universidad regional autÓnoma de los andes...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
AUDITORÍA INFORMÁTICA Y LA CALIDAD DEL SERVICIO DE LAS
TECNOLOGÍAS DE LA INFORMACIÓN EN EL DISTRITO DE EDUCACIÓN
06D04 COLTA - GUAMOTE.
AUTOR: ING. PULGAR HARO GUILLERMO ALONSO
ASESOR: ING. FERNANDEZ VILLACRES GUSTAVO EDUARDO. MGS.
AMBATO – ECUADOR
2018
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quienes suscriben, legalmente CERTIFICAN QUE: El presente Trabajo de
Titulación realizado por el señor PULGAR HARO GUILLERMO ALONSO,
Maestrante del Programa de Maestría en Informática Empresarial, Facultad de
Sistemas Mercantiles, con el tema AUDITORÍA INFORMÁTICA Y LA CALIDAD
DEL SERVICIO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN EL
DISTRITO DE EDUCACIÓN 06D04 COLTA - GUAMOTE ha sido prolijamente
revisado, y cumple con todos los requisitos establecidos en la normativa
pertinente de la Universidad Regional Autónoma de los Andes -UNIANDES-, por
lo que aprobamos su presentación.
Ambato, Diciembre de 2017
_______________________________________
Ing. Fernández Villacrés Gustavo Eduardo MGS.
ASESOR
DECLARACIÓN DE AUTENTICIDAD
Yo, PULGAR HARO GUILLERMO ALONSO, Maestrante del Programa de la
Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro
que todos los resultados obtenidos en el presente trabajo de investigación, previo
a la obtención del Grado Académico de MAGISTER EN INFORMÁTICA
EMPRESARIAL, son absolutamente originales, auténticos y personales; a
excepción de las citas, por lo que son de mi exclusiva responsabilidad.
Ambato, Diciembre de 2017
_______________________________
Ing. Pulgar Haro Guillermo Alonso
CI. 0603219700
AUTOR
DERECHOS DE AUTOR
Yo, Ing. Pulgar Haro Guillermo Alonso, declaro que conozco y acepto la
disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad
Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice:
El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual
sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales
y consultaría que se realicen en la Universidad o por cuenta de ella;
Ambato, Diciembre de 2017
_______________________________
Ing. Pulgar Haro Guillermo Alonso
CI.0603219700
AUTOR
DEDICATORIA
Este trabajo de Investigación va dedicado primeramente a Dios, por ser mi guía
durante el trascurso de mi vida.
A mis padres Yolanda y Guillermo, ya que son su ayuda y enseñanzas nada de
esto hubiera sido posible.
A mi hermano Héctor quien siempre me ha dado su apoyo para lograr cumplir
mis objetivos.
A mi esposa Mayra Johanna, mi apoyo incondicional, mi complemento, mi
compañera de vida, sin sus palabras de aliento en los momentos difíciles no
hubiera sido posible conseguir mis metas.
Y de manera muy especial a mi hija Gabriela Maité, que es la razón principal
para superarme y conseguir mis logros en la vida, todo el esfuerzo y sacrificio
realizado siempre será para su bienestar.
Guillermo Alonso
AGRADECIMIENTO
Al culminar otra etapa académica, en primer lugar, agradezco a la
UNIVERSIDAD REGIONAL AUTÓNOMAS DE LOS ANDES y a todos los
Docentes que formaron parte del programa de Maestría en Informática
Empresarial.
A mi Asesor del Trabajo de Investigación, Ing. Eduardo Fernández, quien con su
conocimiento y experiencia me ayudó a realizar y culminar de la mejor manera
este trabajo de Investigación.
A mi familia por estar siempre apoyándome y dándome fuerzas para otro objetivo
en mi vida.
A los funcionarios de la Dirección Distrital de Educación 06D04 Colta – Guamote
por la colaboración y apoyo para que este proyecto salga adelante.
Guillermo Alonso
RESUMEN
El presente trabajo investigativo parte de la problemática relacionada con la
calidad del servicio que se da en el distrito, esta calidad de servicio al usuario
viene proporcionada esencialmente por la continuidad en el funcionamiento de
las tecnologías de información que apoyan los diferentes procesos operativos.
La problemática es tanto administrativa como operativa es por ello que se hace
necesaria una evaluación general de las actividades que soportan el servicio al
usuario en la Institución. Para llegar a una propuesta de solución a la
problemática se fundamentaron aspectos relacionados con la auditoría
informática, con la calidad del servicio al cliente y más. También se diagnosticó
la problemática tanto en usuarios como con el personal que labora en la entidad
pública. Finalmente se propone como solución, la realización de una auditoría
informática para que en base a ella se puedan tomar decisiones relacionadas
con el mejoramiento de la calidad del servicio, ya sea en base optimización de
recursos, de mejor planificación y de incorporación de elementos tecnológicos
actualizados. Como resultados sobresalientes se determinó que hay
desorganización, que los equipos están semi-obsoletos, que la conectividad
tiene interrupciones y que también no hay una adecuada gestión
administrativa. Finalmente se recomienda la realización de un proceso continuo
de control para elevar estándares de calidad en el servicio al usuario tanto interno
como externo.
ABSTRACT
The present work-study is based on the problems related to the quality of the
service given in the district; this quality of customer service is essentially provided
by the continuous operation of the information technologies that support the
different operative processes. The problem is both, administrative and
operational. That is why a general evaluation of the activities that support the
user's service in the Institution is necessary. In order to reach a proposal solution
aspects related to computer, the audit was recommended with the quality of
customer service and more. The problem was also diagnosed in both, the users
and the working staff of that public organization. In the same way, a computer
audit was planned as a solution, based in these decisions they can improve the
service quality, either in building on optimization of resources, better planning,
and incorporation of updated technological elements.
As outstanding results, it is determined that there is disorganization, the
equipment is semi- obsolete, connectivity has interruptions and that there is also
no adequate administrative management. Finally, it is recommended to carry out
a continuous control process to increase quality standards in the service to the
user both internally and externally.
INDICE GENERAL
PORTADA Pag.
APROBACION DEL ASESOR DE TRABAJO DE TITULACION
DECLARACION DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
Introducción ............................................................................................................................ 1
Planteamiento del Problema ................................................................................................. 2
Formulación del problema ..................................................................................................... 3
Delimitación del problema ..................................................................................................... 3
Objeto de Estudio ................................................................................................................... 3
Campo de acción ................................................................................................................... 3
Línea de investigación ........................................................................................................... 3
Objetivos ................................................................................................................................. 3
Objetivo General .................................................................................................................... 3
Objetivos Específicos............................................................................................................. 4
Idea a defender ...................................................................................................................... 4
Variables ................................................................................................................................. 4
Justificación del Tema ........................................................................................................... 5
Aporte Teórico, Significación Práctica y Novedad Científica ............................................. 5
CAPITULO I: MARCO TEÓRICO ........................................................................................ 6
1.1. Calidad del Servicio .................................................................................................... 6
1.2. Auditoria Informática................................................................................................. 10
1.2.1. Auditoria ISO-9000 a los Sistemas Computacionales ....................................... 11
1.2.2. Síntomas de Necesidad De Una Auditoria Informática ..................................... 11
1.2.3. Aspectos a Considerar en Auditoría Informática................................................ 16
1.2.4. Control Interno Informático................................................................................... 18
1.2.5. Auditoria de Gestión Tecnológica........................................................................ 21
1.2.6. Características de la Auditoría Tecnológica ....................................................... 22
1.3. Normas Técnicas Sobre Ejecución del Trabajo ..................................................... 23
1.2.1. Planificación ............................................................................................................... 23
1.4. Estudio y Evaluación del Sistema de Control Interno ........................................... 24
1.3.1. Controles .................................................................................................................... 24
1.3.2. Implantación de un Sistema de Controles Internos Informáticos .......................... 26
1.4. Metodología de Trabajo de la Auditoría Informática .................................................. 26
1.4.1. Ejecución de la Auditoría Informática ...................................................................... 27
1.5. Ciclo de Vida de la Auditoría Informática ................................................................... 27
1.5.1. Inicio............................................................................................................................ 27
1.5.2. Fase de Planificación ................................................................................................ 28
1.5.3. Fase de Ejecución ..................................................................................................... 28
1.5.4. Fase de Revisión ....................................................................................................... 28
1.5.5. Fin ............................................................................................................................... 29
1.6. Cobit ............................................................................................................................... 29
1.6.1. Historia y Evolución Del Cobit .................................................................................. 29
1.6.2. Evolución del Producto Cobit ................................................................................... 30
1.6.3. Función Básica y Orientación del Cobit................................................................... 31
1.7. Gestión de Tecnologías de la Información ................................................................. 33
1.7.1. Contexto Del Desarrollo Tecnológico ...................................................................... 34
1.7.2. Tecnología.................................................................................................................. 34
1.7.3. Gestión Tecnológica .................................................................................................. 35
1.7.4. Tipos de Tecnología .................................................................................................. 36
1.7.5. Gestión Tecnológica: Consultoría y Auditoría Informática. .................................... 37
1.7.6. Relación de la Gestión y la Tecnología ................................................................... 38
1.7.7. Especificación y Diseño de la Estrategia Tecnológica ........................................... 40
1.7.8. Objetivo de la Gestión Tecnológica ......................................................................... 40
1.8. Conclusiones Parciales del Capitulo ........................................................................... 41
CAPITULO II MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA
PROPUESTA ....................................................................................................................... 42
2.1. El Distrito de Educación 06D04 Colta - Guamote ...................................................... 42
2.2. Diseño Metodológico. ................................................................................................... 43
2.3. Población y Muestra ..................................................................................................... 43
2.4. Métodos Investigativos ................................................................................................. 45
2.5. Tabulación de Resultados ........................................................................................... 45
Análisis e interpretación: ..................................................................................................... 52
2.7. Planteamiento de la Propuesta. .................................................................................. 58
CAPITULO III VALIDACION Y VERIFICACION DE LOS RESULTADOS ...................... 59
3.1. Tema .............................................................................................................................. 59
3.2. Objetivos ........................................................................................................................ 59
3.3. Descripción General de la Propuesta ......................................................................... 60
3.3.1. Desarrollo de la Propuesta ....................................................................................... 60
3.4. Resultados..................................................................................................................... 80
3.5. El Informe de Auditoría............................................................................................... 112
CONCLUSIONES GENERALES ...................................................................................... 114
RECOMENDACIONES...................................................................................................... 116
REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 117
INDICE DE ILUSTRACIONES
Ilustración 1. Visión sistemática de la Auditoria Informática ...................................... 15
Ilustración 2. Funcionamiento del control Interno Informático .................................... 18
Ilustración 3. El Cubo de COBIT ............................................................................... 32
Ilustración 4. Actividades relacionadas con la producción de tecnologías ................. 39
Ilustración 5. Edificio de la Dirección Distrital 06D04 ................................................. 42
Ilustración 6. Pregunta #1 Encuesta realizada a Funcionarios Públicos .................... 46
Ilustración 7. Pregunta #2 Encuesta realizada a Funcionarios Públicos .................... 47
Ilustración 8. Pregunta # 3 Encuesta realizada a Funcionarios Públicos ................... 48
Ilustración 9. Pregunta # 4 Encuesta realizada a Funcionarios Públicos ................... 49
Ilustración 10. Pregunta # 5 Encuesta realizada a Funcionarios Públicos ................. 50
Ilustración 11. Pregunta # 6 Encuesta realizada a Funcionarios Públicos ................. 51
Ilustración 12. Pregunta # 1 Encuesta realizada a Usuarios Externos ....................... 52
Ilustración 13. Pregunta # 2 Encuesta realizada a Usuarios Externos ....................... 53
Ilustración 14. Pregunta # 3 Encuesta realizada a Usuarios Externos ....................... 54
Ilustración 15. Pregunta # 4 Encuesta realizada a Usuarios Externos ....................... 55
Ilustración 16. Pregunta # 5 Encuesta realizada a Usuarios Externos ....................... 56
Ilustración 17. Pregunta # 6 Encuesta realizada a Usuarios Externos ....................... 57
Ilustración 18. Propuesta a la solución Problemática ................................................ 58
Ilustración 19. Orgánico Funciona Dirección Distrital 06D04 ..................................... 64
Ilustración 20. Impacto sobre criterios de la información ......................................... 112
Ilustración 21. Criterio efectividad ........................................................................... 102
Ilustración 22. Criterio eficiencia .............................................................................. 102
Ilustración 23. Criterio confidencialidad ................................................................... 103
Ilustración 24. Criterio Integridad ............................................................................. 103
Ilustración 25. Criterio disponibilidad ....................................................................... 104
Ilustración 26. Criterio cumplimiento........................................................................ 104
Ilustración 27. Criterio Confiabilidad ........................................................................ 105
INDICE DE TABLAS
Tabla 1. Diferencias y similitudes del Control Interno y la Auditoría Informática. ........ 19
Tabla 2. Tipos de Tecnología .................................................................................... 36
Tabla 3. Población involucrada en el problema .......................................................... 44
Tabla 4. Muestra ....................................................................................................... 45
Tabla 5. Pregunta #1 Encuesta realizada a Funcionarios Públicos ............................. 46
Tabla 6. Pregunta #2 Encuesta realizada a Funcionarios Públicos ............................ 47
Tabla 7. Pregunta #3 Encuesta realizada a Funcionarios Públicos ............................ 48
Tabla 8. Pregunta # 4 Encuesta realizada a Funcionarios Públicos ........................... 49
Tabla 9. Pregunta # 5 Encuesta realizada a Funcionarios Públicos ............................ 50
Tabla 10. Pregunta # 6 Encuesta realizada a Funcionarios Públicos .......................... 51
Tabla 11. Pregunta # 1 Encuesta realizada a Usuarios Externos .............................. 52
Tabla 12. Pregunta # 2 Encuesta realizada a Usuarios Externos .............................. 53
Tabla 13. Pregunta # 3 Encuesta realizada a Usuarios Externos ............................... 54
Tabla 14. Pregunta #4 Encuesta realizada a Usuarios Externos ................................ 55
Tabla 15. Pregunta #5 Encuesta realizada a Usuarios Externos ................................ 56
Tabla 16. Pregunta #6 Encuesta realizada a Usuarios Externos ................................ 57
Tabla 17. Número de personas en los puestos de trabajo .......................................... 65
Tabla 18. Aplicaciones y Sistemas Informáticos ......................................................... 65
Tabla 19. Características de la Red ............................................................................ 66
Tabla 20. Cuadro de Herramientas ............................................................................. 67
Tabla 21. Equipos Informáticos de que utilizan los funcionarios ................................. 67
Tabla 22. Parámetros para la evalución ..................................................................... 68
Tabla 23. Evaluación del Software ............................................................................. 69
Tabla 24. Riesgos Software ........................................................................................ 70
Tabla 25. Evaluación del Hardware ............................................................................ 71
Tabla 26. Riesgos Hardware ...................................................................................... 71
Tabla 27. Evaluación de la seguridad ......................................................................... 72
Tabla 28. Riesgos Seguridad ..................................................................................... 72
Tabla 29. Evaluación de los Recursos Humanos ........................................................ 73
Tabla 30. Riesgos Recursos Humano ........................................................................ 73
Tabla 31. Evaluación de los manuales de procedimientos .......................................... 74
Tabla 32. Riesgos Manuales de Procedimientos ........................................................ 74
Tabla 33. Evaluación de la red de comunicación de datos ......................................... 75
Tabla 34. Riesgos Redes de Comunicación ............................................................... 75
Tabla 35. Evaluación de la conexión a internet ........................................................... 76
Tabla 36. Riesgos Acceso al Internet ......................................................................... 76
Tabla 37. Matriz de valoración consolidada ................................................................ 77
Tabla 38. Cuadro de Herramientas nivel cualitativo COSO ........................................ 78
Tabla 39. Cuadro de herramientas Metodología para el manejo de riesgos COSO .... 80
Tabla 40. Plan Estratégico.......................................................................................... 81
Tabla 41. Definición de Arquitectura de la Información ............................................... 82
Tabla 42. Dirección Tecnológica................................................................................. 84
Tabla 43. Definición de Procesos ............................................................................... 85
Tabla 44. Administración de la Inversión .................................................................... 86
Tabla 45. Identificación de Soluciones Automatizadas ............................................... 88
Tabla 46. Adquirir y mantener el Software aplicativo .................................................. 89
Tabla 47. Mantener la Infraestructura ......................................................................... 91
Tabla 48. Facilitar operación y uso ............................................................................. 92
Tabla 49. Adquirir Recursos de TI .............................................................................. 94
Tabla 50. Administrar niveles de servicios .................................................................. 95
Tabla 51. Administrar los servicios de Terceros ......................................................... 96
Tabla 52. Desempeño y Calidad................................................................................. 97
Tabla 53. Continuidad de servicios ............................................................................. 98
Tabla 54. Garantizar la Seguridad de los Sistemas .................................................... 99
Tabla 55. Monitorear y Evaluar el Desempeño de TI ................................................ 101
Tabla 56. Monitorear y Evaluar el Control Interno ..................................................... 102
Tabla 57. Cumplimiento regulatorio .......................................................................... 103
Tabla 58. Proporcionar Gobierno de TI..................................................................... 105
Tabla 59. Grado de madurez .................................................................................... 106
Tabla 60. Grado de Madurez, Resumen de procesos y criterio de Impacto .............. 108
Tabla 61. Informe de Auditoria ................................................................................. 113
Tabla 62. Acciones Correctivas Software ................................................................. 106
Tabla 63. Acciones Correctivas Hardware ................................................................ 108
Tabla 64. Acciones Correctivas Seguridad ............................................................... 109
Tabla 65. Acciones Correctivas Recursos Humanos ................................................ 110
Tabla 66. Acciones Correctivas manuales de procedimientos .................................. 111
Tabla 67. Acciones Correctivas red de comunicación de datos ................................ 112
Tabla 68. Acciones Correctivas conexión a internet ................................................. 113
Tabla 69. Matriz consolidada .................................................................................... 114
1
Introducción
Antecedentes de la Investigación
Se ha realizado una investigación preliminar en la Biblioteca de la Universidad
Regional Autónoma de los Andes UNIANDES, para analizar las tesis que pueden
servir como antecedente investigativo a la presente, luego de un estudio y
análisis de las mismas, se han considerado importantes las siguientes
investigaciones:
La tesis desarrollada por el Ing. William Lascano previa a la obtención del título
de Magister en Informática empresarial y que fue presentada en el año 2016 con
el tema denominado “AUDITORIA INFORMATICA PARA MEJORAR LA GESTION
DE LAS TECNOLOGIAS DE LA INFORMACION EN EL MINISTERIO DEL TRABAJO
REGIONAL AMBATO”, de su análisis se puede concluir que los procesos de
auditoria permiten definir el estado real de la infraestructura tecnológica que
maneja la Institución, también se puede deducir que mediante la utilización de la
metodología Cobit se llega a obtener resultados evacuatorios de los procesos y
de los equipos informáticos. Toda auditoría informática requiere de una
planificación previa y de la definición de los instrumentos evacuatorios para
hardware, para software y lógicamente para procesos.
A nivel nacional y específicamente en la Escuela Superior Politécnica del
Ejército, se encontró la tesis de los ingenieros Sandra Patricia Balseca Alcocer y
Miguel Eduardo Cachimuel Querembás, con su tema “EVALUACIÓN Y
AUDITORÍA INFORMÁTICA DEL SISTEMA DE INFORMACIÓN DE LA
E.S.P.E”, del análisis realizado se puede concluir que:
Es necesaria la realización periódica de un ejercicio práctico y formal de la
auditoría en informática que permita asegurar que los recursos informáticos se
están utilizando de manera adecuada para lograr los objetivos de la institución
auditada. Y como todo proceso de auditoría, la auditoría informática es similar al
de auditoría de estados financieros, en la cual los objetivos principales son,
salvaguardar los activos, asegurar la integridad de los datos, la consecución de
los objetivos gerenciales, y la utilización de los recursos con eficiencia y eficacia,
2
para lo que se realiza la recolección y evaluación de evidencias. De manera
semejante como sucede con la auditoría financiera en la auditoría informática se
recogen evidencias, las cuales se analizan para identificar, la manera en la cual
son salvaguardados los activos computarizados.
Planteamiento del Problema
A nivel mundial, se considera a la información como un activo tan o más
importante que cualquier otro en la organización y su notable crecimiento ha
dado lugar a grandes cambios en la manera de cómo se establecen los
procesos de la información almacenada a través de las TICs, es por esta razón
que se debe seguir normas y estándares para el éxito de una empresa.
En el Ecuador, la tecnología es bastante escasa, la cual nos ha traído graves
consecuencias con respecto al desarrollo, ya que la falta de la misma nos ha
impedido avanzar de una manera óptima en el mercado competitivo a nivel
mundial. Sin embargo, en este campo tecnológico no solo el Gobierno participa
sino también la sociedad entera como las empresas privadas y universidades
con sus importantes aportes que son tomados en cuenta al momento de hacer
una evaluación.
Las Instituciones Públicas brindan servicios a la población apoyados fuertemente
en las Tecnologías de la Información y Comunicación, por lo tanto, una buena
gestión en el área de TICs garantizará un buen servicio a los usuarios.
La Dirección Distrital de Educación 06D04 brinda sus servicios a los usuarios
tanto internos como externos de los cantones de Colta y Guamote y siempre se
busca como mejorar dicho servicio. La unidad de Tecnologías de la Información
y Comunicación de la Dirección Distrital sirve como apoyo a todas las otras
unidades por lo que para detectar posibles inconvenientes es necesario realizar
un examen detallado de los aspectos concernientes a dicha unidad de apoyo.
3
Formulación del problema
¿Cómo mejorar la calidad del servicio de las tecnologías de la información en el
Distrito de Educación 06D04 Colta - Guamote?
Delimitación del problema
El presente trabajo de investigación se va a desarrollar en el Distrito de
Educación 06D04 Colta – Guamote, específicamente en el departamento de las
Tecnologías de la Información, ya que es el encargado de establecer los
procesos y manejo de información en la Institución
Objeto de Estudio
El objeto de estudio en la presente investigación es los procesos informáticos
Campo de acción
El campo de acción está enmarcado en la Auditoría Informática
Línea de investigación
La línea de investigación en el presente trabajo investigativo es: Las Tecnologías
de la Información y Comunicación
Objetivos
Objetivo General
Realizar una Auditoría Informática, para que en base a ella se logre el
mejoramiento del servicio de las Tecnologías de la Información en el Distrito de
Educación 06D04 Colta – Guamote.
4
Objetivos Específicos
Fundamentar científicamente los conceptos relacionados con Auditoría
Informática, metodología COBIT y la calidad del servicio de las tecnologías
de información
Realizar una investigación de campo sobre el nivel de calidad del servicio de
las Tecnologías de la Información en el Distrito de Educación 06D04 Colta -
Guamote.
Planificar el desarrollo de una Auditoría Informática basada en los conceptos
y en la metodología COBIT para el Distrito de Educación 06D04 Colta –
Guamote.
Validar la propuesta por expertos.
Idea a defender
Con la realización de una auditoría informática planificada en este trabajo
investigativo, se mejorará la calidad del servicio que brindan las Tecnologías de
Información en el Distrito de Educación 06D04 Colta – Guamote.
Variables
Variable Independiente
Auditoria Informática.
Variable Dependiente
Calidad del servicio de las Tecnologías de la Información.
5
Justificación del Tema
Del planteamiento del problema se puede deducir que este existe y que es de
tipo multifactorial, primeramente, se debe resaltar que realmente no existe una
información concreta de todo el aparato tecnológico que tiene la Institución
Estatal, de cuál es su funcionamiento, de su ubicación y a cargo de quien está,
en definitiva, no se tiene un control de toda la parte tecnológica y es por ello que
tampoco se pueden tomar decisiones para mejorar la infraestructura técnica.
Lógicamente se deduce que lo primero que hay que hacer es una auditoría
informática de toda la infraestructura tecnológica, luego de que esta se realice
se tendrán los siguientes beneficios:
Se dispondrá de información clara y precisa del estado de la tecnología que
utiliza la entidad Estatal como apoyo a su proceso operativo.
También se sabrá con plenitud la ubicación de equipos y obviamente los
responsables de los mismos.
En base a esta información se podrá planificar la adquisición de nuevas
tecnologías, así como el recambio de todo el parque informático.
En base a la mejora tecnológica, se podrá mejorar el servicio al usuario,
agilitando los procesos y pudiendo establecer interconexiones con entidades
gubernamentales.
Luego de la auditoria informática se tendrá un mejor control operacional de
toda la infraestructura tecnología que apoya el funcionamiento de la
Institución Estatal.
En base a todas estas mejoras, se justifica plenamente la realización del
presente trabajo investigativo.
Aporte Teórico, Significación Práctica y Novedad Científica
El aporte teórico que ofrece el presente trabajo investigativo, es el de aportar y
fortalecer las bases teóricas correspondientes a la Auditoria Informática ya que
6
servirá como fuente de consulta y a la vez extender sus conocimientos a
estudiantes, que estén interesados en el tema.
La significación práctica, recae notablemente, en la implementación de una
Auditoría de Gestión Informática, orientada directamente a identificar riesgos
de la entidad y establecer controles necesarios que garanticen la protección
integral de los activos fijos en este caso, la información de la entidad
gubernamental, como también facilitar la administración de los mismos.
La novedad científica de la presente investigación es el alcance que tiene la
Auditoría de Gestión Informática en nuestro medio ya que radica en el hecho
de aplicar normas y técnicas dedicadas al aseguramiento y disponibilidad de
la información.
CAPITULO I: MARCO TEÓRICO
1.1. Calidad del Servicio
Las Tecnologías de la Información y la Comunicación (TIC’s) reúnen los
sistemas, técnicas y soportes que gestionan la información y comunicación,
como se gestiona, se transmite y se mantiene, aportando una generalización del
conocimiento en los distintos campos tanto en la vida de las personas como en
el ámbito empresarial.
Las redes de comunicación, dispositivos o terminales de usuarios, así como los
softwares y aplicaciones componen las TIC´s, que permiten ofrecer actualmente
todo tipo de servicios como correo electrónico, búsquedas de información a
través de Internet, comercio electrónico, redes sociales, administración pública
digital, contacto inmediato con empresas tanto privadas como públicas.
Durante las últimas décadas la evolución y desarrollo de los sistemas de
información ha sido vertiginoso, introduciéndose cada vez más en nuestras vidas
y haciendo que la gestión empresarial evolucione hacia nuevas formas de
gestión y mejora de servicios y de la calidad de los mismos. (Gorraiz, 2011)
7
En el sector de las Tecnologías de la Información, los técnicos siempre han
tenido fama de no documentar las actividades que realizan, o los cientos de
procesos que pueden llegar a tener a lo largo de su vida en la cabeza, aunque
los beneficios para el negocio son claros: productividad, eficiencia, base de
conocimiento (lo que implica que el conocimiento esté en la Organización, no en
las personas), y básicamente la palabra clave que todos buscamos de una forma
u otra: “calidad” en la gestión de los servicios en general, y en particular en el
caso que nos ocupa, en las Tecnologías de la Información y la Comunicación.
(Jiménez, 2012)
Los sistemas de gestión de calidad tienen en las tecnologías de información un
soporte y dinamizador imprescindible a todos los niveles de la empresa,
estratégico y operacional y permite la gestión de la mejora continua en tiempo
real y basada en datos.
Uno de los puntos más importantes que se desarrollan actualmente y que en el
futuro más permitirán incrementar la calidad en los productos y servicios de las
empresas será la información que se consigue obtener y gestionar de los
clientes. La información en los puntos o momentos de venta permiten mejorar el
conocimiento del tipo de productos que prefieren los consumidores, cuáles son
sus necesidades en cuanto requisitos de los servicios y por último, cuál es su
percepción sobre los mismos, y es en este ámbito donde las TIC`s proporcionan
una información muy valiosa que genera una fuente de conocimiento sobre los
clientes que permite orientar los productos y servicios y mejorar la calidad de los
mismos.
El impacto de las TIC´s en la Cadena de Suministro ha sido uno de los mayores
contribuyentes al incremento de calidad en todos los procesos, a la reducción de
los plazos de entrega, la optimización de stocks y la mejora en la previsión de la
demanda, el compromiso de venta con los clientes mediante el acceso on line a
información de disponibilidad de productos y la gestión de envíos de pedidos a
través de mensajes informáticos, mediante interfaces entre las distintas
empresas y elementos implicados en la cadena de suministros, reduciendo los
errores y mejorando la calidad de la trazabilidad de los productos. La
automatización de almacenes soportados por Sistemas de Gestión de
8
Almacenes ( SGAs ), la gestión de entregas mediante terminales móviles (
teléfonos móviles, PDAs,…), seguimiento de situación de pedidos a través de
Internet, posicionamiento de vehículos mediante GPS, permiten que las
tecnologías de la información y comunicación hayan tenido y continúen teniendo
un papel clave dentro de la Cadena de suministro. En el futuro permitirán
incrementar aún más la calidad de servicio mediante el desarrollo y soporte a
procesos actuales y nuevos procesos de venta por Internet y conexión directa de
pedidos a los centros logísticos, que permita la reducción de tiempos de entrega
y de los costes de los mismos.
Uno de los mayores y más visibles impactos que han tenido las TICs ha sido sin
ningún tipo de dudas en la Gestión Pública, desde las tramitaciones de distintos
procedimientos administrativos a través de Internet, hasta el actual y futuro
desarrollo de la administración única han dado un salto de calidad en la atención
y gestión del ciudadano. La revisión de los procesos, la mejora a través del
soporte de la información y la facilidad de acceso a través de Internet,
participación en redes sociales, etc…, permitirán en el futuro un mayor
acercamiento de la administración pública a los ciudadanos.
Con la definición de los objetivos estratégicos de la organización, deberemos
evaluar que necesidades de tecnología de información necesitaremos para su
consecución, como se podrá dar soporte a las distintas líneas estratégicas, como
por ejemplo un mayor posicionamiento en los clientes o más directo, una mayor
productividad de las operaciones, la reducción de procesos administrativos, la
mejora en la obtención de información de los clientes y mercado. Las
tecnologías y sistemas que se deberán desarrollar para estas opciones no serán
las mismas en cada organización ni en cada momento. La selección y
optimización de los sistemas y la utilización de nuevas formas de comunicación
como las redes sociales, etc… deberán estar alineadas con las estrategias de la
empresa, siendo este un factor decisivo del éxito de las mismas, no cualquier
nueva tecnología tiene porque estar alineada con nuestros objetivos y
estrategias, su selección marcará uno de los puntos más importantes para el
éxito y la excelencia empresarial. Un Sistema de Gestión de Calidad y cualquier
9
sistema de evaluación y mejora de la calidad deberá, cada vez más, analizar y
gestionar las TICs en la organización.
A nivel operativo la influencia de las TICs será todavía más importante en el
futuro, no solo porque, como sucede actualmente, prestan un soporte vital a
todos los procesos, sino porque cada vez más deberán proporcionar nuevas
oportunidades de realizar las actividades, y la dependencia de los sistemas será
cada vez mayor, por lo cual la calidad de los mismos deberá incrementarse en
la misma proporción que las nuevas actividades y procesos garantizando su
soporte. Es en este punto donde más deberán desarrollarse las metodologías de
mejora de calidad, los sistemas de calidad que permitan una adecuada gestión
de las TICs, si cada vez tienen más impacto sobre todos los procesos
empresariales cada vez deberán contar con más sistemas y metodologías que
permitan incrementar su calidad y prestación a los usuarios. El intercambio de
mejores prácticas de gestión de la información y la comunicación y modelos de
gestión de las TICs, proporcionaran ventajas competitivas claras a todas las
organizaciones y empresas.
El último gran salto de calidad que deberá contemplarse en el futuro de las TICs
es conseguir la gestión de calidad de la información, es decir dar soporte a los
distintos procesos de las organizaciones, para que las grandes cantidades de
información que se tienen disponibles puedan utilizarse de manera productiva.
Actualmente debido precisamente a que las TICs han proporcionado acceso a
grandes cantidades de información, esto ha provocado un efecto perverso de
dicha información, su exceso. La capacidad futura de gestionar la información
necesaria, la comunicación de la misma en los momentos apropiados constituirá
sin lugar a dudas otro de los puntos críticos de la calidad y excelencia
empresarial. (Gorraiz, 2011)
Vemos por tanto que la evolución en estos años con respecto la Calidad en las
Tecnologías y los Sistemas de Información, ha sido no solamente escribir,
planificar, ejecutar, revisar, y mejorar procesos tecnológicos, si no orientar las
Tecnologías, los Sistemas de Información y en definitiva estos Sistemas de
Gestión de la Calidad, al negocio, proporcionando además una serie de
principios para que la Dirección de la Organización pueda implicarse y pueda
10
gestionar también desde su perspectiva la Calidad en estos entornos
tecnológicos. (Jiménez, 2012)
En la profundidad en que se gestione la calidad de la información y gestione de
manera óptima su utilización por las personas de las empresas y organizaciones,
se conseguirá la excelencia en la gestión de las TIC´s y por lo tanto la mejora de
la calidad en toda la organización.
La influencia de las TICs en la gestión de calidad en los próximos años será
decisiva y jugará un papel primordial en las organizaciones, tanto en su vertiente
de dar soporte a todos los procesos de la empresa, como en la gestión de calidad
de las propias tecnologías de la información, que garanticen un uso racional y
continuo de las mismas y la selección apropiada de los distintos canales de
comunicación que estas tecnologías brindan a las empresas. (Gorraiz, 2011)
En la presente investigación para garantizar la Calidad de Servicio en todas las
Unidades Administrativas que forman parte de en la Dirección Distrital de
Educación 06D04 Colta – Guamote se realizará una Auditoría Informática para
encontrar puntos débiles en la gestión y realizar los correctivos necesarios para
garantizar un buen servicio, tanto a usuarios internos como a usuarios externos
de la Institución.
1.2. Auditoria Informática
“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva eficazmente los fines de la organización y utiliza
eficazmente los recursos.” (Piattini, 2008)
Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",
"metódico", "puntual" y" objetivo": (Horacio, 2008)
La auditoría informática es un examen, pues se verifica o comprueba el
sistema informático actualmente en uso.
11
Este examen es metódico, ya que sigue un plan de trabajo, perfectamente
diseñado, que permite llegar a conclusiones suficientemente
fundamentadas. Este examen es puntual, ya que se realiza en un momento
determinado y bajo petición de la dirección.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio
de informática para buscar la objetividad requerida.
1.2.1. Auditoria ISO-9000 a los Sistemas Computacionales
Es la revisión exhaustiva, sistemática y especializada que realizan únicamente
los auditores especializados y certificados en las normas y procedimientos ISO-
9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación. El propósito fundamental de esta revisión es
evaluar, dictaminar y certificar que la calidad de los sistemas computacionales
de una empresa se apegue a los requerimientos delISO-9000. (Universidad de
Alicante, 2010).
1.2.2. Síntomas de Necesidad De Una Auditoria Informática
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases.
Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la informática de la empresa y de la propia
compañía
Síntomas de mala imagen e insatisfacción de los usuarios
1. No se atienden las peticiones de cambios de los usuarios. Ejemplo:
cambio de Software en los computadores,
2. No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
3. No se cumplen en todos los casos los plazos de entrega de resultados
periódicos.
12
Síntomas de debilidades económico-financiero:
1. Incremento desmesurado de costos
2. Necesidad de justificación de inversiones informáticas (la empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones)
3. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente
a desarrollo de proyectos y al órgano que realizó el pedido).
Síntomas de inseguridad: Evaluación de nivel de riesgos.
1. Seguridad lógica
2. Seguridad física
3. Confidencialidad
Se pueden establecer tres grupos de funciones a realizar por un auditor
informático:
Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informativas, así como en las
fases análogas de realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuación a las órdenes e instrucciones de la dirección
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes. (Ramirez & Alvarez, 2010)
Según (Hernández, 2009), “Conceptualmente la auditoría toda y cualquiera
auditoría, es la actividad consistente en la emisión de una opinión profesional
sobre si el objeto sometido a análisis presenta adecuadamente la realidad que
pretende reflejar y/o cumple las condiciones que le han sido prescritas”.
De aquí se deduce la importancia de establecer una opinión objetiva fundada en
las evidencias encontradas, sobre las diferencias existentes entre el
planteamiento del funcionamiento de cualquier área a auditar y su ejecución real
en la organización, y comunicarlas a las personas correspondientes.
Se plantea que una de las formas de Auditoría Informática aplicado a Entidades
Públicas es el proceso orientado a la identificación de riesgos y controles en la
gestión de las tecnologías de información, para su efectivo apoyo al logro de los
13
objetivos de la institución, para el cumplimiento de sus metas estratégicas,
asociado a la nueva economía digital en la que se desenvuelve.
Por un lado, la identificación de riesgos nos sirve para determinar el nivel de
exposición de la institución al inadecuado uso de los servicios que brinda la
tecnología de la información, pero además permite gestionar los riesgos,
implementando controles que están orientados a evitarlos, transferirlos,
reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir ambos
conceptos: riesgos y controles:
a. Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos
establecidos como negocio y que en el tiempo dicha situación genere
debilidades en el control interno
Tipos de Riesgos:
Riesgo inherente
Este tipo de riesgo tiene ver exclusivamente con la actividad económica
o negocio de la empresa, independientemente de los sistemas de control
interno que allí se estén aplicando.
Riesgo de control
Aquí influye de manera muy importante los sistemas de control interno
que estén implementados en la empresa y que en circunstancias lleguen
a ser insuficientes o inadecuados para la aplicación y detección oportuna
de irregularidades. Es por esto la necesidad y relevancia que una
administración tenga en constante revisión, verificación y ajustes los
procesos de control interno.
Riesgo de detección
Este tipo de riesgo está directamente relacionado con los procedimientos
de auditoría por lo que se trata de la no detección de la existencia de
errores en el proceso realizado.
14
b. Control: Un control establece las medidas implementadas en las entidades
con la finalidad de reducir los riesgos existentes y proteger los activos más
importantes.
En la siguiente figura se visualiza la estrategia utilizada para la implantación de
las mejores prácticas de control. Es un proceso de “benchmarking” que toma en
cuenta las mejores recomendaciones internacionales, como las contenidas en el
COBIT, las utilizadas por empresas de prestigio internacional, las normas
internacionales de auditoría, entre otros; los que permiten obtener altos niveles
de seguridad, fiabilidad y conformidad en la gestión de la tecnología de la
información.
Los riesgos de tecnologías de información que afectan a las entidades Públicas
están relacionados con 3 aspectos básicamente:
a. Dependencia en el uso de tecnología de información: Relacionada
con el uso que efectúa la Entidad y la importancia que representa para el
desarrollo de sus operaciones.
b. Confiabilidad en el uso de tecnología de información: Relacionada
con resultados del procesamiento de datos y que no requieren trabajo
manual por los usuarios para complementar la información.
c. Cambios en la tecnología de información: Relacionado con la
automatización de los procesos principales de la Entidad y la adecuación
de esos procesos automatizados a nuevas necesidades de la Entidad
motivados por regulación o por modernización para mantenerse
competitivos o lograr su acreditación. (Gómez, 2013)
Un proceso de Auditoría Informática tiene como objetivos la implementación de
nuevos y mejores controles, que permitan entregar servicios tecnológicos con
calidad y eficiencia, que a su vez permitirá que cualquier entidad sea Pública o
Privada alcance un mejor posicionamiento y acreditación, apoyando de esta
manera a los distintos procesos que está emprendiendo para alcanzar la visión
que se ha planteado.
15
Ilustración 1. Visión sistemática de la Auditoria Informática Fuente:
http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf
Las etapas para establecer un sistema de control son las siguientes:
1. Establecimiento de estándares: Es la acción de determinar el/los parámetros
sobre los cuales se ejercerá el control y posteriormente, el estado o valor de
esos parámetros considerado deseable. Este es el primer elemento a
establecer para instrumentar un sistema de control. En esta especificación
se deberán incluir, entre otros, la precisión con que se medirá el parámetro
a verificar, el método de medición y el instrumento sensible que se aplicará,
la periodicidad en la aplicación y hasta los responsables de esta tarea.
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con
los deseables. En esta etapa se investiga (más o menos extensamente)
acerca de las causas de las desviaciones que acompañarán un informe con
las discrepancias detectadas, para ser fuente de información de la siguiente
fase. (Castello, 2006)
3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita
una decisión: corregir o dejar como está. Obviamente será más certera y
económica la solución de la discrepancia mientras más correcto sea el
diagnóstico hecho en la etapa anterior.
16
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control
será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta
al problema que intentó solucionar. Por ello, se considera que sin esta etapa
simplemente no ha existido una acción de control.
1.2.3. Aspectos a Considerar en Auditoría Informática
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los
datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe
ser medida mediante el análisis de tres valores fundamentales: la evaluación de
los costes actuales, la comparación de esos costes actuales con magnitudes
representativas de la organización, y la comparación de los costes del sistema
de información de la empresa con los de empresas similares, preferentemente
del mismo sector de actividad. (Universidad Autónoma del Estado de Hidalgo,
(2011).
Como evaluar de forma concreta estos tres aspectos fundamentales, que
conforman la rentabilidad del sistema de información, es lo que se analiza
seguidamente.
Evaluación de los costos actuales. Conocer, en términos económicos, los costos
que para una empresa supone su sistema de información, constituye uno de los
aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de
los distintos elementos que configuran el sistema de información y que en
términos generales son los siguientes:
Hardware. Se trata de analizar la evolución histórica del hardware en la
empresa, justificando dicha evolución. Es importante conocer el coste del
material (unidad central, periféricos, soporte) durante los últimos cinco
años. También será necesario analizar la utilización de cada elemento
hardware de la configuración, cifrándola en horas/mes, asegurando que
la configuración utilizada se corresponde con el menor valor
utilización/costo, y examinar la coherencia del mismo (Gorraiz, 2011)
17
Software. Análisis de los costos relativos al sistema lógico, tanto en sus
aspectos relativos a la explotación (adecuación del sistema operativo,
versión del software utilizado) como en los aspectos relativos a la
programación de las distintas aplicaciones (prioridades de ejecución,
lenguaje utilizado).( Melo Cazar & Mónica Elizabeth, 2005)
Capturas de datos. Análisis de los costos relativos a la captura de datos,
de las fuentes de información, tanto internas como externas de la
empresa.
Grabación de datos. Es necesario conocer también los costos relativos
a la transcripción de datos en los soportes adecuados (costos de personal,
equipos y máquinas auxiliares).
Explotación. Análisis de los costos imputados a los factores relativos a la
explotación en sentido amplio (tratamiento manual, tiempos de realización
de aplicaciones, tiempo de respuesta, control errores, etc.)
Aplicaciones. Se trata de evaluar los costos del análisis funcional, el
análisis orgánico, la programación, las pruebas de programas,
preparación de datos y costos de desarrollo de cada aplicación medido en
horas.
Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las
distintas categorías, equilibrio entre esas categorías, remuneraciones
salariales, horas extraordinarias), se trata de analizar los costos de
personal directamente relacionado con el sistema de información. En este
apartado deberán tenerse en cuenta también los costes relativos a la
formación del personal.
Documentación. Es necesario no sólo verificar que la documentación
relativa al sistema de información sea clara, precisa, actualizada y
completa, sino también los costos relativos a su elaboración y
actualización.
Difusión de la información. Se trata de evaluar los costos de difundir la
información, es decir, hacer llegar a los usuarios del sistema la
información demandada o aquella considerada necesaria en los distintos
niveles de la organización.
18
1.2.4. Control Interno Informático
Para la aplicación y correcto funcionamiento en los procesos que plantea la
auditoría se tiene que llevar un control interno informático que es el que controla
diariamente que todas las actividades de sistemas sean realizadas cumpliendo
los procedimientos, estándares y normas fijados por la Dirección de la
Organización y/o la Dirección de Informática, así como los requerimientos
legales. (Piattini, 2008)
La misión del Control Interno Informático es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas, y tiene como objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo del Auditor Informático, así como el de las
auditorías externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático.
Ilustración 2. Funcionamiento del control Interno Informático Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
DIRECCIÓN
Exigencias
internas y
externas
POLÍTICAS Y
DIRECTRICES
ESTÁNDARES,
PROCEDIMIENTOS,
NORMAS Y
METODOLOGÍAS
IMPLANTAR
PROCEDIMIETNOS
DE CONTROL
POLÍTICA
CULTURA
COMPROBACIÓN Y
SEGUIMIENTO DE
CONTROLES
19
“La Auditoría Informática y el Control Interno Informático son campos análogos.
De hecho, muchos de los actuales responsables de control interno informático
recibieron formación en seguridad informática tras su paso por la formación en
auditoría. Numerosos auditores se pasan al campo de control interno debido a la
similitud de los objetivos profesionales de control y auditoría. Pese a que ambas
figuras tienen objetivos comunes, existen diferencias que conviene matizar. En
la siguiente tabla se muestra las similitudes y diferencias entre ambas
disciplinas:” (Sobrinos Sánchez, 2000)
Tabla 1. Diferencias y similitudes del Control Interno y la Auditoría Informática.
CONTROL INTERNO
INFORMÁTICO AUDITOR
INFORMÁTICO
SIMILITUDES Personal Interno
Conocimientos especializados den Tecnologías de la Información
Verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información
DIFERENCIAS Análisis de los controles en el día a día
Informa a la Dirección del Departamento de Informática
Solo personal interno
El alcance de sus funciones es únicamente sobre el Departamento de Informática
Análisis de un momento informático determinado
Informa a la Dirección General de la Organización.
Personal Interno y externo
Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización
Fuente: http://alarcos.esi.uclm.es/per/fruiz/cur/mso/comple/Cobit.pdf
“El auditor debe ser una persona independiente de la institución que se vaya a
auditar, él es responsable de aplicar el método que considere más adecuado, lo
que supone diseñar, desarrollar e implantar los controles; con total
independencia del equipo de desarrollo, el auditor deberá decidir los
procedimientos que vaya aplicar al auditar. El auditor puede hacer
20
recomendaciones para mejorar el sistema, cuidando siempre no perder la
independencia”. (Guevara Plaza, 2010)
Todo auditor de sistemas informáticos debe estar técnicamente preparado y
poseer, los suficientes conocimientos y experiencia que le permitan realizar
dicho trabajo, de lo contrario deberá acudir a un experto en el área donde se
tienen dudas, es por eso que todo auditor debe tener una formación continua
debido a la revolución tecnológica.
Uno de los bienes más importante no solo de las empresas sino de las
instituciones es la información es por esto que existe conocimientos, normas,
técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la
calidad, seguridad, razonabilidad, y disponibilidad de la información tratada y
almacenada a través del computador y equipos afines, así como de la eficiencia,
eficacia y economía con que la administración de un ente están manejando dicha
información y todos los recursos físicos y humanos asociados para su
adquisición, captura, procesamiento, transmisión, distribución, uso y
almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio,
para lo cual se aplican técnicas de auditoria de general aceptación y
conocimiento técnico específico. (Sevilla, 2012)
También es una realidad que las facilidades que brindan los sistemas
informáticos pueden tener como inconveniente hacer más vulnerable la
información importante de las organizaciones, por lo que se deben implantar
controles para mantener segura la información y por ende se requiere de
auditores especializados en sistemas informáticos que prueben que estos
controles son efectivos y permiten que la información se procese de manera
correcta. En consecuencia, de esta situación se crea la necesidad de realizar
periódicamente evaluaciones a los sistemas, o también llamadas, auditorías
informáticas, con las cuales se pretende identificar y evaluar los controles
implantados en los sistemas y minimizar los riesgos a los cuales las
organizaciones que dependen de los sistemas informáticos se encuentran
expuestas.
21
La auditoría informática dentro de sus funciones se encuentra:
Controlar y verificar todos los estándares informáticos que aplica la
organización.
Analizar la eficiencia y eficacia de los Sistemas de Información
organizacionales.
Examinar el uso adecuado de los recursos informáticos de la
organización.” (Granados, 2006).
1.2.5. Auditoria de Gestión Tecnológica
Una auditoría de sistemas es un proceso de revisión de la manera en la que se
están administrando actualmente la gestión tecnológica y los controles
implantados en los mismos, basado en un criterio o modelo de control y gobierno
de TI establecido (p. ej. COBIT, ITIL, ISO), recolección de evidencias
significativas y la emisión de una opinión independiente acerca de los controles
evaluados. (Sevilla, 2012).
Esta opinión debe ser revisada por la gerencia de la entidad auditada, quien
debe definir si está de acuerdo con la misma, puesto que en caso de estar en
desacuerdo el auditor debe realizar una evaluación más exhaustiva a los puntos
en desacuerdo, siendo este un escenario poco probable y deseado ya que los
resultados emitidos por el auditor deben ser verificables por medio de las
evidencias recolectadas que deben estar de acuerdo con las observaciones
emitidas.
“Cuando en una instalación se encuentren operando sistemas avanzados de
computación, como procesamiento en línea, bases de datos y procesamiento
distribuido, se podía evaluar el sistema empleando técnicas avanzadas de
auditoría.” (Echenique, 2006)
Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si
el departamento de auditoría no cuenta con el entrenamiento adecuado (la
institución no cuenta con departamento de auditoría).
22
La tecnología está afectando la forma en que las organizaciones están
estructuradas, administradas y operadas. En algunos casos, los cambios son
dramáticos. Cuando existe la necesidad de un nuevo diseño de sistemas
administrativos para lograr una efectiva administración y control financiero.
Las técnicas deben usarse apropiadamente, dentro de estas podemos
mencionar: las pruebas integrales consisten en el procesamiento de datos de
un departamento ficticio, comparando estos resultados con resultados
predeterminados, es decir las transacciones iniciadas por el auditor son
independientes de la aplicación normal, pero son procesadas al mismo tiempo.
(Gorraiz, 2011)
La simulación nos ayuda a desarrollar programas de aplicación para
determinada prueba y comparar los resultados de la simulación con la aplicación
real. El proceso manual generalmente los documentos de las transacciones
contienen espacio de trabajo para ejecutar el proceso necesario, en las
aplicaciones computarizadas, el proceso se efectúa electrónicamente dentro de
la memoria del computador mediante procedimientos programados y siguiendo
reglas predeterminadas.
1.2.6. Características de la Auditoría Tecnológica
Según (Gómez, 2013), la información de la empresa y para la empresa, se ha
convertido en un activo real de la misma, por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
De la misma manera, los Sistemas informáticos o tecnológicos han de protegerse
de modo global y particular, a ello se debe la existencia de la Auditoría de
Seguridad Informática en general, cuando se producen cambios estructurales en
la Informática, se reorganiza de alguna forma su función; se está en el campo de
la Auditoría de Organización Informática o Tecnológica. Estos tres tipos de
auditoría engloban a las actividades auditoras que realizan en una auditoria
parcial.
23
1.3. Normas Técnicas Sobre Ejecución del Trabajo
1.2.1. Planificación
Toda auditoría antes de comenzar siempre se debe planificar y alguien que no
haya participado en la planificación debe supervisar el plan. La planificación de
la auditoría supone desarrollar una estrategia global basada en el objetivo y en
el alcance del trabajo que se haya encargado al auditor. Las fases para elaborar
el plan serían:
1. Análisis General de riesgo: En este análisis el auditor debe tener
conocimiento general del sector en el que se desenvuelve la empresa, del
tipo de actividad y de la empresa en sí; de esta manera podrá determinar en
primera instancia las áreas donde el riesgo es mayor. El auditor debe utilizar
técnicas de evaluación tanto a la hora de desarrollar el plan global de la
auditoría como a la hora de planificar una auditoría concreta. (Vallabhaneni,
2007).
2. Desarrollo de un Plan Global relativo al ámbito y a la realización de la
auditoría: Una vez evaluado el riesgo de la entidad que se va a auditar, se
elabora el plan global, en este se reflejan las decisiones iniciales del auditor
con respecto a los principios, normas técnicas y demás legislación que se va
a tener en cuenta en el trabajo de auditoría. (Instrituto Mexicano de
Contadores Públicos, 2013).
3. Preparación del programa de auditoría: El auditor deberá preparar un
programa escrito en el que establezcan, bien detallados, los objetivos y los
procedimientos que se precisen para llevar a cabo el plan global de auditoría.
A medida que vaya progresando la auditoría, el auditor deberá ir revisando
tanto el plan global como los programas parte del plan de auditoría. (Pelazas,
2015)
En la fase de planificación deben quedar claras las siguientes interrogantes:
¿Dónde se va a realizar el trabajo?
¿En cuánto tiempo se va a realizar?
¿En qué fecha es necesario que esté terminado el trabajo?
¿Quién compone el equipo de auditoría?
24
¿Qué áreas se van a auditar?
Es decir, el auditor deberá planificar el trabajo de forma adecuada a fin de
identificar los objetivos de cada área de la auditoría y determinar los métodos
para alcanzar esos objetivos de manera eficaz y eficiente.
1.4. Estudio y Evaluación del Sistema de Control Interno
Se deberá estudiar y evaluar adecuadamente el control interno. En el campo de
la auditoría tanto interna como externa de sistemas informáticos se suelen dividir
los controles en: controles generales y controles de aplicaciones. Los controles
son fundamentales para conseguir la seguridad informática.
1.3.1. Controles
“Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza conforme
a los programas adoptados, órdenes impartidas y principios admitidos” (Naranjo,
2006)
1. Controles generales.
Los controles generales de los sistemas informáticos, a su vez, se pueden
dividir en cinco categorías:
a. Controles de la Organización
La entidad deberá segmentar las distintas funciones y tareas entre el
personal del Centro de Proceso de Datos (C.P.D) y los usuarios,
evitando que funciones o tareas incompatibles las realice una misma
persona. Por ejemplo, se debe prohibir al personal de C.P.D. que
realice cualquier tipo de transacción.
b. Controles sobre el desarrollo de los sistemas y su documentación.
Estos controles suponen que los nuevos sistemas y las modificaciones
de los existentes se deben revisar sometiéndolos a un lote de pruebas,
aceptándolos, en el caso de que hayan superado las pruebas. Los
manuales deberán ser actualizados, revisados y aprobados antes de
25
ponerlos en circulación. La persona o personas que realicen la función
de desarrollo o actualización deben ser distintas a las que revisen y
aprueben los sistemas y los manuales.
c. Controles sobre el software del sistema y sobre el hardware
Se deberán implantar funciones que detecten errores
automáticamente, tanto en el software como en el hardware. Se harán
revisiones periódicas con el objetivo de prevenir estos errores. Es
conveniente elaborar procedimientos escritos de como a de actuar el
personal en el caso de que ocurra cualquier tipo de fallo.
d. Controles de acceso.
Estos se implantan con el objetivo de prevenir o detectar errores
deliberados o accidentales, que sean consecuencia del uso o de la
manipulación inadecuada de los ficheros de datos, del uso incorrecto
o no autorizado de los programas informáticos o por la utilización
inadecuada de los recursos informáticos. (Castelo, 2006)
2. Controles sobre las aplicaciones
Una primera aproximación de los controles los que hay que someter a las
aplicaciones podría ser la que los clasifica en tres categorías: entrada,
salida y proceso. (Pelazas, 2015)
a. Controles de las entradas.
Estos controles se deben diseñar e implantar para que actúen sobre
las transacciones de altas, sobre el mantenimiento de archivos, sobre
la consulta de datos y en las funciones de corrección de errores.
b. Controles del proceso
Normalmente se incluyen en los programas de las aplicaciones. Se
diseñan para prevenir o detectar fallas al procesar las entradas de
transacciones. También estos controles deberían detectar la
posibilidad de que se puedan actualizar archivos que no se
correspondan con la aplicación o con el programa en cuestión.
c. Controles de salida
Estos controles se implantan para asegurar que el resultado del
proceso es el adecuado y además, que esos resultados sólo llegan a
personas que estén autorizados a tal efecto.
26
1.3.2. Implantación de un Sistema de Controles Internos Informáticos
Los controles pueden implantarse a varios niveles diferentes. Para llegar a
conocer la configuración del sistema es necesario documentar los detalles de la
red, así como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripción de la configuración hardware
de comunicaciones, descripción del software que se utiliza como acceso a
las telecomunicaciones, control de red, situación general de los
computadores de entornos de base que soportan aplicaciones críticas y
consideraciones relativas a la seguridad de la red
Configuración del computador base: configuración del soporte físico, entorno
del sistema operativo, software con particiones, bibliotecas de programas y
conjunto de datos
Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de
bases de datos y entornos de procesos distribuidos
Productos y herramientas: software para desarrollo de programas, software
de gestión de bibliotecas y para operaciones automáticas.
Seguridad del computador: identificar y verificar usuarios, control de acceso,
registro e información, integridad del sistema, controles de supervisión, etc.
(Piattini y otros, 2008)
1.4. Metodología de Trabajo de la Auditoría Informática
En resumen, podemos indicar lo siguiente:
“El método de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditoría Informática
Estudio inicial del entorno auditable
Determinación de los recursos necesarios para realizar la auditoría
Elaboración del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditoría
Confección y redacción del Informe Final
Redacción de la carta de introducción” (Muñoz, 2002)
27
1.4.1. Ejecución de la Auditoría Informática
Según (Pardo, 2008) La ejecución de la auditoría Informática consiste
principalmente en la recolección de información y evidencias suficientes, para
fundamentar los comentarios, conclusiones y recomendaciones con respecto a
la Gestión tecnológica, lo cual se realiza utilizando diversas técnicas como las
siguientes:
Entrevistas
Simulación
Cuestionarios
Análisis de la información documental entregada por el auditado
Revisión y Análisis de Estándares
Revisión y Análisis de la información de auditorías anteriores
El análisis de esta información deberá ser realizado utilizando el criterio
profesional adquirido por la experiencia del equipo encargado del Proyecto de
Auditoría, identificando cuando las evidencias obtenidas son suficientes para
evidenciar el adecuado conocimiento de la entidad. (ARGUELLES, 2011)
La información recabada debe ser completa y detallada para que pueda ser
comprendida por el equipo de auditoría y permita la obtención de comentarios,
conclusiones y recomendaciones, mediante su revisión.
1.5. Ciclo de Vida de la Auditoría Informática
El proceso de la auditoría implica diversas etapas en las que el auditor ha de
seguir cumpliendo las normas de auditoría para que éste pueda emitir una
opinión profesional sobre lo que está auditando. (Piattini, 2008)
El modelo del proceso para realizar las auditorías sigue un ciclo continuo de
actividades: planificar, ejecutar, revisar y corregir.
1.5.1. Inicio
Este acto se concreta en la primera entrevista con los responsables de la
Institución. Se debe solicitar un inventario de los recursos que se va a auditar
28
para hacerse una idea de la extensión y así poder presupuestar el trabajo de
auditoría.
1.5.2. Fase de Planificación
En esta etapa se define las actividades necesarias para la ejecución, es decir se
identifica las razones por las que se va a realizar la auditoria y determinación del
objeto de la misma, así como el diseño de métodos, técnicas y procedimientos
que se llevan a cabo para la elaboración documental de planes, programas y
presupuestos para dicha auditoria (Muñoz, 2002)
Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han
establecido correctamente, que todos los riesgos se han identificado y se han
cuantificado, que se asignan los recursos necesarios para que se pueda realizar
la auditoría.
1.5.3. Fase de Ejecución
La fase de ejecución está determinada por las características concretas, los
puntos y requerimientos, que se estimaron en la etapa de planeación. En este
inciso solo se indican los puntos más importantes (Sevilla, 2012)
Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos
diseñados en la fase de planificación. No es necesario que esta fase esté
terminada para que se active la fase de revisión.
1.5.4. Fase de Revisión
El equipo auditor debe comprobar que existe correspondencia entre los riesgos
documentales y el plan de acción propuesto. Esta verificación se puede realizar
utilizando técnicas de muestreo, si bien es cierto que no es objetivo de esta fase
analizar los registros, si se debe comprobar que al menos estos existan. (Gorraiz,
2011)
29
El trabajo de auditoría se debe revisar, hay que asegurarse de las debilidades
que se hayan detectado, se debe informar al auditorio de las debilidades y de las
mejoras necesarias para prevenir o eliminar esas debilidades.
1.5.5. Fin
En esta fase la auditora debe integrar perfectamente los papeles de trabajo, ya
que servirán en caso de aclaraciones posteriores y para dar seguimiento a las
soluciones de las desviaciones encontradas. (Gorraiz, 2011)
En un momento determinado se concluye el trabajo y el ciclo se interrumpe. Es
el momento de organizar y archivar los papeles de trabajo de tal forma que se
puedan reutilizar y localizar en el futuro, si fuera necesario.
1.6. Cobit
1.6.1. Historia y Evolución Del Cobit
El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de
crear un mayor producto global que pudiese tener un impacto duradero sobre el
campo de visión de los negocios, así como sobre los controles de los sistemas
de información implantados. La primera edición del COBIT, fue publicada en
1996 y fue vendida en 98 países de todo el mundo. La segunda edición (tema
de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo
que poseía la anterior mediante la incorporación de un mayor número de
documentos de referencia fundamentales, nuevos y revisados (de forma
detallada) objetivos de control de alto nivel, intensificando las líneas maestras de
auditoría, introduciendo un conjunto de herramientas de implementación, así
como un CD-ROM completamente organizado el cual contiene la totalidad de los
contenidos de esta segunda edición.(CHICAIZA, 2011)
30
1.6.2. Evolución del Producto Cobit
El COBIT evolucionará a través de los años y será el fundamento de
investigaciones futuras, por lo que se generará una familia de productos COBIT.
Al ocurrir esto, las tareas y actividades que sirven como la estructura para
organizar los Objetivos de Control de TI, serán refinadas posteriormente, siendo
también revisado el balance entre los dominios y los procesos a la luz de los
cambios en la industria. (Pardo, 2008)
Una temprana adición significativa visualizada para la familia de productos
COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos
de éxito, Indicadores Clave de Desempeño y Medidas Comparativas. Los
Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes
para la administración y poder tomar, así, dichas acciones o considerar los
aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de
Desempeño proporcionarán medidas de éxito que permitirán a la gerencia
conocer si un proceso de TI está alcanzando los requerimientos de negocio. La
Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas
por la gerencia para: determinar el nivel actual de madurez de la empresa;
determinar el nivel de madurez que se desea lograr, como una función de sus
riesgos y objetivos; y proporcionar una base de comparación de sus prácticas de
control de TI contra empresas similares o normas de la industria. Esta adición
proporcionará herramientas a la gerencia para evaluar el ambiente de TI de su
organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.
(Pelazas, 2015)
En definitiva, la organización ISACF (Information Systems Audit and Control
Foundation) espera que el COBIT sea adoptado por las comunidades de
auditoría y negocio como un estándar generalmente aceptado para el control de
las Tecnologías de la Información
31
1.6.3. Función Básica y Orientación del Cobit.
Según (Narvaez, 2012) El COBIT, es una herramienta de gobierno de las
Tecnologías de la Información que ha cambiado de igual forma que lo ha hecho
el trabajo de los profesionales de TI. La ISACF, organización creadora de esta
norma COBIT (Information Systems Audit and Control Fundation), así como sus
patrocinadores, han diseñado este producto principalmente como una fuente de
instrucción para los profesionales dedicados a las actividades de control. La
definición que nos ofrece el sumario ejecutivo del COBIT (Control Objetives for
Information and related Tecnology: Gobierno, Control y Revisión de la
Información y Tecnologías Relacionadas) es la siguiente:
La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y
actualizado conjunto internacional de objetivos de control de tecnologías de la
información, generalmente aceptadas, para el uso diario por parte de gestores
de negocio y auditores.
Dicho de una forma menos formal, señalaremos que el COBIT ayuda a salvar
las fisuras existentes entre los riesgos de negocio, necesidades de control y
aspectos técnicos. Además, proporciona "prácticas sanas" a través de un Marco
Referencial (Framework) de dominios y procesos, y presenta actividades en una
estructura manejable y lógica. Las “prácticas sanas” del COBIT representan el
consenso de los expertos (ayudarán a los profesionales a optimizar la inversión
en información, pero aún más importante, representan aquello sobre lo que serán
juzgados si las cosas salen mal). (Castello, 2006)
El tema principal que trata el COBIT es la orientación a negocios. Éste, está
diseñado no solo para ser utilizado por usuarios y auditores, sino que, en forma
más importante, está diseñado para ser utilizado como una lista de verificación
detallada para los propietarios de los procesos de negocio. De forma creciente,
las prácticas de negocio comprenden la completa autorización de los procesos
propios de negocio, con lo que poseen una total responsabilidad para todos los
aspectos de dichos procesos.
La norma COBIT, proporciona una herramienta para los procesos propios de
negocio que facilitan la descarga de esta responsabilidad. La norma parte con
32
una simple y pragmática premisa: En orden de proporcionar la información que
la organización necesita para llevar a cabo sus objetivos, los requisitos de las
tecnologías de la información necesitan ser gestionados por un conjunto de
procesos agrupados de forma natural. La norma continúa con un conjunto de 34
objetivos de control de alto nivel para cada uno de los procesos de las
tecnologías de la información, agrupados en cuatro dominios: planificación y
organización, adquisición e implementación, soporte de entrega y
monitorización. Esta estructura, abarca todos los aspectos de la información y
de la tecnología que la mantiene. (Chicaiza, 2011)
Mediante la dirección de estos 34 objetivos de control de alto nivel, los procesos
propios de negocio pueden garantizar la existencia de un sistema de control
adecuado para los entornos de las tecnologías de la información. En suma, cada
uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva
de revisión o seguridad para permitir la inspección de los procesos de las
tecnologías de la información en contraste con los 302 objetivos de control
detallados en el COBIT para el suministro de una gestión de seguridad, así como
de un aviso para la mejora. La norma COBIT contiene un conjunto de
herramientas de implementación el cual aporta una serie de lecciones de
aprendizaje, con las que las organizaciones podrán aplicar de forma rápida y
satisfactoria esta norma a sus entornos de trabajo. (Sobrinos, 2010)
Ilustración 3. El Cubo de COBIT Fuente: It Governance Institute, Cobit 4.1. (2007), www.itgi.org,
http://www.isaca.org/Knowledge‐Center/cobit/Documents/cobiT4.1spanish.pdf
33
Para gobernar efectivamente TI, es importante determinar las actividades y los
riesgos que requieren ser administrados. Normalmente se ordenan dentro de
dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT
define las actividades de TI en un modelo de 34 procesos genéricos agrupados
en 4 dominios:
Planear y Organizar (PO): Estrategias y tácticas. Identificar la manera en
que TI pueda contribuir de la mejor manera al logro de los objetivos del
negocio. Proporciona dirección para la entrega de soluciones (AI) y la
entrega de servicio (DS).
Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o
adquisición, cambios y/o mantenimiento de sistemas existentes.
Proporciona las soluciones y las pasa para convertirlas en servicios.
Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos.
Incluye la prestación del servicio, la administración de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales. Recibe las soluciones y las
hace utilizables por los usuarios finales.
Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio
y la aplicación del gobierno. Monitorear todos los procesos para asegurar
que se sigue la dirección provista. (Narvaez, 2012)
1.7. Gestión de Tecnologías de la Información
La tecnología como conjunto de conocimientos configura un sistema con sus
propios procesos y su propia dinámica, en el que las innovaciones son los
principales agentes de cambio. Son las innovaciones, como acciones
sistemáticas e intencionales para introducir cambios o novedades, los elementos
que están en la base de la dinámica de este sistema, dinámica que se expresa
en nuevos o mejores productos o procesos y nuevos mercados, pero también en
nuevas actividades humanas o formas diferentes o mejoradas de hacer
34
actividades ya establecidas. Innovaciones que son el resultado dela
incorporación novedosa de conocimientos en las actividades. (Piattini, 2008)
1.7.1. Contexto Del Desarrollo Tecnológico
El tema de la gestión tecnológica ha tomado gran relieve en América Latina,
introduciendo nuevas preocupaciones e ideas en torno al desarrollo científico y
tecnológico de los países de la región (Ávalos, 1990). En particular, ha llamado
la atención el papel que juega la investigación científica en este proceso,
haciendo evidente la necesidad de que el Gobierno, las empresas públicas y
privadas, las universidades y otras instituciones de investigación, se convenzan
de su importancia para alcanzar un desarrollo autónomo y sostenible. Además,
se han identificado ciertos fenómenos que se presentan en la región y que
caracterizan la investigación científica y tecnológica. (CAMPO, 2012)
En primer lugar, aunque en muchas universidades se realiza investigación,
apenas en los últimos años se ha dado alguna relación directa entre la academia
y las necesidades reales de producción. En segundo lugar, solo a partir de 1980,
los Gobiernos de los países de la región plantearon de manera expresa políticas
de ciencia y tecnología como componente del plan de desarrollo general. En
tercer lugar, usualmente la industria de la región ha brindado poca atención a las
tareas de investigación (Jaramillo, 2010).
1.7.2. Tecnología
La tecnología es el conjunto de conocimientos científicos y empíricos,
habilidades, experiencias y organización requeridos para producir, distribuir,
comercializar y utilizar bienes y servicios. Incluye tanto conocimientos teóricos
como prácticos, medios físicos, know-how, métodos y procedimientos
productivos, gerenciales y organizativos, entre otros, así como la identificación y
asimilación de éxitos y fracasos anteriores, la capacidad y destrezas de los
recursos humanos, etc.
Desde otro punto de vista, la tecnología, además, puede entenderse como la
actividad de búsqueda de aplicaciones a conocimientos existentes. Los
35
conocimientos científicos y tecnológicos presentan características diferentes.
Los primeros son más complejos, surgen de la observación y el análisis y tratan
de suministrar conjuntos de conceptos cada vez más abarcadores y, a su vez,
en la medida de lo posible más sencillos con respecto a los fenómenos, sus
vínculos y sus variaciones, así como sus causas y consecuencias. Los
conocimientos tecnológicos consisten en nuevos procedimientos por medio de
los cuales se alcanzan fines prácticos; pueden considerarse como el
conocimiento de los procedimientos probados por los cuales se alcanzan
objetivos predeterminados. Los avances científicos consisten en explicaciones
teóricas nuevas o mejoradas sobre determinados fenómenos.
Los conocimientos tecnológicos se incorporan en diversos objetos:
• En objetos (hardware): materiales, maquinarias, equipos.
• En registros (software): procedimientos, manuales, bancos de datos.
• En el hombre (humanware): conocimientos, habilidades.
• En instituciones (orgware): estructuras y formas organizativas,
interacciones, experiencia empresarial.
1.7.3. Gestión Tecnológica
La Gestión Tecnológica (GT), se concibe como el proceso de administrar el
desarrollo de la tecnología, su implementación y difusión en los sectores
industrial, público y privado y en la sociedad en general. Además, implica el
manejo del proceso de innovación a través de la Investigación y Desarrollo (I+D),
lo cual incluye la introducción y uso de tecnología en productos, en procesos
industriales, y en otras áreas estructurales y funcionales de la empresa, así como
también la utilización de este conocimiento en la solución de los diferentes
problemas de la sociedad, del ser humano y del medio ambiente. Es una
poderosa herramienta que se debe enmarcar dentro de los procesos generales
de innovación desarrollados en las organizaciones. (Narvaez, 2012)
El control del recurso tecnológico proporciona una ventaja competitiva a las
organizaciones, sobre todo en aquellas en las que se integra en la estrategia
general de la propia empresa. Y esto es mucho más importante para el caso de
organizaciones dedicadas a la generación de productos o servicios en sectores
36
de alta tecnología en las que el periodo de validez de una tecnología concreta
(en términos de adecuación y rendimiento comparativo con otras competidoras)
es cada vez más reducido (ciclos de producto más cortos). (Chicaiza, 2011)
La gestión tecnológica es conocimiento y es una práctica. Es un sistema de
conocimientos y prácticas relacionados con los procesos de creación, desarrollo,
transferencia y uso de la tecnología.
Según la fundación COTEC, “la Gestión de la tecnología incluye todas aquellas
actividades que capacitan a una organización para hacer el mejor uso posible de
la ciencia y la tecnología generada tanto de forma externa como interna. Este
conocimiento conduce hacia una mejora de sus capacidades de innovación, de
forma que ayuda a promocionar la eficacia y eficiencia de la organización para
obtener ventajas competitivas”.
1.7.4. Tipos de Tecnología
Podemos encontrar dos tipos de clasificación, desde el punto de vista estratégico
a y desde el punto de vista de su utilización en un determinado proyecto de la
organización.
Tabla 2. Tipos de Tecnología
Desde el punto de vista estratégico
Tecnologías clave Son aquellas que la empresa domina completamente y que hacen que mantenga una posición de dominación relativa frente a sus competidores en un cierto mercado (sector) y tiempo
Tecnologías básicas
Son aquellas tecnologías consolidadas que se requieren para el desarrollo de los productos de la organización pero que no supone ninguna ventaja competitiva porque también son perfectamente conocidas por los competidores
Tecnologías emergentes
Son aquellas tecnologías inmaduras (posiblemente en las primeras fases de su desarrollo) en las que la empresa que consideramos está apostando como base para constituirse en tecnologías clave si sus desarrollos satisfacen las expectativas puestas en ellas. Se asume con ellas un riesgo elevado.
Desde el punto de vista de un proyecto
Imprescindibles Cuando sin ellas no se puede realizar. Si estas tecnologías no se conocen (o no suficientemente) en la organización deberán adoptarse las medidas adecuadas para incorporarlas a la organización.
37
Convenientes Cuando el proyecto se realizaría mejor en el caso de disponer de ellas
Auxiliares Cuando tienen un papel secundario y se puede realizar el proyecto sin ellas. Estas pueden ahorrar tiempo y coste, pero afectan poco a las prestaciones del sistema
Elaborado por: Guillermo Pulgar Fuente: https://excelencemanagement.wordpress.com/2016/02/19/1139/
La capacidad competitiva de la empresa queda determinada por dos factores:
Los externos que dicen la relación con el sector de la actividad a la que
pertenece la empresa, contexto y a la característica de la política
económica que le afecta son el mercado de trabajo, la política industrial y
el sistema fiscal.
Los internos que se vinculan a la actuación de la propia empresa y
dependen de su capacidad de dirección para consolidar la gestión e
innovación tecnológica y las capacidades existentes en su interior para
generar competencias.
La Gestión Tecnológica es un factor importante de competitividad por todo lo que
ella representa para la organización a nivel de la empresa en particular no basta
para alcanzar la competitividad plena, pues esta última es sistémica.
1.7.5. Gestión Tecnológica: Consultoría y Auditoría Informática.
Por otra parte, la gestión tecnológica se divide en dos partes que resultan
fundamentales para el correcto funcionamiento y empleo de las nuevas
tecnologías que, supuestamente, han llegado para facilitar el trabajo. Por un
lado, se encuentra la consultoría informática, que se encarga de la planificación
de los programas. La misma debe estar pendiente de todas las posibles
aplicaciones que posee cada programa elegido por la administración de las
empresas, para así poder determinar cuál será el más indicado para aplicar
según sus funciones. (Piattini, 2008)
La otra parte de la gestión tecnológica se trata de la auditoría informática, la cual
se encarga de llevar a cabo la ejecución de los programas tecnológicos y el
control de los mismos. Además, la persona que oficia de auditor informático (los
auditores informáticos siempre serán internos ya que una empresa no se puede
38
arriesgar a que una persona del ambiente externo manipule los sistemas de
información) debe estar capacitada para la resolución de todos los problemas
que puedan presentarse, no solo en los sistemas de información, sino que
también, en el resto de los recursos tecnológicos con los que cuenta una
empresa.
Como bien dijimos al principio del artículo, la tecnología es una de las razones
principales por la cual, el desempeño y desarrollo de las empresas, va
avanzando a pasos agigantados, especialmente cuando se trata de las
pequeñas y medianas empresas, y es por ello, que aunque no se cuenten con
los recursos económicos necesarios como para poder llevar a cabo la gestión
tecnológica correspondiente, de alguna u otra manera la misma debe hacerse
presente en toda empresa que posea recursos tecnológicos. (PIATTINI, 2008)
Además es fundamental poder disminuir al mismo nivel, los riesgos de fallas y
errores que puedan cometer estos sistemas tecnológicos, y preferentemente la
gestión tecnológica debe intentar eliminar dicho riesgo, una pequeña falla, puede
traer como consecuencia la pérdida de toda la información correspondiente a
una empresa, y este es un factor que puede arruinar por completo a la entidad
si no se aplica un método de gestión tecnológica que resulte eficiente, por eso
es preciso que antes de implementar cualquier novedad a su empresa, consulte
primero acerca de todas las ventajas y desventajas que posee.
1.7.6. Relación de la Gestión y la Tecnología
El management contemporáneo relaciona el factor tecnológico con el sistema
administrativo y la estructura de la organización. En la estructura interna de los
sistemas productivos aparece ahora una nueva unidad organizacional
especializada en la administración de este factor; por tal razón, para analizar la
relación entre gestión y tecnología se hace pertinente determinar el rol que esta
última desempeña. Es posible, de tal modo, diferenciar cuatro tipos de
organizaciones de acuerdo a la forma como la tecnología se involucra dentro de
su estructura: (Sevillano, 2009)
39
Empresas cuyo objetivo principal no es la producción de tecnología como
una mercancía separada, sino que asimila esta como un insumo para ser
empleado en la producción y comercialización de bienes y servicios. En
este caso la generación de tecnología es una actividad desarrollada
preferentemente de manera exógena por un laboratorio de investigación
o por un departamento de diseño y desarrollo.
Empresas que basan sus actividades en la tecnología como producto a
comercializar; su producto final es precisamente la tecnología, lo cual
implica procesar conocimientos para producir paquetes tecnológicos y
venderlos en el mercado. Ese conocimiento puede ser científico o
empírico, pertenecer a la empresa o a otros, o incluso ser un bien libre;
puede ser original o copiado, ser una innovación, una adaptación o una
mezcla.
Junto con la creatividad, la fuerza de trabajo en las empresas de tecnología
requiere de talentos adicionales a los netamente científicos técnicos:
Ilustración 4. Actividades relacionadas con la producción de tecnologías Elaborado por: Guillermo Pulgar
ACTIVIDADES
CIENTÍFICO-TÉCNICAS
ACTIVIDADES ECONÓMICO-COMERCIALES
ACTIVIDADES DE
PLANIFICACIÓN
Idea / invento Investigación científica
y técnica Búsqueda
Dimensionamiento Diseño
Ingeniería Planta Piloto
Interacción con producción
Reconocimiento de posibilidades comerciales
Investigación económico – comercial
Dimensionamiento Especificaciones
Primera etapa de la comercialización
Desarrollo del mercado Desarrollo del producto
Patentes / Licencias Ingeniería
Planta Piloto Interacción con
producción
Previsión de negocios posibles
Definición de objetivos
Formulación de presupuestos
Decisiones organizativas
Estrategias para distintos plazos
Estrategia de reclutamiento de personal a largo
plazo
40
1.7.7. Especificación y Diseño de la Estrategia Tecnológica
La estrategia tecnológica debe hacer explícitas las opciones tecnológicas de la
empresa y su éxito o fracaso estará basado en la identificación de oportunidades
y en la concentración de recursos en aquellas áreas tecnológicas en las que
posea mejores capacidades internas y que les permitan alcanzar con rapidez la
fase de comercialización.
Se debe tener en cuenta:
El grado de riesgo implícito, que varía desde la aplicación o mejora de
tecnologías existentes hasta el desarrollo de otras completamente nuevas.
La intensidad en el esfuerzo tecnológico, que puede variar desde una
investigación exploratoria hasta la completa aplicación industrial.
La distribución del presupuesto destinado a la tecnología entre las diversas
opciones tecnológicas elegidas.
La elección de la posición competitiva para cada tecnología (líder, seguidor,
búsqueda de nichos de mercado, etcétera).
1.7.8. Objetivo de la Gestión Tecnológica
La gestión tecnológica tiene como objetivo mejorar la variable tecnológica en la
estrategia global de la empresa y comprende actividades de identificación y
obtención de tecnología, investigación y desarrollo (I+D), adaptación de nuevas
tecnologías, explotación de las tecnologías para la producción de bienes y
servicio. (Piattini, 2008)
Se ocupa también de la funciones de vigilancia tecnológica para detectar las
tecnologías de interés para el futuro, del referencia miento (benchmarking), de la
reingeniería y de la tercerización (outsorsing), del análisis de los productos de
los competidores (rereverse engineering), de los derechos de propiedad y
licenciamiento, de las normas y estándares, y de la alianzas estratégicas
41
1.8. Conclusiones Parciales del Capitulo
Una vez realizado el marco teórico, y analizado cada uno de sus puntos se ha
llegado a las siguientes conclusiones:
En la actualidad y desde hace mucho tiempo la auditoría de sistemas ha
tomado una importancia relevante en la vida empresarial, ya que no hay
empresa o institución que en estos momentos prácticamente dependa de
este mundo de la informática, es por eso que dichas empresas y/o
instituciones, tienen que cuidar e invertir muy bien en tecnología, y es la
auditoría que les dirá porque camino ir.
En toda institución debe realizarse por lo menos anualmente una auditoría
informática y no esperar a que suceda o fallen los controles para en ese
momento aplicarla, esto evitaría gastos.
La gestión tecnológica de toda institución es la parte medular, una mala
administración o fallas en ellas significan gastos y en muchos casos perdidas
irrecuperables.
Las instituciones deben tener en cuenta que no es la mejor la que más
invierte en tecnología sino la que mejor invierte, y es el departamento de
informática que debe estar asesorando a los gerentes en las adquisiciones,
modernizaciones de tecnologías, para ello es importante el pleno
conocimiento de la tecnología actual.
42
CAPITULO II MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA
PROPUESTA
2.1. El Distrito de Educación 06D04 Colta - Guamote
Ilustración 5. Edificio de la Dirección Distrital 06D04 Fuente: Guillermo Pulgar
La Dirección Distrital 06D04 Colta – Guamote se encuentra ubicada en la ciudad
de Villa la Unión – Colta en la Provincia de Chimborazo, en las calles Juan
Bernardo de León y Caamaño.
La Dirección Distrital es la Encargada de gestionar las necesidades de las
Instituciones Educativas Fiscales pertenecientes a los Cantones de Colta y
Guamote, por lo tanto, todos los actores de la Comunidad Educativa (Docentes,
Autoridades, Estudiantes y Padres de Familia) se convierten en los usuarios
externos de este establecimiento.
En la dirección Distrital funcionan los siguientes departamentos: Administrativo
Financiero, Planificación, Administración Escolar, Apoyo, Seguimiento y
Regulación, Talento Humano, Asesoría Jurídica, Tecnologías de la Información
y Comunicación (TIC´s), este último funciona como apoyo para todos los demás
departamentos
43
2.2. Diseño Metodológico.
La modalidad investigativa que se ha utilizado en este proyecto de investigación
es la denominada cuali-cuantitativa. La investigación cualitativa es el
procedimiento metodológico que se caracteriza por entender el conjunto de
cualidades interrelacionadas que caracterizan a un determinado fenómeno, se la
aplico para determinar las características del problema como la imposibilidad
tomar decisiones para compra o actualización de equipos debido a la falta de
información sobre el estado del parque tecnológico y su nivel de apoyo en la
entidad Estatal.
La investigación cuantitativa se caracteriza por recoger, procesar y analizar
datos cuantitativos o numéricos sobre variables previamente determinadas.
Dicha metodología se la aplico para determinar estadísticamente los síntomas
de la problemática.
Los tipos de investigación aplicados son:
Bibliográfica: Este tipo de investigación se la desarrolla en base a la
recopilación de la información de fuentes primarias, se la utilizó para
desarrollar el marco teórico orientado esencialmente a los conceptos básicos
de la auditoría informática, de la metodología Cobit y el control operacional
De Campo: se la lleva a cabo en base a encuestas y entrevistas, se la aplico
para desarrollar el marco metodológico. Se entrevistó al Director del
departamento de Sistemas y se encuesto tanto a los usuarios como a los
empleados.
2.3. Población y Muestra
La población involucrada en la problemática descrita en el inicio de este trabajo
investigativo está estructurada de la siguiente forma:
44
Tabla 3. Población involucrada en el problema
FUNCIÓN NUMERO
Director del Departamento de
Sistemas
1
Funcionarios 39
Usuarios del Distrito de Educación
06D04 Colta - Guamote
10000
TOTAL 10040
Elaborado por: Guillermo Pulgar
Se define como la muestra, a un porcentaje de la población, en este caso se
tomará la muestra de los Usuarios externos, ya que de los Internos se tomará
todo el universo, la muestra será calculada en base a la siguiente fórmula:
Población Muestra = ------------------------------------------- Se asume un error del 5% (Población – 1) * Error² + 1 Reemplazando valores se tiene
10000 Muestra = ------------------------------------------- (10000 – 1) * 0,05² + 1 10000 Muestra = ------------------------------------------- (9999) * 0,0025 + 1 10000 Muestra = ------------------------------------------- 26 Muestra = 385 La muestra se ha estratificado de la siguiente forma:
45
Tabla 4. Muestra
FUNCIÓN NUMERO
Analista Zonal de Sistemas 1
Funcionarios Públicos 39
Usuarios del Distrito de Educación 06D04 Colta - Guamote
385
TOTAL 425
Elaborado por: Guillermo Pulgar
2.4. Métodos Investigativos
Analítico- Sintético: Método investigativo aplicado para analizar y sintetizar
información para el marco teórico. Se recopilo la información teórica y mediante
el método se logró llegar a la construcción del fundamento teórico
Inductivo-Deductivo. Se indujo una respuesta particular a la problemática para
deducir una solución general a la problemática Estatal del país
Las técnicas de investigación aplicadas fueron:
Entrevista y encuestas tanto a empleados como a Usuarios Externos
Los instrumentos utilizados fueron:
Cuestionarios específicos para usuarios y empleados
2.5. Tabulación de Resultados
Luego de realizada la investigación de campo se procedió a tabular los
resultados de las encuestas, los cuales se detallan a continuación.
46
Encuesta realizada a los funcionarios:
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el
responsable de cada equipo informático de la Estatalidad?
Si…… No……
Tabla 5. Pregunta #1 Encuesta realizada a Funcionarios Públicos
Respuestas Frecuencia Porcentaje
Si 16 60%
No 24 40%
Total 40 100%
Elaborado por: Guillermo Pulgar
Fuente: La Encuesta
Ilustración 6. Pregunta #1 Encuesta realizada a Funcionarios Públicos
Elaborado por: Guillermo Pulgar
Análisis e interpretación: La gran mayoría de los investigados afirma que no
se conoce exactamente la ubicación y los custodios asignados a los diferentes
equipos informáticos con los que trabaja el Distrito de Educación 06D04 Colta –
Guamote.
Si40%
No60%
47
Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
Tabla 6. Pregunta #2 Encuesta realizada a Funcionarios Públicos
Respuestas Frecuencia Porcentaje
Semestralmente 2 6%
Anualmente 5 15%
Rara vez 11 32%
Nunca 16 45%
Total 40 100%
Elaborado por: Guillermo Pulgar Fuente: La Encuesta
Ilustración 7. Pregunta #2 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar
Análisis e interpretación: De acuerdo a la encuesta, la mayoría afirman que
nunca se ha realizado una auditoria de hardware y su funcionamiento, un
porcentaje intermedio aseguran que rara vez se lo ha realizado, otra parte afirma
que anualmente se ha realizado mientras que un bajo porcentaje señalan que se
lo has realizado semestralmente.
Semestralmente6% Anualmente
15%
Rara vez32%
Nunca47%
48
Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Tabla 7. Pregunta #3 Encuesta realizada a Funcionarios Públicos
Respuestas Frecuencia Porcentaje
Semestralmente 1 2%
Anualmente 1 2%
Rara vez 9 23%
Nunca 29 73%
Total 40 100%
Elaborado por: Guillermo Pulgar Fuente: La Encuesta
Ilustración 8. Pregunta # 3 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un
elevado porcentaje afirma que nunca se ha realizado una auditoria relacionada
con software y su funcionamiento, mientras otros manifiestan que rara vez y en
su minoría anualmente y semestralmente.
Semestralmente2%
Anualmente2%
Rara vez23%
Nunca73%
49
Pregunta No 4. ¿Cree usted que se hace un adecuado control del
funcionamiento de las tecnologías de información que apoyan el proceso
operativo de la Institución?
Si……. No …….
Tabla 8. Pregunta # 4 Encuesta realizada a Funcionarios Públicos
Elaborado por: Guillermo Pulgar
Fuente: La Encuesta
Ilustración 9. Pregunta # 4 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un
porcentaje mayor de encuestados admiten que no se hace un adecuado control
del funcionamiento de las tecnologías de información, mientras que un
porcentaje más bajo opina que si se hace un control en este sentido.
No se hace52%
Si se hace48%
Respuestas Frecuencia Porcentaje
No se hace 21 47%
Si se hace 19 53%
Total 40 100%
50
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Tabla 9. Pregunta # 5 Encuesta realizada a Funcionarios Públicos
Elaborado por: Guillermo Pulgar Fuente: La Encuesta
Ilustración 10. Pregunta # 5 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Según los resultados de la encuesta se puede
manifestar que gran parte de los encuestados consideran muy importante la
realización de una auditoria informática, por otra parte, existe un bajo porcentaje
que consideran poco importante la realización de una auditoría informática
Muy importante87%
Poco importante10%
Nada importante3%
Respuestas Frecuencia Porcentaje
Muy importante 35 87%
Poco importante 4 10%
Nada importante 1 3%
Total 40 100%
51
mientras tanto una poca minoría declaran nada importante la realización de una
auditoría informática.
Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información
durante la realización de estas auditorías?
Si…… No…….
Tabla 10. Pregunta # 6 Encuesta realizada a Funcionarios Públicos
Elaborado por: Guillermo Pulgar
Fuente: La encuesta
Ilustración 11. Pregunta # 6 Encuesta realizada a Funcionarios Públicos Elaborado por: Guillermo Pulgar
Análisis e interpretación: La mayoría de encuestados indican que estarían
dispuestos a proveer información para la ejecución de la auditoria mientras que
una pequeña parte expresaron que lo realizaran parcialmente y por ultimo una
mínima parte de los encuestados dijeron que no.
97%
3%
Respuestas Frecuencia Porcentaje
Si 39 97%
No 1 3%
Total 40 100%
52
Encuesta realizada a los Usuario Externos:
Pregunta No 1. ¿Considera usted que el Distrito de Educación 06D04 Colta -
Guamote está fuertemente apoyado por las tecnologías en su atención al
usuario?
Si……. No……….
Tabla 11. Pregunta # 1 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Si 253 66%
No 132 35%
Total 385 100%
Elaborado por: Guillermo Pulgar Fuente: La encuesta
Ilustración 12. Pregunta # 1 Encuesta realizada a Usuarios Externos Elaborado por: Ing. Guillermo Pulgar
Análisis e interpretación:
Según los resultados de la encuesta se puede manifestar que gran parte de los
encuestados consideran que en la institución si se está apoyado por las
tecnologías en su atención al usuario, por otra parte, existe un menor número
que se manifiestan que no existe el apoyo.
Si66%
No34%
53
Pregunta No 2. ¿Durante sus visitas al Distrito de Educación 06D04 Colta -
Guamote , ha sufrido demoras en su atención debido a daños en los equipos
informáticos?
Nunca…. Rara vez…. A veces…. Frecuentemente…….
Tabla 12. Pregunta # 2 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Nunca 99 24%
Rara vez 181 43%
A veces 105 25%
Frecuentemente 32 8%
Total 385 100%
Elaborado por: Guillermo Pulgar
Fuente: La encuesta
Ilustración 13. Pregunta # 2 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Según los resultados obtenidos de la encuesta, un
grupo de encuestados afirman que rara vez han sufrido demoras en atención por
daños en equipos, mientras otros manifiestan que ha ocurrido a veces y en su
minoría nunca y frecuentemente han tenido inconvenientes.
Nunca 24%
Rara vez43%
A veces25%
Frecuentemente8%
54
Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Si… No……
Tabla 13. Pregunta # 3 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Si 199 52%
No 186 48%
Total 385 100%
Elaborado por: Ing. Guillermo Pulgar Fuente: La encuesta
Ilustración 14. Pregunta # 3 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Revisando los resultados de las encuestas podemos
observar que en su mayoría concuerdan con el mejoramiento de los equipos
informáticos, muestras el grupo restante están opina que no.
Si52%
No48%
55
Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la
tecnología?
Algunos……. Muy pocos…….. Ninguno……..
Tabla 14. Pregunta #4 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Algunos 78 20%
Muy pocos 208 54%
Ninguno 99 26%
Total 385 100%
Elaborado por: Guillermo Pulgar Fuente: La encuesta
Ilustración 15. Pregunta # 4 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar
Análisis e interpretación: En el resultado de la presente encuesta podemos
notar que en su mayoría revelan que se han incorporado muy pocos nuevos
servicios apoyados por la tecnología mientras que un pequeño grupo mencionan
que no ha sido incorporado y por ultimo tenemos a una minoría que declaran
haber incorporado algunos servicios nuevos apoyados a la tecnología
Algunos20%
Muy pocos54%
Ninguno26%
56
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para
el manejo de los equipos informáticos?
Si… No……
Tabla 15. Pregunta #5 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Si 339 88%
No 46 12%
Total 385 100%
Elaborado por: Guillermo Pulgar Fuente: La encuesta
Ilustración 16. Pregunta # 5 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Se puede reiterar que el resultado de esta encuesta
se manifiesta que hay una gran mayoría que piensan que el personal está
verdaderamente capacitado en el manejo de equipos informáticos.
Si88%
No12%
57
Pregunta No 6. ¿Cree usted que se debe actualizar los conocimientos
tecnológicos del personal del Distrito de Educación 06D04 Colta - Guamote?
Si… No……
Tabla 16. Pregunta #6 Encuesta realizada a Usuarios Externos
Respuestas Frecuencia Porcentaje
Si 161 58%
No 224 42%
Total 385 100%
Elaborado por: Guillermo Pulgar Fuente: La encuesta
Ilustración 17. Pregunta # 6 Encuesta realizada a Usuarios Externos Elaborado por: Guillermo Pulgar
Análisis e interpretación: Existe un porcentaje mayor de usuarios internos que
opinan que los funcionarios no deberían actualizar sus conocimientos en cuanto
sus conocimientos de tecnología, mientras en menor cantidad opinan que
debería haber una actualización de conocimientos.
Si42%
No58%
58
2.7. Planteamiento de la Propuesta.
La propuesta de solución a la problemática planteada al inicio de este trabajo
investigativo se esquematiza de la siguiente forma:
Ilustración 18. Propuesta a la solución Problemática Elaborado por: Guillermo Pulgar
2.8. Conclusiones Parciales del Capitulo
Entre las conclusiones del capítulo tenemos:
No se tiene información clara y concreta relacionada con la ubicación de los
equipos y sus custodios.
Nunca se han elaborado auditorias de hardware y software que evalúen el
estado y el funcionamiento de los equipos como de los sistemas.
En el Distrito de Educación 06D04 Colta - Guamote se está utilizando equipos
que no están actualizados, los cuales pordrían tener una falla a corto plazo.
Se considera que el Distrito de Educación 06D04 Colta - Guamote y su
plataforma tecnológica debe modernizarse ya que no ha incorporado nuevos
servicios apoyados por la tecnología.
El personal ve con buenos ojos la realización de una auditoria informática y
esta presto a colaborar con la misma
Planificación
Planificación de una auditoría informática relacionada con hardware y software
Ejecución
Desarrollo de la Auditoría informática
Resultados y recomendaciones
Exposición de resultados de la Auditoría y recomedanciones a los mismos
59
CAPITULO III VALIDACION Y VERIFICACION DE LOS RESULTADOS
3.1. Tema
Auditoría Informática y la Calidad del Servicio de las Tecnologías de la
Información en el Distrito De Educación 06d04 Colta - Guamote
Introducción
Hoy en día, el Ministerio de Educación está a la vanguardia de la
desconcentración, con un modelo de gestión completo y diferente, mediante la
creación de Zonas, Distritos y Circuitos Educativos con competencias,
funcionarios capacitados para proveer servicios de calidad con calidez en
territorio, lo que permite contar con un servicio educativo mejor organizado, más
cercano de los usuarios y sobre todo más eficiente.
El Sistema de Educación Intercultural ha contribuido notablemente a la
transformación de nuestras comunidades, barrios y al enriquecimiento cultural
del país, sin embargo, la educación intercultural es participar en la construcción
activa de un mundo más solidario. La humanidad, cada grupo humano y cada
hombre van eligiendo a lo largo de la historia y de su vida entre la cooperación y
la lucha, entre la aceptación y el rechazo, entre la guerra y la paz. Hemos ido
aprendiendo modos pacíficos de superar los conflictos propios de la convivencia
social y creando nuevos instrumentos para edificar una vida más humana y más
solidaria."
3.2. Objetivos
General
Desarrollar una auditoria informática enfocada esencialmente a la calidad del
servicio que brinda el departamento de tecnologías del Distrito de Educación
06d04 Colta – Guamote.
60
Específicos
Diagnosticar la situación actual de todo el ámbito tecnológico de la
institución
Elaborar la planificación de la auditoria informática a realizar
Ejecutar la auditoría informática
Emitir el informe final de la auditoría
3.3. Descripción General de la Propuesta
La propuesta de solución al problema planteado consiste en la elaboración de
una Auditoria Informática relacionada con la calidad del servicio que brinda el
departamento de tecnologías del Distrito, la misma que ha sido desarrollado en
las siguientes etapas:
Planificación: Consta de un diagnóstico inicial, un diseño del plan y el desarrollo
de instrumentos.
Ejecución: Aquí se llevan a cabo las actividades planificadas, se aplican
instrumentos, se Integración de papeles de trabajo y se elabora el informe
preliminar
Dictamen. Aquí se hará un análisis de los resultados encontrados y se elabora
un informe final.
3.3.1. Desarrollo de la Propuesta
La solución propuesta consiste en llevar a cabo la auditoria informática en la
Institución, la misma que se ha llevado a cabo etapas:
Diagnóstico Previo
Funciones en el DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN
Y COMUNICACION:
Aplicar políticas y normativas alineadas en los estándares para la ejecución
de proyectos de sistematización, automatización, adquisición y/o contratación
de bienes y/o servicios tecnológicos informáticos del distrito.
61
Proporcionar soporte en los procesos tecnológicos del distrito.
Monitorear de forma permanente los servicios tecnológicos del distrito.
Administrar la infraestructura tecnológica en el nivel distrital.
Supervisar el buen uso de las herramientas e infraestructura tecnológica del
distrito.
Apoyar en la coordinación de los proyectos realizados por la Dirección
Nacional de Tecnologías Educativas y SITEC.
Planificación
En esta etapa se diseñan los instrumentos de evaluación y sus periodos de
ejecución, se planificará la ejecución de la auditoría utilizando la metodología
COBIT
La auditoría planificada consta de:
Documentos de Gestión del Área Informática
Actualmente la unidad no cuenta con el manual de procedimientos
administrativos informáticos, ni tampoco cuenta con la documentación requerida
las cuales son:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias.
Seguridad de datos y equipos de Cómputo.
62
Plan de la Auditoria
Cronograma de Actividades
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de las
autoridades de la entidad, solicitando la participación de los principales
empleados, directores y autoridades de la institución para lo cual se ha realizado
el siguiente cronograma de actividades:
63
Ilustración 19. Cronograma de Actividades Elaborado por: Guillermo Pulgar
Los modelos de encuestas y entrevistas se encuentran en los Anexos.
DESCRIPCIÓN 2017 2017
Abril Mayo Junio Julio Agosto
Septiembre Octubre
FASE 1: PLANEACIÓN
Visita Preliminar
Definición de Objetivos
Definición de puntos a evaluar y otros
Elaboración instrumentos de evaluación
FASE 2: EJECUCIÓN
Evaluación de los Procesos
Encuestas al Personal Administrativo
Encuestas al Personal Directivo
Encuestas a las autoridades
Entrevista al Jefe de Informática
Evaluación del equipo Tecnológico
FASE 3: REVISIÓN Y ANÁLISIS
Análisis de información y discusión de hallazgos
Informe de problemas detectados
Elaboración del Informe Final
Presentación del informe de auditoría
64
FASE 1. PLANEACIÓN
El estudio inicial nos permite dar a conocer aspectos relativos a la organización
y funcionamiento de la institución como: el volumen y complejidad de las tareas
a realizar para estimar esfuerzos y para obtener recursos; así como también los
procesos que se realizan en la actividad cotidiana.
Organigrama funcional de la institución
Ilustración 19. Orgánico Funciona Dirección Distrital 06D04 Fuente: Acuerdo 020 Ministerio de Educación
65
Estructura y Volumen de los Elementos a Auditar
Números de Puestos de Trabajo
Existen 35 puestos de trabajo distribuidos en el edificio de la Dirección
Distrital
Números de Clases de Puestos
Las clases de puestos de trabajo funcionando dentro del Área informática son
las siguientes:
Analista Distrital de Tecnologías de la Información y Comunicación
Analista Zonal de Tecnologías de la Información y Comunicación
Tabla 17. Número de personas en los puestos de trabajo
Dependencia Nombres Cargos
TICs Guillermo Pulgar Analista Distrital TICs
TICs Mayra García Analista Zonal TICs
Elaborado por: Guillermo Pulgar
Número de Aplicaciones de Sistemas Informáticos
Tabla 18. Aplicaciones y Sistemas Informáticos
SISTEMA PRODUCTO
Sistema Operativo de Red Windows Server 2008
Sistema Operativo de Estaciones de
Trabajo Windows 7 o superior
Herramientas de Escritorio
Procesador de palabras Word
Hoja de cálculo Excel
Presentaciones Power Point-Publisher
Correo Electrónico Outlook
Otros
Antivirus y utilitarios Nod 32
Diagramador de Flujos Visio
66
Diseño Gráfico Photoshop, Adobe Premier
Publicidad Print Artist-Iartist
Digitalización, Modelamiento Autocad
Geo-referenciación Arc Gis
Elaborado por: Guillermo Pulgar
Entornos Operativos
Redes
Tabla 19. Características de la Red
Tecnología: Ethernet 10/100
Topología de la Red: Estrella
Puntos de Red 35
Tipo de cable usado Cable Par trenzado Utp Cat. 6
Tipo de conector RJ-45
Velocidad 10-100 Mbps
Máxima longitud entre la estación y el
switch.
20 m
Máxima longitud entre el servidor y el
switch.
5 m
Elaborado por: Guillermo Pulgar
67
FASE 2. EJECUCIÓN
Herramientas y Técnicas
Tabla 20. Cuadro de Herramientas
HERRAMIENTAS TÉCNICAS
Cuaderno de apuntes, grabadora,
camara, papel, lapiceros, laptop
Observación, entrevistas y encuestas
Elaborado por: Guillermo Pulgar
Estaciones de Trabajo
Tabla 21. Equipos Informáticos de que utilizan los funcionarios
MONITOR PROCESADOR MEMORIA DISCO TIPO
17 " Core 2 Duo E6750 2.66 Ghz 1 GB 249 GB DESKTOP
19 " Core I7 3770 3,40 GHz 8 GB 1 TB DESKTOP
19 " Core I7 4770 3,40 GHz 4 GB 500 GB DESKTOP
17 " Core 2 Duo E7500 2.93 Ghz 2 GB 160 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 260 GB DESKTOP
17 " Core I3 2120 3.30 GHz 6 GB 290 GB DESKTOP
17 " Dual Core ES300 2,60 GHz 2GB 300 GB DESKTOP
19 " Dual Core ES400 2,70 GHz 4 GB 500 GB DESKTOP
19 " Core 2 Duo E7500 2.93 Ghz 2 GB 300 GB DESKTOP
19 " Core I7 4770 3,40 GHz 4 GB 500 GB DESKTOP
19 " Core I7 4770 3,40 GHz 8 GB 370 GB DESKTOP
17 " Core I7 2120 3,30 GHz 2 GB 150 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
19 " Core 2 Duo E8400 3.00 Ghz 3 GB 150 GB DESKTOP
19 " Core I7 3770 3,40 GHz 4 GB 500 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP
17 " Core 2 Duo E8400 3.00 Ghz 4 GB 380 GB DESKTOP
17 " Core 2 Duo E8400 3.00 Ghz 4 GB 380 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP
19 " Core I7 4770 3.40 GHz 8 GB 450 GB DESKTOP
19 " Core I7 4770 3.40 GHz 4 GB 450 GB DESKTOP
17 " Core 2 Duo E4500 2.66 Ghz 3 GB 300 GB DESKTOP
17 " Core 2 Duo E4500 2.20 Ghz 3 GB 120 GB DESKTOP
15 " Core 2 Duo E4500 2.20 Ghz 4 GB 300 GB DESKTOP
17 " Core 2 Duo E8400 3.00 Ghz 3 GB 240 GB DESKTOP
21 " Core Centrino Duo T2400 1.83 GHz
512 MB 110 GB PORTATIL
17 " Core 2 Duo E8300 2.83 Ghz 2 GB 150 GB DESKTOP
17 " Core 2 Quad Q9400 2.66 GHz 4 GB 300 GB DESKTOP
68
17 " Core I7 3770 3.40 GHz 8 GB 465 GB DESKTOP
52 " AMD Sempron 130 2.60 GHz 2 GB 120 GB DESKTOP
15 " Core 2 Duo E4500 2.20 Ghz 4 GB 460 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP
17 " Core 2 Duo E7300 2.66 Ghz 4 GB 300 GB DESKTOP
15 " Interl Celeron 1000M 1.80 GHz 2 GB 300 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
14 " Core I7 4600 2.90 GHz 8 GB 500 GB PORTATIL
19 " Pentium 4 3.00 GHz 2 GB 150 GB DESKTOP
17 " Core I7 4600 2.90 GHz 4 GB 1 TB DESKTOP
17 " Core I3 2120 3.30 GHz 2 GB 300 GB DESKTOP
8 " Intel Celeron 1007U 1.50 GHz 2 GB 480 GB PORTATIL
Elaborado por: Guillermo Pulgar
Aspectos a Evaluar
Se han considerado los aspectos más relevantes en cuanto a Tecnologías de la
Información y Comunicación se refiere, para los cual se toma en cuenta la
siguiente tabla para evaluar el cumplimiento de dichos aspectos:
Tabla 22. Parámetros para la evalución
PARÁMETROS VALORACIÓN
NO EXISTE 0
MALO 1
BUENO 2
EXCELENTE 3
Elaborado por: Guillermo Pulgar
69
Software
Tabla 23. Evaluación del Software
ASPECTOS A EVALUAR VALORACIÓN
1. Existe un informe técnico en el que se justifique
la adquisición del equipo, software y servicios
de computación, incluyendo un estudio costo
beneficio
0
2. Se cuenta con software de oficina 3
3. Se ha asegurado un respaldo de mantenimiento
y asistencia técnica 2
4. El acceso al equipamiento cuenta con las
seguridades necesarias para reservar el
ingreso al personal autorizado
2
5. Todas las actividades que realizan los usuarios
internos están normadas mediante manuales,
instructivos, normas, reglamentos, etc.
1
6. Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, así como
extintores de incendio, conexiones eléctricas
seguras entre otras
2
7. Se mantiene programas y procedimientos de
detección e inmunización de virus en copias no
autorizadas o datos procesados en otros
equipos
3
8. Se han instalado equipos que protejan la
información y los dispositivos en caso de
variación de voltaje como: reguladores de
voltaje, UPS, generadores de energía
2
9. Se hacen revisiones periódicas del contenido
del disco para verificar la instalación de
aplicaciones no relacionadas a la gestión del de
la Institución
1
70
10. Se cuenta con licencias para todo el software 0
11. Se realizan copias de seguridad de los
archivos de cada uno de los equipos en
dispositivos externos
2
12. Se han contratado pólizas de seguros para
proteger la información, equipos, personal y
todo riesgo que se produzca por casos
fortuitos o mala operación
0
TOTAL 18
Elaborado por: Guillermo Pulgar
Tabla 24. Riesgos Software
RIESGO TIPO DE
RISGO
1. Pérdida de información causado por factores
internos y externos. Control
2. No existe el presupuesto necesario para la
adquisición de tecnología Inherente
3. Funcionamiento del software en un porcentaje
bajo
Elaborado por: Guillermo Pulgar
Valor Máximo=36
Valor Obtenido=18
%5036
100*18alcanzadoPorcentaje
71
Hardware
Tabla 25. Evaluación del Hardware
ASPECTOS A EVALUAR VALORACIÓN
1. La capacidad de los discos duros es
adecuada para el almacenamiento de datos. 3
2. La memoria RAM de los equipos está acorde
para la correcta ejecución de las aplicaciones. 1
3. Se da mantenimiento correctivo al equipo de
cómputo cuando se lo requiere. 3
4. Se da mantenimiento preventivo completo al
equipo de cómputo de forma frecuente. 1
5. Los equipos todavía se encuentran
funcionando dentro de su vida útil 0
TOTAL 8
Elaborado por: Guillermo Pulgar
Tabla 26. Riesgos Hardware
RIESGO TIPO DE
RISGO
1. Pérdida de equipos causado por factores
internos y externos. Control
Elaborado por: Guillermo Pulgar
Valor Máximo=15
Valor Obtenido=8
%5312
100*8alcanzadoPorcentaje
72
Seguridad
Tabla 27. Evaluación de la seguridad
ASPECTOS A EVALUAR VALORACIÓN
1. Existe personal de vigilancia en la Institución 3
2. Se ha instruido a los funcionarios sobre qué
medidas tomas en caso de una emergencia 2
3. Los usuarios externos no tienen acceso a los
equipos informáticos 3
4. Se ha prohibido a los funcionarios el consumo
de alimentos y bebida dentro de la Institución
para evitar daños a los equipos
3
5. Se limpia regularmente el área donde se
encuentra el equipamiento tecnológico 2
6. El espacio físico donde se encuentran los
equipos es el adecuado 1
7. Existen Cámaras de Seguridad 3
8. Existen extintores y detectores de humo. 3
TOTAL 20
Elaborado por: Guillermo Pulgar
Tabla 28. Riesgos Seguridad
RIESGO TIPO DE
RISGO
1. Robo de equipos causado por factores
internos y externos. Control
Elaborado por: Guillermo Pulgar
Valor Máximo=24
Valor Obtenido=20
%8324
100*20alcanzadoPorcentaje
73
Recursos Humanos
Tabla 29. Evaluación de los Recursos Humanos
ASPECTOS A EVALUAR VALORACIÓN
1. El perfil profesional del Analista de TICs está
acorde a sus actividades
3
2. Se realiza un control del uso de los equipos
2
3. Poseen un registro actualizado del HW y SW
que posee la unidad informática
1
4. Cumplen con los horarios establecidos en el
reglamento 3
5. La selección del personal se la hace por
medio de concurso de merecimientos
3
6. El total de personal de tecnologías está
acorde a las necesidades de la unidad
informática
1
TOTAL 13
Elaborado por: Guillermo Pulgar
Tabla 30. Riesgos Recursos Humano
RIESGO TIPO DE
RISGO
1. Los funcionarios no saben exactamente las
características de los equipos que están a su
cargo.
Control
2. El trabajo en la Unidad de Tecnologías demora
más de lo esperado. Inherente
Elaborado por: Guillermo Pulgar
Valor Máximo=18
Valor Obtenido=13
%7218
100*13alcanzadoPorcentaje
74
Manuales de Procedimientos
Tabla 31. Evaluación de los manuales de procedimientos
ASPECTOS A EVALUAR VALORACIÓN
1. Existe un manual de procedimientos para
mantenimiento de equipos.
0
2. Existe un manual de procedimientos para
mantenimiento de software.
0
3. Cuenta con un reglamento para el uso de
los equipos.
3
4. Cuenta con un reglamento para préstamo
de equipos.
3
TOTAL 6
Elaborado por: Guillermo Pulgar
Tabla 32. Riesgos Manuales de Procedimientos
RIESGO TIPO DE
RISGO
1. El mantenimiento tanto de hardware como
software puede ser infructuoso. Control
2. Los equipos no funcionan al 100%
Elaborado por: Guillermo Pulgar
Valor Máximo=12
Valor Obtenido=6
%5012
100*6alcanzadoPorcentaje
75
Redes y cableado
Tabla 33. Evaluación de la red de comunicación de datos
ASPECTOS A EVALUAR VALORACIÓN
1. La red de la Institución está protegida
contra ataques informáticos 1
2. Posee un estándar de guía la
infraestructura de red y cableado. 1
3. Se da mantenimiento preventivo a la
red. 1
4. Se da mantenimiento de las redes
cuando se lo requiere. 3
5. Se pueden incrementar nuevos puntos
de red en caso de necesitarlos 2
6. Los componentes de red se encuentran
bien distribuidos de tal manera que no
afectan el trabajo de los funcionarios
1
TOTAL 9
Elaborado por: Guillermo Pulgar
Tabla 34. Riesgos Redes de Comunicación
RIESGO TIPO DE
RISGO
1. Pérdida de datos
Control 2. Lentitud en la transmisión de datos
3. Ataques informáticos
Elaborado por: Guillermo Pulgar
Valor Máximo=18
Valor Obtenido=9
%5018
100*9alcanzadoPorcentaje
76
CONEXIÓN A INTERNET
Tabla 35. Evaluación de la conexión a internet
PREGUNTAS Valoración
El ancho de banda es suficiente para el
número de máquinas existente
2
Existe conexión wi-fi 3
No se permite el acceso al uso de internet
mediante conexión inalámbrica en cualquier
dispositivo a usuarios externos
3
Existe control de acceso a páginas web 3
Existe alguna sanción dentro del reglamento
cuando se identifica mal uso del internet por
parte de algún docente
3
TOTAL 15
Elaborado por: Guillermo Pulgar
Tabla 36. Riesgos Acceso al Internet
RIESGO TIPO DE
RISGO
1. Pérdida de datos
Control 2. Lentitud en la transmisión de datos
3. Ataques informáticos
Elaborado por: Guillermo Pulgar
Valor Máximo=14
Valor Obtenido=15
%9315
100*14alcanzadoPorcentaje
77
Matriz Consolidada de datos
Como resultado de la auditoría de los controles, seguridades, sistemas y
procedimientos informáticos implantados en la Dirección Distrital de Educación
06 D04 Colta- Guamote.
Tabla 37. Matriz de valoración consolidada
Valoración
Ítems
No
Existe Regular
Buena
Muy
Buena
Software 50 %
Hardware 53 %
Seguridad 83 %
Recursos Humanos 72 %
Manual de procedimientos 50 %
Redes y cableado 50 %
Conexión a Internet 93 %
Elaborado por: Guillermo Pulgar
Valoración cualitativa base: 0 No existe; 10-30 Regular; 40-60 Buena; 70-100
Muy Buena
Generalización de la matriz de datos
Para realizar la generalización de los controles, seguridades, sistemas y
procedimientos informáticos implantados en la Dirección Distrital de Educación
06D04 se tomará como parámetro la mayor valoración de la matriz de datos, el
100% de efectividad en todos los aspectos considerados en la Auditoría:
Número de ítems: N=7
Sumatoria de resultados parciales: 451
Resultado de la matriz final %647
451R
78
Los controles, seguridades, sistemas y procedimientos informáticos implantados
en la Dirección Distrital Colta - Guamote un nivel de elaboración, administración
y uso es del 64 %.
Una vez evaluados de manera general los aspectos más importantes y los
riesgos que implica el no cumplimiento de cada uno de ellos en cuanto a
tecnologías de la Información y Comunicaciones, los trasladamos a la
metodología Cobit para un análisis específico.
Modelos de Madurez a Nivel Cualitativo (COSO1)
En la siguiente tabla se presenta el impacto de los objetivos de control de COBIT
sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para la siguiente tabla
es la siguiente: (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es
decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el
objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio
cuando se encuentra con (X) significa que los objetivos de control tienen un
impacto en los recursos
Tabla 38. Cuadro de Herramientas nivel cualitativo COSO
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE
COBIT
RECURSOS DE TI
DE COBIT
EF
EC
TIV
IDA
D
EF
ICIE
NC
IA
CO
NF
IDE
NC
IALID
AD
INT
EG
RID
AD
DIS
PO
NIB
ILID
AD
CU
MP
LIM
IEN
TO
CO
NF
IAB
ILID
AD
PE
RS
ON
AS
INF
OR
MA
CIÓ
N
AP
LIC
AC
IÓN
INF
RA
ES
TR
UC
TU
RA
PLANEA
R Y ORGANIZA
1 COSO (Committee of Sponsoring Organizations), modelo de control de negocios, que proporciona un estándar a partir del cual las grandes empresas evalúan sus procesos, y determinan como mejorar el desempeño.
79
P01 Definir un plan estratégico de TI
P S X X X X
PO2 Definir la arquitectura de la información S P S X X
PO3 Definir la dirección tecnológica P P X X
PO4 Definir los procesos, organización y
relaciones de TI. P P X
PO5 Administrar la inversión en TI. P P S X X X
PO6 Comunicar las metas y la dirección de la
gerencia P S X X
PO7 Administrar los recursos humanos de TI P P X
PO8 Administrar la calidad P P S S X X X X
PO9 Evaluar y Administrar los riesgos de TI P P P P S S X X X X
PO10 Administrar los proyectos P P S X X X
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas
P S S X X
AI2 Adquirir y mantener software aplicativo P P S S X
AI3 Adquirir y mantener la infraestructura
tecnológica S P S S X
AI4 Facilitar la operación y el uso P P S S S X X
AI5 Procurar recursos de TI S P S X X X
AI6 Administrar los cambios P P P P S X X X X
AI7 Instalar y acreditar solucione y cambios P S S S X X X
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de
servicio
P P S S S S X X X
DS2 Administrar los servicios de terceros P P S S S S S X X X X
DS3 Administrar el desempeño y capacidad P P S X X
DS4 Asegurar el servicio continuo P S P X X X X
DS5 Garantizar la seguridad de los sistemas P P S S S X X X X
DS6 Identificar y asignar costos P P X X X
80
DS7 Educar y entrenar a los usuarios P S X
DS8 Administrar la mesa de servicio y los
incidentes P P X X
DS9 Administrar la configuración P S S S X X X
DS10 Administrar los problemas
P P X
DS11 Administrar los datos P P X
DS12 Administrar el ambiente físico S S X X X X
DS13 Administrar las operaciones P P S S X X X X
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de
TI.
P P S S S X X X X
ME2 Monitorear y evaluar el control interno P P S S P S P X X X X
ME3 Garantizar el cumplimiento regulatorio P S X X X X
ME4 Proporcionar gobierno de TI P S P P S S S X X X X
Elaborado por: Guillermo Pulgar
Para tener un porcentaje de los criterios de la información, se asigna un valor
para el impacto primario, de igual forma tendremos un valor para el impacto
secundario. Este porcentaje se establece en base a la propuesta metodológica
para el manejo de riesgos COSO.
Tabla 39. Cuadro de herramientas Metodología para el manejo de riesgos COSO
CALIFICACIÓN IMPACTO PROMEDIO
15% 50% BAJO 32%
51% 75% MEDIO 63%
76% 95% ALTO 86%
Elaborado por: Guillermo Pulgar
3.4. Resultados
81
Modelos de Madurez de los Procesos
A continuación, se muestra una ficha por cada uno de los objetivos haciendo un
análisis de los modelos de madurez de COBIT, para determinar el nivel mínimo
que no cumple la Institución que a su vez califica el nivel en dicho objetivo.
Tabla 40. Plan Estratégico
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnologías de la Información
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe conocimiento por parte de los
funcionarios de que al existir la
planeación estratégica de TI esta es
requerida para dar soporte a las metas
de la institución.
GRADO DE MADUREZ
El proceso de definir el plan estratégico de TI está
en el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
No existe un plan estratégico de TI y
estrategias de recursos de la Institución.
No se elaboran planes a largo plazo de TI,
haciendo solo actualizaciones, debido a los
avances tecnológicos.
1
La planeación estratégica es discutida
en las reuniones con las autoridades
Elaborado por: Guillermo Pulgar
NO CUMPLE:
2. Las decisiones estratégicas se toman los proyectos en forma individual, sin
estar de acuerdo con una estrategia global de la institución 3. La planeación estratégica de TI sigue un enfoque estructurado, el cual se
documenta y se da a conocer a todo el equipo. Las estrategias del
departamento todos los departamentos influyen cada vez más la adquisición
de nuevos productos y tecnologías
4. Existen procesos bien definidos para determinar el uso de recursos internos
y externos requeridos en el desarrollo y las operaciones de los sistemas
5. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera
constante para reflejar los cambios en los avances tecnológicos.
RECOMENDACIONES
Para el proceso PO1 de COBIT se establece los siguientes objetivos de control:
Elaborar Planes a largo plazo de TI
82
Tomar decisiones estratégicas
Definir los recursos internos y externos necesarios
Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Valorar el desempeño actual, es decir realizar una evaluación de los
planes existentes, así como de los de los sistemas de información y su
impacto de los objetivos de la Unidad de Informática.
En el largo Plazo:
Crear planes tácticos de TI, que resulten del plan estratégico de TI, estos
planes deben ser bien detallados para poder realizar la definición de
planes proyectados.
Tabla 41. Definición de Arquitectura de la Información
DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Conocen la experiencia y las
responsabilidades necesarias para
desarrollar esta arquitectura no existen
en la organización
GRADO DE MADUREZ
El proceso de definir la arquitectura de la
Información está en el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
No se resolvieron las necesidades futuras
realizando el proceso de arquitectura de
información
Aprovechar las habilidades personales para la
construcción de la arquitectura de la
información.
1
Las Autoridades están conscientes de
la necesidad de una arquitectura de
información. El desarrollo de algunos
componentes de una arquitectura de
información ocurre de manera ad hoc.
Elaborado por: Guillermo Pulgar
NO CUMPLE
83
2. Las personas obtienen sus habilidades al construir la arquitectura de
información por medio de experiencia práctica y la aplicación repetida de
técnicas 3. Existe una función de administración de datos definida formalmente, que
establece estándares para toda la organización, y empieza a reportar sobre
la aplicación y uso de la arquitectura de la información.
4. El proceso de definición de la arquitectura de la información es proactivo y
se enfoca resolver necesidades futuras de la institución.
5. El personal de TI cuenta con la experiencia y las habilidades necesarias para
desarrollar y dar mantenimiento a una arquitectura de información robusta y
sensible que refleje todos los requerimientos de la institución
RECOMENDACIONES
Para el proceso PO2 de COBIT se establece los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la información
Tener en claro la definición del proceso de la arquitectura de la
información
Ser partícipe de la construcción de la arquitectura de la información para
incrementar sus habilidades
Para pasara al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Establecer y mantener un modelo de arquitectura de la información para
facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de
decisiones, este modelo será útil para la creación, uso y compartición
óptimas de la información vital.
En el largo Plazo:
Definir e implementar procedimientos para brindar integridad y
consistencia de todos los datos que se encuentran almacenado en
formato electrónico, como base de datos, almacenamiento de datos y
archivos.
84
Tabla 42. Dirección Tecnológica
DOMINIO: PLANIFICAR Y ORGANIZAR
PO3: Determinar la Dirección Tecnológica
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Hay desconocimiento sobre la
importancia de la planeación de la
infraestructura tecnológica para la
entidad.
GRADO DE MADUREZ
El proceso de determinar la dirección tecnológica
está en el nivel de madurez 1
OBJETIVOS NO CUMPLIDOS
Desarrollar las habilidades para la
elaboración del plan de la infraestructura
tecnológica.
Realizar un plan de infraestructura tecnológica.
1
La autoridad reconoce la necesidad de
planear la infraestructura tecnológica.
El desarrollo de componentes
tecnológicos y la implantación de
tecnologías emergentes son ad hoc y
aisladas.
Elaborado por: Guillermo Pulgar
NO CUMPLE
2. La evaluación de los cambios tecnológicos se delega a personas que siguen
procesos intuitivos, aunque similares.
3. Existe un plan de infraestructura tecnológica definido, documentado y bien
difundido, aunque se aplica de forma inconsistente 4. El área de informática cuenta con la experiencia y las habilidades necesarias
para desarrollar un plan de infraestructura tecnológica
5. La dirección del plan de infraestructura tecnológica está impulsada por los
estándares y avances internacionales, en lugar de estar orientada por los
proveedores de tecnología
RECOMENDACIONES
Para el proceso PO3 de COBIT se establece los siguientes objetivos de control:
Elaborar un plan de infraestructura tecnológica.
Impulsar la orientación de la infraestructura tecnológica hacia los
proveedores
No delegar los cambios tecnológicos a personas que no tienen la debida
experiencia
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
85
En el Corto Plazo
Planear la dirección tecnológica, es decir analizar las tecnologías
existentes y emergentes, para tomar en cuenta cual dirección tecnológica
es apropiada para lograr cumplir las estrategias de TI.
En el largo Plazo:
Realizar un proceso de monitoreo de tecnologías, si es posible establecer
un foro tecnológico, para de esta forma brindar directrices tecnológicas.
Tabla 43. Definición de Procesos
DOMINIO: PLANIFICAR Y ORGANIZAR
PO4: Definir los Procesos, la Organización y las Relaciones de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La organización de TI no está
establecida de forma efectiva para
enfocarse en el logro de los objetivos
de la institución
GRADO DE MADUREZ
El proceso de definir los procesos, la
Organización y las Relaciones de TI, está en el
nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
Formular las relaciones con terceros para la
TI.
No satisfacer los requerimientos del
negocio.
1
La función de TI se considera como
una función de soporte, sin una
perspectiva organizacional general
2
Existe la necesidad de contar con una
institución organizada, pero las
decisiones todavía dependen del
conocimiento y habilidades de
individuos clave.
Elaborado por: Guillermo Pulgar
NO CUMPLE
3. Se formulan las relaciones con terceros, incluyendo los comités de dirección,
auditoría interna y administración de proveedores
4. La organización de TI responde de forma pro activa al cambio e incluye todos
los roles necesarios para satisfacer los requerimientos de la institución.
5. La estructura institucional de TI es flexible y adaptable
86
RECOMENDACIONES
Para el proceso PO4 de COBIT se establece los siguientes objetivos de control:
Ser flexible y adaptable a la estructura organizacional de TI
Responder de forma pro activa a los requerimientos de la institución
Formular relaciones con terceros como auditoria interna
Para pasara al nivel de madurez 3 se debe adoptar las siguientes
estrategias:
En el Corto Plazo
Realizar una evaluación permanente de personal, para así asegurar que
el personal involucrado en las TI sea el pertinente para la función
asignada.
En el largo Plazo:
Implantar métodos de supervisión dentro de las funciones de TI para
asegurar que los roles y responsabilidades se ejerzan correctamente
Tabla 44. Administración de la Inversión
DOMINIO: PLANIFICAR Y ORGANIZAR
PO5: Administrar la inversión de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe conciencia de la importancia
de la selección y presupuesto de las
inversiones en TI. No existe
seguimiento o monitoreo de las
inversiones y gastos de TI.
GRADO DE MADUREZ
El proceso de administrar la Inversión de TI,
está en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
• Formular las relaciones con terceros para la
TI. 1
La institución reconoce la necesidad de
administrar la inversión en TI, aunque
esta necesidad se comunica de
manera inconsistente
2
Existe un entendimiento implícito de la
necesidad de seleccionar y
presupuestar las inversiones en TI.
3 El presupuesto de TI está alineado con
los planes estratégicos de TI. Los
87
procesos de selección de inversiones
en TI y de presupuestos están
formalizados documentados y
comunicados.
4
La responsabilidad y la rendición de
cuentas por la selección y
presupuestos de inversiones se
asignan a un individuo específico. Las
diferencias en el presupuesto se
identifican y se resuelven.
Elaborado por: Guillermo Pulgar
NO CUMPLE
5. Se utilizan las mejores prácticas de la industria para evaluar los costos por
comparación e identificar la efectividad de las inversiones. Se utiliza el
análisis de los avances tecnológicos en el proceso de selección y
presupuesto de inversiones.
RECOMENDACIONES
Para el proceso PO5 de COBIT se establece los siguientes objetivos de control:
Reconocer la necesidad de administrar la inversión en TI.
Utilizar las mejores prácticas para la evaluación de costos de inversión
Documentar y formalizar el presupuesto en TI.
Para pasara al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo
Incluir un análisis de costos y beneficios a largo plazo del ciclo total de
vida en la toma de decisiones de inversiones.
En el largo Plazo:
Mejorar de forma continua la administración de inversiones en base a las
lecciones aprendidas del análisis del desempeño real de las inversiones.
88
Tabla 45. Identificación de Soluciones Automatizadas
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La organización no requiere de la
identificación de los requerimientos
funcionales y operativos para el
desarrollo, implantación o modificación
de soluciones, tales como sistemas,
servicios, infraestructura y datos
GRADO DE MADUREZ
El proceso de identificar Soluciones
Automatizadas está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Determinar el proceso para la solución de
TI, según el requerimiento de la
organización
Documentación de los proyectos realizados
1
Existe una investigación o análisis
estructurado mínimo de la tecnología
disponible
Elaborado por: Guillermo Pulgar
NO CUMPLE
2. El éxito de cada proyecto depende de la experiencia de unas cuantas
personas clave. La calidad de la documentación y de la toma de decisiones
varía de forma considerable
3. El proceso para determinar las soluciones de TI se aplica para algunos
proyectos con base en factores tales como las decisiones tomadas por el
personal involucrado, la cantidad de tiempo administrativo dedicado, y el
tamaño y prioridad del requerimiento de negocio original.
4. La documentación de los proyectos es de buena calidad y cada etapa se
aprueba adecuadamente.
5. La metodología está soportada en bases de datos de conocimiento internas
y externas que contienen material de referencia sobre soluciones
tecnológicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodología de TI en base de datos.
Determinar los procesos para las soluciones de TI.
89
Explotar la experiencia de los trabajadores para la buena toma de
decisiones.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y técnicos,
priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la
auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía,
funcionalidad y la legislación.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organización y de TI.
Tabla 46. Adquirir y mantener el Software aplicativo
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI2: Adquirir y mantener el Software Aplicativo
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Normalmente, las aplicaciones se
obtienen con base en ofertas de
proveedores, en el reconocimiento de
la marca o en la familiaridad del
personal de TI con productos
específicos, considerando poco o nada
los requerimientos actuales.
GRADO DE MADUREZ
El proceso de Adquirir y Mantener Software
Aplicativo está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
Dar a conocer el proceso de adquisición y
mantenimiento del Sistema de Información
(software) y aplicaciones.
Determinar la metodología formal para la
documentación del software en uso. 1
Es probable que se hayan adquirido en
forma independiente una variedad de
soluciones individuales para
requerimientos particulares del
negocio, teniendo como resultado
ineficiencias en el mantenimiento y
soporte
2
Existen procesos de adquisición y
mantenimiento de aplicaciones, con
diferencias pero similares, en base a la
experiencia dentro de la operación de
TI.
Elaborado por: Guillermo Pulgar
90
NO CUMPLE
3. Existe un proceso claro, definido y de comprensión general para la
adquisición y mantenimiento de software aplicativo. Este proceso va de
acuerdo con la estrategia de TI y de la institución.
4. Existe una metodología formal y bien comprendida que incluye un proceso
de diseño y especificación, un criterio de adquisición, un proceso de prueba
y requerimientos para la documentación.
5. El enfoque se extiende para toda la empresa. La metodología de adquisición
y mantenimiento presenta un buen avance y permite un posicionamiento
estratégico rápido, que permite un alto grado de reacción y flexibilidad para
responder a requerimientos cambiantes de la institución
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
Asegurar que el software diseñado sea de calidad.
Realizar un diseño detallado, y los requerimientos técnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la información, control de acceso, respaldo y
pistas de auditoría.
91
Tabla 47. Mantener la Infraestructura
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y mantener la Infraestructura Tecnológica
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No se reconoce la administración de la
infraestructura de tecnología como un
asunto importante al cual deba ser
resuelto.
GRADO DE MADUREZ
El proceso de Adquirir y Mantener Infraestructura
Tecnológica está en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Definir una estrategia para la adquisición y
mantenimiento de la infraestructura.
Organizar y prevenir el proceso de adquisición
y mantenimiento de la infraestructura.
1
Se realizan cambios a la infraestructura
para cada nueva aplicación, sin ningún
plan en conjunto. La actividad de
mantenimiento reacciona a
necesidades de corto plazo.
Elaborado por: Guillermo Pulgar
NO CUMPLE
2. La adquisición y mantenimiento de la infraestructura de TI no se basa en una
estrategia definida y no considera las necesidades de las aplicaciones de la
institución que se deben respaldar.
3. El proceso respalda las necesidades de las aplicaciones críticas de la
institución y concuerda con la estrategia de negocio de TI, pero no se aplica
en forma consistente.
4. La infraestructura de TI soporta adecuadamente las aplicaciones del
negocio. El proceso está bien organizado y es preventivo.
5. El proceso de adquisición y mantenimiento de la infraestructura de
tecnología es preventivo y está estrechamente en línea con las aplicaciones
críticas de la institución y con la arquitectura de la tecnología.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisición de infraestructura tecnológica.
Garantizar la disponibilidad de la infraestructura tecnológica.
92
Identificar que necesidades se tiene para adquisición de infraestructura
tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
Proteger la infraestructura tecnológica mediante medidas de control
interno, seguridad y auditabilidad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
Tabla 48. Facilitar operación y uso
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI4: Facilitar la Operación y el uso
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
No existe el proceso con respecto a la
elaboración de documentación de
usuario, manuales de operación y
material de entrenamiento.
GRADO DE MADUREZ
El proceso de Facilitar la Operación y el Uso está
en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Falta generar los materiales de
entretenimiento buscando su calidad.
Garantizar la compañía de estándares para el
desarrollo del proceso.
1
Mucha de la documentación y muchos
de los procedimientos ya caducaron.
Los materiales de entrenamiento
tienden a ser esquemas únicos con
calidad variable.
Elaborado por: Guillermo Pulgar
NO CUMPLE
2. Personas o equipos de proyecto generan los materiales de entrenamiento, y
la calidad depende de los individuos que se involucran.
3. Se guardan y se mantienen los procedimientos en una biblioteca formal y
cualquiera que necesite saber tiene acceso a ella.
4. Existen controles para garantizar que se adhieren los estándares y que se
desarrollan y mantienen procedimientos para todos los procesos.
93
5. Los materiales de procedimiento y de entrenamiento se tratan como una
base de conocimiento en evolución constante que se mantiene en forma
electrónica, con el uso de administración de conocimiento actualizada,
workflow y tecnologías de distribución, que los hacen accesibles y fáciles de
mantener.
RECOMENDACIONES
Para el proceso AI4 de COBIT estable los siguientes objetivos de control:
Control para garantizar adherir los estándares para el mantenimiento de
los procesos.
Desarrollar un plan para realizar soluciones de operación el cual sirva para
identificar y documentar todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitirá que estos tomen posesión del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales se
logrará que estos usen los sistemas con efectividad y eficiencia para el
apoyo a los procesos de la Organización.
94
Tabla 49. Adquirir Recursos de TI
DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 No existe un proceso definido de
adquisición de recursos de TI.
GRADO DE MADUREZ El proceso de Adquirir Recursos de TI está en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS
Falta de buenas relaciones con algunos proveedores de forma estratégica.
1
Los contratos para la adquisición de
recursos de TI son elaborados y
administrados por personas que
ejercen su juicio profesional más que
seguir resultados de procedimientos y
políticas formales
2 Se determinan responsabilidades y
rendición de cuentas para la
3
La adquisición de TI se integra en
gran parte con los sistemas generales
de adquisición de la institución.
4
La adquisición de TI se integra en
gran parte con los sistemas generales
de adquisición del negocio. Existen
estándares de TI para la adquisición
de recursos de TI.
Elaborado por: Guillermo Pulgar
NO CUMPLE
5. Se establecen buenas relaciones con el tiempo con la mayoría de los
proveedores, y se mide y vigila la calidad de estas relaciones. Se manejan
las relaciones en forma estratégica.
RECOMENDACIONES
Para el proceso AI5 de COBIT estable los siguientes objetivos de control:
Tomar medidas en la administración de contratos y adquisiciones.
Establecer buenas relaciones con la mayoría de proveedores.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratégicamente los estándares, políticas y procedimientos de
TI para adquirir los recursos de TI.
95
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en
los términos contractuales.
Tabla 50. Administrar niveles de servicios
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 Las autoridades no reconocen la necesidad de un proceso para definir
los niveles de servicio.
GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
No ordenar los procesos de desarrollo por niveles de servicio.
Realizar reportes de servicio de forma completa y relevante
1
La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.
Elaborado por: Guillermo Pulgar
NO CUMPLE
2. Los reportes de los niveles de servicio están incompletos y pueden ser
irrelevantes o engañosos para los clientes. Los reportes de los niveles de
servicio dependen, en forma individual, de las habilidades y la iniciativa de
los administradores.
3. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y
cuenta con puntos de control para revalorar los niveles de servicio y la
satisfacción de cliente.
4. La satisfacción del cliente es medida y valorada de forma rutinaria. Las
medidas de desempeño reflejan las necesidades del cliente, en lugar de las
metas de TI.
5. Todos los procesos de administración de niveles de servicio están sujetos a
mejora continua. Los niveles de satisfacción del cliente son administrados y
monitoreados de manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
96
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisión con los proveedores internos y externos
los acuerdos de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de
servicio, estos reportes deben mantener un formato entendible por parte
de los interesados
Tabla 51. Administrar los servicios de Terceros
DOMINIO: ENTREGAR Y DAR SOPORTE
DS2: Administrar los Servicios de Terceros
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 Los servicios de terceros no son ni aprobados ni revisados por las autoridades. No hay actividades de medición y los terceros no reportan.
GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros está en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS
Verificar de forma continua las capacidades del proveedor.
Monitorear e implementar acciones correctivas.
1 No hay condiciones estandarizadas para los convenios con los prestadores de servicios.
2 Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).
3
Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.
Elaborado por: Guillermo Pulgar
NO CUMPLE
4. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma
continua
5. Se monitorea el cumplimiento de las condiciones operacionales, legales y de
control y se implantan acciones correctivas.
97
RECOMENDACIONES
Para el proceso DS2 de COBIT estable los siguientes objetivos de control:
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definición
de los términos del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores
Tabla 52. Desempeño y Calidad
DOMINIO: ENTREGAR Y DAR SOPORTE
DS3: Administrar el Desempeño y la Capacidad
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La autoridad no reconoce que los procesos clave de la institución pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI de la institución pueden exceder la capacidad.
GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Realizar evaluaciones de la infraestructura de TI logrando una capacidad óptima.
Establecer métodos de desempeño y evaluación.
1
Los responsables de los procesos de la organización valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.
Elaborado por: Guillermo Pulgar NO CUMPLE
2. Las necesidades de desempeño se logran por lo general con base en
evaluaciones de sistemas individuales y el conocimiento y soporte de
equipos de proyecto.
3. Los pronósticos de la capacidad y el desempeño se modelan por medio de
un proceso definido. Los reportes se generan con estadísticas de
desempeño.
98
4. Hay información actualizada disponible, brindando estadísticas de
desempeño estandarizadas y alertando sobre incidentes causados por falta
de desempeño o de capacidad.
5. La infraestructura de TI y la demanda del negocio están sujetas a revisiones
regulares para asegurar que se logre una capacidad óptima con el menor
costo posible.
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
Establecer métricas de desempeño y evaluación de la capacidad
Realizar revisiones de forma periódica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pronósticos de la capacidad y el desempeño futuros de los
recursos de TI en intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeño y la capacidad de los
recursos de TI.
Tabla 53. Continuidad de servicios
DOMINIO: ENTREGAR Y DAR SOPORTE
DS4: Garantizar la continuidad del servicio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0 No hay comprensión de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.
GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Mantener un plan de servicios.
Integrar los procesos de servicios para mejores prácticas externas
1 Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.
Elaborado por: Guillermo Pulgar
99
NO CUMPLE
2. Los reportes sobre la disponibilidad son esporádicos, pueden estar
incompletos y no toman en cuenta el impacto en el negocio.
3. Las responsabilidades de la planeación y de las pruebas de la continuidad
de los servicios están claramente asignadas y definidas
4. Se asigna la responsabilidad de mantener un plan de continuidad de
servicios.
5. Los procesos integrados de servicio continuo toman en cuenta referencias
de la industria y las mejores prácticas externas.
RECOMENDACIONES
Para el proceso DS4 de COBIT estable los siguientes objetivos de control:
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se
asegura que los sistemas de TI sean recuperados de forma efectiva
Tabla 54. Garantizar la Seguridad de los Sistemas
DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Las medidas adoptadas para la administración de la seguridad de TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI.
GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Concientizar el valor de la seguridad de la información.
Elaborar un plan de seguridad de TI. 1
La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.
Elaborado por: Guillermo Pulgar
100
NO CUMPLE
2. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.
Aunque los sistemas producen información relevante respecto a la
seguridad, ésta no se analiza.
3. Las responsabilidades de la seguridad de TI están asignadas y entendidas,
pero no continuamente implementadas. Existe un plan de seguridad de TI y
existen soluciones de seguridad motivadas por un análisis de riesgo.
4. El contacto con métodos para promover la conciencia de la seguridad es
obligatorio. La identificación, autenticación y autorización de los usuarios
está estandarizada.
5. Los usuarios y los clientes se responsabilizan cada vez más de
6. definir requerimientos de seguridad, y las funciones de seguridad están
integradas con las aplicaciones en la fase de diseño.
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes objetivos de control:
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos
de seguridad, detección de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementación de la seguridad, de igual forma
monitorear esta.
101
Tabla 55. Monitorear y Evaluar el Desempeño de TI
DOMINIO: ENTREGAR Y DAR SOPORTE
ME1: Monitorear y Evaluar el Desempeño de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
La TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.
GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Poder identificar los procesos estándares de evaluación.
Integrar todos los procesos y proyectos de TI.
Elaborado por: Guillermo Pulgar
NO CUMPLE
1. La interpretación de los resultados del monitoreo se basa en la experiencia
de individuos clave
2. Las mediciones de la contribución de la función de servicios de información
al desempeño de la organización se han definido, usando criterios
financieros y operativos tradicionales.
3. Hay una integración de métricas a lo largo de todos los proyectos y procesos
de TI. Los sistemas de reporte de la administración de TI están formalizados.
4. Las métricas impulsadas por el negocio se usan de forma rutinaria para
medir el desempeño, y están integradas en los marcos de trabajo
estratégicos, tales como el Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un método de monitoreo como Balance Scorecard.
Evaluar el desempeño comparándolo periódicamente con las metas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar un marco de trabajo de monitoreo general garantizado por la
gerencia.
102
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 56. Monitorear y Evaluar el Control Interno
DOMINIO: ENTREGAR Y DAR SOPORTE
ME2: Monitorear y Evaluar el Control Interno
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Los métodos de reporte de control interno no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI.
GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Establecer los procesos para la evaluación y aseguramiento del control interno.
Utilizar herramientas integradas para la detección del control interno de TI.
Elaborado por: Guillermo Pulgar
NO CUMPLE
1. La gerencia de TI no ha asignado de manera formal las responsabilidades
para monitorear la efectividad de los controles internos.
2. La oficina de servicios de información realiza monitoreo periódico sobre la
efectividad de lo que considera controles internos críticos. Se están
empezando a usar metodologías y herramientas para monitorear los
controles internos, aunque no se basan en un plan.
3. Se ha definido un programa de educación y entrenamiento para el monitoreo
del control interno. Se ha definido también un proceso para auto
evaluaciones y revisiones de aseguramiento del control interno, con roles
definidos para los responsables de la administración y de TI
4. Se han implantado herramientas para estandarizar evaluaciones y para
detectar de forma automática las excepciones de control. Se ha establecido
una función formal para el control interno de TI, con profesionales
especializados y certificados que utilizan un marco de trabajo de control
formal avalado por la alta dirección.
103
5. La organización utiliza herramientas integradas y actualizadas, donde es
apropiado, que permiten una evaluación efectiva de los controles críticos de
TI y una detección rápida de incidentes de control de TI.
RECOMENDACIONES
Para el proceso ME2 de COBIT estable los siguientes objetivos de control:
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditoría reportar la efectividad de los
controles internos sobre las TI.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una auto-evaluación del control interno de la administración de
procesos, políticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
Tabla 57. Cumplimiento regulatorio
DOMINIO: ENTREGAR Y DAR SOPORTE
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.
GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Brindar capacitación sobre requisitos legales y regulatorios externos.
Conocer los requerimientos aplicables, como la solución de nuevas necesidades.
1
Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones
Elaborado por: Guillermo Pulgar
104
NO CUMPLE
2. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el
conocimiento y responsabilidad de los individuos, y los errores son posibles.
3. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que
afectan a la institución y se instruye respecto a los procesos de cumplimiento
definidos.
4. Las responsabilidades son claras y el empoderamiento de los procesos es
entendido. El proceso incluye una revisión del entorno para identificar
requerimientos externos y cambios recurrentes.
5. Hay un amplio conocimiento de los requerimientos externos aplicables,
incluyendo sus tendencias futuras y cambios anticipados, así como la
necesidad de nuevas soluciones.
RECOMENDACIONES
Para el proceso ME3 de COBIT estable los siguientes objetivos de control:
Integrar los reportes de TI sobre el cumplimiento regulatorio.
Garantizar la identificación de requerimientos locales e internacionales
legales, contractuales de políticas, y regulatorios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos de privacidad, flujo de datos,
reportes financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las políticas, estándares y procedimientos de
TI.
105
Tabla 58. Proporcionar Gobierno de TI
DOMINIO: ENTREGAR Y DAR SOPORTE
ME4: Proporcionar Gobierno de TI
NIVEL DE
MADUREZ CUMPLE OBSERVACIÓN
0
Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicación respecto al tema.
GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS
Comunicar por parte de la Gerencia los procedimientos estandarizados.
Elaborado por: Guillermo Pulgar
NO CUMPLE
1. El enfoque de la gerencia es reactivo y solamente existe una comunicación
esporádica e inconsistente sobre los temas y los enfoques para resolverlos.
2. La gerencia ha identificado mediciones básicas para el gobierno de TI, así
como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido
adoptado a lo largo de la institución.
3. Las autoridades han comunicado los procedimientos estandarizados y el
entrenamiento está establecido. Se han identificado herramientas para
apoyar a la supervisión del gobierno de TI.
4. Los procesos de TI y el gobierno de TI están alineados e integrados con la
estrategia corporativa de TI. La mejora de los procesos de TI se basa
principalmente en un entendimiento cuantitativo y es posible monitorear y
medir el cumplimiento con procedimientos y métricas de procesos.
5. La implantación de las políticas de TI ha resultado en una organización,
personas y procesos que se adaptan rápidamente, y que dan soporte
completo a los requisitos de gobierno de TI. Todos los problemas y
desviaciones se analizan por medio de la técnica de causa raíz y se
identifican e implementan medidas eficientes de forma rápida.
106
RECOMENDACIONES
Para el proceso ME4 de COBIT estable los siguientes objetivos de control:
Administrar los riesgos de forma eficiente.
Garantizar la optimización de la inversión, uso y asignación de los activos
de TI mediante evaluaciones periódicas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,
procesos, roles y responsabilidades.
En el Largo Plazo:
Conformar un comité de auditoría para asegurar el cumplimiento de TI.
RESUMEN DEL GRADO DE MADUREZ
Tabla 59. Grado de madurez
DOMINIO PROCESO
NIV
EL
DE
MA
DU
RE
Z
PLANIFICAR Y
ORGANIZAR
PO1
PO2
PO3
PO4
PO5
Definir el Plan Estratégico de la Información
Definir la Arquitectura de la Información
Determinar la Dirección Tecnológica
Definir los Procesos, la Organización y las Relaciones de TI
Administrar la inversión de TI.
1
1
1
2
4
ADQUIRIR E
IMPLEMENTAR
AI1
AI2
AI3
AI4
AI5
Identificar Soluciones Automatizadas
Adquirir y Mantener Software Aplicativo
Adquirir y Mantener Infraestructura Tecnológica
Facilitar la Operación y el uso
Adquirir Recursos de TI
1
2
1
1
4
ENTREGAR Y
DAR SOPORTE
DS1
DS2
DS3
DS4
DS5
Definir y Administrar los Niveles de Servicio
Administrar los Servicios de Tercero
Administrar el Desempeño y la Capacidad
Garantizar la Continuidad del Servicio
Garantizar la Seguridad de los Sistemas
1
3
1
1
1
MONITOREAR Y
EVALUAR
ME1
ME2
ME3
ME4
Monitorear y Evaluar el Desempeño y la Capacidad
Monitorear y Evaluar el Control Interno
Garantizar el Cumplimiento Regulatorio
Proporcionar Gobierno de TI
0
0
1
0
Elaborado por: Guillermo Pulgar
107
El análisis de cada uno de los dominios es el siguiente:
DOMINIO: PLANEAR Y ORGANIZAR (PO)
Las estrategias de TI no se encuentran a la par con las de la Institución, esto
significa que no ha alcanzado el uso óptimo de los recursos ya no han sido
aprovechados al máximo o a lo mejor no se cuenta con los recursos necesarios
para la realización de ciertas tareas, no todo el personal entiende los objetivos
de TI, son pocos los usuarios que comprenden la importancia de estos, para el
cumplimiento de la institución.
DOMINIO: ADQUIRIR E IMPLEMENTAR (AI)
Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir
las soluciones de TI, así como la implementación e integración en los procesos
de la Institución.
DOMINIO: ENTREGA Y DAR SOPORTE (DS)
Los servicios de TI son medianamente entregados de acuerdo a las prioridades
de la institución, Los costos de TI no se encuentran totalmente optimizados,
puesto que no existe un plan de continuidad no es implementada la disponibilidad
de forma completa de los sistemas de TI, de igual forma la integridad y la
confidencialidad no se encuentran implementadas de forma óptima.
DOMINIO: MONITOREAR Y EVALUAR (ME)
La autoridad no monitorea ni evalúa el control interno, existe una poca
vinculación en el desempeño de TI con las metas de la Institución, no existe una
medición óptima de riesgos y el reporte de estos, así como el cumplimiento,
desempeño y control.
108
RESUMEN DE PROCESOS Y CRITERIO POR IMPACTO
Tabla 60. Grado de Madurez, Resumen de procesos y criterio de Impacto PROCESOS
CRITERIOS DE INFORMACIÓN
RECURSOS TI
Niv
el d
e M
ad
ure
z
Efe
cti
vid
ad
Efi
cie
ncia
Co
nfi
den
cia
lid
ad
Inte
gri
dad
Dis
po
nib
ilid
ad
Cu
mp
lim
ien
to
Co
nfi
ab
ilid
ad
Recu
rso
s
Hu
man
os
Sis
tem
as d
e
Ap
licació
n
Tecn
olo
gía
Insta
lacio
nes
Dato
s
PL
AN
IFIC
AR
Y O
RG
AN
IZA
R
PO1 Definir el Plan Estratégico de Tecnologías de la Información 0,86 0,63
x x x
Total real (impacto*Nivel real) 0,86 0,63 0,00 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 0,00 0,00 0,00 5
PO2 Definir la arquitectura de la Información 0,63 0,86 0,63 x x x
Total real (impacto*Nivel real) 0,63 0,86 0,63 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 3,15 4,30 3,15 0,00 0,00 0,00 0,00 5
PO3 Determinar la Dirección Tecnológica 0,86 0,86 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 0,00 0,00 5
PO4 Definir los Procesos, la Organización y las Relaciones de TI 1,72 1,72 x x
Total real (impacto*Nivel real) 3,44 3,44 0,00 0,00 0,00 0,00 0,00 2
Total ideal (impacto*Nivel ideal) 8,60 8,60 0,00 0,00 0,00 0,00 0,00 5
PO5 Administrar la inversión de TI 3,44 3,44 2,52 x x x
109
Total real (impacto*Nivel real) 13,76 13,76 0,00 0,00 0,00 0,00 10,08 4
Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 0,00 0,00 0,00 12,60
5 A
DQ
UIR
IR E
IM
PL
EM
EN
TA
R
AI1 Identificar Soluciones Automatizadas 0,86 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,63 0,00 0,63 0,00 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 3,15 0,00 0,00 0,00 5
AI2 Adquirir y Mantener Software Aplicativo 1,72 1,72 1,26 1,26 x x x
Total real (impacto*Nivel real) 3,44 3,44 0,00 2,52 0,00 0,00 2,52 2
Total ideal (impacto*Nivel ideal) 17,20 17,20 0,00 6,30 0,00 0,00 6,30 5
AI3 Adquirir y Mantener Infraestructura Tecnológica 0,63 0,86 0,63 0,63 x x x
Total real (impacto*Nivel real) 0,63 086 0,00 0,63 0,63 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 3,15 4,30 0,00 3,15 3,15 0,00 0,00 5
AI4 Facilitar la Operación y el Uso 0,86 0,86 0,63 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,63 0,63 0,63 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 3,15 3,15 3,15 0,00 5
AI5 Adquirir Recursos de TI 2,52 3,44 2,52 x x x x
Total real (impacto*Nivel real) 10,06 13,76 0,00 0,00 0,00 10,08 0,00 4
Total ideal (impacto*Nivel ideal) 12,60 17,20 0,00 0,00 0,00 12,60 0,00 5
EN
TR
E
GA
R Y
DA
R
SO
PO
R
TE
DS1 Definir y Administrar los Niveles de Servicio 0,86 0,86 0,63 0,63 0,63 0,63 x x x x
Total real (impacto*Nivel real) 0,86 0,86 0,63 0,00 0,63 0,63 0,63 1
110
Total ideal (impacto*Nivel ideal) 4,30 4,30 3,15 0,00 3,15 3,15 3,15 5
DS2 Administrar los Servicios de Terceros 2,58 2,58 1,89 1,89 1,89 1,89 1,89 x x x x
Total real (impacto*Nivel real) 7,74 7,74 5,67 5,67 5,67 5,67 5,67 3
Total ideal (impacto*Nivel ideal) 12,90 12,90 9,45 9,45 9,45 9,45 9,45 5
DS3 Administrar el Desempeño y la Capacidad 0,86 0,86 0,63 x x x
Total real (impacto*Nivel real) 0,86 0,86 0,00 0,00 0,00 0,63 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 4,30 0,00 0,00 0,00 3,15 0,00
5
DS4 Garantizar la Continuidad del Servicio 0,86 0,63 0,86 x x x
Total ideal (impacto*Nivel ideal) 0,86 0,63 0,00 0,00 0,86 0,00 0,00 1
Total ideal (impacto*Nivel ideal) 4,30 3,15 0,00 0,00 4,30 0,00 0,00 5
DS5 Garantizar la Seguridad de los Sistemas 0,86 0,86 0,63 0,63 0,63 x x x
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,86 0,86 0,63 0,63 0,63 1
Total ideal (impacto*Nivel ideal) 0,00 0,00 4,30 4,30 3,15 3,15 3,15 5
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME1 Monitorear y Evaluar el Desempeño de TI x x x x
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
ME2 Monitorear y Evaluar el Desempeño de TI x x x x
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
ME3 Garantizar el Cumplimiento Regulatorio 0,86 0,63 x x
111
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,86 0,63 1
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 4,30 3,15 5
ME4 Proporcionar Gobierno TI x x x
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0
Total ideal (impacto*Nivel ideal) 0,00 0,00 0,00 0,00 0,00 0,00 0,00 5
RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
Total real (impacto * Nivel Real) 45,72 49,19 7,79 10,94 9,05 19,13 20,16
Total ideal(impacto * Nivel ideal) 97,35 98,65 20,05 29,50 26,35 38,95 37,80
Porcentaje Alcanzado 46,96 49,86 38,85 37,08 34,35 49,11 53,33 444,22
Elaborado por: Guillermo Pulgar
112
FASE 3. REVISIÓN Y ANÁLISIS
GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE
INFORMACIÓN
Ilustración 20. Impacto sobre criterios de la información Elaborado por: Guillermo Pulgar
3.5. El Informe de Auditoría
Una vez analizado los procesos, se detalla los resultados de la evaluación de
cada uno de ellos divididos en sus respectivos dominios (Planear y organizar,
adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), lo cual se
basa en los niveles de madurez los cuales van desde el grado 0 (no existente) al
grado máximo 5 (administrado).
46,96
49,86
38,85
37,08
34,35
49,11
53,33
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
113
Tabla 61. Informe de Auditoria
DOMINIO PROCESO CONCLUSIÓN RECOMENDACIONES COBIT P
LA
NE
AR
Y O
RG
AN
IZA
R
PO1 DEFINIR UN PLAN ESTRATÉGICO
Este proceso se encuentra en el nivel de madurez 1 ya que no cuenta con un plan estratégico definido.
• Lograr alinear las TI con la institución, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias.
• Elaborar planes tácticos de TI, que se resulten del plan estratégico de TI, los cuales servirán para describir las iniciativas y los requerimientos de recursos que son requeridos por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
PO2
DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Este proceso se encuentra en el nivel de madurez 1, debido a que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora
• Establecer un diseño de clasificación de datos que aplique a toda la gestión tecnológica, basado en la información crítica y sensible.
• Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.
PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA
Este proceso se encuentra en el nivel de madurez 1, debido a que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.
• Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas de la institución
• Crear y mantener un plan de infraestructura tecnológica que este a la par con los planes estratégicos y tácticos de TI.
114
PO4
DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI
Este proceso se encuentra en el nivel de madurez 2 debido a que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente.
• Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI.
• Establecer un comité estratégico de TI a nivel del jefe departamental, para garantizar que el gobierno de TI se maneje de forma efectiva.
PO5 ADMINISTRAR LA INVERSIÓN DE TI
Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero.
• Optimizar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.
AD
QU
IRIR
E
IMP
LE
ME
NT
AR
AI1
IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos.
Destacar, priorizar, especificar los requerimientos funcionales y técnicos del departamento de informática, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de la Institución.
• Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos.
115
AI2
ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático.
Ejecutar un diseño detallado, y los requerimientos técnicos del software.
Avalar integridad de la información, control de acceso, respaldo y pistas de auditoría.
AI3
ADQUIRIR Y MANTENER LA INFRAESTRUCTURA TECNOLÓGICA
Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica.
Salvaguardar la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.
AI4 FACILITAR LA OPERACIÓN Y EL USO
Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados.
• Efectuar una transferencia de conocimiento a la parte de las autoridades lo cual permitirá que estos tomen posesión del sistema y los datos.
• Mediante la transferencia de conocimientos a los usuarios finales se logrará que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos del departamento de informática.
116
AI5 ADQUIRIR RECURSOS DE TI
Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI.
Establecer buenas relaciones con la mayoría de proveedores.
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales.
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS1
DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.
Se debe definir un marco de trabajo para la administración de los niveles de servicio.
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
DS2
ADMINISTRAR LOS SERVICIOS DE TERCEROS
Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores.
Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.
Asignar responsables para la administración del contrato y del proveedor.
DS3
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para pacificar las limitaciones de desempeño y capacidad.
Implantar métricas de desempeño y evaluación de la capacidad.
Efectuar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.
117
DS4
GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios.
Efectuar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.
Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.
DS5
GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras.
• Efectuar pruebas a la implementación de la seguridad, de igual forma monitorearla.
• Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna.
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME1
MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño.
• Definir y recoger los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño.
• Valorar el desempeño comparándolo periódicamente con las metas.
ME2
MONITOREAR Y EVALUAR CONTROL INTERNO
Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos.
• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.
• Si es necesario, mediante revisiones de terceros asegurar la que se cumplan y efectivicen los controles internos.
• Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales.
118
ME3
GARANTIZAR EL CUMPLIMIENTO REGULATORIO
Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.
• Tener muy en cuenta las leyes y reglamentos de la privacidad de la información, flujo de datos, reporte financieros, propiedad intelectual, etc.
• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.
ME4
PROPORCIONAR GOBIERNO DE TI
Este proceso se encuentra en el nivel de madurez 0 por cuanto no existen procesos de gobierno de TI.
• Asistir al entendimiento de las autoridades sobre temas estratégicos de TI tales como el rol de TI.
• Certificar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.
Elaborado por: Guillermo Pulgar
102
Informe Ejecutivo
En el Informe Ejecutivo se detalla los resultados de la evaluación a cada uno de
los procesos que recomienda COBIT siendo evaluado en la Gestión Tecnológica
de la entidad estatal
Dichos criterios de información se encuentran expresados en los siguientes gráficos.
Ilustración 21. Criterio efectividad Elaborado por: Guillermo Pulgar
La efectividad consiste en que la información relevante sea entregada de forma
oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del
46,96%.
Ilustración 22. Criterio eficiencia Elaborado por: Guillermo Pulgar
46,96%53,04%
Criterio: Efectividad
Efectividad
Déficit
49,86%50,14%
Criterio: Eficiencia
Eficiencia
Déficit
103
La eficiencia consiste en que la información debe ser generada optimizando los
recursos, este criterio tiene un promedio del 49,86%.
Ilustración 23. Criterio confidencialidad Elaborado por: Guillermo Pulgar
La confidencialidad consiste en que la información vital sea protegida contra la
revelación no autorizada, este criterio tiene un promedio del 38,85%.
Ilustración 24. Criterio Integridad Elaborado por: Guillermo Pulgar
38,85%
61,15%
Criterio: Confidencialidad
Confidencialidad
Déficit
37,08%
62,92%
Criterio: Integridad
Integridad
Déficit
104
La integridad consiste en que la información debe ser precisa, completa y valida,
este criterio tiene un promedio del 37,08%.
Ilustración 25. Criterio disponibilidad Elaborado por: Guillermo Pulgar
La disponibilidad consiste en que la información esté disponible cuando ésta sea
requerida por parte de las áreas de la institución en cualquier momento, este
criterio tiene un promedio del 34,35%.
Ilustración 26. Criterio cumplimiento Elaborado por: Guillermo Pulgar
34,35%
65,65%
Criterio: Disponibilidad
Disponibilidad
Déficit
49,11%50,89%
Criterio: Cumplimiento
Cumplimiento
Déficit
105
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y
acuerdos contractuales a los que está sujeta el proceso de la institución, como
políticas internas, este criterio tiene un promedio del 49,11%.
Ilustración 27. Criterio Confiabilidad Elaborado por: Guillermo Pulgar
La confiabilidad consiste en que se debe respetar proporcionar la información
apropiada, con el fin de que las Autoridades administre la entidad, este criterio
tiene un promedio del 53,33%.
Presupuesto de la Auditoría
El costo de la Auditoría fue mínimo ya que la misma se realizó con materiales
existentes en la dependencia de la Dirección Distrital.
53,33%46,67%
Criterio: Confiabilidad
Confidencialidad
Déficit
106
ANÁLISIS DE LOS CORRECTIVOS UNA VEZ REALIZADA LA AUDTORÍA
Una vez realizada la Auditoría se realizaron las estrategias correspondientes
para el mejoramiento de la calidad de servicio que ofrece la unidad de
tecnologías de la información y comunicación de la siguiente manera:
Software
Tabla 62. Acciones Correctivas Software
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. Existe un informe técnico en
el que se justifique la
adquisición del equipo,
software y servicios de
computación, incluyendo un
estudio costo beneficio
0
Se realizó un informe
técnico el cual para la
adquisición tanto de
hardware como de
software el cual fue
aprobado por la autoridad.
2
2. Se cuenta con software de
oficina 3
3
3. Se ha asegurado un
respaldo de mantenimiento
y asistencia técnica
2
No se tienen
proveedores fijos porque
los procesos se los
realizan a través de
compras públicas.
2
4. El acceso al equipamiento
cuenta con las seguridades
necesarias para reservar el
ingreso al personal
autorizado.
2
Se reguló el acceso
solamente para el
personal autorizado 3
5. Todas las actividades que
realizan los usuarios
internos están normadas
mediante manuales,
instructivos, normas,
reglamentos, etc.
1
Se comunicó a la
autoridad sobre este
particular.
Está en proceso la
normalización de
procesos a través de
instructivos.
1
6. Las instalaciones cuentan
con sistema de alarma por
presencia de fuego, humo,
así como extintores de
incendio, conexiones
2
Se realizó el Informe de
Necesidades para la
adquisición de materiales
para la mejora de las
instalaciones eléctricas
2
107
eléctricas seguras entre
otras
7. Se mantiene programas y
procedimientos de
detección e inmunización de
virus en copias no
autorizadas o datos
procesados en otros
equipos
3
3
8. Se han instalado equipos
que protejan la información
y los dispositivos en caso de
variación de voltaje como:
reguladores de voltaje, UPS,
generadores de energía
2
Instalación de
reguladores de voltaje en
los equipos que no
contaban con los mismos 3
9. Se hacen revisiones
periódicas del contenido del
disco para verificar la
instalación de aplicaciones
no relacionadas a la gestión
del de la Institución
1
Verificación en cada
equipo y desinstalación
del software que no está
relacionado a las
actividades que se realiza
en el Distrito.
3
10. Se cuenta con licencias
para todo el software 0
Informe a la autoridad
sobre este tema, teniendo
en cuenta que es una
política de las
Instituciones Públicas
usar software libre.
0
11. Se realizan copias de
seguridad de los archivos
de cada uno de los
equipos en dispositivos
externos
2
Copias de seguridad de
los archivos de las
maquinas se realizan
semanalmente en
dispositivos externos
3
12. Se han contratado pólizas
de seguros para proteger
la información, equipos,
personal y todo riesgo que
se produzca por casos
fortuitos o mala operación
0
La unidad administrativa
se encuentra en proceso
de asegurar los bienes de
la Institución, ya existe el
presupuesto par dicho fin.
2
TOTAL 18 27
Elaborado por: Guillermo Pulgar
Porcentaje Anterior=50%
108
%7536
100*27actualPorcentaje
Hardware
Tabla 63. Acciones Correctivas Hardware
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. La capacidad de los discos
duros es adecuada para el
almacenamiento de datos.
3 3
2. La memoria RAM de los
equipos está acorde para la
correcta ejecución de las
aplicaciones.
1
Informe de necesidades
para la adquisición de
hardware.
2
3. Se da mantenimiento
correctivo al equipo de
cómputo cuando se lo
requiere.
3 3
4. Se da mantenimiento
preventivo completo al
equipo de cómputo de forma
frecuente.
1
Cronograma de
mantenimiento
preventivo de equipos a
la espera de ser
aprobado por la
autoridad.
2
5. Los equipos se encuentran
funcionando en su vida útil 0
Solicitud de presupuesto
para equipamiento al
administrativo financiero,
Zona y Planta Central
1
TOTAL 8 10
Elaborado por: Guillermo Pulgar
Porcentaje anterior = 53 %
%8312
100*10actualPorcentaje
109
Seguridad
Tabla 64. Acciones Correctivas Seguridad
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. Existe personal de vigilancia
en la Institución 3
3
2. Se ha instruido a los
funcionarios sobre qué
medidas tomas en caso de
una emergencia
2
Socialización de
medidas a tomar en
caso de emergencia por
parte de Gestión de
Riesgos.
3
3. Los usuarios externos no
tienen acceso a los equipos
informáticos
3
3
4. Se ha prohibido a los
funcionarios el consumo de
alimentos y bebida dentro
de la Institución para evitar
daños a los equipos
3
2
5. Se limpia regularmente el
área donde se encuentra el
equipamiento tecnológico
2
Poner en conocimiento
del particular a la
autoridad para tomar las
medidas pertinentes.
2
6. El espacio físico donde se
encuentran los equipos es el
adecuado
1
Poner en conocimiento
del particular a la
autoridad para tomar las
medidas pertinentes.
1
7. Existen Cámaras de
Seguridad 3
3
8. Existen extintores y
detectores de humo. 3
3
TOTAL 20 21
Elaborado por: Guillermo Pulgar
Porcentaje Anterior = 83%
%8824
100*21actualPorcentaje
110
Recursos Humanos
Tabla 65. Acciones Correctivas Recursos Humanos
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. ¿El perfil profesional del
Analista de TICs está
acorde a sus actividades? 3 3
2. Se realiza un control del
uso de los equipos 2
Actas entrega –
recepción de todos los
equipos.
3
3. Poseen un registro
actualizado del HW y SW
que posee la unidad
informática
1
Inventario actualizado
con las características de
cada equipo y a que
funcionario se encuentra
asignado.
Revalorización de los
equipos
3
4. Cumplen con los horarios
establecidos en el
reglamento 3 3
5. La selección del personal se
la hace por medio de
concurso de merecimientos
3
3
6. El total de personal de
tecnologías está acorde a
las necesidades de la
unidad informática
1
Solicitud a la Autoridad
mediante informe la
creación de una nueva
partida para TIC’s.
1
TOTAL 13 16
Elaborado por: Guillermo Pulgar
Porcentaje Anterior = 72%
111
%8918
100*16alcanzadoPorcentaje
Manual de Procedimientos
Tabla 66. Acciones Correctivas manuales de procedimientos
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. Existe un manual de
procedimientos para
mantenimiento de equipos.
0
Elaboración de un plan
estratégico de TIC´s que
contiene un manual de
mantenimiento de
equipos a la espera de la
revisión y aprobación de
la autoridad.
1
2. Existe un manual de
procedimientos para
mantenimiento de
software.
0
Elaboración de un plan
estratégico de TIC´s que
contiene un manual de
mantenimiento de
equipos a la espera de la
revisión y aprobación de
la autoridad.
1
3. Cuenta con un reglamento
para el uso de los equipos.
3
3
4. Cuenta con un reglamento
para préstamo de equipos.
3
3
TOTAL 6 8
Elaborado por: Guillermo Pulgar
Porcentaje anterior = 50 %
%6712
100*8actualPorcentaje
112
Redes y cableado
Tabla 67. Acciones Correctivas red de comunicación de datos
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
1. La red de la Institución está
protegida contra ataques
informáticos
1
Implementación de un
plan de seguridad de
redes en proceso.
1
2. Posee un estándar de guía
la infraestructura de red y
cableado. 1
Elaboración de un
Informe de necesidades
para el mantenimiento
de la red.
El presupuesto se
encuentra aprobado.
2
3. Se da mantenimiento
preventivo a la red.
1
Elaboración de un
Informe de necesidades
para el mantenimiento
de la red.
El presupuesto se
encuentra aprobado.
2
4. Se da mantenimiento de
las redes cuando se lo
requiere.
3
3
5. Se pueden incrementar
nuevos puntos de red en
caso de necesitarlos
2
Limitaciones de
espacio físico 3
6. Los componentes de red
se encuentran bien
distribuidos de tal manera
que no afectan el trabajo
de los funcionarios
1
Elaboración de un
Informe de necesidades
para el mantenimiento
de la red.
El presupuesto se
encuentra aprobado.
2
TOTAL 9 13
Elaborado por: Guillermo Pulgar
Porcentaje Anterior = 50 %
%7218
100*13actualPorcentaje
113
CONEXIÓN A INTERNET
Tabla 68. Acciones Correctivas conexión a internet
ASPECTOS EVALUADOS VAL.
ANT
ACCIONES
CORRECTIVAS
VAL.
ACT.
El ancho de banda es suficiente
para el número de máquinas
existente
2 Pedido al
proveedor (CNT)
el aumento de
ancho de banda
2
Existe conexión wi-fi 3 3
No se permite el acceso al uso de
internet mediante conexión
inalámbrica en cualquier dispositivo
a usuarios externos
3 3
Existe control de acceso a páginas
web
3 3
Existe alguna sanción dentro del
reglamento cuando se identifica mal
uso del internet por parte de algún
docente
3 3
TOTAL 14 14
Elaborado por: Guillermo Pulgar
Porcentaje anterior=14
%9315
100*14actualPorcentaje
114
Una vez revisados todos los ítems auditados se puede observar que a través de
las acciones realizadas con los problemas detectados en la auditoría, se mejoró
en todos los aspectos de la siguiente manera:
Tabla 69. Matriz consolidada
Valoración
Ítems
Porcentaje
Anterior
Porcentaje
Actual
Mejora
Software 50 % 75 % 15 pts.
Hardware 53 % 83 % 20 pts.
Seguridad 83 % 88 % 5 pts.
Recursos Humanos 72 % 89 % 17 pts.
Manual de procedimientos 50 % 67% 17pts.
Redes y cableado 50 % 72 % 12 pts
Conexión a Internet 93 % 93 % 0
TOTAL 67 % 81 % 14 pts.
Elaborado por: Guillermo Pulgar
De acuerdo al análisis realizado con las acciones realizadas para el
mejoramiento de la calidad del servicio en la Unidad de Tecnologías de la
Información y comunicación se mejoró de un 67% a un 87%
CONCLUSIONES GENERALES
La Unidad de Informática está adscrita, lo que hasta cierto punto limita su
accionar, además dicha unidad no cuenta con reglamentos claros,
documentación de los sistemas que realiza, ni del control de
mantenimiento, y desconoce donde exactamente están ubicados los
equipos informáticos, ni al custodio, así como no poseer un inventario de
software.
La unidad de informática está en un sitio muy pequeño y desorganizado, lo
que es un inconveniente para su accionar.
Este trabajo ha dado un conjunto de directrices las cuales pueden ayudar
a organizar las TI con la institución, en otras palabras, identificar riesgos,
115
gestionar recursos y medir el desempeño, así como el nivel de madurez de
cada uno de los procesos de la Gestión Tecnológica.
Las autoridades y usuarios son los beneficiados con el desarrollo de la
metodología COBIT, ya que este marco de referencia ayuda a entender sus
sistemas de TI, de igual forma decidir el nivel de seguridad y control para
proteger los activos (información, hardware, software, etc.) de la Institución
mediante un modelo de desarrollo de gobernación de TI.
Gracias al marco de referencia COBIT, se ha logrado evaluar y diagnosticar
los procesos de TI en la Institución. También se ha diagnosticado cada uno
de los criterios de la información, los cuales son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Los niveles de calidad del servicio al usuario interno y externo no son los
adecuados.
Luego de las acciones tomadas después de haber concluida la auditoría la
calidad de servicio de la Unidad de Tecnologías de la Información y
Comunicación mejoró de un 67% a un 87% en los aspectos auditados.
116
RECOMENDACIONES
Tener muy presente los procesos que se encuentran con el nivel de
madurez de 0 y 1, que son los de factor crítico.
Todo el equipo de cómputo (computadoras, estaciones de trabajo,
servidores, y equipo accesorio), que esté o sea conectado a la red de la
Institución, o aquel que en forma autónoma se tenga y que sea propiedad
de la misma debe de sujetarse a las normas y procedimientos de instalación
que emite la unidad de cómputo.
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno
de los procesos estudiados en este trabajo.
El equipo de la institución que sea de propósito específico y tenga una
misión crítica asignada, requiere estar ubicado en un área que cumpla con
los requerimientos de: seguridad física, las condiciones ambientales, la
Alimentación eléctrica y la normatividad para el acceso de equipos que el
Centro de Cómputo implante.
Los funcionarios de la Unidad de TI deben dar cabal cumplimiento con las
normas de instalación, y notificaciones correspondientes de actualización,
reubicación, reasignación, y todo aquello que implique movimientos en su
ubicación, de adjudicación, sistema y misión.
REFERENCIAS BIBLIOGRÁFICAS
BERNAL, C. (2010). METODOLOGÍA DE LA INVESTIGACIÓN (3ra Ed.
ed.). Colombia: Pearson Educación.
CAMPO, R. (2012). Manual práctico de auditoria interna. Buenos Aires:
Consejo profesional de Ciencias Económicas de la Ciudad Autónoma de
Buenos Aires.
CARRIÓN Toro Mayra del Cisne, CORONADO Cabezas Luz Margarita,
“Auditoría de la Gestión de las TIC’S para La empresa DIPAC utilizando
COBIT”, (208), Escuela Politécnica Nacional, Quito – Ecuador.
CASTELLO Ricardo J., (2006), “Auditoría en entornos informáticos”,
Segunda Edición
CORONEL Castro Karolay Michell, (2012), “Auditoría Informática
orientada a los procesos críticos de crédito generados en la Cooperativa
de Ahorro y Crédito ‘Fortuna’ aplicando el marco de trabajo COBIT”,
Universidad Técnica Particular de Loja, Loja – Ecuador
DEL CID, A. (2011). Investigación fundamentos y metodología. México:
Pearson Educación
ECHENIQUE García José Antonio (2011), “Auditoría en Informática”
GÓMEZ, Á. (2013). Auditoría de seguridad informática (Primera Edición
ed.). Bogotá, Colombia: Ediciones de la U.
GOMEZ, C. (2012). La investigación Científica en Preguntas y
Respuestas. Ambato: Empresdane. González, M., & Cordero, M. (2007).
Diseño de Páginas Web. España: MC Graw Gill, primera edición.
GRANADOS Pemberty Elizabeth, (2012), “Auditoría Informática:
Conceptos Básicos”
GUEVARA Plaza y PEÑA Ramos Eloy, “Auditoría Informática: Normas y
Documentación”
HORACIO Quinn Eduardo, (2008), “La Auditoria informática dentro de las
etapas de Análisis de Sistemas Administrativos”,
http://www.monografias.com/trabajos5/audi/audi.shtml#inter.
Ingeniería en Informática, Universidad de Alicante, (2010), “Auditoría y
Evaluación de Sistemas”
INSTITUTO MEXICANO DE CONTADORES PÚBLICOS. (2013).
Modelos de dictámenes y otras opiniones e informes del auditor. México:
INSTITUTO MEXICANO DE CONTADORES PUBLICOS.
MELO Cazar, Mónica Elizabeth, (2005), “Auditoría Informática realizada a
la Compañía Autotrack Cía. Ltda.”, pág. 11.
MERINO, C. (2014). AUDITORIA DE SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN. Madrid: FC Editorial
MUNCH, L. y. (2009). Métodos y Técnicas de Investigación. México:
Trillas.
MUÑOZ, C. (2002). Auditoría en sistemas computacionales. México:
Pearson.
NARANJO, A. (2006). AUDITORÍA DE SISTEMAS. Obtenido de
www.monografias.com, Guayaquil - Ecuador
PARDO, C. (2008). Los sistemas y las auditorías de gestión Integral.
Bogotá: UNIVERSIDAD DE LA SALLE.
PELAZAS, M. (2015). Planificación de la Auditoría. Madrid: Paraninfo.
PIATTINI, M. (2008). Auditoría de Tecnologías y sistemas de Información.
Madrid: Ra-Ma
QUEZADA, N. (2010). Metodología de la Investigación. Lima: Macro
RAMÍREZ Huamán, ANGELLO Luis, “Proyecto de Auditoría Informática
en la Organización DATA CENTER E.I.R.L aplicando la Metodología
COBIT 4.1”, Universidad Nacional ‘Santiago Antúnez de Mayolo’”, (2011),
Escuela Profesional de Ingeniería de Sistemas e Informática”, Huaraz –
Ancash - Perú
RAMÍREZ R., Guadalupe y ÁLVAREZ D., Ezzard, “Auditoría a la Gestión
de las Tecnologías y Sistemas de Información”
RODRIGUEZ, J. (02 de 2005). GestioPolis. Obtenido de Comercio
Electronico.Aspecto clave:
http://www.gestiopolis.com/Canales4/ger/comelectro.htm
SALAZAR, H. (22 de 10 de 2010). SlideShare. Recuperado el 09 de 10 de
2014, de SlideShare: http:slideshare.net/HernanSalazar/investigacin-
bibliografica-2463165
SEVILLA, J. (2012). AUDITORIA DE LOS SISTEMAS INTEGRADOS DE
GESTIÓN. MADRID: FC EDITORIAL.
Silberschatz, A., Korth, H., & Sudarshan. (2006). Fundamentos de Bases
de Datos. Espana: Mc Graw Hill, cuarta edición.
SOBRINOS Sánchez, Roberto, (2000), “Planificación y Gestión de
Sistemas de Información”, Escuela Superior de Informática de Ciudad
Real Universidad de Castilla – La Mancha
Universidad Autónoma del Estado de Hidalgo, (2011), “Auditoría
Informática”, México
Universidad Regional Autónoma de los Andes UNIANDES. (2012).
Manual de Investigación (Primera Edición ed.). Ambato: Mendieta.
VALLABHANENI, R.S. (2007): Information Systems Audit Process.
Tercera Edición
http://www.iue.edu.co/documents/emp/entorTecnologicos.pdf,
“Estrategias Gerenciales: Gerencia para el emprendimiento, y gestión de
Resultados, Gestión tecnológica”
http://es.scribd.com/doc/13735708/Gestion-Tecnologica-, República
Bolivariana de Venezuela Ministerio de Educación Superior Universidad
Nacional Experimental “Simón Rodríguez”, Cátedra: Gestión de
Tecnología.
http://www.eoi.es/blogs/20calidad/2011/11/07/las-tics-en-la-gestion-de-
calidad/ “ LAS TICs EN LA GESTIÓN DE CALIDAD “
ANEXOS
Distrito 06D04 Colta – Guamote
Unidad de Tecnologías de la Información y Comunicación
Encuesta Dirigida a los funcionarios de la Dirección Distrital
Elaborada Por: Guillermo Pulgar Haro
Objetivo: Promover la realización de una Auditoría Informática en la Dirección
Distrital.
Instrucciones: Se debe marcar solo una respuesta en cada una de las
preguntas
Cuestionario
Pregunta No 1. ¿Se conoce perfectamente el estado, la ubicación y el
responsable de cada equipo informático de la Estatalidad?
Si…… No……
Pregunta No 2. ¿Cada que tiempo se realiza una auditoría relacionada con el
hardware y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca…
Pregunta No 3. ¿Cada que tiempo se realiza una auditoría relacionada con el
software y su funcionamiento?
Semestralmente… Anualmente…… Rara vez…… Nunca……
Pregunta No 4. ¿Cree usted que se hace un adecuado control del
funcionamiento de las tecnologías de información que apoyan el proceso
operativo de la Institución?
Si…… No…..
Pregunta No 5. ¿Considera importante la realización de auditorías informáticas
para mejorar el control del funcionamiento de las tecnologías de información que
apoyan el proceso operativo de la Institución?
Muy importante…. Poco importante……. Nada importante……..
Pregunta No 6. ¿Está usted dispuesto a colaborar y a proveer información
durante la realización de estas auditorías?
Si…… No…….
Gracias por su colaboración.
Distrito 06D04 Colta – Guamote
Unidad de Tecnologías de la Información y Comunicación
Encuesta Dirigida a los usuarios externos de la Dirección Distrital
Elaborada Por: Guillermo Pulgar Haro
Objetivo: Promover la realización de una Auditoría Informática en la Dirección
Distrital.
Instrucciones: Se debe marcar solo una respuesta en cada una de las
preguntas
Cuestionario
Pregunta No 1. ¿Considera usted que el Distrito de Educación 06D04 Colta -
Guamote está fuertemente apoyado por las tecnologías en su atención al usuario?
Si… No…… Pregunta No 2. ¿Durante sus visitas al Distrito de Educación 06D04 Colta - Guamote , ha sufrido demoras en su atención debido a daños en los equipos informáticos? Nunca…. Rara vez…. A veces…. Frecuentemente……. Pregunta No 3. ¿Cree usted que deben mejorase los equipos informáticos?
Si… No…… Parcialmente……. Pregunta No 4. ¿Se han incorporado nuevos servicios apoyados por la
tecnología? Algunos……. Muy pocos…….. Ninguno……..
Pregunta No 5. ¿Cree usted que el personal está plenamente capacitado para
el manejo de los equipos informáticos? Si… No……
Pregunta No 6. ¿Cree usted que se debe actualizar los conocimientos
tecnológicos del personal del Distrito de Educación 06D04 Colta - Guamote? Si… No……
Gracias por su colaboración.
Autodiagnóstico de la Institución (Entrevistas)
Realizado conjuntamente por el analista de TICs y los líderes de cada unidad de la Dirección
Distrital de acuerdo a los objetivos de control del COBIT.
OBJETIVOS DE CONTROL DE
COBIT Preguntas
Respuestas
SI
CUMPLE
NO
CUMPLE
DOMINIO: PLANIFICAR Y ORGANIZAR
P01 Definir un plan estratégico
de TI
¿Existe un plan estratégico de
TI? X
¿La planeación estratégica de
cumple en reuniones de
trabajo?
X
¿Las decisiones se toman de
manera individual? X
¿Se desarrollan planes de TI? X
PO2 Definir la arquitectura de la
información
¿Existe definida una
arquitectura de información? X
PO3 Definir la dirección
tecnológica
¿Existe un plan de
infraestructura tecnológica? X
El equipo tecnológico
abastece para cumplir los
objetivos
X
PO4
Definir los procesos,
organización y relaciones
de TI.
Evisten procesos definidos en
la Gestión de TICs? X
¿La función del departamento
de TICs se considera como una
función solamente de soporte?
X
¿Existen convenio o relaciones
con otras Instituciones para el
fortalecimiento de las TICs?
X
PO5 Administrar la inversión en
TI.
¿Existe una inversión
importante en cuanto a
tecnología?
X
¿Existe la necesidad de tener
un presupuesto fijo para
invertirlo en tecnología?
X
DIMINIO: ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones
automatizadas
¿Existen procesos
automatizados? X
¿Se identifican procesos por
automatizarse? X
¿Existe una investigación
sobre la tecnología disponible? X
AI2 Adquirir y mantener
software aplicativo
¿El mantenimiento del software
se realiza en base a la
experiencia dentro de la
operación de las TICs?
X
¿Existe la necesidad de
implementar automatizaciones
en base a la creación de
software nuevo?
X
AI3 Adquirir y mantener la
infraestructura tecnológica
¿Existe la necesidad de
adquirir infraestructura
tecnológica?
X
¿Se realiza mantenimiento de
la Infraestructura Tecnológica?
X
AI4 Facilitar la operación y el
uso
¿Existen manuales de usuario
y de operación para la parte
tecnológica?
X
¿Los procesos se encuentran
estandarizados? X
AI5 Adquirir recursos de TI
Se ha realizado la adquisición
de recursos tecnológicos X
¿Existe un proceso definido
para la adquisición de recursos
tecnológicos?
X
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los
niveles de servicio
¿Los procesos están definidos
por niveles de servicio? X
¿Se realizan reporte de
servicio de manera continua? X
DS2 Administrar los servicios
de terceros
Existe un control completo en
los servicios realizados por
terceros.
X
DS3 Administrar el desempeño
y capacidad
¿Se realizan evaluaciones
constantes en la infraestructura
tecnológica?
X
DS4 Asegurar el servicio
continuo
¿Se realiza un servicio
continuo en el mantenimiento
de infraestructura?
X
Se realiza un plan de
mantenimiento X
DS5 Garantizar la seguridad de
los sistemas
¿Existe una concientización en
el valor de la seguridad de la
información?
X
¿Existe un plan de seguridad
de la Información? X
DOMINIO: ENTREGAR Y DAR SOPORTE
ME1 Monitorear y evaluar el
desempeño de TI.
¿Se lleva a cabo el monitoreo
continuo de procesos? X
ME2 Monitorear y evaluar el
control interno
¿Existe un método de
monitoreo y control interno? X
ME3 Garantizar el cumplimiento
regulatorio
¿Existen informes sobre
cumplimiento de objetivos
regularmente?
X
ME4 Proporcionar gobierno de
TI
¿Existe el conocimiento debido
sobre los procesos de Tics por
parte de las autoridades?
X