicamente
Se supervisa las TI únicamente cuando se reportan incidentes
No se supervisan las TI
Observaciones Se pretende confirmar o descartar la ejecución de supervisiones habituales de las TI.
MEDICIONES
¿Qué se pretende evaluar? Determinar la existencia de mantenimientos periódicos de los sistemas y los equipos tecnológicos.
CÓDIGO PO1: Definición de un plan estratégico de tecnología de la información
196
Pregunta 3-TS: ¿Ha determinado las ventajas y desventajas que se presentan al utilizar el sistema informático y el equipamiento tecnológico?
Dirigida a Técnico responsable del sistema
Área de COBIT Planeación y Organización
Respuesta
Se evalúa los beneficios y debilidades del sistema y hardware
No se evalúa los beneficios y debilidades del sistema y hardware
Se cuenta con un registro de ventajas y desventajas que presentan el sistema y hardware
Observaciones Se busca determinar si se analiza las ventajas y desventajas del sistema.
MEDICIONES
¿Qué se pretende evaluar? Los beneficios y errores que presenta el sistema en su funcionamiento.
CÓDIGO PO3: Determinación de la dirección tecnológica
Pregunta 4-TS: ¿Ha realizado un plan donde se detallen las necesidades tecnológicas que presenta el sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Planeación y Organización
Respuesta Existe un plan detallado de las necesidades tecnológicas del sistema.
No se ha definido las necesidades tecnológicas del sistema.
Existencia de necesidades tecnológicas sin identificar ni definir.
Observaciones Comprobar o descartar la presencia de necesidades tecnológicas del sistema.
MEDICIONES
¿Qué se pretende evaluar? La existencia de una planificación de las necesidades actuales que presenta el sistema informático.
CÓDIGO AI3: Adquisición y Mantenimiento de arquitectura de software
Pregunta 5-TS: ¿Ha realizado evaluaciones exhaustivas del sistema informático?
Dirigida a Técnico responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Se da soporte técnico completo al sistema
El sistema no ha sido evaluado exhaustivamente
Se ha evaluado únicamente los componentes más importantes del sistema
Observaciones Comprobar si se ha realizado mantenimientos profundos o no a las TI
MEDICIONES
¿Qué se pretende evaluar? Si se ha verificado el nivel de rendimiento, funcionalidad y operatividad del sistema y el equipo informático
CÓDIGO AI3: Adquisición y Mantenimiento de arquitectura de software
Pregunta 6-TS: ¿Realiza revisiones y arreglos periódicos a los equipos informáticos que ocupa el sistema, tales como: computador, impresora, pendrive, etc. para prevenir posibles fallas?
Dirigida a Técnico responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Mantenimiento de hardware
Hardware no recibe mantenimiento preventivo
El hardware no recibe mantenimiento correctivo
Observaciones Comprobar que se de mantenimiento del hardware del sistema.
MEDICIONES
¿Qué se pretende evaluar? El tiempo y periodos que existen entre cada revisión del hardware que ocupa el sistema.
CÓDIGO AI3: Adquisición y Mantenimiento de arquitectura de software
Pregunta 7-TS:
¿Configura y revisa que el sistema y todas las aplicaciones cuenten con medidas de seguridad?
Dirigida a Técnico responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Medidas de seguridad de software configuradas.
No se ha configurado la seguridad del software.
El sistema cuenta con medidas de seguridad básicas definidas por defecto.
Observaciones Verificar la ejecución de medidas de seguridad del software
MEDICIONES
¿Qué se pretende evaluar? El control de seguridad del sistema y sus aplicaciones
CÓDIGO AI3: Adquisición y Mantenimiento de arquitectura de software
Pregunta 8-TS: ¿Cuándo realiza actualizaciones del sistema registra dichos procesos para tener un control de los cambios que se han ejecutado?
Dirigida a Técnico responsable del sistema
Área de COBIT Adquisición e implementación.
Respuesta Registro de actualizaciones ejecutadas en el sistema.
No se registran las actualizaciones ejecutadas en el sistema.
Se realizan actualizaciones pero no existe un registro del proceso.
Observaciones Determinar que el responsable del sistema registre los procesos que realiza durante la ejecución del software.
MEDICIONES
¿Qué se pretende evaluar? Si se lleva un control de todas las actividades que se realizan en el sistema informático
197
CÓDIGO AI4: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información
Pregunta 9-TS: ¿Ha identificado las necesidades de actualización de las funciones que cumple el sistema y el equipamiento tecnológico?
Dirigida a Líder responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Detección de requerimiento futuro de las TI
No se prevé cambios futuros de TI
No se han realizado detección de requerimientos futuros de TI
Observaciones Determinar si se mantienen planes a futuro para prever posibles cambios en las TI.
MEDICIONES
¿Qué se pretende evaluar? Si se han realizado proyecciones a futuro de posibles cambios que se puedan ejecutar tanto a nivel de sistemas como de hardware.
CÓDIGO AI4: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información
Pregunta 10-TS: ¿Cuenta con un registro donde se detalle los procedimientos e instrucciones que cada función del sistema debe cumplir?
Dirigida a Técnico responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Existe una guía detallada de los procesos e instrucciones que debe cumplir cada función del sistema
No se detallan los procesos ni instrucciones del sistema.
La guía de procesos e instrucciones de las funciones del sistema no es clara para todos los usuarios.
Observaciones Verificar que el software conste con un instructivo detallado de los procesos que permite ejecutar.
MEDICIONES
¿Qué se pretende evaluar? La existencia de un documento donde consten detalladamente las instrucciones que cumple el sistema y los pasos a seguir para realizar dichos procesos.
CÓDIGO AI4: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información
Pregunta 11-TS: ¿Ha diseñado un documento formal donde conste a detalle todos los temas a tratar en una capacitación a los usuarios del sistema?
Dirigida a Líder responsable del sistema
Área de COBIT Adquisición e implementación
Respuesta Guía de capacitación de usuario
Se capacita sin previa preparación del expositor
No se diseñan guías de capacitación
Observaciones Se debe verificar la existencia de una guía de capacitación donde consten todos los temas importantes que se tratarán en la exposición.
MEDICIONES
¿Qué se pretende evaluar? La existencia de manuales de capacitación del uso y operatividad del sistema.
CÓDIGO DS1: Definición de niveles de servicio
Pregunta 12-TS: ¿Existen documentos donde se haya definido los servicios que presta el sistema en sus diferentes perfiles?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha definido las funciones de cada perfil del sistema.
No se especifica las funciones de cada perfil del sistema.
Se ha definido las funciones únicamente del perfil del administrador
Observaciones Determinar si se cuenta con un registro de los servicios que ofrece el sistema y los niveles de operatividad del mismo.
MEDICIONES
¿Qué se pretende evaluar? La existencia de documentos donde se expliquen a detalle los servicios que presta el software en sus diversas etapas
CÓDIGO DS1: Definición de niveles de servicio
Pregunta 13-TS: ¿Ha evaluado el nivel de desempeño del sistema utilizando medidas de tiempo de: respuesta y espera?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Se evalúa la agilidad de respuestas del sistema
Se ha evaluado los tiempos de espera del sistema
No se evalúa la existencia de la comprobación del desempeño del sistema.
Observaciones Es importante verificar que el sistema responda con agilidad a las órdenes que ejecuta el usuario.
MEDICIONES
¿Qué se pretende evaluar? Comprobar la rapidez y lentitud de respuesta que presenta el sistema en la ejecución.
CÓDIGO DS1: Definición de niveles de servicio
Pregunta 14-TS: ¿Ha brindado soporte técnico a los procesos que se ejecutan en el sistema para que funcionen correctamente y como necesita el usuario final?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
198
Respuesta Ha dado soporte técnico de los procesos del sistema.
No se ha realizado mantenimiento a los procesos del sistema.
Se da mantenimiento a los procesos únicamente cuando se solicita por parte del usuario.
Observaciones Realizar mantenimiento a los procesos del sistema, es fundamental para el correcto funcionamiento.
MEDICIONES
¿Qué se pretende evaluar? Si se realizan pruebas e inspecciones de los procesos del sistema informático
CÓDIGO DS3: Administración de desempeño y capacidad
Pregunta 15-TS: ¿Se cuenta con un documento donde se detalle las necesidades de disponibilidad y desempeño que presenta el sistema y su hardware?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Registro de requerimientos de disponibilidad y desempeño de las TI
No se identifican necesidad de disponibilidad y desempeño de las TI
Observaciones Es importante controlar la disponibilidad y el desempeño con las que se cuenta y se carece en las TI
MEDICIONES
¿Qué se pretende evaluar? Si se supervisa los niveles de disponibilidad y desempeño del sistema y de sus equipos.
CÓDIGO DS3: Administración de desempeño y capacidad
Pregunta 16-TS: ¿Cuenta con un cronograma para realizar inspecciones al sistema y equipamiento informático?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Cronograma de monitoreos y reporte de incidencias de TI
Se inspecciona las TI cuando presentan errores
No existen un programa definido
Observaciones Las revisiones periódicas de las TI permiten prevenir fallas futuras que podrían impedir el funcionamiento del sistema.
MEDICIONES
¿Qué se pretende evaluar? Si se ejecutan supervisiones a las TI y se comunica mediante documentos formales.
CÓDIGO DS3: Administración de desempeño y capacidad
Pregunta 17-TS: ¿Ha verificado que el sistema cuente con funciones que faciliten las actividades y tareas que realizan los usuarios?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta El sistema cuenta con funciones que facilitan la actividad del usuario.
No se ha verificado la existencia de funciones que faciliten la actividad del usuario.
No existen funciones específicas para facilitar las actividades de usuario.
Observaciones El software que permite ejecutar sus funciones correctamente y en el menor tiempo posible facilita las actividades del usuario, es por eso que la importancia de verificar las herramientas que permiten ejecutarlo es fundamental.
MEDICIONES
¿Qué se pretende evaluar? Que todas las herramientas del sistema cubran necesidades del usuario.
CÓDIGO DS3: Administración de desempeño y capacidad
Pregunta 18-TS: ¿Ha revisado la capacidad de almacenamiento que posee el equipamiento informático del sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Se ha verificado la capacidad de almacenamiento de TI
No se ha verificado la capacidad de almacenamiento de TI
Los equipos cuenta con poca capacidad de almacenamiento
Observaciones La capacidad de almacenamiento del hardware es importante a la hora de respaldar los datos e información que se generan en el sistema, para poder contar con dicha información a futuro.
MEDICIONES
¿Qué se pretende evaluar? Los niveles de capacidad que posee el hardware para almacenar los datos que se generan en el sistema.
CÓDIGO DS3: Administración de desempeño y capacidad
Pregunta 19-TS: ¿La disponibilidad de los recursos físicos y digitales del sistema se han registrado en un listado de recursos correctamente actualizado?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Registro de disponibilidad hardware y software
No se registra la disponibilidad de hardware y software
Se actualiza la disponibilidad del hardware y software
Observaciones Los recursos de hardware y software permiten ejecutar las actividades del sistema de forma eficiente, de ahí la importancia de conocer con lo que se cuenta
MEDICIONES
¿Qué se pretende evaluar? Verificar la información actualizada de los recursos y la disponibilidad de los mismos para operar el sistema.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 20-TS: ¿Existe una cultura de respaldo de la información más importante del sistema por parte de todos los
199
usuarios?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Los usuarios del sistema respaldan la información y los datos que generan en el sistema
Desconocimiento de los usuarios
No se respalda la información del software
Observaciones Los usuarios del sistema deben conocer la importancia de respaldar la información del sistema y aplicar actividades de almacenamiento de forma periódica.
MEDICIONES
¿Qué se pretende evaluar? Si todos los usuarios tienen conocimiento que deben respaldar la información más importante que se posee del sistema.
CÓDIGO DS4: Asegurar la continuidad del servicio
Pregunta 21-TS: ¿Ha identificado y registrado los recursos más importantes físicos y digitales que posee el sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Identificación y registro de los principales recursos de TI
No se ha identificado ni registrado los recursos más importantes de TI
Se ha identificado los recursos más importantes de TI pero No existe un registro detallado de estos
Observaciones Es fundamental conocer cuáles son los recursos de TI más importantes con los que se cuenta ya que son recursos críticos del sistema
MEDICIONES
¿Qué se pretende evaluar? Si se ha definido los recursos físicos y de software más importantes con los que se cuenta.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 22-TS: Control de Acceso: ¿El sistema es utilizado únicamente por el personal autorizado?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
El sistema lo utiliza sólo usuarios autorizados
Cualquiera tiene acceso al sistema
El sistema bloquea el acceso a usuarios sin identificación ni clave
Observaciones Sólo el personal autorizado debe tener acceso al software para de ésta manera prevenir pérdida de datos, duplicidad de información, entre otras amenazas.
MEDICIONES
¿Qué se pretende evaluar? Si se ha tomado medidas preventivas para que usuarios indeseados no tengan acceso al sistema sin previa autorización y registro por parte del personal técnico del software.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 23-TS: Control de Acceso: ¿Se ha determinado un número máximo y mínimo de letras que debe contener tanto el usuario como la contraseña de ingreso al sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Niveles de seguridad de contraseña definidos
No se ha definido niveles de seguridad de contraseñas de usuarios
Observaciones Las características de protección y creación de la clave del usuario deben ser precisadas y definidas por el técnico del sistema para que no tengan acceso usuarios no autorizados.
MEDICIONES
¿Qué se pretende evaluar? La existencia de un control en cuanto al límite de caracteres que se deben utilizar cuando se crean los usuarios y contraseñas de ingreso al sistema
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 24-TS: Administración de perfiles de acceso: ¿Registra, actualiza y documenta los cambios de usuarios que realiza (creación, edición, eliminación)?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Registro de administración de usuarios y perfiles
Rutinas de depuración de usuarios
No se registran los procesos de administración de perfiles y usuarios que se ejecutan.
Observaciones Debe registrar detalladamente todos los cambios que ejecuta con los usuarios y perfiles de acceso para conocer los movimientos realizados.
MEDICIONES
¿Qué se pretende evaluar? Si se cuenta con un registro de todas las ediciones y cambios que realizan en cuanto a los usuarios del sistema para llevar un control detallado.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 25-TS: Administración de perfiles de acceso: ¿Lleva un registro de todas las actividades de violación de: acceso, perfil de usuarios, cambios de función dentro del sistema sin autorización, entre otros?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
200
Respuesta Registro actualizado de incidencias de inseguridad
No se registran los procesos de falla de seguridad
Se registran únicamente las incidencias de seguridad de mayor relevancia
Observaciones Se deben manejar actividades de registro de los sucesos de inseguridad que se presentan con el software para conocer el nivel actual de seguridad y definir políticas más seguras.
MEDICIONES
¿Qué se pretende evaluar? ¿Si existe un inventario donde se indiquen todos los acontecimientos que se presentan en cuanto a la seguridad del sistema?
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 26-TS: Administración de perfiles de acceso: ¿Ha especificado e indicado a los usuarios las actividades que se deben ejecutar para proteger el sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta Detalle de procesos para proteger el sistema
Actividades de protección del sistema sin definir
Las actividades de protección son aplicadas por los usuarios sin indicaciones técnicas
Observaciones Es necesario detallar qué procesos se deben ejecutar para asegurar el sistema.
MEDICIONES
¿Qué se pretende evaluar? Si se ha capacitado en medidas de seguridad para preservar el sistema.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 27-TS: Administración de perfiles de acceso: ¿El sistema está protegido de virus, troyanos, entre otras posibles amenazas mediante el uso de un sistema antivirus correctamente configurado?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Software antivirus instalado y actualizado
No se tiene software antivirus en el equipo donde funciona el sistema
Observaciones Es imprescindible la utilización de un antivirus ya que de ésta manera se podrá prevenir múltiples infecciones de software malicioso.
MEDICIONES
¿Qué se pretende evaluar? Si se está utilizando un software antivirus para proteger el sistema
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 28-TS: Administración de perfiles de acceso: ¿Ha verificado que todas las conexiones de red del equipo de cómputo donde opera el sistema estén configuradas correctamente?
Dirigida a Técnico responsable del sistema,
Área de COBIT Entrega de servicio y soporte
Respuesta
Verificación y actualización de firewall, redes y recursos compartidos
Firewall, redes y recursos compartidos sin configuración.
Observaciones Mantener los cortafuegos activados, los recurso de redes y compartidos bien configurados permite el trabajo y las conexiones seguras
MEDICIONES
¿Qué se pretende evaluar? Si se ha activado el cortafuegos, actualizado el software y configurado las redes y conexiones del equipo donde se ejecuta el sistema.
CÓDIGO DS7: Educación y entrenamiento de usuarios
Pregunta 29-TS: ¿Actualiza e informa periódicamente al usuario en el uso correcto del sistema y su hardware?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se actualiza periódicamente al usuario en el uso del sistema
No se actualiza en conocimientos al usuario del sistema
Se retroalimenta al usuario únicamente cuando existen cambios importantes en el sistema
Observaciones Se debe mantener al usuario actualizado en los cambios que se realizan al sistema constantemente.
MEDICIONES
¿Qué se pretende evaluar? La existencia de actualizaciones de conocimientos a los usuarios del sistema
CÓDIGO DS11: Administración de datos
Pregunta 30-TS: ¿Ha realizado actividades para preparar y organizar la información que genera el sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se realiza actividades para organizar la información del sistema
No se organiza la información del sistema mediante actividades
La preparación y organización de la información del sistema es una actividad que realizan los usuarios.
Observaciones Es fundamental ejecutar actividades para preparar y organizar la información del sistema ya que esto permite mantener los datos ordenados y la información lista para cuando sea necesaria
MEDICIONES
¿Qué se pretende evaluar? Si se prepara y organiza la información del sistema
201
CÓDIGO DS11: Administración de datos
Pregunta 31-TS: ¿Ha detallado políticas de uso para los usuarios que tienen acceso a la información del sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha detallado políticas de uso de la información del sistema
No existen políticas de uso detalladas de la información del sistema
Las políticas de uso de la información del sistema está definida de forma general
Observaciones Es necesario crear políticas del uso correcto de la información del sistema para que los usuarios conozcan lo que está permitido y lo que no se debe hacer con la información
MEDICIONES
¿Qué se pretende evaluar? Si se ha definido políticas de uso de la información del sistema
CÓDIGO DS11: Administración de datos
Pregunta 32-TS: ¿Ha recopilado y respaldado los datos de origen del sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha recopilado y respaldado todos los datos de origen del sistema
No se ha recopilado y respaldado todos los datos de origen del sistema
Se ha respaldado los datos más importantes de origen del sistema
Observaciones Los datos de origen del sistema permiten restablecerlo en caso de fallas futuras
MEDICIONES
¿Qué se pretende evaluar? Si se ha respaldado o no los datos de origen del sistema
CÓDIGO DS11: Administración de datos
Pregunta 33-TS: ¿Ha dado mantenimiento a los errores que presenta el sistema desde su creación?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
No se han presentado fallas de funcionamiento de origen del sistema
Se ha dado mantenimiento a los errores de origen del sistema
No se ha detectado posibles errores por tanto no se ha corregido el sistema
Observaciones Detectar a tiempo y corregir los errores de origen del sistema permite mejorar la funcionalidad del mismo
MEDICIONES
¿Qué se pretende evaluar? Si se ha realizado mantenimiento correctivo al sistema desde los datos de origen
CÓDIGO DS11: Administración de datos
Pregunta 34-TS: ¿Ha verificado si el sistema registra los datos de salida que se generan?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha verificado el registro correcto de los datos que salen del sistema
No se ha verificado el registro de los datos de salida que genera el sistema
Observaciones Los datos de salida del sistema deben ser registrados para conocer los niveles de datos generados
MEDICIONES
¿Qué se pretende evaluar? Si se cuenta con un registro de los datos de salida que genera el sistema
CÓDIGO DS11: Administración de datos
Pregunta 35-TS: ¿Ha verificado si el sistema realiza cálculos para comprobar la correcta salida de datos?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
El sistema realiza cálculos internos para comprobación de los datos de salida
El sistema no realiza cálculos internos para comprobación de los datos de salida
No se comprobado si el sistema realiza cálculos internos para comprobación de los datos de salida
Observaciones Los cálculos internos permiten comprobar si los datos de salida están generándose de forma correcta
MEDICIONES
¿Qué se pretende evaluar? Si el sistema realiza cálculos de los datos de salida
CÓDIGO DS11: Administración de datos
Pregunta 36-TS: ¿Ha verificado que la información más importante del sistema esté protegida mientras se realiza la transmisión y transporte de la misma?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Transmisión y transporte de datos segura
Transmisión y transporte de datos sin medidas de seguras
No se realizado pruebas de comprobación de la seguridad de la transmisión y transporte
Observaciones La transmisión de datos debe proporcionar medidas de seguridad para que la información se transfiera de forma completa
MEDICIONES
¿Qué se pretende evaluar? Si se ha verificado o no la seguridad en la transmisión de datos
CÓDIGO DS11: Administración de datos
Pregunta 37-TS: ¿Ha comprobado dónde y cómo se almacenan los datos e información del sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
202
Respuesta
Se ha comprobado los medios de almacenamiento de la información del sistema
No se ha comprobado los medios de almacenamiento de la información del sistema
En la información del sistema constan medios y sitios de almacenamiento para conocimiento general
Observaciones Se debe comprobar dónde y cómo se están almacenando los datos del sistema para conocer los sitios y medio que deben ser respaldados
MEDICIONES
¿Qué se pretende evaluar? Si se conoce los medios de almacenamiento y cómo se están almacenando los datos del sistema
CÓDIGO DS11: Administración de datos
Pregunta 38-TS: ¿Ha verificado y registrado los periodos de tiempo que se conserva la información del sistema que ha sido almacenada?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Comprobación y registro de tiempos de almacenamiento de los datos
Tiempos de almacenamiento de los datos sin comprobación ni registro
Se actualiza periódicamente los registros de tiempos de almacenamiento previa comprobación
Observaciones Se debe comprobar los tiempos de almacenamiento de la información para ejecutar medidas de respaldo de datos
MEDICIONES
¿Qué se pretende evaluar? La ejecución o no de comprobaciones de los tiempos de almacenamiento de la información del sistema
CÓDIGO DS11: Administración de datos
Pregunta 39-TS: ¿Ha verificado que los mensajes de ayuda del sistema estén protegidos de posibles ediciones y/o eliminaciones?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Se ha verificado la protección de los mensajes de ayuda que ofrece el sistema
No se ha verificado la protección de los mensajes de ayuda que ofrece el sistema
Observaciones Es importante que los mensajes de ayuda que ofrece el sistema no sean modificados por ningún usuarios para que no se altere la información inicial del sistema
MEDICIONES
¿Qué se pretende evaluar? Si se controla que los mensajes de ayuda estén protegidos de posibles cambios por parte de los usuarios
CÓDIGO DS11: Administración de datos
Pregunta 40-TS: ¿Ha verificado que los datos almacenados estén completos?
Dirigida a Técnico responsable del sistema
Área de COBIT Entrega de servicio y soporte
Respuesta
Los datos almacenados están completos
Los datos almacenados no están completos
No se ha verificado si los datos almacenados están o no completos
Observaciones Se debe verificar constantemente que los datos almacenados estén íntegros
MEDICIONES
¿Qué se pretende evaluar? Si se ha verificado o no que los datos almacenados estén completos
CÓDIGO M1: Monitoreo del proceso
Pregunta 41-TS: ¿El sistema permite la impresión de informes de actividad de cada usuario?
Dirigida a Técnico responsable del sistema
Área de COBIT Monitoreo
Respuesta
Impresión de informe de actividades por usuario
Impresión de informe de actividades por rol
No permite impresión de informe de actividades
Observaciones La impresión de reportes de actividad individual permite verificar el cumplimiento de las funciones asignadas a casa usuario y el recorrido en el sistema
MEDICIONES
¿Qué se pretende evaluar? Si el sistema permite impresión de informes de actividad de cada usuario
CÓDIGO M2: Evaluar lo adecuado del control interno
Pregunta 42-TS: ¿Realiza monitoreos constantes del funcionamiento interno del sistema?
Dirigida a Técnico responsable del sistema
Área de COBIT Monitoreo
Respuesta
Se monitorea constantemente el funcionamiento interno del sistema
No se ha monitoreado el funcionamiento del sistema
Se realizan monitoreos del funcionamiento del sistema cuando se presentan inconvenientes
Observaciones Los monitoreos periódicos permiten conocer las posibles fallas del sistema a tiempo y rectificar
MEDICIONES
¿Qué se pretende evaluar? Si se monitorea el funcionamiento interno del sistema
CÓDIGO M2: Evaluar lo adecuado del control interno
Pregunta 43-TS: ¿Ejecuta evaluaciones periódicas del funcionamiento interno del sistema?
203
Dirigida a Técnico responsable del sistema
Área de COBIT Monitoreo
Respuesta
Se evalúa el funcionamiento interno del sistema de forma periódica
No se evalúa el funcionamiento interno del sistema de forma periódica
Las evaluaciones del funcionamiento interno del sistema se realizan 1 vez al año
Observaciones Evaluar periódicamente el funcionamiento interno del sistema permite conocer los pro y contras del sistema
MEDICIONES
¿Qué se pretende evaluar? Si se realizan evaluaciones constantes del funcionamiento interno del sistema
c. Preguntas para usuarios:
CÓDIGO AI3: Adquisición y Mantenimiento de arquitectura de software
Pregunta 1-U: ¿Al configurar el sistema en el computador que usted maneja el técnico verificó que funcione correctamente tanto al ingresar, cerrar y manipular las diferentes funciones que cumple?
Dirigida a Usuario final
Área de COBIT Adquisición e implementación.
Respuesta Se verificó el cumplimiento y satisfacción del software.
No se realiza comprobación de funcionamiento del software.
El sistema no cumple las funciones para las que fue creado.
Observaciones Determinar si se ha verificado la funcionalidad del software
MEDICIONES
¿Qué se pretende evaluar? Si se ha instalado correctamente el sistema y se ha verificado su funcionalidad.
CÓDIGO AI4: Desarrollo y mantenimiento de procedimientos relacionados con tecnología de información.
Pregunta 2-U: ¿Cuenta con un manual de fácil comprensión donde se explique todos los procedimientos y operaciones que permite realizar el sistema?
Dirigida a Usuario final
Área de COBIT Adquisición e implementación
Respuesta Manual de usuario del sistema
No existe guía de usuario
Observaciones Se debe verificar que exista un guía de usuario para que el operador del sistema pueda guiarse en caso de ser necesario.
MEDICIONES
¿Qué se pretende evaluar? Si se cuenta con todas las indicaciones necesarias para que el usuario pueda operar el sistema informático.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 3-U: Control de Acceso: ¿El sistema solicita que se identifique al momento del ingreso?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Control de acceso
No existe control de acceso
Observaciones El control de acceso al sistema permite verificar quién ingresa al sistema y las actividades que el usuario podrá realizar.
MEDICIONES
¿Qué se pretende evaluar? Si el sistema cuenta con control de acceso para ingresar y hacer uso del mismo.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 4-U: Control de Acceso: ¿Accede de forma personal e individual al sistema?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Acceso de forma individual
Todos los usuarios acceden con el mismo usuario y contraseña
Los usuarios ingresan con el mismo usuario y contraseña dependiendo del perfil
Observaciones Los usuarios del sistema deben poder ingresar al sistema de manera individual para prevenir posibles infiltraciones e ingresos indeseados
MEDICIONES
¿Qué se pretende evaluar? Si existe un usuario y contraseña para que cada usuario ingrese de forma personal al sistema
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 5-U: Control de Acceso: ¿Puede cambiar la clave de ingreso al sistema cuando lo necesita?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Proceso de cambio de clave periódico y personal
El usuario no puede cambiar su clave sin autorización del técnico
Únicamente el técnico realiza cambios de claves de todos los usuarios
Observaciones Que el usuario pueda cambiar cuando lo desee es fundamental ya que permite mayor privacidad al usuario.
MEDICIONES
204
¿Qué se pretende evaluar? Si el sistema da opción para que cada usuario pueda cambiar su contraseña cuando crea necesario.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 6-U: Control de Acceso: ¿Al realizar varios intentos no exitosos de ingreso al sistema, se bloquea automáticamente por un período de tiempo antes de que pueda volver a intentar el ingreso?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Se han definido bloqueos del sistema por intentos fallidos de ingreso.
No se definen políticas de bloqueos del software.
Observaciones Controlar los bloqueos del sistema debido a los intentos fallidos de ingreso es importante para evitar ingresos indeseados de usuarios no autorizados.
MEDICIONES
¿Qué se pretende evaluar? Si se ha considerado medidas de seguridad para bloquear posibles infiltraciones al sistema.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 7-U: Control de Acceso: ¿El sistema le limita el acceso dependiendo de la fecha u horario considerado como no permitido?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Bloqueo del sistema en horarios no permitidos
No se ha considerado bloqueos del software en horarios restringidos.
Observaciones Se debe bloquear el acceso al sistema en horarios no permitidos para prevenir ataques y amenazas.
MEDICIONES
¿Qué se pretende evaluar? Si se ha considerado que los usuarios no puedan acceder al sistema en horarios no establecidos.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 8-U: Administración de perfiles de acceso: ¿Existe el bloqueo automático de acceso a procesos que no le corresponden dependiendo de la función que cumple dentro del sistema?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Bloqueo de funciones definidos según el perfil de acceso
No se han determinado bloqueos de procesos
Observaciones Definir cuándo y para qué usuarios se debe bloquear el sistema es importante para no generar interrupción de actividades en el software.
MEDICIONES
¿Qué se pretende evaluar? Si existe una rutina de bloqueo de funciones a usuarios que no cuentan con el perfil correspondiente al que desean acceder.
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 9-U: Interfaz de usuario: ¿La interfaz gráfica del sistema es agradable y de fácil comprensión?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Interfaz gráfica amigable con el usuario
La interfaz gráfica no es de fácil comprensión para el usuario
Observaciones La interfaz gráfica del sistema permite al usuario manipular las funciones de una manera más fácil y comprender el sistema con mayor rapidez.
MEDICIONES
¿Qué se pretende evaluar? Si la interfaz gráfica del sistema es comprensible a todos los usuarios
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 10-U: Interfaz de usuario: ¿El sistema permite ejecutar funciones mediante el uso combinaciones de teclas?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
El sistema permite la activación de funciones mediante teclas específicas
El sistema no permite la activación de funciones mediante teclas específicas
Observaciones El uso de una combinación de teclas permite acceso rápido a las funciones más importantes
MEDICIONES
¿Qué se pretende evaluar? Si el sistema permite la ejecución de funciones utilizando una combinación de teclas específicas
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 11-U: Interfaz de usuario: ¿El diseño del sistema cumple con lo necesario para que pueda manipularlo fácilmente?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
El sistema es fácil de manipulación y comprensión para el usuario
El sistema es complicado de manipular por el usuario
El sistema es incomprensible para el usuario
Observaciones La facilidad de comprensión del sistema permite al usuario manipularlo con rapidez y acoplarse
205
fácilmente
MEDICIONES
¿Qué se pretende evaluar? Si el sistema es de fácil manipulación o no para el usuario final
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 12-U: Interfaz de usuario: ¿Las ayudas del sistema son claras y precisas?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
La ayuda que ofrece el sistema es clara y precisa
Algunos mensajes de ayuda del sistema no son necesarios
Los mensajes de ayuda del sistema no son claros para el usuario
Observaciones Los mensajes de ayuda deben ser de fácil comprensión para que sirvan de guía para el usuario
MEDICIONES
¿Qué se pretende evaluar? Si los mensajes de ayuda son claros y precisos para el usuario
CÓDIGO DS5: Garantizar la seguridad del sistema
Pregunta 13-U: Interfaz de usuario: ¿El diseño de los textos del sistema es agradable visualmente para el usuario?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Los textos del sistema son visualmente agradables al usuario
Los textos del sistema no son visualmente agradables al usuario
Observaciones Los textos que presenta el sistema deben ser agradables para que el usuario se identifique con ellos
MEDICIONES
¿Qué se pretende evaluar? Si el diseño del texto del sistema es o no agradable visualmente para el usuario
CÓDIGO DS11: Administración de datos
Pregunta 14-U: ¿El modelo de los formatos de salida de información del sistema está diseñado de acuerdo a los resultados que se desea obtener?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
El diseño de los formatos de salida de información es preciso para los resultados que se requieren
El diseño de los formatos de salida de información no es el adecuado
Falta configurar los formatos de salida de información de acuerdo a la realidad vigente
Observaciones Los formatos de salida de información deben ser precisos para evitar que varios datos no sean visualizados
MEDICIONES
¿Qué se pretende evaluar? Si los formatos de salida de información son correctos para el usuario final del sistema
CÓDIGO DS11: Administración de datos
Pregunta 15-U: ¿Cuenta con manuales de procesos específicos: inicio, funcionamiento y cierre correcto del sistema?
Dirigida a Usuario final
Área de COBIT Entrega de servicio y soporte
Respuesta
Si se cuenta con manuales de procesos específicos
No se cuenta con manuales de procesos específicos
Existen manuales del manejo general del sistema
Observaciones Los manuales de procesos específicos son necesarios para los usuarios hasta que se acoplen a dichos procesos
MEDICIONES
¿Qué se pretende evaluar? Si existen o no manuales de procesos específicos del sistema para facilidad el usuario.
ANEXO 16: Documento de Visión General del Proyecto Evalsis - Fuente: Autoras
ANEXO 17: Documento de Elaboración del Proyecto Evalsis - Fuente: Autoras
ANEXO 18: Caso de Uso general del Proyecto Evalsis – Fuente: autores 2014
ANEXO 19: Diagrama de Clases general del Proyecto Evalsis – Fuente: autores 2014
ANEXO 20: Documento de Construcción - Plan de Iteraciones - Fuente: autores 2014
ANEXO 21: Documento de Transición - Fuente: Autoras
ANEXO 22: Manual de usuario de Evalsis - Fuente: Autoras –Evalsis
ANEXO 23: Evaluaciones Ejecutas por el Líder Departamental- Fuente: Evalsis 2014
ANEXO 24: Evaluaciones Ejecutas por el Técnico Responsable- Fuente: Evalsis 2014
ANEXO 25: Evaluaciones Ejecutas por los Usuarios - Fuente: Evalsis 2014