Professional Documents
Culture Documents
Indice General
Prefacio ...................................................................................................................................................................................................................... 11
Prlogo ....................................................................................................................................................................................................................... 12
CAPITULO 1: GENERALIDADES DE LA AUDITORA INFORMTICA ................................................................................................................... 14
1.1 Conceptos de Auditora y Auditora Informtica .................................................................................................................................................. 14
1.2 Objetivos de la Auditora Informtica ................................................................................................................................................................... 15
1.3 Bases de la Auditora Informtica ........................................................................................................................................................................ 15
1.4 Funciones de la Auditora Informtica ................................................................................................................................................................. 16
1.5 Importancia del Control y la Auditora Informtica............................................................................................................................................... 16
1.6 Metodologa de desarrollo de la Auditora Informtica ........................................................................................................................................ 16
CAPITULO 2: ESTUDIO DE LA NORMATIVA EXISTENTE PARA AI ..................................................................................................................... 18
2.1 Normas, Tcnicas, Estndares y Procedimientos de Auditora .......................................................................................................................... 18
2.2 Organizaciones y Normas de AI ms relevantes ................................................................................................................................................ 18
2.3 Control Objetives for Information and Related Technology, COBIT ................................................................................................................... 20
2.4 Information Technology Infraestructure Library, ITIL .......................................................................................................................................... 24
2.5 COSO, Committee Of Sponsoring Organizations Of The Treadway Commission ............................................................................................. 33
2.6 Metodologa de Anlisis y Gestin de Riesgos, MAGERIT ................................................................................................................................ 35
2.7 Normas ISO ......................................................................................................................................................................................................... 35
2.8 Modelos de Madurez ........................................................................................................................................................................................... 37
2.9 Computer Assisted Audit Techniques, CAAT ...................................................................................................................................................... 41
CAPITULO 3: ESTUDIO PRELIMINAR DEL ENTORNO A AUDITAR ..................................................................................................................... 40
3.1 Estudio de la Superintendencia de Telecomunicaciones .................................................................................................................................... 40
3.2 Estudio de la Direccin de Tecnologa de la Informacin ................................................................................................................................... 44
CAPITULO 4: PLANEACIN DE LA AUDITORA INFORMTICA A LA SUPERTEL ............................................................................................. 49
4.1 Planeacin Previa ................................................................................................................................................................................................ 49
4.2 Estudio Preliminar ................................................................................................................................................................................................ 50
4.3 Desarrollo de la estrategia de auditora ............................................................................................................................................................... 50
4.4 Descripcin del Mapa de Relacin COBIT - SUPERTEL.................................................................................................................................... 58
4.5 Descripcin de las Matrices ................................................................................................................................................................................. 59
4.6 Determinacin de Resultados y Productos de la Auditora ................................................................................................................................. 64
4.7 Recursos para la auditora ................................................................................................................................................................................... 65
4.8 Programa de auditora ........................................................................................................................................................................................ 68
4.9 Cronograma de actividades para la Auditora ..................................................................................................................................................... 68
CAPITULO 5: INFORME DE AUDITORA................................................................................................................................................................. 80
5.1 Carta de Presentacin de la Auditora Informtica .............................................................................................................................................. 80
CAPITULO 6: CONCLUSIONES Y RECOMENDACIONES ..................................................................................................................................... 83
BIBLIOGRAFIA Y REFERENCIAS ............................................................................................................................................................................ 85
ANEXO 1: ESTADARES DE SOFTWARE Y HARDWARE ...................................................................................................................................... 88
ANEXO 2: CATALOGO DE SERVICIOS INFORMATICOS ...................................................................................................................................... 90
ANEXO 3: PLANOS Y MATRICES COBIT DESARROLLADOS DURANTE LA AI.................................................................................................. 93
ANEXO 4: INDICADORES DE RESULTADOS DE LA AI A LA SUPERTEL ......................................................................................................... 130
Presentacin:
El proyecto de tesis intitulado "Auditora Informtica a la Superintendencia de
Telecomunicaciones", marca su inicio efectuando un anlisis comparativo de la tecnologa,
normas y tcnicas que estandarizan los procesos de auditora informtica en la actualidad,
para posteriormente realizar un estudio del entorno a auditar, precisar una estrategia de
auditora, ejecutar los planes y programas puntualizados; y finalmente emitir un informe que
determine si cada uno de los procesos de tecnologa de la informacin colaboran
eficazmente con la consecucin de los objetivos institucionales, precisando un conjunto de
recomendaciones en base a los resultados obtenidos.
Palabras Clave: auditora informtica AI, tecnologa de la informacin TI, COBIT, COSO, ITIL, procesos de TI, estndares,
normas y tcnicas de auditora, modelos de madurez.
Universidad de Cuenca
Vernica Karina Quintua Rodrguez, certifica que todas las ideas, opiniones y
contenidos expuestos en la presente investigacin son de exclusiva responsabilidad
de su autor/a.
FACULTAD DE INGENIERIA
Universidad de Cuenca
Universidad de Cuenca
INGENIERIA EN SISTEMAS
AUDITORIA INFORMATICA
A LA SUPERINTENDENCIA DE
TELECOMUNICACIONES
FACULTAD DE INGENIERIA
Universidad de Cuenca
AUDITORIA INFORMATICA
A LA SUPERINTENDENCIA DE
TELECOMUNICACIONES
VERONICA QUINTUA RODRIGUEZ
Universidad de Cuenca
INGENIERIA EN SISTEMAS
Universidad de Cuenca
Auditora Informtica a la
Superintendencia de Telecomunicaciones
Universidad de Cuenca
Auditora Informtica a la
Superintendencia de Telecomunicaciones
VERNICA KARINA QUITNUA RODRGUEZ
Egresada de la Escuela de Informtica
Facultad de Ingeniera
Universidad de Cuenca
Dirigido por:
ING. PABLO VANEGAS, PHD.
Ingeniero en Sistemas
Sub-decano de la Facultad de Ingeniera
Universidad de Cuenca
Cuenca Ecuador
Universidad de Cuenca
Pginas: 86
Dirigido por:
Pablo Vanegas Peralta
Ingeniero en Sistemas
Universidad de Cuenca, Ecuador, 1997.
Diplomado Superior en Formulacin y Evaluacin de Proyectos de
Investigacin
Universidad de Cuenca, Ecuador, 2004.
Master en Inteligencia Artificial
KatholiekeUniversiteitLeuven, Belgica, 2006.
PhD en Ingeniera Mecnica
KatholiekeUniversiteitLeuven, Blgica, 2010.
pvanegas@ucuenca.edu.ec
Todos los derechos reservados.
Queda prohibida, salvo excepcin prevista en la Ley, cualquier forma de reproduccin, distribucin, comunicacin pblica y
transformacin de esta obra para fines comerciales, sin contar con autorizacin del titular de propiedad intelectual. La
infraccin de los derechos mencionados puede ser constitutiva de delito contra la propiedad intelectual. Se permite la libre
difusin de este texto con fines acadmicos o investigativos por cualquier medio, con la debida notificacin del autor.
DERECHOS RESERVADOS
2012 Universidad de Cuenca
CUENCA ECUADOR
Quintua Rodrguez Vernica K.
Auditora Informtica a la Superintendencia de Telecomunicaciones
Edicin y Produccin:
Ing. Vernica Karina Quintua Rodrguez
Diseo de la portada:
Ing. Vernica Karina Quintua Rodrguez
IMPRESO EN ECUADOR
Universidad de Cuenca
Universidad de Cuenca
DECLARACIN
____________________________
Vernica Quintua Rodrguez
Universidad de Cuenca
CERTIFICO
_______________________________
Ing. Pablo Vanegas
10
Universidad de Cuenca
..
Prefacio
11
Universidad de Cuenca
Prlogo
12
Universidad de Cuenca
13
Universidad de Cuenca
CAPITULO 1
GENERALIDADES DE LA AUDITORA
INFORMTICA
14
Universidad de Cuenca
1.2
1.3
Ciencias del
Comportamiento
AUDITORA
INFORMTICA
Informtica
Auditora
Tradicional
Figura 1.1 A.I. como interseccin de otras disciplinas. Basado en Caridad Simn, (2006, p.18).
15
Universidad de Cuenca
1.4
1.5
1.6
16
Universidad de Cuenca
17
Universidad de Cuenca
CAPITULO 2
COBIT: Control Objectives for Information and related Technology. Desarrollado por InformationSystemsAudit and Control Association(ISACA). Centra
su inters en la gobernabilidad, aseguramiento, control y auditora para Tecnologas de la Informacin y Comunicacin (TIC).
18
Universidad de Cuenca
19
Universidad de Cuenca
SAC:SystemsAuditability and Control, ofrece una gua de estndares y controles a auditores internos sobre la forma de controlar y auditar los sistemas
de informacin y tecnologa
Misin de COBIT. La misin COBIT es Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por
parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. (COBIT 4.1, 2007, p. 9).
Objetivos de Control. Un "Objetivo de Control", es una definicin del resultado o
propsito que se desea alcanzar implementando procedimientos de control
especficos dentro de una actividad de tecnologa informtica. COBIT identifica un
conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los
1
COSO, Comit de Organizaciones Patrocinadoras (TreadwayCommission).
IFAC, Federacin Internacional de Contadores.
IIA, Instituto de Auditores Internos.
ISACA, Asociacin de Auditora y Control de Sistemas de Informacin.
AICPA, Instituto Americano de Contadores Pblicos.
20
Universidad de Cuenca
21
Universidad de Cuenca
Figura 2.4COBIT Gestin, Control, Alineamiento y Monitoreo. (COBIT 4.1, 2007, p. 24)
Los recursos de TI son manejados por procesos de TI para lograr metas de TI que
respondan a los requerimientos del negocio. Este es el principio bsico del marco
de trabajo COBIT, como se ilustra en el cubo COBIT, Figura 2.5.
Criterios de Informacin.Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, costo y entrega.
Requerimientos Fiduciarios (COSO): Efectividad y eficiencia operacional,
confiabilidad de los reportes financieros y cumplimiento de leyes y
regulaciones.
Vernica Karina Quintua Rodrguez
22
Universidad de Cuenca
Figura 2.6 Marco de Trabajo Completo de COBIT. (COBIT 4.1, 2007, p. 26)
23
Universidad de Cuenca
ITIL versin 2.0 sugiere para la gestin de servicios de TI, utilizar los libros de
Entrega y Soporte de Servicios mediante un modelo de gestin de procesos que se
muestra en la Figura 2.8.
24
Universidad de Cuenca
25
Universidad de Cuenca
26
Universidad de Cuenca
27
Universidad de Cuenca
28
Universidad de Cuenca
29
Universidad de Cuenca
30
Universidad de Cuenca
La versin 3.0 de ITIL fortalece la visin del negocio y est orientada al ciclo de vida
del servicio, asegurando calidad en los servicios, integrando ms estrechamente las
estrategias de servicio comerciales y las de TI, proporcionando modelos de
transicin de acuerdo a la utilidad, describiendo la provisin de servicios y la
bsqueda de los mismos, facilitando la implementacin y administracin de
Vernica Karina Quintua Rodrguez
31
Universidad de Cuenca
Figura 2.20Diagrama de la Rueda. (ITIL V3.0. ServiceStrategy, citado por Cruz, 2009, p. 53)
CS
ITIL versin 3.0 crea una integracin de procesos de TI, personas y herramientas
dentro de la estrategia de negocios a travs de los servicios de TI. Su estructura
describe cmo los procesos estn ST
conectados, determina su comportamiento,
organiza la infraestructura diseada para un rendimiento sustentable, como se
muestra en la Figura 2.21.
32
Universidad de Cuenca
33
Universidad de Cuenca
34
Universidad de Cuenca
MAGERIT maneja una visin estratgica global sobre la Seguridad de los Sistemas
de Informacin de las Administraciones Pblicas; visin que arranca de un Modelo
de Anlisis y Gestin de Riesgos que comprende 3 submodelos:Submodelo de
elementos, eventos y de procesos. Ver Figura 2.25.
35
Universidad de Cuenca
36
Universidad de Cuenca
Figura 2.26 mbito de actuacin de la norma ISO/IEC 20000. (Prez, n.d., p. 1).
2.8Modelos de Madurez
Cada vez con ms frecuencia, se requiere que las entidades corporativas y pblicas
empleen herramientas de evaluacin hacia la administracin de TI con el fin de obtener una medicin relativa de donde se encuentra la organizacin; una manera de
decidir hacia dnde ir de forma eficiente; y una herramienta para medir el avance
contra la meta.
Vernica Karina Quintua Rodrguez
37
Universidad de Cuenca
Figura 2.28Niveles de Madurez de CMM. (SEI-CMM citado por Chacn, 2004, p. 51)
38
Universidad de Cuenca
CapabilityMaturityModelIntegration, CMMI
El Modelo Integrado de Capacidad de Madurez es un modelo de procesos que sirve
como referencia a las organizaciones para implementar mejoras considerando el
principio de aplicacin de procesos, para mejorar la calidad y como base para la
gestin de las empresas. (SEI-CMMI citadoporChacn, 2004)
Information Security Management Maturity Model, ISM3
El propsito de los sistemas de gestin de seguridad es prevenir o mitigar los
ataques, errores y accidentes que puedan poner en riesgo la seguridad de los
sistemas de informacin y los procesos organizativos soportados por ellos,
optimizando el uso de la informacin, presupuesto, personal, tiempo e
infraestructura. El Modelo de Madurez de la Gestin de la Seguridad de la
Informacin (ISMMM o ISM3) ofrece un nuevo enfoque para especificar,
implementar, operar y evaluar sistemas ISM.Los niveles de madurez ISM3 van del 0
al 4. (ISECOM, n.d.)
39
Universidad de Cuenca
CAPITULO 3
40
Universidad de Cuenca
Misin Institucional
Vigilar, auditar, intervenir y controlar tcnicamente la prestacin de los servicios de
telecomunicaciones, radiodifusin, televisin y el uso del espectro radioelctrico,
para que se proporcione con eficiencia, responsabilidad, continuidad, calidad,
transparencia y equidad; fomentando los derechos de los usuarios a travs de la
participacin ciudadana, de conformidad al ordenamiento jurdico e inters general.
(SUPERTEL-Ecuador - Reglamento Orgnico por Procesos, 2010, p. 9)
Objetivos Estratgicos(SUPERTEL-Ecuador - Reglamento Orgnico por Procesos,,
2010, p. 9)
-
41
Universidad de Cuenca
42
Universidad de Cuenca
Centro Regional de
Informacin y Servicio
al ciudadano
Unidad
Financiera
Administrativa
Unidad de
Tecnologa Informtica
Unidad de Control de la
Prestacin de Servicios
Unidad Jurdica y
coactiva
380
330
50
192
75
41
28
16
18
10
43
Universidad de Cuenca
VALOR INICIAL $
4.368.746,00
1.635.400,00
1.411.400,00
224.000,00
4.310.580,00
4. Desarrollo informtico
2.444.150,00
696.800,00
307.000,00
1.440.350,00
5. Red de Comunicaciones
20.150,00
6. Bienes inmuebles
300.000,00
Total
13.079.026,00
44
Universidad de Cuenca
Innovar tecnolgicamente
la institucin
Investigar tendencias que cumplan con estndares internacionales y que pudieran proporcionar
nuevas alternativas de servicios de valor agregado a la SUPERTEL
Hacer el seguimiento del marco regulatorio para el uso, administracin y control del recurso
tecnolgico informtico de la institucin
Optimizar los procesos de la Direccin.
OPORTUNIDADES
Participacin en proyectos institucionales.
Nuevas reas tecnolgicas disponibles.
Convergencia de servicios.
DEBILIDADES
La DTI no es una unidad asesora en la toma de decisiones,
nicamente apoya en la ejecucin.
Carga laboral poco equilibrada debido a la falta de personal
frente a la cantidad de servicios.
AMENAZAS
45
Universidad de Cuenca
PERFIL
Director
Coordinador
Ingeniero de Desarrollo
Ingeniero de Infraestructura
Secretaria
Ayudante de Oficina
#
1
1
Profesional Informtico 2
Profesional Informtico 1
Profesional Informtico 2
Profesional Informtico 1
Asistente Profesional 1
Ayudante
1
4
1
1
NO
1
1
1
1
46
Universidad de Cuenca
Servicios Tecnolgicos
La metodologa de desarrollo de sistemas que emplea la SUPERTEL es el
PROCESO UNIFICADO DE DESARROLLO DE SOFTWARE de Ivar Jacobson,
Grady Booch y James Rumbaugh, por ser reconocida y aceptada mundialmente
como estndar.
Desarrollo
Los nuevos servicios tecnolgicos que la Superintendencia de Telecomunicaciones
requiera, son desarrollados por la Direccin General de Tecnologa de la
Informacin o por terceros bajo su coordinacin y supervisin directa. Los servicios
a desarrollarse, la priorizacin y todos sus detalles se encuentra especificados en el
portafolio de servicios que forma parte integrande del proceso de Diseo de
Servicios.
Mantenimiento
Los servicios tecnolgicos que posee la Superintendencia de Telecomunicaiones
requieren mantenimeinto preventivo as como la implementacin de mejoras y/o
control de correcto funcionamiento. Este mantenimiento lo proporciona la Direccin
General de Tecnologa de la Informacin o el desarrollador del servicio con
supervisin directa de sta Direccin.
Se da mantenimiento de los servicios tecnolgicos desarrollados por la Direccin y
se proporciona asistencia, en los lmites de lo posible, a todos aquellos servicios
que son de desarrollo externo y que no poseen soporte contratado con el
desarrollador original.
En lo referente al software comercial, se solicita asistencia a los vendedores del
producto o directamente a los fabricantes, de ser posible y si el caso lo requiere.
Catlogo de Servicios Operativos
Los servicios operativos se encuentran en el catlogo de servicios que forma parte
integrante del Diseo de Servicios.Un detalle de este catalogo se encuentra en el
Anexo 2 - CD.
Plan de Inversin
En el plan de inversiones se proyecta la adquisicin de software y hardware tanto
de propsito general como de componentes especficos de servicios. De igual
forma se contemplan las contrataciones de desarrollo de nuevos servicios y el
mantenimiento de los existentes.La adquisicin de software y hardware de
propsito general se lo realiza de ser posible, una vez por ao. La contratacin de
desarrollo de servicios se lo realiza segn el cronograma que se defina en el
portafolio de servicios atendiendo la prioridad de cada servicio. Ver Tabla 3.7.
47
Universidad de Cuenca
PRESUPUESTO REFERENCIAL
ITEM
VALOR ANUAL (USD)
Recurso Humano
436.890,00
Remuneracin
419.250,00
Viticos
17.640,00
Plan de Inversiones 2010
2.659.420,00
Plan de Inversiones 2011
3765.950,00
Plan de Inversiones 2012
4945.650,00
48
Universidad de Cuenca
CAPITULO 4
49
Universidad de Cuenca
50
Universidad de Cuenca
Orientado a Procesos: El marco de trabajo de la auditora informtica a la SUPERTEL estar basado en 34 procesos definidos por COBIT, que garantizan la alineacin con los requerimientos de la institucin y de TI. Estos procesos se encuentran
organizados en cuatro dominios que se equiparan a las reas tradicionales de TI de
planear, construir, ejecutar y monitorear. Como se vio en el capitulo II estos dominios son: planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, Monitorear y Evaluar. (Ver figura 2.6)
Basado en controles: La auditora emplear 34 objetivos de control generales, uno
para cada proceso de TI y 209 objetivos de control detallados, que son polticas,
procedimientos, prcticas y estructuras organizacionales que proporcionan un conjunto completo de requerimientos de alto nivel para un control efectivo de cada proceso de TI.
Impulsado por la medicin: La necesidad bsica de toda institucin es entender el
estado de sus propios procesos, sistemas y equipos de TI, donde se requieren mejoras, as como determinar qu nivel de administracin y control debe proporcionar.
La auditora atender estos temas a travs de los siguientes elementos: (COBIT
4.1, 2007)
1. Modelos de madurez, que facilitarn la evaluacin por medio de benchmarking y
permitirn identificar las mejoras necesarias.
2. Metas y mediciones de desempeo para los procesos de TI, que permitirn
evaluar cmo los procesos satisfacen las necesidades de la SUPERTEL y de TI.
3. Metas de actividades para facilitar el desempeo efectivo de los procesos.
La Tabla 4.1 resume cmo los distintos elementos del marco de trabajo de COBIT
se relacionan con las reas de enfoque del gobierno de TI.
MARCO DE TRABAJO COBIT Y REAS DE ENFOQUE DE GOBIERNO DE TI
Alineamiento Estratgico
Metas
Mtricas
Prcticas
Modelos de Madurez
Entrega de
Valor
Gestin de
Riesgos
Gestin de
Recursos
Universidad de Cuenca
PO2
PO3
PO4
PO5
PO6
PO7
PO8
Administracin de la calidad de TI
PO9
PO10
ADQUIRIR E IMPLEMENTAR
AI1
AI2
AI3
AI4
AI5
AI6
Administracin de cambios en TI
AI7
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
MONITOREAR Y EVALUAR
ME1
ME2
ME3
ME4
52
Universidad de Cuenca
Perspectiva Interna
Perspectiva de Aprendizaje y
Crecimiento
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Crear agilidad de TI
Definir cmo la funcionalidad de las tareas de la institucin y requerimientos de control, se trasladan en soluciones
efectivas.
10
11
Asegurar la integracin sin fisuras de las aplicaciones dentro de los procesos de la institucin
12
Asegurar la transparencia y la comprensin de costes de TI, beneficios, estrategia, polticas y niveles de servicio.
13
14
15
16
17
18
19
Asegurar que la informacin crtica y confidencial se retiene a aquellos que no deben tener acceso
20
Asegurar que las tareas de la institucin sean automatizadas y los cambios a la informacin sean confiables
21
Asegurar que los servicios de TI y la infraestructura pueden resistir apropiadamente y recuperarse de fallos debidos
a errores, ataques deliberados o desastres.
22
Asegurar el mnimo impacto a las tareas de la institucin, en caso de una interrupcin de servicios de TI o cambios
23
24
25
26
27
28
Asegurar que TI demuestra le eficiencia de costes de calidad de servicios, mejora continua y disposicin para cambios futuros.
53
Universidad de Cuenca
MODELOS
MATRICES
MODELO DE MADUREZ
MODELO DE MEDICION DE
LOS OBJETIVOS DE
CONTROL
MODELO DE IMPACTOS
Cumplimiento de
Objetivos
Desempeo
Madurez
La magnitud del vector resultante con valor del 100% en los indicadores de cada
dimensin sera:
Vernica Karina Quintua Rodrguez
54
Universidad de Cuenca
Se obtiene
igual a
rencial se deber dividir por
por lo tanto para mantener 100% como valor refeel valor obtenido.
Es as que la magnitud del calificador real del estado del proceso se obtendr mediante la siguiente expresin:
Calificador Real
donde = % Madurez (Grado de Madurez),
miento de Objetivos
= % Desempeo y
= % Cumpli-
El anlisis vectorial tridimensional, adems de un indicador global obtenido mediante el modulo del vector ( ), nos brindar informacin adicional respecto al sentido y
direccin del mismo.
Los valores de los indicadores de Madurez, Desempeo y Cumplimiento de Objetivos son siempre positivos por lo cual el sentido corresponder siempre a un valor
resultante positivo.
La direccin del vector vendr dada por los ngulos alfa, beta y gama con respecto
a los ejes cartesianos como sigue:
55
Universidad de Cuenca
68-100
Medio
34-67
Bajo
0-33
MATRIZ
)
Donde
Nivel i.
= Grado de Madurez,
56
Universidad de Cuenca
MATRIZ
El indicador de desempeo se obtendr del promedio de los dos parmetros: desempeo real y desempeo COBIT, quedando la expresin como sigue:
donde:
= desempeo real,
=desempeo COBIT.
MATRIZ
1 Grado de Cumplimiento de los Objetivos de Control Matriz Cumplimiento de Objetivos de Control COBIT
Detallados
57
Universidad de Cuenca
MODELO DE IMPACTO
Este modelo involucra tanto la importancia de un proceso dentro de la SUPERTEL
como el impacto determinado por el marco de referencia COBIT para cada uno de
ellos. Una combinacin de estos dos parmetros proporcionar un impacto real de
un determinado proceso dentro de TI.
Indicador de Impacto
Se calcular efectuando un promedio del Impacto de los procesos frente a los criterios de informacin de COBIT, con el valor de la importancia del proceso dentro de
la institucin, como lo muestra la Tabla 4.10.
INDICADOR DE IMPACTO
PARAMETRO
1
Grado de Impacto
Grado de Importancia
MATRIZ
Matriz de Impactos de Procesos frente a los criterios de informacin de COBIT
Matriz de Diagnostico de Procesos SUPERTEL
= Impacto - COBIT,
= Importancia-SUPERTEL
58
Universidad de Cuenca
59
Universidad de Cuenca
No Existente
Inicial
Existe evidencia que la institucin ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
Repetible
Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares
en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin
formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un
alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son
muy probables.
Definido
Administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante
mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una
manera limitada o fragmentada.
Optimizado
Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados
de mejoras continuas y en un modelo de madurez con otras instituciones. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la institucin se adapte de manera rpida.
Donde:
=valor porcentual del nivel
=numero total de caractersticas consideradas en el nivel
=numero de caractersticas que se cumplen en el nivel
Los datos sern colocados en una tabla que mantenga un control de niveles por
cada proceso.
El nivel de madurez alcanzado corresponder a aquel nivel que tenga el mayor
grado de madurez calculado. Esto es debido a que cada una de las caractersticas
de los niveles describen el cumplimiento de hechos que sitan a un proceso en
determinado nivel.
60
Universidad de Cuenca
Desempeo
El parmetro desempeo es utilizado para el clculo del indicador del mismo nombre, para lo cual se emplearn las equivalencias cuantitativas mostradas en la Tabla 4.8
EQUIVALENCIAS DEL DESEMPEO
CUMPLIMIENTO DE OBJETIVOS COBIT
GENERALES
DESEMPEO
No existe
No Cumple
Deficiente
1-20
Cumple Levemente
Regular
21-40
Cumple Parcialmente
Satisfactorio
41-60
Cumple Mayoritariamente
Muy Bueno
61-80
Excelente
81-100
Cumple Totalmente
Cumple levemente
1-20
Cumple parcialmente
21-40
Cumple mayoritariamente
41-60
61-80
Cumple totalmente
81-100
El valor real de la evaluacin del proceso de acuerdo a las mtricas COBIT se obtiene del promedio de los valores porcentuales de las metas individuales, y recibir
el nombre de Desempeo COBIT.
Vernica Karina Quintua Rodrguez
61
Universidad de Cuenca
respec-
RANGO DE CALIFICACION
Bajo
15%-50%
Medio
51%-75%
Alto
76%-95%
Vaco
Tomando en cuenta la propuesta de COSO se ha generado una tabla de ponderaciones mediante la cual se propone asignar un valor numrico al impacto de los
criterios de informacin de cada proceso, para esto se ha determinado tomar el valor promedio de cada uno de los rangos, eliminando as la subjetividad el momento
en que se asigna un valor numrico al impacto, dando como resultado la Tabla
4.11.
Vernica Karina Quintua Rodrguez
62
Universidad de Cuenca
PROMEDIO
Bajo
32%
Medio
63%
Alto
86%
Donde
=Impacto,
Importancia
Formalizado
Control Interno
Auditado
63
Universidad de Cuenca
EQUIVALENCIAS DE IMPORTANCIA
Poco Importante
33%
Importante
67%
Muy Importante
100%
La informacin de esta matriz desarrollada durante el proceso de auditora se encuentra en el CD: Anexo 3, Tabla A3.11.
4.6
PLANOS
MATRICES
64
Universidad de Cuenca
RESULTADOS
Los resultados de la auditora se vern reflejados en los dos nicos documentos
entregables, el informe final y la carta de presentacin, los cuales sern los nicos
elementos constatables de la realizacin de la auditora. Ver Figura 4.3. El informe
final describir de manera detallada el anlisis, resultados, recomendaciones e indicadores obtenidos para cada uno de los procesos COBIT. La carta de presentacin
llevar un resumen del informe de auditora.
Carta de
Presenctacin
Informe de
Auditora
AUDITORA INFORMTICA A
LA SUPERTEL
65
Universidad de Cuenca
donde:
: Cantidad terica de elementos de la muestra.
: Cantidad real de elementos de la muestra a partir de la poblacin asumida
: Nmero total de elementos que conforman la poblacin.
: Valor estandarizado en funcin del grado de confiabilidad de la muestra calculada. Para una confiabilidad de 95%,
: Error asumido en el clculo. Para
. Se asume
(un error del 5 %).
: Probabilidad de la poblacin que no presenta las caractersticas universales. Para
. Se asume
. (5 al 20%). Se asumir un valor del 5% debido a que ya se ha excluido de la poblacin a funcionarios auxiliares que no aportaran en la determinacin de resultados. (ayudantes de oficina, conductores, entre
otros). La probabilidad de que la poblacin considerada no represente las caractersticas comunes ser la mnima recomendada.
: Probabilidad de la poblacin que presenta las caractersticas universales.
Poblacin a
Investigar
Muestra
Representativa
66
Universidad de Cuenca
UNIDAD
TI:
DE
USUARIOS:
SELECCIN DE LA MUESTRA
GRUPOS
PARTICIPANTES
POBLACIN
MUESTRA
DIRECTORIO
Directivos
27
TECNOLOGA DE LA INFORMACIN
Informticos
22
Administrativos
59
13
Tcnicos
119
26
Jurdicos
23
Financiero
15
TOTAL MUESTRA
265
58
OTROS
84
USUARIOS
TOTAL FUNCIONARIOS
0
349
Con esto estamos indicando que se 58 usuarios sern encuestados bajo diferentes
cuestionarios, lo que permitir definir las prioridades y la profundidad con la que se
tratarn los procesos del marco de referencia COBIT sujetos a la auditora.
Antes de empezar a recopilar los datos se ha preparado a los funcionarios y a los
directivos para explicar lo que significa aplicar la metodologa COBIT en la institucin, qu beneficios se pueden obtener, cules son las reas en las cuales se enfocar el estudio y cul es el proceso que se seguir.
De acuerdo a la planificacin, la auditora emplear cuestionarios, entrevistas, recopilacin de informacin, y anlisis de la misma. Por lo tanto se requerir lo siguiente:
67
Universidad de Cuenca
Mapa de Relacin
COBITSUPERTEL
Modelo de Madurez
Modelo de Desempeo
Modelo de Cumplimiento de
Objetivos
Modelo de Impactos
PROGRAMA DE AUDITORIA
PRODUCTO
TECNICA
Plano de Enlace de las Metas de la Institucin, Metas TI y Criterios de Informacin
Plano de Enlace de las Metas TI, Procesos COBIT y Criterios de Informacin
Se obtiene del anlisis de la informacin de la SuperinPlano de Enlace Procesos de COBIT a
tendencia de telecomunicaciones, observaciones,
Metas de TI
indagacin, entrevistas y encuestas para recabar informacin.
Plano de Enlace de Procesos COBIT a
Gobierno de TI y Criterios de Informacin
Plano de Responsabilidades de Procesos
COBIT
Se obtiene del anlisis la informacin, observaciones,
Matriz de Grados de Madurez de Proceentrevistas y encuestas realizadas para recabar
sos SUPERTEL
informacin
Matriz de Grados de Madurez de RefeObtenida del nivel de exigencia de los usuarios de TI de
rencia
la SUPERTEL
Matriz de Nivel de Servicio SUPERTEL
Obtenida mediante encuestas
Matriz de Evaluacin de Procesos bajo
Obtenida
mediante
mediciones,
evaluaciones,
Mtricas COBIT
observaciones y anlisis
Matriz de Cumplimiento de Objetivos de
Control COBIT
la
de
68
Universidad de Cuenca
CRONOGRAMA DE ACTIVIDADES
TAREA
AUDITORA SUPERTEL
ESTUDIO PRELIMINAR
Solicitud de la Informacin
Recopilacin de informacin
Ordenamiento de la Informacin
Elaboracin de cuestionarios
Realizacin de Encuestas y Entrevistas
PLANEACIN DE LA AUDITORIA
Comprensin del Control Interno
Desarrollo de la estrategia de auditora
Determinacin de los Resultados y productos de la auditora
Determinacin de los recursos necesarios para realizar la auditora de sistemas.
Elaboracin los Programas de Trabajo
Cronograma
EJECUCIN DE LA AUDITORIA
Entrevistas a lderes y usuarios mas relevantes de la direccin de TI
Entrevistas y encuestas a usuarios.
Determinacin del Mapa de Relacin COBIT-SUPERTEL
Ejecucin de los Modelos de Madurez, Desempeo, Impacto y Riesgo
Evaluacin y anlisis del dominio planeacin y organizacin
Evaluacin y anlisis del dominio adquisicin e implementacin
Evaluacin y anlisis del dominio entrega y soporte
Evaluacin y anlisis del dominio monitoreo y evaluacin
INFORME FINAL
Revisin de los papeles de trabajo.
Elaboracin del Informe.
Elaboracin de la carta de presentacin
TOTAL
TIEMPO
Das
75
10
20
15
15
15
87
10
30
20
10
15
2
120
15
15
15
15
15
15
15
15
50
10
30
10
332
69
Universidad de Cuenca
CAPITULO 5
INFORME DE AUDITORA
70
Universidad de Cuenca
Los temas que han sido objeto de la auditora corresponden a treinta y cuatro
procesos COBIT, que cubren todos los aspectos involucrados en Tecnologa de la
informacin y se agrupan en cuatro categoras: PLANEACIN Y ORGANIZACIN
(PO), ADQUISICIN E IMPLEMENTACIN (AI), ENTREGA Y SOPORTE (DS),
MONITOREO Y EVALUACIN (ME).
La auditora ha atendido estos temas a travs de un conjunto de matrices que registran indicadores cualitativos y cuantitativos resultantes de la aplicacin de modelos,
y mediciones, que a su vez emplean para su construccin, diversas tcnicas de
auditora como observaciones, entrevistas, indagaciones, entre otros. Los modelos,
planos y matrices empleados durante la ejecucin de la auditora han sido los siguientes:
Modelos de madurez, que han permitido determinar la situacin actual de los procesos de TI e identificar las mejoras necesarias. Interviene:
- Matriz de Grados de Madurez de Procesos - SUPERTEL
Metas y mediciones de desempeo para los procesos de TI, que han permitido evaluar cmo los procesos satisfacen las necesidades de la SUPERTEL y de TI. Intervienen las siguientes matrices:
- Matriz de Nivel de Servicio SUPERTEL. Parmetro Desempeo
- Matriz de Evaluacin de Procesos bajo Mtricas COBIT
Mediciones de objetivos de control de manera que determinen el estado real de la
ejecucin de los procesos para facilitar su desempeo. Interviene la siguiente matriz:
- Matriz de Cumplimiento de Objetivos de Control COBIT
Determinacin del nivel de impacto de cada uno de los procesos en la institucin.
Intervienen las siguientes matrices:
- Matriz de Impactos de Procesos frente a los criterios de informacin
de COBIT.
- Matriz de Diagnstico de Procesos COBIT
Con el fin de enlazar los procesos de tecnologas de informacin estndares
planteados por COBIT con los procesos de TI institucionales, se desarroll un
MAPA DE RELACIN COBIT-SUPERTEL, el cual est conformado por cinco
planos:
- Plano de Enlace de las Metas de la Institucin, Metas TI y Criterios de
Informacin
- Plano de Enlace de las Metas TI, Procesos COBIT y Criterios de Informacin
- Plano de Enlace Procesos de COBIT a Metas de TI
- Plano de Enlace de Procesos COBIT a Gobierno de TI y Criterios de
Informacin
- Plano de Responsabilidades de Procesos COBIT
71
Universidad de Cuenca
Anlisis de Resultados
El anlisis general y los resultados de los 34 procesos COBIT agrupados en las
categoras: Planeacin y Organizacin (PO), Adquisicin e Implementacin (AI),
Entrega y Soporte (S) y Monitoreo y Evaluacin (ME), se presentan en las Tablas
6.1, 6.2, 6.3, y 6.4 respectivamente. Cada tabla sintetiza el objetivo del proceso, las
tendencias, fortalezas, debilidades y recomendaciones, as como tambin
determina el estado del proceso en base a indicadores. El indicador global C, junto
con el grado de impacto representan de manera general el estado real del proceso,
estos valores sern ilustrados ms adelante mediante grficas, en donde el tamao
de la esfera que ubica al indicador global en la escala porcentual, representa el
impacto; a menor tamao, menor impacto.
ESTADO DEL PROCESO
PO
IMPACTO
PLANEAR Y ORGANIZAR
OBJETIVO
Alto
Identificar la manera en que TI puede contribuir de la mejor manera al logro de los
objetivos institucionales. Se debe implementar una estructura organizacional y una
estructura tecnolgica apropiada.
SITUACION ACTUAL
Indicador de Madurez
Indicador de
Desempeo
NIVEL 3
DEFINIDO
Grado de Desempeo Real
MUYBUENO
Indicador de
Cumplimiento de
Objetivos de Control
Impacto
ALTO
Formalizado /
Normado
Grado de Importancia
Control Interno
Documentado Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
PUNTOS DEBILES Y
AMENAZAS
72
Universidad de Cuenca
AI
ADQUIRIR E IMPLEMENTAR
OBJETIVO
IMPACTO
Alto
Garantizar que la estrategia de TI y los objetivos institucionales se lleven a cabo dentro de un marco de soluciones de TI efectivo, las mismas que necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos institucionales.
SITUACION ACTUAL
Indicador de Madurez
Indicador de
Desempeo
NIVEL 3
DEFINIDO
Grado de Desempeo Real
MUY BUENO
Indicador de
Cumplimiento de
Objetivos de Control
Impacto
ALTO
Formalizado /
Normado
Grado de Importancia
Control Interno
Documentado Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
PUNTOS DEBILES Y
AMENAZAS
Los procesos para definir, y autorizar los cambios de manera oportuna no son
estndares y si se los realiza de manera formal pueden tardar mas delo
debido.
Un detalle de las metodologas y matrices COBIT que intervinieron en el proceso de auditora se encuentra
en el Capitulo 4, en donde se describe la Estrategia de la Auditora Informtica.
Vernica Karina Quintua Rodrguez
73
Universidad de Cuenca
DS
OBJETIVO
IMPACTO
Medio
Entregar servicios y dar soporte a usuarios bajo un ambiente de seguridad, continuidad, y calidad.
SITUACION ACTUAL
Indicador de Madurez
Indicador de
Desempeo
NIVEL 4
ADMINISTRADO Y MEDIBLE
Grado de Desempeo Real
MUY BUENO
Indicador de
Cumplimiento de
Objetivos de Control
Impacto
MEDIO
Formalizado /
Normado
Grado de Importancia
Control Interno
Documentado Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
PUNTOS DEBILES Y
AMENAZAS
74
Universidad de Cuenca
ME
MONITOREAR Y EVALUAR
OBJETIVO
IMPACTO
Alto
Indicador de Madurez
NIVEL 3
DEFINIDO
Grado de Desempeo Real
Indicador de
Desempeo
MUY BUENO
Indicador de
Cumplimiento de
Objetivos de Control
Impacto
ALTO
Formalizado /
Normado
Grado de Importancia
Control Interno
Documentado Responsable
Unidad de TI
TENDENCIAS
Monitorear todos los procesos para asegurar que se sigue la direccin provista.
FORTALEZAS
PUNTOS DEBILES Y
AMENAZAS
Universidad de Cuenca
PLANEACIN Y ORGANIZACIN
CUMPLIMIENTO
DESEMPEO
MADUREZ
68%
PO10
PO9
76%
71%
50%
PO5
76%
78%
55%
PO4
66%
58%
64%
PO3
60%
PO2
88%
71%
52%
PO6
83%
65%
52%
PO7
76%
60%
58%
33%
PO8
86%
75%
76%
76%
75%
76%
77%
71%
73%
PO1
Para la descripcin de cada proceso refirase a la Tabla 4.2 Procesos y Objetivos de Control COBIT.
Vernica Karina Quintua Rodrguez
76
Universidad de Cuenca
tado de cumplimiento, madurez y desempeo correspondiente al 68% aproximadamente, lo cual permite garantizar mayoritariamente que la estrategia de TI y los
objetivos institucionales se lleven a cabo dentro de un marco de soluciones de TI
efectivo. El grado de madurez del proceso corresponde al nivel 3 de acuerdo a
COBIT, esto es el proceso se encuentra claramente definido, sin embargo hacen
falta procesos de control y optimizacin.
Las Figuras 6.5 y 6.6 muestran como punto ms dbil al proceso AI2 y como punto
ms fuerte al proceso AI3, ambos de un impacto alto, a diferencia del proceso AI4
que tiene un impacto medio. AI2 corresponde a la adquisicin y mantenimiento de
software aplicativo, mientras que AI3 a la adquisicin y mantenimiento de infraestructura tecnolgica. En general, en este mbito, la unidad de tecnologa de la SUPERTEL mantiene planes de adquisicin, implementacin y mantenimiento de
software e infraestructura tecnolgica, sin embargo, al momento de autorizar y ejecutar cambios en base a procesos definidos, pueden demorar ms de lo debido.
77
Universidad de Cuenca
ADQUISICIN E IMPLEMENTACIN
CUMPLIMIENTO
DESEMPEO
MADUREZ
76%
68%
73%
AI7
58%
AI6
AI5
60%
72%
71%
67%
AI4
85%
68%
80%
97%
75%
76%
AI3
60%
56%
AI2
52%
AI1
100%
78%
80%
80%
Los procesos de Entrega y Soporte (DS) tienen como objetivo principal atender a
los usuarios bajo un ambiente de seguridad, continuidad, y calidad. Este proceso
tiene un impacto medio de acuerdo a los niveles de importancia dentro de los procesos institucionales de la SUPERTEL y de acuerdo a las mtricas COBIT, sin embargo, la unidad de tecnologa de la informacin invierte eficientemente sus recursos en la administracin de niveles de servicio, lo cual est permitiendo mejorar la
atencin al usuario e incrementar los niveles de satisfaccin en la mesa de servicios. Este proceso se encuentra en un nivel de madurez 4, esto es, administrado y
medible ya que como se mencion TI maneja un esquema de niveles de servicio y
adems de esto, recepta las calificaciones otorgadas por los usuarios, luego de que
ellos reciben un servicio o soporte. La Figura 6.7 ilustra los tres indicadores principales del proceso DS, y su calificador global.
Para la descripcin de cada proceso refirase a la Tabla 4.2 Procesos y Objetivos de Control COBIT.
Vernica Karina Quintua Rodrguez
78
Universidad de Cuenca
De acuerdo a las Figuras 6.8 y 6.9 uno de los procesos ms dbiles es DS10, mientras que los ms fuertes son DS11 y DS12, estos corresponden respectivamente a:
administracin de los problemas con TI, administracin de los datos y administracin del ambiente fsico. Una vez ms los indicadores reflejan una realidad institucional observable a simple vista, ya que la Unidad de TI no escatima esfuerzos a la
hora de proteger los activos de cmputo y la informacin institucional minimizando
el riesgo de una interrupcin del servicio; sin embargo, no existe un manejo adecuado de las prioridades institucionales cuando se presentan problemas.
79
Universidad de Cuenca
ENTREGA Y SOPORTE
CUMPLIMIENTO
DESEMPEO
MADUREZ
80%
66%
DS13
72%
92%
71%
75%
DS12
87%
52%
DS11
95%
70%
71%
57%
DS10
72%
72%
DS9
76%
71%
60%
DS8
87%
57%
DS7
74%
90%
64%
DS6
74%
76%
77%
55%
DS5
80%
78%
73%
75%
DS4
72%
69%
74%
DS3
80%
64%
60%
DS2
DS1
50%
67%
80%
Para la descripcin de cada proceso refirase a la Tabla 4.2 Procesos y Objetivos de Control COBIT.
Vernica Karina Quintua Rodrguez
80
Universidad de Cuenca
81
Universidad de Cuenca
MONITOREO Y EVALUACIN
CUMPLIMIENTO
DESEMPEO
MADUREZ
86%
70%
ME4
89%
72%
65%
ME3
71%
66%
57%
51%
ME2
83%
59%
58%
ME1
Para la descripcin de cada proceso refirase a la Tabla 4.2 Procesos y Objetivos de Control COBIT.
Vernica Karina Quintua Rodrguez
82
Universidad de Cuenca
CAPITULO 6
CONCLUSIONES Y RECOMENDACIONES
83
Universidad de Cuenca
84
Universidad de Cuenca
BIBLIOGRAFA Y REFERENCIAS
Hernndez, E. (1997). Auditoria Informtica: Un Enfoque Metodolgico y Prctico. Mxico: Continental.
Zamarripa, E. (2002). Sistemas Tutoriales de Auditora. Prentice Hall.
Kell, W., Ziegler, R. (n.d.).Auditoria Moderna. Continental.
Piattini, M. G., Del Peso, E. (2003). Auditoria Informtica: Un Enfoque Prctico. Espaa: computec RAMA.
Weber, R. (1982). EDP Auditing: Conceptual Foundations and Practice.
DAmore, M. (1987). La Auditora Informtica y su Metodologa de Realizacin. Actas Congreso Iberoamericano de Informtica y Auditora.
CREI.
Echenique, J. A. (2003). Auditora en Informtica. Mxico: Mcgraw-Hill.
Lorenzo Gil, E. (n.d.). Auditora Informtica. Obtenida el 15 de Noviembre del 2010, de http://inspeccion-uvmi3.iespana.es/inde7130.htm
Nava Garcia, J. (n.d.). Apuntes de Auditora Informtica.
http://www.gavab.es/wiki/download/ai/Temario/AudInf-Apuntes-1.pdf
Espaa.
Obtenida
el
18
de
Noviembre
del
2010,
de
Espaa.
Obtenida
el
18
de
Noviembre
del
2010,
de
Republica de Nicaragua. Contralora General de la Repblica. (2009). Manual de Auditora Gubernamental. Parte VIII. Auditora Informtica.
Managua.
[Versin
Electrnica]
http://www.google.com/url?sa=t&source=web&cd=1&ved=0CBUQFjAA&url=http%3A%2F%2Fwww.cgr.gob.ni%2Fcgr%2Findex.php%3Foption%
3Dcom_docman%26task%3Ddoc_download%26gid%3D1631%26Itemid%3D101&rct=j&q=Manual%20de%20Auditor%C3%ADa%20Gubernam
ental.%20Parte%20N%20VIII.%20Auditor%C3%ADa%20Inform%C3%A1tica.%20Nicaragua.&ei=fycvTcObIoGs8Ab0psCJCQ&usg=AFQjCNHx
SZnTTI_kbDLA7GtPXG8blqyBSQ&cad=rja
Apuntes de Auditora Informtica. (2009). Mxico. Obtenida el 30 de Noviembre del 2010, de http://mx.oocities.com/acadentorno/aui3.pdf
Per. Instituto Nacional de Estadstica e Informtica - INEI. (n.d.). Qu es la Auditora Informtica?. Coleccin Cultura Informtica. (vol 26).
[Versin Electrnica] http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro.pdf
Auditora
Informtica.
(2002).
Obtenida
el
28
http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/auditoriainformatica.htm
de
Noviembre
del
2010,
de
Kuna, H. (2006). Tesis de Magister en Ingeniera del Software: Asistente para la Realizacin de Auditoras de Sistemas en Organismos Pblicos
o Privados. Espaa. Obtenida el 21 de Noviembre del 2010, de http://laboratorios.fi.uba.ar/lsi/rgm/tesistas/kuna-tesisdemagister.pdf
Quinn E. (2000). La Auditoria informtica dentro de las etapas de Anlisis de Sistemas Administrativos. Obtenida el 21 de Octubre del 2010.
Pgina web de Monografas.com: http://www.monografias.com/trabajos5/audi/audi.shtml#inter
Marin, H. (2003). Auditora Financiera. Obtenida
http://www.monografias.com/trabajos12/aufi/aufi.shtml
el
22
de
Octubre
Jimnez,
Y.
(2003).
Auditoria.
Obtenida
el
22
de
Octubre
http://www.monografias.com/trabajos14/auditoria/auditoria.shtml#AUADMI
del
del
2010.
2010.
Pagina
Pgina
web
web
de
de
Monografas.com:
Monografas.com:
Aguirre, Y. (n.d.a). Propuesta de implantacin del rea de auditora en informtica en un rgano legislativo. Seminario de Auditora Informtica.
Mxico Obtenida el 5 de Diciembre del 2010, de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/index.html
Aguirre, Y. (n.d.b). Propuesta de Implantacin del rea de Auditora en Informtica en un rgano Legislativo. (Capitulo 3). Legislacin informtica, mejores prcticas y tcnicas de auditora informtica - ComputerAssistedAuditTechniques CAAT. Obtenida el 27 de Febrero del 2011 de
http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html
Mxico. Secretaria de la Funcin Pblica Proyecto ATLATL. (2003). Seminario Introduccin a las Normas y Prcticas Profesionales de la
Auditora Gubernamental. Obtenida el 9 de Enero del 2011 de http://www.slideshare.net/JOVIMECARCH/tecnicas-de-practicas-auditoriapresentation
Ecuador. Contralora General del Estado (2008). Fundamento
http://www.contraloria.gov.ec/la_institucion.asp?id_SubSeccion=3
Legal.
Obtenida
el
10
de
Enero
del
2011
de
2011
de
Ecuador. Instituto Ecuatoriano de Propiedad Intelectual. (n.d.). Obtenida el 11 de Enero del 2011 de http://www.iepi.gob.ec/
Ecuador.
Subsecretara
de
Informtica.
(2007).
Normativa
http://www.informatica.gob.ec/index.php/documentacion/legal
Legal.
Obtenida
el
10
de
Enero
del
Brito, J., Solis, G. (2004). Anlisis y Aprovechamiento de los Sistemas de Informacin para una Eficiente Auditora y Control de Gestin. Obtenida el 7 de Diciembre del 2010, de http://www.dspace.espol.edu.ec/bitstream/123456789/1901/1/3786.pdf
Ecuador. Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos. (2002). Obtenida el 11 de Enero del 2011
dehttp://www.informatica.gob.ec/files/Ley_CEFEMD_2002%281%29.pdf
Ecuador. Ley Orgnica de Transparencia y Acceso a la Informacin Pblica. (2004). Obtenida el 5 de Enero del 2011 de
http://www.informatica.gob.ec/files/LOTAIP.pdf
Ecuador. Reglamento a Ley de Transparencia y Acceso A Informacin Pblica. (2005). Obtenida el 20 de Enero del 2011 de
http://www.informatica.gob.ec/files/LOTAIP_Reglamento.pdf
85
Universidad de Cuenca
Ecuador. Norma Tcnica para la Aplicacin de la Ley Orgnica de Transparencia y Acceso a la Informacin Pblica (LOTAIP) Gua para la
Creacin de Sitios Web. Obtenida el 12 de Enero del 2011 de http://www.informatica.gob.ec/files/LOTAIP_normatec.pdf
Mio Quintero, P., (2008). Se Decreta el Uso de Software Libre en la Administracin Pblica Central, Subsecretara de Informtica - Presidencia
de la Repblica de Ecuador. Obtenida el 5 de Enero del 2011 de http://www.informatica.gov.ec/index.php/titulares-historico/subsecretariahistorico-titulares/185-se-decreta-uso-de-sl-en-la-apc-ecuador
Ecuador. Poltica Gubernamental de uso de Software Libre en la Administracin Pblica Central. (2008). Obtenida el 18 de Enero de
http://www.informatica.gob.ec/files/sidsl1014.pdf
Ecuador, Contralora General del Estado (2009). Normas de Control Interno para las Entidades, Organismos del Sector Pblico y Personas
Jurdicas
de
Derecho
Privado
que
Dispongan
de
Recursos
Pblicos.
Obtenida
el
21
de
Enero
del
2011
dehttp://ecuadorimpuestos.com/index2.php?option=com_content&do_pdf=1&id=115
Ecuador. Contralora General del Estado. (2003). Manual General de Auditoria Gubernamental. Obtenida el 17 de Enero del 2011 de
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-ACUERDO.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-I.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-II.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-III.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-IV.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-V.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-VI.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-VII.pdf
http://www.contraloria.gov.ec/documentos/normatividad/MGAG-Cap-VIII.pdf
Ecuador.
IEPI.
(2006).
Ley
de
Propiedad
Intelectual
Codificada.
Obtenida
el
29
de
http://www.iepi.gob.ec/files/LeyTransparencia/EstructuraOrganica/BaseLegal/Normas/LeyPropiedadIntelectual.pdf
Enero
del
2011
de
de
Ecuador. Subsecretara de Informtica. (2009). Estrategia de Implantacin de Software Libre en la Administracin Pblica Central. Obtenida el
19 de Enero del 2011 de http://www.informatica.gov.ec/descargas/emslapcv1.pdf
Ecuador. Subsecretara de Informtica. (2010). Lineamientos para Seguridad de Informacin en Entidades Pblicas. Obtenida el 20 de Enero
del 2011 de http://www.informatica.gob.ec/files/SIRecSegInfGub.pdf
Ecuador. Subsecretara de Informtica. (2010). Lineamientos Generales para Digitalizacin de Archivos Fsicos. Obtenida el 21 de Enero del
2011 de http://www.informatica.gob.ec/files/Lingendigitarchfis.pdf
Ecuador.
Subsecretara
de
Informtica.
(2007).
Base
http://www.informatica.gov.ec/index.php/inicio/subsecretaria/base-legal
Legal.
Obtenida
el
10
de
Enero
del
2011
de
Ecuador. Subsecretara de Informtica. (2007). Procedimientos Subsecretaria informtica. Obtenida el 10 de Enero del 2011 de
http://www.informatica.gob.ec/index.php/documentacion/procedimental-principal
Ecuador. Subsecretara de Informtica. (2007). Documentacin
http://www.informatica.gob.ec/index.php/documentacion/varios
Varios.
Obtenida
Ecuador.
el
Obtenida
10
el
de
Enero
de
del
Enero
del
2011
2011
de
de
TheworldLaw Guide. (2009). Legislacin del Ecuador. Obtenida el 8 de Enero del 2011 de http://www.lexadin.nl/wlg/legis/nofr/oeur/lxweecu.htm
Jaramillo, M. (n.d.). Revista Informtica Jurdica - Repblica del Ecuador. Ecuador. Obtenida el 8 de Enero del 2011 de http://www.informaticajuridica.com/legislacion/ecuador.asp
IT Governance Institute. (2007). COBIT.(Versin 4.1). ISACA. EEUU. Obtenida el 15 de Enero del 2011 de http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf
ItSMF - The IT Service Management Forum. (2007). The IT Infrastructure Library An Introductory Overview of ITIL V3. (Version 1.0). EEUU.
Obtenida el 18 de Enero del 2011 de http://www.best-management-practice.com/gempdf/itSMF_An_Introductory_Overview_of_ITIL_V3.pdf
Ramrez, P., Donoso, F. (2006). Metodologa ITIL. Chile. Universidad
http://www.cybertesis.cl/tesis/uchile/2006/donoso_f/sources/donoso_f.pdf
de Chile. Obtenida
el
22
de Enero
del
2011 de
Cruz, C. (2009). Desarrollo de un Plan que Permita la Implantacin de un Centro de Servicio al Usuario para la Empresa Pinto S.A., Basado en
el Marco de Referencia ITIL V3.0. Ecuador. Escuela Politcnica Nacional. Obtenida el 10 de Enero del 2011 de
http://bibdigital.epn.edu.ec/bitstream/15000/1169/1/CD-2010.pdf
Ecuador. Ministerio de Relaciones Exteriores Comercio e Integracin. (n.d.). Normas de Control Interno para el Sector Pblico. Obtenida el 5 de
Enero del 2001 http://www.mmrree.gob.ec/ministerio/legal/normas_control_int.pdf
Mxico. Universidad Autnoma de Yucatn - UADY. (2008). Informe COSO - Los Nuevos Conceptos de Control Interno. Obtenida el 5 de Enero
del 2011 de http://www.auditoria.uady.mx/arts/INFORME%20COSO%20%28RESUMEN%29.pdf
COSO-Committee of Sponsoring Organizations of the Treadway Commission. (2004). Gestin de Riesgos Corporativos - Marco IntegradoTcnicas
de
Aplicacin.
EEUU.
Obtenida
el
20
de
Enero
del
2011
de
http://212.9.83.4/auditoria/home.nsf/Todos/03C8949A3EA3E654C12571AC00827A40/$FILE/COSO+ERM.pdf
NASAudit. (2009). COSO II: Enterprise Risk Management. Colombia. Obtenida el 25 de Enero
http://actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-COSO_II_Enterprise_Risk_Management_Primera_Parte.pdf
del
2011
de:
ISO/IEC. (2005). Estndar Internacional ISO/IEC 27001 - Tecnologa de la Informacin. Tcnicas de seguridad Sistemas de Gestin de
Seguridad de la Informacin Requerimientos. Primera Edicin.
Obtenida el 28 de Enero del 2011 de
http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
86
Universidad de Cuenca
Lpez A., Ruiz J. (n.d.a). ISO 27000. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/iso27000.html
Lpez A., Ruiz J. (n.d.b). La Serie 27000. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/iso27000.html#section3b
Lpez A., Ruiz J. (n.d.c). Para qu sirve un SGSI?. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/sgsi.html#section2b
Lpez A., Ruiz J. (n.d.d). Cmo se implementa un SGSI?. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/sgsi.html#section2d
Lpez A., Ruiz J. (n.d.e). Cmo adaptarse?. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/iso27000.html#section3e
Lpez A., Ruiz J. (n.d.f). Controles ISO 27002. El portal de ISO 27001 en Espaol. Espaa. Obtenida el 25 de Enero del 2011 de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO/IEC. (2005). International Standard ISO/IEC 27002 Information Technology Security Techniques Code of Practice for Information
Security Management. FirstEdition. Obtenida el 28 de Enero del 2011 de http://www.scribd.com/doc/48883668/Norma-ISO-27002
Corletti, A. (2009). ISO 27001 e ISO 27004. Obtenida el 29 de Enero del 2011 de http://www.slideshare.net/dcordova923/iso-27001-e-iso-27004
ISO/IEC. (2009). International Standard ISO/IEC 27004 Information Technology Security Techniques Information Security Management
Measurement. FirstEdition. Obtenida el 28 de Enero del 2011 de http://webstore.iec.ch/preview/info_isoiec27004%7Bed1.0%7Den.pdf
Lpez, G., Flores, J. (2009). Estandarizacin de las Herramientas de Gestin en las Telecomunicaciones. Ecuador: Escuela Superior Politcnica del Litoral. Obtenida el 29 de Enero del 2011 de http://www.dspace.espol.edu.ec/bitstream/123456789/10342/1/D-42118.pdf
Maxitana, J. (2005). Administracin de Riesgos de Tecnologa de Informacin de una Empresa del Sector Informtico. Ecuador: Escuela
Superior Politcnica del Litoral. Obtenida el 10 de Febrero del 2011 de
http://www.dspace.espol.edu.ec/bitstream/123456789/3958/1/6484.pdf
Consejo Superior de Informtica. (n.d.). MARGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. (Versin
1.0). Gua de procedimientos. Obtenida el 15 de Febrero del 2011
http://www.innovavirtual.org/campus/file.php/7/ASX03_00/archivos_curso/MAGERIT/2.%20MAGERIT%20v%201%200%20%20gUIA%20DE%20PROCEDIMIENTOS.pdf
Prez, A. (n.d.). ISO/IEC 20000 El Estndar para la Gestin de Servicios TI. Espaa. Obtenida el 21 de Febrero del 2011 de
http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/ISO%2020000%20%20El%20estandar%20para%20la%20gestion%20de%20servicios%20TI.pdf
Universidad Politcnica de Valencia - Laboratorio de Sistemas de Informacin.(n.d.). CapabilityMaturityModel (CMM). Espaa. Obtenida el 29
de Enero del 2011 de www.dsic.upv.es/asignaturas/facultad/lsi/trabajos/082000.doc
Chacn, W. (2004). Modelo de Capacidad de Madurez del Software y su Influencia en las Mejoras de Calidad del Software. Universidad San
Carlos de Guatemala. Guatemala. Obtenida el 25 de Febrero del 2011 dehttp://biblioteca.usac.edu.gt/tesis/08/08_5776.pdf
Perez, C. (2010a). El modelo CMMI para el cambio y mejora
http://www.suite101.net/content/modelo-cmmi-a18334#ixzz1Gs4T2DJK
Perez, C. (2010b). Evaluacin SCAMPI para el modelo
http://www.suite101.net/content/scampi-a21533#ixzz1GsCyhyD1
CMMI
organizacional.
del
SEI.
Obtenida
Obtenida
el
el
29 de Enero
29
de
Enero
del
del
2011 de
2011
de
ISECOM Institute for Security and Open Methodologies. (n.d.).ISM3 1.0.Information Security Management MaturityModel.EEUU. Obtenida el
29 de Enero del 2011 de http://hades.udg.edu/~xavier/downloads/White_Papers/ISM3.es.1.0.pdf
Ecuador. SUPERTEL. (2010). REGLAMENTO ORGNICO POR PROCESOS DE LA SUPERINTENDENCIA DE TELECOMUNICACIONES.
RESOLUCIN No. ST-2010-0572. Obtenida el 1 de Marzo del 2011 http://www.supertel.gob.ec/pdf/informacion_publica/resolucion-572.pdf
Ecuador. SUPERTEL (2011). Plan Operativo Anual 2011. Obtenida el 5 de Mayo del 2011de
http://www.supertel.gob.ec/pdf/informacion_publica/plan_operativo_2011.pdf
Ecuador. SUPERTEL (2011). Plan Tecnolgico 2011.
Ecuador. SUPERTEL (2012). Plan de Inversiones 2012.
Ecuador. SUPERTEL (2011). Proceso de Diseo de Servicios 2011.
87
Universidad de Cuenca
Figura A1.2Estndares de Hardware Servidor tipo Blade. (SUPERTEL - Plan Tecnolgico, 2012).
88
Universidad de Cuenca
89
Universidad de Cuenca
NOMBRE
TELEFONA BSICA
TELEFONIA IP
TELEFONA UNIFICADA
RECURSOS COMPARTIDOS
ON BASE USUARIO FINAL
ADMINISTRACIN DE EQUIPOS
BASES DE DATOS
ON BASE SERVIDOR
JOOMLA
SERVIDORES INTEL
SERVIDORES RISC
CONSOLAS
CABLEADO ESTRUCTURADO
HARDWARE DE USUARIO
VIRTUALIZACIN RISC
VIRTUALIZACIN INTEL
SQL SERVER
ORACLE
LOTUS DOMINO
MYSQL
OPTIMIZACIN DE TRFICO
INTERNET
COMUNICACIN REGIONAL
ROUTING
REDES Y COMUNICACIONES
SWITCHING
DNS
DHCP
NTP
RED INALMBRICA
DOBLE TAKE
CLUSTER DOMINO
CLUSTER ORACLE
ADM. CONTINGENCIA
MONITOREO
ALMACENAMIENTO
CENTRO DE COMPUTO
UNITY EXPRESS
CENTROS DE UPS
NAM
CISCOWORKS
MARS
LICENCIAMIENTO
STORAGE DS
STORAGE DR
BACKUPS
ANTIVIRUS
MAIL GATEWAY
SEGURIDAD
SEGURIDAD PERIMETRAL
SEGURIDAD DE SERVIDORES
NAC
HOSTING
ACCESIBILIDAD
SOPORTE
INTRANET
WEB EXTERNA
WEB TRANSPARENCIA
CITRIX
BUS EMPRESARIAL
CONTROL REMOTO
HELP DESK
BODEGA
CONTABILIDAD Y PRESUPUESTO
ERP
ACTIVOS FIJOS
DESCRIPCION
Sistema de telefona para comunicacin de voz
Aplicaciones de convergencia de telefona de voz con sistemas de mensajera
Administracin de recursos compartidos y almacenamiento de archivos en servidores institucionales
Software que permite el ingreso y bsqueda de los documentos electrnicos. Permite la digitalizacin y captura, es la
base fundamentas del sistema de Manejo de Contenido Empresarial (ECM).
Servidor para el ingreso de documentos electrnicos o digitalizados. Este servidor contiene fsicamente los archivos
electrnicos, a nivel de directorios. Adicionalmente tiene un servidor de Base de Datos Ms SQL, donde estn las claves
de bsqueda de cada tipo de documento
Administrador de contenidos web
Administracin de sistemas operativos y hardware de servidores con base Intel
Administracin de sistemas operativos y hardware de servidores con base RISC
Administracin de consolas de Blade Center y Pi series tanto de centro de cmputo principal como alterno
Administracin de infraestructura de cableado inteligente con ITRACS
Administracin de hardware que utiliza el usuario final para cumplir sus actividades
Administracin de plataforma de virtualizacin de servidores Risc (AIX Virtual Machine).
Administracin de plataforma de virtualizacin de servidores Intel (VMWARE).
Administracin de motor MS SQL Server
Administracin de motor ORACLE
Administracin de DOMINO Server
Administracin de motor MYSQL
Administracin de sondas WAAS de optimizacin de trfico sobra WAN
Administracin de acceso corporativo a Internet
Administrar la parte tcnica de los contratos para transmisin de datos con las Unidades Regionales. Se incluyen las
estaciones de comprobacin tcnica
Administracin de ruteo dinmico y esttico para trfico de voz y datos.
Administracin de tarjetera de voz contra PSTN
Administracin de switches de core, acceso, SAN, blade y otros
Administracin de servidores de Nombres de dominio y sincronizacin
Servidores de Asignacin Dinmica de direcciones IP en cada regional
Administracin de servidores de Tiempo y sincronizacin con medios externos
Administracin de red inalmbrica de todas las sedes de la institucin as como la sonda de monitoreo y control
Administrador de software de sincronizacin de servidores Windows de centros de cmputo principal y alterno
Administrar alta disponibilidad de servidores DOMINO
Administrar alta disponibilidad de servidores de base de datos ORACLE
Administrar la infraestructura instalada en los centros de cmputo tanto principal como alterno. Se incluye controles de
acceso, climatizacin, sistema contra incendiso, y dems
Contingencia de Call Manager
Administracin de energa regulada
Sonda de administracin de red
Servidor de consolidacin de logs de equipos de comunicacin
Sonda de correlacin de eventos
Control de licenciamiento, inventario y trmites de renovacin
Almacenamiento en lnea
Almacenamiento histrico
Administracin de los sistemas de respaldo de la informacin contenida en servidores institucionales
Administracin de servicios de antivirus
Administracin de sonda de filtrado de correos entrantes y salientes para anlisis de virus en su contenido
Administracin de seguridad perimetral. Incluyen los accesos corporativos a internet y el anlisis de contenidos del
trfico desde y hacia Internet
Administracin de firewall, seguridad en segmento de servidores institucionales, polticas de active directory, polticas de
acceso, cuantas usuario y dems relacionadas
Control de acceso para usuarios de servicios VPN
Administracin de recursos para el sitio web de la Intranet institucional
Administracin de recursos para el sitio web Institucional
Administracin de recursos para el sitio web de la Funcin de transparencia
Servicio de consolidacin de aplicaciones informticas
Es una orquestacin de servicios que permiten interactuar de mejor forma y ms rpidamente a las componentes
tcnicas y de informacin con aquellas relacionadas a los procesos de negocio de las capas superiores o mas altas
como las de tipo presentacin o BPM. En la supertel se utilizar para permitir comunicar diversas aplicaciones en
diferentes plataformas.
Administracin de software que permite el control remoto de equipos dentro de la intranet
Administracin de servicio de soporte tcnico a los usuarios de los servicios disponibles
Control de inventario de bodega institucional. Permite realizar ingresos, egresos, visualizacin de kardex
Automatiza la gestin contable y presupuestaria, conjuntamente con la emisin de cheques y registro de depsitos, de
una manera integrada. As como los datos las Cuentas por Cobrar de la Cartera Activa de enero 1997 hasta la presente
fecha.
PLANES DE CUENTAS.- Permite mantener las cuentas de contabilidad y presupuesto, y crear nuevas de acuerdo al
Plan de Cuentas aprobado por el Ministerio de Finanzas.
COMPROBANTES.- Emitir comprobantes de ingreso, egreso, y diario.
CONCILIACION BANCARIA.- Consolidar mensualmente las cuentas bancarias del Banco Central y Banca Privada.
REPORTES.- Reportes varios para la gestin y verificacin Contable Presupuestaria. Gestin de Cartera Activa 2001
hasta la presente fecha.
COMPROMISOS.- Permite realizar el compromiso de los valores autorizados para la gestin financiera.
CONTRATOS.- Controla la ejecucin financiera de los contratos de la Institucin.
UTILITARIOS.- Permite el mantenimiento de varios parmetros, y permite la validacin de posibles errores de ingresos
en los datos.
RETENCIONES EN LA FUENTE.- Controla las retenciones de impuestos al SRI.
El Sistema de Control de Activos Fijos realiza el control de todos los activos fijos de la Superintendencia de Telecomunicaciones. Mediante este Sistema se permite llevar un mejor y eficiente manejo de la informacin de los bienes adquiridos por la Institucin y de los movimientos de los mismos, as como permite emitir actas y reportes tiles para la unidad
de Inventarios.
El Sistema tiene las siguientes opciones:
INGRESO DE NUEVO BIEN.- Se ingresan los datos de un nuevo bien a ser inventariado.
CONSULTA.- Permite la consulta de los bienes inventariados.
VERIFICACION DE INVENTARIO.- Realiza la verificacin del inventario por rea o por encargado con el lector de
cdigo de barras.
IMPRESIN DE COMPROBANTE.- Realiza la impresin del comprobante de registro del bien.
REPORTES.- Proporciona varios reportes necesarios para la gestin de inventarios.
90
Universidad de Cuenca
REQUISICIONES
PLANILLAJE
ROL DE PAGOS
VIATICOS
CARTERA PASIVA
VIDEO-CONFERENCIA
SAMETIME
COLABORACIN
CORREO ELECTRNICO
CONTROL DOCUMENTAL
FIEL MAGISTER
LEGALTEL
PATROCINIO JUDICIAL
LEGALES
INFRACCIONES Y SANCIONES
91
Universidad de Cuenca
COMPERS
TALENTO HUMANO
EVOLUTION
REGISTRO DE ASPIRANTES
ONLY CONTROL
HOMOLOGACIONES
COMPLETACION DE LLAMADAS
TEL. FIJA
TELEFONOS ROBADOS
TECNICOS DE CONTROL
INSPECCIONES
SIETEL 1
SIRA-TV
GEOREFERENCIACIN
INDICADORES
ICS
GLADIATOR
1. Seguridades y Administracin
2. Estructura Organizacional
3. Administracin por Competencias
4. Inventario de RRHH
5. Reclutamiento y Seleccin
6. Evalacin y Desempeo
7. Capacitacin/Desarrollo
8. Bienestar Social
9. Valoracin
10. Clima Laboral
1.Mdulo de Seguridad de usuarios
2.Mdulo de Vacaciones Marcaciones Permisos Reportes
3.Consulta de Vacaciones
Aplicacin web para registro de aspirantes a cargos dentro de la SUPERTEL
Mantenimiento de: Huellas digitales Usuarios Configuracin de equipos
Reportes
1. Mantenimiento de: Personas solicitantes, Solicitudes, Equipos, Certificados, Orden de Pago,Reportes
2. Interface con la BDD ONBASE
3. Consultas de Homologaciones de equipos
4. Administracin de Usuarios
1. Mantenimiento a los formularios (5 fases) de:
STM1: (LLAMADAS ESTABLECIDAS ON-NET).
STM7: (TASA DE MENSAJES CORTOS RECIBIDOS POR EL DESTINATARIO FINAL TIEMPO PROMEDIO DE
RECEPCIN DE SMS).
STM9: (PORCENTAJE DE COBERTURA EN ZONAS URBANAS Y RURALES).
STM10: (SITIOS CON LLAMADAS CADAS).
STM11: (PORCENTAJE DE COBERTURA EN CARRETERAS).
STM 12: (CALIDAD DE CONVERSACIN).
2. Reportes
3. Administracin de sistema
1. Implementacin de Plantillas de carga por regional: Alcatel EricsonHuawei Siemens Neax EE Neax Sigma
2. Subida de informacin Individual Por grupo
3. Comparativos Informacin CNT Informacin Supertel
4. Utilitarios: archivos
5. Reportes varios
6. Administracin de Usuarios
Sistema de consolidacin de registros de telfonos robados en las operadoras locales y operadoras de Colombia y Per.
Aplicacin que permite realizar el seguimiento de una inspeccin de forma automtica mediante una orden de trabajo y
la emisin de los respectivos informes de inspeccin de los servicios tcnicos de la institucin.
Bondades:
Integracin con el directorio institucional, lo que permite un gil movimiento de subrogaciones, automtico despliegue de
cargos, entre otros.
Interaccin con aplicacin de viticos.
Registro de informes, inspecciones, guas de remisin, viticos bajo un solo paquete de Plan de Comisin.
Registro de aprobacin de imprevistos y planificados.
Reportes consolidados de inspecciones finalizadas.
Establecer como nico punto de recepcin y cierre de requerimientos internos al CIR.
Clasificacin de todos los incidentes e inicial soporte
Investigacin y diagnosis oportuna.
Resolucin y recuperacin de incidentes a tiempo, reducir el impacto en el negocio e incrementar efectividad
Identificacin proactiva de enmiendas/mejoras
Negocio enfocado a la administracin de informacin
Solucin que permite el registro y seguimiento de los concesionarios de servicios de Radiodifusin y TV
Solucin para la ubicacin geogrfica de concesionarios de servicios de Radiodifusin y TV
Servicio que genera informacin de tipo gerencial basada en indicadores de gestin
Solucin comercial para la generacin de estudios de ingenieria de propagacin
Solucin comercial para postprocesamiento de mediciones de telefona
SAMM
SACER
ESCALAMIENTO
MEDIOS DE DIFUSION
NOTICIERO DIGITAL
KIOSKOS
INTERNET INFORMATION
SERVER
MOTORES DE APLICACIN
APACHE
ORACLE AP. SERVER
DOMINO WEB ACCESS
LOTUS MOBILE
TELEFONA CELULAR
MOVILIDAD
ACCESO REMOTO
HERRAMIENTAS DE DESARROLLO DE SOFTWARE
RATIONALCOMPOSER
JAZZ TEAM SERVER
Aplicacin que implementa el mecanismo que ayuda a la resolucin dentro de los tiempos especificados de un escalamiento. Puede llevarse durante cualquier actividad en el proceso de resolucin.
ESCALAMIENTO FUNCIONAL (Competencia) (Contingencia al Call Center) De primer nivel a segundo y ms all.
Asignacin basado en la experiencia.
ESCALAMIENTO JERARQUICO (Autoridad). Se escala el requerimiento a grupos o personas con mayor poder de
decisin en la organizacin.
Bondades:
Deteccin y registro de requerimientos que ya han sido escalados internamente a la institucin. Establecer como nico
punto de recepcin y cierre de requerimientos internos al CIR. Clasificacin de todos los incidentes e inicial soporte
Investigacin y diagnosis oportunaResolucin y recuperacin de incidentes a tiempo, reducir el impacto en el negocio e
incrementar efectividad Identificacin proactiva de enmiendas/mejoras. Negocio enfocado a la administracin de informacin Cierre del requerimiento interno
Informativo interno de las actividades que llevan a cabo cada uno de los rganos administrativos
Servicio de recoleccin de reclamos y sugerencias que utiliza equipos porttiles ubicados en puntos estratgicos de
algunas ciudades del pas
Internet InformationServices o IIS es un servidor web y un conjunto de servicios para el sistema operativo Microsoft
Windows, integrado en otros sistemas operativos de Microsoft destinados a ofrecer servicios. Sirve para correr aplicaciones desarrolladas con visual Studio.
Administracin de servidores web utilizados sobre mltiples plataformas con soporte para java y PHP
Servidor de aplicaciones para Oracle
Servidor HTTP para plataforma DOMINO
Servicio de correo electrnico sobre telfonos celulares
Convergencia de servicios de telefona fija y celular. Incorporacin de telfonos celulares a la infraestructura de telefona
IP de la Supertel.
Acceso remoto a servicios institucionales desde Internet utilizando tnel encriptado con IPSEC. Requiere de un software
cliente, servidor VPN o firewall configurado para el efecto y aplicacin NAC para autenticacin de los usuarios que
cuentan con el permiso en el active directory
Herramienta para administracin de requerimientos de software durante el ciclo de desarrollo de software
Plataforma que permite la integracin de herramientas de IBM Rational
92
Universidad de Cuenca
METAS DE LA INSTITUCION
1
Perspectiva
Financiera
2
3
4
5
6
Perspectiva del
Cliente
10
11
Perspectiva
Interna
12
13
14
15
Perspectiva de
Aprendizaje y
Crecimiento
16
17
E
F
E
C
T
I
V
I
D
A
D
METAS DE TI
24
2
8
1
4
1
8
2
3
2
4
10
1
6
2
2
2
5
1
0
2
4
1
2
2
0
1
1
1
3
1
5
2
4
1
9
2
0
2
1
2
2
1
3
1
1
1
1
1
3
2
5
2
8
E
F
I
C
I
E
N
C
I
A
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
C
U
M
P
L
I
M
I
E
N
T
O
C
O
N
F
I
A
B
I
L
I
D
A
D
x
1
7
1
8
1
9
2
0
2
1
2
2
x
x
x
2
3
x
x
x
x
x
2
6
x
x
2
8
x
x
2
6
2
7
93
Universidad de Cuenca
METAS DE TI
PROCESOS DE TI - COBIT
P
1
Crear agilidad de TI
10
11
Asegurar la integracin sin fisuras de las aplicaciones dentro de los procesos de la institucin
12
13
14
P D
O S
9 5
D
S
9
15
P A
O I
8 4
D
P
S
O
1
2
1
P P
O O
2 4
A A
I I
1 2
P A
O I
3 2
A A
I I
3 5
P A
O I
7 5
D
S
2
P A
O I
2 4
P P
O O
5 6
P A
O I
6 4
D
S
1
D
S
2
A
I
A
I
6
A
I
7
M
E P
1
C
U
M
P
L
I
M
I
E
N
T
O
D
S
2
D
S
7
D
S
1
2
D
D
S
1
D
S
3
M
E
2
1
M
E
4
D
S
7
D
S
8
D
S
1
0
P A
O I
7 3
A
I
6
A
I
5
A
I
7
D
S
1
A
I
7
E
F
I
C
I
E
N
C
I
A
D
I
I S
N P
T O
E N
G I
R B
I I
D L
A I
D D
A
D
C
O
N
F
I
A
B
I
L
I
D
A
D
P
O
O O O
1
1
2 4
0
P
P P
M
O
O O
E
1
1 4
1
0
E
F
E
C
T
I
V
I
D
A
D
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
D
S
6
D
S
8
M M
E E
1 4
D
S
1
3
94
Universidad de Cuenca
de TI
16
17
18
19
O I
3 3
S
3
S
7
P A
O I
8 4
A
I
6
A
I
7
D
P
S
O
1
9
0
P
O
9
M
E
2
Asegurar que las tareas de la institucin sean automatizadas y los cambios a la informacin sean
confiables
Asegurar que los servicios de TI y la infraestructura
pueden resistir apropiadamente y recuperarse de
fallos debidos a errores, ataques deliberados o
desastres.
P A
O I
6 7
D
S
1
1
D
S
5
P A
O I
6 7
D
S
4
22
Asegurar el mnimo impacto a las tareas de la institucin, en caso de una interrupcin de servicios de
TI o cambios
P A
O I
6 6
D
S
4
23
D
S
3
D
S
8
24
25
26
27
28
20
21
P D
O S
6 5
D
S
4
P D
O S
5 6
P
P
O
O
1
8
0
A D
I S
6 5
D
M
S
E
1
2
1
P D
O S
5 6
S
9
D
S
1
0
D
S
1
2
D
S
5
D
S
1
2
D
S
1
3
D
S
1
2
D
S
1
3
M
E
2
M M
E E
3 4
M M
E E
1 4
Tabla A3.2Plano de Enlace de las Metas TI, Procesos COBIT y Criterios de Informacin.
95
PROCESOS DE TI COBIT
PO1
PO2
Definicin de la arquitectura de la
informacin
X
PO3
Determinacin
tecnolgica.
PO4
PO5
PO6
de
la
X
X
direccin
10
11
12
13
17
18
21
22
23
24
X
X
25
27
28
26
20
19
16
14 15
PLANEAR Y ORGANIZAR
4
Crear agilidad de TI
Universidad de Cuenca
Auditora Informtica - SUPERTEL
X
X
X
X
X
96
Universidad de Cuenca
PO7
Administracin
humanos de TI.
PO8
Administracin de la calidad de TI
PO9
PO1
0
de
los
recursos
X
X
X
X
ADQUIRIR E IMPLEMENTAR
AI1
AI2
Adquisicin y mantenimiento
software aplicativo.
AI3
Adquisicin y mantenimiento de la
infraestructura tecnolgica.
AI4
AI5
AI6
Administracin de cambios en TI
AI7
del
X
X
X
X
DS2
DS3
Administracin del
capacidad de TI
DS4
DS5
DS6
DS7
Educacin
usuarios.
DS8
desempeo
entrenamiento
los
X
X
X
X
X
X
X
X
97
Universidad de Cuenca
DS9
Administracin de la configuracin de
TI.
DS10
DS11
DS12
DS13
X
X
X
X
X
X
X
X
X
X
X
MONITOREAR Y EVALUAR
ME1
ME2
Monitoreo
interno.
ME3
Garantas
regulatorio.
ME4
evaluacin
en
el
el
control
X
X
cumplimiento
X
X
Tabla A3.3Plano de Enlace Procesos de COBIT a Metas de TI. (COBIT 4.1, 2007)
98
Universidad de Cuenca
PROCESOS DE TI COBIT
A
L
I
N
E
A
C
I
N
E
S
T
R
A
T
G
I
C
A
G
E
S
T
I
E
N
T
R
E
G D
A E
D
E
V
A
L
O
R
G
E
S
T
I
M
E
D
I
C
I
D
D
E
E
L
L
O
R
S
D
E
E
C
R
S
U
I
E
R
E
M
S
S
P
O
G
E
S
O
S
O
CRITERIOS DE
INFORMACION DE
COBIT
E
F
E
C
T
I
V
I
D
A
D
E
F
I
C
I
E
N
C
I
A
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
C
U
M
P
L
I
M
I
E
N
T
O
C
O
N
F
I
A
B
I
L
I
D
A
D
PLANEAR Y ORGANIZAR
PO1
S S
P S
PO2
P S P S
S P S P
PO3
S S P S
P P
PO4
P P
PO5
S P S
PO6
PO7
P S S
P P
PO8
Administracin de la calidad de TI
P S
P P
PO9
S S P P P S S
PO10
P S S S S
P P
P P
S
P P
ADQUIRIR E IMPLEMENTAR
AI1
P P S S
P S
AI2
P P
P P
AI3
S P
S S
AI4
S P S S
P P
S S S S
AI5
S P
S P
AI6
Administracin de cambios en TI
P S
P P
P P
AI7
P S
S S
S
P
T
S
S
S
DS2
P P P
P P S S S S S
P S P S
P P S S S S S
99
Universidad de Cuenca
DS3
S S P S S
P P
DS4
S P S P S
P S
DS5
DS6
S P
DS7
S P S S
DS8
DS9
DS10
T P P S S S
S
P S
P P
P P S
P S
P P
DS11
P P P
T T
DS12
S P
T T
P P
DS13
P P
S S
S S
MONITOREAR Y EVALUAR
ME1
S S S S P
ME2
ME3
ME4
P P P P P
P P S S S S S
P P S S S S S
P P
P S
P P S S S S S
Unidad de
TI
Dentro de
la
Institucin
Externo
No se
sabe con
certeza
PLANEAR Y ORGANIZAR
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
Administracin de la calidad de TI
PO9
PO10
ADQUIRIR E IMPLEMENTAR
AI1
AI2
AI3
Adquisicin
tecnolgica.
AI4
AI5
AI6
Administracin de cambios en TI
AI7
mantenimiento
de
la
infraestructura
100
Universidad de Cuenca
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
MONITOREAR Y EVALUAR
ME1
ME2
ME3
ME4
Grado de
Madurez
PLANEAR Y ORGANIZAR
Nivel de
Madurez
3*
PO1
66,67%
PO2
77,78%
PO3
80,00%
PO4
87,50%
PO5
83,33%
PO6
50,00%
PO7
60,00%
PO8
Administracin de la calidad de TI
60,00%
PO9
66,67%
PO10
77,78%
ADQUIRIR E IMPLEMENTAR
3*
AI1
100,00%
AI2
80,00%
AI3
100,00%
AI4
50,00%
AI5
100,00%
AI6
Administracin de cambios en TI
55,56%
AI7
62,50%
101
Universidad de Cuenca
4*
DS1
50,00%
DS2
100,00%
DS3
71,43%
DS4
75,00%
DS5
83,33%
DS6
71,43%
DS7
71.43%
DS8
57,14%
DS9
60,00%
DS10
57,14%
DS11
75,00%
DS12
75,00%
DS13
60,00%
MONITOREAR Y EVALUAR
3*
ME1
87,50%
ME2
57,14%
ME3
57,14%
45,45%
ME4
Proporciona gobierno de TI.
*Los valores son obtenidos de la moda de los procesos correspondientes
C
U
M
P
N L
O E
PROCESOS DE TI - COBIT
C
U
M
P
L
E
L
E
V
E
M
E
N
T
E
C
U
M
P
L
E
P
A
R
C
IA
L
M
E
N
T
E
C
U
M
P
L
E
M
A
Y
O
R
IT
A
R
IA
M
E
N
T
E
C
U
M
C
P
U
L
M
E
L
E
C
A
T
SI
O
T
T
A
O
L
T
M
A
E
L
N
M
T
E
E
N
T
E
58,59%
PLANEAR Y ORGANIZAR
PO1
PO2
62,96%
39,17%
102
Universidad de Cuenca
PO4
48,00%
44,81%
PO7
PO8
PO9
PO5
PO6
PO10
75,00%
75,19%
60,00%
48,89%
56,67%
58,03%
ADQUIRIR E IMPLEMENTAR
AI1
AI2
48,33%
50,83%
AI3
AI4
AI5
75,19%
61,85%
69,26%
69,63%
103
Universidad de Cuenca
AI6
AI7
42,96%
63,33%
63,32%
DS1
DS2
DS3
DS4
67,78%
61,11%
67,33%
75,83%
DS6
DS7
DS5
DS8
DS9
50,67%
54,17%
67,78%
67,33%
71,48%
104
Universidad de Cuenca
DS10
DS11
DS12
DS13
54,07%
45,19%
74,67%
65,71%
65,49%
MONITOREAR Y EVALUAR
ME1
ME2
ME3
ME4
57,50%
64,44%
69,26%
70,74%
PROCESOS DE TI -COBIT
C
U
M
N P
O L
E
C
U L
M E
P V
L E
E M
E
N
T
C
U
M
P
L
E
C
U
M
P
L
E
C
U
M
P
L
E
C
U
M
P
L
E
P
A
R
C
IA
L
M
E
M
A
Y
O
R
I
T
A
C T
A O
SI T
A
T L
O M
T E
A N
105
Universidad de Cuenca
E N R L T
T I M E
E A E
M N
E T
N E
T
E
PLANEAR Y ORGANIZAR
PO1
PO2
75,46%
Plan Estratgico de TI
80,00%
80,00%
80,00%
80,00%
Arquitectura de la Informacin
80,00%
80,00%
60,00%
PO4
PO5
PO6
PO7
100,00
%
Direccin Tecnolgica
80,00%
80,00%
80,00%
86,67%
100,00
%
80,00%
80,00%
Inversin en TI
80,00%
80,00%
66,67%
80,00%
60,00%
60,00%
Recursos Humanos de TI
Se realiza una revisin peridica del desempeo del personal de TI.
Existe apoyo a los planes tcticos de TI mediante contratacin y
entrenamiento del personal de TI.
66,67%
60,00%
X
X
80,00%
106
Universidad de Cuenca
Calidad de TI
Los funcionarios se encuentran satisfechos con la calidad de
servicios de TI
PO9
PO10
60,00%
70,00%
X
X
60,00%
80,00%
Administracin de riesgos de TI
66,67%
60,00%
60,00%
80,00%
Proyectos de TI
80,00%
80,00%
80,00%
80,00%
ADQUIRIR E IMPLEMENTAR
AI1
AI2
Soluciones automatizadas
60,00%
60,00%
60,00%
Software aplicativo
70,00%
80,00%
AI4
AI5
71,20%
60,00%
Infraestructura tecnolgica
90,00%
100,00
%
80,00%
66,67%
80,00%
60,00%
60,00%
Recursos de TI
Los contratos de adquisicin de recursos de TI se desempean sin
controversias.
X
X
66,67%
60,00%
107
Universidad de Cuenca
AI6
80,00%
Administracin de cambios en TI
73,33%
60,00%
Soluciones y cambios en TI
73,33%
80,00%
60,00%
DS2
DS3
DS5
Niveles de Servicio
66,67%
60,00%
60,00%
80,00%
Servicios de Terceros
66,67%
80,00%
60,00%
60,00%
Desempeo y Capacidad de TI
70,00%
80,00%
60,00%
70,00%
80,00%
60,00%
60,00%
80,00%
64,03%
80,00%
60,00%
DS1
80,00%
80,00%
40,00%
Asignacin de Costos de TI
73,33%
80,00%
108
Universidad de Cuenca
DS7
60,00%
46,67%
60,00%
60,00%
20,00%
Mesa de Servicios de TI
Lo usuarios estn satisfechos con el soporte de primera lnea.
DS9
40,00%
60,00%
60,00%
Configuraciones de TI
73,33%
80,00%
DS11
60,00%
60,00%
60,00%
60,00%
40,00%
60,00%
80,00%
Ambiente Fsico
66,67%
80,00%
80,00%
40,00%
Operaciones de TI
66,67%
60,00%
60,00%
MONITOREAR Y EVALUAR
ME1
80,00%
DS13
60,00%
DS12
53,33%
DS10
80,00%
80,00%
60,00%
60,00%
109
Universidad de Cuenca
ME2
60,00%
60,00%
60,00%
50,00%
60,00%
40,00%
Cumplimiento regulatorio.
El costo del no cumplimiento de TI, incluyendo arreglos y multas es
nulo.
80,00%
60,00%
60,00%
Gobierno de TI
40,00%
70,00%
100,00
%
40,00%
Tabla A3.8Matriz de Evaluacin de Procesos bajo Mtricas COBIT. (COBIT 4.1, 2007)
N
O
PROCESOS DE TI -COBIT
C
U
M
P
L
E
C
U
M
C
P
C U
L
U M
E
M P
P L
M
L E
A
E
Y
P
O
L A
R
E R
I
V C
T
E IA
A
M L
R
E M
I
N E
A
T N
M
E T
E
E
N
T
E
C
U
M
P
L
E
C
U
M
P
L
C E
A
SI T
O
T T
O A
T L
A M
L E
M N
E T
N E
T
E
PLANEAR Y ORGANIZAR
PO1
77,09%
Plan estratgico de TI
76,67%
80,00%
110
Universidad de Cuenca
PO2
60,00%
X
Arquitectura de la informacin
75,00%
60,00%
76,00%
80,00%
X
100,00%
60,00%
80,00%
60,00%
80,00%
80,00%
PO4
80,00%
80,00%
80,00%
80,00%
Direccin tecnolgica
80,00%
74,67%
80,00%
80,00%
111
Universidad de Cuenca
80,00%
80,00%
X
60,00%
60,00%
X
60,00%
x
80,00%
X
60,00%
X
80,00%
60,00%
Inversin en TI
80,00%
80,00%
PO5
80,00%
100,00%
76,00%
80,00%
80,00%
x
60,00%
X
80,00%
112
Universidad de Cuenca
PO6
80,00%
76,00%
PO7
60,00%
60,00%
X
80,00%
Recursos humanos de TI
100,00%
80,00%
80,00%
100,00%
100,00%
x
Calidad
100,00%
80,00%
87,50%
80,00%
80,00%
80,00%
X
83,33%
80,00%
113
Universidad de Cuenca
responsabilidades.
Estndares y Prcticas de Calidad. Se utilizan las mejores prcticas
existentes como una referencia para la mejora y adaptacin de
prcticas de calidad de la institucin.
PO9
100,00%
Administracin de riesgos de TI
Marco de Trabajo de Administracin de Riesgos. La administracin
de riesgos est alineada con el nivel de tolerancia al riesgo de la
institucin.
80,00%
60,00%
40,00%
Identificacin
de
Eventos.
Se
identifican amenazas
y
vulnerabilidades con un impacto potencial sobre los objetivos
institucionales y de TI.
60,00%
60,00%
60,00%
60,00%
X
PO10 Proyectos de TI
80,00%
X
85,71%
80,00%
80,00%
80,00%
80,00%
100,00%
80,00%
80,00%
80,00%
114
Universidad de Cuenca
Recursos del Proyecto. Se define para los miembros del equipo del
proyecto las responsabilidades, relaciones, autoridades y criterios de
desempeo.
80,00%
80,00%
80,00%
80,00%
X
100,00%
80,00%
ADQUIRIR E IMPLEMENTAR
77,94%
Soluciones automatizadas
Software aplicativo
Diseo de Alto Nivel. Se traducen los requerimientos de la institucin
a una especificacin de diseo de alto nivel para desarrollo de
software, que tome en cuenta las directivas tecnolgicas, la
arquitectura de la informacin dentro de la organizacin y la
aprobacin de las especificaciones.
80,00%
80,00%
X
60,00%
X
80,00%
100,00%
80,00%
AI1
100,00%
100,00%
78,00%
100,00%
115
Universidad de Cuenca
X
X
60,00%
80,00%
80,00%
80,00%
100,00%
AI3
AI4
60,00%
X
75,00%
80,00%
60,00%
80,00%
60,00%
Infraestructura tecnolgica
80,00%
80,00%
80,00%
80,00%
80,00%
116
Universidad de Cuenca
infraestructura.
AI5
AI6
80,00%
80,00%
Recursos de TI
Administracin de cambios en TI
Estndares
y
Procedimientos
para
Cambios.
Existen
procedimientos de administracin de cambios formales, para manejar
de manera estndar todas las solicitudes; incluyen cambios a
aplicaciones, procedimientos, procesos, servicios, y plataformas.
80,00%
72,00%
60,00%
80,00%
80,00%
60,00%
Soluciones y cambios en TI
80,00%
100,00%
80,00%
85,00%
80,00%
80,00%
75,56%
60,00%
X
80,00%
117
Universidad de Cuenca
criterios de xito.
Plan de Implantacin. Se establece un plan de implementacin que
define el diseo de versiones, construccin de paquetes,
procedimientos de implementacin / instalacin, manejo de incidentes,
controles
de
distribucin,
almacenamiento
del
software,
documentacin de cambios y medidas de respaldo y recuperacin.
80,00%
60,00%
60,00%
80,00%
80,00%
80,00%
80,56%
Niveles de servicio
100,00%
80,00%
100,00%
80,00%
80,00%
80,00%
80,00%
X
60,00%
118
Universidad de Cuenca
DS2
Servicios de terceros
60,00%
60,00%
80,00%
x
60,00%
x
80,00%
72,00%
80,00%
DS4
80,00%
100,00%
80,00%
Desempeo y la Capacidad de TI
80,00%
78,00%
80,00%
80,00%
80,00%
60,00%
x
80,00%
119
Universidad de Cuenca
80,00%
80,00%
DS5
60,00%
76,00%
80,00%
X
80,00%
100,00%
80,00%
60,00%
60,00%
100,00%
80,00%
80,00%
80,00%
X
60,00%
120
Universidad de Cuenca
DS7
DS8
80,00%
Asignacin de costos de TI
x
X
Mesa de servicios de TI
100,00%
80,00%
80,00%
76,00%
100,00%
X
60,00%
60,00%
Configuraciones de TI
86,67%
un
los
las
los
100,00%
80,00%
100,00%
80,00%
DS9
90,00%
80,00%
80,00%
80,00%
80,00%
121
Universidad de Cuenca
80,00%
80,00%
80,00%
60,00%
60,00%
86,67%
100,00%
80,00%
80,00%
X
100,00%
80,00%
80,00%
70,00%
80,00%
92,00%
80,00%
122
Universidad de Cuenca
100,00%
80,00%
100,00%
DS13 Operaciones de TI
80,00%
80,00%
80,00%
80,00%
80,00%
80,00%
MONITOREAR Y EVALUAR
ME1
100,00%
76,69%
100,00%
83,33%
80,00%
80,00%
X
60,00%
X
100,00%
123
Universidad de Cuenca
ME2
80,00%
65,71%
60,00%
80,00%
ME3
ME4
60,00%
x
40,00%
x
60,00%
80,00%
Cumplimiento regulatorio
72,00%
80,00%
60,00%
X
Gobierno de TI
80,00%
60,00%
80,00%
80,00%
85,71%
X
100,00%
124
Universidad de Cuenca
100,00%
100,00%
80,00%
X
60,00%
X
80,00%
80,00%
125
Universidad de Cuenca
CONF I AB I L IDAD
CUMPLIMIENTO
DISPONIBILIDAD
INTEGRIDAD
CONFIDENCIALIDAD
PROCESOS DE TI - COBIT
EFICIENCIA
EFECTIVIDAD
CRITERIOS DE INFORMACIN
DE COBIT
RECURSOS
DE TI
P
E
R
S
O
N
A
S
I
N
F
O
R
M
A
C
I
O
N
A
P
LI
C
A
C
I
O
N
I
N
F
R
A
E
S
T
R
U
C
T
U
R
A
0,86
0,63
PO2
Definicin de la arquitectura de la
informacin
0,63
0,86
PO3
Determinacin
tecnolgica.
0,86
0,86
PO4
Definicin
de
los
procesos,
organizacin y relaciones de TI.
0,86
0,86
PO5
Administracin de la inversin en
TI.
0,86
0,86
PO6
0,86
PO7
Administracin de
humanos de TI.
0,86
0,86
PO8
Administracin de la calidad de TI
0,86
0,86
PO9
0,63
0,63
0,86
0,86
la
direccin
los
recursos
0,32
0,63
0,86
0,32
0,32
0,63
0,63
0,86
0,86
0,86
0,63
86,00%
43,00%
X
0,63
86,00%
86,00%
X
X
75,00%
75,00%
86,00%
0,63
86,00%
0,63
63,00%
86,00%
79,71%
0,86
0,63
AI2
0,86
0,86
0,63
AI3
Adquisicin y mantenimiento de la
infraestructura tecnolgica.
0,63
0,86
0,63
0,63
AI4
0,86
0,86
0,63
0,63
AI5
0,63
0,86
AI6
Administracin de cambios en TI
0,86
0,86
0,86
0,86
AI7
Instalacin y acreditacin
soluciones y cambios en TI
0,86
0,63
0,63
0,63
de
0,32
0,63
0,63
0,63
0,63
0,63
75,00%
86,00%
75,00%
86,00%
75,00%
86,00%
75,00%
77,44%
PO1
de
IMPACT
O
66,46%
0,86
0,86
0,63
0,63
0,63
0,63
0,63
86,00%
126
Universidad de Cuenca
DS2
0,86
0,86
DS3
0,86
0,86
0,63
DS4
0,86
0,63
0,86
DS5
0,32
DS6
Identificacin
costos de TI.
0,86
DS7
0,86
0,63
0,32
DS8
Administracin de la mesa de
servicios de TI y los incidentes.
0,86
0,86
0,32
DS9
Administracin de la configuracin
de TI.
0,86
0,63
0,63
0,86
0,86
0,63
0,32
0,32
0,86
0,32
0,32
0,86
0,86
0,86
0,86
0,63
0,63
asignacin
de
0,63
0,86
0,63
0,86
0,63
0,63
0,63
0,63
0,63
86,00%
86,00%
75,00%
0,63
16,00%
0,86
43,00%
0,63
X
0,86
75,00%
86,00%
75,00%
86,00%
32,00%
32,00%
86,00%
86,00%
Monitoreo
y
evaluacin
desempeo de TI.
ME2
ME3
ME4
del
0,86
0,86
0,63
0,63
0,63
0,63
0,63
86,00%
0,86
0,86
0,63
0,63
0,63
0,63
0,63
86,00%
Garantas en
regulatorio.
0,86
0,86
0,86
0,63
86,00%
el
cumplimiento
127
Universidad de Cuenca
P
O
C
O
I
M
P
O
R
T
A
N
T
E
PROCESOS DE TI COBIT
I
M
P
O
R
T
A
N
T
E
M
U
Y
IM
P
O
R
T
A
N
T
E
PLANEAR Y ORGANIZAR
FORMALIZAD
O / NORMADO
CONTROL
INTERNO
N
O
S
E
S
A
B
E
C
O
N
C
E
R
T
E
Z
A
N
O
S
E
S
A
B
E
C
O
N
C
E
R
T
E
Z
A
N
O
F
O
R
M
A
L
I
Z
A
D
O
F
O
R
M
A
LI
Z
A
D
O
N
O
A
P
LI
C
A
N
O
D
O
C
U
M
E
N
T
A
D
O
D
O
C
U
M
E
N
T
A
D
O
AUDITADO
N
O
A
U
DI
T
A
D
O
70,10%
PO1
100,00
x
%
PO2
100,00
x
%
PO3
100,00
%
PO4
67,00%
PO5
PO6
67,00%
PO7
67,00%
PO8
Administracin de la calidad de TI
PO9
X
X
33,00% x
67,00%
67,00% x
ADQUIRIR E IMPLEMENTAR
33,00% x
X
X
76,29%
AI1
100,00%
AI2
Adquisicin
aplicativo.
100,00%
AI3
Adquisicin
y
mantenimiento
infraestructura tecnolgica.
67,00%
AI4
33,00%
AI5
100,00%
AI6
Administracin de cambios en TI
67,00%
AI7
67,00%
mantenimiento
del
software
de
la
X
X
X
x
X
x
53,85%
DS1
DS2
DS3
A
U
D
IT
A
D
O
N
O
S
E
S
A
B
E
C
O
N
C
E
R
T
E
Z
A
X
X
67,00%
33,00%
33,00% x
128
Universidad de Cuenca
100,00
%
DS4
DS5
67,00% x
DS6
67,00%
DS7
DS8
DS9
X
X
ME1
ME2
ME3
ME4
X
X
67,00%
33,00%
67,00% x
MONITOREAR Y EVALUAR
33,00%
33,00%
67,00% x
33,00% x
X
X
66,75%
X
67,00% x
33,00% x
67,00%
x
x
100,00
x
%
x
x
X
X
129
Universidad de Cuenca
IMPACTO
OBJETIVO
SITUACION ACTUAL
Administracin del Valor de TI
80,00%
80,00%
60,00%
Plan Estratgico de TI
80,00%
Planes Tcticos de TI
80,00%
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
No se realiza una evaluacin adecuada del desempeo de los planes existentes y de los sistemas existentes en
trminos de su contribucin con la institucin.
Fomentar el compromiso con la direccin, para alinear la planeacin estratgica de TI con las necesidades
RECOMENDACIONES Y PLANES
institucionales actuales y futuras.
DE ACCIN
Aplicar un esquema de prioridades para los objetivos institucionales que cuantifique los requerimientos.
ESTADO DEL PROCESO
PO2
IMPACTO
OBJETIVO
Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma transparente
las aplicaciones dentro de los procesos institucionales.
SITUACION ACTUAL
Modelo de Arquitectura de Informacin Empresarial
80,00%
80,00%
80,00%
Administracin de Integridad
60,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
130
Universidad de Cuenca
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
El establecimiento de un modelo de datos que incluya un esquema de clasificacin de informacin que garantice la
integridad y consistencia de todos los datos.
FORTALEZAS
IMPACTO
OBJETIVO
SITUACION ACTUAL
Planeacin de la Direccin Tecnolgica
80,00%
100,00%
60,00%
Estndares Tecnolgicos
80,00%
Consejo de Arquitectura de TI
60,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
La definicin e implementacin de un plan de infraestructura tecnolgica, una arquitectura y estndares que tomen en
cuenta y aprovechen las oportunidades tecnolgicas.
FORTALEZAS
Se planea cual direccin tecnolgica es apropiada tomar para materializar la estrategia de TI, considerando la migracin
de datos y aspectos de contingencia.
No existen procesos bien definidos para monitorear las tendencias del sector, las tecnologas, la infraestructura y los
PUNTOS DEBILES Y AMENAZAS aspectos legales y regulatorios.
RECOMENDACIONES Y PLANES Establecer un foro para dirigir la arquitectura y verificar el cumplimiento.
DE ACCIN
Definir estndares de infraestructura tecnolgica basados en requerimientos de arquitectura de informacin.
ESTADO DEL PROCESO
PO4
IMPACTO
OBJETIVO
Agilizar la respuesta a las estrategias institucionales mientras se establecen puntos de contacto definidos y competentes.
SITUACION ACTUAL
Objetivos de Control
80,00%
Comit Estratgico de TI
80,00%
Comit Directivo de TI
80,00%
100,00%
Estructura Organizacional
80,00%
60,00%
80,00%
131
Universidad de Cuenca
60,00%
80,00%
Supervisin
80,00%
Segregacin de Funciones
80,00%
Personal de TI
60,00%
Personal Clave de TI
60,00%
80,00%
Relaciones
60,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
La descripcin de roles, puede resultar obsoleta y no estar alineada con las habilidades, experiencias y evaluacin del
PUNTOS DEBILES Y AMENAZAS desempeo.
El proceso de dotacin de personal no toma en cuenta la capacitacin funcional cruzada, y la rotacin de puestos.
RECOMENDACIONES Y PLANES Definir un marco de trabajo de procesos de TI, con roles y responsabilidades.
DE ACCIN
Establecer una estructura organizacional apropiada.
ESTADO DEL PROCESO
PO5
IMPACTO
Administrar la inversin en TI
Medio
OBJETIVO
Mejorar de forma continua y demostrable la rentabilidad de TI y su contribucin a la institucin con servicios integrados y
estandarizados que satisfagan las expectativas del usuario.
SITUACION ACTUAL
Objetivos de Control
80,00%
80,00%
Proceso Presupuestal
60,00%
Administracin de Costos de TI
80,00%
Administracin de Beneficios
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NO
Control Interno
Grado de Importancia
No Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Se prioriza la asignacin de recursos de TI para las operaciones, proyectos y mantenimiento, que maximice la
contribucin de TI a optimizar el retorno del portafolio institucional de programas de inversin en TI.
132
Universidad de Cuenca
En los procesos de administracin de presupuesto, pueden ser relegados costos recurrentes de operacin y
mantenimiento de la infraestructura actual.
IMPACTO
OBJETIVO
Una informacin precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades.
SITUACION ACTUAL
Objetivos de Control
80,00%
60,00%
60,00%
Implantacin de Polticas de TI
80,00%
Indicador de Madurez
100,00%
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
Proporcionar polticas, procedimientos, directrices y otra documentacin aprobada, de forma precisa y entendible y que
se encuentre dentro del marco de trabajo de control de TI a los interesados.
FORTALEZAS
Se comunica a toda la institucin la conciencia sobre la seguridad de TI, la calidad, las polticas y procedimientos.
No se ha determinado un enfoque institucional concreto hacia los riesgos y el control interno para entregar valor,
mientras se protegen los recursos y sistemas de TI.
RECOMENDACIONES Y PLANES
Definir un marco de trabajo de control y polticas para TI.
DE ACCIN
ESTADO DEL PROCESO
PO7
IMPACTO
OBJETIVO
100,00%
80,00%
Asignacin de Roles
80,00%
80,00%
80,00%
Objetivos de Control
100,00%
100,00%
Indicador de Madurez
80,00%
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
133
Universidad de Cuenca
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Grado de Importancia
Control Interno
Si
Responsable
Documentado
Unidad de TI
TENDENCIAS
La contratacin y entrenamiento del personal, la motivacin por medio de planes de carrera claros.
FORTALEZAS
Se asegura que el reclutamiento del personal de TI, est de acuerdo con las polticas y procedimientos generales de la
institucin.
PUNTOS DEBILES Y AMENAZAS Hay exposicin a dependencias crticas sobre individuos clave.
RECOMENDACIONES Y PLANES Entrenar al personal de TI para apoyar los planes tcticos de TI.
DE ACCIN
Mitigar el riesgo de sobre-dependencia de recursos clave.
ESTADO DEL PROCESO
PO8
IMPACTO
Administrar la calidad
Medio
OBJETIVO
80,00%
100,00%
80,00%
Enfoque en el Cliente de TI
80,00%
Mejora Continua
80,00%
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
Responsable
No Documentado
Unidad de TI
TENDENCIAS
La definicin de un sistema de administracin de calidad, el monitoreo continuo del desempeo contra los objetivos
predefinidos, y la implantacin de un programa de mejora continua de servicios de TI.
FORTALEZAS
Se utilizan las mejores prcticas existentes como una referencia para la mejora y adaptacin de prcticas de calidad de
la institucin.
La medicin, el monitoreo y el registro de la informacin no son utilizados por el dueo del proceso para tomar las
medidas correctivas y preventivas apropiadas.
IMPACTO
OBJETIVO
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas institucionales.
SITUACION ACTUAL
Marco de Trabajo de Administracin de Riesgos
40,00%
60,00%
Identificacin de Eventos
60,00%
Evaluacin de Riesgos de TI
60,00%
60,00%
Objetivos de Control
80,00%
134
Universidad de Cuenca
NIVEL 2
Grado de Desempeo Real
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE PARCIALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Responsable
Documentado
Unidad de TI
TENDENCIAS
La elaboracin de un marco de trabajo de administracin de riesgos, evaluacin de riesgos, mitigacin del riesgo y
comunicacin de riesgos residuales.
FORTALEZAS
Se asignan prioridades en base al costo beneficio, para implementar las respuestas a los riesgos identificadas como
necesarias.
PUNTOS DEBILES Y AMENAZAS La administracin de riesgos no est completamente alineada con el nivel de tolerancia al riesgo de la institucin.
Garantizar que la administracin de riesgos est incluida completamente en los procesos administrativos, tanto interna
RECOMENDACIONES Y PLANES
como externamente, y se aplica de forma consistente.
DE ACCIN
Realizar evaluaciones de riesgo y comunicar planes de accin para remediar riesgos.
ESTADO DEL PROCESO
PO10
IMPACTO
OBJETIVO
80,00%
100,00%
80,00%
80,00%
80,00%
100,00%
100,00%
Objetivos de Control
Recursos del Proyecto
80,00%
80,00%
80,00%
80,00%
80,00%
100,00%
Indicador de Madurez
80,00%
Grado de Madurez Real de la Institucin
NIVEL 4
Grado de Desempeo Real
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Control Interno
Grado de Importancia
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Un programa y un enfoque de administracin de proyectos definidos, el cual se aplica a todos los proyectos de TI, lo
cual facilita la participacin de los interesados y el monitoreo de los riesgos y los avances de los proyectos.
FORTALEZAS
Se establece formalmente un plan de proyecto integrado y aprobado para orientar la ejecucin y el control del proyecto
durante todo el ciclo de vida.
135
Universidad de Cuenca
En varios proyectos no se detalla un plan de gestin de calidad que describa el sistema de calidad del proyecto y cmo
ser implementado.
IMPACTO
OBJETIVO
Traducir los requerimientos funcionales y de control a un diseo efectivo y eficiente de soluciones automatizadas.
SITUACION ACTUAL
Definicin y Mantenimiento de los Requerimientos Tcnicos y Funcionales del Negocio
80,00%
60,00%
80,00%
Objetivos de Control
Indicador de Madurez
100,00%
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
Responsable
No Documentado
Unidad de TI
TENDENCIAS
FORTALEZAS
El directorio aprueba y autoriza los requerimientos institucionales y tiene la decisin final con respecto a la eleccin de la
solucin y al enfoque de adquisicin.
RECOMENDACIONES Y PLANES Realizar estudios de factibilidad autorizados por el dueo del proceso
DE ACCIN
Monitorear la satisfaccin de los usuarios con la funcionalidad entregada
ESTADO DEL PROCESO
AI2
IMPACTO
OBJETIVO
Construir las aplicaciones de acuerdo con los requerimientos institucionales y hacindolas a tiempo y a un costo razonable.
SITUACION ACTUAL
Diseo de Alto Nivel
100,00%
Diseo Detallado
80,00%
60,00%
80,00%
80,00%
80,00%
Objetivos de Control
100,00%
80,00%
60,00%
60,00%
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
136
Universidad de Cuenca
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Se aprueba y autoriza cada etapa clave del proceso de desarrollo de software aplicativo, como son las especificaciones
de diseo, las solicitudes de cambio, las garantas legales y contractuales; dando seguimiento a la terminacin exitosa
de revisiones de funcionalidad, desempeo y calidad.
PUNTOS DEBILES Y AMENAZAS No se asegura que los controles incluyan mecanismos de integridad de la informacin, y respaldo.
RECOMENDACIONES Y PLANES Emplear los estndares de desarrollo para todas las modificaciones.
DE ACCIN
Separar las actividades de desarrollo, de pruebas y operativas.
ESTADO DEL PROCESO
AI3
IMPACTO
OBJETIVO
80,00%
60,00%
Mantenimiento de la Infraestructura
80,00%
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
Proporcionar plataformas adecuadas para las aplicaciones de acuerdo con la arquitectura definida de TI y los
estndares de tecnologa
FORTALEZAS
Se establecen ambientes de desarrollo y prueba que consideran la funcionalidad, configuracin de hardware y software,
pruebas de integracin, pruebas de desempeo, migracin entre ambientes, control de versiones, y seguridad.
No se toman medidas de control interno, seguridad y auditabilidad durante la configuracin, integracin y mantenimiento
del hardware y del software de la infraestructura.
RECOMENDACIONES Y PLANES Establecer un plan de adquisicin de tecnologa que se alinea con el plan de infraestructura tecnolgica.
DE ACCIN
Implantar medidas de control interno, seguridad y auditabilidad.
ESTADO DEL PROCESO
AI4
IMPACTO
OBJETIVO
Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma
transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos institucionales.
SITUACION ACTUAL
Plan para Soluciones de Operacin
80,00%
80,00%
80,00%
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
137
Universidad de Cuenca
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Grado de Importancia
Control Interno
Si
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Se transfiere el conocimiento y las habilidades a los usuarios finales incluyendo materiales de capacitacin, manuales
de usuario, manuales de procedimientos, ayuda en lnea, asistencia a usuarios y evaluacin
IMPACTO
Adquirir recursos de TI
Alto
OBJETIVO
100,00%
80,00%
Seleccin de Proveedores
80,00%
Adquisicin de Recursos de TI
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Grado de Importancia
Control Interno
Si
Documentado
Responsable
Unidad de TI
TENDENCIAS
Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada
y estandarizada, y reducir el riesgo de adquisicin de TI.
FORTALEZAS
Se selecciona a los proveedores de acuerdo a una prctica justa y formal, para garantizar que se tome la opcin ms
viable y favorable.
Pueden surgir ocasiones en las cuales no se protejan adecuadamente los intereses de la institucin, en todos los
acuerdos contractuales de adquisicin.
IMPACTO
Administrar cambios
Alto
OBJETIVO
Responder a los requerimientos institucionales, mientras se reducen los defectos y la repeticin de trabajos en la prestacin del
servicio y en la solucin.
SITUACION ACTUAL
Objetivos de Control
80,00%
60,00%
Cambios de Emergencia
80,00%
80,00%
60,00%
138
Universidad de Cuenca
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI,
aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y
detener la implantacin de cambios no autorizados.
FORTALEZAS
Existen procedimientos de administracin de cambios formales, para manejar de manera estndar todas las solicitudes.
No se pone especial atencin al impacto que puede ocasionar un cambio en el sistema operacional y su
funcionabilidad.
IMPACTO
OBJETIVO
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin.
SITUACION ACTUAL
Objetivos de Control
Entrenamiento
60,00%
Plan de Prueba
80,00%
Plan de Implantacin
80,00%
Ambiente de Prueba
100,00%
60,00%
Pruebas de Cambios
60,00%
80,00%
Promocin a Produccin
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propsito deseado y estn libres de
errores, y planear las liberaciones a produccin.
FORTALEZAS
Se tiene un ambiente separado para pruebas, que refleja el ambiente futuro de operaciones.
No estaestablecido un plan adecuado para que todos los elementos necesarios tales como hardware, software, datos
PUNTOS DEBILES Y AMENAZAS de transacciones, archivos maestros, interfaces, procedimientos y documentacin sean convertidos del viejo al nuevo
sistema, manteniendo una auditora de los resultados previos y posteriores a la conversin.
Establecer una metodologa de prueba.
RECOMENDACIONES Y PLANES
Evaluar y aprobar los resultados de las pruebas por parte de la direccin.
DE ACCIN
Ejecutar revisiones posteriores a la implantacin.
ESTADO DEL PROCESO
DS1
IMPACTO
139
Universidad de Cuenca
OBJETIVO
100,00%
Definicin de Servicios
80,00%
80,00%
80,00%
80,00%
60,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Control Interno
Grado de Importancia
Documentado
Responsable
Unidad de TI
TENDENCIAS
La identificacin de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los
niveles de servicio.
FORTALEZAS
Se tiene definido un marco de trabajo que brinde un proceso formal de administracin de niveles de servicio entre el
usuario y el proveedor del servicio.
Se revisa espordicamente con los proveedores internos y externos los acuerdos de niveles de servicio por lo que no
se asegura que son efectivos, y estn actualizados.
Formalizar acuerdos internos y externos en lnea con los requerimientos y las capacidades de entrega.
RECOMENDACIONES Y PLANES
Notificar el cumplimiento de los niveles de servicio.
DE ACCIN
Comunicar los requerimientos de servicios actualizados y nuevos para planeacin estratgica.
ESTADO DEL PROCESO
DS2
IMPACTO
OBJETIVO
Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos.
SITUACION ACTUAL
Identificacin de Todas las Relaciones con Proveedores
80,00%
80,00%
100,00%
60,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Si
Control Interno
Grado de Importancia
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Se identifica y mitiga los riesgos relacionados con la capacidad de los proveedores, y se asegura que los contratos
estn de acuerdo con los estndares de la institucin, para garantizar una efectiva entrega de servicios.
140
Universidad de Cuenca
RECOMENDACIONES Y PLANES
DE ACCIN
DS3
IMPACTO
OBJETIVO
SITUACION ACTUAL
Objetivos de Control
80,00%
80,00%
60,00%
Disponibilidad de Recursos de TI
80,00%
Monitoreo y Reporte
60,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo
sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin.
FORTALEZAS
Se proporciona la capacidad y desempeo requeridos, considerando las cargas de trabajo normales, las contingencias,
requerimientos de almacenamiento y los ciclos de vida de los recursos de TI.
No se lleva a cabo un pronstico de desempeo y capacidad de los recursos de TI en intervalos regulares, para
minimizar el riesgo de interrupciones del servicio originadas por la falta de capacidad o degradacin del desempeo.
RECOMENDACIONES Y PLANES
DE ACCIN
DS4
IMPACTO
OBJETIVO
80,00%
Planes de Continuidad de TI
80,00%
Recursos Crticos de TI
80,00%
60,00%
80,00%
80,00%
80,00%
80,00%
Objetivos de Control
Indicador de Madurez
100,00%
60,00%
Indicador de Desempeo
141
Universidad de Cuenca
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
El desarrollo de resistencia en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de
continuidad de TI.
FORTALEZAS
Los recursos crticos de TI, necesarios para la recuperacin, se almacenan fuera de las instalaciones.
No estn bien definidos procedimientos para valorar los resultados del plan de reanudacin de las funciones de TI
despus de un desastre.
RECOMENDACIONES Y PLANES
DE ACCIN
Desarrollar y mantener los planes de contingencia de TI, con entrenamiento y pruebas guardando copias de los datos
fuera de las instalaciones.
ESTADO DEL PROCESO
DS5
IMPACTO
OBJETIVO
SITUACION ACTUAL
Administracin de la Seguridad de TI
80,00%
Plan de Seguridad de TI
80,00%
100,00%
80,00%
60,00%
60,00%
80,00%
80,00%
Seguridad de la Red
60,00%
80,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NO
Control Interno
Grado de Importancia
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Se identifican de manera nica todos los usuarios y su actividad en sistemas de TI. Se garantiza que la solicitud,
emisin, suspensin, modificacin y cierre de cuentas y privilegios de acceso, sean dirigidas por un administrador.
A pesar de que se utilizan tcnicas de seguridad y procedimientos de administracin asociados para autorizar acceso y
controlar los flujos de informacin desde y hacia las redes, pueden surgir vulnerabilidades.
RECOMENDACIONES Y PLANES
DE ACCIN
DS6
IMPACTO
OBJETIVO
Transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.
142
Universidad de Cuenca
SITUACION ACTUAL
Definicin de Servicios
100,00%
Contabilizacin de TI
100,00%
Objetivos de Control
Modelacin de Costos y Cargos
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
El registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios, y
un sistema para reportar oportunamente el uso de TI y los costos asignados.
FORTALEZAS
Se identifican todos los costos de TI y se equiparan a los servicios de TI, para soportar un modelo de costos
transparente.
En ocasioneslos cargos por servicios no son identificables, medibles y predecibles para propiciar un adecuado uso de
los recursos.
RECOMENDACIONES Y PLANES
DE ACCIN
DS7
IMPACTO
OBJETIVO
SITUACION ACTUAL
Identificacin de Necesidades de Entrenamiento y Educacin
Objetivos de Control
100,00%
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NNO
Control Interno
Grado de Importancia
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva
estrategia de entrenamiento y la medicin de resultados.
FORTALEZAS
Se establece y actualiza de forma regular un programa de capacitacin para cada grupo objetivo de funcionarios.
RECOMENDACIONES Y PLANES
DE ACCIN
DS8
IMPACTO
143
Universidad de Cuenca
Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales,
incidentes y preguntas.
OBJETIVO
SITUACION ACTUAL
Mesa de Servicios
Objetivos de Control
100,00%
60,00%
Escalamiento de Incidentes
60,00%
Cierre de Incidentes
80,00%
Anlisis de Tendencias
80,00%
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Responsable
Documentado
Unidad de TI
TENDENCIAS
Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento claros y
anlisis de tendencias y de resolucin.
FORTALEZAS
Existe una mesa de servicios como conexin de los funcionarios con TI que registra, comunica, atiende y analiza,
todas las llamadas, los incidentes reportados, los requerimientos de servicio y las solicitudes de informacin. Adems
se mide la satisfaccin del usuario en cuanto a la calidad de la mesa de servicios.
No se disponen de procedimientos adecuados de mesa de servicios, de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente, de acuerdo con los lmites acordados en el SLA.
RECOMENDACIONES Y PLANES
DE ACCIN
DS9
IMPACTO
Administrar la configuracin
Alto
OBJETIVO
Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI.
SITUACION ACTUAL
Objetivos de Control
80,00%
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Control Interno
Grado de Importancia
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Establecer y mantener un repositorio completo y preciso de atributos de la configuracin de los activos y de lneas
base y compararlos contra la configuracin actual.
FORTALEZAS
Se revisa y verifica de manera regular el estado de los elementos de configuracin y la existencia de cualquier
software personal o no autorizado.
No est establecido un repositorio central que contenga toda la informacin referente a los elementos de configuracin
de hardware, software, middleware, y las herramientas para operar, acceder y utilizar los sistemas y los servicios.
RECOMENDACIONES Y PLANES
DE ACCIN
144
Universidad de Cuenca
IMPACTO
OBJETIVO
SITUACION ACTUAL
Identificacin y Clasificacin de Problemas
80,00%
80,00%
Cierre de Problemas
60,00%
60,00%
Objetivos de Control
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
Grado de Importancia
Control Interno
Si
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Registrar, rastrear y resolver problemas operativos; investigacin de las causas raz de todos los problemas relevantes
y definir soluciones para los problemas operativos identificados.
FORTALEZAS
No se cuenta con un sistema o plan de administracin de problemas que establezca mecanismos de anlisis ptimos.
RECOMENDACIONES Y PLANES
DE ACCIN
DS11
IMPACTO
OBJETIVO
100,00%
80,00%
80,00%
Objetivos de Control
Eliminacin
100,00%
Respaldo y Restauracin
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
TENDENCIAS
NO
Control Interno
Grado de Importancia
Documentado
Responsable
Unidad de TI
145
Universidad de Cuenca
FORTALEZAS
Se tienen mecanismos para garantizar que se reciben documentos originales, que se procesa toda la informacin
recibida por parte de la institucin.
RECOMENDACIONES Y PLANES
DE ACCIN
DS12
IMPACTO
OBJETIVO
Proteger los activos de cmputo y la informacin institucional minimizando el riesgo de una interrupcin del servicio.
SITUACION ACTUAL
Seleccin y Diseo del Centro de Datos
Objetivos de Control
80,00%
100,00%
Acceso Fsico
100,00%
80,00%
100,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
BAJO
Formalizado / Normado
Si
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao o robo.
FORTALEZAS
Se definen e implementan medidas de seguridad fsica, que incluyen las zonas de seguridad, la ubicacin de equipo
crtico, las reas de envo y recepcin y los procedimientos de monitoreo.
RECOMENDACIONES Y PLANES
DE ACCIN
DS13
IMPACTO
OBJETIVO
Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas.
SITUACION ACTUAL
Objetivos de Control
80,00%
Programacin de Tareas
80,00%
Monitoreo de la Infraestructura de TI
80,00%
80,00%
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Impacto
Grado de Impacto
146
Universidad de Cuenca
ALTO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de salida
sensitivos y monitoreo y mantenimiento de la infraestructura.
FORTALEZAS
Se han establecido resguardos fsicos, prcticas de registro y administracin de inventarios adecuados sobre los
activos de TI ms sensitivos
Existen deficiencias en los procedimientos de mantenimiento, de manera que no se reduce el impacto de las fallas y la
degradacin del desempeo.
RECOMENDACIONES Y PLANES
DE ACCIN
Operar el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones definidas.
Mantener la infraestructura de TI.
ESTADO DEL PROCESO
ME1
IMPACTO
OBJETIVO
SITUACION ACTUAL
Enfoque del Monitoreo
100,00%
80,00%
Mtodo de Monitoreo
80,00%
60,00%
Objetivos de Control
100,00%
Acciones Correctivas
80,00%
Indicador de Madurez
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
Documentado
Responsable
Unidad de TI
TENDENCIAS
Monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del desempeo.
FORTELEZAS
Se proporcionan reportes administrativos para ser revisados por la alta direccin, sobre el avance de la institucin
hacia metas identificadas, especficamente en trminos del desempeo del portafolio de programas de inversin
habilitados por TI, niveles de servicio de programas individuales y la contribucin de TI a ese desempeo.
Se compara de forma aperidica el desempeo contra las metas y se tarda en iniciar acciones correctivas para
subsanar las causas subyacentes.
RECOMENDACIONES Y PLANES
DE ACCIN
ME2
IMPACTO
OBJETIVO
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI.
SITUACION ACTUAL
Objetivos de Control
60,00%
Revisiones de Auditora
80,00%
Excepciones de Control
60,00%
40,00%
60,00%
80,00%
Acciones Correctivas
80,00%
Indicador de Madurez
147
Universidad de Cuenca
NIVEL 3
Grado de Desempeo Real
Indicador de Desempeo
SATISFACTORIO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
MEDIO
Formalizado / Normado
NO
Grado de Importancia
Control Interno
No Documentado
Responsable
Unidad de TI
TENDENCIAS
El monitoreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones de
mejoramiento.
FORTALEZAS
Se confirma que los proveedores externos de servicios cumplan con los requerimientos legales y regulatorios, y con las
obligaciones contractuales.
RECOMENDACIONES Y PLANES
DE ACCIN
Definir un sistema de controles internos integrados en el marco de trabajo de los procesos de TI.
Monitorear y reportar la efectividad de los controles internos sobre TI.
Reportar las excepciones de control a la direccin para tomar acciones.
ESTADO DEL PROCESO
ME3
IMPACTO
OBJETIVO
Objetivos de Control
80,00%
80,00%
60,00%
60,00%
Reportes Integrados
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE CASI TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
Si
Control Interno
Grado de Importancia
Documentado
Responsable
Unidad de TI
TENDENCIAS
FORTALEZAS
Est definido o implementado un proceso para garantizar la identificacin oportuna de requerimientos legales locales,
internacionales, contractuales, de polticas y regulatorios, relacionados con la informacin, prestacin de servicios,
procesos e infraestructura.
Los propietarios de los procesos no siempre toman las acciones correctivas oportunas para resolver cualquier brecha
de cumplimiento.
RECOMENDACIONES Y PLANES
DE ACCIN
ME4
IMPACTO
Proporcionar gobierno de TI
Alto
OBJETIVO
La integracin de un gobierno de TI con objetivos de la direccin y el cumplimiento con las leyes y regulaciones.
SITUACION ACTUAL
Objetivos de Control
100,00%
148
Universidad de Cuenca
Alineamiento Estratgico
100,00%
Entrega de Valor
100,00%
Administracin de Recursos
80,00%
Administracin de Riesgos
60,00%
80,00%
Aseguramiento Independiente
80,00%
Indicador de Madurez
Indicador de Desempeo
MUY BUENO
Indicador de Cumplimiento de
Objetivos de Control
CUMPLE TOTALMENTE
Grado de Impacto
Impacto
ALTO
Formalizado / Normado
NO
Control Interno
Grado de Importancia
No Documentado
Responsable
Unidad de TI
TENDENCIAS
La elaboracin de informes para el consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y responder
a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo.
FORTALEZAS
Se trabaja con el consejo directivo para definir y establecer un marco de trabajo para el gobierno de TI, que incluye el
liderazgo, los procesos, roles, responsabilidades, requerimientos de informacin, y estructuras organizacionales para
garantizar que los programas de inversin habilitados por TI, estn alineados con los objetivos institucionales
No se asegura que tanto la institucin como TI evalen y reporten peridicamente los riesgos asociados con TI y su
impacto institucional
RECOMENDACIONES Y PLANES
DE ACCIN
149