UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL GRADO

ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL

TEMA:

AUDITORÍA INFORMÁTICA Y LA CALIDAD DEL SERVICIO DE LAS

TECNOLOGÍAS DE LA INFORMACIÓN EN EL DISTRITO DE EDUCACIÓN

06D04 COLTA - GUAMOTE.

AUTOR: ING. PULGAR HARO GUILLERMO ALONSO

ASESOR: ING. FERNANDEZ VILLACRES GUSTAVO EDUARDO. MGS.

AMBATO – ECUADOR

2018

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quienes suscriben, legalmente CERTIFICAN QUE: El presente Trabajo de

Titulación realizado por el señor PULGAR HARO GUILLERMO ALONSO,

Maestrante del Programa de Maestría en Informática Empresarial, Facultad de

Sistemas Mercantiles, con el tema AUDITORÍA INFORMÁTICA Y LA CALIDAD

DEL SERVICIO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN EL

DISTRITO DE EDUCACIÓN 06D04 COLTA - GUAMOTE ha sido prolijamente

revisado, y cumple con todos los requisitos establecidos en la normativa

pertinente de la Universidad Regional Autónoma de los Andes -UNIANDES-, por

lo que aprobamos su presentación.

Ambato, Diciembre de 2017

_______________________________________

Ing. Fernández Villacrés Gustavo Eduardo MGS.

ASESOR

DECLARACIÓN DE AUTENTICIDAD

Yo, PULGAR HARO GUILLERMO ALONSO, Maestrante del Programa de la

Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro

que todos los resultados obtenidos en el presente trabajo de investigación, previo

a la obtención del Grado Académico de MAGISTER EN INFORMÁTICA

EMPRESARIAL, son absolutamente originales, auténticos y personales; a

excepción de las citas, por lo que son de mi exclusiva responsabilidad.

Ambato, Diciembre de 2017

_______________________________

Ing. Pulgar Haro Guillermo Alonso

CI. 0603219700

AUTOR

DERECHOS DE AUTOR

Yo, Ing. Pulgar Haro Guillermo Alonso, declaro que conozco y acepto la

disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad

Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice:

El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual

sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales

y consultaría que se realicen en la Universidad o por cuenta de ella;

Ambato, Diciembre de 2017

_______________________________

Ing. Pulgar Haro Guillermo Alonso

CI.0603219700

AUTOR

DEDICATORIA

Este trabajo de Investigación va dedicado primeramente a Dios, por ser mi guía

durante el trascurso de mi vida.

A mis padres Yolanda y Guillermo, ya que son su ayuda y enseñanzas nada de

esto hubiera sido posible.

A mi hermano Héctor quien siempre me ha dado su apoyo para lograr cumplir

mis objetivos.

A mi esposa Mayra Johanna, mi apoyo incondicional, mi complemento, mi

compañera de vida, sin sus palabras de aliento en los momentos difíciles no

hubiera sido posible conseguir mis metas.

Y de manera muy especial a mi hija Gabriela Maité, que es la razón principal

para superarme y conseguir mis logros en la vida, todo el esfuerzo y sacrificio

realizado siempre será para su bienestar.

Guillermo Alonso

AGRADECIMIENTO

Al culminar otra etapa académica, en primer lugar, agradezco a la

UNIVERSIDAD REGIONAL AUTÓNOMAS DE LOS ANDES y a todos los

Docentes que formaron parte del programa de Maestría en Informática

Empresarial.

A mi Asesor del Trabajo de Investigación, Ing. Eduardo Fernández, quien con su

conocimiento y experiencia me ayudó a realizar y culminar de la mejor manera

este trabajo de Investigación.

A mi familia por estar siempre apoyándome y dándome fuerzas para otro objetivo

en mi vida.

A los funcionarios de la Dirección Distrital de Educación 06D04 Colta – Guamote

por la colaboración y apoyo para que este proyecto salga adelante.

Guillermo Alonso

RESUMEN

El presente trabajo investigativo parte de la problemática relacionada con la

calidad del servicio que se da en el distrito, esta calidad de servicio al usuario

viene proporcionada esencialmente por la continuidad en el funcionamiento de

las tecnologías de información que apoyan los diferentes procesos operativos.

La problemática es tanto administrativa como operativa es por ello que se hace

necesaria una evaluación general de las actividades que soportan el servicio al

usuario en la Institución. Para llegar a una propuesta de solución a la

problemática se fundamentaron aspectos relacionados con la auditoría

informática, con la calidad del servicio al cliente y más. También se diagnosticó

la problemática tanto en usuarios como con el personal que labora en la entidad

pública. Finalmente se propone como solución, la realización de una auditoría

informática para que en base a ella se puedan tomar decisiones relacionadas

con el mejoramiento de la calidad del servicio, ya sea en base optimización de

recursos, de mejor planificación y de incorporación de elementos tecnológicos

actualizados. Como resultados sobresalientes se determinó que hay

desorganización, que los equipos están semi-obsoletos, que la conectividad

tiene interrupciones y que también no hay una adecuada gestión

administrativa. Finalmente se recomienda la realización de un proceso continuo

de control para elevar estándares de calidad en el servicio al usuario tanto interno

como externo.

ABSTRACT

The present work-study is based on the problems related to the quality of the

service given in the district; this quality of customer service is essentially provided

by the continuous operation of the information technologies that support the

different operative processes. The problem is both, administrative and

operational. That is why a general evaluation of the activities that support the

user's service in the Institution is necessary. In order to reach a proposal solution

aspects related to computer, the audit was recommended with the quality of

customer service and more. The problem was also diagnosed in both, the users

and the working staff of that public organization. In the same way, a computer

audit was planned as a solution, based in these decisions they can improve the

service quality, either in building on optimization of resources, better planning,

and incorporation of updated technological elements.

As outstanding results, it is determined that there is disorganization, the

equipment is semi- obsolete, connectivity has interruptions and that there is also

no adequate administrative management. Finally, it is recommended to carry out

a continuous control process to increase quality standards in the service to the

user both internally and externally.

INDICE GENERAL

PORTADA Pag.

APROBACION DEL ASESOR DE TRABAJO DE TITULACION

DECLARACION DE AUTENTICIDAD

DERECHOS DE AUTOR

DEDICATORIA

AGRADECIMIENTO

RESUMEN

ABSTRACT

Introducción ............................................................................................................................ 1

Planteamiento del Problema ................................................................................................. 2

Formulación del problema ..................................................................................................... 3

Delimitación del problema ..................................................................................................... 3

Objeto de Estudio ................................................................................................................... 3

Campo de acción ................................................................................................................... 3

Línea de investigación ........................................................................................................... 3

Objetivos ................................................................................................................................. 3

Objetivo General .................................................................................................................... 3

Objetivos Específicos............................................................................................................. 4

Idea a defender ...................................................................................................................... 4

Variables ................................................................................................................................. 4

Justificación del Tema ........................................................................................................... 5

Aporte Teórico, Significación Práctica y Novedad Científica ............................................. 5

CAPITULO I: MARCO TEÓRICO ........................................................................................ 6

1.1. Calidad del Servicio .................................................................................................... 6

1.2. Auditoria Informática................................................................................................. 10

1.2.1. Auditoria ISO-9000 a los Sistemas Computacionales ....................................... 11

1.2.2. Síntomas de Necesidad De Una Auditoria Informática ..................................... 11

1.2.3. Aspectos a Considerar en Auditoría Informática................................................ 16

1.2.4. Control Interno Informático................................................................................... 18

1.2.5. Auditoria de Gestión Tecnológica........................................................................ 21

1.2.6. Características de la Auditoría Tecnológica ....................................................... 22

1.3. Normas Técnicas Sobre Ejecución del Trabajo ..................................................... 23

1.2.1. Planificación ............................................................................................................... 23

1.4. Estudio y Evaluación del Sistema de Control Interno ........................................... 24

1.3.1. Controles .................................................................................................................... 24

1.3.2. Implantación de un Sistema de Controles Internos Informáticos .......................... 26

1.4. Metodología de Trabajo de la Auditoría Informática .................................................. 26

1.4.1. Ejecución de la Auditoría Informática ...................................................................... 27

1.5. Ciclo de Vida de la Auditoría Informática ................................................................... 27

1.5.1. Inicio............................................................................................................................ 27

1.5.2. Fase de Planificación ................................................................................................ 28

1.5.3. Fase de Ejecución ..................................................................................................... 28

1.5.4. Fase de Revisión ....................................................................................................... 28

1.5.5. Fin ............................................................................................................................... 29

1.6. Cobit ............................................................................................................................... 29

1.6.1. Historia y Evolución Del Cobit .................................................................................. 29

1.6.2. Evolución del Producto Cobit ................................................................................... 30

1.6.3. Función Básica y Orientación del Cobit................................................................... 31

1.7. Gestión de Tecnologías de la Información ................................................................. 33

1.7.1. Contexto Del Desarrollo Tecnológico ...................................................................... 34

1.7.2. Tecnología.................................................................................................................. 34

1.7.3. Gestión Tecnológica .................................................................................................. 35

1.7.4. Tipos de Tecnología .................................................................................................. 36

1.7.5. Gestión Tecnológica: Consultoría y Auditoría Informática. .................................... 37

1.7.6. Relación de la Gestión y la Tecnología ................................................................... 38

1.7.7. Especificación y Diseño de la Estrategia Tecnológica ........................................... 40

1.7.8. Objetivo de la Gestión Tecnológica ......................................................................... 40

1.8. Conclusiones Parciales del Capitulo ........................................................................... 41

CAPITULO II MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA

PROPUESTA ....................................................................................................................... 42

2.1. El Distrito de Educación 06D04 Colta - Guamote ...................................................... 42

2.2. Diseño Metodológico. ................................................................................................... 43

2.3. Población y Muestra ..................................................................................................... 43

2.4. Métodos Investigativos ................................................................................................. 45

2.5. Tabulación de Resultados ........................................................................................... 45

Análisis e interpretación: ..................................................................................................... 52

2.7. Planteamiento de la Propuesta. .................................................................................. 58

CAPITULO III VALIDACION Y VERIFICACION DE LOS RESULTADOS ...................... 59

3.1. Tema .............................................................................................................................. 59

3.2. Objetivos ........................................................................................................................ 59

3.3. Descripción General de la Propuesta ......................................................................... 60

3.3.1. Desarrollo de la Propuesta ....................................................................................... 60

3.4. Resultados..................................................................................................................... 80

3.5. El Informe de Auditoría............................................................................................... 112

CONCLUSIONES GENERALES ...................................................................................... 114

RECOMENDACIONES...................................................................................................... 116

REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 117

INDICE DE ILUSTRACIONES

Ilustración 1. Visión sistemática de la Auditoria Informática ...................................... 15

Ilustración 2. Funcionamiento del control Interno Informático .................................... 18

Ilustración 3. El Cubo de COBIT ............................................................................... 32

Ilustración 4. Actividades relacionadas con la producción de tecnologías ................. 39

Ilustración 5. Edificio de la Dirección Distrital 06D04 ................................................. 42

Ilustración 6. Pregunta #1 Encuesta realizada a Funcionarios Públicos .................... 46

Ilustración 7. Pregunta #2 Encuesta realizada a Funcionarios Públicos .................... 47

Ilustración 8. Pregunta # 3 Encuesta realizada a Funcionarios Públicos ................... 48

Ilustración 9. Pregunta # 4 Encuesta realizada a Funcionarios Públicos ................... 49

Ilustración 10. Pregunta # 5 Encuesta realizada a Funcionarios Públicos ................. 50

Ilustración 11. Pregunta # 6 Encuesta realizada a Funcionarios Públicos ................. 51

Ilustración 12. Pregunta # 1 Encuesta realizada a Usuarios Externos ....................... 52

Ilustración 13. Pregunta # 2 Encuesta realizada a Usuarios Externos ....................... 53

Ilustración 14. Pregunta # 3 Encuesta realizada a Usuarios Externos ....................... 54

Ilustración 15. Pregunta # 4 Encuesta realizada a Usuarios Externos ....................... 55

Ilustración 16. Pregunta # 5 Encuesta realizada a Usuarios Externos ....................... 56

Ilustración 17. Pregunta # 6 Encuesta realizada a Usuarios Externos ....................... 57

Ilustración 18. Propuesta a la solución Problemática ................................................ 58

Ilustración 19. Orgánico Funciona Dirección Distrital 06D04 ..................................... 64

Ilustración 20. Impacto sobre criterios de la información ......................................... 112

Ilustración 21. Criterio efectividad ........................................................................... 102

Ilustración 22. Criterio eficiencia .............................................................................. 102

Ilustración 23. Criterio confidencialidad ................................................................... 103

Ilustración 24. Criterio Integridad ............................................................................. 103

Ilustración 25. Criterio disponibilidad ....................................................................... 104

Ilustración 26. Criterio cumplimiento........................................................................ 104

Ilustración 27. Criterio Confiabilidad ........................................................................ 105

INDICE DE TABLAS

Tabla 1. Diferencias y similitudes del Control Interno y la Auditoría Informática. ........ 19

Tabla 2. Tipos de Tecnología .................................................................................... 36

Tabla 3. Población involucrada en el problema .......................................................... 44

Tabla 4. Muestra ....................................................................................................... 45

Tabla 5. Pregunta #1 Encuesta realizada a Funcionarios Públicos ............................. 46

Tabla 6. Pregunta #2 Encuesta realizada a Funcionarios Públicos ............................ 47

Tabla 7. Pregunta #3 Encuesta realizada a Funcionarios Públicos ............................ 48

Tabla 8. Pregunta # 4 Encuesta realizada a Funcionarios Públicos ........................... 49

Tabla 9. Pregunta # 5 Encuesta realizada a Funcionarios Públicos ............................ 50

Tabla 10. Pregunta # 6 Encuesta realizada a Funcionarios Públicos .......................... 51

Tabla 11. Pregunta # 1 Encuesta realizada a Usuarios Externos .............................. 52

Tabla 12. Pregunta # 2 Encuesta realizada a Usuarios Externos .............................. 53

Tabla 13. Pregunta # 3 Encuesta realizada a Usuarios Externos ............................... 54

Tabla 14. Pregunta #4 Encuesta realizada a Usuarios Externos ................................ 55

Tabla 15. Pregunta #5 Encuesta realizada a Usuarios Externos ................................ 56

Tabla 16. Pregunta #6 Encuesta realizada a Usuarios Externos ................................ 57

Tabla 17. Número de personas en los puestos de trabajo .......................................... 65

Tabla 18. Aplicaciones y Sistemas Informáticos ......................................................... 65

Tabla 19. Características de la Red ............................................................................ 66

Tabla 20. Cuadro de Herramientas ............................................................................. 67

Tabla 21. Equipos Informáticos de que utilizan los funcionarios ................................. 67

Tabla 22. Parámetros para la evalución ..................................................................... 68

Tabla 23. Evaluación del Software ............................................................................. 69

Tabla 24. Riesgos Software ........................................................................................ 70

Tabla 25. Evaluación del Hardware ............................................................................ 71

Tabla 26. Riesgos Hardware ...................................................................................... 71

Tabla 27. Evaluación de la seguridad ......................................................................... 72

Tabla 28. Riesgos Seguridad ..................................................................................... 72

Tabla 29. Evaluación de los Recursos Humanos ........................................................ 73

Tabla 30. Riesgos Recursos Humano ........................................................................ 73

Tabla 31. Evaluación de los manuales de procedimientos .......................................... 74

Tabla 32. Riesgos Manuales de Procedimientos ........................................................ 74

Tabla 33. Evaluación de la red de comunicación de datos ......................................... 75

Tabla 34. Riesgos Redes de Comunicación ............................................................... 75

Tabla 35. Evaluación de la conexión a internet ........................................................... 76

Tabla 36. Riesgos Acceso al Internet ......................................................................... 76

Tabla 37. Matriz de valoración consolidada ................................................................ 77

Tabla 38. Cuadro de Herramientas nivel cualitativo COSO ........................................ 78

Tabla 39. Cuadro de herramientas Metodología para el manejo de riesgos COSO .... 80

Tabla 40. Plan Estratégico.......................................................................................... 81

Tabla 41. Definición de Arquitectura de la Información ............................................... 82

Tabla 42. Dirección Tecnológica................................................................................. 84

Tabla 43. Definición de Procesos ............................................................................... 85

Tabla 44. Administración de la Inversión .................................................................... 86

Tabla 45. Identificación de Soluciones Automatizadas ............................................... 88

Tabla 46. Adquirir y mantener el Software aplicativo .................................................. 89

Tabla 47. Mantener la Infraestructura ......................................................................... 91

Tabla 48. Facilitar operación y uso ............................................................................. 92

Tabla 49. Adquirir Recursos de TI .............................................................................. 94

Tabla 50. Administrar niveles de servicios .................................................................. 95

Tabla 51. Administrar los servicios de Terceros ......................................................... 96

Tabla 52. Desempeño y Calidad................................................................................. 97

Tabla 53. Continuidad de servicios ............................................................................. 98

Tabla 54. Garantizar la Seguridad de los Sistemas .................................................... 99

Tabla 55. Monitorear y Evaluar el Desempeño de TI ................................................ 101

Tabla 56. Monitorear y Evaluar el Control Interno ..................................................... 102

Tabla 57. Cumplimiento regulatorio .......................................................................... 103

Tabla 58. Proporcionar Gobierno de TI..................................................................... 105

Tabla 59. Grado de madurez .................................................................................... 106

Tabla 60. Grado de Madurez, Resumen de procesos y criterio de Impacto .............. 108

Tabla 61. Informe de Auditoria ................................................................................. 113

Tabla 62. Acciones Correctivas Software ................................................................. 106

Tabla 63. Acciones Correctivas Hardware ................................................................ 108

Tabla 64. Acciones Correctivas Seguridad ............................................................... 109

Tabla 65. Acciones Correctivas Recursos Humanos ................................................ 110

Tabla 66. Acciones Correctivas manuales de procedimientos .................................. 111

Tabla 67. Acciones Correctivas red de comunicación de datos ................................ 112

Tabla 68. Acciones Correctivas conexión a internet ................................................. 113

Tabla 69. Matriz consolidada .................................................................................... 114

1

Introducción

Antecedentes de la Investigación

Se ha realizado una investigación preliminar en la Biblioteca de la Universidad

Regional Autónoma de los Andes UNIANDES, para analizar las tesis que pueden

servir como antecedente investigativo a la presente, luego de un estudio y

análisis de las mismas, se han considerado importantes las siguientes

investigaciones:

La tesis desarrollada por el Ing. William Lascano previa a la obtención del título

de Magister en Informática empresarial y que fue presentada en el año 2016 con

el tema denominado “AUDITORIA INFORMATICA PARA MEJORAR LA GESTION

DE LAS TECNOLOGIAS DE LA INFORMACION EN EL MINISTERIO DEL TRABAJO

REGIONAL AMBATO”, de su análisis se puede concluir que los procesos de

auditoria permiten definir el estado real de la infraestructura tecnológica que

maneja la Institución, también se puede deducir que mediante la utilización de la

metodología Cobit se llega a obtener resultados evacuatorios de los procesos y

de los equipos informáticos. Toda auditoría informática requiere de una

planificación previa y de la definición de los instrumentos evacuatorios para

hardware, para software y lógicamente para procesos.

A nivel nacional y específicamente en la Escuela Superior Politécnica del

Ejército, se encontró la tesis de los ingenieros Sandra Patricia Balseca Alcocer y

Miguel Eduardo Cachimuel Querembás, con su tema “EVALUACIÓN Y

AUDITORÍA INFORMÁTICA DEL SISTEMA DE INFORMACIÓN DE LA

E.S.P.E”, del análisis realizado se puede concluir que:

Es necesaria la realización periódica de un ejercicio práctico y formal de la

auditoría en informática que permita asegurar que los recursos informáticos se

están utilizando de manera adecuada para lograr los objetivos de la institución

auditada. Y como todo proceso de auditoría, la auditoría informática es similar al

de auditoría de estados financieros, en la cual los objetivos principales son,

salvaguardar los activos, asegurar la integridad de los datos, la consecución de

los objetivos gerenciales, y la utilización de los recursos con eficiencia y eficacia,

2

para lo que se realiza la recolección y evaluación de evidencias. De manera

semejante como sucede con la auditoría financiera en la auditoría informática se

recogen evidencias, las cuales se analizan para identificar, la manera en la cual

son salvaguardados los activos computarizados.

Planteamiento del Problema

A nivel mundial, se considera a la información como un activo tan o más

importante que cualquier otro en la organización y su notable crecimiento ha

dado lugar a grandes cambios en la manera de cómo se establecen los

procesos de la información almacenada a través de las TICs, es por esta razón

que se debe seguir normas y estándares para el éxito de una empresa.

En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves

consecuencias con respecto al desarrollo, ya que la falta de la misma nos ha

impedido avanzar de una manera óptima en el mercado competitivo a nivel

mundial. Sin embargo, en este campo tecnológico no solo el Gobierno participa

sino también la sociedad entera como las empresas privadas y universidades

con sus importantes aportes que son tomados en cuenta al momento de hacer

una evaluación.

Las Instituciones Públicas brindan servicios a la población apoyados fuertemente

en las Tecnologías de la Información y Comunicación, por lo tanto, una buena

gestión en el área de TICs garantizará un buen servicio a los usuarios.

La Dirección Distrital de Educación 06D04 brinda sus servicios a los usuarios

tanto internos como externos de los cantones de Colta y Guamote y siempre se

busca como mejorar dicho servicio. La unidad de Tecnologías de la Información

y Comunicación de la Dirección Distrital sirve como apoyo a todas las otras

unidades por lo que para detectar posibles inconvenientes es necesario realizar

un examen detallado de los aspectos concernientes a dicha unidad de apoyo.

3

Formulación del problema

¿Cómo mejorar la calidad del servicio de las tecnologías de la información en el

Distrito de Educación 06D04 Colta - Guamote?

Delimitación del problema

El presente trabajo de investigación se va a desarrollar en el Distrito de

Educación 06D04 Colta – Guamote, específicamente en el departamento de las

Tecnologías de la Información, ya que es el encargado de establecer los

procesos y manejo de información en la Institución

Objeto de Estudio

El objeto de estudio en la presente investigación es los procesos informáticos

Campo de acción

El campo de acción está enmarcado en la Auditoría Informática

Línea de investigación

La línea de investigación en el presente trabajo investigativo es: Las Tecnologías

de la Información y Comunicación

Objetivos

Objetivo General

Realizar una Auditoría Informática, para que en base a ella se logre el

mejoramiento del servicio de las Tecnologías de la Información en el Distrito de

Educación 06D04 Colta – Guamote.

4

Objetivos Específicos

Fundamentar científicamente los conceptos relacionados con Auditoría

Informática, metodología COBIT y la calidad del servicio de las tecnologías

de información

Realizar una investigación de campo sobre el nivel de calidad del servicio de

las Tecnologías de la Información en el Distrito de Educación 06D04 Colta -

Guamote.

Planificar el desarrollo de una Auditoría Informática basada en los conceptos

y en la metodología COBIT para el Distrito de Educación 06D04 Colta –

Guamote.

Validar la propuesta por expertos.

Idea a defender

Con la realización de una auditoría informática planificada en este trabajo

investigativo, se mejorará la calidad del servicio que brindan las Tecnologías de

Información en el Distrito de Educación 06D04 Colta – Guamote.

Variables

Variable Independiente

Auditoria Informática.

Variable Dependiente

Calidad del servicio de las Tecnologías de la Información.

5

Justificación del Tema

Del planteamiento del problema se puede deducir que este existe y que es de

tipo multifactorial, primeramente, se debe resaltar que realmente no existe una

información concreta de todo el aparato tecnológico que tiene la Institución

Estatal, de cuál es su funcionamiento, de su ubicación y a cargo de quien está,

en definitiva, no se tiene un control de toda la parte tecnológica y es por ello que

tampoco se pueden tomar decisiones para mejorar la infraestructura técnica.

Lógicamente se deduce que lo primero que hay que hacer es una auditoría

informática de toda la infraestructura tecnológica, luego de que esta se realice

se tendrán los siguientes beneficios:

Se dispondrá de información clara y precisa del estado de la tecnología que

utiliza la entidad Estatal como apoyo a su proceso operativo.

También se sabrá con plenitud la ubicación de equipos y obviamente los

responsables de los mismos.

En base a esta información se podrá planificar la adquisición de nuevas

tecnologías, así como el recambio de todo el parque informático.

En base a la mejora tecnológica, se podrá mejorar el servicio al usuario,

agilitando los procesos y pudiendo establecer interconexiones con entidades

gubernamentales.

Luego de la auditoria informática se tendrá un mejor control operacional de

toda la infraestructura tecnología que apoya el funcionamiento de la

Institución Estatal.

En base a todas estas mejoras, se justifica plenamente la realización del

presente trabajo investigativo.

Aporte Teórico, Significación Práctica y Novedad Científica

El aporte teórico que ofrece el presente trabajo investigativo, es el de aportar y

fortalecer las bases teóricas correspondientes a la Auditoria Informática ya que

6

servirá como fuente de consulta y a la vez extender sus conocimientos a

estudiantes, que estén interesados en el tema.

La significación práctica, recae notablemente, en la implementación de una

Auditoría de Gestión Informática, orientada directamente a identificar riesgos

de la entidad y establecer controles necesarios que garanticen la protección

integral de los activos fijos en este caso, la información de la entidad

gubernamental, como también facilitar la administración de los mismos.

La novedad científica de la presente investigación es el alcance que tiene la

Auditoría de Gestión Informática en nuestro medio ya que radica en el hecho

de aplicar normas y técnicas dedicadas al aseguramiento y disponibilidad de

la información.

CAPITULO I: MARCO TEÓRICO

1.1. Calidad del Servicio

Las Tecnologías de la Información y la Comunicación (TIC’s) reúnen los

sistemas, técnicas y soportes que gestionan la información y comunicación,

como se gestiona, se transmite y se mantiene, aportando una generalización del

conocimiento en los distintos campos tanto en la vida de las personas como en

el ámbito empresarial.

Las redes de comunicación, dispositivos o terminales de usuarios, así como los

softwares y aplicaciones componen las TIC´s, que permiten ofrecer actualmente

todo tipo de servicios como correo electrónico, búsquedas de información a

través de Internet, comercio electrónico, redes sociales, administración pública

digital, contacto inmediato con empresas tanto privadas como públicas.

Durante las últimas décadas la evolución y desarrollo de los sistemas de

información ha sido vertiginoso, introduciéndose cada vez más en nuestras vidas

y haciendo que la gestión empresarial evolucione hacia nuevas formas de

gestión y mejora de servicios y de la calidad de los mismos. (Gorraiz, 2011)

7

En el sector de las Tecnologías de la Información, los técnicos siempre han

tenido fama de no documentar las actividades que realizan, o los cientos de

procesos que pueden llegar a tener a lo largo de su vida en la cabeza, aunque

los beneficios para el negocio son claros: productividad, eficiencia, base de

conocimiento (lo que implica que el conocimiento esté en la Organización, no en

las personas), y básicamente la palabra clave que todos buscamos de una forma

u otra: “calidad” en la gestión de los servicios en general, y en particular en el

caso que nos ocupa, en las Tecnologías de la Información y la Comunicación.

(Jiménez, 2012)

Los sistemas de gestión de calidad tienen en las tecnologías de información un

soporte y dinamizador imprescindible a todos los niveles de la empresa,

estratégico y operacional y permite la gestión de la mejora continua en tiempo

real y basada en datos.

Uno de los puntos más importantes que se desarrollan actualmente y que en el

futuro más permitirán incrementar la calidad en los productos y servicios de las

empresas será la información que se consigue obtener y gestionar de los

clientes. La información en los puntos o momentos de venta permiten mejorar el

conocimiento del tipo de productos que prefieren los consumidores, cuáles son

sus necesidades en cuanto requisitos de los servicios y por último, cuál es su

percepción sobre los mismos, y es en este ámbito donde las TIC`s proporcionan

una información muy valiosa que genera una fuente de conocimiento sobre los

clientes que permite orientar los productos y servicios y mejorar la calidad de los

mismos.

El impacto de las TIC´s en la Cadena de Suministro ha sido uno de los mayores

contribuyentes al incremento de calidad en todos los procesos, a la reducción de

los plazos de entrega, la optimización de stocks y la mejora en la previsión de la

demanda, el compromiso de venta con los clientes mediante el acceso on line a

información de disponibilidad de productos y la gestión de envíos de pedidos a

través de mensajes informáticos, mediante interfaces entre las distintas

empresas y elementos implicados en la cadena de suministros, reduciendo los

errores y mejorando la calidad de la trazabilidad de los productos. La

automatización de almacenes soportados por Sistemas de Gestión de

8

Almacenes ( SGAs ), la gestión de entregas mediante terminales móviles (

teléfonos móviles, PDAs,…), seguimiento de situación de pedidos a través de

Internet, posicionamiento de vehículos mediante GPS, permiten que las

tecnologías de la información y comunicación hayan tenido y continúen teniendo

un papel clave dentro de la Cadena de suministro. En el futuro permitirán

incrementar aún más la calidad de servicio mediante el desarrollo y soporte a

procesos actuales y nuevos procesos de venta por Internet y conexión directa de

pedidos a los centros logísticos, que permita la reducción de tiempos de entrega

y de los costes de los mismos.

Uno de los mayores y más visibles impactos que han tenido las TICs ha sido sin

ningún tipo de dudas en la Gestión Pública, desde las tramitaciones de distintos

procedimientos administrativos a través de Internet, hasta el actual y futuro

desarrollo de la administración única han dado un salto de calidad en la atención

y gestión del ciudadano. La revisión de los procesos, la mejora a través del

soporte de la información y la facilidad de acceso a través de Internet,

participación en redes sociales, etc…, permitirán en el futuro un mayor

acercamiento de la administración pública a los ciudadanos.

Con la definición de los objetivos estratégicos de la organización, deberemos

evaluar que necesidades de tecnología de información necesitaremos para su

consecución, como se podrá dar soporte a las distintas líneas estratégicas, como

por ejemplo un mayor posicionamiento en los clientes o más directo, una mayor

productividad de las operaciones, la reducción de procesos administrativos, la

mejora en la obtención de información de los clientes y mercado. Las

tecnologías y sistemas que se deberán desarrollar para estas opciones no serán

las mismas en cada organización ni en cada momento. La selección y

optimización de los sistemas y la utilización de nuevas formas de comunicación

como las redes sociales, etc… deberán estar alineadas con las estrategias de la

empresa, siendo este un factor decisivo del éxito de las mismas, no cualquier

nueva tecnología tiene porque estar alineada con nuestros objetivos y

estrategias, su selección marcará uno de los puntos más importantes para el

éxito y la excelencia empresarial. Un Sistema de Gestión de Calidad y cualquier

9

sistema de evaluación y mejora de la calidad deberá, cada vez más, analizar y

gestionar las TICs en la organización.

A nivel operativo la influencia de las TICs será todavía más importante en el

futuro, no solo porque, como sucede actualmente, prestan un soporte vital a

todos los procesos, sino porque cada vez más deberán proporcionar nuevas

oportunidades de realizar las actividades, y la dependencia de los sistemas será

cada vez mayor, por lo cual la calidad de los mismos deberá incrementarse en

la misma proporción que las nuevas actividades y procesos garantizando su

soporte. Es en este punto donde más deberán desarrollarse las metodologías de

mejora de calidad, los sistemas de calidad que permitan una adecuada gestión

de las TICs, si cada vez tienen más impacto sobre todos los procesos

empresariales cada vez deberán contar con más sistemas y metodologías que

permitan incrementar su calidad y prestación a los usuarios. El intercambio de

mejores prácticas de gestión de la información y la comunicación y modelos de

gestión de las TICs, proporcionaran ventajas competitivas claras a todas las

organizaciones y empresas.

El último gran salto de calidad que deberá contemplarse en el futuro de las TICs

es conseguir la gestión de calidad de la información, es decir dar soporte a los

distintos procesos de las organizaciones, para que las grandes cantidades de

información que se tienen disponibles puedan utilizarse de manera productiva.

Actualmente debido precisamente a que las TICs han proporcionado acceso a

grandes cantidades de información, esto ha provocado un efecto perverso de

dicha información, su exceso. La capacidad futura de gestionar la información

necesaria, la comunicación de la misma en los momentos apropiados constituirá

sin lugar a dudas otro de los puntos críticos de la calidad y excelencia

empresarial. (Gorraiz, 2011)

Vemos por tanto que la evolución en estos años con respecto la Calidad en las

Tecnologías y los Sistemas de Información, ha sido no solamente escribir,

planificar, ejecutar, revisar, y mejorar procesos tecnológicos, si no orientar las

Tecnologías, los Sistemas de Información y en definitiva estos Sistemas de

Gestión de la Calidad, al negocio, proporcionando además una serie de

principios para que la Dirección de la Organización pueda implicarse y pueda

10

gestionar también desde su perspectiva la Calidad en estos entornos

tecnológicos. (Jiménez, 2012)

En la profundidad en que se gestione la calidad de la información y gestione de

manera óptima su utilización por las personas de las empresas y organizaciones,

se conseguirá la excelencia en la gestión de las TIC´s y por lo tanto la mejora de

la calidad en toda la organización.

La influencia de las TICs en la gestión de calidad en los próximos años será

decisiva y jugará un papel primordial en las organizaciones, tanto en su vertiente

de dar soporte a todos los procesos de la empresa, como en la gestión de calidad

de las propias tecnologías de la información, que garanticen un uso racional y

continuo de las mismas y la selección apropiada de los distintos canales de

comunicación que estas tecnologías brindan a las empresas. (Gorraiz, 2011)

En la presente investigación para garantizar la Calidad de Servicio en todas las

Unidades Administrativas que forman parte de en la Dirección Distrital de

Educación 06D04 Colta – Guamote se realizará una Auditoría Informática para

encontrar puntos débiles en la gestión y realizar los correctivos necesarios para

garantizar un buen servicio, tanto a usuarios internos como a usuarios externos

de la Institución.

1.2. Auditoria Informática

“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene

la integridad de los datos, lleva eficazmente los fines de la organización y utiliza

eficazmente los recursos.” (Piattini, 2008)

Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",

"metódico", "puntual" y" objetivo": (Horacio, 2008)

La auditoría informática es un examen, pues se verifica o comprueba el

sistema informático actualmente en uso.

11

Este examen es metódico, ya que sigue un plan de trabajo, perfectamente

diseñado, que permite llegar a conclusiones suficientemente

fundamentadas. Este examen es puntual, ya que se realiza en un momento

determinado y bajo petición de la dirección.

Este examen es objetivo, ya que se realiza por un equipo externo al servicio

de informática para buscar la objetividad requerida.

1.2.1. Auditoria ISO-9000 a los Sistemas Computacionales

Es la revisión exhaustiva, sistemática y especializada que realizan únicamente

los auditores especializados y certificados en las normas y procedimientos ISO-

9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos

establecidos por esta asociación. El propósito fundamental de esta revisión es

evaluar, dictaminar y certificar que la calidad de los sistemas computacionales

de una empresa se apegue a los requerimientos delISO-9000. (Universidad de

Alicante, 2010).

1.2.2. Síntomas de Necesidad De Una Auditoria Informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien

perceptibles de debilidad. Estos síntomas pueden agruparse en clases.

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la informática de la empresa y de la propia

compañía

Síntomas de mala imagen e insatisfacción de los usuarios

1. No se atienden las peticiones de cambios de los usuarios. Ejemplo:

cambio de Software en los computadores,

2. No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y

desatendido permanentemente.

3. No se cumplen en todos los casos los plazos de entrega de resultados

periódicos.

12

Síntomas de debilidades económico-financiero:

1. Incremento desmesurado de costos

2. Necesidad de justificación de inversiones informáticas (la empresa no

está absolutamente convencida de tal necesidad y decide contrastar

opiniones)

3. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente

a desarrollo de proyectos y al órgano que realizó el pedido).

Síntomas de inseguridad: Evaluación de nivel de riesgos.

1. Seguridad lógica

2. Seguridad física

3. Confidencialidad

Se pueden establecer tres grupos de funciones a realizar por un auditor

informático:

Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informativas, así como en las

fases análogas de realización de cambios importantes.

Revisar y juzgar los controles implantados en los sistemas informativos para

verificar su adecuación a las órdenes e instrucciones de la dirección

requisitos legales, protección de confidencialidad y cobertura ante errores y

fraudes. (Ramirez & Alvarez, 2010)

Según (Hernández, 2009), “Conceptualmente la auditoría toda y cualquiera

auditoría, es la actividad consistente en la emisión de una opinión profesional

sobre si el objeto sometido a análisis presenta adecuadamente la realidad que

pretende reflejar y/o cumple las condiciones que le han sido prescritas”.

De aquí se deduce la importancia de establecer una opinión objetiva fundada en

las evidencias encontradas, sobre las diferencias existentes entre el

planteamiento del funcionamiento de cualquier área a auditar y su ejecución real

en la organización, y comunicarlas a las personas correspondientes.

Se plantea que una de las formas de Auditoría Informática aplicado a Entidades

Públicas es el proceso orientado a la identificación de riesgos y controles en la

gestión de las tecnologías de información, para su efectivo apoyo al logro de los

13

objetivos de la institución, para el cumplimiento de sus metas estratégicas,

asociado a la nueva economía digital en la que se desenvuelve.

Por un lado, la identificación de riesgos nos sirve para determinar el nivel de

exposición de la institución al inadecuado uso de los servicios que brinda la

tecnología de la información, pero además permite gestionar los riesgos,

implementando controles que están orientados a evitarlos, transferirlos,

reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir ambos

conceptos: riesgos y controles:

a. Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos

establecidos como negocio y que en el tiempo dicha situación genere

debilidades en el control interno

Tipos de Riesgos:

Riesgo inherente

Este tipo de riesgo tiene ver exclusivamente con la actividad económica

o negocio de la empresa, independientemente de los sistemas de control

interno que allí se estén aplicando.

Riesgo de control

Aquí influye de manera muy importante los sistemas de control interno

que estén implementados en la empresa y que en circunstancias lleguen

a ser insuficientes o inadecuados para la aplicación y detección oportuna

de irregularidades. Es por esto la necesidad y relevancia que una

administración tenga en constante revisión, verificación y ajustes los

procesos de control interno.

Riesgo de detección

Este tipo de riesgo está directamente relacionado con los procedimientos

de auditoría por lo que se trata de la no detección de la existencia de

errores en el proceso realizado.

14

b. Control: Un control establece las medidas implementadas en las entidades

con la finalidad de reducir los riesgos existentes y proteger los activos más

importantes.

En la siguiente figura se visualiza la estrategia utilizada para la implantación de

las mejores prácticas de control. Es un proceso de “benchmarking” que toma en

cuenta las mejores recomendaciones internacionales, como las contenidas en el

COBIT, las utilizadas por empresas de prestigio internacional, las normas

internacionales de auditoría, entre otros; los que permiten obtener altos niveles

de seguridad, fiabilidad y conformidad en la gestión de la tecnología de la

información.

Los riesgos de tecnologías de información que afectan a las entidades Públicas

están relacionados con 3 aspectos básicamente:

a. Dependencia en el uso de tecnología de información: Relacionada

con el uso que efectúa la Entidad y la importancia que representa para el

desarrollo de sus operaciones.

b. Confiabilidad en el uso de tecnología de información: Relacionada

con resultados del procesamiento de datos y que no requieren trabajo

manual por los usuarios para complementar la información.

c. Cambios en la tecnología de información: Relacionado con la

automatización de los procesos principales de la Entidad y la adecuación

de esos procesos automatizados a nuevas necesidades de la Entidad

motivados por regulación o por modernización para mantenerse

competitivos o lograr su acreditación. (Gómez, 2013)

Un proceso de Auditoría Informática tiene como objetivos la implementación de

nuevos y mejores controles, que permitan entregar servicios tecnológicos con

calidad y eficiencia, que a su vez permitirá que cualquier entidad sea Pública o

Privada alcance un mejor posicionamiento y acreditación, apoyando de esta

manera a los distintos procesos que está emprendiendo para alcanzar la visión

que se ha planteado.

15

Ilustración 1. Visión sistemática de la Auditoria Informática Fuente:

http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estándares: Es la acción de determinar el/los parámetros

sobre los cuales se ejercerá el control y posteriormente, el estado o valor de

esos parámetros considerado deseable. Este es el primer elemento a

establecer para instrumentar un sistema de control. En esta especificación

se deberán incluir, entre otros, la precisión con que se medirá el parámetro

a verificar, el método de medición y el instrumento sensible que se aplicará,

la periodicidad en la aplicación y hasta los responsables de esta tarea.

2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con

los deseables. En esta etapa se investiga (más o menos extensamente)

acerca de las causas de las desviaciones que acompañarán un informe con

las discrepancias detectadas, para ser fuente de información de la siguiente

fase. (Castello, 2006)

3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita

una decisión: corregir o dejar como está. Obviamente será más certera y

económica la solución de la discrepancia mientras más correcto sea el

diagnóstico hecho en la etapa anterior.

16

4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control

será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta

al problema que intentó solucionar. Por ello, se considera que sin esta etapa

simplemente no ha existido una acción de control.

1.2.3. Aspectos a Considerar en Auditoría Informática

Uno de los aspectos más significativos de la Auditoría Informática se refiere a los

datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe

ser medida mediante el análisis de tres valores fundamentales: la evaluación de

los costes actuales, la comparación de esos costes actuales con magnitudes

representativas de la organización, y la comparación de los costes del sistema

de información de la empresa con los de empresas similares, preferentemente

del mismo sector de actividad. (Universidad Autónoma del Estado de Hidalgo,

(2011).

Como evaluar de forma concreta estos tres aspectos fundamentales, que

conforman la rentabilidad del sistema de información, es lo que se analiza

seguidamente.

Evaluación de los costos actuales. Conocer, en términos económicos, los costos

que para una empresa supone su sistema de información, constituye uno de los

aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de

los distintos elementos que configuran el sistema de información y que en

términos generales son los siguientes:

Hardware. Se trata de analizar la evolución histórica del hardware en la

empresa, justificando dicha evolución. Es importante conocer el coste del

material (unidad central, periféricos, soporte) durante los últimos cinco

años. También será necesario analizar la utilización de cada elemento

hardware de la configuración, cifrándola en horas/mes, asegurando que

la configuración utilizada se corresponde con el menor valor

utilización/costo, y examinar la coherencia del mismo (Gorraiz, 2011)

17

Software. Análisis de los costos relativos al sistema lógico, tanto en sus

aspectos relativos a la explotación (adecuación del sistema operativo,

versión del software utilizado) como en los aspectos relativos a la

programación de las distintas aplicaciones (prioridades de ejecución,

lenguaje utilizado).( Melo Cazar & Mónica Elizabeth, 2005)

Capturas de datos. Análisis de los costos relativos a la captura de datos,

de las fuentes de información, tanto internas como externas de la

empresa.

Grabación de datos. Es necesario conocer también los costos relativos

a la transcripción de datos en los soportes adecuados (costos de personal,

equipos y máquinas auxiliares).

Explotación. Análisis de los costos imputados a los factores relativos a la

explotación en sentido amplio (tratamiento manual, tiempos de realización

de aplicaciones, tiempo de respuesta, control errores, etc.)

Aplicaciones. Se trata de evaluar los costos del análisis funcional, el

análisis orgánico, la programación, las pruebas de programas,

preparación de datos y costos de desarrollo de cada aplicación medido en

horas.

Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las

distintas categorías, equilibrio entre esas categorías, remuneraciones

salariales, horas extraordinarias), se trata de analizar los costos de

personal directamente relacionado con el sistema de información. En este

apartado deberán tenerse en cuenta también los costes relativos a la

formación del personal.

Documentación. Es necesario no sólo verificar que la documentación

relativa al sistema de información sea clara, precisa, actualizada y

completa, sino también los costos relativos a su elaboración y

actualización.

Difusión de la información. Se trata de evaluar los costos de difundir la

información, es decir, hacer llegar a los usuarios del sistema la

información demandada o aquella considerada necesaria en los distintos

niveles de la organización.

18

1.2.4. Control Interno Informático

Para la aplicación y correcto funcionamiento en los procesos que plantea la

auditoría se tiene que llevar un control interno informático que es el que controla

diariamente que todas las actividades de sistemas sean realizadas cumpliendo

los procedimientos, estándares y normas fijados por la Dirección de la

Organización y/o la Dirección de Informática, así como los requerimientos

legales. (Piattini, 2008)

La misión del Control Interno Informático es asegurarse de que las medidas que

se obtienen de los mecanismos implantados por cada responsable sean

correctas y válidas, y tiene como objetivos principales:

Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del

cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo del Auditor Informático, así como el de las

auditorías externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático.

Ilustración 2. Funcionamiento del control Interno Informático Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf

DIRECCIÓN

Exigencias

internas y

externas

POLÍTICAS Y

DIRECTRICES

ESTÁNDARES,

PROCEDIMIENTOS,

NORMAS Y

METODOLOGÍAS

IMPLANTAR

PROCEDIMIETNOS

DE CONTROL

POLÍTICA

CULTURA

COMPROBACIÓN Y

SEGUIMIENTO DE

CONTROLES

19

“La Auditoría Informática y el Control Interno Informático son campos análogos.

De hecho, muchos de los actuales responsables de control interno informático

recibieron formación en seguridad informática tras su paso por la formación en

auditoría. Numerosos auditores se pasan al campo de control interno debido a la

similitud de los objetivos profesionales de control y auditoría. Pese a que ambas

figuras tienen objetivos comunes, existen diferencias que conviene matizar. En

la siguiente tabla se muestra las similitudes y diferencias entre ambas

disciplinas:” (Sobrinos Sánchez, 2000)

Tabla 1. Diferencias y similitudes del Control Interno y la Auditoría Informática.

CONTROL INTERNO

INFORMÁTICO AUDITOR

INFORMÁTICO

SIMILITUDES Personal Interno

Conocimientos especializados den Tecnologías de la Información

Verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información

DIFERENCIAS Análisis de los controles en el día a día

Informa a la Dirección del Departamento de Informática

Solo personal interno

El alcance de sus funciones es únicamente sobre el Departamento de Informática

Análisis de un momento informático determinado

Informa a la Dirección General de la Organización.

Personal Interno y externo

Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización

Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf

“El auditor debe ser una persona independiente de la institución que se vaya a

auditar, él es responsable de aplicar el método que considere más adecuado, lo

que supone diseñar, desarrollar e implantar los controles; con total

independencia del equipo de desarrollo, el auditor deberá decidir los

procedimientos que vaya aplicar al auditar. El auditor puede hacer

20

recomendaciones para mejorar el sistema, cuidando siempre no perder la

independencia”. (Guevara Plaza, 2010)

Todo auditor de sistemas informáticos debe estar técnicamente preparado y

poseer, los suficientes conocimientos y experiencia que le permitan realizar

dicho trabajo, de lo contrario deberá acudir a un experto en el área donde se

tienen dudas, es por eso que todo auditor debe tener una formación continua

debido a la revolución tecnológica.

Uno de los bienes más importante no solo de las empresas sino de las

instituciones es la información es por esto que existe conocimientos, normas,

técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la

calidad, seguridad, razonabilidad, y disponibilidad de la información tratada y

almacenada a través del computador y equipos afines, así como de la eficiencia,

eficacia y economía con que la administración de un ente están manejando dicha

información y todos los recursos físicos y humanos asociados para su

adquisición, captura, procesamiento, transmisión, distribución, uso y

almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio,

para lo cual se aplican técnicas de auditoria de general aceptación y

conocimiento técnico específico. (Sevilla, 2012)

También es una realidad que las facilidades que brindan los sistemas

informáticos pueden tener como inconveniente hacer más vulnerable la

información importante de las organizaciones, por lo que se deben implantar

controles para mantener segura la información y por ende se requiere de

auditores especializados en sistemas informáticos que prueben que estos

controles son efectivos y permiten que la información se procese de manera

correcta. En consecuencia, de esta situación se crea la necesidad de realizar

periódicamente evaluaciones a los sistemas, o también llamadas, auditorías

informáticas, con las cuales se pretende identificar y evaluar los controles

implantados en los sistemas y minimizar los riesgos a los cuales las

organizaciones que dependen de los sistemas informáticos se encuentran

expuestas.

21

La auditoría informática dentro de sus funciones se encuentra:

Controlar y verificar todos los estándares informáticos que aplica la

organización.

Analizar la eficiencia y eficacia de los Sistemas de Información

organizacionales.

Examinar el uso adecuado de los recursos informáticos de la

organización.” (Granados, 2006).

1.2.5. Auditoria de Gestión Tecnológica

Una auditoría de sistemas es un proceso de revisión de la manera en la que se

están administrando actualmente la gestión tecnológica y los controles

implantados en los mismos, basado en un criterio o modelo de control y gobierno

de TI establecido (p. ej. COBIT, ITIL, ISO), recolección de evidencias

significativas y la emisión de una opinión independiente acerca de los controles

evaluados. (Sevilla, 2012).

Esta opinión debe ser revisada por la gerencia de la entidad auditada, quien

debe definir si está de acuerdo con la misma, puesto que en caso de estar en

desacuerdo el auditor debe realizar una evaluación más exhaustiva a los puntos

en desacuerdo, siendo este un escenario poco probable y deseado ya que los

resultados emitidos por el auditor deben ser verificables por medio de las

evidencias recolectadas que deben estar de acuerdo con las observaciones

emitidas.

“Cuando en una instalación se encuentren operando sistemas avanzados de

computación, como procesamiento en línea, bases de datos y procesamiento

distribuido, se podía evaluar el sistema empleando técnicas avanzadas de

auditoría.” (Echenique, 2006)

Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si

el departamento de auditoría no cuenta con el entrenamiento adecuado (la

institución no cuenta con departamento de auditoría).

22

La tecnología está afectando la forma en que las organizaciones están

estructuradas, administradas y operadas. En algunos casos, los cambios son

dramáticos. Cuando existe la necesidad de un nuevo diseño de sistemas

administrativos para lograr una efectiva administración y control financiero.

Las técnicas deben usarse apropiadamente, dentro de estas podemos

mencionar: las pruebas integrales consisten en el procesamiento de datos de

un departamento ficticio, comparando estos resultados con resultados

predeterminados, es decir las transacciones iniciadas por el auditor son

independientes de la aplicación normal, pero son procesadas al mismo tiempo.

(Gorraiz, 2011)

La simulación nos ayuda a desarrollar programas de aplicación para

determinada prueba y comparar los resultados de la simulación con la aplicación

real. El proceso manual generalmente los documentos de las transacciones

contienen espacio de trabajo para ejecutar el proceso necesario, en las

aplicaciones computarizadas, el proceso se efectúa electrónicamente dentro de

la memoria del computador mediante procedimientos programados y siguiendo

reglas predeterminadas.

1.2.6. Características de la Auditoría Tecnológica

Según (Gómez, 2013), la información de la empresa y para la empresa, se ha

convertido en un activo real de la misma, por ende, han de realizarse inversiones

informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

De la misma manera, los Sistemas informáticos o tecnológicos han de protegerse

de modo global y particular, a ello se debe la existencia de la Auditoría de

Seguridad Informática en general, cuando se producen cambios estructurales en

la Informática, se reorganiza de alguna forma su función; se está en el campo de

la Auditoría de Organización Informática o Tecnológica. Estos tres tipos de

auditoría engloban a las actividades auditoras que realizan en una auditoria

parcial.

23

1.3. Normas Técnicas Sobre Ejecución del Trabajo

1.2.1. Planificación

Toda auditoría antes de comenzar siempre se debe planificar y alguien que no

haya participado en la planificación debe supervisar el plan. La planificación de

la auditoría supone desarrollar una estrategia global basada en el objetivo y en

el alcance del trabajo que se haya encargado al auditor. Las fases para elaborar

el plan serían:

1. Análisis General de riesgo: En este análisis el auditor debe tener

conocimiento general del sector en el que se desenvuelve la empresa, del

tipo de actividad y de la empresa en sí; de esta manera podrá determinar en

primera instancia las áreas donde el riesgo es mayor. El auditor debe utilizar

técnicas de evaluación tanto a la hora de desarrollar el plan global de la

auditoría como a la hora de planificar una auditoría concreta. (Vallabhaneni,

2007).

2. Desarrollo de un Plan Global relativo al ámbito y a la realización de la

auditoría: Una vez evaluado el riesgo de la entidad que se va a auditar, se

elabora el plan global, en este se reflejan las decisiones iniciales del auditor

con respecto a los principios, normas técnicas y demás legislación que se va

a tener en cuenta en el trabajo de auditoría. (Instrituto Mexicano de

Contadores Públicos, 2013).

3. Preparación del programa de auditoría: El auditor deberá preparar un

programa escrito en el que establezcan, bien detallados, los objetivos y los

procedimientos que se precisen para llevar a cabo el plan global de auditoría.

A medida que vaya progresando la auditoría, el auditor deberá ir revisando

tanto el plan global como los programas parte del plan de auditoría. (Pelazas,

2015)

En la fase de planificación deben quedar claras las siguientes interrogantes:

¿Dónde se va a realizar el trabajo?

¿En cuánto tiempo se va a realizar?

¿En qué fecha es necesario que esté terminado el trabajo?

¿Quién compone el equipo de auditoría?

24

¿Qué áreas se van a auditar?

Es decir, el auditor deberá planificar el trabajo de forma adecuada a fin de

identificar los objetivos de cada área de la auditoría y determinar los métodos

para alcanzar esos objetivos de manera eficaz y eficiente.

1.4. Estudio y Evaluación del Sistema de Control Interno

Se deberá estudiar y evaluar adecuadamente el control interno. En el campo de

la auditoría tanto interna como externa de sistemas informáticos se suelen dividir

los controles en: controles generales y controles de aplicaciones. Los controles

son fundamentales para conseguir la seguridad informática.

1.3.1. Controles

“Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza conforme

a los programas adoptados, órdenes impartidas y principios admitidos” (Naranjo,

2006)

1. Controles generales.

Los controles generales de los sistemas informáticos, a su vez, se pueden

dividir en cinco categorías:

a. Controles de la Organización

La entidad deberá segmentar las distintas funciones y tareas entre el

personal del Centro de Proceso de Datos (C.P.D) y los usuarios,

evitando que funciones o tareas incompatibles las realice una misma

persona. Por ejemplo, se debe prohibir al personal de C.P.D. que

realice cualquier tipo de transacción.

b. Controles sobre el desarrollo de los sistemas y su documentación.

Estos controles suponen que los nuevos sistemas y las modificaciones

de los existentes se deben revisar sometiéndolos a un lote de pruebas,

aceptándolos, en el caso de que hayan superado las pruebas. Los

manuales deberán ser actualizados, revisados y aprobados antes de

25

ponerlos en circulación. La persona o personas que realicen la función

de desarrollo o actualización deben ser distintas a las que revisen y

aprueben los sistemas y los manuales.

c. Controles sobre el software del sistema y sobre el hardware

Se deberán implantar funciones que detecten errores

automáticamente, tanto en el software como en el hardware. Se harán

revisiones periódicas con el objetivo de prevenir estos errores. Es

conveniente elaborar procedimientos escritos de como a de actuar el

personal en el caso de que ocurra cualquier tipo de fallo.

d. Controles de acceso.

Estos se implantan con el objetivo de prevenir o detectar errores

deliberados o accidentales, que sean consecuencia del uso o de la

manipulación inadecuada de los ficheros de datos, del uso incorrecto

o no autorizado de los programas informáticos o por la utilización

inadecuada de los recursos informáticos. (Castelo, 2006)

2. Controles sobre las aplicaciones

Una primera aproximación de los controles los que hay que someter a las

aplicaciones podría ser la que los clasifica en tres categorías: entrada,

salida y proceso. (Pelazas, 2015)

a. Controles de las entradas.

Estos controles se deben diseñar e implantar para que actúen sobre

las transacciones de altas, sobre el mantenimiento de archivos, sobre

la consulta de datos y en las funciones de corrección de errores.

b. Controles del proceso

Normalmente se incluyen en los programas de las aplicaciones. Se

diseñan para prevenir o detectar fallas al procesar las entradas de

transacciones. También estos controles deberían detectar la

posibilidad de que se puedan actualizar archivos que no se

correspondan con la aplicación o con el programa en cuestión.

c. Controles de salida

Estos controles se implantan para asegurar que el resultado del

proceso es el adecuado y además, que esos resultados sólo llegan a

personas que estén autorizados a tal efecto.

26

1.3.2. Implantación de un Sistema de Controles Internos Informáticos

Los controles pueden implantarse a varios niveles diferentes. Para llegar a

conocer la configuración del sistema es necesario documentar los detalles de la

red, así como los distintos niveles de control y elementos relacionados:

Entorno de red: esquema de la red, descripción de la configuración hardware

de comunicaciones, descripción del software que se utiliza como acceso a

las telecomunicaciones, control de red, situación general de los

computadores de entornos de base que soportan aplicaciones críticas y

consideraciones relativas a la seguridad de la red

Configuración del computador base: configuración del soporte físico, entorno

del sistema operativo, software con particiones, bibliotecas de programas y

conjunto de datos

Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de

bases de datos y entornos de procesos distribuidos

Productos y herramientas: software para desarrollo de programas, software

de gestión de bibliotecas y para operaciones automáticas.

Seguridad del computador: identificar y verificar usuarios, control de acceso,

registro e información, integridad del sistema, controles de supervisión, etc.

(Piattini y otros, 2008)

1.4. Metodología de Trabajo de la Auditoría Informática

En resumen, podemos indicar lo siguiente:

“El método de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditoría Informática

Estudio inicial del entorno auditable

Determinación de los recursos necesarios para realizar la auditoría

Elaboración del plan y de los Programas de Trabajo

Actividades propiamente dichas de la auditoría

Confección y redacción del Informe Final

Redacción de la carta de introducción” (Muñoz, 2002)

27

1.4.1. Ejecución de la Auditoría Informática

Según (Pardo, 2008) La ejecución de la auditoría Informática consiste

principalmente en la recolección de información y evidencias suficientes, para

fundamentar los comentarios, conclusiones y recomendaciones con respecto a

la Gestión tecnológica, lo cual se realiza utilizando diversas técnicas como las

siguientes:

Entrevistas

Simulación

Cuestionarios

Análisis de la información documental entregada por el auditado

Revisión y Análisis de Estándares

Revisión y Análisis de la información de auditorías anteriores

El análisis de esta información deberá ser realizado utilizando el criterio

profesional adquirido por la experiencia del equipo encargado del Proyecto de

Auditoría, identificando cuando las evidencias obtenidas son suficientes para

evidenciar el adecuado conocimiento de la entidad. (ARGUELLES, 2011)

La información recabada debe ser completa y detallada para que pueda ser

comprendida por el equipo de auditoría y permita la obtención de comentarios,

conclusiones y recomendaciones, mediante su revisión.

1.5. Ciclo de Vida de la Auditoría Informática

El proceso de la auditoría implica diversas etapas en las que el auditor ha de

seguir cumpliendo las normas de auditoría para que éste pueda emitir una

opinión profesional sobre lo que está auditando. (Piattini, 2008)

El modelo del proceso para realizar las auditorías sigue un ciclo continuo de

actividades: planificar, ejecutar, revisar y corregir.

1.5.1. Inicio

Este acto se concreta en la primera entrevista con los responsables de la

Institución. Se debe solicitar un inventario de los recursos que se va a auditar

28

para hacerse una idea de la extensión y así poder presupuestar el trabajo de

auditoría.

1.5.2. Fase de Planificación

En esta etapa se define las actividades necesarias para la ejecución, es decir se

identifica las razones por las que se va a realizar la auditoria y determinación del

objeto de la misma, así como el diseño de métodos, técnicas y procedimientos

que se llevan a cabo para la elaboración documental de planes, programas y

presupuestos para dicha auditoria (Muñoz, 2002)

Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han

establecido correctamente, que todos los riesgos se han identificado y se han

cuantificado, que se asignan los recursos necesarios para que se pueda realizar

la auditoría.

1.5.3. Fase de Ejecución

La fase de ejecución está determinada por las características concretas, los

puntos y requerimientos, que se estimaron en la etapa de planeación. En este

inciso solo se indican los puntos más importantes (Sevilla, 2012)

Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos

diseñados en la fase de planificación. No es necesario que esta fase esté

terminada para que se active la fase de revisión.

1.5.4. Fase de Revisión

El equipo auditor debe comprobar que existe correspondencia entre los riesgos

documentales y el plan de acción propuesto. Esta verificación se puede realizar

utilizando técnicas de muestreo, si bien es cierto que no es objetivo de esta fase

analizar los registros, si se debe comprobar que al menos estos existan. (Gorraiz,

2011)

29

El trabajo de auditoría se debe revisar, hay que asegurarse de las debilidades

que se hayan detectado, se debe informar al auditorio de las debilidades y de las

mejoras necesarias para prevenir o eliminar esas debilidades.

1.5.5. Fin

En esta fase la auditora debe integrar perfectamente los papeles de trabajo, ya

que servirán en caso de aclaraciones posteriores y para dar seguimiento a las

soluciones de las desviaciones encontradas. (Gorraiz, 2011)

En un momento determinado se concluye el trabajo y el ciclo se interrumpe. Es

el momento de organizar y archivar los papeles de trabajo de tal forma que se

puedan reutilizar y localizar en el futuro, si fuera necesario.

1.6. Cobit

1.6.1. Historia y Evolución Del Cobit

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de

crear un mayor producto global que pudiese tener un impacto duradero sobre el

campo de visión de los negocios, así como sobre los controles de los sistemas

de información implantados. La primera edición del COBIT, fue publicada en

1996 y fue vendida en 98 países de todo el mundo. La segunda edición (tema

de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo

que poseía la anterior mediante la incorporación de un mayor número de

documentos de referencia fundamentales, nuevos y revisados (de forma

detallada) objetivos de control de alto nivel, intensificando las líneas maestras de

auditoría, introduciendo un conjunto de herramientas de implementación, así

como un CD-ROM completamente organizado el cual contiene la totalidad de los

contenidos de esta segunda edición.(CHICAIZA, 2011)

30

1.6.2. Evolución del Producto Cobit

El COBIT evolucionará a través de los años y será el fundamento de

investigaciones futuras, por lo que se generará una familia de productos COBIT.

Al ocurrir esto, las tareas y actividades que sirven como la estructura para

organizar los Objetivos de Control de TI, serán refinadas posteriormente, siendo

también revisado el balance entre los dominios y los procesos a la luz de los

cambios en la industria. (Pardo, 2008)

Una temprana adición significativa visualizada para la familia de productos

COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos

de éxito, Indicadores Clave de Desempeño y Medidas Comparativas. Los

Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes

para la administración y poder tomar, así, dichas acciones o considerar los

aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de

Desempeño proporcionarán medidas de éxito que permitirán a la gerencia

conocer si un proceso de TI está alcanzando los requerimientos de negocio. La

Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas

por la gerencia para: determinar el nivel actual de madurez de la empresa;

determinar el nivel de madurez que se desea lograr, como una función de sus

riesgos y objetivos; y proporcionar una base de comparación de sus prácticas de

control de TI contra empresas similares o normas de la industria. Esta adición

proporcionará herramientas a la gerencia para evaluar el ambiente de TI de su

organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.

(Pelazas, 2015)

En definitiva, la organización ISACF (Information Systems Audit and Control

Foundation) espera que el COBIT sea adoptado por las comunidades de

auditoría y negocio como un estándar generalmente aceptado para el control de

las Tecnologías de la Información

31

1.6.3. Función Básica y Orientación del Cobit.

Según (Narvaez, 2012) El COBIT, es una herramienta de gobierno de las

Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho

el trabajo de los profesionales de TI. La ISACF, organización creadora de esta

norma COBIT (Information Systems Audit and Control Fundation), así como sus

patrocinadores, han diseñado este producto principalmente como una fuente de

instrucción para los profesionales dedicados a las actividades de control. La

definición que nos ofrece el sumario ejecutivo del COBIT (Control Objetives for

Information and related Tecnology: Gobierno, Control y Revisión de la

Información y Tecnologías Relacionadas) es la siguiente:

La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y

actualizado conjunto internacional de objetivos de control de tecnologías de la

información, generalmente aceptadas, para el uso diario por parte de gestores

de negocio y auditores.

Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar

las fisuras existentes entre los riesgos de negocio, necesidades de control y

aspectos técnicos. Además, proporciona "prácticas sanas" a través de un Marco

Referencial (Framework) de dominios y procesos, y presenta actividades en una

estructura manejable y lógica. Las “prácticas sanas” del COBIT representan el

consenso de los expertos (ayudarán a los profesionales a optimizar la inversión

en información, pero aún más importante, representan aquello sobre lo que serán

juzgados si las cosas salen mal). (Castello, 2006)

El tema principal que trata el COBIT es la orientación a negocios. Éste, está

diseñado no solo para ser utilizado por usuarios y auditores, sino que, en forma

más importante, está diseñado para ser utilizado como una lista de verificación

detallada para los propietarios de los procesos de negocio. De forma creciente,

las prácticas de negocio comprenden la completa autorización de los procesos

propios de negocio, con lo que poseen una total responsabilidad para todos los

aspectos de dichos procesos.

La norma COBIT, proporciona una herramienta para los procesos propios de

negocio que facilitan la descarga de esta responsabilidad. La norma parte con

32

una simple y pragmática premisa: En orden de proporcionar la información que

la organización necesita para llevar a cabo sus objetivos, los requisitos de las

tecnologías de la información necesitan ser gestionados por un conjunto de

procesos agrupados de forma natural. La norma continúa con un conjunto de 34

objetivos de control de alto nivel para cada uno de los procesos de las

tecnologías de la información, agrupados en cuatro dominios: planificación y

organización, adquisición e implementación, soporte de entrega y

monitorización. Esta estructura, abarca todos los aspectos de la información y

de la tecnología que la mantiene. (Chicaiza, 2011)

Mediante la dirección de estos 34 objetivos de control de alto nivel, los procesos

propios de negocio pueden garantizar la existencia de un sistema de control

adecuado para los entornos de las tecnologías de la información. En suma, cada

uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva

de revisión o seguridad para permitir la inspección de los procesos de las

tecnologías de la información en contraste con los 302 objetivos de control

detallados en el COBIT para el suministro de una gestión de seguridad, así como

de un aviso para la mejora. La norma COBIT contiene un conjunto de

herramientas de implementación el cual aporta una serie de lecciones de

aprendizaje, con las que las organizaciones podrán aplicar de forma rápida y

satisfactoria esta norma a sus entornos de trabajo. (Sobrinos, 2010)

Ilustración 3. El Cubo de COBIT Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org,

http://www.isaca.org/Knowledge‐Center/cobit/Documents/cobiT4.1spanish.pdf

33

Para gobernar efectivamente TI, es importante determinar las actividades y los

riesgos que requieren ser administrados. Normalmente se ordenan dentro de

dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT

define las actividades de TI en un modelo de 34 procesos genéricos agrupados

en 4 dominios:

Planear y Organizar (PO): Estrategias y tácticas. Identificar la manera en

que TI pueda contribuir de la mejor manera al logro de los objetivos del

negocio. Proporciona dirección para la entrega de soluciones (AI) y la

entrega de servicio (DS).

Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o

adquisición, cambios y/o mantenimiento de sistemas existentes.

Proporciona las soluciones y las pasa para convertirlas en servicios.

Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.

Incluye la prestación del servicio, la administración de la seguridad y de la

continuidad, el soporte del servicio a los usuarios, la administración de los

datos y de las instalaciones operacionales. Recibe las soluciones y las

hace utilizables por los usuarios finales.

Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad y cumplimiento de los

requerimientos de control. Este dominio abarca la administración del

desempeño, el monitoreo del control interno, el cumplimiento regulatorio

y la aplicación del gobierno. Monitorear todos los procesos para asegurar

que se sigue la dirección provista. (Narvaez, 2012)

1.7. Gestión de Tecnologías de la Información

La tecnología como conjunto de conocimientos configura un sistema con sus

propios procesos y su propia dinámica, en el que las innovaciones son los

principales agentes de cambio. Son las innovaciones, como acciones

sistemáticas e intencionales para introducir cambios o novedades, los elementos

que están en la base de la dinámica de este sistema, dinámica que se expresa

en nuevos o mejores productos o procesos y nuevos mercados, pero también en

nuevas actividades humanas o formas diferentes o mejoradas de hacer

34

actividades ya establecidas. Innovaciones que son el resultado dela

incorporación novedosa de conocimientos en las actividades. (Piattini, 2008)

1.7.1. Contexto Del Desarrollo Tecnológico

El tema de la gestión tecnológica ha tomado gran relieve en América Latina,

introduciendo nuevas preocupaciones e ideas en torno al desarrollo científico y

tecnológico de los países de la región (Ávalos, 1990). En particular, ha llamado

la atención el papel que juega la investigación científica en este proceso,

haciendo evidente la necesidad de que el Gobierno, las empresas públicas y

privadas, las universidades y otras instituciones de investigación, se convenzan

de su importancia para alcanzar un desarrollo autónomo y sostenible. Además,

se han identificado ciertos fenómenos que se presentan en la región y que

caracterizan la investigación científica y tecnológica. (CAMPO, 2012)

En primer lugar, aunque en muchas universidades se realiza investigación,

apenas en los últimos años se ha dado alguna relación directa entre la academia

y las necesidades reales de producción. En segundo lugar, solo a partir de 1980,

los Gobiernos de los países de la región plantearon de manera expresa políticas

de ciencia y tecnología como componente del plan de desarrollo general. En

tercer lugar, usualmente la industria de la región ha brindado poca atención a las

tareas de investigación (Jaramillo, 2010).

1.7.2. Tecnología

La tecnología es el conjunto de conocimientos científicos y empíricos,

habilidades, experiencias y organización requeridos para producir, distribuir,

comercializar y utilizar bienes y servicios. Incluye tanto conocimientos teóricos

como prácticos, medios físicos, know-how, métodos y procedimientos

productivos, gerenciales y organizativos, entre otros, así como la identificación y

asimilación de éxitos y fracasos anteriores, la capacidad y destrezas de los

recursos humanos, etc.

Desde otro punto de vista, la tecnología, además, puede entenderse como la

actividad de búsqueda de aplicaciones a conocimientos existentes. Los

35

conocimientos científicos y tecnológicos presentan características diferentes.

Los primeros son más complejos, surgen de la observación y el análisis y tratan

de suministrar conjuntos de conceptos cada vez más abarcadores y, a su vez,

en la medida de lo posible más sencillos con respecto a los fenómenos, sus

vínculos y sus variaciones, así como sus causas y consecuencias. Los

conocimientos tecnológicos consisten en nuevos procedimientos por medio de

los cuales se alcanzan fines prácticos; pueden considerarse como el

conocimiento de los procedimientos probados por los cuales se alcanzan

objetivos predeterminados. Los avances científicos consisten en explicaciones

teóricas nuevas o mejoradas sobre determinados fenómenos.

Los conocimientos tecnológicos se incorporan en diversos objetos:

• En objetos (hardware): materiales, maquinarias, equipos.

• En registros (software): procedimientos, manuales, bancos de datos.

• En el hombre (humanware): conocimientos, habilidades.

• En instituciones (orgware): estructuras y formas organizativas,

interacciones, experiencia empresarial.

1.7.3. Gestión Tecnológica

La Gestión Tecnológica (GT), se concibe como el proceso de administrar el

desarrollo de la tecnología, su implementación y difusión en los sectores

industrial, público y privado y en la sociedad en general. Además, implica el

manejo del proceso de innovación a través de la Investigación y Desarrollo (I+D),

lo cual incluye la introducción y uso de tecnología en productos, en procesos

industriales, y en otras áreas estructurales y funcionales de la empresa, así como

también la utilización de este conocimiento en la solución de los diferentes

problemas de la sociedad, del ser humano y del medio ambiente. Es una

poderosa herramienta que se debe enmarcar dentro de los procesos generales

de innovación desarrollados en las organizaciones. (Narvaez, 2012)

El control del recurso tecnológico proporciona una ventaja competitiva a las

organizaciones, sobre todo en aquellas en las que se integra en la estrategia

general de la propia empresa. Y esto es mucho más importante para el caso de

organizaciones dedicadas a la generación de productos o servicios en sectores

36

de alta tecnología en las que el periodo de validez de una tecnología concreta

(en términos de adecuación y rendimiento comparativo con otras competidoras)

es cada vez más reducido (ciclos de producto más cortos). (Chicaiza, 2011)

La gestión tecnológica es conocimiento y es una práctica. Es un sistema de

conocimientos y prácticas relacionados con los procesos de creación, desarrollo,

transferencia y uso de la tecnología.

Según la fundación COTEC, “la Gestión de la tecnología incluye todas aquellas

actividades que capacitan a una organización para hacer el mejor uso posible de

la ciencia y la tecnología generada tanto de forma externa como interna. Este

conocimiento conduce hacia una mejora de sus capacidades de innovación, de

forma que ayuda a promocionar la eficacia y eficiencia de la organización para

obtener ventajas competitivas”.

1.7.4. Tipos de Tecnología

Podemos encontrar dos tipos de clasificación, desde el punto de vista estratégico

a y desde el punto de vista de su utilización en un determinado proyecto de la

organización.

Tabla 2. Tipos de Tecnología

Desde el punto de vista estratégico

Tecnologías clave Son aquellas que la empresa domina completamente y que hacen que mantenga una posición de dominación relativa frente a sus competidores en un cierto mercado (sector) y tiempo

Tecnologías básicas

Son aquellas tecnologías consolidadas que se requieren para el desarrollo de los productos de la organización pero que no supone ninguna ventaja competitiva porque también son perfectamente conocidas por los competidores

Tecnologías emergentes

Son aquellas tecnologías inmaduras (posiblemente en las primeras fases de su desarrollo) en las que la empresa que consideramos está apostando como base para constituirse en tecnologías clave si sus desarrollos satisfacen las expectativas puestas en ellas. Se asume con ellas un riesgo elevado.

Desde el punto de vista de un proyecto

Imprescindibles Cuando sin ellas no se puede realizar. Si estas tecnologías no se conocen (o no suficientemente) en la organización deberán adoptarse las medidas adecuadas para incorporarlas a la organización.

37

Convenientes Cuando el proyecto se realizaría mejor en el caso de disponer de ellas

Auxiliares Cuando tienen un papel secundario y se puede realizar el proyecto sin ellas. Estas pueden ahorrar tiempo y coste, pero afectan poco a las prestaciones del sistema

Elaborado por: Guillermo Pulgar Fuente: https://excelencemanagement.wordpress.com/2016/02/19/1139/

La capacidad competitiva de la empresa queda determinada por dos factores:

Los externos que dicen la relación con el sector de la actividad a la que

pertenece la empresa, contexto y a la característica de la política

económica que le afecta son el mercado de trabajo, la política industrial y

el sistema fiscal.

Los internos que se vinculan a la actuación de la propia empresa y

dependen de su capacidad de dirección para consolidar la gestión e

innovación tecnológica y las capacidades existentes en su interior para

generar competencias.

La Gestión Tecnológica es un factor importante de competitividad por todo lo que

ella representa para la organización a nivel de la empresa en particular no basta

para alcanzar la competitividad plena, pues esta última es sistémica.

1.7.5. Gestión Tecnológica: Consultoría y Auditoría Informática.

Por otra parte, la gestión tecnológica se divide en dos partes que resultan

fundamentales para el correcto funcionamiento y empleo de las nuevas

tecnologías que, supuestamente, han llegado para facilitar el trabajo. Por un

lado, se encuentra la consultoría informática, que se encarga de la planificación

de los programas. La misma debe estar pendiente de todas las posibles

aplicaciones que posee cada programa elegido por la administración de las

empresas, para así poder determinar cuál será el más indicado para aplicar

según sus funciones. (Piattini, 2008)

La otra parte de la gestión tecnológica se trata de la auditoría informática, la cual

se encarga de llevar a cabo la ejecución de los programas tecnológicos y el

control de los mismos. Además, la persona que oficia de auditor informático (los

auditores informáticos siempre serán internos ya que una empresa no se puede

38

arriesgar a que una persona del ambiente externo manipule los sistemas de

información) debe estar capacitada para la resolución de todos los problemas

que puedan presentarse, no solo en los sistemas de información, sino que

también, en el resto de los recursos tecnológicos con los que cuenta una

empresa.

Como bien dijimos al principio del artículo, la tecnología es una de las razones

principales por la cual, el desempeño y desarrollo de las empresas, va

avanzando a pasos agigantados, especialmente cuando se trata de las

pequeñas y medianas empresas, y es por ello, que aunque no se cuenten con

los recursos económicos necesarios como para poder llevar a cabo la gestión

tecnológica correspondiente, de alguna u otra manera la misma debe hacerse

presente en toda empresa que posea recursos tecnológicos. (PIATTINI, 2008)

Además es fundamental poder disminuir al mismo nivel, los riesgos de fallas y

errores que puedan cometer estos sistemas tecnológicos, y preferentemente la

gestión tecnológica debe intentar eliminar dicho riesgo, una pequeña falla, puede

traer como consecuencia la pérdida de toda la información correspondiente a

una empresa, y este es un factor que puede arruinar por completo a la entidad

si no se aplica un método de gestión tecnológica que resulte eficiente, por eso

es preciso que antes de implementar cualquier novedad a su empresa, consulte

primero acerca de todas las ventajas y desventajas que posee.

1.7.6. Relación de la Gestión y la Tecnología

El management contemporáneo relaciona el factor tecnológico con el sistema

administrativo y la estructura de la organización. En la estructura interna de los

sistemas productivos aparece ahora una nueva unidad organizacional

especializada en la administración de este factor; por tal razón, para analizar la

relación entre gestión y tecnología se hace pertinente determinar el rol que esta

última desempeña. Es posible, de tal modo, diferenciar cuatro tipos de

organizaciones de acuerdo a la forma como la tecnología se involucra dentro de

su estructura: (Sevillano, 2009)

39

Empresas cuyo objetivo principal no es la producción de tecnología como

una mercancía separada, sino que asimila esta como un insumo para ser

empleado en la producción y comercialización de bienes y servicios. En

este caso la generación de tecnología es una actividad desarrollada

preferentemente de manera exógena por un laboratorio de investigación

o por un departamento de diseño y desarrollo.

Empresas que basan sus actividades en la tecnología como producto a

comercializar; su producto final es precisamente la tecnología, lo cual

implica procesar conocimientos para producir paquetes tecnológicos y

venderlos en el mercado. Ese conocimiento puede ser científico o

empírico, pertenecer a la empresa o a otros, o incluso ser un bien libre;

puede ser original o copiado, ser una innovación, una adaptación o una

mezcla.

Junto con la creatividad, la fuerza de trabajo en las empresas de tecnología

requiere de talentos adicionales a los netamente científicos técnicos:

Ilustración 4. Actividades relacionadas con la producción de tecnologías Elaborado por: Guillermo Pulgar

ACTIVIDADES

CIENTÍFICO-TÉCNICAS

ACTIVIDADES ECONÓMICO-COMERCIALES

ACTIVIDADES DE

PLANIFICACIÓN

Idea / invento Investigación científica

y técnica Búsqueda

Dimensionamiento Diseño

Ingeniería Planta Piloto

Interacción con producción

Reconocimiento de posibilidades comerciales

Investigación económico – comercial

Dimensionamiento Especificaciones

Primera etapa de la comercialización

Desarrollo del mercado Desarrollo del producto

Patentes / Licencias Ingeniería

Planta Piloto Interacción con

producción

Previsión de negocios posibles

Definición de objetivos

Formulación de presupuestos

Decisiones organizativas

Estrategias para distintos plazos

Estrategia de reclutamiento de personal a largo

plazo

40

1.7.7. Especificación y Diseño de la Estrategia Tecnológica

La estrategia tecnológica debe hacer explícitas las opciones tecnológicas de la

empresa y su éxito o fracaso estará basado en la identificación de oportunidades

y en la concentración de recursos en aquellas áreas tecnológicas en las que

posea mejores capacidades internas y que les permitan alcanzar con rapidez la

fase de comercialización.

Se debe tener en cuenta:

El grado de riesgo implícito, que varía desde la aplicación o mejora de

tecnologías existentes hasta el desarrollo de otras completamente nuevas.

La intensidad en el esfuerzo tecnológico, que puede variar desde una

investigación exploratoria hasta la completa aplicación industrial.

La distribución del presupuesto destinado a la tecnología entre las diversas

opciones tecnológicas elegidas.

La elección de la posición competitiva para cada tecnología (líder, seguidor,

búsqueda de nichos de mercado, etcétera).

1.7.8. Objetivo de la Gestión Tecnológica

La gestión tecnológica tiene como objetivo mejorar la variable tecnológica en la

estrategia global de la empresa y comprende actividades de identificación y

obtención de tecnología, investigación y desarrollo (I+D), adaptación de nuevas

tecnologías, explotación de las tecnologías para la producción de bienes y

servicio. (Piattini, 2008)

Se ocupa también de la funciones de vigilancia tecnológica para detectar las

tecnologías de interés para el futuro, del referencia miento (benchmarking), de la

reingeniería y de la tercerización (outsorsing), del análisis de los productos de

los competidores (rereverse engineering), de los derechos de propiedad y

licenciamiento, de las normas y estándares, y de la alianzas estratégicas

41

1.8. Conclusiones Parciales del Capitulo

Una vez realizado el marco teórico, y analizado cada uno de sus puntos se ha

llegado a las siguientes conclusiones:

En la actualidad y desde hace mucho tiempo la auditoría de sistemas ha

tomado una importancia relevante en la vida empresarial, ya que no hay

empresa o institución que en estos momentos prácticamente dependa de

este mundo de la informática, es por eso que dichas empresas y/o

instituciones, tienen que cuidar e invertir muy bien en tecnología, y es la

auditoría que les dirá porque camino ir.

En toda institución debe realizarse por lo menos anualmente una auditoría

informática y no esperar a que suceda o fallen los controles para en ese

momento aplicarla, esto evitaría gastos.

La gestión tecnológica de toda institución es la parte medular, una mala

administración o fallas en ellas significan gastos y en muchos casos perdidas

irrecuperables.

Las instituciones deben tener en cuenta que no es la mejor la que más

invierte en tecnología sino la que mejor invierte, y es el departamento de

informática que debe estar asesorando a los gerentes en las adquisiciones,

modernizaciones de tecnologías, para ello es importante el pleno

conocimiento de la tecnología actual.

42

CAPITULO II MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA

PROPUESTA

2.1. El Distrito de Educación 06D04 Colta - Guamote

Ilustración 5. Edificio de la Dirección Distrital 06D04 Fuente: Guillermo Pulgar

La Dirección Distrital 06D04 Colta – Guamote se encuentra ubicada en la ciudad

de Villa la Unión – Colta en la Provincia de Chimborazo, en las calles Juan

Bernardo de León y Caamaño.

La Dirección Distrital es la Encargada de gestionar las necesidades de las

Instituciones Educativas Fiscales pertenecientes a los Cantones de Colta y

Guamote, por lo tanto, todos los actores de la Comunidad Educativa (Docentes,

Autoridades, Estudiantes y Padres de Familia) se convierten en los usuarios

externos de este establecimiento.

En la dirección Distrital funcionan los siguientes departamentos: Administrativo

Financiero, Planificación, Administración Escolar, Apoyo, Seguimiento y

Regulación, Talento Humano, Asesoría Jurídica, Tecnologías de la Información

y Comunicación (TIC´s), este último funciona como apoyo para todos los demás

departamentos

43

2.2. Diseño Metodológico.

La modalidad investigativa que se ha utilizado en este proyecto de investigación

es la denominada cuali-cuantitativa. La investigación cualitativa es el

procedimiento metodológico que se caracteriza por entender el conjunto de

cualidades interrelacionadas que caracterizan a un determinado fenómeno, se la

aplico para determinar las características del problema como la imposibilidad

tomar decisiones para compra o actualización de equipos debido a la falta de

información sobre el estado del parque tecnológico y su nivel de apoyo en la

entidad Estatal.

La investigación cuantitativa se caracteriza por recoger, procesar y analizar

datos cuantitativos o numéricos sobre variables previamente determinadas.

Dicha metodología se la aplico para determinar estadísticamente los síntomas

de la problemática.

Los tipos de investigación aplicados son:

Bibliográfica: Este tipo de investigación se la desarrolla en base a la

recopilación de la información de fuentes primarias, se la utilizó para

desarrollar el marco teórico orientado esencialmente a los conceptos básicos

de la auditoría informática, de la metodología Cobit y el control operacional

De Campo: se la lleva a cabo en base a encuestas y entrevistas, se la aplico

para desarrollar el marco metodológico. Se entrevistó al Director del

departamento de Sistemas y se encuesto tanto a los usuarios como a los

empleados.

2.3. Población y Muestra

La población involucrada en la problemática descrita en el inicio de este trabajo

investigativo está estructurada de la siguiente forma:

44

Tabla 3. Población involucrada en el problema

FUNCIÓN NUMERO

Director del Departamento de

Sistemas

1

Funcionarios 39

Usuarios del Distrito de Educación

06D04 Colta - Guamote

10000

TOTAL 10040

Elaborado por: Guillermo Pulgar

Se define como la muestra, a un porcentaje de la población, en este caso se

tomará la muestra de los Usuarios externos, ya que de los Internos se tomará

todo el universo, la muestra será calculada en base a la siguiente fórmula:

Población Muestra = ------------------------------------------- Se asume un error del 5% (Población – 1) * Error² + 1 Reemplazando valores se tiene

10000 Muestra = ------------------------------------------- (10000 – 1) * 0,05² + 1 10000 Muestra = ------------------------------------------- (9999) * 0,0025 + 1 10000 Muestra = ------------------------------------------- 26 Muestra = 385 La muestra se ha estratificado de la siguiente forma:

45

Tabla 4. Muestra

FUNCIÓN NUMERO

Analista Zonal de Sistemas 1

Funcionarios Públicos 39

Usuarios del Distrito de Educación 06D04 Colta - Guamote

385

TOTAL 425

Elaborado por: Guillermo Pulgar

2.4. Métodos Investigativos

Analítico- Sintético: Método investigativo aplicado para analizar y sintetizar

información para el marco teórico. Se recopilo la información teórica y mediante

el método se logró llegar a la construcción del fundamento teórico

Inductivo-Deductivo. Se indujo una respuesta particular a la problemática para

deducir una solución general a la problemática Estatal del país

Las técnicas de investigación aplicadas fueron:

Entrevista y encuestas tanto a empleados como a Usuarios Externos

Los instrumentos utilizados fueron:

Cuestionarios específicos para usuarios y empleados

2.5. Tabulación de Resultados

Luego de realizada la investigación de campo se procedió a tabular los

resultados de las encuestas, los cuales se detallan a continuación.

46

Encuesta realizada a los funcionarios:

Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el

responsable de cada equipo informático de la Estatalidad?

Si…… No……

Tabla 5. Pregunta #1 Encuesta realizada a Funcionarios Públicos

Respuestas Frecuencia Porcentaje

Si 16 60%

No 24 40%

Total 40 100%

Elaborado por: Guillermo Pulgar

Fuente: La Encuesta

Ilustración 6. Pregunta #1 Encuesta realizada a Funcionarios Públicos

Elaborado por: Guillermo Pulgar

Análisis e interpretación: La gran mayoría de los investigados afirma que no

se conoce exactamente la ubicación y los custodios asignados a los diferentes

equipos informáticos con los que trabaja el Distrito de Educación 06D04 Colta –

Guamote.

Si40%

No60%

47

Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el

hardware y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca…

Tabla 6. Pregunta #2 Encuesta realizada a Funcionarios Públicos

Respuestas Frecuencia Porcentaje

Semestralmente 2 6%

Anualmente 5 15%

Rara vez 11 32%

Nunca 16 45%

Total 40 100%

Elaborado por: Guillermo Pulgar Fuente: La Encuesta

Ilustración 7. Pregunta #2 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar

Análisis e interpretación: De acuerdo a la encuesta, la mayoría afirman que

nunca se ha realizado una auditoria de hardware y su funcionamiento, un

porcentaje intermedio aseguran que rara vez se lo ha realizado, otra parte afirma

que anualmente se ha realizado mientras que un bajo porcentaje señalan que se

lo has realizado semestralmente.

Semestralmente6% Anualmente

15%

Rara vez32%

Nunca47%

48

Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el

software y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca……

Tabla 7. Pregunta #3 Encuesta realizada a Funcionarios Públicos

Respuestas Frecuencia Porcentaje

Semestralmente 1 2%

Anualmente 1 2%

Rara vez 9 23%

Nunca 29 73%

Total 40 100%

Elaborado por: Guillermo Pulgar Fuente: La Encuesta

Ilustración 8. Pregunta # 3 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

elevado porcentaje afirma que nunca se ha realizado una auditoria relacionada

con software y su funcionamiento, mientras otros manifiestan que rara vez y en

su minoría anualmente y semestralmente.

Semestralmente2%

Anualmente2%

Rara vez23%

Nunca73%

49

Pregunta No 4. ¿Cree usted que se hace un adecuado control del

funcionamiento de las tecnologías de información que apoyan el proceso

operativo de la Institución?

Si……. No …….

Tabla 8. Pregunta # 4 Encuesta realizada a Funcionarios Públicos

Elaborado por: Guillermo Pulgar

Fuente: La Encuesta

Ilustración 9. Pregunta # 4 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

porcentaje mayor de encuestados admiten que no se hace un adecuado control

del funcionamiento de las tecnologías de información, mientras que un

porcentaje más bajo opina que si se hace un control en este sentido.

No se hace52%

Si se hace48%

Respuestas Frecuencia Porcentaje

No se hace 21 47%

Si se hace 19 53%

Total 40 100%

50

Pregunta No 5. ¿Considera importante la realización de auditorías informáticas

para mejorar el control del funcionamiento de las tecnologías de información que

apoyan el proceso operativo de la Institución?

Muy importante…. Poco importante……. Nada importante……..

Tabla 9. Pregunta # 5 Encuesta realizada a Funcionarios Públicos

Elaborado por: Guillermo Pulgar Fuente: La Encuesta

Ilustración 10. Pregunta # 5 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Según los resultados de la encuesta se puede

manifestar que gran parte de los encuestados consideran muy importante la

realización de una auditoria informática, por otra parte, existe un bajo porcentaje

que consideran poco importante la realización de una auditoría informática

Muy importante87%

Poco importante10%

Nada importante3%

Respuestas Frecuencia Porcentaje

Muy importante 35 87%

Poco importante 4 10%

Nada importante 1 3%

Total 40 100%

51

mientras tanto una poca minoría declaran nada importante la realización de una

auditoría informática.

Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información

durante la realización de estas auditorías?

Si…… No…….

Tabla 10. Pregunta # 6 Encuesta realizada a Funcionarios Públicos

Elaborado por: Guillermo Pulgar

Fuente: La encuesta

Ilustración 11. Pregunta # 6 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar

Análisis e interpretación: La mayoría de encuestados indican que estarían

dispuestos a proveer información para la ejecución de la auditoria mientras que

una pequeña parte expresaron que lo realizaran parcialmente y por ultimo una

mínima parte de los encuestados dijeron que no.

97%

3%

Respuestas Frecuencia Porcentaje

Si 39 97%

No 1 3%

Total 40 100%

52

Encuesta realizada a los Usuario Externos:

Pregunta No 1. ¿Considera usted que el Distrito de Educación 06D04 Colta -

Guamote está fuertemente apoyado por las tecnologías en su atención al

usuario?

Si……. No……….

Tabla 11. Pregunta # 1 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Si 253 66%

No 132 35%

Total 385 100%

Elaborado por: Guillermo Pulgar Fuente: La encuesta

Ilustración 12. Pregunta # 1 Encuesta realizada a Usuarios Externos Elaborado por: Ing. Guillermo Pulgar

Análisis e interpretación:

Según los resultados de la encuesta se puede manifestar que gran parte de los

encuestados consideran que en la institución si se está apoyado por las

tecnologías en su atención al usuario, por otra parte, existe un menor número

que se manifiestan que no existe el apoyo.

Si66%

No34%

53

Pregunta No 2. ¿Durante sus visitas al Distrito de Educación 06D04 Colta -

Guamote , ha sufrido demoras en su atención debido a daños en los equipos

informáticos?

Nunca…. Rara vez…. A veces…. Frecuentemente…….

Tabla 12. Pregunta # 2 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Nunca 99 24%

Rara vez 181 43%

A veces 105 25%

Frecuentemente 32 8%

Total 385 100%

Elaborado por: Guillermo Pulgar

Fuente: La encuesta

Ilustración 13. Pregunta # 2 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Según los resultados obtenidos de la encuesta, un

grupo de encuestados afirman que rara vez han sufrido demoras en atención por

daños en equipos, mientras otros manifiestan que ha ocurrido a veces y en su

minoría nunca y frecuentemente han tenido inconvenientes.

Nunca 24%

Rara vez43%

A veces25%

Frecuentemente8%

54

Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?

Si… No……

Tabla 13. Pregunta # 3 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Si 199 52%

No 186 48%

Total 385 100%

Elaborado por: Ing. Guillermo Pulgar Fuente: La encuesta

Ilustración 14. Pregunta # 3 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Revisando los resultados de las encuestas podemos

observar que en su mayoría concuerdan con el mejoramiento de los equipos

informáticos, muestras el grupo restante están opina que no.

Si52%

No48%

55

Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la

tecnología?

Algunos……. Muy pocos…….. Ninguno……..

Tabla 14. Pregunta #4 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Algunos 78 20%

Muy pocos 208 54%

Ninguno 99 26%

Total 385 100%

Elaborado por: Guillermo Pulgar Fuente: La encuesta

Ilustración 15. Pregunta # 4 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar

Análisis e interpretación: En el resultado de la presente encuesta podemos

notar que en su mayoría revelan que se han incorporado muy pocos nuevos

servicios apoyados por la tecnología mientras que un pequeño grupo mencionan

que no ha sido incorporado y por ultimo tenemos a una minoría que declaran

haber incorporado algunos servicios nuevos apoyados a la tecnología

Algunos20%

Muy pocos54%

Ninguno26%

56

Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para

el manejo de los equipos informáticos?

Si… No……

Tabla 15. Pregunta #5 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Si 339 88%

No 46 12%

Total 385 100%

Elaborado por: Guillermo Pulgar Fuente: La encuesta

Ilustración 16. Pregunta # 5 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Se puede reiterar que el resultado de esta encuesta

se manifiesta que hay una gran mayoría que piensan que el personal está

verdaderamente capacitado en el manejo de equipos informáticos.

Si88%

No12%

57

Pregunta No 6. ¿Cree usted que se debe actualizar los conocimientos

tecnológicos del personal del Distrito de Educación 06D04 Colta - Guamote?

Si… No……

Tabla 16. Pregunta #6 Encuesta realizada a Usuarios Externos

Respuestas Frecuencia Porcentaje

Si 161 58%

No 224 42%

Total 385 100%

Elaborado por: Guillermo Pulgar Fuente: La encuesta

Ilustración 17. Pregunta # 6 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar

Análisis e interpretación: Existe un porcentaje mayor de usuarios internos que

opinan que los funcionarios no deberían actualizar sus conocimientos en cuanto

sus conocimientos de tecnología, mientras en menor cantidad opinan que

debería haber una actualización de conocimientos.

Si42%

No58%

58

2.7. Planteamiento de la Propuesta.

La propuesta de solución a la problemática planteada al inicio de este trabajo

investigativo se esquematiza de la siguiente forma:

Ilustración 18. Propuesta a la solución Problemática Elaborado por: Guillermo Pulgar

2.8. Conclusiones Parciales del Capitulo

Entre las conclusiones del capítulo tenemos:

No se tiene información clara y concreta relacionada con la ubicación de los

equipos y sus custodios.

Nunca se han elaborado auditorias de hardware y software que evalúen el

estado y el funcionamiento de los equipos como de los sistemas.

En el Distrito de Educación 06D04 Colta - Guamote se está utilizando equipos

que no están actualizados, los cuales pordrían tener una falla a corto plazo.

Se considera que el Distrito de Educación 06D04 Colta - Guamote y su

plataforma tecnológica debe modernizarse ya que no ha incorporado nuevos

servicios apoyados por la tecnología.

El personal ve con buenos ojos la realización de una auditoria informática y

esta presto a colaborar con la misma

Planificación

Planificación de una auditoría informática relacionada con hardware y software

Ejecución

Desarrollo de la Auditoría informática

Resultados y recomendaciones

Exposición de resultados de la Auditoría y recomedanciones a los mismos

59

CAPITULO III VALIDACION Y VERIFICACION DE LOS RESULTADOS

3.1. Tema

Auditoría Informática y la Calidad del Servicio de las Tecnologías de la

Información en el Distrito De Educación 06d04 Colta - Guamote

Introducción

Hoy en día, el Ministerio de Educación está a la vanguardia de la

desconcentración, con un modelo de gestión completo y diferente, mediante la

creación de Zonas, Distritos y Circuitos Educativos con competencias,

funcionarios capacitados para proveer servicios de calidad con calidez en

territorio, lo que permite contar con un servicio educativo mejor organizado, más

cercano de los usuarios y sobre todo más eficiente.

El Sistema de Educación Intercultural ha contribuido notablemente a la

transformación de nuestras comunidades, barrios y al enriquecimiento cultural

del país, sin embargo, la educación intercultural es participar en la construcción

activa de un mundo más solidario. La humanidad, cada grupo humano y cada

hombre van eligiendo a lo largo de la historia y de su vida entre la cooperación y

la lucha, entre la aceptación y el rechazo, entre la guerra y la paz. Hemos ido

aprendiendo modos pacíficos de superar los conflictos propios de la convivencia

social y creando nuevos instrumentos para edificar una vida más humana y más

solidaria."

3.2. Objetivos

General

Desarrollar una auditoria informática enfocada esencialmente a la calidad del

servicio que brinda el departamento de tecnologías del Distrito de Educación

06d04 Colta – Guamote.

60

Específicos

Diagnosticar la situación actual de todo el ámbito tecnológico de la

institución

Elaborar la planificación de la auditoria informática a realizar

Ejecutar la auditoría informática

Emitir el informe final de la auditoría

3.3. Descripción General de la Propuesta

La propuesta de solución al problema planteado consiste en la elaboración de

una Auditoria Informática relacionada con la calidad del servicio que brinda el

departamento de tecnologías del Distrito, la misma que ha sido desarrollado en

las siguientes etapas:

Planificación: Consta de un diagnóstico inicial, un diseño del plan y el desarrollo

de instrumentos.

Ejecución: Aquí se llevan a cabo las actividades planificadas, se aplican

instrumentos, se Integración de papeles de trabajo y se elabora el informe

preliminar

Dictamen. Aquí se hará un análisis de los resultados encontrados y se elabora

un informe final.

3.3.1. Desarrollo de la Propuesta

La solución propuesta consiste en llevar a cabo la auditoria informática en la

Institución, la misma que se ha llevado a cabo etapas:

Diagnóstico Previo

Funciones en el DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN

Y COMUNICACION:

Aplicar políticas y normativas alineadas en los estándares para la ejecución

de proyectos de sistematización, automatización, adquisición y/o contratación

de bienes y/o servicios tecnológicos informáticos del distrito.

61

Proporcionar soporte en los procesos tecnológicos del distrito.

Monitorear de forma permanente los servicios tecnológicos del distrito.

Administrar la infraestructura tecnológica en el nivel distrital.

Supervisar el buen uso de las herramientas e infraestructura tecnológica del

distrito.

Apoyar en la coordinación de los proyectos realizados por la Dirección

Nacional de Tecnologías Educativas y SITEC.

Planificación

En esta etapa se diseñan los instrumentos de evaluación y sus periodos de

ejecución, se planificará la ejecución de la auditoría utilizando la metodología

COBIT

La auditoría planificada consta de:

Documentos de Gestión del Área Informática

Actualmente la unidad no cuenta con el manual de procedimientos

administrativos informáticos, ni tampoco cuenta con la documentación requerida

las cuales son:

Mantenimiento de Equipos de Cómputo.

Un Plan de Contingencias.

Seguridad de datos y equipos de Cómputo.

62

Plan de la Auditoria

Cronograma de Actividades

Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de las

autoridades de la entidad, solicitando la participación de los principales

empleados, directores y autoridades de la institución para lo cual se ha realizado

el siguiente cronograma de actividades:

63

Ilustración 19. Cronograma de Actividades Elaborado por: Guillermo Pulgar

Los modelos de encuestas y entrevistas se encuentran en los Anexos.

DESCRIPCIÓN 2017 2017

Abril Mayo Junio Julio Agosto

Septiembre Octubre

FASE 1: PLANEACIÓN

Visita Preliminar

Definición de Objetivos

Definición de puntos a evaluar y otros

Elaboración instrumentos de evaluación

FASE 2: EJECUCIÓN

Evaluación de los Procesos

Encuestas al Personal Administrativo

Encuestas al Personal Directivo

Encuestas a las autoridades

Entrevista al Jefe de Informática

Evaluación del equipo Tecnológico

FASE 3: REVISIÓN Y ANÁLISIS

Análisis de información y discusión de hallazgos

Informe de problemas detectados

Elaboración del Informe Final

Presentación del informe de auditoría

64

FASE 1. PLANEACIÓN

El estudio inicial nos permite dar a conocer aspectos relativos a la organización

y funcionamiento de la institución como: el volumen y complejidad de las tareas

a realizar para estimar esfuerzos y para obtener recursos; así como también los

procesos que se realizan en la actividad cotidiana.

Organigrama funcional de la institución

Ilustración 19. Orgánico Funciona Dirección Distrital 06D04 Fuente: Acuerdo 020 Ministerio de Educación

65

Estructura y Volumen de los Elementos a Auditar

Números de Puestos de Trabajo

Existen 35 puestos de trabajo distribuidos en el edificio de la Dirección

Distrital

Números de Clases de Puestos

Las clases de puestos de trabajo funcionando dentro del Área informática son

las siguientes:

Analista Distrital de Tecnologías de la Información y Comunicación

Analista Zonal de Tecnologías de la Información y Comunicación

Tabla 17. Número de personas en los puestos de trabajo

Dependencia Nombres Cargos

TICs Guillermo Pulgar Analista Distrital TICs

TICs Mayra García Analista Zonal TICs

Elaborado por: Guillermo Pulgar

Número de Aplicaciones de Sistemas Informáticos

Tabla 18. Aplicaciones y Sistemas Informáticos

SISTEMA PRODUCTO

Sistema Operativo de Red Windows Server 2008

Sistema Operativo de Estaciones de

Trabajo Windows 7 o superior

Herramientas de Escritorio

Procesador de palabras Word

Hoja de cálculo Excel

Presentaciones Power Point-Publisher

Correo Electrónico Outlook

Otros

Antivirus y utilitarios Nod 32

Diagramador de Flujos Visio

66

Diseño Gráfico Photoshop, Adobe Premier

Publicidad Print Artist-Iartist

Digitalización, Modelamiento Autocad

Geo-referenciación Arc Gis

Elaborado por: Guillermo Pulgar

Entornos Operativos

Redes

Tabla 19. Características de la Red

Tecnología: Ethernet 10/100

Topología de la Red: Estrella

Puntos de Red 35

Tipo de cable usado Cable Par trenzado Utp Cat. 6

Tipo de conector RJ-45

Velocidad 10-100 Mbps

Máxima longitud entre la estación y el

switch.

20 m

Máxima longitud entre el servidor y el

switch.

5 m

Elaborado por: Guillermo Pulgar

67

FASE 2. EJECUCIÓN

Herramientas y Técnicas

Tabla 20. Cuadro de Herramientas

HERRAMIENTAS TÉCNICAS

Cuaderno de apuntes, grabadora,

camara, papel, lapiceros, laptop

Observación, entrevistas y encuestas

Elaborado por: Guillermo Pulgar

Estaciones de Trabajo

Tabla 21. Equipos Informáticos de que utilizan los funcionarios

MONITOR PROCESADOR MEMORIA DISCO TIPO

17 " Core 2 Duo E6750 2.66 Ghz 1 GB 249 GB DESKTOP

19 " Core I7 3770 3,40 GHz 8 GB 1 TB DESKTOP

19 " Core I7 4770 3,40 GHz 4 GB 500 GB DESKTOP

17 " Core 2 Duo E7500 2.93 Ghz 2 GB 160 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 260 GB DESKTOP

17 " Core I3 2120 3.30 GHz 6 GB 290 GB DESKTOP

17 " Dual Core ES300 2,60 GHz 2GB 300 GB DESKTOP

19 " Dual Core ES400 2,70 GHz 4 GB 500 GB DESKTOP

19 " Core 2 Duo E7500 2.93 Ghz 2 GB 300 GB DESKTOP

19 " Core I7 4770 3,40 GHz 4 GB 500 GB DESKTOP

19 " Core I7 4770 3,40 GHz 8 GB 370 GB DESKTOP

17 " Core I7 2120 3,30 GHz 2 GB 150 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

19 " Core 2 Duo E8400 3.00 Ghz 3 GB 150 GB DESKTOP

19 " Core I7 3770 3,40 GHz 4 GB 500 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP

17 " Core 2 Duo E8400 3.00 Ghz 4 GB 380 GB DESKTOP

17 " Core 2 Duo E8400 3.00 Ghz 4 GB 380 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP

19 " Core I7 4770 3.40 GHz 8 GB 450 GB DESKTOP

19 " Core I7 4770 3.40 GHz 4 GB 450 GB DESKTOP

17 " Core 2 Duo E4500 2.66 Ghz 3 GB 300 GB DESKTOP

17 " Core 2 Duo E4500 2.20 Ghz 3 GB 120 GB DESKTOP

15 " Core 2 Duo E4500 2.20 Ghz 4 GB 300 GB DESKTOP

17 " Core 2 Duo E8400 3.00 Ghz 3 GB 240 GB DESKTOP

21 " Core Centrino Duo T2400 1.83 GHz

512 MB 110 GB PORTATIL

17 " Core 2 Duo E8300 2.83 Ghz 2 GB 150 GB DESKTOP

17 " Core 2 Quad Q9400 2.66 GHz 4 GB 300 GB DESKTOP

68

17 " Core I7 3770 3.40 GHz 8 GB 465 GB DESKTOP

52 " AMD Sempron 130 2.60 GHz 2 GB 120 GB DESKTOP

15 " Core 2 Duo E4500 2.20 Ghz 4 GB 460 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP

17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP

15 " Interl Celeron 1000M 1.80 GHz 2 GB 300 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL

19 " Pentium 4 3.00 GHz 2 GB 150 GB DESKTOP

17 " Core I7 4600 2.90 GHz 4 GB 1 TB DESKTOP

17 " Core I3 2120 3.30 GHz 2 GB 300 GB DESKTOP

8 " Intel Celeron 1007U 1.50 GHz 2 GB 480 GB PORTATIL

Elaborado por: Guillermo Pulgar

Aspectos a Evaluar

Se han considerado los aspectos más relevantes en cuanto a Tecnologías de la

Información y Comunicación se refiere, para los cual se toma en cuenta la

siguiente tabla para evaluar el cumplimiento de dichos aspectos:

Tabla 22. Parámetros para la evalución

PARÁMETROS VALORACIÓN

NO EXISTE 0

MALO 1

BUENO 2

EXCELENTE 3

Elaborado por: Guillermo Pulgar

69

Software

Tabla 23. Evaluación del Software

ASPECTOS A EVALUAR VALORACIÓN

1. Existe un informe técnico en el que se justifique

la adquisición del equipo, software y servicios

de computación, incluyendo un estudio costo

beneficio

0

2. Se cuenta con software de oficina 3

3. Se ha asegurado un respaldo de mantenimiento

y asistencia técnica 2

4. El acceso al equipamiento cuenta con las

seguridades necesarias para reservar el

ingreso al personal autorizado

2

5. Todas las actividades que realizan los usuarios

internos están normadas mediante manuales,

instructivos, normas, reglamentos, etc.

1

6. Las instalaciones cuentan con sistema de

alarma por presencia de fuego, humo, así como

extintores de incendio, conexiones eléctricas

seguras entre otras

2

7. Se mantiene programas y procedimientos de

detección e inmunización de virus en copias no

autorizadas o datos procesados en otros

equipos

3

8. Se han instalado equipos que protejan la

información y los dispositivos en caso de

variación de voltaje como: reguladores de

voltaje, UPS, generadores de energía

2

9. Se hacen revisiones periódicas del contenido

del disco para verificar la instalación de

aplicaciones no relacionadas a la gestión del de

la Institución

1

70

10. Se cuenta con licencias para todo el software 0

11. Se realizan copias de seguridad de los

archivos de cada uno de los equipos en

dispositivos externos

2

12. Se han contratado pólizas de seguros para

proteger la información, equipos, personal y

todo riesgo que se produzca por casos

fortuitos o mala operación

0

TOTAL 18

Elaborado por: Guillermo Pulgar

Tabla 24. Riesgos Software

RIESGO TIPO DE

RISGO

1. Pérdida de información causado por factores

internos y externos. Control

2. No existe el presupuesto necesario para la

adquisición de tecnología Inherente

3. Funcionamiento del software en un porcentaje

bajo

Elaborado por: Guillermo Pulgar

Valor Máximo=36

Valor Obtenido=18

%5036

100*18alcanzadoPorcentaje

71

Hardware

Tabla 25. Evaluación del Hardware

ASPECTOS A EVALUAR VALORACIÓN

1. La capacidad de los discos duros es

adecuada para el almacenamiento de datos. 3

2. La memoria RAM de los equipos está acorde

para la correcta ejecución de las aplicaciones. 1

3. Se da mantenimiento correctivo al equipo de

cómputo cuando se lo requiere. 3

4. Se da mantenimiento preventivo completo al

equipo de cómputo de forma frecuente. 1

5. Los equipos todavía se encuentran

funcionando dentro de su vida útil 0

TOTAL 8

Elaborado por: Guillermo Pulgar

Tabla 26. Riesgos Hardware

RIESGO TIPO DE

RISGO

1. Pérdida de equipos causado por factores

internos y externos. Control

Elaborado por: Guillermo Pulgar

Valor Máximo=15

Valor Obtenido=8

%5312

100*8alcanzadoPorcentaje

72

Seguridad

Tabla 27. Evaluación de la seguridad

ASPECTOS A EVALUAR VALORACIÓN

1. Existe personal de vigilancia en la Institución 3

2. Se ha instruido a los funcionarios sobre qué

medidas tomas en caso de una emergencia 2

3. Los usuarios externos no tienen acceso a los

equipos informáticos 3

4. Se ha prohibido a los funcionarios el consumo

de alimentos y bebida dentro de la Institución

para evitar daños a los equipos

3

5. Se limpia regularmente el área donde se

encuentra el equipamiento tecnológico 2

6. El espacio físico donde se encuentran los

equipos es el adecuado 1

7. Existen Cámaras de Seguridad 3

8. Existen extintores y detectores de humo. 3

TOTAL 20

Elaborado por: Guillermo Pulgar

Tabla 28. Riesgos Seguridad

RIESGO TIPO DE

RISGO

1. Robo de equipos causado por factores

internos y externos. Control

Elaborado por: Guillermo Pulgar

Valor Máximo=24

Valor Obtenido=20

%8324

100*20alcanzadoPorcentaje

73

Recursos Humanos

Tabla 29. Evaluación de los Recursos Humanos

ASPECTOS A EVALUAR VALORACIÓN

1. El perfil profesional del Analista de TICs está

acorde a sus actividades

3

2. Se realiza un control del uso de los equipos

2

3. Poseen un registro actualizado del HW y SW

que posee la unidad informática

1

4. Cumplen con los horarios establecidos en el

reglamento 3

5. La selección del personal se la hace por

medio de concurso de merecimientos

3

6. El total de personal de tecnologías está

acorde a las necesidades de la unidad

informática

1

TOTAL 13

Elaborado por: Guillermo Pulgar

Tabla 30. Riesgos Recursos Humano

RIESGO TIPO DE

RISGO

1. Los funcionarios no saben exactamente las

características de los equipos que están a su

cargo.

Control

2. El trabajo en la Unidad de Tecnologías demora

más de lo esperado. Inherente

Elaborado por: Guillermo Pulgar

Valor Máximo=18

Valor Obtenido=13

%7218

100*13alcanzadoPorcentaje

74

Manuales de Procedimientos

Tabla 31. Evaluación de los manuales de procedimientos

ASPECTOS A EVALUAR VALORACIÓN

1. Existe un manual de procedimientos para

mantenimiento de equipos.

0

2. Existe un manual de procedimientos para

mantenimiento de software.

0

3. Cuenta con un reglamento para el uso de

los equipos.

3

4. Cuenta con un reglamento para préstamo

de equipos.

3

TOTAL 6

Elaborado por: Guillermo Pulgar

Tabla 32. Riesgos Manuales de Procedimientos

RIESGO TIPO DE

RISGO

1. El mantenimiento tanto de hardware como

software puede ser infructuoso. Control

2. Los equipos no funcionan al 100%

Elaborado por: Guillermo Pulgar

Valor Máximo=12

Valor Obtenido=6

%5012

100*6alcanzadoPorcentaje

75

Redes y cableado

Tabla 33. Evaluación de la red de comunicación de datos

ASPECTOS A EVALUAR VALORACIÓN

1. La red de la Institución está protegida

contra ataques informáticos 1

2. Posee un estándar de guía la

infraestructura de red y cableado. 1

3. Se da mantenimiento preventivo a la

red. 1

4. Se da mantenimiento de las redes

cuando se lo requiere. 3

5. Se pueden incrementar nuevos puntos

de red en caso de necesitarlos 2

6. Los componentes de red se encuentran

bien distribuidos de tal manera que no

afectan el trabajo de los funcionarios

1

TOTAL 9

Elaborado por: Guillermo Pulgar

Tabla 34. Riesgos Redes de Comunicación

RIESGO TIPO DE

RISGO

1. Pérdida de datos

Control 2. Lentitud en la transmisión de datos

3. Ataques informáticos

Elaborado por: Guillermo Pulgar

Valor Máximo=18

Valor Obtenido=9

%5018

100*9alcanzadoPorcentaje

76

CONEXIÓN A INTERNET

Tabla 35. Evaluación de la conexión a internet

PREGUNTAS Valoración

El ancho de banda es suficiente para el

número de máquinas existente

2

Existe conexión wi-fi 3

No se permite el acceso al uso de internet

mediante conexión inalámbrica en cualquier

dispositivo a usuarios externos

3

Existe control de acceso a páginas web 3

Existe alguna sanción dentro del reglamento

cuando se identifica mal uso del internet por

parte de algún docente

3

TOTAL 15

Elaborado por: Guillermo Pulgar

Tabla 36. Riesgos Acceso al Internet

RIESGO TIPO DE

RISGO

1. Pérdida de datos

Control 2. Lentitud en la transmisión de datos

3. Ataques informáticos

Elaborado por: Guillermo Pulgar

Valor Máximo=14

Valor Obtenido=15

%9315

100*14alcanzadoPorcentaje

77

Matriz Consolidada de datos

Como resultado de la auditoría de los controles, seguridades, sistemas y

procedimientos informáticos implantados en la Dirección Distrital de Educación

06 D04 Colta- Guamote.

Tabla 37. Matriz de valoración consolidada

Valoración

Ítems

No

Existe Regular

Buena

Muy

Buena

Software 50 %

Hardware 53 %

Seguridad 83 %

Recursos Humanos 72 %

Manual de procedimientos 50 %

Redes y cableado 50 %

Conexión a Internet 93 %

Elaborado por: Guillermo Pulgar

Valoración cualitativa base: 0 No existe; 10-30 Regular; 40-60 Buena; 70-100

Muy Buena

Generalización de la matriz de datos

Para realizar la generalización de los controles, seguridades, sistemas y

procedimientos informáticos implantados en la Dirección Distrital de Educación

06D04 se tomará como parámetro la mayor valoración de la matriz de datos, el

100% de efectividad en todos los aspectos considerados en la Auditoría:

Número de ítems: N=7

Sumatoria de resultados parciales: 451

Resultado de la matriz final %647

451R

78

Los controles, seguridades, sistemas y procedimientos informáticos implantados

en la Dirección Distrital Colta - Guamote un nivel de elaboración, administración

y uso es del 64 %.

Una vez evaluados de manera general los aspectos más importantes y los

riesgos que implica el no cumplimiento de cada uno de ellos en cuanto a

tecnologías de la Información y Comunicaciones, los trasladamos a la

metodología Cobit para un análisis específico.

Modelos de Madurez a Nivel Cualitativo (COSO1)

En la siguiente tabla se presenta el impacto de los objetivos de control de COBIT

sobre los criterios y recursos de TI.

La nomenclatura utilizada en los criterios de información para la siguiente tabla

es la siguiente: (P), cuando el objetivo de control tiene un impacto directo al

requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es

decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el

objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio

cuando se encuentra con (X) significa que los objetivos de control tienen un

impacto en los recursos

Tabla 38. Cuadro de Herramientas nivel cualitativo COSO

OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE

COBIT

RECURSOS DE TI

DE COBIT

EF

EC

TIV

IDA

D

EF

ICIE

NC

IA

CO

NF

IDE

NC

IALID

AD

INT

EG

RID

AD

DIS

PO

NIB

ILID

AD

CU

MP

LIM

IEN

TO

CO

NF

IAB

ILID

AD

PE

RS

ON

AS

INF

OR

MA

CIÓ

N

AP

LIC

AC

IÓN

INF

RA

ES

TR

UC

TU

RA

PLANEA

R Y ORGANIZA

1 COSO (Committee of Sponsoring Organizations), modelo de control de negocios, que proporciona un estándar a partir del cual las grandes empresas evalúan sus procesos, y determinan como mejorar el desempeño.

79

P01 Definir un plan estratégico de TI

P S X X X X

PO2 Definir la arquitectura de la información S P S X X

PO3 Definir la dirección tecnológica P P X X

PO4 Definir los procesos, organización y

relaciones de TI. P P X

PO5 Administrar la inversión en TI. P P S X X X

PO6 Comunicar las metas y la dirección de la

gerencia P S X X

PO7 Administrar los recursos humanos de TI P P X

PO8 Administrar la calidad P P S S X X X X

PO9 Evaluar y Administrar los riesgos de TI P P P P S S X X X X

PO10 Administrar los proyectos P P S X X X

ADQUIRIR E IMPLEMENTAR

AI1 Identificar las soluciones automatizadas

P S S X X

AI2 Adquirir y mantener software aplicativo P P S S X

AI3 Adquirir y mantener la infraestructura

tecnológica S P S S X

AI4 Facilitar la operación y el uso P P S S S X X

AI5 Procurar recursos de TI S P S X X X

AI6 Administrar los cambios P P P P S X X X X

AI7 Instalar y acreditar solucione y cambios P S S S X X X

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de

servicio

P P S S S S X X X

DS2 Administrar los servicios de terceros P P S S S S S X X X X

DS3 Administrar el desempeño y capacidad P P S X X

DS4 Asegurar el servicio continuo P S P X X X X

DS5 Garantizar la seguridad de los sistemas P P S S S X X X X

DS6 Identificar y asignar costos P P X X X

80

DS7 Educar y entrenar a los usuarios P S X

DS8 Administrar la mesa de servicio y los

incidentes P P X X

DS9 Administrar la configuración P S S S X X X

DS10 Administrar los problemas

P P X

DS11 Administrar los datos P P X

DS12 Administrar el ambiente físico S S X X X X

DS13 Administrar las operaciones P P S S X X X X

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de

TI.

P P S S S X X X X

ME2 Monitorear y evaluar el control interno P P S S P S P X X X X

ME3 Garantizar el cumplimiento regulatorio P S X X X X

ME4 Proporcionar gobierno de TI P S P P S S S X X X X

Elaborado por: Guillermo Pulgar

Para tener un porcentaje de los criterios de la información, se asigna un valor

para el impacto primario, de igual forma tendremos un valor para el impacto

secundario. Este porcentaje se establece en base a la propuesta metodológica

para el manejo de riesgos COSO.

Tabla 39. Cuadro de herramientas Metodología para el manejo de riesgos COSO

CALIFICACIÓN IMPACTO PROMEDIO

15% 50% BAJO 32%

51% 75% MEDIO 63%

76% 95% ALTO 86%

Elaborado por: Guillermo Pulgar

3.4. Resultados

81

Modelos de Madurez de los Procesos

A continuación, se muestra una ficha por cada uno de los objetivos haciendo un

análisis de los modelos de madurez de COBIT, para determinar el nivel mínimo

que no cumple la Institución que a su vez califica el nivel en dicho objetivo.

Tabla 40. Plan Estratégico

DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: Definir el Plan Estratégico de Tecnologías de la Información

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

No existe conocimiento por parte de los

funcionarios de que al existir la

planeación estratégica de TI esta es

requerida para dar soporte a las metas

de la institución.

GRADO DE MADUREZ

El proceso de definir el plan estratégico de TI está

en el nivel de madurez 1

OBJETIVOS NO CUMPLIDOS

No existe un plan estratégico de TI y

estrategias de recursos de la Institución.

No se elaboran planes a largo plazo de TI,

haciendo solo actualizaciones, debido a los

avances tecnológicos.

1

La planeación estratégica es discutida

en las reuniones con las autoridades

Elaborado por: Guillermo Pulgar

NO CUMPLE:

2. Las decisiones estratégicas se toman los proyectos en forma individual, sin

estar de acuerdo con una estrategia global de la institución 3. La planeación estratégica de TI sigue un enfoque estructurado, el cual se

documenta y se da a conocer a todo el equipo. Las estrategias del

departamento todos los departamentos influyen cada vez más la adquisición

de nuevos productos y tecnologías

4. Existen procesos bien definidos para determinar el uso de recursos internos

y externos requeridos en el desarrollo y las operaciones de los sistemas

5. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera

constante para reflejar los cambios en los avances tecnológicos.

RECOMENDACIONES

Para el proceso PO1 de COBIT se establece los siguientes objetivos de control:

Elaborar Planes a largo plazo de TI

82

Tomar decisiones estratégicas

Definir los recursos internos y externos necesarios

Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo

Valorar el desempeño actual, es decir realizar una evaluación de los

planes existentes, así como de los de los sistemas de información y su

impacto de los objetivos de la Unidad de Informática.

En el largo Plazo:

Crear planes tácticos de TI, que resulten del plan estratégico de TI, estos

planes deben ser bien detallados para poder realizar la definición de

planes proyectados.

Tabla 41. Definición de Arquitectura de la Información

DOMINIO: PLANIFICAR Y ORGANIZAR

PO2: Definir la Arquitectura de la Información

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Conocen la experiencia y las

responsabilidades necesarias para

desarrollar esta arquitectura no existen

en la organización

GRADO DE MADUREZ

El proceso de definir la arquitectura de la

Información está en el nivel de madurez 1

OBJETIVOS NO CUMPLIDOS

No se resolvieron las necesidades futuras

realizando el proceso de arquitectura de

información

Aprovechar las habilidades personales para la

construcción de la arquitectura de la

información.

1

Las Autoridades están conscientes de

la necesidad de una arquitectura de

información. El desarrollo de algunos

componentes de una arquitectura de

información ocurre de manera ad hoc.

Elaborado por: Guillermo Pulgar

NO CUMPLE

83

2. Las personas obtienen sus habilidades al construir la arquitectura de

información por medio de experiencia práctica y la aplicación repetida de

técnicas 3. Existe una función de administración de datos definida formalmente, que

establece estándares para toda la organización, y empieza a reportar sobre

la aplicación y uso de la arquitectura de la información.

4. El proceso de definición de la arquitectura de la información es proactivo y

se enfoca resolver necesidades futuras de la institución.

5. El personal de TI cuenta con la experiencia y las habilidades necesarias para

desarrollar y dar mantenimiento a una arquitectura de información robusta y

sensible que refleje todos los requerimientos de la institución

RECOMENDACIONES

Para el proceso PO2 de COBIT se establece los siguientes objetivos de control:

Desarrollar y mantener la arquitectura de la información

Tener en claro la definición del proceso de la arquitectura de la

información

Ser partícipe de la construcción de la arquitectura de la información para

incrementar sus habilidades

Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo

Establecer y mantener un modelo de arquitectura de la información para

facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de

decisiones, este modelo será útil para la creación, uso y compartición

óptimas de la información vital.

En el largo Plazo:

Definir e implementar procedimientos para brindar integridad y

consistencia de todos los datos que se encuentran almacenado en

formato electrónico, como base de datos, almacenamiento de datos y

archivos.

84

Tabla 42. Dirección Tecnológica

DOMINIO: PLANIFICAR Y ORGANIZAR

PO3: Determinar la Dirección Tecnológica

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Hay desconocimiento sobre la

importancia de la planeación de la

infraestructura tecnológica para la

entidad.

GRADO DE MADUREZ

El proceso de determinar la dirección tecnológica

está en el nivel de madurez 1

OBJETIVOS NO CUMPLIDOS

Desarrollar las habilidades para la

elaboración del plan de la infraestructura

tecnológica.

Realizar un plan de infraestructura tecnológica.

1

La autoridad reconoce la necesidad de

planear la infraestructura tecnológica.

El desarrollo de componentes

tecnológicos y la implantación de

tecnologías emergentes son ad hoc y

aisladas.

Elaborado por: Guillermo Pulgar

NO CUMPLE

2. La evaluación de los cambios tecnológicos se delega a personas que siguen

procesos intuitivos, aunque similares.

3. Existe un plan de infraestructura tecnológica definido, documentado y bien

difundido, aunque se aplica de forma inconsistente 4. El área de informática cuenta con la experiencia y las habilidades necesarias

para desarrollar un plan de infraestructura tecnológica

5. La dirección del plan de infraestructura tecnológica está impulsada por los

estándares y avances internacionales, en lugar de estar orientada por los

proveedores de tecnología

RECOMENDACIONES

Para el proceso PO3 de COBIT se establece los siguientes objetivos de control:

Elaborar un plan de infraestructura tecnológica.

Impulsar la orientación de la infraestructura tecnológica hacia los

proveedores

No delegar los cambios tecnológicos a personas que no tienen la debida

experiencia

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

85

En el Corto Plazo

Planear la dirección tecnológica, es decir analizar las tecnologías

existentes y emergentes, para tomar en cuenta cual dirección tecnológica

es apropiada para lograr cumplir las estrategias de TI.

En el largo Plazo:

Realizar un proceso de monitoreo de tecnologías, si es posible establecer

un foro tecnológico, para de esta forma brindar directrices tecnológicas.

Tabla 43. Definición de Procesos

DOMINIO: PLANIFICAR Y ORGANIZAR

PO4: Definir los Procesos, la Organización y las Relaciones de TI

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

La organización de TI no está

establecida de forma efectiva para

enfocarse en el logro de los objetivos

de la institución

GRADO DE MADUREZ

El proceso de definir los procesos, la

Organización y las Relaciones de TI, está en el

nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS

Formular las relaciones con terceros para la

TI.

No satisfacer los requerimientos del

negocio.

1

La función de TI se considera como

una función de soporte, sin una

perspectiva organizacional general

2

Existe la necesidad de contar con una

institución organizada, pero las

decisiones todavía dependen del

conocimiento y habilidades de

individuos clave.

Elaborado por: Guillermo Pulgar

NO CUMPLE

3. Se formulan las relaciones con terceros, incluyendo los comités de dirección,

auditoría interna y administración de proveedores

4. La organización de TI responde de forma pro activa al cambio e incluye todos

los roles necesarios para satisfacer los requerimientos de la institución.

5. La estructura institucional de TI es flexible y adaptable

86

RECOMENDACIONES

Para el proceso PO4 de COBIT se establece los siguientes objetivos de control:

Ser flexible y adaptable a la estructura organizacional de TI

Responder de forma pro activa a los requerimientos de la institución

Formular relaciones con terceros como auditoria interna

Para pasara al nivel de madurez 3 se debe adoptar las siguientes

estrategias:

En el Corto Plazo

Realizar una evaluación permanente de personal, para así asegurar que

el personal involucrado en las TI sea el pertinente para la función

asignada.

En el largo Plazo:

Implantar métodos de supervisión dentro de las funciones de TI para

asegurar que los roles y responsabilidades se ejerzan correctamente

Tabla 44. Administración de la Inversión

DOMINIO: PLANIFICAR Y ORGANIZAR

PO5: Administrar la inversión de TI

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

No existe conciencia de la importancia

de la selección y presupuesto de las

inversiones en TI. No existe

seguimiento o monitoreo de las

inversiones y gastos de TI.

GRADO DE MADUREZ

El proceso de administrar la Inversión de TI,

está en el nivel de madurez 4.

OBJETIVOS NO CUMPLIDOS

• Formular las relaciones con terceros para la

TI. 1

La institución reconoce la necesidad de

administrar la inversión en TI, aunque

esta necesidad se comunica de

manera inconsistente

2

Existe un entendimiento implícito de la

necesidad de seleccionar y

presupuestar las inversiones en TI.

3 El presupuesto de TI está alineado con

los planes estratégicos de TI. Los

87

procesos de selección de inversiones

en TI y de presupuestos están

formalizados documentados y

comunicados.

4

La responsabilidad y la rendición de

cuentas por la selección y

presupuestos de inversiones se

asignan a un individuo específico. Las

diferencias en el presupuesto se

identifican y se resuelven.

Elaborado por: Guillermo Pulgar

NO CUMPLE

5. Se utilizan las mejores prácticas de la industria para evaluar los costos por

comparación e identificar la efectividad de las inversiones. Se utiliza el

análisis de los avances tecnológicos en el proceso de selección y

presupuesto de inversiones.

RECOMENDACIONES

Para el proceso PO5 de COBIT se establece los siguientes objetivos de control:

Reconocer la necesidad de administrar la inversión en TI.

Utilizar las mejores prácticas para la evaluación de costos de inversión

Documentar y formalizar el presupuesto en TI.

Para pasara al nivel de madurez 5 se debe adoptar las siguientes estrategias:

En el Corto Plazo

Incluir un análisis de costos y beneficios a largo plazo del ciclo total de

vida en la toma de decisiones de inversiones.

En el largo Plazo:

Mejorar de forma continua la administración de inversiones en base a las

lecciones aprendidas del análisis del desempeño real de las inversiones.

88

Tabla 45. Identificación de Soluciones Automatizadas

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1: Identificar Soluciones Automatizadas

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

La organización no requiere de la

identificación de los requerimientos

funcionales y operativos para el

desarrollo, implantación o modificación

de soluciones, tales como sistemas,

servicios, infraestructura y datos

GRADO DE MADUREZ

El proceso de identificar Soluciones

Automatizadas está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS

Determinar el proceso para la solución de

TI, según el requerimiento de la

organización

Documentación de los proyectos realizados

1

Existe una investigación o análisis

estructurado mínimo de la tecnología

disponible

Elaborado por: Guillermo Pulgar

NO CUMPLE

2. El éxito de cada proyecto depende de la experiencia de unas cuantas

personas clave. La calidad de la documentación y de la toma de decisiones

varía de forma considerable

3. El proceso para determinar las soluciones de TI se aplica para algunos

proyectos con base en factores tales como las decisiones tomadas por el

personal involucrado, la cantidad de tiempo administrativo dedicado, y el

tamaño y prioridad del requerimiento de negocio original.

4. La documentación de los proyectos es de buena calidad y cada etapa se

aprueba adecuadamente.

5. La metodología está soportada en bases de datos de conocimiento internas

y externas que contienen material de referencia sobre soluciones

tecnológicas.

RECOMENDACIONES

Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Soportar la metodología de TI en base de datos.

Determinar los procesos para las soluciones de TI.

89

Explotar la experiencia de los trabajadores para la buena toma de

decisiones.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Resaltar, priorizar, especificar los requerimientos funcionales y técnicos,

priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la

auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía,

funcionalidad y la legislación.

En el Largo Plazo:

Que exista el alineamiento con las estrategias de la Organización y de TI.

Tabla 46. Adquirir y mantener el Software aplicativo

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI2: Adquirir y mantener el Software Aplicativo

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Normalmente, las aplicaciones se

obtienen con base en ofertas de

proveedores, en el reconocimiento de

la marca o en la familiaridad del

personal de TI con productos

específicos, considerando poco o nada

los requerimientos actuales.

GRADO DE MADUREZ

El proceso de Adquirir y Mantener Software

Aplicativo está en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS

Dar a conocer el proceso de adquisición y

mantenimiento del Sistema de Información

(software) y aplicaciones.

Determinar la metodología formal para la

documentación del software en uso. 1

Es probable que se hayan adquirido en

forma independiente una variedad de

soluciones individuales para

requerimientos particulares del

negocio, teniendo como resultado

ineficiencias en el mantenimiento y

soporte

2

Existen procesos de adquisición y

mantenimiento de aplicaciones, con

diferencias pero similares, en base a la

experiencia dentro de la operación de

TI.

Elaborado por: Guillermo Pulgar

90

NO CUMPLE

3. Existe un proceso claro, definido y de comprensión general para la

adquisición y mantenimiento de software aplicativo. Este proceso va de

acuerdo con la estrategia de TI y de la institución.

4. Existe una metodología formal y bien comprendida que incluye un proceso

de diseño y especificación, un criterio de adquisición, un proceso de prueba

y requerimientos para la documentación.

5. El enfoque se extiende para toda la empresa. La metodología de adquisición

y mantenimiento presenta un buen avance y permite un posicionamiento

estratégico rápido, que permite un alto grado de reacción y flexibilidad para

responder a requerimientos cambiantes de la institución

RECOMENDACIONES

Para el proceso AI2 de COBIT estable los siguientes objetivos de control:

Asegurar que el software diseñado sea de calidad.

Realizar un diseño detallado, y los requerimientos técnicos del software.

Identificar los requerimientos del negocio para el desarrollo del software.

Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Desarrollar estrategia y planes de mantenimiento del software aplicativo.

En el Largo Plazo:

Garantizar integridad de la información, control de acceso, respaldo y

pistas de auditoría.

91

Tabla 47. Mantener la Infraestructura

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI3: Adquirir y mantener la Infraestructura Tecnológica

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

No se reconoce la administración de la

infraestructura de tecnología como un

asunto importante al cual deba ser

resuelto.

GRADO DE MADUREZ

El proceso de Adquirir y Mantener Infraestructura

Tecnológica está en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS

Definir una estrategia para la adquisición y

mantenimiento de la infraestructura.

Organizar y prevenir el proceso de adquisición

y mantenimiento de la infraestructura.

1

Se realizan cambios a la infraestructura

para cada nueva aplicación, sin ningún

plan en conjunto. La actividad de

mantenimiento reacciona a

necesidades de corto plazo.

Elaborado por: Guillermo Pulgar

NO CUMPLE

2. La adquisición y mantenimiento de la infraestructura de TI no se basa en una

estrategia definida y no considera las necesidades de las aplicaciones de la

institución que se deben respaldar.

3. El proceso respalda las necesidades de las aplicaciones críticas de la

institución y concuerda con la estrategia de negocio de TI, pero no se aplica

en forma consistente.

4. La infraestructura de TI soporta adecuadamente las aplicaciones del

negocio. El proceso está bien organizado y es preventivo.

5. El proceso de adquisición y mantenimiento de la infraestructura de

tecnología es preventivo y está estrechamente en línea con las aplicaciones

críticas de la institución y con la arquitectura de la tecnología.

RECOMENDACIONES

Para el proceso AI3 de COBIT estable los siguientes objetivos de control:

Crear un plan de adquisición de infraestructura tecnológica.

Garantizar la disponibilidad de la infraestructura tecnológica.

92

Identificar que necesidades se tiene para adquisición de infraestructura

tecnológica.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Crear un plan de adquisición de infraestructura tecnológica.

En el Largo Plazo:

Proteger la infraestructura tecnológica mediante medidas de control

interno, seguridad y auditabilidad durante la configuración, integración y

mantenimiento de hardware y software de la infraestructura tecnológica.

Tabla 48. Facilitar operación y uso

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI4: Facilitar la Operación y el uso

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

No existe el proceso con respecto a la

elaboración de documentación de

usuario, manuales de operación y

material de entrenamiento.

GRADO DE MADUREZ

El proceso de Facilitar la Operación y el Uso está

en el nivel de madurez 1.

OBJETIVOS NO CUMPLIDOS

Falta generar los materiales de

entretenimiento buscando su calidad.

Garantizar la compañía de estándares para el

desarrollo del proceso.

1

Mucha de la documentación y muchos

de los procedimientos ya caducaron.

Los materiales de entrenamiento

tienden a ser esquemas únicos con

calidad variable.

Elaborado por: Guillermo Pulgar

NO CUMPLE

2. Personas o equipos de proyecto generan los materiales de entrenamiento, y

la calidad depende de los individuos que se involucran.

3. Se guardan y se mantienen los procedimientos en una biblioteca formal y

cualquiera que necesite saber tiene acceso a ella.

4. Existen controles para garantizar que se adhieren los estándares y que se

desarrollan y mantienen procedimientos para todos los procesos.

93

5. Los materiales de procedimiento y de entrenamiento se tratan como una

base de conocimiento en evolución constante que se mantiene en forma

electrónica, con el uso de administración de conocimiento actualizada,

workflow y tecnologías de distribución, que los hacen accesibles y fáciles de

mantener.

RECOMENDACIONES

Para el proceso AI4 de COBIT estable los siguientes objetivos de control:

Control para garantizar adherir los estándares para el mantenimiento de

los procesos.

Desarrollar un plan para realizar soluciones de operación el cual sirva para

identificar y documentar todos los aspectos técnicos, la capacidad de

operación y los niveles de servicio requeridos.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar una transferencia de conocimiento a la parte gerencial lo cual

permitirá que estos tomen posesión del sistema y los datos.

En el Largo Plazo:

Mediante la transferencia de conocimientos a los usuarios finales se

logrará que estos usen los sistemas con efectividad y eficiencia para el

apoyo a los procesos de la Organización.

94

Tabla 49. Adquirir Recursos de TI

DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0 No existe un proceso definido de

adquisición de recursos de TI.

GRADO DE MADUREZ El proceso de Adquirir Recursos de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Falta de buenas relaciones con algunos proveedores de forma estratégica.

1

Los contratos para la adquisición de

recursos de TI son elaborados y

administrados por personas que

ejercen su juicio profesional más que

seguir resultados de procedimientos y

políticas formales

2 Se determinan responsabilidades y

rendición de cuentas para la

3

La adquisición de TI se integra en

gran parte con los sistemas generales

de adquisición de la institución.

4

La adquisición de TI se integra en

gran parte con los sistemas generales

de adquisición del negocio. Existen

estándares de TI para la adquisición

de recursos de TI.

Elaborado por: Guillermo Pulgar

NO CUMPLE

5. Se establecen buenas relaciones con el tiempo con la mayoría de los

proveedores, y se mide y vigila la calidad de estas relaciones. Se manejan

las relaciones en forma estratégica.

RECOMENDACIONES

Para el proceso AI5 de COBIT estable los siguientes objetivos de control:

Tomar medidas en la administración de contratos y adquisiciones.

Establecer buenas relaciones con la mayoría de proveedores.

Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Manejar estratégicamente los estándares, políticas y procedimientos de

TI para adquirir los recursos de TI.

95

En el Largo Plazo:

Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en

los términos contractuales.

Tabla 50. Administrar niveles de servicios

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0 Las autoridades no reconocen la necesidad de un proceso para definir

los niveles de servicio.

GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

No ordenar los procesos de desarrollo por niveles de servicio.

Realizar reportes de servicio de forma completa y relevante

1

La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.

Elaborado por: Guillermo Pulgar

NO CUMPLE

2. Los reportes de los niveles de servicio están incompletos y pueden ser

irrelevantes o engañosos para los clientes. Los reportes de los niveles de

servicio dependen, en forma individual, de las habilidades y la iniciativa de

los administradores.

3. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y

cuenta con puntos de control para revalorar los niveles de servicio y la

satisfacción de cliente.

4. La satisfacción del cliente es medida y valorada de forma rutinaria. Las

medidas de desempeño reflejan las necesidades del cliente, en lugar de las

metas de TI.

5. Todos los procesos de administración de niveles de servicio están sujetos a

mejora continua. Los niveles de satisfacción del cliente son administrados y

monitoreados de manera continua.

RECOMENDACIONES

Para el proceso DS1 de COBIT estable los siguientes objetivos de control:

Realizar un portafolio de servicios.

96

Realizar acuerdos de niveles de servicio.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar a menudo una revisión con los proveedores internos y externos

los acuerdos de niveles de servicio.

En el Largo Plazo:

Realizar un monitoreo y reporte del cumplimiento de los niveles de

servicio, estos reportes deben mantener un formato entendible por parte

de los interesados

Tabla 51. Administrar los servicios de Terceros

DOMINIO: ENTREGAR Y DAR SOPORTE

DS2: Administrar los Servicios de Terceros

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0 Los servicios de terceros no son ni aprobados ni revisados por las autoridades. No hay actividades de medición y los terceros no reportan.

GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS

Verificar de forma continua las capacidades del proveedor.

Monitorear e implementar acciones correctivas.

1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios.

2 Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).

3

Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.

Elaborado por: Guillermo Pulgar

NO CUMPLE

4. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma

continua

5. Se monitorea el cumplimiento de las condiciones operacionales, legales y de

control y se implantan acciones correctivas.

97

RECOMENDACIONES

Para el proceso DS2 de COBIT estable los siguientes objetivos de control:

Monitorear e implementar acciones correctivas.

Verificar de forma continua las capacidades del proveedor.

Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Establecer criterios formales y estandarizados para realizar la definición

de los términos del acuerdo.

En el Largo Plazo:

Mantener acuerdos de confidencialidad con los proveedores

Tabla 52. Desempeño y Calidad

DOMINIO: ENTREGAR Y DAR SOPORTE

DS3: Administrar el Desempeño y la Capacidad

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

La autoridad no reconoce que los procesos clave de la institución pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI de la institución pueden exceder la capacidad.

GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima.

Establecer métodos de desempeño y evaluación.

1

Los responsables de los procesos de la organización valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.

Elaborado por: Guillermo Pulgar NO CUMPLE

2. Las necesidades de desempeño se logran por lo general con base en

evaluaciones de sistemas individuales y el conocimiento y soporte de

equipos de proyecto.

3. Los pronósticos de la capacidad y el desempeño se modelan por medio de

un proceso definido. Los reportes se generan con estadísticas de

desempeño.

98

4. Hay información actualizada disponible, brindando estadísticas de

desempeño estandarizadas y alertando sobre incidentes causados por falta

de desempeño o de capacidad.

5. La infraestructura de TI y la demanda del negocio están sujetas a revisiones

regulares para asegurar que se logre una capacidad óptima con el menor

costo posible.

RECOMENDACIONES

Para el proceso DS3 de COBIT estable los siguientes objetivos de control:

Establecer métricas de desempeño y evaluación de la capacidad

Realizar revisiones de forma periódica.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar pronósticos de la capacidad y el desempeño futuros de los

recursos de TI en intervalos regulares.

En el Largo Plazo:

Realizar un monitoreo continuo del desempeño y la capacidad de los

recursos de TI.

Tabla 53. Continuidad de servicios

DOMINIO: ENTREGAR Y DAR SOPORTE

DS4: Garantizar la continuidad del servicio

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0 No hay comprensión de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.

GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Mantener un plan de servicios.

Integrar los procesos de servicios para mejores prácticas externas

1 Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.

Elaborado por: Guillermo Pulgar

99

NO CUMPLE

2. Los reportes sobre la disponibilidad son esporádicos, pueden estar

incompletos y no toman en cuenta el impacto en el negocio.

3. Las responsabilidades de la planeación y de las pruebas de la continuidad

de los servicios están claramente asignadas y definidas

4. Se asigna la responsabilidad de mantener un plan de continuidad de

servicios.

5. Los procesos integrados de servicio continuo toman en cuenta referencias

de la industria y las mejores prácticas externas.

RECOMENDACIONES

Para el proceso DS4 de COBIT estable los siguientes objetivos de control:

Desarrollar y tomar muy en cuenta planes de continuidad.

Realizar un marco de trabajo de continuidad.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar pruebas regulares del plan de continuidad, de esta forma se

asegura que los sistemas de TI sean recuperados de forma efectiva

Tabla 54. Garantizar la Seguridad de los Sistemas

DOMINIO: ENTREGAR Y DAR SOPORTE

DS5: Garantizar la Seguridad de los Sistemas

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Las medidas adoptadas para la administración de la seguridad de TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI.

GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Concientizar el valor de la seguridad de la información.

Elaborar un plan de seguridad de TI. 1

La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.

Elaborado por: Guillermo Pulgar

100

NO CUMPLE

2. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.

Aunque los sistemas producen información relevante respecto a la

seguridad, ésta no se analiza.

3. Las responsabilidades de la seguridad de TI están asignadas y entendidas,

pero no continuamente implementadas. Existe un plan de seguridad de TI y

existen soluciones de seguridad motivadas por un análisis de riesgo.

4. El contacto con métodos para promover la conciencia de la seguridad es

obligatorio. La identificación, autenticación y autorización de los usuarios

está estandarizada.

5. Los usuarios y los clientes se responsabilizan cada vez más de

6. definir requerimientos de seguridad, y las funciones de seguridad están

integradas con las aplicaciones en la fase de diseño.

RECOMENDACIONES

Para el proceso DS5 de COBIT estable los siguientes objetivos de control:

Se debe administrar la seguridad TI.

Realizar un plan de seguridad de TI.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Implementar seguridad en la red como por ejemplo firewalls, dispositivos

de seguridad, detección de intrusos, etc.)

En el Largo Plazo:

Realizar pruebas a la implementación de la seguridad, de igual forma

monitorear esta.

101

Tabla 55. Monitorear y Evaluar el Desempeño de TI

DOMINIO: ENTREGAR Y DAR SOPORTE

ME1: Monitorear y Evaluar el Desempeño de TI

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

La TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Poder identificar los procesos estándares de evaluación.

Integrar todos los procesos y proyectos de TI.

Elaborado por: Guillermo Pulgar

NO CUMPLE

1. La interpretación de los resultados del monitoreo se basa en la experiencia

de individuos clave

2. Las mediciones de la contribución de la función de servicios de información

al desempeño de la organización se han definido, usando criterios

financieros y operativos tradicionales.

3. Hay una integración de métricas a lo largo de todos los proyectos y procesos

de TI. Los sistemas de reporte de la administración de TI están formalizados.

4. Las métricas impulsadas por el negocio se usan de forma rutinaria para

medir el desempeño, y están integradas en los marcos de trabajo

estratégicos, tales como el Balanced Scorecard.

RECOMENDACIONES

Para el proceso ME1 de COBIT estable los siguientes objetivos de control:

Definir un método de monitoreo como Balance Scorecard.

Evaluar el desempeño comparándolo periódicamente con las metas.

Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar un marco de trabajo de monitoreo general garantizado por la

gerencia.

102

En el Largo Plazo:

Identificar e iniciar medidas correctivas sobre el desempeño de TI.

Tabla 56. Monitorear y Evaluar el Control Interno

DOMINIO: ENTREGAR Y DAR SOPORTE

ME2: Monitorear y Evaluar el Control Interno

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Los métodos de reporte de control interno no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI.

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Establecer los procesos para la evaluación y aseguramiento del control interno.

Utilizar herramientas integradas para la detección del control interno de TI.

Elaborado por: Guillermo Pulgar

NO CUMPLE

1. La gerencia de TI no ha asignado de manera formal las responsabilidades

para monitorear la efectividad de los controles internos.

2. La oficina de servicios de información realiza monitoreo periódico sobre la

efectividad de lo que considera controles internos críticos. Se están

empezando a usar metodologías y herramientas para monitorear los

controles internos, aunque no se basan en un plan.

3. Se ha definido un programa de educación y entrenamiento para el monitoreo

del control interno. Se ha definido también un proceso para auto

evaluaciones y revisiones de aseguramiento del control interno, con roles

definidos para los responsables de la administración y de TI

4. Se han implantado herramientas para estandarizar evaluaciones y para

detectar de forma automática las excepciones de control. Se ha establecido

una función formal para el control interno de TI, con profesionales

especializados y certificados que utilizan un marco de trabajo de control

formal avalado por la alta dirección.

103

5. La organización utiliza herramientas integradas y actualizadas, donde es

apropiado, que permiten una evaluación efectiva de los controles críticos de

TI y una detección rápida de incidentes de control de TI.

RECOMENDACIONES

Para el proceso ME2 de COBIT estable los siguientes objetivos de control:

Monitorear el marco de trabajo de control interno de forma continua.

Mediante las revisiones de auditoría reportar la efectividad de los

controles internos sobre las TI.

Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Realizar una auto-evaluación del control interno de la administración de

procesos, políticas y contratos de TI.

En el Largo Plazo:

Identificar e iniciar medidas correctivas sobre el desempeño de TI.

Tabla 57. Cumplimiento regulatorio

DOMINIO: ENTREGAR Y DAR SOPORTE

ME3: Garantizar el Cumplimiento Regulatorio

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.

GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Brindar capacitación sobre requisitos legales y regulatorios externos.

Conocer los requerimientos aplicables, como la solución de nuevas necesidades.

1

Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones

Elaborado por: Guillermo Pulgar

104

NO CUMPLE

2. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el

conocimiento y responsabilidad de los individuos, y los errores son posibles.

3. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que

afectan a la institución y se instruye respecto a los procesos de cumplimiento

definidos.

4. Las responsabilidades son claras y el empoderamiento de los procesos es

entendido. El proceso incluye una revisión del entorno para identificar

requerimientos externos y cambios recurrentes.

5. Hay un amplio conocimiento de los requerimientos externos aplicables,

incluyendo sus tendencias futuras y cambios anticipados, así como la

necesidad de nuevas soluciones.

RECOMENDACIONES

Para el proceso ME3 de COBIT estable los siguientes objetivos de control:

Integrar los reportes de TI sobre el cumplimiento regulatorio.

Garantizar la identificación de requerimientos locales e internacionales

legales, contractuales de políticas, y regulatorios.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Tener muy en cuenta las leyes y reglamentos de privacidad, flujo de datos,

reportes financieros, propiedad intelectual, etc.

En el Largo Plazo:

Evaluar el cumplimiento de las políticas, estándares y procedimientos de

TI.

105

Tabla 58. Proporcionar Gobierno de TI

DOMINIO: ENTREGAR Y DAR SOPORTE

ME4: Proporcionar Gobierno de TI

NIVEL DE

MADUREZ CUMPLE OBSERVACIÓN

0

Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicación respecto al tema.

GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Comunicar por parte de la Gerencia los procedimientos estandarizados.

Elaborado por: Guillermo Pulgar

NO CUMPLE

1. El enfoque de la gerencia es reactivo y solamente existe una comunicación

esporádica e inconsistente sobre los temas y los enfoques para resolverlos.

2. La gerencia ha identificado mediciones básicas para el gobierno de TI, así

como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido

adoptado a lo largo de la institución.

3. Las autoridades han comunicado los procedimientos estandarizados y el

entrenamiento está establecido. Se han identificado herramientas para

apoyar a la supervisión del gobierno de TI.

4. Los procesos de TI y el gobierno de TI están alineados e integrados con la

estrategia corporativa de TI. La mejora de los procesos de TI se basa

principalmente en un entendimiento cuantitativo y es posible monitorear y

medir el cumplimiento con procedimientos y métricas de procesos.

5. La implantación de las políticas de TI ha resultado en una organización,

personas y procesos que se adaptan rápidamente, y que dan soporte

completo a los requisitos de gobierno de TI. Todos los problemas y

desviaciones se analizan por medio de la técnica de causa raíz y se

identifican e implementan medidas eficientes de forma rápida.

106

RECOMENDACIONES

Para el proceso ME4 de COBIT estable los siguientes objetivos de control:

Administrar los riesgos de forma eficiente.

Garantizar la optimización de la inversión, uso y asignación de los activos

de TI mediante evaluaciones periódicas.

Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:

En el Corto Plazo:

Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,

procesos, roles y responsabilidades.

En el Largo Plazo:

Conformar un comité de auditoría para asegurar el cumplimiento de TI.

RESUMEN DEL GRADO DE MADUREZ

Tabla 59. Grado de madurez

DOMINIO PROCESO

NIV

EL

DE

MA

DU

RE

Z

PLANIFICAR Y

ORGANIZAR

PO1

PO2

PO3

PO4

PO5

Definir el Plan Estratégico de la Información

Definir la Arquitectura de la Información

Determinar la Dirección Tecnológica

Definir los Procesos, la Organización y las Relaciones de TI

Administrar la inversión de TI.

1

1

1

2

4

ADQUIRIR E

IMPLEMENTAR

AI1

AI2

AI3

AI4

AI5

Identificar Soluciones Automatizadas

Adquirir y Mantener Software Aplicativo

Adquirir y Mantener Infraestructura Tecnológica

Facilitar la Operación y el uso

Adquirir Recursos de TI

1

2

1

1

4

ENTREGAR Y

DAR SOPORTE

DS1

DS2

DS3

DS4

DS5

Definir y Administrar los Niveles de Servicio

Administrar los Servicios de Tercero

Administrar el Desempeño y la Capacidad

Garantizar la Continuidad del Servicio

Garantizar la Seguridad de los Sistemas

1

3

1

1

1

MONITOREAR Y

EVALUAR

ME1

ME2

ME3

ME4

Monitorear y Evaluar el Desempeño y la Capacidad

Monitorear y Evaluar el Control Interno

Garantizar el Cumplimiento Regulatorio

Proporcionar Gobierno de TI

0

0

1

0

Elaborado por: Guillermo Pulgar

107

El análisis de cada uno de los dominios es el siguiente:

DOMINIO: PLANEAR Y ORGANIZAR (PO)

Las estrategias de TI no se encuentran a la par con las de la Institución, esto

significa que no ha alcanzado el uso óptimo de los recursos ya no han sido

aprovechados al máximo o a lo mejor no se cuenta con los recursos necesarios

para la realización de ciertas tareas, no todo el personal entiende los objetivos

de TI, son pocos los usuarios que comprenden la importancia de estos, para el

cumplimiento de la institución.

DOMINIO: ADQUIRIR E IMPLEMENTAR (AI)

Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir

las soluciones de TI, así como la implementación e integración en los procesos

de la Institución.

DOMINIO: ENTREGA Y DAR SOPORTE (DS)

Los servicios de TI son medianamente entregados de acuerdo a las prioridades

de la institución, Los costos de TI no se encuentran totalmente optimizados,

puesto que no existe un plan de continuidad no es implementada la disponibilidad

de forma completa de los sistemas de TI, de igual forma la integridad y la

confidencialidad no se encuentran implementadas de forma óptima.

DOMINIO: MONITOREAR Y EVALUAR (ME)

La autoridad no monitorea ni evalúa el control interno, existe una poca

vinculación en el desempeño de TI con las metas de la Institución, no existe una

medición óptima de riesgos y el reporte de estos, así como el cumplimiento,

desempeño y control.

108

RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO

Tabla 60. Grado de Madurez, Resumen de procesos y criterio de Impacto PROCESOS

CRITERIOS DE INFORMACIÓN

RECURSOS TI

Niv

el d

e M

ad

ure

z

Efe

cti

vid

ad

Efi

cie

ncia

Co

nfi

den

cia

lid

ad

Inte

gri

dad

Dis

po

nib

ilid

ad

Cu

mp

lim

ien

to

Co

nfi

ab

ilid

ad

Recu

rso

s

Hu

man

os

Sis

tem

as d

e

Ap

licació

n

Tecn

olo

gía

Insta

lacio

nes

Dato

s

PL

AN

IFIC

AR

Y O

RG

AN

IZA

R

PO1 Definir el Plan Estratégico de Tecnologías de la Información 0,86 0,63

x x x

Total real (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,00 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 0,00 0,00 0,00 5

PO2 Definir la arquitectura de la Información 0,63 0,86 0,63 x x x

Total real (impacto*Nivel real) 0,63 0,86 0,63 0,00 0,00 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 3,15 4,30 3,15 0,00 0,00 0,00 0,00 5

PO3 Determinar la Dirección Tecnológica 0,86 0,86 x x x x

Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 0,00 0,00 5

PO4 Definir los Procesos, la Organización y las Relaciones de TI 1,72 1,72 x x

Total real (impacto*Nivel real) 3,44 3,44 0,00 0,00 0,00 0,00 0,00 2

Total ideal (impacto*Nivel ideal) 8,60 8,60 0,00 0,00 0,00 0,00 0,00 5

PO5 Administrar la inversión de TI 3,44 3,44 2,52 x x x

109

Total real (impacto*Nivel real) 13,76 13,76 0,00 0,00 0,00 0,00 10,08 4

Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 0,00 0,00 0,00 12,60

5 A

DQ

UIR

IR E

IM

PL

EM

EN

TA

R

AI1 Identificar Soluciones Automatizadas 0,86 0,63 0,63 x x x x

Total real (impacto*Nivel real) 0,86 0,63 0,00 0,63 0,00 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 3,15 0,00 0,00 0,00 5

AI2 Adquirir y Mantener Software Aplicativo 1,72 1,72 1,26 1,26 x x x

Total real (impacto*Nivel real) 3,44 3,44 0,00 2,52 0,00 0,00 2,52 2

Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 6,30 0,00 0,00 6,30 5

AI3 Adquirir y Mantener Infraestructura Tecnológica 0,63 0,86 0,63 0,63 x x x

Total real (impacto*Nivel real) 0,63 086 0,00 0,63 0,63 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 3,15 4,30 0,00 3,15 3,15 0,00 0,00 5

AI4 Facilitar la Operación y el Uso 0,86 0,86 0,63 0,63 0,63 x x x x

Total real (impacto*Nivel real) 0,86 0,86 0,00 0,63 0,63 0,63 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 3,15 3,15 3,15 0,00 5

AI5 Adquirir Recursos de TI 2,52 3,44 2,52 x x x x

Total real (impacto*Nivel real) 10,06 13,76 0,00 0,00 0,00 10,08 0,00 4

Total ideal (impacto*Nivel ideal) 12,60 17,20 0,00 0,00 0,00 12,60 0,00 5

EN

TR

E

GA

R Y

DA

R

SO

PO

R

TE

DS1 Definir y Administrar los Niveles de Servicio 0,86 0,86 0,63 0,63 0,63 0,63 x x x x

Total real (impacto*Nivel real) 0,86 0,86 0,63 0,00 0,63 0,63 0,63 1

110

Total ideal (impacto*Nivel ideal) 4,30 4,30 3,15 0,00 3,15 3,15 3,15 5

DS2 Administrar los Servicios de Terceros 2,58 2,58 1,89 1,89 1,89 1,89 1,89 x x x x

Total real (impacto*Nivel real) 7,74 7,74 5,67 5,67 5,67 5,67 5,67 3

Total ideal (impacto*Nivel ideal) 12,90 12,90 9,45 9,45 9,45 9,45 9,45 5

DS3 Administrar el Desempeño y la Capacidad 0,86 0,86 0,63 x x x

Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,63 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 3,15 0,00

5

DS4 Garantizar la Continuidad del Servicio 0,86 0,63 0,86 x x x

Total ideal (impacto*Nivel ideal) 0,86 0,63 0,00 0,00 0,86 0,00 0,00 1

Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 4,30 0,00 0,00 5

DS5 Garantizar la Seguridad de los Sistemas 0,86 0,86 0,63 0,63 0,63 x x x

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,86 0,86 0,63 0,63 0,63 1

Total ideal (impacto*Nivel ideal) 0,00 0,00 4,30 4,30 3,15 3,15 3,15 5

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1 Monitorear y Evaluar el Desempeño de TI x x x x

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5

ME2 Monitorear y Evaluar el Desempeño de TI x x x x

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5

ME3 Garantizar el Cumplimiento Regulatorio 0,86 0,63 x x

111

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,86 0,63 1

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 4,30 3,15 5

ME4 Proporcionar Gobierno TI x x x

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0

Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5

RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Total real (impacto * Nivel Real) 45,72 49,19 7,79 10,94 9,05 19,13 20,16

Total ideal(impacto * Nivel ideal) 97,35 98,65 20,05 29,50 26,35 38,95 37,80

Porcentaje Alcanzado 46,96 49,86 38,85 37,08 34,35 49,11 53,33 444,22

Elaborado por: Guillermo Pulgar

112

FASE 3. REVISIÓN Y ANÁLISIS

GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE

INFORMACIÓN

Ilustración 20. Impacto sobre criterios de la información Elaborado por: Guillermo Pulgar

3.5. El Informe de Auditoría

Una vez analizado los procesos, se detalla los resultados de la evaluación de

cada uno de ellos divididos en sus respectivos dominios (Planear y organizar,

adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), lo cual se

basa en los niveles de madurez los cuales van desde el grado 0 (no existente) al

grado máximo 5 (administrado).

46,96

49,86

38,85

37,08

34,35

49,11

53,33

IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

113

Tabla 61. Informe de Auditoria

DOMINIO PROCESO CONCLUSIÓN RECOMENDACIONES COBIT P

LA

NE

AR

Y O

RG

AN

IZA

R

PO1 DEFINIR UN PLAN ESTRATÉGICO

Este proceso se encuentra en el nivel de madurez 1 ya que no cuenta con un plan estratégico definido.

• Lograr alinear las TI con la institución, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias.

• Elaborar planes tácticos de TI, que se resulten del plan estratégico de TI, los cuales servirán para describir las iniciativas y los requerimientos de recursos que son requeridos por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.

PO2

DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

Este proceso se encuentra en el nivel de madurez 1, debido a que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora

• Establecer un diseño de clasificación de datos que aplique a toda la gestión tecnológica, basado en la información crítica y sensible.

• Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.

PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA

Este proceso se encuentra en el nivel de madurez 1, debido a que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.

• Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas de la institución

• Crear y mantener un plan de infraestructura tecnológica que este a la par con los planes estratégicos y tácticos de TI.

114

PO4

DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI

Este proceso se encuentra en el nivel de madurez 2 debido a que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente.

• Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI.

• Establecer un comité estratégico de TI a nivel del jefe departamental, para garantizar que el gobierno de TI se maneje de forma efectiva.

PO5 ADMINISTRAR LA INVERSIÓN DE TI

Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero.

• Optimizar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.

• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.

AD

QU

IRIR

E

IMP

LE

ME

NT

AR

AI1

IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos.

Destacar, priorizar, especificar los requerimientos funcionales y técnicos del departamento de informática, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de la Institución.

• Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos.

115

AI2

ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático.

Ejecutar un diseño detallado, y los requerimientos técnicos del software.

Avalar integridad de la información, control de acceso, respaldo y pistas de auditoría.

AI3

ADQUIRIR Y MANTENER LA INFRAESTRUCTURA TECNOLÓGICA

Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica.

Salvaguardar la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.

Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.

AI4 FACILITAR LA OPERACIÓN Y EL USO

Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados.

• Efectuar una transferencia de conocimiento a la parte de las autoridades lo cual permitirá que estos tomen posesión del sistema y los datos.

• Mediante la transferencia de conocimientos a los usuarios finales se logrará que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos del departamento de informática.

116

AI5 ADQUIRIR RECURSOS DE TI

Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI.

Establecer buenas relaciones con la mayoría de proveedores.

Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales.

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS1

DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.

Se debe definir un marco de trabajo para la administración de los niveles de servicio.

Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.

DS2

ADMINISTRAR LOS SERVICIOS DE TERCEROS

Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores.

Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.

Asignar responsables para la administración del contrato y del proveedor.

DS3

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para pacificar las limitaciones de desempeño y capacidad.

Implantar métricas de desempeño y evaluación de la capacidad.

Efectuar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.

117

DS4

GARANTIZAR LA CONTINUIDAD DEL SERVICIO

Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios.

Efectuar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.

Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.

DS5

GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras.

• Efectuar pruebas a la implementación de la seguridad, de igual forma monitorearla.

• Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna.

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1

MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI

Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño.

• Definir y recoger los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño.

• Valorar el desempeño comparándolo periódicamente con las metas.

ME2

MONITOREAR Y EVALUAR CONTROL INTERNO

Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos.

• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.

• Si es necesario, mediante revisiones de terceros asegurar la que se cumplan y efectivicen los controles internos.

• Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales.

118

ME3

GARANTIZAR EL CUMPLIMIENTO REGULATORIO

Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.

• Tener muy en cuenta las leyes y reglamentos de la privacidad de la información, flujo de datos, reporte financieros, propiedad intelectual, etc.

• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

ME4

PROPORCIONAR GOBIERNO DE TI

Este proceso se encuentra en el nivel de madurez 0 por cuanto no existen procesos de gobierno de TI.

• Asistir al entendimiento de las autoridades sobre temas estratégicos de TI tales como el rol de TI.

• Certificar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.

Elaborado por: Guillermo Pulgar

102

Informe Ejecutivo

En el Informe Ejecutivo se detalla los resultados de la evaluación a cada uno de

los procesos que recomienda COBIT siendo evaluado en la Gestión Tecnológica

de la entidad estatal

Dichos criterios de información se encuentran expresados en los siguientes gráficos.

Ilustración 21. Criterio efectividad Elaborado por: Guillermo Pulgar

La efectividad consiste en que la información relevante sea entregada de forma

oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del

46,96%.

Ilustración 22. Criterio eficiencia Elaborado por: Guillermo Pulgar

46,96%53,04%

Criterio: Efectividad

Efectividad

Déficit

49,86%50,14%

Criterio: Eficiencia

Eficiencia

Déficit

103

La eficiencia consiste en que la información debe ser generada optimizando los

recursos, este criterio tiene un promedio del 49,86%.

Ilustración 23. Criterio confidencialidad Elaborado por: Guillermo Pulgar

La confidencialidad consiste en que la información vital sea protegida contra la

revelación no autorizada, este criterio tiene un promedio del 38,85%.

Ilustración 24. Criterio Integridad Elaborado por: Guillermo Pulgar

38,85%

61,15%

Criterio: Confidencialidad

Confidencialidad

Déficit

37,08%

62,92%

Criterio: Integridad

Integridad

Déficit

104

La integridad consiste en que la información debe ser precisa, completa y valida,

este criterio tiene un promedio del 37,08%.

Ilustración 25. Criterio disponibilidad Elaborado por: Guillermo Pulgar

La disponibilidad consiste en que la información esté disponible cuando ésta sea

requerida por parte de las áreas de la institución en cualquier momento, este

criterio tiene un promedio del 34,35%.

Ilustración 26. Criterio cumplimiento Elaborado por: Guillermo Pulgar

34,35%

65,65%

Criterio: Disponibilidad

Disponibilidad

Déficit

49,11%50,89%

Criterio: Cumplimiento

Cumplimiento

Déficit

105

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y

acuerdos contractuales a los que está sujeta el proceso de la institución, como

políticas internas, este criterio tiene un promedio del 49,11%.

Ilustración 27. Criterio Confiabilidad Elaborado por: Guillermo Pulgar

La confiabilidad consiste en que se debe respetar proporcionar la información

apropiada, con el fin de que las Autoridades administre la entidad, este criterio

tiene un promedio del 53,33%.

Presupuesto de la Auditoría

El costo de la Auditoría fue mínimo ya que la misma se realizó con materiales

existentes en la dependencia de la Dirección Distrital.

53,33%46,67%

Criterio: Confiabilidad

Confidencialidad

Déficit

106

ANÁLISIS DE LOS CORRECTIVOS UNA VEZ REALIZADA LA AUDTORÍA

Una vez realizada la Auditoría se realizaron las estrategias correspondientes

para el mejoramiento de la calidad de servicio que ofrece la unidad de

tecnologías de la información y comunicación de la siguiente manera:

Software

Tabla 62. Acciones Correctivas Software

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. Existe un informe técnico en

el que se justifique la

adquisición del equipo,

software y servicios de

computación, incluyendo un

estudio costo beneficio

0

Se realizó un informe

técnico el cual para la

adquisición tanto de

hardware como de

software el cual fue

aprobado por la autoridad.

2

2. Se cuenta con software de

oficina 3

3

3. Se ha asegurado un

respaldo de mantenimiento

y asistencia técnica

2

No se tienen

proveedores fijos porque

los procesos se los

realizan a través de

compras públicas.

2

4. El acceso al equipamiento

cuenta con las seguridades

necesarias para reservar el

ingreso al personal

autorizado.

2

Se reguló el acceso

solamente para el

personal autorizado 3

5. Todas las actividades que

realizan los usuarios

internos están normadas

mediante manuales,

instructivos, normas,

reglamentos, etc.

1

Se comunicó a la

autoridad sobre este

particular.

Está en proceso la

normalización de

procesos a través de

instructivos.

1

6. Las instalaciones cuentan

con sistema de alarma por

presencia de fuego, humo,

así como extintores de

incendio, conexiones

2

Se realizó el Informe de

Necesidades para la

adquisición de materiales

para la mejora de las

instalaciones eléctricas

2

107

eléctricas seguras entre

otras

7. Se mantiene programas y

procedimientos de

detección e inmunización de

virus en copias no

autorizadas o datos

procesados en otros

equipos

3

3

8. Se han instalado equipos

que protejan la información

y los dispositivos en caso de

variación de voltaje como:

reguladores de voltaje, UPS,

generadores de energía

2

Instalación de

reguladores de voltaje en

los equipos que no

contaban con los mismos 3

9. Se hacen revisiones

periódicas del contenido del

disco para verificar la

instalación de aplicaciones

no relacionadas a la gestión

del de la Institución

1

Verificación en cada

equipo y desinstalación

del software que no está

relacionado a las

actividades que se realiza

en el Distrito.

3

10. Se cuenta con licencias

para todo el software 0

Informe a la autoridad

sobre este tema, teniendo

en cuenta que es una

política de las

Instituciones Públicas

usar software libre.

0

11. Se realizan copias de

seguridad de los archivos

de cada uno de los

equipos en dispositivos

externos

2

Copias de seguridad de

los archivos de las

maquinas se realizan

semanalmente en

dispositivos externos

3

12. Se han contratado pólizas

de seguros para proteger

la información, equipos,

personal y todo riesgo que

se produzca por casos

fortuitos o mala operación

0

La unidad administrativa

se encuentra en proceso

de asegurar los bienes de

la Institución, ya existe el

presupuesto par dicho fin.

2

TOTAL 18 27

Elaborado por: Guillermo Pulgar

Porcentaje Anterior=50%

108

%7536

100*27actualPorcentaje

Hardware

Tabla 63. Acciones Correctivas Hardware

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. La capacidad de los discos

duros es adecuada para el

almacenamiento de datos.

3 3

2. La memoria RAM de los

equipos está acorde para la

correcta ejecución de las

aplicaciones.

1

Informe de necesidades

para la adquisición de

hardware.

2

3. Se da mantenimiento

correctivo al equipo de

cómputo cuando se lo

requiere.

3 3

4. Se da mantenimiento

preventivo completo al

equipo de cómputo de forma

frecuente.

1

Cronograma de

mantenimiento

preventivo de equipos a

la espera de ser

aprobado por la

autoridad.

2

5. Los equipos se encuentran

funcionando en su vida útil 0

Solicitud de presupuesto

para equipamiento al

administrativo financiero,

Zona y Planta Central

1

TOTAL 8 10

Elaborado por: Guillermo Pulgar

Porcentaje anterior = 53 %

%8312

100*10actualPorcentaje

109

Seguridad

Tabla 64. Acciones Correctivas Seguridad

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. Existe personal de vigilancia

en la Institución 3

3

2. Se ha instruido a los

funcionarios sobre qué

medidas tomas en caso de

una emergencia

2

Socialización de

medidas a tomar en

caso de emergencia por

parte de Gestión de

Riesgos.

3

3. Los usuarios externos no

tienen acceso a los equipos

informáticos

3

3

4. Se ha prohibido a los

funcionarios el consumo de

alimentos y bebida dentro

de la Institución para evitar

daños a los equipos

3

2

5. Se limpia regularmente el

área donde se encuentra el

equipamiento tecnológico

2

Poner en conocimiento

del particular a la

autoridad para tomar las

medidas pertinentes.

2

6. El espacio físico donde se

encuentran los equipos es el

adecuado

1

Poner en conocimiento

del particular a la

autoridad para tomar las

medidas pertinentes.

1

7. Existen Cámaras de

Seguridad 3

3

8. Existen extintores y

detectores de humo. 3

3

TOTAL 20 21

Elaborado por: Guillermo Pulgar

Porcentaje Anterior = 83%

%8824

100*21actualPorcentaje

110

Recursos Humanos

Tabla 65. Acciones Correctivas Recursos Humanos

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. ¿El perfil profesional del

Analista de TICs está

acorde a sus actividades? 3 3

2. Se realiza un control del

uso de los equipos 2

Actas entrega –

recepción de todos los

equipos.

3

3. Poseen un registro

actualizado del HW y SW

que posee la unidad

informática

1

Inventario actualizado

con las características de

cada equipo y a que

funcionario se encuentra

asignado.

Revalorización de los

equipos

3

4. Cumplen con los horarios

establecidos en el

reglamento 3 3

5. La selección del personal se

la hace por medio de

concurso de merecimientos

3

3

6. El total de personal de

tecnologías está acorde a

las necesidades de la

unidad informática

1

Solicitud a la Autoridad

mediante informe la

creación de una nueva

partida para TIC’s.

1

TOTAL 13 16

Elaborado por: Guillermo Pulgar

Porcentaje Anterior = 72%

111

%8918

100*16alcanzadoPorcentaje

Manual de Procedimientos

Tabla 66. Acciones Correctivas manuales de procedimientos

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. Existe un manual de

procedimientos para

mantenimiento de equipos.

0

Elaboración de un plan

estratégico de TIC´s que

contiene un manual de

mantenimiento de

equipos a la espera de la

revisión y aprobación de

la autoridad.

1

2. Existe un manual de

procedimientos para

mantenimiento de

software.

0

Elaboración de un plan

estratégico de TIC´s que

contiene un manual de

mantenimiento de

equipos a la espera de la

revisión y aprobación de

la autoridad.

1

3. Cuenta con un reglamento

para el uso de los equipos.

3

3

4. Cuenta con un reglamento

para préstamo de equipos.

3

3

TOTAL 6 8

Elaborado por: Guillermo Pulgar

Porcentaje anterior = 50 %

%6712

100*8actualPorcentaje

112

Redes y cableado

Tabla 67. Acciones Correctivas red de comunicación de datos

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

1. La red de la Institución está

protegida contra ataques

informáticos

1

Implementación de un

plan de seguridad de

redes en proceso.

1

2. Posee un estándar de guía

la infraestructura de red y

cableado. 1

Elaboración de un

Informe de necesidades

para el mantenimiento

de la red.

El presupuesto se

encuentra aprobado.

2

3. Se da mantenimiento

preventivo a la red.

1

Elaboración de un

Informe de necesidades

para el mantenimiento

de la red.

El presupuesto se

encuentra aprobado.

2

4. Se da mantenimiento de

las redes cuando se lo

requiere.

3

3

5. Se pueden incrementar

nuevos puntos de red en

caso de necesitarlos

2

Limitaciones de

espacio físico 3

6. Los componentes de red

se encuentran bien

distribuidos de tal manera

que no afectan el trabajo

de los funcionarios

1

Elaboración de un

Informe de necesidades

para el mantenimiento

de la red.

El presupuesto se

encuentra aprobado.

2

TOTAL 9 13

Elaborado por: Guillermo Pulgar

Porcentaje Anterior = 50 %

%7218

100*13actualPorcentaje

113

CONEXIÓN A INTERNET

Tabla 68. Acciones Correctivas conexión a internet

ASPECTOS EVALUADOS VAL.

ANT

ACCIONES

CORRECTIVAS

VAL.

ACT.

El ancho de banda es suficiente

para el número de máquinas

existente

2 Pedido al

proveedor (CNT)

el aumento de

ancho de banda

2

Existe conexión wi-fi 3 3

No se permite el acceso al uso de

internet mediante conexión

inalámbrica en cualquier dispositivo

a usuarios externos

3 3

Existe control de acceso a páginas

web

3 3

Existe alguna sanción dentro del

reglamento cuando se identifica mal

uso del internet por parte de algún

docente

3 3

TOTAL 14 14

Elaborado por: Guillermo Pulgar

Porcentaje anterior=14

%9315

100*14actualPorcentaje

114

Una vez revisados todos los ítems auditados se puede observar que a través de

las acciones realizadas con los problemas detectados en la auditoría, se mejoró

en todos los aspectos de la siguiente manera:

Tabla 69. Matriz consolidada

Valoración

Ítems

Porcentaje

Anterior

Porcentaje

Actual

Mejora

Software 50 % 75 % 15 pts.

Hardware 53 % 83 % 20 pts.

Seguridad 83 % 88 % 5 pts.

Recursos Humanos 72 % 89 % 17 pts.

Manual de procedimientos 50 % 67% 17pts.

Redes y cableado 50 % 72 % 12 pts

Conexión a Internet 93 % 93 % 0

TOTAL 67 % 81 % 14 pts.

Elaborado por: Guillermo Pulgar

De acuerdo al análisis realizado con las acciones realizadas para el

mejoramiento de la calidad del servicio en la Unidad de Tecnologías de la

Información y comunicación se mejoró de un 67% a un 87%

CONCLUSIONES GENERALES

La Unidad de Informática está adscrita, lo que hasta cierto punto limita su

accionar, además dicha unidad no cuenta con reglamentos claros,

documentación de los sistemas que realiza, ni del control de

mantenimiento, y desconoce donde exactamente están ubicados los

equipos informáticos, ni al custodio, así como no poseer un inventario de

software.

La unidad de informática está en un sitio muy pequeño y desorganizado, lo

que es un inconveniente para su accionar.

Este trabajo ha dado un conjunto de directrices las cuales pueden ayudar

a organizar las TI con la institución, en otras palabras, identificar riesgos,

115

gestionar recursos y medir el desempeño, así como el nivel de madurez de

cada uno de los procesos de la Gestión Tecnológica.

Las autoridades y usuarios son los beneficiados con el desarrollo de la

metodología COBIT, ya que este marco de referencia ayuda a entender sus

sistemas de TI, de igual forma decidir el nivel de seguridad y control para

proteger los activos (información, hardware, software, etc.) de la Institución

mediante un modelo de desarrollo de gobernación de TI.

Gracias al marco de referencia COBIT, se ha logrado evaluar y diagnosticar

los procesos de TI en la Institución. También se ha diagnosticado cada uno

de los criterios de la información, los cuales son efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Los niveles de calidad del servicio al usuario interno y externo no son los

adecuados.

Luego de las acciones tomadas después de haber concluida la auditoría la

calidad de servicio de la Unidad de Tecnologías de la Información y

Comunicación mejoró de un 67% a un 87% en los aspectos auditados.

116

RECOMENDACIONES

Tener muy presente los procesos que se encuentran con el nivel de

madurez de 0 y 1, que son los de factor crítico.

Todo el equipo de cómputo (computadoras, estaciones de trabajo,

servidores, y equipo accesorio), que esté o sea conectado a la red de la

Institución, o aquel que en forma autónoma se tenga y que sea propiedad

de la misma debe de sujetarse a las normas y procedimientos de instalación

que emite la unidad de cómputo.

Realizar evaluaciones periódicas con el fin de medir el avance de cada uno

de los procesos estudiados en este trabajo.

El equipo de la institución que sea de propósito específico y tenga una

misión crítica asignada, requiere estar ubicado en un área que cumpla con

los requerimientos de: seguridad física, las condiciones ambientales, la

Alimentación eléctrica y la normatividad para el acceso de equipos que el

Centro de Cómputo implante.

Los funcionarios de la Unidad de TI deben dar cabal cumplimiento con las

normas de instalación, y notificaciones correspondientes de actualización,

reubicación, reasignación, y todo aquello que implique movimientos en su

ubicación, de adjudicación, sistema y misión.

REFERENCIAS BIBLIOGRÁFICAS

BERNAL, C. (2010). METODOLOGÍA DE LA INVESTIGACIÓN (3ra Ed.

ed.). Colombia: Pearson Educación.

CAMPO, R. (2012). Manual práctico de auditoria interna. Buenos Aires:

Consejo profesional de Ciencias Económicas de la Ciudad Autónoma de

Buenos Aires.

CARRIÓN Toro Mayra del Cisne, CORONADO Cabezas Luz Margarita,

“Auditoría de la Gestión de las TIC’S para La empresa DIPAC utilizando

COBIT”, (208), Escuela Politécnica Nacional, Quito – Ecuador.

CASTELLO Ricardo J., (2006), “Auditoría en entornos informáticos”,

Segunda Edición

CORONEL Castro Karolay Michell, (2012), “Auditoría Informática

orientada a los procesos críticos de crédito generados en la Cooperativa

de Ahorro y Crédito ‘Fortuna’ aplicando el marco de trabajo COBIT”,

Universidad Técnica Particular de Loja, Loja – Ecuador

DEL CID, A. (2011). Investigación fundamentos y metodología. México:

Pearson Educación

ECHENIQUE García José Antonio (2011), “Auditoría en Informática”

GÓMEZ, Á. (2013). Auditoría de seguridad informática (Primera Edición

ed.). Bogotá, Colombia: Ediciones de la U.

GOMEZ, C. (2012). La investigación Científica en Preguntas y

Respuestas. Ambato: Empresdane. González, M., & Cordero, M. (2007).

Diseño de Páginas Web. España: MC Graw Gill, primera edición.

GRANADOS Pemberty Elizabeth, (2012), “Auditoría Informática:

Conceptos Básicos”

GUEVARA Plaza y PEÑA Ramos Eloy, “Auditoría Informática: Normas y

Documentación”

HORACIO Quinn Eduardo, (2008), “La Auditoria informática dentro de las

etapas de Análisis de Sistemas Administrativos”,

http://www.monografias.com/trabajos5/audi/audi.shtml#inter.

Ingeniería en Informática, Universidad de Alicante, (2010), “Auditoría y

Evaluación de Sistemas”

INSTITUTO MEXICANO DE CONTADORES PÚBLICOS. (2013).

Modelos de dictámenes y otras opiniones e informes del auditor. México:

INSTITUTO MEXICANO DE CONTADORES PUBLICOS.

MELO Cazar, Mónica Elizabeth, (2005), “Auditoría Informática realizada a

la Compañía Autotrack Cía. Ltda.”, pág. 11.

MERINO, C. (2014). AUDITORIA DE SISTEMAS DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN. Madrid: FC Editorial

MUNCH, L. y. (2009). Métodos y Técnicas de Investigación. México:

Trillas.

MUÑOZ, C. (2002). Auditoría en sistemas computacionales. México:

Pearson.

NARANJO, A. (2006). AUDITORÍA DE SISTEMAS. Obtenido de

www.monografias.com, Guayaquil - Ecuador

PARDO, C. (2008). Los sistemas y las auditorías de gestión Integral.

Bogotá: UNIVERSIDAD DE LA SALLE.

PELAZAS, M. (2015). Planificación de la Auditoría. Madrid: Paraninfo.

PIATTINI, M. (2008). Auditoría de Tecnologías y sistemas de Información.

Madrid: Ra-Ma

QUEZADA, N. (2010). Metodología de la Investigación. Lima: Macro

RAMÍREZ Huamán, ANGELLO Luis, “Proyecto de Auditoría Informática

en la Organización DATA CENTER E.I.R.L aplicando la Metodología

COBIT 4.1”, Universidad Nacional ‘Santiago Antúnez de Mayolo’”, (2011),

Escuela Profesional de Ingeniería de Sistemas e Informática”, Huaraz –

Ancash - Perú

RAMÍREZ R., Guadalupe y ÁLVAREZ D., Ezzard, “Auditoría a la Gestión

de las Tecnologías y Sistemas de Información”

RODRIGUEZ, J. (02 de 2005). GestioPolis. Obtenido de Comercio

Electronico.Aspecto clave:

http://www.gestiopolis.com/Canales4/ger/comelectro.htm

SALAZAR, H. (22 de 10 de 2010). SlideShare. Recuperado el 09 de 10 de

2014, de SlideShare: http:slideshare.net/HernanSalazar/investigacin-

bibliografica-2463165

SEVILLA, J. (2012). AUDITORIA DE LOS SISTEMAS INTEGRADOS DE

GESTIÓN. MADRID: FC EDITORIAL.

Silberschatz, A., Korth, H., & Sudarshan. (2006). Fundamentos de Bases

de Datos. Espana: Mc Graw Hill, cuarta edición.

SOBRINOS Sánchez, Roberto, (2000), “Planificación y Gestión de

Sistemas de Información”, Escuela Superior de Informática de Ciudad

Real Universidad de Castilla – La Mancha

Universidad Autónoma del Estado de Hidalgo, (2011), “Auditoría

Informática”, México

Universidad Regional Autónoma de los Andes UNIANDES. (2012).

Manual de Investigación (Primera Edición ed.). Ambato: Mendieta.

VALLABHANENI, R.S. (2007): Information Systems Audit Process.

Tercera Edición

http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf,

“Estrategias Gerenciales: Gerencia para el emprendimiento, y gestión de

Resultados, Gestión tecnológica”

http://es.scribd.com/doc/13735708/Gestion-Tecnologica-, República

Bolivariana de Venezuela Ministerio de Educación Superior Universidad

Nacional Experimental “Simón Rodríguez”, Cátedra: Gestión de

Tecnología.

http://www.eoi.es/blogs/20calidad/2011/11/07/las-tics-en-la-gestion-de-

calidad/ “ LAS TICs EN LA GESTIÓN DE CALIDAD “

ANEXOS

Distrito 06D04 Colta – Guamote

Unidad de Tecnologías de la Información y Comunicación

Encuesta Dirigida a los funcionarios de la Dirección Distrital

Elaborada Por: Guillermo Pulgar Haro

Objetivo: Promover la realización de una Auditoría Informática en la Dirección

Distrital.

Instrucciones: Se debe marcar solo una respuesta en cada una de las

preguntas

Cuestionario

Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el

responsable de cada equipo informático de la Estatalidad?

Si…… No……

Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el

hardware y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca…

Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el

software y su funcionamiento?

Semestralmente… Anualmente…… Rara vez…… Nunca……

Pregunta No 4. ¿Cree usted que se hace un adecuado control del

funcionamiento de las tecnologías de información que apoyan el proceso

operativo de la Institución?

Si…… No…..

Pregunta No 5. ¿Considera importante la realización de auditorías informáticas

para mejorar el control del funcionamiento de las tecnologías de información que

apoyan el proceso operativo de la Institución?

Muy importante…. Poco importante……. Nada importante……..

Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información

durante la realización de estas auditorías?

Si…… No…….

Gracias por su colaboración.

Distrito 06D04 Colta – Guamote

Unidad de Tecnologías de la Información y Comunicación

Encuesta Dirigida a los usuarios externos de la Dirección Distrital

Elaborada Por: Guillermo Pulgar Haro

Objetivo: Promover la realización de una Auditoría Informática en la Dirección

Distrital.

Instrucciones: Se debe marcar solo una respuesta en cada una de las

preguntas

Cuestionario

Pregunta No 1. ¿Considera usted que el Distrito de Educación 06D04 Colta -

Guamote está fuertemente apoyado por las tecnologías en su atención al usuario?

Si… No…… Pregunta No 2. ¿Durante sus visitas al Distrito de Educación 06D04 Colta - Guamote , ha sufrido demoras en su atención debido a daños en los equipos informáticos? Nunca…. Rara vez…. A veces…. Frecuentemente……. Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?

Si… No…… Parcialmente……. Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la

tecnología? Algunos……. Muy pocos…….. Ninguno……..

Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para

el manejo de los equipos informáticos? Si… No……

Pregunta No 6. ¿Cree usted que se debe actualizar los conocimientos

tecnológicos del personal del Distrito de Educación 06D04 Colta - Guamote? Si… No……

Gracias por su colaboración.

Autodiagnóstico de la Institución (Entrevistas)

Realizado conjuntamente por el analista de TICs y los líderes de cada unidad de la Dirección

Distrital de acuerdo a los objetivos de control del COBIT.

OBJETIVOS DE CONTROL DE

COBIT Preguntas

Respuestas

SI

CUMPLE

NO

CUMPLE

DOMINIO: PLANIFICAR Y ORGANIZAR

P01 Definir un plan estratégico

de TI

¿Existe un plan estratégico de

TI? X

¿La planeación estratégica de

cumple en reuniones de

trabajo?

X

¿Las decisiones se toman de

manera individual? X

¿Se desarrollan planes de TI? X

PO2 Definir la arquitectura de la

información

¿Existe definida una

arquitectura de información? X

PO3 Definir la dirección

tecnológica

¿Existe un plan de

infraestructura tecnológica? X

El equipo tecnológico

abastece para cumplir los

objetivos

X

PO4

Definir los procesos,

organización y relaciones

de TI.

Evisten procesos definidos en

la Gestión de TICs? X

¿La función del departamento

de TICs se considera como una

función solamente de soporte?

X

¿Existen convenio o relaciones

con otras Instituciones para el

fortalecimiento de las TICs?

X

PO5 Administrar la inversión en

TI.

¿Existe una inversión

importante en cuanto a

tecnología?

X

¿Existe la necesidad de tener

un presupuesto fijo para

invertirlo en tecnología?

X

DIMINIO: ADQUIRIR E IMPLEMENTAR

AI1 Identificar las soluciones

automatizadas

¿Existen procesos

automatizados? X

¿Se identifican procesos por

automatizarse? X

¿Existe una investigación

sobre la tecnología disponible? X

AI2 Adquirir y mantener

software aplicativo

¿El mantenimiento del software

se realiza en base a la

experiencia dentro de la

operación de las TICs?

X

¿Existe la necesidad de

implementar automatizaciones

en base a la creación de

software nuevo?

X

AI3 Adquirir y mantener la

infraestructura tecnológica

¿Existe la necesidad de

adquirir infraestructura

tecnológica?

X

¿Se realiza mantenimiento de

la Infraestructura Tecnológica?

X

AI4 Facilitar la operación y el

uso

¿Existen manuales de usuario

y de operación para la parte

tecnológica?

X

¿Los procesos se encuentran

estandarizados? X

AI5 Adquirir recursos de TI

Se ha realizado la adquisición

de recursos tecnológicos X

¿Existe un proceso definido

para la adquisición de recursos

tecnológicos?

X

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los

niveles de servicio

¿Los procesos están definidos

por niveles de servicio? X

¿Se realizan reporte de

servicio de manera continua? X

DS2 Administrar los servicios

de terceros

Existe un control completo en

los servicios realizados por

terceros.

X

DS3 Administrar el desempeño

y capacidad

¿Se realizan evaluaciones

constantes en la infraestructura

tecnológica?

X

DS4 Asegurar el servicio

continuo

¿Se realiza un servicio

continuo en el mantenimiento

de infraestructura?

X

Se realiza un plan de

mantenimiento X

DS5 Garantizar la seguridad de

los sistemas

¿Existe una concientización en

el valor de la seguridad de la

información?

X

¿Existe un plan de seguridad

de la Información? X

DOMINIO: ENTREGAR Y DAR SOPORTE

ME1 Monitorear y evaluar el

desempeño de TI.

¿Se lleva a cabo el monitoreo

continuo de procesos? X

ME2 Monitorear y evaluar el

control interno

¿Existe un método de

monitoreo y control interno? X

ME3 Garantizar el cumplimiento

regulatorio

¿Existen informes sobre

cumplimiento de objetivos

regularmente?

X

ME4 Proporcionar gobierno de

TI

¿Existe el conocimiento debido

sobre los procesos de Tics por

parte de las autoridades?

X