Auditoria COBIT 4.1

DECLARACIN
Nosotros, Silvio David Navarro Vsquez, Carlos Xavier Talavera y Erick Javier Ruiz Treminio declaramos bajo juramento que el trabajo aqu descrito es nuestra autora; que no ha sido previamente presentado para ningn grado o calificacin profesional; y, que hemos consultado las referencias bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, al programa acadmico de la universidad nacional de ingeniera (UNI-IES), segn lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normatividad institucional vigente.
Silvio David Navarro Vsquez
Carlos Xavier Talavera Zepeda
Erick Javier Ruiz Treminio
INTRODUCCIN
El presente documento tiene por objetivo presentar los resultados obtenidos del anlisis del nivel de madurez de los procesos de gestin de las Tecnologas de Comunicacin e Informacin (TI) en la UNI-IES (Universidad Nacional de Ingeniera-Instituto de Estudios Superiores) la metodologa COBIT que se basa en mtricas y modelos de madurez para emitir conclusiones y recomendaciones tiles para mejorar el desempeo del negocio y de sus procesos. La Universidad Nacional de Ingeniera es una Institucin de la Educacin Superior, estatal y autnoma, en bsqueda permanente de la excelencia acadmica, dedicada a formar profesionales en el campo de la Ciencia, la Ingeniera y la Arquitectura para que generen y difunden conocimientos con conciencia social, tica y humanstica, con la finalidad de contribuir a la transformacin tecnolgica y al desarrollo sustentable de Nicaragua y la regin Centroamericana. Cuya experiencia de muchos aos le ha permitido ofrecer el servicio de la educacin con excelencia acadmica en Managua con UNI-RUSB, UNI-IES, UNI-RUPAP y en Estel con UNI-RUACS. UNI-IES nace por los acuerdos del Consejo Universitario No 2 del ao 1998, en la sesin No.01-98, es un centro educativo moderno de enseanza superior y con una visin tecnolgica que ofrece carreras vinculadas al campo de la ciencia, la ingeniera y la arquitectura. Por nuestro origen y naturaleza, somos un programa acadmico de estudios superiores de la Universidad Nacional de Ingeniera, econmicamente autofinanciado sin menoscabo de los estndares de calidad y excelencia acadmica. El programa UNI-IES se caracteriza por brindar no solo una enseanza de excelente calidad en materia de ingeniera y arquitectura, ya que cuenta entre su planta docente con profesores de la Universidad Nacional de Ingeniera. Las carreras que actualmente se ofertan son:
Ingeniera Civil, Ingeniera Industrial, Ingeniera en Computacin, Ingeniera de Sistemas, Ingeniera en Telecomunicaciones y Arquitectura
Se recomienda que antes de leer el documento vaya a anexos y aprpiese de la informacin de la entrevista y nivel de madurez (Ver Anexos)
DIAGNOSTICO
A travs del estudio y el diagnostico ejecutado en el rea se han detectado deficiencias, clasificadas de la siguiente manera:
Deficiencias Tecnolgicas Encontradas

1. La institucin no cuenta con un servidor de respaldo 2. En el caso del sistema acadmico los respaldos se almacenan dentro del disco duro donde se encuentra alojada la base de datos. Para el caso del sistema contable el respaldo se guarda dentro del servidor de base de datos y en un disco externo asignado al rea de administracin 3. La institucin no cuenta con un cuarto de servidores 4. El servidor de Base de datos acadmico, servidor Proxy y servidor de Antivirus se localizan en el rea de los laboratorios de computo en un ambiente abierto de fcil acceso al pblico con condiciones climatolgicas inestables; Lo anterior se justifica que durante el da 3 aires acondicionados mantienen la temperatura de 15 grados Celsius, pero durante la noche dichos aires son apagados. El servidor de base de datos de administracin se encuentra en el rea de administracin (apartado de los dems servidores) donde el administrador de los sistemas no tiene acceso total ya que requiere apertura de la puerta desde adentro. Dicho servidor se encuentra a vista y fcil manipulacin de los usuarios dentro del rea, donde el nico obstculo es la contrasea de Windows del servidor como tal. 5. La institucin no cuenta con una infraestructura de red protegida. (Canalizacin) 6. Procedentes de un patch panel y swtich a travs de un rack ubicado en el rea de los laboratorios de computo, los cables salen sin ninguna proteccin y llegan a su destino de igual manera.
Deficiencias Organizacionales
La Institucin no cuenta con un departamento de sistemas acondicionado. El personal dentro del rea de los laboratorios de cmputo es el personal encargado de la solucin de los problemas tcnicos y lgicos encaminados a los sistemas de informacin y recursos tecnolgicos de la institucin. Aunque existe un POA para el rea, los recortes de presupuesto no permiten contar con los recursos necesarios para la ejecucin de soluciones satisfactorias a los problemas emergentes del da a da. La Institucin no cuenta con planes de Contingencia, respaldo, seguridad, mantenimiento, riesgos y estndares Las altas autoridades no son conscientes de la necesidad de invertir y ejecutar planes. Cada problema se soluciona de manera correctiva por parte del rea de los laboratorios de cmputo a espera de la compra de equipos repositorios para solucionar en caso de ser necesario.
La Institucin no cuenta con varios de los procedimientos definidos Ciertos procedimientos no se encuentran documentado, permitiendo que los implicados realicen las tareas segn su intuicin y manera de trabajar con el fin de lograr el objetivo, el cual se ve afectado en calidad por seguir un procedimiento fuera de lo que debe estar establecido.
La Institucin no cuenta con seguridad lgica ni de datos En cuanto a la seguridad lgica del servidor de base de datos acadmico el administrador de los sistemas asigna usuarios y contraseas a los miembros de la institucin que utilicen el sistema desde la base de datos. Cuando ingresa un nuevo trabajador, el registro del nombre de usuario y contrasea se sustituyen por el nuevo elemento ms no permite que queden registros desde la base de datos; quedando al final los registros impresos pero no los digitales. La institucin no cuenta con una clasificacin apropiada de grupos con restricciones de acceso a internet.
Existe un servidor proxy que filtra las salidas al mundo o internet, el cual tiene configurado accesos a la red a travs de grupos, sin embargo no existe un control consciente de esta poltica, puesto que se ha permitido habilitar el acceso total a la red de solicitudes a pginas indebidas, sociales y descargas a usuarios que no necesitan tales recursos. Lo cual se traduce a constantes descargas y mal uso del ancho de banda segn reportes del servidor Proxy.
La institucin no cuenta con el diseo de distribucin fsica de la red interna de cableado. Se desconoce las direcciones, recorridos y ubicaciones del cableado de la institucin, cuyo origen son las instalaciones de los laboratorios de cmputo. Se conoce que hay cableado a nivel de concreto bajo el suelo, lo cual dificulta en un gran grado la sustitucin de dicho elemento de ser necesario. Sin embargo no se tiene documentado dichas excavadoras ni direcciones. La institucin no cuenta con una cultura que se encuentre identificada o que conozca los procedimientos internos as como el uso apropiado de los canales de comunicacin.
Objetivos del Trabajo
I.
Identificar procesos y controles que presenten problemas.
II.
Evaluar el nivel de madurez de los procesos identificados en la gestin de las TIC a travs de la metodologa COBIT
III.
Analizar los resultados obtenidos.
IV.
Elaborar un informe tcnico para administradores.
V.
Elaborar un informe ejecutivo para administradores y ejecutivos de la empresa.
APLICACIN DE COBIT 4.1
Elementos COBIT 4.1 dentro del Anlisis

El marco de trabajo de COBIT se basa en controles y mediciones bajo cuatro dominios:
PLANEAR Y ORGANIZAR (PO) 10 PROCESOS DE GESTIN DE TI
ADQUIRIR E IMPLEMENTAR (AI) 7 PROCESOS DE GESTIN DE TI
ENTREGAR Y DAR SOPORTE (DS) 13 PROCESOS DE GESTIN DE TI,
MONITOREAR Y EVALUAR (ME) 4 PROCESOS DE GESTIN DE TI.
Se han analizado uno a uno los procesos de cada dominio dentro de la metodologa COBIT 4.1 y en coordinacin con el administrador de los sistemas de informacin y el director de la institucin examinamos la situacin actual de los procesos de gestin de TI en la empresa para poder emitir recomendaciones que ayuden a mejorar los procesos de gestin de TI y as alcanzar los objetivos del negocio.
La aplicacin de la metodologa COBIT en la UNI-IES permite evaluar y mejorar los procesos de gestin de TI. La evaluacin de los procesos de gestin de TI consiste en realizar un anlisis de la situacin actual de la organizacin que determine el nivel de madurez de los procesos de la empresa con respecto a la metodologa aplicada y as poder emitir recomendaciones que expliquen qu hacer para que un determinado proceso mejore.
Inicialmente haremos una clasificacin de los procesos para especificar la prioridad de implementacin de los mismos, para ello realizamos lo siguiente:
Para examinar la situacin actual de los procesos de gestin de TI se ha realizado una reunin con el director de la institucin y el administrador de los sistemas de la UNI-IES, as como tambin encuentros informales con los usuarios de TI. A travs de COBIT se determin que la institucin no posee una cultura de Gestin definida.
Dominio: PLANEAR Y ORGANIZAR
PO1- Definir un plan estratgico de TI.

El nivel gerencial considera que manejar adecuadamente las tecnologas de informacin ayudar a alcanzar las metas del negocio; En este punto se ha estipulado que es necesario contar con un portafolio de inversiones ms especfico en los mbitos del presente y el futuro, haciendo conciencia sobre las autoridades de las oportunidades que ofrecen las tecnologas salientes, pensando en pro de las metas y objetivos de la institucin.
Cada punto dentro del portafolio debe estar sujeto a evaluaciones de funcionabilidad, costos, fortalezas, debilidades, anlisis de riesgo y transparencia. Se establece que los elementos del plan estratgicos se deben cambiar segn el rumbo de los objetivos de la institucin, manteniendo una administracin activa en cuanto a su definicin, evaluacin, asignacin de prioridades, seleccin y control de los programas.
La unidad Informtica es responsable de desarrollar e implementar planes a corto y largo plazo que satisfagan la misin y las metas generales de la organizacin. En el inventario de soluciones tecnolgicas e infraestructura actual se deben evaluar los planes existentes en trminos de: Nivel de automatizacin de la institucin. Funcionalidad Estabilidad Complejidad Costos, Fortalezas y debilidades.
En cuanto a los cambios organizacionales se debe asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de Informacin con el objetivo de adaptar los cambios al plan y a las TI
PO2 -Definir la arquitectura de la informacin.

El nivel gerencial considera que la informacin de la empresa debe administrarse de mejor manera y que deben estar sujetas a polticas de seguridad internas. Con el objetivo de que permita satisfacer los requerimientos del rea en cuestin se debe organizar de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para la utilizacin de esta informacin. Para lo cual se establece lo siguiente:
La documentacin deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficientes en cuanto a la recuperacin de la informacin, respaldos y depuracin de la informacin.
La propiedad de la informacin y la clasificacin de la misma debe permitir establecer un marco de referencia de la ubicacin de la informacin. Se debe realizar la documentacin del diccionario de datos, el cual incorpora reglas de la organizacin y que debe ser actualizado segn los cambios en el sistema, as como nuevos requerimientos.
Los requerimientos dentro del plan estratgico deben integrarse con los procesos establecidos en el rea para corroborar que no existan colisiones de informacin, redundancia de datos y verificar la confiabilidad de los mismos.
PO3-Determinar la direccin tecnolgica.

La institucin considera que se necesita una infraestructura tecnolgica apropiada que sea soporte para que la Unidad Informtica en pro del desarrollo de la misma segn el desarrollo de la empresa; Con el plan estratgico en unin con los procesos de la empresa se debe determinar la direccin de la tecnologa, la cual se implica la estandarizacin de sistemas aplicativos.
Para lo anterior se debe establecer un grupo selecto que dirija la arquitectura de la informacin y que verifique el cumplimiento de los objetivos de la empresa a travs de la misma. Con PO1y PO2, en PO3 se establece la infraestructura tecnolgica que enfoca los aspectos que enfocan el sistema de informacin que sustentan la operacin de la institucin.
En este punto el grupo selecto debe evaluar la infraestructura tecnolgica, basndose en los requerimientos de la arquitectura de la informacin, la cual se ver afectada por los giros dentro de los objetivos de la institucin; Dichos cambios estn ligados a las tendencias del futuro como lo son:
Factores Ambientales Factores Energticos Paradigmas de Trabajo o Procesos Factores Financieros
Estos recursos deben combinarse estratgicamente por el rea para dinamizar los cambios que la institucin afronta con el avance de las tecnologas.
PO4- Definir los procesos, organizacin y relaciones de TI.

La institucin considera que administrar las tareas y responsabilidades de TI ayudara a una mejor prestacin de servicios debido a que se establecen procesos, polticas de administracin y procedimientos para todas las funciones, administracin de riesgos, seguridad de la informacin y segregacin de funciones.
PO5 Administrar la inversin en TI.

La institucin considera que pronosticar presupuestos y definir criterios formales de inversin permite establecer un marco de trabajo de los programas de inversin, lo que incluye costos, beneficios, prioridades. Abriendo relaciones entre TI institucin. y los dueo de la
PO6 Comunicar las aspiraciones y la direccin de la alta gerencia.

La institucin considera que definir un marco de trabajo de control para TI y la definicin de polticas para TI se debe implementar para articular la comunicacin y el entendimiento de las leyes y reglamentos de la institucin, con el objetivo de garantizar el cumplimiento de estas.
PO7- Administrar los recursos humanos de TI.

La institucin considera que para administrar los elementos de TI, es necesario adquirir personal competente, por tanto el encargado del rea con conjunto con recursos humanos debe ser parte del filtro seleccionador.
Con un personal estable es necesario mantener la motivacin por medio de planes, asignacin de roles importantes segn habilidades y destrezas. Tomando en cuenta que se debe tomar cada rol como parte de la cultura institucional.
PO8- Administrar la Calidad.

Internamente se requiere de un sistema de calidad basado en planeacin, implantacin y mantenimiento del sistema de administracin de calidad, proporcionando requerimientos, procedimientos y polticas de calidad.
PO9-Evaluar y Administrar los riesgos de TI.

Crear y dar mantenimiento a un plan de riesgo que permita abordar eventos no planeados que tengan impactos negativos sobre la organizacin. Cada riesgo se debe identificar, analizar y evaluar adoptando estrategias para cada uno.
PO10-Administrar Proyectos.
La institucin considera que la definicin y planeacin de proyectos dentro del portafolio de proyectos permitir la entrega de resultados dentro de marcos de tiempo, presupuesto y calidad acordados en cada uno de estos. Asegurando la reduccin de riesgos, evitando la cancelacin de proyecto y mejorando la comunicacin entre dueos y usuarios finales.
Dominio: ADQUIRIR E IMPLANTAR
AI1-Identificar soluciones automatizadas.

La necesidad de una aplicacin o funcin requiere de anlisis antes de una compra o desarrollo. Durante el anlisis se debe priorizar cuan efectivo y eficiente debe ser la solucin automatizada.
Para ello se consideran aspectos como las necesidades, el costo-beneficio, factibilidad tecnolgica y econmica.
AI2-Adquirir y mantener software aplicativo.

La institucin considera que la buena traduccin de los requerimientos TI bajo estndares y actividades de desarrollo permitir apoyar la productividad de la institucin de forma apropiada con las aplicaciones automatizadas correctas.
AI3-Adquirir y mantener una infraestructura tecnolgica.

Segn el plan estratgico y la direccin tecnolgica se deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnolgica. Mejor conocido como soporte tecnolgico continuo para las aplicaciones de la Unidad Informtica.
AI4-Facilitar la operacin y el uso.

El nivel gerencial considera que el conocimiento sobre el sistema y las nuevas tecnologas deben estar disponibles para que el personal pueda manejarlos correctamente.
AI5-Adquirir recursos de TI.

La institucin considera que una asesora legal, contractual, la adquisicin de hardware, software y servicios requeridos segn la definicin de los procedimientos de adquisicin permite garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
AI6-Administrar Cambios.
La institucin considera que se debe establecer una documentacin y un procedimiento de autorizacin de cambios. Tal procedimiento debe ser comunicado y debe llevar un seguimiento de estados y reportes a travs de tcnicas apropiadas. Lo cual garantizara la reduccin de riegos en impacto de la institucin.
AI7-Instalar y acreditar soluciones y cambios.

La institucin considera que se debe establecer una planeacin metodolgica que permita evaluar y ejecutar los resultados de las pruebas para verificar la liberacin de errores y el cumplimiento del propsito deseado, garantizando que los sistemas estn en lnea con las expectativas esperadas
Dominio: ENTREGAR Y DAR SOPORTE
DS1-Definir y administrar los niveles de servicio.

La institucin considera se deben determinar responsables y niveles de servicio de TI para luego proceder a administrarlos, De tal manera que la documentacin se pueda aplicar segn los niveles de servicios y sin excepcin.
DS2-Administrar los servicios de terceros.

La institucin considera que se debe establecer mecanismos de medicin de los proveedores, para ello se debe identificar y clasificar al proveedor, analizando los riesgos a los que la institucin se enfrenta y el monitoreo de su desempeo.
DS3-Administrar el desempeo y la capacidad.

La institucin considera se debe establecer cules son monitorear y mejorar de manera continua. las funciones de TI para posteriormente lograr administrar su desempeo y capacidad, Permitiendo a la institucin,
DS4-Garantizar la continuidad del servicio.

La institucin considera se debe establecer inicialmente un detalle de los servicios y de cmo se realizara la prestacin de los mismos para despus garantizar la continuidad.
DS5-Garantizar la seguridad de los sistemas.

La institucin considera que debe mantener la integridad de la informacin y proteger los activos de TI. Para lo cual es necesario un proceso de administracin de la seguridad. Estableciendo roles y responsabilidades, encaminados por polticas, estndares y procedimientos. De tal manera que haya entendimiento sobre vulnerabilidades y amenazas, mantenimiento, monitoreo y evaluacin de la seguridad de manera regular.
DS6-Identificar y Asignar Costos.

La institucin considera que se debe construir un modelo de costos completo y aceptable que permita una medicin y asignacin precisa de costos y transparencia de informacin que permita una toma de decisiones clara con respecto al uso de las TI.
DS7-Educar y Entrenar a los usuarios.

La institucin considera se debe establecer una educacin efectiva a los usuarios sobre las TI del sistema de la institucin, ya que es vital para la productividad de la misma. Para ello se deben conocer las necesidades de entrenamientos de cada grupo de usuario segn la clasificacin de la informacin que manipulen; Para lograr este punto se debe establecer una estrategia y un plan de seguimiento para establecer controles y disminuir errores.
DS8-Administrar la mesa de servicio y los incidentes.

La institucin considera que para lograr una mejora contina de los procesos, en la arquitectura de la informacin y el hallazgo de nuevos requerimientos es necesario las diferentes, consultas, problemas e incidentes por parte de los usuarios de TI. Cada inconformidad debe ser administrada de manera sigilosa, especificando la raz de la misma, as como la propuesta de solucin ms ptima; Permitiendo a la institucin incrementar su productividad.
DS9-Administrar la configuracin.
La institucin considera se debe establecer un plan de contingencia para proteger la continuidad de operacin de la institucin. Para ello es necesario poseer disponibilidad de los recursos software as como su documentacin esencial de configuracin optima-estndar establecida; El hardware de igual manera que el software requiere de los mismo aspectos para resolver ante la inconformidad que pueda darse. Por tanto se necesita de un plan de repositorios que se encuentre en continua actualizacin segn las TI y la direccin tecnolgica.
DS10-Administracin de Problemas.
La institucin considera que se debe realizar un anlisis de causas de los problemas reportados, analizando tendencias y soluciones, logrando as un efectivo proceso de administracin de problemas, de reduccin de costos, riesgos y satisfaccin del usuario
DS11-Administracin de Datos.
La institucin considera que conforme crece la productividad y los requerimientos de la institucin, se debe establecer un proceso de administracin de los datos, con el objetivo de que la arquitectura de la Informacin brindada a los usuarios de Ti sea integra, fiable y confiable; Esto permite garantizar la calidad, oportunidad y disponibilidad de la informacin obtenida por medio de los datos.
DS12-Administracin del ambiente fsico.

La institucin considera que el acceso a los recursos de TI requiere no solo de proteccin lgica, sino tambin fsica. Para ello se requiere de un buen diseo de las instalaciones, as como su administracin. Posteriormente es necesarios el monitoreo de factores ambientales fsicos para reducir las interrupciones y daos a los equipos y al personal.
DS13-Administracin de Operaciones.
La institucin considera que el procesamiento de la informacin requiere de un buen procesamiento de datos y de mantenimiento del hardware. Con el fin de reducir los retrasos en las operaciones, extender la vida til de los recursos y mantener un cuido exhaustivo de la arquitectura de TI; Utilizando el monitoreo de los aspectos antes mencionados.
Dominio: MONITOREAR Y EVALUAR
ME1-Monitorear y evaluar el desempeo de TI.

El rea en cuestin considera que debe existir una administracin del desempeo de las TI con indicadores que permitan garantizar que las operaciones, se estn ejecutando de manera correcta. Con herramientas como reportes de desempeo que permitan conocer el estado de las TI en comparacin con las metas de la institucin a travs del rea informtica.
ME2-Monitorear y evaluar el control interno.

El rea en cuestin considera que inicialmente se deben definir controles integrados en el marco de trabajo de procesos de TI, documentando las no conformidades que violenten los objetivos de TI, leyes y reglamentos internos en la institucin para despus crear un proceso que los monitoree y evale.
ME3-Garantizar el cumplimiento con requerimientos externos.

El rea en cuestin considera que para verificar que se est realizando un buen monitoreo y evaluacin de los procesos de la institucin.
ME4-Proporcionar Gobierno de TI.

La institucin considera que se debe establecer un gobierno de TI ya que habilita a la organizacin con las herramientas necesarias para tomar decisiones ptimas respecto a la realizacin de inversiones en tecnologa considerando la direccin, requerimientos del negocio y su comportamiento financiero.
NIVEL DE MADUREZ DE LOS PROCESOS
Durante las reuniones se defini el grado de madures de cada proceso abordado y considerado dentro del marco a travs del modelo genrico de madurez.
PLANEAR Y ORGANIZAR
PO1-DEFINIR UN PLAN ESTRATGICO DE TI
Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los miembros de la institucin que interactan con las TI se conoce que la definicin de un plan estratgico de TI es un proceso inexistente.
El proceso de definicin del plan estratgico empresarial se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de la importancia de la planeacin estratgica de TI que sirve para dar soporte a los objetivos del IES en trminos de TI.
PO2 -DEFINIR
LA
ARQUITECTURA DE
LA INFORMACIN
Por la entrevista realizada al administrador de los sistemas y la entrevista realizada a los miembros de la institucin que interactan con las TI se conoce que la definicin de la arquitectura de la informacin es un proceso inexistente debido a que el personal no conoce el concepto de arquitectura de la informacin, y la empresa no posee un modelo de arquitectura que optimice el uso de su informacin.
El proceso de definicin de la arquitectura de la informacin se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de lo importante que es definir la arquitectura de informacin y mantenerle actualizada, la institucin no brinda el apoyo necesario para desarrollar una arquitectura de informacin de acuerdo a las necesidades de la organizacin.
PO3-DETERMINAR LA DIRECCIN TECNOLGICA
Por la entrevista realizada al administrador de los sistemas se conoce que la determinacin de la direccin tecnolgica es un proceso inexistente en la empresa porque no cuentan con los requerimientos tcnico ni el personal suficiente que posea el conocimiento y experiencia necesarios para desarrollar un buen plan que gui a la organizacin hacia un acertado cambio tecnolgico.
El proceso para determinar la direccin tecnolgica se localiza en el nivel de madurez cero porque no tiene conciencia sobre el importante aporte de este proceso a la organizacin, no entiende que una correcta planeacin del cambio tecnolgico es crtica para asignar recursos de manera efectiva a corto y largo plazo.
PO4-DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES TI
Por el diagnstico realizado a la empresa y las entrevistas ejecutadas de manera informal, se logr conocer que no existen procedimientos ptimos documentados, adems que hay personal no capacitado en puestos no aptos; Por tanto no se puede establecer una relacin de TI que permitan un crecimiento de la productividad y transparencia de los procesos.
El proceso para definir los procesamientos, organizacin y relaciones de TI se localiza en el nivel de madurez cero debido a que no se entiende la importancia de llevar una relacin ntima entre la organizacin, sus procedimientos con las relaciones de TI que permitan un cumplimiento satisfactorio de los objetivos de la institucin.
PO5-ADMINISTRAR LA INVERSIN EN TI
Por la entrevista informal realizada al director de la institucin y el administrador de los sistemas se conoce que no existe una administracin de inversin de TI. Esto se debe a que la inversin se da al momento de pedidos de adquisiciones por parte de la central; Anexo a ello no se cuenta con un marco estratgico para administrar el presupuesto. A pesar de que se hace el esfuerzo de disear un presupuesto, dado que se ejecuta lo que la central define, el IES no aplica empeo en este punto.
El proceso para administrar la inversin en TI se localiza en el nivel de madurez cero debido a que la institucin no tiene personera administrativa en el elemento de administracin de las inversiones. Sus adquisiciones se ejecutan segn el presupuesto definido desde la central. Y no existe inters en cuanto al cambio del ambiente por polticas de la central.
PO6-COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA ALTA GERENCIA
Segn la revisin de la pgina web www.ies.uni.edu.ni y la entrevista informal realizada al administrador de los sistemas que se encarga de administrar la pgina web, se conoce que no se muestra una actualizacin en cuanto a los cambios institucionales y de tiempo. Se ha mantenido una informacin esttica y un diseo de la misma magnitud. El proceso para comunicar las aspiraciones y la direccin de la alta gerencia se localiza en el nivel 1 porque existe un mtodo de comunicacin ms se ha quedado esttico ya que no existe un inters por parte de la institucin en la relacin con el administrador de la pgina web para difundir la informacin y lograr el cumplimiento de los objetivos.
PO7-ADMINISTRAR LOS RECURSOS HUMANOS DE TI
Por la entrevista informal realizada al director de la institucin, el administrador de sistemas y usuarios de TI se conoce que no existe transparencia en el proceso de reclutamiento, entrenamiento y evaluacin del desempeo. El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios para la obtencin de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones se hacen de manera preferencial y no por habilidades y destrezas.
PO8-ADMINISTRAR LA CALIDAD
Por
la
entrevista
informal
realizada
al director de la institucin
se conoce que la
administracin de la calidad es un proceso inicial en la empresa. El personal administra la calidad segn la percepcin del usuario.
El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la calidad como percepcin del usuario se realiza de manera preferencial. No hay organizacin, documentacin ni profesionalismo en este proceso.
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizada a los miembros de la institucin conocemos que la evaluacin y administracin de los riesgos de TI es un proceso inexistente en la institucin, porque no cuentan con un marco de trabajo definido que permita analizar y evaluar cualquier impacto potencial sobre las metas de la organizacin causado por algn evento no planeado.
El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero porque la organizacin no tiene conciencia de la importancia de contar con una metodologa, ni con la documentacin ni mejora continua que solucione vulnerabilidades de seguridad e incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en los procesos y la arquitectura de la informacin.
PO10 Administrar Proyectos
Utilizando como base primaria los puntos analizados hasta el momento, entrevistas informales en general y el diagnostico se conoce que la institucin no tiene conciencia de la necesidad de crear un foro responsable que se encargue de administrar proyectos. Anexo a esto los proyectos no se realzan ni de manera individual por falta de motivacin de la institucin. El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido una metodologa ni se ha seleccionado a un encargado que minimice institucin por la falta del proceso antes mencionado. el impacto en la
RESUMEN DEL DOMINIO PLANEAR Y ORGANIZAR
El dominio est relacionado con procesos de planeacin y organizacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados. DOMINIO: PLANEAR Y ORGANIZAR PROCESOS PO1_Definir un plan estratgico de TI PO2_Definir la arquitectura de la informacin PO3_Determinar la direccin tecnolgica PO4_Definir los procesos, organizacin y relaciones TI PO5_Administrar la inversin en TI PO6_Comunicar las aspiraciones y la NIVEL DE MADUREZ NIVEL DE MADIREZ ACTUAL 0 0 0 0 0 1 0 0 0 0 DESEADO 2 2 2 2 2 2 2 2 2 2
direccin de la alta gerencia PO7_Administrar los recursos humanos de TI PO8_Administrar la calidad PO9_Evaluar y administrar los riesgos de TI PO10_Administrar Proyectos
Como se muestra en la anterior, en este dominio todos los procesos analizados tienen un grado de madurez de nivel CERO, estos deben ser motivo de especial atencin por parte de la gerencia y su implantacin debe regirse a la prioridad ya que se han tomado los puntos ms crticos usando los elementos de COBIT.
Segn COBIT, la empresa en este dominio carece completamente de algn proceso con metodologa especfica y definida, se ignora necesidad de implantar estos procesos para as solucionar sus problemas.
ADQUIRIR E IMPLANTAR
AI1-IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Por la entrevista realizada al administrador de los sistemas se conoce que la identificacin de soluciones automatizadas es un proceso inexistente en la empresa porque no cuentan con un inters definido para analizar la compra o el desarrollo de nuevas aplicaciones que garantice que los requisitos del negocio se cumplan de manera efectiva y eficiente.
El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero porque la institucin no lo considera importante y no cuenta con un procedimiento definido que identifique requerimientos funcionales y operativos para el desarrollo, implantacin o modificacin de soluciones tecnolgicas disponibles que sirvan de apoyo para que se cumpla con sus objetivos. Ligado a la direccin tecnolgica de la institucin.
AI2-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Por las entrevistas realizadas de manera formal e informal al administrador de los sistemas se conoce que el proceso de adquirir y mantener software aplicativo es inexistente porque no se ha establecido una metodologa que permita apoyar a la institucin en las decisiones y elemento correctos a adquirir aplicaciones automatizadas segn el avance de la institucin.
El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero ya que no existe conciencia de la importancia de adquirir software que permitan mejorar los procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institucin.
AI3-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA
Por la entrevista realizada al administrador de los sistemas se conoce que la adquisicin y mantenimiento de infraestructura tecnolgica es un proceso inexistente en la institucin porque no consideran importante adquirir, mantener y proteger la infraestructura.
El proceso de soporte tecnolgico continuo se localiza en el nivel de madurez cero porque no se cuenta con un procedimiento establecido de revisin, mantenimiento y necesidades de nuevos requerimientos del proceso en cuestin.
AI4-FACILITAR LA OPERACIN Y EL USO
Por la entrevista realizada al administrador de los sistemas y la entrevista informal realizadas a los usuarios de TI se conoce que el facilitar la operacin y el uso de los sistemas de TI es un proceso desorganizado porque la empresa no cuenta con documentacin del sistema, manuales de usuarios, manuales de operacin y materiales de entrenamiento.
El proceso para facilitar la operacin y el uso se localiza en el nivel de madurez cero porque no considera necesaria la documentacin si se cuenta con un administrador de sistemas y no se cuenta con una metodologa para el desarrollo de manuales de usuario, de TI, de operacin y de procedimiento.
AI5-ADQUIRIR RECURSOS DE TI
Por la entrevista informal realizada a la persona encargada del Departamento Administrativo conocemos que la adquisicin de recursos de TI es un proceso que existe de manera inicial, no adecuada en cuanto a la definicin y seguimiento para lograr el cumplimiento.
El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque existe un proceso, la institucin hace muy poca presin a la central para que estos agilicen el proceso de adquisicin satisfactoria.
AI5-Adquirir recursos de TI.

Por la entrevista informal realizada al administrador del sistema y el diagnostico se conoce que la institucin no cuenta con las capacidades legales necesarias para garantizar que la institucin adquiera los recursos TI necesarios para el cumplimiento de los objetos. En el momento de la adquisicin se busca cantidad y ahorro en sustitucin de la calidad en cuanto al hardware.
En cuanto al software no existen planes de adquisicin por compra ni desarrollo por parte de la institucin puesto que no consideran importante invertir en este proceso. Realizando las adquisiciones de manera correctiva y de oportunidad segn los estipule la central.
El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1
AI6-Administrar Cambios.
Por la entrevista informal realizada al administrador de sistemas se conoce que el proceso de administrar cambios es un proceso inexistente debido a que no se ejecutan todos los cambios necesarios para el avance de la institucin y lo pocos que se ejecutan se realizan de manera que no se integran al sistema y con la debilidad de depender de la persona que resuelve de manera sistemtica un proceso no automatizado. Por tanto el cambio no se comunica de manera ptima ni se documenta, simplemente surge como solucin, es decir no importa el cmo se resuelva sino que se resuelva la no conformidad.
El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con un plan de administracin de los cambios, no existe documentacin y no existe un elenco responsable que permita cumplir los objetivos de la institucin.
AI7-Instalar y acreditar soluciones y cambios.
Por la entrevista informal realizada al administrador de los sistemas y el anlisis del proceso AI6 se conoce que el proceso de instalar y acreditar soluciones y cambios es un proceso inexistente debido a que se trabaja con sistemas cerrados que no permiten cambios o modificaciones.
El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a que los sistemas no permiten cambios y no existe inters en la adquisicin de nuevas aplicaciones. Consecuentemente no existe inters en la creacin de la idea de este proceso como parte del crecimiento institucional.
RESUMEN DEL DOMINIO ADQUIRIR E IMPLANTAR
El dominio est relacionado con procesos de adquisicin e implantacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados. DOMINIO: ADQUIRIR E IMPLEMENTAR PROCESOS AI1_Identificar soluciones automatizadas AI2_Adquirir aplicativo AI3_Adquirir y mantener una y mantener software NIVEL DE MADUREZ NIVEL DE MADIREZ ACTUAL 0 0 DESEADO 2 2
infraestructura tecnolgica AI4_Facilitar la operacin y el uso AI5_Adquirir recursos de TI AI6_Administrar Cambios AI7_Instalar y acreditar soluciones y cambios
0 0 1 0 0
2 2 2 2 2
Como se muestra en la tabla anterior, en este dominio la mayora de procesos tienen un grado de madurez de nivel CERO, sin embargo todos los procesos deben ser motivos de atencin por parte de la institucin. Segn COBIT, la empresa en este dominio carece completamente de algn proceso con metodologa especfica y definida; Se ignora la importancia de implantar estos procesos para as solucionar sus problemas.
En cuanto al nico proceso con grado de madurez de nivel UNO, si aplica procedimientos sobre la base de la ley, especificando que la institucin carece de administracin para este dominio y los incidentes se manejan conforme van surgiendo.
ENTREGAR Y DAR SOPORTE

DS1-DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Por
la
entrevista
informal
realizada al director de la institucin y el administrador de los
sistemas se conoce que la definicin y administracin de los niveles de servicio es un proceso inexistente.
El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez cero, porque la institucin no posee documentacin y aunque semi-administra de manera emprica, no lo realiza de manera peridica y desconoce los beneficios de tener un responsable que controle y documente la administracin de acuerdos de niveles de servicio en la empresa.
DS2-ADMINISTRAR LOS SERVICIOS DE TERCEROS
Por la entrevista informal realizada al administrador de los sistemas se conoce que la administracin de los servicios de terceros es un elemento inexistente ya que no existe un mtodo o entidad que asegure que los servicios previstos por terceros cumplan con los requerimientos de la institucin.
El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si no existe un estndar de calidad, si no que los servicios de terceros se basan propiamente en el ahorro monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un proceso fuera de contexto y desorganizado.
DS3-ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
Por
la
entrevista
informal realizada al administrador de los sistemas se conoce que la
administracin del desempeo y la capacidad de los recursos de TI es un proceso inexistente en la empresa porque no existe un procedimiento continuo que evalu la capacidad y desempeo para asegurar que se est alcanzando el desempeo deseado. Por tanto se hace difcil la deteccin de nuevos requerimientos y la continua mejora de la arquitectura de la informacin en pro de la direccin tecnolgica.
El proceso para administrar el desempeo y la capacidad se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de la necesidad de llevar a cabo un proceso de planeacin de la capacidad y desempeo puesto que no se han establecido procesos claves de administracin.
DS4-GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Por
la
entrevista
informal realizada al administrador de los sistemas se conoce que el
garantizar la continuidad del servicio de TI es un proceso inexistente ya que la institucin no ha designado a responsable que se encargue de desarrollar los planes de continuidad de TI,
Cabe destacar que no se cuenta con planes de respaldo ni interno ni externos, al igual que no se aseguran los respaldos realizados
El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero porque no existe conciencia en la institucin de los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto por la prdida de los elementos de los servicios de TI.
DS5-GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Por la entrevista realizada al administrador de los sistemas se conoce que el garantizar la seguridad de los sistemas es un proceso existente en la empresa pero no seguro ya que no cuentan con un procedimiento de administracin de la seguridad que incluya el establecimiento de roles y responsabilidades de seguridad, as como no se monitorean los accesos/dominios establecidos segn polticas, estndares y objetivos que la institucin debe cumplir.
El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno porque la institucin no tiene conciencia de la necesidad utilizar software de seguridad distintos a los del sistema operativo y login de los sistemas, no estn asignadas las responsabilidades y rendicin de cuentas para garantizar la seguridad y las medidas para soportar y administrar la seguridad.
DS6-IDENTIFICARY ASIGNAR COSTOS
Por la entrevista informal realizada al rea de administracin se conoce que el proceso de

identificacin y asignacin de costos es un proceso inexistente en la institucin ya que no cuentan con una metodologa de asignacin de costos justa, equitativa y prioritaria para distribuir los costos de TI de la institucin. Corroborando segn la entrevista realizada al administrador de los sistemas que no existe prioridad ni inters en los elementos relacionados a las TI.
El proceso de identificacin y asignacin de costos se localiza en el nivel cero debido a que existe conciencia de la necesidad e importancia de reconocer los servicios de TI como una base actualizable para el cumplimiento de los objetivos y desarrollo de la institucin.
DS7-EDUCAR Y ENTRENAR A LOS USUARIOS
Por
la
entrevista
informal
realizada al director de la institucin y la entrevista formal al
administrador de los sistemas se conoce que la educacin y el entrenamiento a los usuarios es un proceso inicial y desorganizado puesto que no cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educacin efectiva de los usuarios que usan los sistemas de TI. El proceso de entrenamiento se hace de manera intuitiva y parcial, para lo cual el usuario debe preguntar o efectuar errores para aprender a utilizar los SI.
El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque la institucin no tiene un programa de entrenamiento y educacin con procedimientos estandarizados, sus empleados reciben capacitacin individual e informal.
DS8-ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Por
la
entrevista
informal
realizada
al administrador de los sistemas se conoce que la
administracin de la mesa de servicio y de incidentes es un proceso inexistente en la institucin porque no cuentan con una mesa de servicio que responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI.
El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de madurez cero porque la no se tiene conciencia que hay un problema que atender, no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracin de incidentes.
DS9-ADMINISTRAR LA CONFIGURACIN
Por
la
entrevista
informal
realizada
al administrador de los sistemas se conoce que la
administracin de la configuracin es un proceso inexistente en la empresa porque no cuentan con un documento completo y preciso que gui las configuraciones de hardware y software que se realicen en la institucin, estos procesos se realizan a prueba y error o de acuerdo a la experiencia del personal.
No se cuenta con un proceso de establecimiento de normas, la verificacin y auditora de la configuracin y la actualizacin del documento de configuracin conforme se necesite o cambien los requerimientos de la institucin
El proceso para administrar de la configuracin se localiza en el nivel de madurez cero porque no se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.
DS10-ADMINISTRACIN DE LOS PROBLEMAS
Por la entrevista formal e informal realizada al administrador de los sistemas y usuarios de TI se conoce que el proceso de administracin de problemas es un elemento existente ms no efectivo debido a que este proceso se ejecuta segn ocurrencias o inconformidades. No existe una bitcora, planes de procedimientos ni mejora continua metodolgica de los eventos; Reconociendo que no hay mantenimiento de errores, revisin de estados de TI, sino que solo se aplican acciones correctivas segn la experiencia y con la cultura de resolver en el menor tiempo sin importar como se haga.
El proceso de administracin de los problemas se localiza en el nivel uno puesto que se han estandarizado algunos procesos pero de manera mecnica por parte de los encargados de TI, de manera que la raz del incidente se busca si y solo si es considerado de gran impacto, en caso contrario se ejecuta una solucin rpida y no se documenta el incidente.
DS11-ADMINISTRAR LOS DATOS
Por la entrevista informal realizada al administrador de los sistemas y a los usuarios de TI se conoce que la administracin de los datos es un proceso desorganizado ya que no cuentan con un procedimiento definido que contemple metodologas efectivas para administrar la integridad, confiabilidad y disponibilidad de la informacin. Para los respaldos no se verifican, sin mencionar que no existe una estrategia de trabajo de los mismos para monitorear sus cambios en el tiempo y su integracin con nuevos requerimientos.
El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos no se establecen bajo ninguna prioridad, hacindolos deficientes en calidad y la seguridad.
DS12-ADMINISTRAR EL AMBIENTE FSICO
Por
la
entrevista
realizada al administrador de los sistemas y la entrevista informal a los
trabajadores del rea informtica se conoce que la administracin del ambiente fsico es inexistente en la institucin porque no cuentan con la debida proteccin del ambiente de cmputo ni del personal, as como tampoco disponen de instalaciones bien diseadas ni administradas que controlen el acceso fsico de personas no autorizadas a departamentos sensibles de la organizacin.
El proceso para administrar el ambiente fsico se localiza en el nivel de madurez uno porque no cuenta con un ambiente fsico que proteja los recursos y el personal contra peligros naturales y causados por el hombre, adems el personal se puede mover dentro de las instalaciones sin restriccin.
DS13-ADMINISTRAR LAS OPERACIONES
Por
la
entrevista es un
realizada al administrador se conoce que la administracin de las proceso inexistente debido a que no cuentan con una completa
operaciones
administracin de la informacin ni del mantenimiento del hardware que incluya definicin de polticas, procedimientos y estndares de operacin para administracin, monitoreo y planes preventivos.
El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se destina atencin ni recursos para la creacin de planes administrativos que permitan a las operaciones de TI reducir retrasos operacionales y extender la vida til de los equipos.
RESUMEN DEL
DOMINIO ENTREGAR Y DAR SOPORTE
El dominio est relacionado con procesos de entrega y soporte empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados..
DOMINIO: ENTREGAR Y DAR SOPORTE PROCESOS DS1_Definir y administrar los niveles de servicio DS2_Administrar los servicios de terceros DS3_Administrar el capacidad DS4_Garantizar la continuidad del servicio DS5_Garantizar sistemas DS6_Identificar y asignar costos DS7_Educar y entrenar a los usuarios DS8_Administrar la mesa de servicios y los incidentes DS9_Administrar la configuracin DS10_Administracin de problemas DS11_Administracin de datos DS12_Administracin del ambiente fsico DS13_Administracin de operaciones la seguridad de los desempeo y la NIVEL DE MADUREZ ACTUAL 0 0 0 0 1 0 1 0 0 1 0 1 0 NIVEL DE MADIREZ DESEADO 2 2 2 2 2 2 2 2 2 2 2 2 2
Como se muestra en la tabla anterior en este dominio la mayora de procesos tienen un grado de madurez de nivel CERO a excepcin de DS7 que tiene nivel de grado UNO. Se debe poner atencin a todos los procesos sin importar el nivel.
Segn COBIT este dominio carece de procedimientos con respectiva metodologa y no reconoce la importancia de implantar procesos para solucionar sus problemas, los incidentes se manejan conforme van surgiendo.
No existe comunicacin ni supervisin del nico proceso nivel uno encontrado, notando as una institucin desorganizada que se basa bajo procedimientos individuales segn el problema, incidente o no conformidad.
MONITOREAR Y EVALUAR
ME1-MONITOREAR Y EVALUAR EL DESEMPEO DE TI
Por
la
entrevista informal realizada al administrador de los sistemas se conoce que el
monitoreo y la evaluacin del desempeo de TI es un proceso inexistente debido a que no cuentan con ningn tipo de monitoreo ni sistema de soporte, que ayude al correcto funcionamiento de los requerimientos de TI y que garantice calidad segn los estndares y polticas que necesita la institucin.
El proceso para monitorear y la evaluar el desempeo de TI se localiza en el nivel de madurez cero porque no se cuenta con herramientas que permitan desarrollar reportes tiles, oportunos y precisos de monitoreo.
ME2 MONITOREAR
EVALUAR
EL
CONTROL INTERNO
Por
la
entrevista informal realizada al administrador de los sistemas se conoce que el
monitoreo y la evolucin del control interno es un proceso inexistente en la empresa porque no cuentan con un procedimiento que incluya el monitoreo y el reporte de las excepciones de control, auto-evaluaciones ni revisiones por parte de terceros en el mbito de TI.
El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero porque la organizacin carece de atencin y procedimientos para establecer el control interno, administrarlo, monitorearlo y mejorarlo.
ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO
Por la entrevista informal realizada al administrador de los sistemas se conoce que el garantizar el cumplimiento regulatorio es un proceso inexistente debido a que no cuentan con un procedimiento independiente de revisin que garantice el cumplimiento de las leyes y regulaciones e incluya la definicin de tica y estndares profesionales, planeacin, desempeo y reportes de auditoria.
El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero porque la organizacin no tiene conciencia de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.
ME4-PROPORCIONAR GOBIERNO DE TI
Por el diagnstico y entrevistas varias ejecutadas se conoce que el procesos de gobierno de TI es inexistente debido a que no existen acciones de coordinacin para movilizar los recursos de TI de la forma ms eficiente en respuesta a requisitos regulatorios y operativos. Anexando que no existe como estructura organizativa para asegurar que las TI soportan y facilitan el desarrollo de los objetivos estratgicos definidos.
El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe un grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.
RESUMEN DEL DOMINIO MONITOREAR Y EVALUAR
El dominio est relacionado con procesos de monitoreo y evaluacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados.
DOMINIO: MONITOREAR Y EVALUAR PROCESOS ME1_Monitorear desempeo de TI ME2_Monitorear y evaluar el control interno ME3_Garantizar regulatorio ME4_Proporcionar gobierno de TI el cumplimiento y evaluar el NIVEL DE MADUREZ ACTUAL 0 NIVEL DE MADUREZ DESEADO 2
0 0
2 2
Como se muestra en la tabla anterior, en este dominio todos los procesos tienen un grado de madurez de nivel CERO, Por tanto se requiere dar atencin a todos los procesos sin importar el nivel.
Segn COBIT este nivel establece que la organizacin no reconoce la importancia de implantar estos procesos para solucionar sus problemas, existiendo altas probabilidades de incidentes, descontroles y deficiencias en el manejo de los mismos.
ANLISIS DE RESULTADOS
En este segmento se muestra el anlisis de resultados obtenidos en el proceso de aplicacin de COBIT 4.1 en la UNI-IES a travs de un informe tcnico y ejecutivo para conocer el nivel de madurez de los procesos de TI
INFORME EJECUTIVO
La siguiente tabla presenta los 5 niveles genricos de madurez, el objetivo de ubicar la tabla en el informe ejecutivo es para que los directivos tengan claros los niveles de madurez en los que se ubicara a los procesos de gestin de TI de la empresa,
A continuacin se muestra el primer criterio de evaluacin, partiendo del modelo genrico de madurez:
MODELO GENERICO DE MADUREZ CERO UNO DOS TRES No se aplican procedimientos administrativos (No existe) Los procesos son iniciales y desorganizados (Inicial) Los procesos siguen un patrn regular (Repetible) Los procesos se documentan y se comunican (Definido)
CUATRO Los procesos se monitorean y se miden (Administrativos) CINCO Las buenas prcticas se siguen y se automatizan (Optimizado)
RESUMEN DE LA CLASIFICACIN DE LOS PROCESOS.

DOMINIO: PLANEAR Y ORGANIZAR PROCESOS PO1_Definir un plan estratgico de TI PO2_Definir la arquitectura de la informacin PO3_Determinar la direccin tecnolgica PO4_Definir los procesos, organizacin y relaciones TI PO5_Administrar la inversin en TI PO6_Comunicar las aspiraciones y la direccin de la alta gerencia PO7_Administrar los recursos humanos de TI PO8_Administrar la calidad PO9_Evaluar y administrar los riesgos de TI PO10_Administrar Proyectos N. MADUREZ ACTUAL 0 0 0 0 0 1 0 0 0 0 DOMINIO: ADQUIRIR E IMPLEMENTAR AI1_Identificar soluciones automatizadas AI2_Adquirir y mantener software aplicativo AI3_Adquirir y mantener una infraestructura tecnolgica AI4_Facilitar la operacin y el uso AI5_Adquirir recursos de TI AI6_Administrar Cambios AI7_Instalar y acreditar soluciones y cambios 0 0 0 0 1 0 0 2 2 2 2 2 2 2 N. DE MADUREZ DESEADO 2 2 2 2 2 2 2 2 2 2
DOMINIO: ENTREGAR Y DAR SOPORTE DS1_Definir y administrar los niveles de servicio DS2_Administrar los servicios de terceros DS3_Administrar el desempeo y la capacidad DS4_Garantizar la continuidad del servicio DS5_Garantizar la seguridad de los sistemas DS6_Identificar y asignar costos DS7_Educar y entrenar a los usuarios DS8_Administrar la mesa de servicios y los incidentes DS9_Administrar la configuracin DS10_Administracin de problemas DS11_Administracin de datos DS12_Administracin del ambiente fsico DS13_Administracin de operaciones 0 0 0 0 1 0 1 0 0 1 0 1 0 DOMINIO: MONITOREAR Y EVALUAR ME1_Monitorear y evaluar el desempeo de TI ME2_Monitorear y evaluar el control interno ME3_Garantizar el cumplimiento regulatorio ME4_Proporcionar gobierno de TI 0 0 0 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
INFORME TCNICO
OBJETIVOS PROPUESTOS DE LA EVALUACIN
General
1. Identificar los niveles de madurez de los diferentes procesos de gestin TICs y proponer medidas para mejorar los mismos.
Especficos
1. Determinar el nivel de madurez de los procesos de gestin utilizando COBIT.
2. Definir mecanismos de mejora para los procesos y objetivos de control crticos.
METODOLOGA COBIT
La metodologa COBIT 4.1 aplicada para la evaluacin del nivel de madurez de la gestin de las TI la UNI-IES es una metodologa que evala 34 procesos de TI en la empresa divididos en 4 dominios:
1. PLANEAR 2. ADQUIRIR
ORGANIZAR .
E IMPLEMENTA.
3. ENTREGAR Y DAR SOPORTE. 4. MONITOREAR Y EVALUAR .
Para analizar cada proceso es necesario tener como referencia los niveles de madurez explicados a continuacin:
MODELO GENERICO DE MADUREZ CERO UNO DOS TRES No se aplican procedimientos administrativos Los procesos son iniciales y desorganizados Los procesos siguen un patrn regular Los procesos se documentan y se comunican No existe Inicial Repetible Definido Administrativos
CUATRO Los procesos se monitorean y se miden CINCO
Las buenas prcticas se siguen y se automatizan Optimizado
DESARROLLO DE LA EVALUACIN DEL NIVEL DE MADUREZ

En la tabla la siguiente se muestra el nivel de madurez de la gestin de las TI en la empresa; Presentando el nivel actual y recomendado que permitirn que la empresa mejore sus procesos y su productividad
El nivel recomendado para todos los procesos es el de nivel 2
DOMINIO: PLANEAR Y ORGANIZAR.

PO1_Definir un plan estratgico de TI
Nivel de madurez Actual El proceso de definicin del plan estratgico empresarial se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de la importancia de la planeacin estratgica de TI que sirve para dar soporte a los objetivos del IES en trminos de TI.
Nivel de Madurez Recomendado Desarrollar un plan estratgico de TI para el IES Ltda. Todas las reas de la Institucin deber de actuar en conjunto con la gerencia de la misma para as desarrollar un plan estratgico de TI concreto y bien detallado para as lograr los objetivos de la empresa en un periodo determinado, el cual este periodo va estar en dependencia de los objetivos y arquitectura de la misma. Al final los resultados obtenidos del plan estratgico se reflejaran de acuerdo al presupuesto brindado por la institucin. La importancia de definir este plan es saber los pasos o secuencia a desarrollar para que la institucin logre sus metas planteadas. Adems de definir la relacin de la empresa con su ambiente en funcin de los objetivos de la empresa.
PO2_Definir la arquitectura de la informacin
Nivel de madurez Actual El proceso de definicin de la arquitectura de la informacin se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de lo importante que es definir la arquitectura de informacin y mantenerle actualizada, la institucin no brinda el apoyo necesario para desarrollar una arquitectura de informacin de acuerdo a las necesidades de la organizacin.
Nivel de Madurez Recomendado Crear la arquitectura de informacin para la institucin. A cada rea de la institucin se le deber asignar su propio documento de arquitectura de informacin para la fcil distribucin de los datos, adems de un amplio y detallado diccionario de datos, el cual facilitara la organizacin, disponibilidad y estructuracin de los datos entre el personal que comprenden el rea determinada. La importancia de definir la arquitectura de informacin es de tener una fcil comprensin, ubicacin, interpretacin y en especial el orden de los datos y de ahorrar un factor muy importante en la institucin como lo es el tiempo y as lograr los objetivos establecidos de la empresa. El riesgo de no contar con una arquitectura de informacin aplicada a toda la empresa es tener errores compatibilidad, que no haya concordancia entre los datos, archivos hurfanos, mala interpretacin de los datos y un gran desperdicio de tiempo
PO3_Determinar la direccin tecnolgica
Nivel de madurez Actual El proceso para determinar la direccin tecnolgica se localiza en el nivel de madurez cero porque no tiene conciencia sobre el importante aporte de este proceso a la organizacin, no entiende que una correcta planeacin del cambio tecnolgico es crtica para asignar recursos de manera efectiva a corto y largo plazo.
Nivel de Madurez Recomendado Se requiere planificar e implementar las diferentes innovaciones que surgen a nivel mundial y que pueden ser aprovechadas por esta casa de estudios superiores. Permitiendo mejorar los procesos, mejorando automatizacin de los mismos. La Direccin de Tecnologas de Informacin debe contar al menos con: Centro de Implementacin, Mantenimiento y Soporte Tcnico, Departamento de Sistemas, Centro de Seguridad y Monitoreo de Datos
PO4_Definir los procesos, organizacin y relaciones TI
Nivel de madurez Actual El proceso para definir los procesamientos, organizacin y relaciones de TI se localiza en el nivel de madurez cero debido a que no se entiende la importancia de llevar una relacin ntima entre la organizacin, sus procedimientos con las relaciones de TI que permitan un cumplimiento satisfactorio de los objetivos de la institucin.
Nivel de Madurez Recomendado Se requiere de un grupo de personas para que definir los procesos, organizacin y relaciones de TI que se acoplen a las relaciones del personal de la empresa, sus funciones, sus roles, sus responsabilidades, la autoridad y la supervisin. Desarrollar un marco de trabajo que contenga un procedimiento adecuado para la
administracin de la organizacin de TI que verifique el rendimiento de los procesos, organizacin y relaciones de TI incorporados en la empresa, adems de su correcta ejecucin por parte de los miembros de cada departamento. Establecer y mantener una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y otros interesados dentro y fuera de la funcin de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad, gerentes de riesgo, el grupo de cumplimiento corporativo, los contratistas externos y la gerencia externa.
PO5_Administrar la inversin en TI
Nivel de madurez Actual El proceso para administrar la inversin en TI se localiza en el nivel de madurez cero debido a que la institucin no tiene personera administrativa en el elemento de administracin de las inversiones. Sus adquisiciones se ejecutan segn el presupuesto definido desde la central. Y no existe inters en cuanto al cambio del ambiente por polticas de la central.
Nivel de Madurez Recomendado
La institucin debera de administrar todo tipo de inversiones en TI debido a que gracias a esta se obtendra un buen manejo y monitoreo de los gastos que se incurren dentro de la institucin llevando as tanto un control histrico como otro actualizado.
La importancia administrar las inversiones en TI es que tendr el fcil acceso a los registros de los desembolsos de un periodo determinado y tener control de todo el dinero invertido por la institucin.
Designar un experto dentro de la institucin o optar por una capacitacin en el tema al administrador de los sistemas, ya que es el ms relacionado con los puntos de la institucin. De tal manera que su conocimiento permita cumplir los objetivos de la empresa
PO6_Comunicar las aspiraciones y la direccin de la alta gerencia
Nivel de madurez Actual El proceso para comunicar las aspiraciones y la direccin de la alta gerencia se localiza en el nivel 1 porque existe un mtodo de comunicacin ms se ha quedado esttico ya que no existe un inters por parte de la institucin en la relacin con el administrador de la pgina web para difundir la informacin y lograr el cumplimiento de los objetivos.
Designar un encargado de
identificar las aspiraciones y la direccin para presentar
propuestas de misin, visin, polticas y procedimientos. Designar un grupo selecto que funcione de apoyo al encargado en pro del cumplimiento de los objetivos de la empresa Es importante tener una documentacin clara y no tcnica, porque servir como gua al momento de plantear un cambio a la misin, visin, polticas, procedimientos y estndares empresariales, y adems para que la gerencia as se asegure de poder monitorear el desempeo del personal.
PO7_Administrar los recursos humanos de TI
Nivel de madurez Actual
El proceso de administrar los recursos humanos de TI se localiza en el nivel cero porque aunque cuentan con un encargado de personal, no se aplican los procesos de reclutamiento necesarios para la obtencin de fuerza de trabajo competente. Se ha llegado a conocer que las contrataciones se hacen de manera preferencial y no por habilidades y destrezas.
Concientizar de que al personal debe capacitarse solicitando cursos y emitir una basndose en las necesidades de la organizacin.
Es importante que el plan de administracin de recursos humanos contemple procesos de reclutamiento, contratacin, capacitacin y seguimiento del personal de la empresa.
Para ello necesita abocarse de una metodologa y usar el mtodo de supervisin transparente para una seleccin optima que permita cumplir con los objetivos de la empresa.
PO8_Administrar la calidad
Nivel de madurez Actual El proceso para administrar la calidad se localiza en el nivel de madurez cero porque la calidad como percepcin del usuario se realiza de manera preferencial. No hay organizacin, documentacin ni profesionalismo en este proceso.
Abocarse de la ISO 9001 para lograr establecer mtodos certificados de calidad que permitan cumplir con los requerimientos de la empresa
PO9_Evaluar y administrar los riesgos de TI
Nivel de madurez Actual El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez cero porque la organizacin no tiene conciencia de la importancia de contar con una metodologa, ni con la documentacin ni mejora continua que solucione vulnerabilidades de seguridad e incertidumbres en el desarrollo de proyectos a corto y largo plazo, evaluando los riesgos en los procesos y la arquitectura de la informacin.
Nivel de Madurez Recomendado Desarrollar un plan de evaluacin de riesgos. El plan de evaluacin de riesgos debe ser desarrollado por la gerencia y el personal, que contemple riesgos de seguridad, disponibilidad de los e integridad en cada proyecto, empresariales, para as estableciendo un contexto de trabajo general que identifique el origen y evalu todos aquellos eventos que amenazan al logro objetivos garantizar los mejores resultados. El plan de evaluacin para un riesgo es un proceso continuo que debe contener niveles de seguridad para poder evitar que el riesgo ocurra. Es importante conocer que una efectiva gestin de riesgos de TI requiere de una continua evaluacin para conocer qu recursos de TI necesitan ser protegidos, cules son exactamente las amenazas que acechan al sistema y qu puede hacer la empresa para disminuir el peligro una vez identificados los puntos dbiles, es necesario construir un plan eficaz de contingencia, con la ayuda de un equipo de profesionales capaz de responder a cada posible emergencia de TI, el documento debe contemplar cualquier incidente.
PO10_Administrar Proyectos
Nivel de madurez Actual El proceso de administrar proyectos se localiza en el nivel cero puestos que no se ha definido una metodologa ni se ha seleccionado a un encargado que minimice institucin por la falta del proceso antes mencionado. el impacto en la
Nivel de Madurez Recomendado La institucin debe de tomar en cuenta lo que es la gestin de proyectos para la fcil determinacin de roles, asignacin de actividades y realizacin de presupuestos, tiempo recursos y los gastos. La importancia de la gestin de proyectos de TI es que no evita incurrir a gastos innecesarios por parte de la empresa y la cancelacin de proyectos por mala gestin de la informacin y mala asignacin de presupuesto. Adems sin esta gestin no se podran medir los tiempos y costos del proceso de desarrollo del proyecto.
DOMINIO: AQUIRIR E IMPLEMENTAR

AI1_Identificar soluciones automatizadas
Nivel de madurez Actual El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez cero porque la institucin no lo considera importante y no cuenta con un procedimiento definido que identifique requerimientos funcionales y operativos para el desarrollo, implantacin o modificacin de soluciones tecnolgicas disponibles que sirvan de apoyo para que se cumpla con sus objetivos. Ligado a la direccin tecnolgica de la institucin.
Nivel de Madurez Recomendado Se recomienda documentar los procesos a seguir en las reas as como establecer similitudes entre los mismos para posteriormente desarrollar un estndar de procesos. Designar un responsable y expandir la cultura de este proceso en los individuos de la institucin con el objetivo de que conozcan la necesidad de la misma y que funcionen como pilares de productividad y mejora. Establecer una estrategia de pro actividad para que funcione como mtodo de cumplimiento de los objetivos, estableciendo un camino a la direccin tecnolgica, conociendo fortalezas y debilidades. Estableciendo una cultura permitir en mejores niveles identificar y dar prioridades a los requerimientos del negocio, lo cual debe documentarse y mejorarse segn los cambios y avances positivos de la institucin; Esto con el objetivo de analizar riesgos y soluciones para los mismos.
AI2_Adquirir y mantener software aplicativo
Nivel de madurez Actual El proceso de adquirir y mantener software aplicativo se localiza en el nivel de madurez cero ya que no existe conciencia de la importancia de adquirir software que permitan mejorar los procesos, disminuir errores y aportar en el cumplimiento de los objetivos de la institucin.
Nivel de Madurez Recomendado Existen procesos de adquisicin y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operacin de TI. El mantenimiento es a menudo problemtico y se resiente cuando se pierde el conocimiento interno de la organizacin. Se tiene poca consideracin hacia la seguridad y disponibilidad de la aplicacin en el diseo o adquisicin de software aplicativo La institucin cuenta con software aplicativo acadmico y contable, sin embargo no ha recibido mantenimiento debido a que es un problema cerrado. Se necesitan una gran cantidad de reportes que el administrador de sistemas realiza los mismo haciendo consultas directas a la base de datos y transportando los datos a un documento de office. Por tanto se requiere el desarrollo de nuevos mdulos, para lo que se recomienda el uso de la mtrica v3 a cargo de un experto que realice todo el estudio de anlisis, diseo, implementacin y pruebas.
AI3_Adquirir y mantener una infraestructura tecnolgica
Nivel de madurez Actual El proceso de soporte tecnolgico continuo se localiza en el nivel de madurez cero porque no se cuenta con un procedimiento establecido de revisin, mantenimiento y necesidades de nuevos requerimientos del proceso en cuestin. Nivel de Madurez Recomendado
La infraestructura tecnolgica es la base primordial de cualquier entidad y permite la optimizacin de sus recursos, el aumento del y una respuesta ms rpida a los requerimientos externos de su giro de negocio. En la institucin no ha tenido el cambio necesario segn el crecimiento de la misma. Desde sus inicios no ha habido cambios en la topologa de red, anexando que an existen equipos de hace ms de 7 aos. Una buena infraestructura tecnolgica permitir: Un soporte a los diferentes procesos de negocio comunicaciones, seguridad, operacin de las soluciones de negocios, respaldo y aseguramiento de la informacin, soporte a los centros computo, entre otros.
AI4_Facilitar la operacin y el uso
Nivel de madurez Actual El proceso para facilitar la operacin y el uso se localiza en el nivel de madurez cero porque no considera necesaria la documentacin si se cuenta con un administrador de sistemas y no se cuenta con una metodologa para el desarrollo de manuales de usuario, de TI, de operacin y de procedimiento.
Nivel de Madurez Recomendado Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. La documentacin adecuada y completa, de una aplicacin que se desea implantar, mantener y actualizar en forma satisfactoria, es esencial en cualquier Sistema de Informacin, sin embargo, frecuentemente es la parte a la cual se dedica el menor tiempo y se le presta menos atencin. Se recomienda designar al administrador de los sistemas con un asistente para documentar los procedimientos correspondientes de los sistemas de TI. (Manuales de Usuario)
Desarrollar un plan para identificar y documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la produccin de procedimientos de administracin, de usuario y operativos, como resultado de la introduccin o actualizacin de sistemas automatizados o de infraestructura.
AI5_Adquirir recursos de TI
Nivel de madurez Actual El proceso para adquirir recursos de TI, se localiza en el nivel de madurez uno porque aunque existe un proceso, la institucin hace muy poca presin a la central para que estos agilicen el proceso de adquisicin satisfactoria. El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1
Nivel de Madurez Recomendado Desarrollar y seguir un conjunto de procedimientos y estndares consistente con el proceso general de adquisiciones de la organizacin y con la estrategia de adquisicin para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio. Para ello se recomienda llegar a un acuerdo con la central para lograr realizar un proceso de adquisicin de los requerimientos de manera transparente y justa de acuerdo a las
necesidades de la institucin
AI6_Administrar Cambios
Nivel de madurez Actual El proceso de administrar cambios se localiza en el nivel cero debido a que no se cuenta con un plan de administracin de los cambios, no existe documentacin y no existe un elenco responsable que permita cumplir los objetivos de la institucin.
Nivel de Madurez Recomendado Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantacin de cambios no autorizados Establecer procedimientos de administracin de cambio formales para manejar de manera estndar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parmetros de sistema y servicio, y las plataformas fundamentales.
Designar un responsable del proceso que documente los cambios requeridos y dar seguimiento al cumplimiento de dichos cambios.
AI7_Instalar y acreditar soluciones y cambios
Nivel de madurez Actual El proceso de instalar y acreditar soluciones y cambios se localiza en el nivel cero debido a que los sistemas no permiten cambios y no existe inters en la adquisicin de nuevas aplicaciones. Consecuentemente no existe inters en la creacin de la idea de este proceso como parte del crecimiento institucional.
Nivel de Madurez Recomendado Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la funcin de TI de acuerdo con el plan definido de entrenamiento e implantacin y a los materiales asociados, como parte de cada proyecto de sistemas de la informacin de desarrollo, implementacin o modificacin. Designar un responsable que lleve a cabo las pruebas correspondientes; Este proceso seguir luego de AI6 con el objetivo de aplicar los cambios en software que lo permitan.
DOMINIO: ENTREGAR Y DAR SOPORTE

DS1_Definir y administrar los niveles de servicio
Nivel de madurez Actual El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez cero, porque la institucin no posee documentacin y aunque semi-administra de manera emprica, no lo realiza de manera peridica y desconoce los beneficios de tener un responsable que controle y documente la administracin de acuerdos de niveles de servicio en la empresa.
Un acuerdo de nivel de servicio es un convenio interno en la empresa para llegar a un arreglo entre el gobierno de TI y el personal que usa los recursos de TI, y se establece para sustentar las necesidades del negocio. Tras su firma el gobierno de TI debe considerar al acuerdo como un documento de referencia para ofrecer al personal de la empresa los servicios acordados, por eso es imprescindible que defina claramente los aspectos esenciales del servicio tales como su descripcin, disponibilidad, etc. La empresa debe buscar un experto del gobierno de TI para que defina y administre los niveles de servicio con acuerdos de niveles de servicio que sean firmados entre el encargado del gobierno de TI y el personal que usa los recursos de TI en la empresa, el experto tambin debe medir el cumplimiento de dichos acuerdos para verificar que se alcancen los objetivos empresariales y comunicar de manera formal, frecuente y concisa el desempeo del proceso a la gerencia de la empresa.
DS2_Administrar los servicios de terceros
Nivel de madurez Actual El proceso para administrar los servicios de terceros se localiza en el nivel cero, ya que en si no existe un estndar de calidad, si no que los servicios de terceros se basan propiamente en el ahorro monetario y la cantidad, sin contar con la calidad de los mismos. Provocando un proceso fuera de contexto y desorganizado.
La institucin deber de realiza una planificacin o gestin de los distintos proveedores que posee la misma para as evitar o reducir los riesgos que pueden presentar los servicios prestados por las empresas hacia la institucin y as poder evitar prdidas de tiempo por causa de problemas de los servicios dados por los proveedores que no se desempean de manera adecuada. El riesgo de no llevar esta gestin la empresa no podr medir el nivel de eficacia y funcionamiento de los servicio que los proveedores les brindan, y tendrn varios atrasos a causa de la mala o poca informacin que se tiene acerca de los proveedores dando como resultado que la institucin no podr alcanzar las metas establecidas.
DS3_Administrar el desempeo y la capacidad
Nivel de madurez Actual El proceso para administrar el desempeo y la capacidad se localiza en el nivel de madurez cero porque la institucin no tiene conciencia de la necesidad de llevar a cabo un proceso de planeacin de la capacidad y desempeo puesto que no se han establecido procesos claves de administracin.
Nivel de Madurez Recomendado La institucin debe de llevar una administracin de lo que la capacidad de la TI dentro de la misma para as tener un control acerca de la disponibilidad, capacidad y la funcionalidad de los recursos dentro de la empresa, adems dentro del proceso de desarrollo de esta administracin se deben de tomar en cuenta los errores que pueden suceder para as poder tener un mayor desempeo y brindar una mayor funcionalidad en los servicios utilizados dentro de la institucin. La importancia de que la empresa cuente con este plan de administracin es para conocer el desempeo de la empresa y saber si en verdad los requerimientos de la institucin estarn disponibles de manera continua.
DS4_Garantizar la continuidad del servicio
Nivel de madurez Actual El proceso para garantizar la continuidad del servicio se localiza en el nivel de madurez cero porque no existe conciencia en la institucin de los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto por la prdida de los elementos de los servicios de TI.
Nivel de Madurez Recomendado La empresa debe buscar un experto que se encargue de desarrollar planes de contingencia y de continuidad de los servicios de TI que sean aprobados por la gerencia, los planes deben ayudar a alcanzar los objetivos del negocio y deben establecer prioridades en situaciones de recuperacin considerando los recursos crticos de la empresa, esto ayudar a reducir el impacto en las funciones y procesos claves del negocio. Un aspecto importante que el experto debe tener presente es el de almacenar medios de respaldo, documentacin y recursos de TI crticos de la empresa fuera de las instalaciones para evitar el mal uso o la perdida de funciones de TI ser exitosa. la informacin, los respaldos deben probarse y renovarse peridicamente porque as la gerencia tiene la confianza en que la reanudacin de
DS5_Garantizar la seguridad de los sistemas
Nivel de madurez Actual El proceso para garantizar la seguridad de los sistemas se localiza en el nivel de madurez uno porque la institucin no tiene conciencia de la necesidad utilizar software de seguridad distintos a los del sistema operativo y login de los sistemas, no estn asignadas las responsabilidades y rendicin de cuentas para garantizar la seguridad y las medidas para soportar y administrar la seguridad.
Nivel de Madurez Recomendado La empresa debe garantizar la seguridad estudiando los puntos dbiles de los distintos sistemas, analizando cada vulnerabilidad de los mismos, tambin tomando en cuenta la circunstancias que pueden ocasionar un accidente de seguridad, adems estableciendo normas de prevencin de accidentes as como realizar planes. La importancia de realizar este plan de seguridad es de saber de qu manera actuar ante ataque o amenazas inesperadas y as mantener en mxima seguridad los datos almacenados en dichos sistemas. Al no contar con estos planes la institucin no sabra defenderse ante los diferentes ataques que todo sistema abarca. contra ataque intencionales hacia el sistema.
DS6_Identificar y asignar costos
Nivel de madurez Actual El proceso de identificacin y asignacin de costos se localiza en el nivel cero debido a que existe conciencia de la necesidad e importancia de reconocer los servicios de TI como una base actualizable para el cumplimiento de los objetivos y desarrollo de la institucin.
Nivel de Madurez Recomendado La institucin debe de asignar planes para la asignacin de costos dentro de las distintas reas en la institucin, adems para obtener informacin acerca de la utilizacin de los servicios que ofrece la institucin. Una de las razones que la institucin debera de tener para realizar este plan es que tendra que asignar los costos de manera equitativa entra cada rea de la empresa, adems para identificar que situaciones deberan de solucionarse primero en cuestiones de asignacin.
DS7_Educar y entrenar a los usuarios
Nivel de madurez Actual El proceso para educar y entrenar a los usuarios se localiza en el nivel de madurez uno porque la institucin no tiene un programa de entrenamiento y educacin con procedimientos estandarizados, sus empleados reciben capacitacin individual e informal.
La institucin debe de dar capacitaciones de TI en conjunto al personal de distintos temas acerca de la funcionalidad de los distintos sistemas de informacin. Establecer un grupo determinados con conocimientos avanzados para poder capacitar a los empleados de nuevo ingreso de la institucin. Adems estas capacitaciones son de suma importancia ya que gracias a estas la institucin asegura que el personal va a utilizar los distintos recursos de manera eficiente, disminuyendo as los diferentes errores que pueden suceder al utilizar los diferentes servicios de la institucin. Sin estas capacitaciones la institucin deber de estar consciente de que el personal no podr utilizar los recursos de la institucin de la manera que ellos esperan
DS8_Administrar la mesa de servicios y los incidentes
Nivel de madurez Actual El proceso para administrar la mesa de servicio y los incidentes se localiza en el nivel de madurez cero porque la no se tiene conciencia que hay un problema que atender, no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracin de incidentes.
Nivel de Madurez Recomendado La empresa debe buscar un experto para crear una mesa de servicio y de incidentes que ayude en la resolucin de problemas de los usuarios de TI. La mesa de servicio debe registrar, comunicar, atender y analizar todas las llamadas de incidentes reportados, requerimientos de servicio y solicitudes de informacin que los usuarios realicen, midiendo siempre la satisfaccin del usuario final de la mesa de servicio. El experto debe establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean resueltos apropiadamente para que estos incidentes no den lugar a otros
DS9_Administrar la configuracin
Nivel de madurez Actual El proceso para administrar de la configuracin se localiza en el nivel de madurez cero porque no se valoran los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software.
Nivel de Madurez Recomendado Buscar un experto que se encargue de detallar un plan para controlar la configuracin de TI que contenga los elementos de configuracin para hardware, documentacin, procedimientos utilizar los sistemas y los servicios de la empresa. Para ello se recomienda capacitar a ms de dos personas en la configuracin con el objetivo de disminuir las probabilidades de no continuidad de los sistemas software aplicativo, y herramientas para operar, acceder y
DS10_Administracin de problemas
El proceso de administracin de los problemas se localiza en el nivel uno puesto que se han estandarizado algunos procesos pero de manera mecnica por parte de los encargados de TI, de manera que la raz del incidente se busca si y solo si es considerado de gran impacto, en caso contrario se ejecuta una solucin rpida y no se documenta el incidente Nivel de Madurez Recomendado
La institucin debe de contar con personal capacitado para cada rea en la institucin, en el cual cada trabajador debe de analizar y comprender los diferentes tipos de problemas con los que se puede encontrar en el transcurso de su trabajo y as saber identificarse y priorizarse ante todos los problemas y poder darle solucin lo ms rpido posible.
En caso de que la institucin no tenga un control con los diferentes problemas que se encuentre esta deber de aplicar diferentes tcnicas para la solucin en distintos tiempos el cual sera
ineficiente debido a que no hay establecido o guardado mtodos de solucin de problemas.
DS11_Administracin de datos
El proceso para administrar los datos se localiza en el nivel de madurez cero porque los datos no se establecen bajo ninguna prioridad, hacindolos deficientes en calidad y la seguridad.
La institucin deber de localizar para cada rea una o ms personas capacitada para poder manejar la informacin de manera correcta o mejor an establecer sistemas de control para cada rea para llevar un mejor control de los registros y evitar inconsistencia de los datos y establecer un mejor control en cada una de las funciones manuales de la institucin. Adems gracias a este tipo de proceso estar siempre en cualquier momento la informacin deseada estar disponible para cualquier rea de la institucin de manera completa, consistente y precisa segn los parmetros establecidos.
DS12_Administracin del ambiente fsico
Nivel de madurez Actual El proceso para administrar el ambiente fsico se localiza en el nivel de madurez uno porque no cuenta con un ambiente fsico que proteja los recursos y el personal contra peligros naturales y causados por el hombre, adems el personal se puede mover dentro de las instalaciones sin restriccin. Nivel de Madurez Recomendado La institucin cuenta con un mnimo nivel administracin ya que no hay nadie que controle los tiempos de visita, de prstamo y de otro cualquier tipo de actividad dentro de la institucin. En la institucin cada rea es responsable del ambiente fsico en dicha rea. La institucin deber de establecer normas o polticas para los distintos tipos de acceso dentro de la institucin para as poder llevar un control de las personas que vienen a la institucin a cualquier actividad, adems estos registros a la ves serian de gran ayuda en algn momento para la institucin, para realizar una serie de actividades que sean de gran beneficio para la empresa. De no tener una administracin dentro del ambiente fsico habr un sin nmero de accidentes de cualquier tipo el cual la empresa no podr reaccionar de manera.
DS13_Administracin de operaciones
El proceso para administrar las operaciones se localiza en el nivel de madurez cero porque no se destina atencin ni recursos para la creacin de planes administrativos que permitan a las operaciones de TI reducir retrasos operacionales y extender la vida til de los equipos
La institucin debe de implementar un plan de operaciones para que todas las reas dentro de la institucin tengan un buen funcionamiento trabajando en conjunto para as realizar efectivamente cada una de las tareas, y utilizar cada uno de los recursos, aumentar la capacidad y disponibilidad dentro de la institucin.
Adems una de las importancias de estos manuales es que ayuda a la institucin en lo que es disponibilidad de datos y reduce los tiempos de consulta ordenada. desde cualquier rea de manera
DOMINIO: Monitorear y Evaluar
ME1_Monitorear y evaluar el desempeo de TI
Nivel de madurez Actual El proceso para monitorear y la evaluar el desempeo de TI se localiza en el nivel de madurez cero porque no se cuenta con herramientas que permitan desarrollar reportes tiles, oportunos y precisos de monitoreo.
Nivel de Madurez Recomendado Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodologa y el proceso a seguir para medir la solucin y la entrega de servicios de TI, y Monitorear la contribucin de TI al negocio. Integrar el marco de trabajo con el sistema de administracin del desempeo corporativo
Proporcionar reportes administrativos para ser revisados por la alta direccin sobre el avance de la organizacin hacia metas identificadas, especficamente en trminos del desempeo del portafolio empresarial de programas de inversin habilitados por TI, niveles de servicio de programas individuales y la contribucin de TI a ese desempeo. Los reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeo alcanzadas y los riesgos mitigados. Durante la revisin, se debe identificar cualquier desviacin respecto al desempeo esperado y se deben iniciar y reportar las medidas de administracin adecuadas.
ME2_Monitorear y evaluar el control interno
Nivel de madurez Actual El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez cero porque la organizacin carece de atencin y procedimientos para establecer el control interno, administrarlo, monitorearlo y mejorarlo.
Nivel de Madurez Recomendado Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales. Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluacin y los informes.
ME3_Garantizar el cumplimiento regulatorio
Nivel de madurez Actual El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez cero porque la organizacin no tiene conciencia de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.
Nivel de Madurez Recomendado Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales, leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de cumplir para incorporar en las polticas, estndares, procedimientos y metodologas de TI de la organizacin. Obtener y reportar garanta de cumplimiento y adhesin a todas las polticas internas derivadas de directivas internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier accin correctiva para resolver cualquier brecha de cumplimiento por el dueo responsable del proceso de forma oportuna. Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones del negocio.
ME4_Proporcionar gobierno de TI
Nivel de madurez Actual El proceso de proporcionar gobierno de TI se localiza en el nivel cero debido a que no existe un grupo estructurado que se encargue de administrar satisfactoriamente los recursos de TI.
Nivel de Madurez Recomendado Definir, establecer y alinear el marco de gobierno de TI con la visin completa del entorno de control y Gobierno Corporativo. Basar el marco de trabajo en un adecuado proceso de TI y modelo de control y proporcionar la rendicin de cuentas y prcticas inequvocas para evitar una rotura en el control interno y la revisin. Confirmar que el marco de gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que est alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado y cuestiones de gobierno de TI. Confirmar que los objetivos de TI confirmados se han conseguido o excedido, o que el progreso hacia las metas de TI cumple las expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas de gerencia. Informar a direccin los portafolios relevantes, programas y desempeos de TI, soportados por informes para permitir a la alta direccin revisar el progreso de la empresa hacia las metas identificadas.
Garantizar de forma independiente (interna o externa) la conformidad de TI con la legislacin y regulacin relevante; las polticas de la organizacin, estndares y procedimientos; practicas generalmente aceptadas; y la efectividad y eficiencia del desempeo de TI.
CONCLUSIONES
1. El estndar COBIT ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte, permite el uso de otros marcos de trabajo ms especficos como CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de COBIT. 2. COBIT es un marco de referencia para profesionalizar el rea informtica de una compaa, que cuenta con capacidades propias o tercerizadas para la implementacin de proyectos tpicamente soportados con ERP de clase mundial, que contiene rea de servidores, y que cuentan con reas de mantenimiento y soporte. 3. La herramienta COBIT 4.1 permiti definir el nivel de madurez de los procesos de gestin de TI. Evaluamos 4. La aplicacin de la metodologa COBIT 4.1 ha permitido definir un marco de recomendaciones y pasos a seguir para la mejora de la institucin.
RECOMENDACIONES
- Se recomienda a la institucin aplicar los planes requeridos para mejorar el nivel de madures de los procesos aplicados por COBIT 4.1.
- Designar responsables con funciones segregadas para no sobrecargar la evolucin de los procesos. - Se recomienda asignar recursos para crear mejores condiciones a la unidad informtica y considerarla como departamento de TI Contar con personal calificado ayudar a tener una correcta administracin de los procesos de gestin de TI. - Se recomienda realizar auditoras informticas peridicamente. Al igual que auditorias internas en las otras reas para culturizar a los usuarios en el buen uso de las TI Para lograr el objetivo de mejora a travs de la metodologa COBIT se requiere de todo el apoyo por parte de la central y de las autoridades de la institucin.
ANEXOS
Anexo 1
MODELO GENRICO DE MADUREZ GRFICO DE MADUREZ
Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medicin creciente a partir de 0, no existente, hasta 5, optimizado. El desarrollo se bas en las descripciones del modelo de madurez genrico descritas a continuacin:
No existente
Inicial
Repetible
Definido
LEYENDA PARA SMBOLOS USADOS
Nivel de madurez actual de la empresa.
Nivel de madurez recomendado para la empresa.
MODELO GENRICO DE MADUREZ
0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin herramientas de una manera limitada o fragmentada. y
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
ANEXO 2
CONCEPTO DE LOS CUATRO DOMINIOS DE COBIT
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada 1. PLANEAR Y desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. ORGANIZAR Por tanto es de vital importancia que se encuentre bien definido, debido a que representa la base de trabajo de los siguientes dominios.
Este dominio cubre la estrategia de TI, puesto que las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto 2. ADQUIRIR E por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. IMPLANTAR
3. ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos.
4. MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
ANEXO 3 CAPTULO I PLANEACIN DE LA AUDITORA INFORMTICA
Sustento Terico
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo; con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin repercutir en una serie de problemas, que pueden provocar que no se cumpla con la auditoria o bien que no se efecte con el profesionalismo que debe tener el desarrollo de cualquier auditoria. En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los tres objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer un, investigacin preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma
Descripcin de la prctica
1. Conocimientos que se adquieren: se obtiene una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
2. Habilidades que se desarrollan; Elaboracin de la parte metodolgica de la auditoria, investigacin de la informacin de la entidad a auditar, estudio de un caso.
3. Actitudes que se promueven: discrecin, responsabilidad, honestidad, colaboracin, compromiso, apertura, respeto, disposicin al cambio y flexibilidad.
4. Especificaciones del procedimiento
5. Los alumnos agrupados en equipos (mnimo cuatro integrantes) solicitarn a la direccin de la facultad una carta de presentacin.
6. El alumno contactar una empresa que le permita realizar dentro de la misma una auditoria en informtica.
7. Los alumnos acordarn con los directivos de la empresa sus horarios de visitas.
8. Se solicitar a los directivos del departamento de informtica la informacin requerida por los cuestionarios de este captulo y, de acuerdo a esta planearn el tiempo de elaboracin de la auditoria.
Base de desarrollo:
Tiempo aproximado: 5 horas. Materiales a emplear: antologa y manual de prcticas de auditoria informtica, papelera y consumibles. Resultados esperados: Que el alumno conozca la responsabilidad de iniciar una prctica profesional ante instituciones ajenas a su mbito acadmico. Bibliografa: Salazar Daz Mara Guadalupe (2004), Auditoria informtica; Antologa para la carrera de informtica, cap. II.
1.1. DATOS GENERALES DE LA EMPRESA. NOMBRE:
La Universidad Nacional de Ingeniera es una Institucin de la Educacin Superior, estatal y autnoma, en bsqueda permanente de la excelencia acadmica, dedicada a formar profesionales en el campo de la Ciencia, la Ingeniera y la Arquitectura para que generen y difunden conocimientos con conciencia social, tica y humanstica, con la finalidad de contribuir a la transformacin tecnolgica y al desarrollo sustentable de Nicaragua y la regin Centroamericana. UBICACIN: Avenida Universitaria, Recinto Universitario Simn Bolvar
De los semforos UNI, 500 metros al norte (Campus Albert Einstein) FECHA DE INICIACIN DE OPERACIONES DE LA EMPRESA: 18 de Octubre de 1998 FECHA DE INICIACIN DE OPERACIONES DEL CENTRO DE CMPUTO: 1999
ESTRUCTURA LEGAL:
Rector
Director IES
Sub Director IES
Secretario Acadmico
MARCO JURDICO: El folIo se encuentra en las instalaciones de la Universidad Nacional de Ingenieria (UNI) siendo inaccesible obtener la informacin de este modulo. GIRO DEL NEGOCIO: Industria de la Educacin OBJETIVO: (S) DE LA EMPRESA:
1. Brindar un servicio de educacin de calidad para las personas de bajos recursos. 2. Velar por el buen funcionamiento de enseanza segn planes de cada carrera. 3. Velar por la disponibilidad de los diferentes recursos necesarios para el desarrollo de los programas acadmicos de la institucin. 4. Realizar el POA general segn requerimientos, prioridades y presupuesto disponible. 5. Gestionar contratos de profesores de alta calidad en unin a los profesores enviados por la parte pblica de la UNI.
OBJETIVOS DEL CENTRO DE CMPUTO: 1. Velar por la eficiencia de comunicaciones entre los sistemas y los usuarios de la institucin. 2. Mantener el funcionamiento total y parcial de los equipos fuera del sistema de informacin pero que forman parte de los procesos institucionales. 3. Realizar el POA para el buen mantenimiento de los equipos informticos. 4. Velar por el buen aprovechamiento y cuido de los recursos otorgados a las diferentes reas a cargo. 5. Monitorear el desempeo del sistema y de los usuarios a travs de protocolos, control de aplicaciones y software de seguridad previamente autorizados. 6. Presentar informes semestrales del uso de cada equipo, as como los elementos de mantenimientos, sustituciones y solicitudes en sustento con las hojas de servicio previamente autorizadas y firmadas por el jefe del rea solicitante y proveedora DIRECTORIO:
Rector
Director
1.2. OBJETIVOS Y PROPOSITO DEL DIAGNOSTICO.

Examinar en forma global y constructiva la estructura de la uni ies enfocndose a su departamento de cmputo, contemplando aspectos tales como: planes y objetivos, mtodos y controles, formas de operacin y organizacin humana y jurdica.
reas a revisar:
1. Soporte Tcnico Hardware y Software 2. Mantenimiento Preventivo y correctivo. 3. Atencin Estudiantil.
1.3 ORGANIGRAMA DE LA EMPRESA.
Direccin
Administracon y Contabilidad
Servicios Generales
Sub Direccin
Secretaria Acadmico
Adquiciiones
Coordinacin
1.3.1 COMENTARIOS AL ORGANIGRAMA. La institucin se encuentra a nivel de organigrama de manera bien estructurada, sin embargo fsicamente existen contradicciones en cuanto a cargos y reas. Por ejemplo en el rea de Sub direccin se encuentra la coordinadora de la carrera de Computacin, la cual segn el organigrama debera estar en el rea de Coordinacin. Otra de las debilidades es el nombramiento del director como coordinador de la carrera de Ingeniera Civil y Secretario Acadmico como coordinador de la Carrera Ingeniera de Sistemas.
1.4 Entrevistas
1.4.1 Formato Previa de la Entrevista 1 Nombre: Puesto: Ara:
1. Cree usted su trabajo mantiene equilibrado los objetivos de la institucin? 2. En que consisten las actividades que realiza para desempear su trabajo? 3. Es documentada cada actividad laboral que realiza? Especifique de que manera. 4. Cmo considera los procedimientos establecidos para ejecurtar una tarea en la institucin? 5. Se realiza el trabajo en equipo, o existen divisiones mal argumentadas? 6. Que sugeriria usted para mejorar algun procedimiento que considere erroneo de ejecuciin? 7. Cmo es su relacin con cada una de las areas a las que usted tiene acceso? 8. Cul considera es la causa de estas relaciones? 9. Segn su contrato laboral, cuales de las obligaciones planteadas en el, usted cumple a cavalidad?
1.4.2 Formato Previa de la Entrevista 2
1. Cuenta el IES con un plan estratgico para la unidad informtica? Quin realizo el plan estratgico? Se cumple?
La empresa no cuenta con un plan estratgico. Puesto que actualmente se trabaja segn los problemas que surgen. Se realiza una planificacin interna como protocolo, sin embargo todo se da segn la central (Universidad Nacional de Ingeniera) ya que no se le da seguimiento desde aqu (UNI-IES)
2. Est documentado el desarrollo del sistema?
No existe documentacin. El sistema usado en la empresa fue desarrollado por una alta autoridad de la universidad nacional de ingeniera, el cual solo acudi a instalar el sistema, mas no a especificar como se desarroll.
3.
Existen manuales de usuario o que procedimiento se sigue para capacitar al
personal de la empresa para el uso del sistema?
Si existen manuales de usuario del sistema.
4. Cmo se capacita al personal a cerca del uso del sistema?
No se realiza una capacitacin formal. El administrador de los sistemas se encarga de entrenar parcialmente al usuario del sistema. Posteriormente asesora al usuario cuando este le llama por alguna duda.
5. Cmo se administra los login y password del sistema?
Al momento de entregar un login y password a un nuevo usuario del sistema el administrador de los sistemas configura un nuevo usuario utilizando como referencia su nombre y una contrasea que l puede posteriormente modificar, provocando un registro sin un proceso estndar de establecimiento.
6. Cmo es el proceso de los respaldos del sistema? Con que frecuencia se realizan?
Los respaldos se realizan sin ningn tipo de planificacin. A veces diario o cuando se recuerda que hay q realizarlos. Los respaldos se almacenan en el disco del servidor y debes en cuando el respaldo ms reciente se guarda en un disco externo. No se verifica la integridad del respaldo.
7. La empresa tiene un proceso debidamente documentado para adquirir nuevo software de aplicacin, hardware o nuevo personal? Existen problemas de presupuesto?
La empresa no cuenta con un proceso para adquirir nuevo software de aplicacin, hardware o nuevo personal. Cada encargado del rea especfica sus nuevos requerimientos y es la central (Universidad Nacional de Ingeniera) q u i e n d e c i d e si la adquisicin es necesaria segn el presupuesto disponible o asignado. No cuentan con un presupuesto destinado para la adquisicin de software o hardware.
1. Existe un plan de contingencias para el sistema? Quin soluciona los problemas que se presentan? Cmo es su solucin?
La institucin no cuenta con un plan de contingencia. Los problemas se solucionan segn el personal que se encuentre disponible en el momento, aplicando una solucin correctiva o bien sustancial, mientras se corrige el problema
9. Cmo se define la proteccin de los equipos?
La institucin no tiene un buen diseo de las instalaciones. El cuido de los equipos de usuarios es inexistente puesto que se dejan equipos encendidos por las noches, donde las autoridades no toman cartas en el asunto. En cuanto a los servidores, no existe un centro de datos y se encuentran a fcil manipulacin y vista del pblico.
10. Qu tan eficaz y eficiente es la informacin brindada por el sistema?
La institucin no tiene clara la importancia de darle manteniendo al sistema. Conforme a avanzado el tiempo, nuevos requerimientos han surgido, pero no se han hecho cambios. Actualmente para brindar informacin necesaria el administrador realiza las consultas en tiempo de ejecucin con la base de datos, relacionando tablas y parmetros; Posteriormente la informacin es exportada a Excel y entregada a la autoridad solicitante.
PROBLEMAS: El anlisis de las entrevistas previas, han dado los siguientes resultados:
Se pueden globalizar en: Organizacin, Inversin, Actitud y Comunicacin.
a. Cada trabajo realizado debe estar sujeto a un soporte, el cual en la institucin se representa mediante una hoja de servicio que especifica el tipo de servicio, descripcin, quien lo brinda, quien lo recibe y a que rea pertenece. Sin embargo este procedimiento no es cumplido a cabalidad ya que se realiza el servicio pero no se aplica el documentado mediante la hoja de servicio por razones no ajenas a la pereza, el olvido, otras. b. Existe el trabajo en equipo, sin embargo individualmente pueden llegar a no
suplir las necesidades de trabajo puesto que existen pocos contratados y muchos pasantes que no pueden actuar por no tener autorizacin, debido a su estado laboral. c. En el mbito de administracin de los sistemas, no existe un monitoreo preventivo definido, es decir est sujeto a supervisin parcial de actividad informtico viral y fsica. Los soportes que se realizan son de nivel correctivo. Adems que no existen planes de prevencin y correccin previamente planificados, as como no est establecido un equipo de trabajo propio. Lo anterior tiene como principal causa, las capacidades individuales de los miembros del equipo, producto de la no capacitacin del personal y poca inversin de la institucin en equipos informticos de calidad duradera y de procesamiento. d. El desarrollo de sistemas es una metfora. Debido a que no se da inversin para el desarrollo a pesar de que el personal si se encuentra capacitado suficientemente para la tarea. e. Los mantenimientos se realizan correctivos y con los elementos a mano. La nica manera en que los procesos se hagan de manera ms rpida, es solo si el rea implicada es de mucha relevancia, como lo es Administracin y Direccin. En cuanto al resto de las reas es preferible buscar equipos repositorios desfasados en tecnologa pero funcionales. f. El POI del rea no se prepara de manera sistemtica, si no que se realiza en media manera y para salir del paso, tratando de suplir lo principal, ya que el presupuesto no se ajusta a las necesidades del rea, encargada de otras reas. g. No existe un estudio lgico de las redes y los equipos completos, puesto que la atencin se centra en equipos de altos niveles jerrquicos. h. Existe una mala distribucin de los equipos de cmputo, donde procedimientos que requieren equipos con buenas capacidades, no los tienen y donde quienes no necesitan grandes capacidades, si las tienen.
SUGERENCIAS: a. Se sugiere realizar un estudio a fondo de los requerimientos y necesidades de la institucin para determinar la inversin en monitoreo, planes de mantenimiento preventivo, operativo y correctivo de los equipos de cmputo, elementos de redes y los sistemas de la institucin. b. Se sugiere un reordenamiento fsico de la institucin, segn el orden dentro del organigrama institucional. As como tambin un estudio de capacidades de equipos, para soportar a los procesos que requieren mejores capacidades de trabajo y procesamiento.
1.5.1 INVENTARIO DE EQUIPO.
CARTERA Y COBRO
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Marcela AdminCYC1 Intel Pentium (R)4 CPU 2.40 ghz, 2.41 512 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-E0-7D-B8-88-5F 192.168.2.11 ADMINIES
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas
Rigo AdminCYC2 Intel Pentium (R)4 CPU 2.40 ghz, 2.41 1GB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-E0-7D-B9-54-D9 192.168.1.48
SISTEMA
Numero Mac IP Numero GRUPO DE TRABAJO:
ADMINIES
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
Rafael CarteraRafa Intel Pentium Dual Core 3.40 ghz, 2.41 1GB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 3 00-08-54-A6-9E-25 192.168.1.50 ADMINIES
ADMINISTRACION
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Hentri AdminAuxCont Intel Pentium (R)4 CPU 2.40 ghz, 2.40 512 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 001-10-DC-8A-E6-37 192.168.2.28 ADMINIES
Martin Solis Adminjefe Intel Pentium (R)4 CPU 2.40 ghz, 2.40 760 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-10-DC-8B-72-97 192.168.2.28 ADMINIES
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac
Elyin AdminContador2 Intel Pentium (R) 3.00 ghz, 2.40 960 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-19-DB-15-25-B8
IP Numero GRUPO DE TRABAJO:
192.168.1.216 ADMINIES
Luis CAJA2 Intel Pentium (R) 3.00 ghz, 2.40 504 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-50-FC-89-79-FC 192.168.2.45 ADMINIES
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac
Richard CAJA1 Intel Pentium DUAL CORE 2.20 ghz, 2 GB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-50-FC-97-F1-FB
IP Numero GRUPO DE TRABAJO: Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
192.168.1.44 ADMINIES Roberto AdminContador1 Intel Pentium Dual Core(R) 2.20 ghz, 2GB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-19-66-A3-4A-DA 192.168.1.215 ADMINIES
DEPARTAMENMTO DE COORDINACION
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: NAIMA SecretCoord Intel Pentium 4 (R) 2.40 ghz,2.40 512MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-08-54-1F-2A-0E 192.168.1.38 COORDINACION
ENA ALVARADO SeccCoord Intel Pentium 4 (R) 1.70 ghz,1.70 224MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-40-F4-2F-64-FF 192.168.1.32 COORDINACION
Olga PENDIENTE Intel Pentium 4 (R) 1.70 ghz,1.70 224MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-E0-4C-91-1E-E0 192.168.1.68 COORDINACION
Gladys Sanchez Resplanif Intel Pentium Dual Core E2200 2.20GHz 2.19 ghz 1.99 GB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 00-25-22-10-61-1D 192.168.1.218 COORDINACION
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA
Claudia Aurauz Coord_Civil Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION
Numero Mac IP Numero GRUPO DE TRABAJO: Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
00-25-22-6E-97-72 192.168.1.59 COORDINACION Fredy PiedSilva Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM WINDOWS 7 ULTIMATE COPYRIGHT 2009 MICROSOFT CORPORATION 00-25-22-6E-9A-B9 192.168.1.66 COORDINACION
Nombre de Usuario Nombre Pc:
Pendiente Coord_Arquitectura
Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 3 00-25-22-6E-9A-A9 192.168.1.24 COORDINACION Jaqueline UserJaquilin Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM MICROSOFT 00-25-22-22-16-41 192.168.1.214 COORDINACION WINDOWS XP, Profesional Service Pack 2
INSTITUTO DE IDIOMAS
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Alejandra IDI_1 Intel Pentium Core 2 Duo E7500 2.93 GHz 2.93 ghz 1.96 MB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 3 00-27-0E-2E-8A-56 192.168.1.212 IDI
-----------------IDI_3 Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 3 00-27-0E-2E-8A-56 ---------------IDI
ombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
------------------IDI_2 Intel Pentium Dual Core E5400 GHz 2.7 ghz 2GB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 3 00-25-22-2F-2B-E6 192.168.1.25 IDI 2.7
DIRECCION
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Marisol Sec_Dir Intel Pentium4 504MB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 2 00-80-AD-01-B8-40 192.168.1.100 DIRECCION 2.8 GHz 2.8 ghz
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
Lester Bios Intel Pentium Dual Core E5500 2.80 GHz 2.79 ghz 2 GB de RAM MICROSOFT WINDOWS XP, Profesional Service Pack 3 00-25-22-6E-9A-BB 192.168.1.219 DIRECCION Yuri RRHH Intel Pentium Dual Core 2.79 ghz 1 GB de RAM MICROSOFT -----------------------192.168.1.240 DIRECCION WINDOWS XP, Profesional Service Pack 3 2.80 GHz
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO:
Geisell Sec_Direccion Intel Pentium (R)4 CPU 2.40 ghz, 2.41 512 MB de RAM MICROSOFT WINDOWS XP, Version 2002, Service Pack 2 ---------------------192.168.1.210 DIRECCION -----------Coor_comp Intel Pentium Dual Core 2.79 ghz 1 GB de RAM MICROSOFT -----------------------192.168.1.225 DIRECCION WINDOWS XP, Profesional Service Pack 3 2.80 GHz
BODEGA
Nombre de Usuario Nombre Pc: Caractersticas Tcnicas SISTEMA Numero Mac IP Numero GRUPO DE TRABAJO: ----------Bodega Intel Pentium4 RAM MICROSOFT WINDOWS XP, Profesional Service Pack 2 00-E0-18-96-66-43 192.168.1.92 Inventario PC 2.4 GHz 768 MB de
1.5.4 PRESUPUESTOS. MANO DE OBRA.

PUESTO SUELDO MENSUAL PERSONA Responsable de la 10000 Unidad Informtica Jefe de los 4000 1 4000 1 10000 NO. POR PERSONAS DE SUELDO MENSUAL TOTAL
Laboratorios Tcnico computacin Tcnico en redes Pasante 1 3000 1000 1 3 3000 3000 en 3000 1 3000
TOTAL: 23,000
1.6 DETERMINACIN DEL REA A ESTUDIAR:

EN BASE A LAS LAS INVESTIGACIONES REALIZADAS, PREELIMINARES SE HA Y
CONSIDERANDO
ENTREVISTAS
DECIDIDO
DESARROLLAR LINA EVALUACIN GENERAL DE TODAS LAS REAS QUE INTEGRAN EL DEPARTAMENTO DE COMPUTO.
Soporte Tcnico Hardware y Software Se han notado debilidades en esta rea con respecto a los insumos utilizados para brindar el servicio en cuestin, as como tambin la incapacidad individual de algunos elementos del equipo de trabajo. Mantenimiento Preventivo y correctivo. Debido a que no se cuenta con un documento que identifique y especifique los procedimientos en ejecucin de una tarea planificada, se trabajaba nicamente de manera correctiva, provocando largos tiempos de inactividad segn el rea y su importancia dentro del actuar del sistema. Por tanto se realizara un estudio profundo de cada posible tarea en niveles de preventivo, operativo y correctivo. Atencin Estudiantil. En este punto, la falta de comunicacin con los estudiantes de la institucin provoca un desequilibrio en la entrega de software y soporte a los elementos de recibimiento acadmico de la institucin.

Auditoria COBIT 4.1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria COBIT 4.1

Uploaded by

Copyright:

Available Formats

DECLARACIN

Silvio David Navarro Vsquez

Carlos Xavier Talavera Zepeda

Erick Javier Ruiz Treminio

Deficiencias Tecnolgicas Encontradas

Objetivos del Trabajo

Identificar procesos y controles que presenten problemas.

Analizar los resultados obtenidos.

Elaborar un informe tcnico para administradores.

Elaborar un informe ejecutivo para administradores y ejecutivos de la empresa.

APLICACIN DE COBIT 4.1

Elementos COBIT 4.1 dentro del Anlisis

PLANEAR Y ORGANIZAR (PO) 10 PROCESOS DE GESTIN DE TI

ADQUIRIR E IMPLEMENTAR (AI) 7 PROCESOS DE GESTIN DE TI

ENTREGAR Y DAR SOPORTE (DS) 13 PROCESOS DE GESTIN DE TI,

MONITOREAR Y EVALUAR (ME) 4 PROCESOS DE GESTIN DE TI.

Dominio: PLANEAR Y ORGANIZAR

PO1- Definir un plan estratgico de TI.

PO2 -Definir la arquitectura de la informacin.

PO3-Determinar la direccin tecnolgica.

Factores Ambientales Factores Energticos Paradigmas de Trabajo o Procesos Factores Financieros

PO4- Definir los procesos, organizacin y relaciones de TI.

PO5 Administrar la inversin en TI.

PO6 Comunicar las aspiraciones y la direccin de la alta gerencia.

PO7- Administrar los recursos humanos de TI.

PO8- Administrar la Calidad.

PO9-Evaluar y Administrar los riesgos de TI.

Dominio: ADQUIRIR E IMPLANTAR

AI1-Identificar soluciones automatizadas.

AI2-Adquirir y mantener software aplicativo.

AI3-Adquirir y mantener una infraestructura tecnolgica.

AI4-Facilitar la operacin y el uso.

AI5-Adquirir recursos de TI.

AI7-Instalar y acreditar soluciones y cambios.

Dominio: ENTREGAR Y DAR SOPORTE

DS1-Definir y administrar los niveles de servicio.

DS2-Administrar los servicios de terceros.

DS3-Administrar el desempeo y la capacidad.

DS4-Garantizar la continuidad del servicio.

DS5-Garantizar la seguridad de los sistemas.

DS6-Identificar y Asignar Costos.

DS7-Educar y Entrenar a los usuarios.

DS8-Administrar la mesa de servicio y los incidentes.

DS12-Administracin del ambiente fsico.

Dominio: MONITOREAR Y EVALUAR

ME1-Monitorear y evaluar el desempeo de TI.

ME2-Monitorear y evaluar el control interno.

ME3-Garantizar el cumplimiento con requerimientos externos.

ME4-Proporcionar Gobierno de TI.

NIVEL DE MADUREZ DE LOS PROCESOS

PO3-DETERMINAR LA DIRECCIN TECNOLGICA

PO4-DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES TI

PO6-COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA ALTA GERENCIA

PO7-ADMINISTRAR LOS RECURSOS HUMANOS DE TI

PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

PO10 Administrar Proyectos

RESUMEN DEL DOMINIO PLANEAR Y ORGANIZAR

AI2-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

AI3-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA

AI4-FACILITAR LA OPERACIN Y EL USO

AI5-Adquirir recursos de TI.

El proceso de adquirir los recursos de TI se localiza por tanto el nivel 1

AI7-Instalar y acreditar soluciones y cambios.

RESUMEN DEL DOMINIO ADQUIRIR E IMPLANTAR