Implementación de los procesos de Gobierno de COBIT 2019 ...
Transcript of Implementación de los procesos de Gobierno de COBIT 2019 ...
1
Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de Tecnologías de la
Información y Comunicaciones del Ejército del Ecuador
Fabara López, Fabricio Bolívar y Quiroga Chauca, Liceth Alejandra
Vicerrectorado de Investigación, Innovación y Transferencia Tecnológica
Centro de Posgrados
Maestría en Gerencia de Sistemas
Trabajo de titulación, previo a la obtención del título de Magíster en Gerencia de Sistemas
TCRN. Polo González, Juan Carlos
7 de agosto del 2020
2
3
4
5
6
Dedicatoria
A mi Dios, que me acompaña y me bendice con todo lo que hace que mi vida
sea única y plena, con mi familia Mami, Orlando, Joss y Daniel, quienes han sido y
serán los actores más importantes de cada reto superado; con oportunidades que han
sido aprendizaje, con sueños que son motivación, con fortaleza y esperanza para seguir
adelante.
Liceth
El presente trabajo dedico a mi familia que siempre está a mi lado tanto en los
buenos momentos como en los malos, a mi pareja (Karina), a mis padres (Leo y Ana),
motivantes importantes para poder alcanzar este objetivo. Puesto que siempre me están
dando animó para a seguir adelante y esforzarme por un mejor porvenir, sinceramente
infinitas gracias.
Fabricio Fabara
7
Agradecimiento
A Dios, por la dicha de tener a mi familia en cada momento de mi vida, por cada
oportunidad que me ha permitido, por ser mi camino, guía y fortaleza.
A Mi Familia, la mejor del mundo, todo se los debo a Dios y a ustedes que, dejando de
lado mis malos momentos hacen tan suyos mis alegrías y desánimos; gracias por cada sacrificio,
por estar a mi lado en cada etapa, en cada reto cumplido; pero también cuando mis fortalezas
fueron flaquezas.
Por eso, gracias a ti Mami que, con tu apoyo y amor incondicional has sabido escucharme
y enseñarme a tomar de manera cauta cada decisión, te agradezco por solucionar cada problema
y darme esa fuerza para no renunciar a seguir adelante. A mi Papá Orlando que, siempre ha sido
nuestro ejemplo, guardián y ese respaldo que nos hace sentir que nunca estaremos solos. A mi
Papá José, por acompañarme y cuidar de mi Familia.
A mis hermanos, me han enseñado a cuidar y a proteger la vida de alguien más que no
es la mía. A Joss quien vela por mi felicidad, mi consejera y mi mejor amiga para siempre. A Daniel
quien, con su manera de ser nos llena de alegría y con su mentalidad e ideas acertadas siempre
tiene la respuesta a todo.
A mis abuelitos, ejemplo de amor sincero, con palabras llenas de sabiduría me enseñan a
esforzarme por aquello que vale la pena y me hace feliz.
A mis queridos amigos, Gaby, Mayra, German, Iván, es grato contar con una amistad
sincera y palabras de aliento, a pesar de la distancia sé que están ahí siempre que necesito de un
abrazo, una palabra o simplemente compartir en silencio. A Javier gracias, me has demostrado
tantas veces cómo te importa y cómo crees en mí, quien, con una palabra o solución hace que
todo se torne posible.
A nuestro director, Tcrn. Juan Carlos Polo y miembros de la DTIC quienes, con su apoyo
y experiencia supieron dirigirnos para avanzar y culminar de la mejor manera nuestro proyecto.
Liceth
8
Agradecimiento
A mi familia y pareja por el apoyo indiscutible y a mi compañera Liceth quien fue
un pilar fundamental en el desarrollo de este trabajo ya que, gracias a su ímpetu, su
constancia y dedicación hemos logrado alcanzar este paso importante en nuestras
vidas profesionales.
Tengo que hacer una mención especial a mi tutor, Tcrn. Juan Carlos Polo; quien
fue el pilar fundamental en la elaboración de este trabajo por su conocimiento y
determinación.
Fabricio Fabara
9
ÍNDICE DE CONTENIDO
Certificación ................................................................................................................................................... 3
Responsabilidad de autoría .......................................................................................................................... 4
Autorización de publicación ......................................................................................................................... 5
Dedicatoria ..................................................................................................................................................... 6
Agradecimiento .............................................................................................................................................. 7
Agradecimiento .............................................................................................................................................. 8
Resumen ....................................................................................................................................................... 14
Abstract ........................................................................................................................................................ 15
Capítulo I ..................................................................................................................................................... 16
Introducción ............................................................................................................................................... 16
Antecedentes .......................................................................................................................................... 16
Planteamiento del Problema ................................................................................................................. 17
Tema ......................................................................................................................................................... 17
Antecedentes .......................................................................................................................................... 17
Problema .................................................................................................................................................. 19
Justificación ............................................................................................................................................. 19
Objetivos .................................................................................................................................................. 20
General ..................................................................................................................................................... 20
Específicos .............................................................................................................................................. 20
Alcance ..................................................................................................................................................... 21
Hipótesis de investigación ..................................................................................................................... 21
Variables de la Investigación ................................................................................................................ 22
Categorización de las variables de investigación .............................................................................. 22
Capitulo II ................................................................................................................................................... 24
Metodología ............................................................................................................................................... 24
Marco Teórico Aplicado ......................................................................................................................... 24
Gobierno empresarial de la Información y Tecnología ..................................................................... 24
Beneficios del gobierno de tecnologías de la información ............................................................... 25
COBIT como marco de gobierno de I&T ............................................................................................. 27
¿Qué es COBIT y qué no es? .............................................................................................................. 27
Partes interesadas en el gobierno ....................................................................................................... 29
Conceptos directamente relacionados ................................................................................................ 30
Desarrollo del marco teórico de la metodología COBIT 2019 ......................................................... 33
Estructura de Objetivos de Gobierno y Gestión ................................................................................. 49
Gestión del Desempeño en COBIT ..................................................................................................... 50
10
Diseño e Implementación de un Sistema de Gobierno de TI .......................................................... 53
Marco de referencia ITIL ....................................................................................................................... 56
Capitulo III .................................................................................................................................................. 58
Análisis de la situación actual de TI y aplicación de COBIT ......................................................... 58
Análisis empresarial ............................................................................................................................... 58
Sistema Integrado de la Fuerza Terrestre (SIFTE) ........................................................................... 64
Levantamiento de Servicios de TI de la DTIC .................................................................................... 65
Diseño de un Sistema de Gobierno Personalizado ........................................................................... 74
Fases de implementación de un Sistema de Gobierno Personalizado ........................................ 145
Implementación de procesos en la DTIC .......................................................................................... 161
Capítulo IV ................................................................................................................................................ 220
Conclusiones y recomendaciones..................................................................................................... 220
Conclusiones ......................................................................................................................................... 220
Recomendaciones ................................................................................................................................ 223
Referencias bibliográficas ................................................................................................................... 224
Anexos ...................................................................................................................................................... 226
11
Índice de Tablas
Tabla 1 Operacionalización de las Variables ................................................................................ 23 Tabla 2 Metas y métricas empresariales ....................................................................................... 43 Tabla 3 Metas y métricas de alineamiento .................................................................................... 46 Tabla 4 Procesos de la DTIC ........................................................................................................ 63 Tabla 5 Servicios de TI ofertados por la DTIC .............................................................................. 66 Tabla 6 Mapeo de los niveles de madurez de los servicios de la DTIC ........................................ 67 Tabla 7 Evaluación de servicios de la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC) .................................................................................................... 69 Tabla 8 Formato diseñado para el levantamiento de los servicios de TI de la DTIC .................... 70 Tabla 9 Niveles de servicio SLA’s ................................................................................................. 73 Tabla 10 Estrategias de la DTIC ................................................................................................... 76 Tabla 11 Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019 .................. 77 Tabla 12 Objetivos estratégicos de la DTIC .................................................................................. 78 Tabla 13 Objetivos estratégicos de la DTIC y dimensiones del BSC ........................................... 78 Tabla 14 Resultados de la categorización del perfil de riesgos de la DTIC .................................. 81 Tabla 15 Problemas relacionados con I&T.................................................................................... 84 Tabla 16 Objetivos de gobierno y gestión DF1 ............................................................................. 87 Tabla 17 Metas empresariales priorizadas.................................................................................... 89 Tabla 18 Metas de alineamiento priorizadas ................................................................................. 91 Tabla 19 Objetivos de gobierno y gestión para la DTIC DF2 ........................................................ 93 Tabla 20 Resultado de la asignación de Riesgos de TI DF3 ........................................................ 95 Tabla 21 Objetivos de gobierno y gestión DF3 ............................................................................. 95 Tabla 22 Resultado de la Asignación de problemas relacionados con I&T DF4 .......................... 97 Tabla 23 Objetivos de gobierno y gestión DF4 ............................................................................. 98 Tabla 24 Resumen resultados factores de diseño Paso 2 ............................................................ 99 Tabla 25 Resumen valores de factores de diseño Paso 2 .......................................................... 100 Tabla 26 Objetivos de gobierno y gestión Paso 2 ....................................................................... 101 Tabla 27 Objetivos de gobierno y gestión DF5 ........................................................................... 103 Tabla 28 Objetivos de gobierno y gestión DF7 ........................................................................... 104 Tabla 29 Objetivos de gobierno y gestión DF8 ........................................................................... 106 Tabla 30 Objetivos de gobierno y gestión DF9 ........................................................................... 107 Tabla 31 Resumen resultados factores de diseño Paso 3 .......................................................... 108 Tabla 32 Refinamiento del alcance del sistema de gobierno y gestión ...................................... 109 Tabla 33 Resumen valores de factores de diseño Paso 3 .......................................................... 111 Tabla 34 Objetivos de gobierno y gestión Paso 3 ....................................................................... 112 Tabla 35 Objetivos de gobierno y gestión Paso 2 Paso 3........................................................... 114 Tabla 36 Objetivos de gobierno y gestión priorizados para la DTIC ........................................... 116 Tabla 37 Resumen de valores de objetivos de gobierno y gestión DTIC ................................... 130 Tabla 38 Objetivos de gobierno y gestión para la DTIC .............................................................. 131 Tabla 39 Escala de calificación de niveles de capacidad ........................................................... 135 Tabla 40 Nivel de madurez actual de los objetivos gobierno/gestión EDM ................................ 136 Tabla 41 Nivel de madurez actual de los objetivos gobierno/gestión APO................................ 137 Tabla 42 Nivel de madurez actual de los objetivos gobierno/gestión BAI ................................. 139 Tabla 43 Nivel de madurez actual de los objetivos gobierno/gestión DSS ................................ 141 Tabla 44 Nivel de madurez actual de los objetivos gobierno/gestión MEA ................................ 142 Tabla 45 Nivel de madurez de los procesos de TI a fortalecer en la DTIC ................................. 144 Tabla 46 Fases de implementación COBIT2019 en DTIC ......................................................... 148 Tabla 47 Análisis de brechas en los procesos de la DTIC .......................................................... 156 Tabla 48 Análisis de brechas en los procesos de la DTIC .......................................................... 158 Tabla 49 Metas empresariales y de alineamiento de APO11 ..................................................... 162 Tabla 50 Métricas del APO11 para la DTIC ................................................................................ 163
12
Tabla 51 Actividades proceso APO11.01 ................................................................................... 166 Tabla 52 Actividades proceso APO11.02 .................................................................................... 168 Tabla 53 Actividades proceso APO11.03 .................................................................................... 170 Tabla 54 Actividades proceso APO11.04 .................................................................................... 172 Tabla 55 Actividades proceso APO11.05 .................................................................................... 174 Tabla 56 Flujos y elementos de comunicación ........................................................................... 176 Tabla 57 Metas empresariales y de alineamiento de DSS05 ..................................................... 191 Tabla 58 Métricas de DSS05 para DTIC ..................................................................................... 192 Tabla 59 Actividades proceso DSS05.01 .................................................................................... 193 Tabla 60 Actividades proceso DSS05.02 .................................................................................... 195 Tabla 61 Actividades proceso DSS05.03 .................................................................................... 197 Tabla 62 Actividades proceso DSS05.04 .................................................................................... 199 Tabla 63 Actividades proceso DSS05.05 .................................................................................... 201 Tabla 64 Actividades proceso DSS05.06 .................................................................................... 203 Tabla 65 Actividades proceso DSS05.07 .................................................................................... 205 Tabla 66 Flujos y elementos de comunicación ........................................................................... 207 Tabla 67 Servicios de TI en la DTIC ........................................................................................... 211
13
Índice de Figuras
Figura 1 Gobierno empresarial de la Información y Tecnología COBIT 2019 .............................. 24 Figura 2 Partes interesadas de COBIT ......................................................................................... 29 Figura 3 Objetivos de Gobierno y Gestión COBIT 2019 ............................................................... 31 Figura 4 Principios del Sistema de Gobierno COBIT 2019 .......................................................... 33 Figura 5 Principios para Marco de Gobierno COBIT 2019 ........................................................... 35 Figura 6 Factor de diseño estrategia empresarial ........................................................................ 37 Figura 7 Factor de diseño objetivos empresariales ...................................................................... 38 Figura 8 Factor de diseño perfil de riesgo de TI ........................................................................... 38 Figura 9 Factor de diseño problemas relacionados con TI ........................................................... 39 Figura 10 Factor de diseño panorama de amenazas ................................................................... 39 Figura 11 Factor de diseño requerimientos de cumplimiento ....................................................... 40 Figura 12 Factor de diseño rol de TI ............................................................................................. 40 Figura 13 Factor de diseño modelo de abastecimiento para TI ................................................... 41 Figura 14 Factor de diseño métodos de implementación de TI .................................................... 41 Figura 15 Factor de diseño estrategia de adopción de tecnología ............................................... 41 Figura 16 Factor de diseño tamaño de la empresa ...................................................................... 42 Figura 17 Cascada de metas de COBIT ....................................................................................... 42 Figura 18 Presentación de objetivos de gobierno y gestión ......................................................... 49 Figura 19 Niveles de Capacidad para los procesos ..................................................................... 51 Figura 20 Niveles de Madurez para áreas prioritarias .................................................................. 52 Figura 21 Diseño de un sistema de Gobierno de TI ..................................................................... 53 Figura 22.Paso 4 del diseño del sistema de gobierno—Conclusión ............................................ 56 Figura 23 Ciclo de vida de los servicios basado en el Ciclo de Deming ...................................... 57 Figura 24 Sistema de Valor de la DTIC ........................................................................................ 60 Figura 25 Sistema de Valor de la DTIC ........................................................................................ 61 Figura 26 Sistema Integrado de la Fuerza Terrestre (SIFTE) ...................................................... 64 Figura 27 Proceso de Infraestructura Servidores ........................................................................ 72 Figura 28 Flujo de trabajo del diseño del sistema de gobierno .................................................... 75 Figura 29 Categorización del escenario del perfil de riesgo de la DTIC....................................... 80 Figura 30 Categorización de los problemas actuales relacionados con I&T ................................ 83 Figura 31 Metas empresariales COBIT 2019 ............................................................................... 88 Figura 32 Metas empresariales a metas de alineamiento ............................................................ 90 Figura 33 Metas de alineamiento a Objetivos de gobierno y gestión DF3 ................................... 92 Figura 34 Flujo de trabajo del diseño del sistema de gobierno .................................................. 113 Figura 35 Factor de Diseño DF1 ................................................................................................. 120 Figura 36 Factor de Diseño DF2 ................................................................................................. 121 Figura 37 Factor de Diseño DF3 ................................................................................................. 122 Figura 38 Factor de Diseño DF4 ................................................................................................. 123 Figura 39 Factor de Diseño DF5 ................................................................................................. 124 Figura 40 Factor de Diseño DF7 ................................................................................................. 125 Figura 41 Factor de Diseño DF8 ................................................................................................. 126 Figura 42 Factor de Diseño DF9 ................................................................................................. 127 Figura 43 Importancia de los objetivos de gobierno/gestión para DTIC ..................................... 128 Figura 44 Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC ..................... 132 Figura 45 Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC ................. 133 Figura 46 Hoja de ruta de implementación COBIT ..................................................................... 147 Figura 47 Matriz de Responsabilidades ...................................................................................... 175 Figura 48 Contexto de TDRE ...................................................................................................... 185 Figura 49 Matriz de Responsabilidades ...................................................................................... 206
14
Resumen
El desarrollo de las Tecnologías de la Información y Comunicación se ha convertido en
un aspecto fundamental dentro de las organizaciones; pero también implica que su
funcionamiento se realice en torno a constantes amenazas y debido al tipo de
información que se maneja, así como a las estrictas regulaciones internas y de entes
regulatorios, las instituciones reconocen la importancia de contar con un entorno de TI
administrado y gobernado de manera adecuada; es así que considerando la situación
actual de la Dirección de Tecnologías de la Información y Comunicaciones (DTIC) ante
la falta de procedimientos y procesos apropiados, en base a un marco de referencia que
le permita lograr un gobierno de TI con eficacia, el presente proyecto pretende mejorar
el gobierno y la administración de los procesos de TI, mediante la implementación de la
metodología COBIT 2019, que se traduce en tener información suficiente y de calidad
para la toma efectiva de decisiones; así se evitan vulnerabilidades en cuanto al uso de
TI, ya que los usuarios involucrados tendrán un correcto conocimiento sobre la gestión y
administración de la información y de los sistemas de TI de la institución. COBIT 2019
facilita la gestión y la administración de recursos de TI, además proporciona orientación
para activar un marco efectivo de gobierno; por estas razones permitirá mejorar la
gobernanza y la administración de los procesos de TI de la DTIC, con el fin de crear
valor, minimizar riesgos, optimizar recursos y alcanzar sus objetivos mediante una
gestión exitosa de TI.
- Palabras clave:
• DTIC
• PROCESOS
• COBIT
• TI
15
Abstract
The development of Information and Communication Technologies has become a
fundamental aspect within organizations; but it also implies that its operation is carried
out around constant threats and due to the type of information that is handled, as well as
the strict internal regulations and of regulatory entities, the institutions recognize the
importance of having a managed and governed IT environment. properly; Thus,
considering the current situation of the Information Technology and Communications
Department (DTIC) due to the lack of appropriate procedures and processes, based on
a reference framework that allows it to achieve effective IT governance, this project aims
to improve the governance and administration of IT processes, by implementing the
COBIT 2019 methodology, which translates into having sufficient and quality information
for effective decision-making; Thus avoiding vulnerabilities in terms of the use of IT,
since the users involved will have a correct knowledge of the management and
administration of the information and of the IT systems of the institution. COBIT 2019
facilitates the management and administration of IT resources, as well as provides
guidance to activate an effective governance framework; For these reasons, it will allow
the improvement of the governance and administration of the IT processes of the DTIC,
in order to create value, minimize risks, optimize resources and achieve their objectives
through successful IT management
- Key words:
• DTIC
• PROCESSES
• COBIT
• TI
16
Capítulo I
Introducción
Antecedentes
La información representa uno de los activos potencialmente más importantes
de las organizaciones y puede ser utilizada como un recurso estratégico más; el uso
eficiente de la información orienta a una organización al logro de objetivos de manera
exitosa. (Aportela & Gallego Gómez, 2015).
Es así como el desarrollo continuo de las Tecnologías de la Información y
Comunicación (TIC) se ha convertido es un aspecto fundamental dentro de las
organizaciones, mediante la inclusión de sistemas innovadores y con la incorporación
de medidas de seguridad en todo nivel; además permite considerar una medida de
riesgo adecuado; así como mantener y garantizar información de calidad para la toma
correcta de decisiones; pero también implica que su funcionamiento se realice entorno a
constantes amenazas por lo tanto, debido al tipo de información que se maneja, así
como a las estrictas regulaciones, las instituciones están conscientes sobre la
importancia de contar con un entorno de Tecnologías de la Información bien
administrado y gobernado, por lo que la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC) no es la excepción.
La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza
Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y
Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y
desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad
Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades
Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)
17
En la actualidad, las funciones de gobierno y gestión de TI de la DTIC de la
Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos y documentados
debido a varios factores, entre ellos, la falta de una gestión adecuada y la rotación del
personal técnico; por lo que es necesario implementar un marco de referencia que
permita la optimización de recursos humanos y tecnológicos y la definición de sus
procesos críticos, para con ello alinear los objetivos de TI con los objetivos estratégicos
institucionales y crear valor para la DTIC, a través una visión clara de la correcta gestión
de TI y de la información (Velasteguí, 2019).
COBIT representa una guía de mejores prácticas para garantizar un gobierno y
una administración efectivos de TI en una organización; permite alinear los objetivos de
TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo
práctico para crear un programa de gobierno que se adapte a las necesidades de cada
organización, así como un modelo de madurez, e introduce nuevos conceptos para
garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el
uso optimizado de recursos y mejor eficiencia en la administración de la información y
de la tecnología (ISACA, 2019).
Planteamiento del Problema
Tema
Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de
Tecnologías de la Información y Comunicaciones del Ejército del Ecuador.
Antecedentes
El desarrollo continuo de las tecnologías de la información y comunicación
permite a las organizaciones mejorar la eficiencia y eficacia en todos sus recursos,
mediante la optimización de procesos, con la inclusión de sistemas innovadores, así
18
como, con la incorporación de medidas de seguridad en todo aspecto, considerando
niveles de riesgos adecuados; facilitando y garantizando información de calidad para la
toma de decisiones.
Por tanto, la información representa uno de los activos potencialmente más
importantes de las organizaciones y puede ser utilizada como un recurso estratégico
más; el uso eficiente de la información orienta a una organización al logro de objetivos
de manera exitosa (Aportela & Gallego Gómez, 2015)
La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza
Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y
Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y
desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad
Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades
Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)
En la actualidad, las funciones de gobierno, dirección y la administración de TI
de la DTIC de la Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos
y documentados, debido a varios factores, entre ellos, la rotación del personal técnico y
la falta de una gestión adecuada; por lo que es necesario implementar un marco de
referencia que permita la optimización de recursos humanos y tecnológicos de la
institución, para con ello poder cerrar las brechas existentes en cuanto a control,
administración, seguridad, riesgos, etc. Por lo tanto, es posible crear valor para la DTIC,
a través una visión clara de la correcta gestión de TI y de la información. (Velasteguí,
2019)
COBIT representa una guía de mejores prácticas para garantizar un gobierno y
una administración efectivos de TI en una organización; permite alinear los objetivos de
TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo
19
práctico para crear un programa de gobierno que se adapte a las necesidades de cada
organización, así como un modelo de madurez, e introduce nuevos conceptos para
garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el
uso optimizado de recursos y mejor eficiencia en la administración de la información y
de la tecnología. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología,
2018)
Problema
La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza
Terrestre (DTIC) no cuenta con procedimientos adecuados con base a un modelo de
mejores prácticas de TI, que le permita lograr un gobierno y gestión de TI con eficacia,
por lo tanto no se tiene la información suficiente para la toma efectiva de decisiones,
debido a lo cual, existe desconocimiento por parte de los usuarios en la utilización,
administración y gobierno de TI; además se dificulta la capacitación y la transferencia de
conocimientos al personal nuevo; lo que se refleja en una gestión de TI en base a
convicciones propias de los usuarios, en altos tiempos de respuesta en la atención de
requerimientos, se complica la identificación, documentación de las necesidades y la
comunicación oportuna sobre la situación actual de TI.
Por estas razones, la DTIC ha planteado la necesidad de optimizar sus recursos,
no solamente tecnológicos, sino también recurso humano y mejorar el gobierno, así
como la administración de TI y de la información dentro de la institución.
Justificación
El presente proyecto pretende mejorar el gobierno y la administración de los
procesos de TI de la DTIC, mediante la implementación de la metodología COBIT 2019;
evitando así vulnerabilidades en cuanto al uso de TI, puesto que los usuarios
20
involucrados tendrán un correcto conocimiento sobre la gestión y administración de la
información y de los sistemas de TI de la institución.
Con la implementación de las buenas prácticas del marco de referencia COBIT
2019 se pretende resolver las siguientes preguntas dentro de la DTIC:
• ¿Cuál es la situación actual de los procesos de las TI que se emplean en la DTIC?
• ¿Cuál es la definición de la estrategia institucional, mediante los objetivos
estratégicos priorizados?
• ¿Cuáles son los requisitos y el interés de la DTIC sobre el gobierno y administración
de TI?
• ¿Qué relación se establece entre las metas corporativas propuestas por COBIT, con
las metas de TI de la DTIC?
• ¿Cuáles son los procesos necesarios que la DTIC requiere implementar, para
incrementar su eficiencia operativa y mejorar la gestión de TI, con base a los
procesos definidos en COBIT?
• ¿Cómo mejorar el gobierno y la administración de TI para la DTIC, con el empleo de
COBIT 2019?
Objetivos
General
Implementar los procesos de gobierno de COBIT 2019 en la Dirección de
Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del Ecuador, que
permita una mejor gestión y administración de los procesos de Tecnologías de la
Información.
Específicos
• Analizar y evaluar la situación actual de los procesos y beneficios de las TI que se
emplean en la DTIC.
21
• Conocer la definición de la estrategia institucional, mediante los objetivos
estratégicos priorizados.
• Determinar los requisitos y el interés de la DTIC sobre el gobierno y administración
de TI.
• Realizar el análisis de la relación que se establece entre las metas corporativas
propuestas por COBIT, con las metas de TI.
• Identificar, analizar y definir los procesos necesarios que la DTIC requiere
implementar, para incrementar su eficiencia operativa y mejorar la gestión de TI, con
base a los procesos definidos en COBIT.
• Determinación y aplicación de un modelo de mejoramiento de los procesos de TI
para la DTIC, aplicando COBIT 2019.
Alcance
Es imprescindible emplear un marco de referencia que sirva como guía, con la
utilización de procedimientos y técnicas óptimos para el logro de objetivos de TI
alineados al cumplimiento de objetivos institucionales; por esta razón el presente
proyecto pretende mejorar el gobierno y la administración de los procesos de TI en la
Dirección de Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del
Ecuador, con la implementación de los procesos de SERVICIOS y QUALITY
ASSURANCE (QA) PARA DESARROLLO DE SOFTWARE, en base a la metodología
COBIT 2019.
Hipótesis de investigación
La hipótesis que se plantea es: Con la implementación de la metodología COBIT
2019 para la utilización de TI en la Dirección de Tecnologías de la Información y
Comunicaciones de la Fuerza Terrestre (DTIC), se mejorará el gobierno, así como la
administración de procesos de TI y de los recursos de la institución.
22
Variables de la Investigación
Las variables se refieren a factores que pueden ser susceptibles de modificarse
o pueden variar, es todo aquello que se va a medir, controlar y estudiar en la
investigación. (Reguant Alvarez & Martínez-Olmo, 2014).
Entre los tipos de variables utilizados en las investigaciones se tiene variables
dependientes y variables independientes. Las variables independientes no dependen
del valor de otras, son las causas o el fenómeno por investigar; determina el cambio en
la variable dependiente. Las variables dependientes son las que se miden y son el
resultado del fenómeno o situación que se intenta investigar (Mejia Jervis, 2017).
En consecuencia, de la hipótesis planteada se identifican dos variables:
• Variable Independiente: La implementación de la metodología COBIT 2019 en la
utilización de TI en la DTIC.
• Variable Dependiente: Mejorará el gobierno y la administración de procesos de TI y
de los recursos tecnológicos y humanos de la institución.
Categorización de las variables de investigación
La operacionalización de las variables se refiere al proceso metodológico que
consiste en descomponer las variables de la investigación, partiendo desde lo más
abstracto hasta llegar a lo más concreto. (Metodología de investigación, pautas para
hacer Tesis. , 2013) (Cazau, 2004).
La operacionalización de las variables se muestra en la Tabla 1, se incluye:
• Definición Conceptual: Conceptos que permiten la comprensión del fenómeno
• Definición Operacional: Normas y procedimientos que se seguirán para medir las
variables
• Categorización: Diferentes posibilidades de variación que puede tener una variable
23
• Indicador: Propiedad que puede ser directamente observadas y cuantificadas en la
práctica
Tabla 1
Operacionalización de las Variables
Variables Tipo Definición conceptual
Definición operacional
Categorización Indicadores
La implementación de la metodología COBIT 2019 en la utilización de TI en la DTIC
Ind.
Conjunto de mejores prácticas que la metodología COBIT establece
COBIT 2019 se construye sobre 6 principios, 7 componentes y 40 procesos en 5 dominios para el Sistema de Gobierno y 3 principios adicionales para el Marco de Gobierno
- Gestión del Programa - Habilitación del Cambio - Ciclo de vida de mejora continua de procesos
-Porcentaje de TI a considerar en la implementación de COBIT 2019 -Número de procesos por nivel de madurez
Mejorará el gobierno y la administración de procesos de TI y de los recursos tecnológicos y humanos de la institución
Dep.
COBIT define un conjunto de directrices para un gobierno y administración eficiente de TI y de la información
Sistema personalizable de gobierno, que considera factores de diseño y áreas específicas de aplicación.
-Mejora de gobernanza -Mejora de administración
-Número de metas de TI alineadas a las metas de la institución. -Porcentaje de procesos y dominios de COBIT aplicados en la institución
24
Capitulo II
Metodología
Marco Teórico Aplicado
Gobierno empresarial de la Información y Tecnología
Con el paso de los años la transformación digital, la información y la tecnología
(I&T) se han convertido en algo fundamental para el soporte, la sostenibilidad y el
crecimiento de las empresas. Anteriormente, la alta gerencia podía delegar, ignorar o
evitar las decisiones relacionadas con las I&T. En la actualidad la creación de valor para
las empresas va de la mano de la digitalización en nuevos modelos de negocio,
procesos eficientes, una exitosa innovación, etc. (ISACA, Marco de referencia COBIT
2019: Gobierno empresarial de la Información y Tecnología, 2018).
La GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el
consejo de administración, que supervisa la definición e implementación de procesos,
estructuras y mecanismos relacionados en la organización para permitir a la empresa y
al personal de TI desempeñar sus responsabilidades de soporte al negocio/alineamiento
de TI y la creación de valor de negocio derivado de las inversiones empresariales
posibles gracias a la I&T (figura 1). (ISACA, Marco de referencia COBIT 2019: Gobierno
empresarial de la Información y Tecnología, 2018).
Figura 1
Gobierno empresarial de la Información y Tecnología COBIT 2019
Nota. (ISACA, Marco de referencia COBIT 2019: Gobierno empresarial de la
Información y Tecnología, 2018)
25
El gobierno empresarial de información y tecnología es complejo y multifacético.
No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener
una GETI eficaz dentro de una organización. Así, los miembros de los consejos
directivos y la alta gerencia se ven abocados a adaptar e implementar sus medidas
GETI conforme a su contexto y necesidades específicas. Además, deben estar
dispuestos a aceptar una mayor responsabilidad en cuanto a las I&T y crear una
mentalidad y cultura distintas para generar valor a partir de la I&T. (ISACA, Marco de
referencia COBIT 2019: Gobierno empresarial de la Información y Tecnología, 2018).
Beneficios del gobierno de tecnologías de la información
El GETI se preocupa de la creación de valor a partir de la transformación digital
y la mitigación del riesgo de negocio derivado de dicha transformación, concretamente,
tras la adopción satisfactoria de la GETI cabe esperar tres resultados principales:
(ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la
información, 2018).
• Obtención de beneficios. - El principio básico del valor de la I&T consiste en
ofrecer servicios y soluciones adecuados, a tiempo y dentro del presupuesto, que
generen los beneficios financieros y no financieros esperados. El valor que la I&T
ofrecen debería estar directamente alineado con los valores en los que se centra el
negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de
tecnologías de la información, 2018)
• Optimización de riesgos. - Esto implica tener en cuenta el riesgo empresarial
asociado al uso, propiedad, operación, involucramiento, influencia y adopción de I&T
dentro de una empresa. El riesgo empresarial asociado a la información y la
26
tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un
impacto en el negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del
gobierno de tecnologías de la información, 2018)
• Optimización de recursos. - La optimización de recursos asegura la dotación de
una integrada, económica infraestructura de TI, la introducción de nueva tecnología
conforme lo requiera el negocio y la actualización o sustitución de sistemas
obsoletos. Porque reconoce la importancia de las personas, además del hardware y
software, se centra en proporcionar formación, fomentar la retención y garantizar la
competencia del personal clave de TI. Recursos importantes son los datos y la
información, y su explotación para obtener un valor óptimo es otro elemento esencial
de la optimización de recursos. (ISACA, Marco de referencia COBIT 2019:
Beneficios del gobierno de tecnologías de la información, 2018)
El alineamiento estratégico y la medición del desempeño revisten una
importancia primordial y afectan a la totalidad de actividades para garantizar que los
objetivos relacionados con I&T estén alineados con los objetivos de la empresa.
Los estudios muestran que las empresas con estrategias de GETI mal
diseñadas o adoptadas tienen un peor alineamiento del negocio y las estrategias y
procesos de I&T. Como resultado, estas empresas tienen menor probabilidad de cumplir
con sus estrategias de negocio previstas.
A partir de esto, es obvio que el gobierno debe entenderse e implementarse
mucho más allá de la interpretación (limitada) que solemos encontrarnos y que viene
sugerida por el acrónimo de gobierno, riesgo y cumplimiento (GRC). El acrónimo GRC
sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el
espectro de gobierno.
27
COBIT como marco de gobierno de I&T
Con el transcurrir del tiempo, se han desarrollado y promocionado marcos de
mejores prácticas para contribuir al proceso de conocimiento, diseño e implementación
de la GETI. COBIT® 2019, no solo mediante la incorporación de los nuevos
conocimientos de la ciencia, sino también con la aplicación de estos conocimientos en
la práctica, a partir de su lanzamiento en la comunidad de las auditorías de TI, COBIT®
ha pasado a ser un marco de gobierno y gestión de I&T más amplio y exhaustivo y
sigue estableciéndose como un marco generalmente aceptado para el gobierno de I&T.
(ISACA, Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T,
2018)
¿Qué es COBIT y qué no es?
COBIT es un marco para el gobierno y la gestión de las tecnologías de la
información de la empresa, dirigido a toda la empresa. La I&T empresarial significa toda
la tecnología y procesamiento de la información que la empresa utiliza para lograr sus
objetivos, independientemente de dónde ocurra dentro de la empresa.
El marco de referencia COBIT hace una distinción clara entre gobierno y gestión.
Estas dos disciplinas abarcan distintos tipos de actividades, requieren distintas
estructuras organizativas y sirven diferentes propósitos. (ISACA, Marco de referencia
COBIT 2019: ¿Qué es COBIT y qué no es?, 2018)
El gobierno asegura que:
• Las necesidades, condiciones y opciones de las partes interesadas se evalúan para
determinar objetivos empresariales equilibrados y acordados.
• La dirección se establece a través de la priorización y la toma de decisiones.
28
• El desempeño y el cumplimiento se monitorean en relación con la dirección y los
objetivos acordados.
En la mayoría de las empresas, la gerencia es responsabilidad de la dirección
ejecutiva bajo el liderazgo del director general ejecutivo (CEO).
Como genera valor al negocio la implementación del marco de referencia
COBIT:
• COBIT define los componentes para crear y sostener un sistema de gobierno:
procesos, estructuras organizativas, políticas y procedimientos, flujos de
información, cultura y comportamientos, habilidades e infraestructura.
• COBIT define los factores de diseño que deberían ser considerados por la empresa
para crear un sistema de gobierno más adecuado.
• COBIT trata asuntos de gobierno mediante la agrupación de componentes de
gobierno relevantes dentro de objetivos de gobierno y gestión que pueden
gestionarse según los niveles de capacidad requeridos.
¿Que no es COBIT?:
• COBIT no es una descripción completa de todo el entorno de TI de una empresa.
• COBIT no es un marco para organizar procesos de negocio.
• COBIT no es un marco técnico (de TI) para gestionar toda la tecnología.
• COBIT no toma ni prescribe ninguna decisión relacionada con la TI.
No decidirá cuál es la mejor estrategia de TI, cuál es la mejor arquitectura, o
cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los
componentes que describen qué decisiones deberían tomarse, cómo deberían tomarse
y quién debería tomarlas.
29
Partes interesadas en el gobierno
El público objetivo de COBIT son las partes interesadas en la GETI y, por
extensión, las partes interesadas en el gobierno corporativo. Estas partes interesadas y
los beneficios que pueden obtener de COBIT se muestran en la (Figura 2). (ISACA,
Marco de referencia COBIT 2019: Partes interesadas en el gobierno, 2018)
Figura 2
Partes interesadas de COBIT
Nota. (ISACA, Marco de referencia COBIT 2019: Partes interesadas en el gobierno,
2018)
Se requiere un cierto nivel de experiencia y un conocimiento profundo de la
empresa para beneficiarse del marco de referencia COBIT. Dicha experiencia y
conocimiento permite a los usuarios personalizar las directrices principales de COBIT
(cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa,
30
mediante la consideración del contexto de la empresa. (ISACA, Marco de referencia
COBIT 2019: Partes interesadas en el gobierno, 2018)
Conceptos directamente relacionados
Objetivos de gobierno y gestión.
Los objetivos de gobierno y gestión se relacionan con un proceso y con
una serie de componentes relacionados de otros tipos, con el fin de contribuir con el
logro de los objetivos de la empresa.
Un objetivo de gobierno se encuentra relacionado con un proceso de gobierno
y un objetivo de gestión se relaciona con un proceso de gestión. Los procesos de
gobierno se encuentran bajo el dominio de la administración y dirección ejecutiva,
mientras que los procesos de gestión se encuentran a cargo de alta y media gerencia.
El modelo Core de COBIT 2019 incluye 40 objetivos de gobierno y gestión
agrupados en 5 dominios (figura 3). Los dominios se nominan con verbos que indican el
propósito clave y las áreas de acción de cada objetivo. (ISACA, Marco de referencia
COBIT 2019: Objetivos de Gobierno y Gestión, 2018). Los objetivos de gobierno y
gestión se agrupan en los siguientes dominios:
Objetivos de Gobierno:
1. Evaluar, Dirigir y Monitorizar (EDM).- En este dominio se evalúan las opciones
estratégicas, se dirige a la alta gerencia sobre las opciones estratégicas y se
monitoriza el logro de la estrategia.
Objetivos de Gestión:
2. Alinear, Planificar y Organizar (APO).- Incluye la organización general, estrategia
y actividades de apoyo para la Información y Tecnología.
31
3. Construir, Adquirir e Implementar (BAI).- Se relaciona con la definición,
adquisición e implementación de soluciones para su integración en procesos de
negocio.
4. Entregar, Dar Servicio y Soporte (DSS).- Se realiza la entrega operativa y el
soporte de los servicios de información y tecnología, incluida la seguridad.
5. Monitorizar, Evaluar y Valorar (MEA).- Incluye la monitorización del rendimiento y
la conformidad de la información y la tecnología con respecto a los objetivos
planteados.
Figura 3
Objetivos de Gobierno y Gestión COBIT 2019
Nota. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
32
Componentes del Sistema de Gobierno.
Con el fin de alcanzar los objetivos de gobierno y gestión, una empresa requiere
establecer, personalizar y sostener un sistema de gobierno, creado en base a una serie
de componentes o factores, que de forma individual y combinada interactúan entre sí
(sistema holístico) para contribuir al funcionamiento adecuado del sistema de gobierno
de una empresa, en cuanto a la información y la tecnología.
Entre los componentes que considera COBIT para un sistema de gobierno se
encuentran: Procesos; Estructuras organizativas; Principios, políticas y
procedimientos; Información; Cultura, ética y comportamiento; Personas,
habilidades y competencias; Servicios, infraestructura y aplicaciones. (ISACA,
Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
Áreas Prioritarias.
Se refiere a un determinado tema de gobierno, dominio o problema, que requiere
una directriz específica y puede ser abordado por una serie de objetivos de gobierno y
gestión, así como sus componentes. Las áreas prioritarias pueden incluir una
combinación de componentes de gobierno genéricos (se aplican a cualquier situación,
suelen requerir una personalización) y variantes (se basan en componentes genéricos,
pero se adaptan para un contexto específico).
El número de áreas prioritarias es ilimitado y puede cambiar de manera dinámica
según sea necesario. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno
y Gestión, 2018)
33
Desarrollo del marco teórico de la metodología COBIT 2019
Principios de COBIT 2019.
COBIT 2019 se desarrolló en base a dos series de principios: (ISACA, Marco de
referencia COBIT 2019: Principios de COBIT 2019, 2018):
• Principios que describen los requisitos fundamentales de un sistema de gobierno
para la Información y la tecnología de la empresa
• Principios para un marco de gobierno que pueda usarse para crear un sistema de
gobierno para la empresa
Seis principios para un sistema de gobierno
Los seis principios para un sistema de gobierno son (figura 4):
Figura 4
Principios del Sistema de Gobierno COBIT 2019
Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)
1. Proporcionar valor a las partes interesadas. – Consiste en el manejo de un
sistema de gobierno para satisfacer las necesidades de las partes interesadas y
generar valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el
34
riesgo y los recursos, y las empresas necesitan una estrategia y un sistema de
gobierno práctico para materializar este valor.
2. Enfoque holístico. - Un sistema de gobierno para la I&T de la empresa se crea a
partir de una serie de componentes que pueden ser de distinto tipo y que funcionan
conjuntamente de forma holística.
3. Sistema de Gobierno Dinámico. – Consiste en que cada vez que se cambian uno
o más factores del diseño (p. ej. un cambio de estrategia o tecnología), debe
considerarse el impacto de estos cambios en el sistema GETI. Una visión dinámica
de la GETI llevará a un sistema de GETI preparado para el futuro.
4. Separar el gobierno de la gestión. – Consiste en distinguir claramente entre
actividades de gobierno y gestión, y estructuras.
5. Adaptar las necesidades de la empresa. – Consiste en personalizarse de acuerdo
con las necesidades de la empresa, utilizando una serie de factores de diseño como
parámetros para personalizar y priorizar los componentes del sistema de gobierno.
6. Sistema de gobierno integro. – Consiste en cubrir la empresa de principio a fin,
centrándose no solo en la función de TI, sino en todo el procesamiento de
tecnología e información que la empresa pone en funcionamiento para lograr sus
objetivos, independientemente de dónde se realice el procesamiento en la empresa
Tres principios para un Marco de Gobierno
Los tres principios para un marco de gobierno son (figura 5):
35
Figura 5
Principios para Marco de Gobierno COBIT 2019
Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)
1. Basado en el modelo conceptual. - Un marco de gobierno se debería basar en un
modelo conceptual que identifique los componentes principales y las relaciones
entre componentes para maximizar la uniformidad y permitir la automatización.
2. Abierto y flexible. - Un marco de gobierno debería ser abierto y flexible. Debería
permitir la incorporación de nuevo contenido y la capacidad para abordar nuevos
asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.
3. Alineado con las principales normativas. - Un marco de gobierno debería
alinearse con los principales estándares, marcos y regulaciones relacionados.
COBIT® 2019 mejora las anteriores versiones de COBIT en las áreas siguientes:
• Flexibilidad y apertura. - La definición y uso de los factores de diseño permiten la
personalización de COBIT para un mayor alineamiento con el contexto específico de
un usuario. La arquitectura abierta de COBIT permite incorporar nuevas áreas
prioritarias (ver sección 4.4) o modificar
36
• Actualidad y relevancia. - El modelo COBIT apoya las referencias y alineamiento
con conceptos que surgen de otras fuentes (p. ej. los últimos estándares y
regulaciones de cumplimiento de TI).
• Aplicación prescriptiva. - Los modelos como COBIT pueden ser descriptivos y
prescriptivos. El modelo conceptual COBIT se crea y presenta de tal modo que su
ejemplificación (es decir, la aplicación de los componentes de gobierno
personalizados de COBIT) se percibe como una prescripción de un sistema de
gobierno de TI personalizado.
Componentes del Sistema de Gobierno.
El Sistema de Gobierno considera componentes, antes llamados catalizadores o
habilitadores, que corresponden a los 7 ya conocidos en COBIT 5: (ISACA, Marco de
referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).
• Procesos describen un conjunto de actividades organizadas para alcanzar
resultados específicos, y lograr la consecución global de los objetivos relacionados
con las TI (Tecnologías de la información).
• Estructuras Organizativas entidades claves encargadas de la toma de decisiones.
• Principios, políticas, y marcos de referencia permiten convertir un
comportamiento deseado en guías prácticas para la gestión día a día.
• Información incluye toda la información producida y utilizada por una organización.
• Cultura, ética y comportamiento conjunto de comportamientos individuales y
colectivos dentro de una empresa.
• Personas, habilidades y las competencias son requeridas para completar de
manera exitosa todas las actividades, para tomar buenas decisiones y ejecutar
acciones correctivas.
37
• Servicios, infraestructura y aplicaciones incluye la infraestructura, la tecnología y
las aplicaciones que un sistema de gobierno provee a la empresa para el
procesamiento de Información y Tecnología.
Factores de Diseño.
Para adaptar un sistema de gobierno a los requerimientos de la organización, en
COBIT 2019 se incluyen 11 factores de diseño. Estos factores influyen en el diseño del
sistema de gobierno y guían a una empresa hacia al éxito en cuanto al uso de
Información y Tecnología (Gonzalez, 2018), (ISACA, Marco de referencia COBIT 2019:
Introducción y Metodología, 2018).
1. Estrategia empresarial se refiere a que las empresas pueden funcionar en base a
distintas estrategias, que pueden encajar como uno o más prototipos de la (figura 6).
Figura 6
Factor de diseño estrategia empresarial
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018) 2. Objetivos empresariales, los cuales apoyan a las estrategias empresariales. Estos
objetivos se estructuran en torno a las dimensiones del Balanced Scorecard. Se
entiende al Balanced Scored Card (BSC) como una metodología para alcanzar un
balance integrado y estratégico del crecimiento, productividad y competitividad;
permite traducir una estrategia en objetivos relacionados, mediante la medición de
un grupo de indicadores que se agrupan en cuatro categorías determinadas:
38
Financieras; Cliente; Procesos Internos; Innovación y Crecimiento (Santana, 2014).
Cobit 2019 considera 13 objetivos empresariales (figura 7).
Figura 7
Factor de diseño objetivos empresariales
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
3. Perfil de Riesgo de la empresa y los inconvenientes actuales relacionados con la
Información y Tecnología (figura 8).
Figura 8
Factor de diseño perfil de riesgo de TI
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
39
4. Problemas relacionados con la Información y la Tecnología que actualmente
impactan a la empresa; es decir, el riesgo que se ha materializado con respecto a TI
(figura 9).
Figura 9
Factor de diseño problemas relacionados con TI
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
5. Panorama de amenazas bajo el cual opera la empresa (figura 10); de tipo Normal
(Entorno con niveles de amenaza normales) y Alto (Entorno de amenazas elevadas,
debido a una situación geopolítica, sector industrial o perfil específico) (ISACA,
Marco de referencia COBIT 2019: Introducción y Metodología, 2018).
Figura 10
Factor de diseño panorama de amenazas
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
40
6. Requerimientos de cumplimiento requisitos que una empresa debe cumplir,
pueden ser de tipo bajos, normales y altos (figura 11).
Figura 11
Factor de diseño requerimientos de cumplimiento
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
7. Rol de TI para la empresa, puede clasificarse en Soporte, Fábrica, Cambio y
Estratégico (figura 12).
Figura 12
Factor de diseño rol de TI
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
8. Modelo de abastecimiento para TI que la empresa adopta, se puede clasificar en
Externalización/Tercerización (outsourcing), Nube, Internalizado (insourced) e
Híbrido (figura 13).
41
Figura 13
Factor de diseño modelo de abastecimiento para TI
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
9. Métodos de implementación de TI que la empresa puede utilizar, se clasifican en
Ágil, DevOps, Tradicional e Híbrido (figura 14).
Figura 14
Factor de diseño métodos de implementación de TI
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
10. Estrategia de adopción de tecnología de la empresa, la cual puede clasificarse en
El que primero se mueve (First mover); Seguidor (Follower) y adaptadores lentos
(Slow adopter) (figura 15).
Figura 15
Factor de diseño estrategia de adopción de tecnología
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
42
11. Tamaño de la empresa se identifican dos categorías Empresas Grandes
(predeterminada), Pequeñas y medianas empresas (figura 16).
Figura 16
Factor de diseño tamaño de la empresa
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
Cascada de Metas.
A partir de las necesidades de las partes interesadas se definen las metas
empresariales, la conversión de estas metas en prioridades, recaen en metas de
alineamiento y estas a su vez en una serie de objetivos de gobierno y gestión (figura
17). La cascada de metas permite la priorización de los objetivos con base en la
priorización de las metas institucionales (ISACA, Marco de referencia COBIT 2019:
Introducción y Metodología, 2018).
Figura 17
Cascada de metas de COBIT
Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
43
1. Metas empresariales. - En COBIT 2019 las metas empresariales se han
consolidado, reducido y aclarado; se considera un conjunto de 13 metas
empresariales (Tabla 2), definidas con base a las dimensiones del Balanced
Scorecard, con la relación de una serie de métricas de ejemplo. Las metas
empresariales tienen un efecto en cascada con las metas de alineamiento.
Tabla 2
Metas y métricas empresariales
Referencia Dimensión del
BSC Meta
empresarial Métricas de ejemplo
EG01 Financiera
Portafolio de productos y servicios competitivos
- Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado - Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente - Porcentaje de productos y servicios que proporcionan una ventaja competitiva - Plazo de comercialización para nuevos productos y servicios
EG02 Financiera Gestión de riesgo de negocio
- Porcentaje de objetivos y servicios empresariales críticos cubiertos por la evaluación de riesgos - Tasa (ratio) de incidentes significativos que no se identificaron en la evaluación de riesgos frente al total de incidentes - Frecuencia adecuada de la actualización del perfil de riesgo
EG03 Financiera
Cumplimiento de leyes y regulaciones externas
- Coste de incumplimiento regulatorio, incluyendo liquidaciones y multas - Número de problemas de incumplimiento regulatorio que causan comentarios públicos o publicidad negativa - Número de problemas de incumplimiento señalados por los reguladores o autoridades supervisoras - Número de problemas de incumplimiento regulatorio en relación con acuerdos contractuales con socios empresariales
EG04 Financiera Calidad de la información financiera
- Encuesta de satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de
44
Referencia Dimensión del
BSC Meta
empresarial Métricas de ejemplo
la información financiera de la empresa - Coste de incumplimiento regulatorio con respecto a regulaciones financieras
EG05 Cliente
Cultura de servicio orientada al cliente
- Número de interrupciones del servicio al cliente - Porcentaje de partes interesadas del negocio satisfechas de que la prestación de servicios al cliente cumpla con los niveles de servicio acordados - Número de quejas de los clientes - Tendencia de los resultados de la encuesta de satisfacción al cliente
EG06 Cliente
Continuidad y disponibilidad del servicio del negocio
- Número de interrupciones del servicio al cliente o procesos empresariales que han causado incidentes significativos - Coste empresarial causado por los incidentes - Número de horas de procesamiento perdidas por el negocio debido a interrupciones inesperadas del servicio - Porcentaje de quejas en función de los objetivos de disponibilidad del servicio acordados
EG07 Cliente Calidad de la información de gestión
- Grado de satisfacción del consejo de administración y la dirección ejecutiva con la información para la toma de decisiones - Número de incidentes causados por decisiones erróneas de negocio basadas en información incorrecta - Tiempo que se tarda en proporcionar la información de soporte para permitir la toma de decisiones empresariales eficaces - Puntualidad en la entrega de la información de gestión
EG08 Interna
Optimización de la funcionalidad de procesos internos del negocio
- Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso del negocio - Niveles de satisfacción de los clientes con las capacidades de prestación de servicios - Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro
45
Referencia Dimensión del
BSC Meta
empresarial Métricas de ejemplo
EG09 Interna
Optimización de costes de los procesos del negocio
- Relación entre el coste y los niveles de servicio conseguidos - Niveles de satisfacción del consejo de administración y la dirección ejecutiva con los costes de proceso del negocio
EG10 Interna
Habilidades, motivación y productividad del personal
- Productividad del personal comparada con benchmarks - Nivel de satisfacción de las partes interesadas con los niveles de experiencia y habilidades del personal - Porcentaje de personal cuyas habilidades son insuficientes con respecto a la competencia requerida para sus funciones - Porcentaje de personal satisfecho
EG11 Interna Cumplimiento con las políticas internas
- Número de incidentes relacionados con el incumplimiento de la política -Porcentaje de las partes interesadas que entienden las políticas - Porcentaje de políticas respaldadas por estándares y prácticas de trabajo eficaces
EG12 Crecimiento
Gestión de programas de transformación digital
- Número de programas ejecutados a tiempo y dentro del presupuesto - Porcentaje de partes interesadas satisfechas con la ejecución del programa - Porcentaje de programas de transformación del negocio suspendidos - Porcentaje de programas de transformación del negocio con actualizaciones del estado notificadas periódicamente
EG13 Crecimiento Innovación de producto y negocio
- Nivel de conciencia y comprensión de las oportunidades de innovación del negocio - Satisfacción de las partes interesadas con los niveles de experiencia e ideas sobre innovación y productos - Número de iniciativas de productos y servicios aprobadas como resultado de ideas innovadoras
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y
Metodología, 2018)
46
2. Metas de alineamiento. – Las metas empresariales tienen un efecto en cascada
con las metas de alineamiento (Tabla 3); estas metas destacan un alineamiento de
todo el trabajo de TI con los objetivos empresariales. Se determinan a partir de las
dimensiones del Balanced Scorecard con respecto a TI, junto a varias métricas de
ejemplo.
Tabla 3
Metas y métricas de alineamiento
Referencia Dimensión del BSC de
TI
Metas de alineamiento
Métricas
AG01 Financiera
Cumplimiento y soporte de I&T para el cumplimiento empresarial con las leyes y regulaciones externas
- Coste de incumplimiento de TI, incluidos liquidaciones y multas, y el impacto de la pérdida reputacional - Número de problemas de incumplimiento relacionados con TI notificados al consejo de administración o que causan comentarios o descrédito públicos - Número de problemas de incumplimiento en relación con acuerdos contractuales con los proveedores de servicios de TI
AG02 Financiera Gestión de riesgo relacionado con I&T
- Frecuencia adecuada de la actualización del perfil de riesgo - Porcentaje de las evaluaciones de riesgo empresarial, incluido el riesgo relacionado con I&T - Número de incidentes significativos relacionados con I&T que no se identificaron en la evaluación de riesgos
AG03 Financiera
Beneficios obtenidos del portafolio de inversiones y servicios relacionados con I&T
- Porcentaje de inversiones posibilitadas por I&T en las que los beneficios previstos se cumplen o exceden - Porcentaje de servicios de I&T para los que se han logrado los beneficios esperados (indicados en los acuerdos de nivel de servicio)
AG04 Financiera
Calidad de la información financiera relacionada con la tecnología
- Satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de la información financiera de TI - Porcentaje de servicios de I&T con
47
Referencia Dimensión del BSC de
TI
Metas de alineamiento
Métricas
costes operativos claramente definidos y aprobados y beneficios esperados
AG05 Cliente
Prestación de servicios de I&T conforme a los requerimientos del negocio
- Porcentaje de partes interesadas del negocio satisfechas con que la prestación de servicios de TI cumpla con los niveles de servicio acordados - Número de interrupciones del negocio debido a incidentes de servicios de TI - Porcentaje de usuarios satisfechos con la calidad de la prestación de servicios de TI
AG06 Cliente
Agilidad para convertir los requerimientos del negocio en soluciones operativas
- Nivel de satisfacción de los ejecutivos de negocios con la capacidad de respuesta de TI a los nuevos requisitos - Promedio de plazo de comercialización para servicios y aplicaciones nuevos relacionados con las I&T - Tiempo promedio para convertir los objetivos estratégicos de I&T en una iniciativa acordada y aprobada - Número de procesos de negocio críticos soportados por infraestructura y aplicaciones actualizadas
AG07 Interna
Seguridad de la información, infraestructura y aplicaciones de procesamiento y privacidad
- Número de incidentes de confidencialidad que causan pérdidas financieras, interrupción del negocio o descrédito público - Número de incidentes de disponibilidad que causan pérdidas financieras, interrupción del negocio o descrédito público - Número de incidentes de integridad que causan pérdidas financieras, interrupción del negocio o descrédito público
AG08 Interna
Habilitar y dar soporte a procesos de negocio mediante la integración de aplicaciones y tecnología
- Plazo para la ejecución de servicios y procesos empresariales - Número de programas empresariales facilitados por I&T retrasados o que incurren en costes adicionales debido a problemas de integración tecnológica - Número de cambios en los procesos de negocio que se deben aplazar o revisar debido a problemas de integración tecnológica - Número de aplicaciones o
48
Referencia Dimensión del BSC de
TI
Metas de alineamiento
Métricas
infraestructuras críticas que operan en silos y no están integradas
AG09 Interna
Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplen con los requisitos y estándares de calidad
- Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto - Número de programas que necesitan una revisión significativa debido a defectos de calidad - Porcentaje de partes interesadas satisfechas con la calidad del programa/proyecto
AG10 Interna Calidad de la información sobre gestión de I&T
- Nivel de satisfacción del usuario con la calidad, puntualidad y disponibilidad de la información de gestión relacionada con I&T, tras considerar los recursos disponibles - Relación y extensión de las decisiones de negocio erróneas en las que la información errónea o no disponible relacionada con I&T fue un factor clave - Porcentaje de información que satisface los criterios de calidad
AG11 Interna Cumplimiento de I&T con las políticas internas
- Número de incidentes relacionados con el incumplimiento de las políticas relacionadas con TI - Número de excepciones a las políticas internas - Frecuencia de revisión y actualización de la política
AG12 Aprendizaje y crecimiento
Personal competente y motivado con un entendimiento mutuo de la tecnología y el negocio
- Porcentaje de empresarios con dominio de I&T (es decir, aquellos que tienen los conocimientos y comprensión de I&T requeridos para guiar, dirigir, innovar y ver las oportunidades de I&T en su área de experiencia) - Porcentaje de empresarios con dominio de TI (es decir, aquellos que tienen los conocimientos y comprensión de los dominios importantes del negocio requeridos para guiar, dirigir, innovar y ver las oportunidades de I&T para su ámbito empresarial) - Número o porcentaje de empresarios con experiencia en gestión de tecnología
49
Referencia Dimensión del BSC de
TI
Metas de alineamiento
Métricas
AG13 Aprendizaje y crecimiento
Conocimiento, experiencia e iniciativas para la innovación empresarial
- Nivel de conciencia de los ejecutivos de negocios y comprensión de las posibilidades de innovación de las I&T - Número de iniciativas aprobadas como resultado de ideas innovadoras de I&T - Número de campeones en innovación reconocidos/premiados
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y
Metodología, 2018)
Estructura de Objetivos de Gobierno y Gestión
Para la estructura de objetivos de Gobierno, COBIT® 2019 incluye 40 objetivos
de gobierno y gestión, organizados en cinco dominios:
• Dominio de Gobierno
1. Evaluar, Dirigir y Monitorizar (EDM en inglés)
• Dominios de Gestión
2. Alinear, Planificar y Organizar (APO)
3. Construir, Adquirir e Implementar (BAI)
4. Entrega, Dar Servicio y Soporte (DSS)
5. Monitorizar, Evaluar y Valorar (MEA)
En la Figura 18 se muestra la información general detallada para cada objetivo.
Figura 18
Presentación de objetivos de gobierno y gestión
Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
50
• Nombre del dominio
• Área prioritaria (en el caso de esta publicación, se trata del modelo Core de COBIT)
• Nombre del objetivo de gobierno o gestión
• Descripción
• Declaración de propósito
Gestión del Desempeño en COBIT
La gestión de desempeño en COBIT (CPM, por sus siglas en inglés) hace
referencia a todas las actividades y métodos para determinar el correcto funcionamiento
de todo el sistema de gobierno y gestión, incluyendo términos de mejora para alcanzar
un nivel requerido. Se incluye conceptos de niveles de capacidad como de madurez, y
se basa en los siguientes principios:
1. Debe entenderse y usarse de manera sencilla.
2. Debe ser consistente y apoyar el modelo conceptual de COBIT; debería facilitar la
gestión del desempeño de cualquier tipo de componente del sistema de gobierno.
2. Debe proporcionar resultados confiables, repetibles y relevantes
3. Debe ser flexible, para brindar soporte a los distintos requerimientos de diversas
organizaciones
4. Debe permitir distintos tipos de evaluaciones, como autoevaluaciones, evaluaciones
formales o auditorias.
Gestión del desempeño de los procesos.
Niveles de capacidad del proceso
COBIT 2019 incluye un esquema de capacidad de procesos basado en CMMI,
Integración del modelo de madurez de capacidades (CMMI por sus siglas en inglés,
51
Capability Maturity Model Integration), un conjunto de mejores prácticas globales que
impulsa el rendimiento de una empresa mediante la creación y evaluación comparativa
de capacidades clave. El modelo CMMI apoya a las organizaciones a entender su nivel
actual de capacidad y rendimiento. (CMMI, 2019).
El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con
distintos niveles de capacidad, con valores desde 0 hasta 5 (figura 19). Un nivel de
capacidad tiene una característica específica e indica la medida de la correcta
implementación y funcionamiento de un proceso.
Un proceso alcanza un determinado nivel de capacidad, en el caso que todas las
actividades correspondientes se desempeñen de manera satisfactoria. (ISACA, Marco
de referencia COBIT 2019: Introducción y Metodología, 2018).
Figura 19
Niveles de Capacidad para los procesos
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
52
El grado de calificación para un nivel de capacidad depende del contexto en el
que se realiza el desempeñó; incluye métodos formales como calificaciones binarias de
aprobado/falla y métodos informales con una serie de calificaciones más amplio, como
valores del conjunto completamente/largamente/parcialmente/no.
Niveles de madurez del área prioritaria
Existen escenarios en los cuales es necesario un nivel más alto para definir el
desempeño del proceso; por lo que, COBIT 2019 define los niveles de madurez como
una medida de desempeño a nivel del área prioritaria (figura 20). Los niveles de
madurez se asocian con áreas prioritarias y se alcanza un determinado nivel de
madurez si todos los procesos que intervienen en el área prioritaria alcanzan ese nivel
de capacidad especifico.
Figura 20
Niveles de Madurez para áreas prioritarias
Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)
53
Diseño e Implementación de un Sistema de Gobierno de TI
Para el diseño e implementación del sistema de Gobierno de TI en la Dirección
de Tecnologías de la Información y Comunicación (DTIC), nos enfocaremos en los 4
aspectos principales que nos brinda el modelo de Gestión COBIT 2019.
La metodología de gestión COBIT nos brinda distintas etapas y pasos del
proceso de diseño, como se visualizar en la figura 21, los cuales inician con diversas
recomendaciones para priorizar los objetivos de gobierno y gestión o componentes del
sistema de gobierno relacionados con estos, para alcanzar niveles de capacidad, o para
adoptar variantes específicas de un componente del sistema de gobierno. (ISACA,
Diseño de una solución de Gobierno de Información y Tecnología, 2018)
Figura 21
Diseño de un sistema de Gobierno de TI
Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)
Algunos de estos pasos o subpasos podría derivar en recomendaciones
contradictorias, lo cual es inevitable cuando se consideran un gran número de factores
54
de diseño, la naturaleza genérica en su conjunto de la guía de factores de diseño y las
tablas de asignación utilizadas.
Si se logran adaptar dichos pasos previamente mencionados la Dirección de
Tecnologías de la Información y Comunicación (DTIC) logrará contar con un sistema de
gobierno adaptado a sus necesidades. (ISACA, Diseño de una solución de Gobierno de
Información y Tecnología, 2018)
Paso 1: Entender el contexto y estrategia de la empresa
En el primer paso, la empresa examina su contexto, estrategia y entorno de
negocio para lograr un mayor conocimiento de cuatro dominios parcialmente
superpuestos, interdependientes y, a menudo, complementarios. Las siguientes
subsecciones describen los subpasos críticos del paso 1:
• Estrategia empresarial
• Metas empresariales y metas de alineamiento derivadas
• Perfil de riesgo de I&T
• Problemas actuales relacionados con I&T
Paso 2: Determinar el alcance inicial del sistema de gobierno
Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la
información recopilada durante el paso 1. Los valores derivados para la estrategia
empresarial, las metas empresariales, el perfil de riesgo y los problemas relacionados
con I&T se traducen en una serie de componentes de gobierno priorizados para
producir el sistema inicial de gobierno personalizado para la empresa.
Paso 3: Perfeccionar el alcance del sistema de gobierno
El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del
sistema de gobierno con base en el conjunto de factores de diseño restantes, conforme
se define en las secciones detalladas anteriormente. A lo largo de este capítulo, no
55
todos los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no
aplicables pueden ignorarse.
En este paso, el diseñador del sistema de gobierno explicará cada factor de
diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa.
1. Determinará si cada factor de diseño puede aplicarse o no.
2. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o
qué combinación de valores posibles) es más aplicable a la empresa. Descripciones
de referencia de los valores de factores de diseño aplicables, junto con las tablas de
asignación de los apéndices F a K, para determinar qué refinamientos del sistema
de gobierno están asociadas a estos valores.
El resultado de cada consideración de un factor de diseño es una lista
clasificada de objetivos de gobierno y gestión, similar al resultado obtenido en el paso 2.
Con las tablas de asignación de los apéndices F a K, se pueden usar las mismas
técnicas y escalas, como se describió anteriormente.
Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno
Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de
los pasos anteriores para finalizar el diseño del sistema de gobierno, como se muestra
en la figura 22. El sistema de gobierno resultante debe reflejar una cuidadosa
consideración de todas las entradas; entender que estas entradas podrían en ocasiones
presentar conflicto.
56
Figura 22.
Paso 4 del diseño del sistema de gobierno—Conclusión
Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018) Marco de referencia ITIL
Infraestructure Library® (ITIL®) es el referente más conocido y aceptado
actualmente para la gestión de servicios de tecnologías de la información (en inglés IT
Service Management, ITSM). La versión actual de ITIL 2019 es el más completo de los
referentes de ITSM y se centra en el ciclo de vida de la gestión de servicios. (FLORES,
2017).
Es un conjunto de conceptos y mejores prácticas referentes a la gestión de
servicios de tecnologías de la información (TI), y cómo puede alinearse mejor con los
procesos empresariales, describe detalladamente un extenso conjunto de funciones y
procesos ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. (Juárez, 2010)
Por lo que hemos visto adecuado basarnos en las buenas prácticas que esta
metodología nos brinda, para este breve desarrollo nos hemos enfocado en el Ciclo
Deming (figura 23), el cual fundamenta su principio en la mejora continua de los
procesos, columna vertebral del Ciclo de Vida del Servicio propuesto por ITIL. (Juan
57
Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco
Quintero, 2017)
Cabe recalcar que ITIL provee una guía y no un manual paso a paso de cómo
hacerlo. La implementación de los procesos ITIL variará según los requerimientos de
cada organización. (Huércano, 2018)
Figura 23
Ciclo de vida de los servicios basado en el Ciclo de Deming
Nota. (Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)
58
Capitulo III
Análisis de la situación actual de TI y aplicación de COBIT
Análisis empresarial
El presente capítulo inicia con una breve descripción de la Dirección de
Tecnologías de la Información y Comunicación (DTIC), con base en los documentos
Manual de Puestos de la DTIC 2019-2021 y Plan Operativo Interno DTIC 2019, y se
procede con el diseño de una solución de gobierno de información y tecnología.
Antecedentes.
Dentro del PROYECTO INTEGRADOR DEL COAAS 36 del año 2019, como
parte de los antecedentes generales se describe con respecto a las TICs:
Las TICs aplicadas a la Defensa tienen características especiales que las
hacen distintas, por lo que para aplicarlas e implementarlas se deben entrelazar:
la planificación estratégica militar institucional y el empleo de las
Comunicaciones, Sistemas Informáticos, Guerra Electrónica y Seguridad de la
Información, fuertemente ligadas entre sí para aportar al incremento de la
Capacidad Estratégica de Mando y Control, a fin de contribuir principalmente al
desarrollo del objetivo estratégico de Incrementar las Capacidades Militares.
(CAPT DE COM PAREDES RODRIGUEZ & CAPT DE COM PRADO MÉNDEZ,
2019)
En cumplimiento a la NORMA TÉCNICA DE ADMINISTRACIÓN POR
PROCESOS No. 1580, el 03/01/2018 se expidió el ESTATUTO ORGÁNICO DE
GESTIÓN ORGANIZACIONAL POR PROCESOS DE LA FUERZA TERRESTRE;
dentro de los procesos descritos para Gestión de tecnologías de la información y
comunicaciones, se crea la DTIC como proceso de apoyo.
59
Es así como, la Fuerza Terrestre a través de la Dirección de Tecnologías de la
Información y Comunicación (DTIC), realiza la gestión de los sistemas de información y
comunicaciones, al igual que de la seguridad tecnológica y del desarrollo de aplicativos
informáticos que automatizan los procesos críticos de la institución.
Organización.
Propósito
La DTIC tiene como fin proporcionar apoyo de comunicaciones, sistemas de
información, seguridad de la información digital y guerra electrónica; desarrollando,
instalando, explotando, manteniendo y protegiendo las redes de comunicaciones y
sistemas de información que requiere el Ejército en todo el territorio nacional, en forma
permanente, para el efectivo ejercicio del mando y control de las operaciones militares.
Misión
Gestionar las Tecnologías de la Información y Comunicaciones, mediante la
gestión de comunicaciones e informática; diseño y desarrollo de proyectos; y, seguridad
tecnológica, para incrementar la Capacidad Operativa de Mando y Control, a fin de
contribuir al direccionamiento estratégico, al desarrollo de las capacidades militares
terrestres y apoyo al Desarrollo Nacional.
Sistema de Valor
El sistema de valor hace referencia al hecho de que, la cadena de valor de una
organización forme parte de un mayor conjunto de actividades; por lo tanto, desde el
punto de vista funcional, una organización representa una serie de actividades, el
entendimiento y el correcto funcionamiento de estas, favorece la consecución de los
objetivos estratégicos (López Ibarra, s.f.). En la Figura 24, se muestra el sistema de
valor de la DTIC.
60
Figura 24
Sistema de Valor de la DTIC
Nota. Adaptado de (DTIC, 2019)
Estructura Organizacional
En la actualidad la Dirección de Tecnologías de la Información y Comunicación
(DTIC), se encuentra dirigida y administrada por el director el CRNL. EMC. VALLEJO
L.M. DAVID. Se encuentra conformada de una Subdirección y bajo su coordinación tres
departamentos: GESTIÓN DE COMUNICACIONES E INFORMÁTICA, PROYECTOS
TIC y SEGURIDAD TECNOLÓGICA.
De acuerdo con el Manual de Puestos de la DTIC 2019-2021, la DTIC se
encuentra integrada por 70 personas entre las cuales se encuentran Oficiales,
Voluntarios y Servidores Públicos, distribuidos en los tres departamentos (figura 25).
61
Figura 25
Sistema de Valor de la DTIC
Nota. Adaptado de (DTIC, 2019)
Las responsabilidades principales y los propósitos de los diferentes
departamentos son (DTIC, 2019):
I. Dirección: La responsabilidad principal es el direccionamiento estratégico de
comunicaciones e informática para el adecuado funcionamiento de los procesos
de planificación, proyectos, y seguimiento y evaluación de la DTIC.
II. Subdirección: La responsabilidad principal es la coordinación del trabajo de los
departamentos de planificación, proyectos, y seguimiento y evaluación en base a
las directrices y políticas dadas por la dirección.
III. Gestión de Comunicaciones e Informática: El propósito es realizar la
planificación para dirigir el desarrollo y fortalecimiento de las comunicaciones,
62
sistemas informáticos, guerra electrónica y seguridad de la información en la
Fuerza Terrestre, en coordinación con el AGRUCOMGE, mediante la
planificación y evaluación técnica para incrementar los niveles de eficacia
institucional, a fin de fortalecer la capacidad estratégica de Mando y Control.
IV. Proyectos TIC: El propósito es realizar estudios técnicos; ejecutar proyectos de
comunicaciones, sistemas informáticos, guerra electrónica, seguridad de la
información; e, implementar software aplicativo personalizado en el ámbito militar,
mediante el desarrollo de comunicaciones y desarrollo informático, para
incrementar los niveles de eficacia institucional, a fin de fortalecer la capacidad
operativa de Mando y Control.
V. Seguridad Tecnológica: El propósito es implementar el Esquema de Gestión de
Seguridad de la Información Digital (EGSED), gestionar riesgos, proporcionar
soporte de seguridad digital y comunicaciones; a fin de garantizar la
confidencialidad, integridad, legalidad y disponibilidad de la información;
mediante la gestión de seguridad digital y administración de incidentes, para
incrementar la eficacia de Ciberseguridad en la F.T
Procesos
Cada una de las unidades que componen la estructura orgánica de la DTIC,
disponen de un manual del proceso, en el cual se describe las características del
proceso correspondiente, junto a los lineamientos, mapa de interrelación, descripción de
los subprocesos y los indicadores que permiten cuantificar el desempeño del proceso.
En la Tabla 4 se resume los procesos que actualmente se encuentran levantados en la
DTIC.
63
Tabla 4
Procesos de la DTIC
CÓDIGO PROCESO TIPO SUBPROCESO PRODUCTOS
G.T.I.C 1 GESTIÓN DE COMUNICACIONES E INFORMÁTICA
Adjetivo de
Apoyo
1. Planificación. 2. Evaluación Técnica
Plan de las TICS
Diagnóstico del material y medios de las TICS
Diagnóstico del personal de arma y especialista de comunicaciones
Directrices de las TICS
Estándares de las TICS
Norma de gestión del sistema de comunicaciones de la F.T
Plan de mejoramiento de las metodologías de la DTIC
Informes técnicos de las TICS
G.T.I.C 2 PROYECTOS
Adjetivo de
Apoyo
1. Desarrollo de Comunicaciones. 2. Desarrollo Informático.
Estudios de asesoría en telecomunicaciones
Estudios de ingeniería en telecomunicaciones:
Estudios de requerimientos de Informática
Estudios de requerimientos de telecomunicaciones
Proyectos de Comunicaciones, Guerra Electrónica, Informática, seguridad Informática y metrología
Software aplicativo y manuales del Sistema Integrado de la F.T. (SIFTE)
G.T.I.C 3 SEGURIDAD TECNOLÓGICA
Adjetivo de
Apoyo
1. Gestión de Seguridad Digital. 2. Administración de Incidentes de Seguridad Informática. 3. Seguridad de Comunicaciones
Seguridad de la información digital
Informe de incidentes de seguridad informática
Informe de soporte de seguridad
Plan de Contingencias de Tecnología
Plan de Continuidad de servicios TIC
Procedimientos para implementar los dominios del esquema de seguridad digital
Plan de tratamiento de riesgos de seguridad de la información
Seguridad de comunicaciones
Nota. Recuperado de Manuales de Proceso DTIC 2019
64
Sistema Integrado de la Fuerza Terrestre (SIFTE)
Para facilitar la gestión de datos de las diferentes áreas funcionales, la Fuerza
Terrestre dispone de la herramienta corporativa militar SIFTE (figura 26), que integra los
subsistemas y aplicativos en un único sistema, que permite disponer de información
integra y oportuna para la toma de decisiones; además provee las seguridades
informáticas necesarias para el acceso y manejo confiable de la información.
Figura 26
Sistema Integrado de la Fuerza Terrestre (SIFTE)
Nota. Adaptado de sitio Web https://portal.ejercito.mil.ec/Menu/nxcvbnh.do
Los componentes de la infraestructura informática que soporta el SIFTE son:
• Servidores de Bases de Datos.- Configurados para los ambientes de desarrollo,
pruebas, producción y standby.
• Servidores de Aplicaciones.- Servidores para alojar 53 aplicaciones del SIFTE,
entre las cuales se encuentran los subsistemas de logística, educación, académico,
ingreso, etc.
• Sistema de Almacenamiento.- Proporciona espacio físico para el almacenamiento
de información e instalación de sistemas operativos de servidores de base de datos,
aplicaciones y gestión documental.
• Sistema de Respaldo.- De la información de todos los servidores.
65
• Centro de datos, redes y equipos activos.- El Centro de datos es el espacio físico
ubicado en el subsuelo de la Comandancia General del Ejército, donde se
encuentran instalados los recursos informáticos que se han descrito; el centro de
datos garantiza medidas de seguridad y proporciona conectividad entre los
diferentes servidores.
Levantamiento de Servicios de TI de la DTIC
Adicional a la implementación del modelo de gestión COBIT 2019, se ha
realizado un trabajo de la mano, mismo que ha consistido en el levantamiento de los
servicios brindados por parte de la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC); se identificó que actualmente manejan ciertos servicios de TI
que no se han venido llevando de una forma adecuada, puesto que al levantar la
información se pudo verificar que durante varios años, la DTIC ha venido manejado una
estructura de servicios acorde con las exigencias que se han presentado.
Sin embargo, en la actualidad enmarcada en múltiples sucesos de orden social,
político, cultural y económico, hace que la DTIC se vea abocada a cambiar en lo que
respecta a competitividad, mejoramiento continuo, entre otros aspectos; pero sobre todo
en el uso eficiente de las Tecnologías de la Información y las Comunicaciones (TIC).
(Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)
Es este sentido y para dar respuesta a esta necesidad, las áreas de TI deben
enfocarse en la implementación o reingeniería de procesos con los cuales se puedan
ofrecer mejores servicios de TI, dejando atrás el típico modelo reactivo de respuesta a
fallas, con el propósito de pasar a desempeñar una función más proactiva en la
planificación, la supervisión y la gestión de los servicios de TI.
66
Por tal motivo, el propósito de la presente propuesta se basa en el desarrollo de
un modelo basado en ITIL para la Gestión de los Servicios de TI en la Dirección de
Tecnologías de la Información y Comunicaciones (DTIC), cuya área de TI no es la
excepción ante esta problemática.
Fases de implementación Metodología ITIL
Fase I.- Diagnóstico de la situación actual
Para el desarrollo de este trabajo se realizó un diagnóstico de la situación actual
de los procesos de TI llevados a cabo en la Dirección de Tecnologías de la Información
y Comunicaciones (DTIC). La DTIC al momento brinda una serie de servicios que se
han implementado en función a las necesidades que se van presentando en el día a
día, por lo cual se ha visto necesario implementar un modelo basado en ITIL, mismo
que es un marco de referencia que brinda buenas prácticas de cómo llevar los servicios
en función a los niveles de servicio que se puedan acordar en función a las soluciones
brindadas a los usuarios.
Tabla 5
Servicios de TI ofertados por la DTIC
Servicios Nombre del Servicio
Servicio 1 Servicio de Aplicaciones
Servicio 2 Servicio de Gestor Documental
Servicio 3 Servicio de Desarrollo de Software
Servicio 4 Servicio de Herramientas de desarrollo de Reportería
Servicio 5 Servicio de Control de Calidad
Servicio 6 Servicio de Base de Datos
Servicio 7 Servicio de Administración de la LAN
Servicio 8 Servicio de Administración de la WAN
Servicio 9 Servicio de TELEFONIA IP/CONMUTACIÓN
Servicio 10 Servicio de Video Conferencia
Servicio 11 Servicio de Correo Electrónico
Servicio 12 Servicio de Administrador de Servidores
Servicio 13 Servicio de Almacenamiento físico de Servidores
Servicio 14 Servicio de Seguridad de la información digital
Servicio 15 Servicio de Administración UTM
Servicio 16 Servicio de Servicio Seguridad Dominio
67
Al momento la Dirección de Tecnologías de la Información y Comunicaciones
(DTIC) cuenta con 16 servicios (Tabla 5), en los cuales al realizar el diagnóstico inicial
se pudo identificar que no cuenta con niveles de atención y de solución de incidentes,
que permitan determinar su índice de satisfacción a sus usuarios.
Una vez realizado el diagnóstico inicial de los procesos manejados por la DTIC se
inició la siguiente fase.
Fase II.- Mapeo de niveles de madurez de los procesos
En esta fase se realiza una evaluación del nivel de madurez de los servicios
ofertados por la DTIC, usando como base la escala de los niveles de madurez que se
detalla en la Tabla 6; posteriormente se realiza un mapeo según el estándar ITIL y los
procesos de los servicios de TI de la DTIC, con el fin de establecer el nivel de madurez
de los mismos con respecto a ITIL y así determinar los elementos prioritarios de ITIL
aplicables a la institución. (S.L., 2019), (Quintero Gómez & Peña Villamil, 2017).
Tabla 6
Mapeo de los niveles de madurez de los servicios de la DTIC
Calificación Nivel de madurez Descripción % De
Cumplimiento
0
Incompleto Los servicios no se realizan, o no consiguen sus objetivos
0%
1
Ejecutado Los servicios se ejecutan, lográndose los objetivos específicos.
20%
2
Gestionado
Los servicios, además de ser "ejecutados", se planifican, revisan y evalúan para comprobar que cumplen con los requisitos.
40%
3
Definido
Los servicios, además de ser "gestionados", se ajustan al conjunto de procesos estándar conforme a las directivas de la organización.
60%
68
Calificación Nivel de madurez Descripción % De
Cumplimiento
4
Gestionado Cuantitativamente
Servicios “definidos” y controlados con técnicas estadísticas u otras
técnicas cuantitativas.
80%
5
Optimizado
Servicios "gestionados cuantificadamente” que son
cambiados y adaptados para conseguir objetivos relevantes de
negocio.
100%
Nota. Recuperado de (Quintero Gómez & Peña Villamil, 2017)
En función a la matriz de los niveles de madurez definidos por ITIL, realizamos la
evaluación de los servicios de la DTIC donde pudimos conocer que sus procesos no se
encuentran bien definidos, puesto que los mismos se manejan acorde a las
necesidades que van surgiendo; a continuación, se presentaran los resultados
obtenidos una vez realizada la evaluación (Tabla 7).
Fase III.- Implementación de solución para mejorar los procesos de los servicios
actuales
En función a los resultados obtenidos se ha podido identificar que es adecuado
realizar varios ajustes a los procesos de los servicios de la DTIC, como punto principal es
necesario aplicar un modelo de gestión de los servicios levantados, para lo cual la
propuesta se basa en los siguientes puntos:
1. Se diseño el formato basado en el modelo de gestión de servicios de ITIL (Tabla 8),
donde se obtiene la información más relevante de cada uno de los servicios de TI
actuales, donde se analiza las funciones notables, los entregables y los niveles de
solución.
69
Tabla 7
Evaluación de servicios de la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC)
EVALUACIÓN DE MADUREZ – SERVICIOS DE LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (DTIC)
SERVICIOS DE LA DIRECCIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN Y
COMUNICACIONES
(DTIC)
NIVELES DE MADUREZ
Nivel de madurez
actual
NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4 NIVEL 5
¿Los servicios no se realizan, o no consiguen sus objetivos?
¿Los servicios se ejecutan, lográndose los objetivos específicos?
¿Los servicios, además de ser "ejecutados", se planifican, revisan y evalúan para comprobar que cumplen con los requisitos?
¿Los servicios, además de ser "gestionados", se ajustan al conjunto de procesos estándar conforme a las directivas de la organización?
¿ Servicios “definidos” y controlados con técnicas estadísticas u otras técnicas cuantitativas?
¿ Servicios "gestionados cuantifi-cadamente” que son cambiados y adaptados para conseguir objetivos relevantes de negocio?
Aplicaciones X 1
Gestor Documental X 1 Desarrollo de Software
X 1
Herramientas de desarrollo de Reportería
X 1
Control de Calidad X 1
Base de Datos X 1
Administración de la LAN X 1
Administración de la WAN X 1
Telefonía IP/conmutación
X 1
Video Conferencia X 1
Correo Electrónico X 1
Administración de Servidores
X 1
Almacenamiento físico de Servidores
X 1
Seguridad de la información digital
X 1
Administración UTM
X 1
Seguridad de Dominio
X 1
70
Tabla 8
Formato diseñado para el levantamiento de los servicios de TI de la DTIC
DETALLE DEL SERVICIO
Código No Definido
Nombre Infraestructura Servidores
Descripción
Brindar el equipamiento físico y virtual necesario para el funcionamiento de los aplicativos del sistema integrado de la Fuerza Terrestre (SIFTE)
Estado Activo – Operativo
Versión 01
Fecha puesta en operación 2007-2008
Fecha finalización En Funcionamiento Actualmente
Contacto Soporte EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana) (02) 3332 191
Contacto para modificaciones EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana) (02) 3332 191
Propietario Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza Terrestre (DTIC)
Clientes Toda la Fuerza Terrestre
INTRODUCCIÓN
El equipamiento de servidores que en la actualidad está dotado la fuerza terrestre es de una arquitectura RISC.
ALCANCE
Proceso Inicia con: a) Inicia con una planificación anual según contrato con la empresa que provee el mantenimiento y soporte técnico.
b) Coordinación con la empresa que brinda el soporte y mantenimiento para realizar los trabajos de mantenimiento de equipos y diagnósticos de los mismos.
c) Ejecución de los trabajos en los meses propuestos.
Proceso Termina con: a) Recepción del trabajo de mantenimiento y diagnóstico de equipos en el sitio en donde se produjo el inconveniente
b) Evaluación del funcionamiento de los equipos de acuerdo a los análisis que realizan los técnicos de la empresa.
c) Recepción de informes de diagnóstico y mantenimiento, o sustitución de hardware de equipos, que son entregados por parte de la empresa que realiza los trabajos
OBJETIVO
Mantener los servidores operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares
SERVICIO CONTIENE
71
a) Existe una planificación de actualización de equipos. b) Existe planificación de mantenimientos y diagnóstico de equipos
EXCLUSIONES
Mantenimiento de aplicaciones
CARACTERISTICAS GENERALES
Responsables a) Tcrn. Rodríguez Luis b) Sgos. Escudero Fernando
Clientes a) Todo el personal de la Fuerza Terrestre
Servicios Relacionados a) Base de Datos b) Aplicaciones c) Desarrollo de Software
Entradas a) Requerimientos de Licenciamiento software y
hardware. b) Requerimientos de adquisición de partes de Equipos.
Entregables
a) Informes de diagnóstico de equipos trimestralmente. b) Informes de mantenimiento de hardware anualmente. c) Entrega de partes y equipos en función al
requerimiento
Funciones
a) Actualización de Software b) Actualización de Licenciamiento c) Cambio de partes. d) Monitoreo de Servidores (Diario) e) Generación de informes de estado servidores previo
pedido de la unidad Informática f) Manuales de equipos
ESPECIFICACIONES
Configuración Se realiza la instalación de sistemas Operativos, base de datos, servidores de aplicaciones
Restricciones Adquisición de licenciamiento de base de datos Oracle
Elementos Tecnológicos
a) Servidores Fujitsu Siemens (Se cuenta con 7 servidores)
b) Cuchillas Blade Fujitsu Siemens (Se cuenta con 4). c) Switches SAM (Se cuenta con 2). d) Balanceador de Carga (Citrix). e) DataDomain Servidor de Respaldos
Nivel de Servicio Alta
Horarios
a) El servicio se encuentra activo las 24 horas al día los 7 días de la semana
b) En mantenimientos el servidor queda inactivo 4 horas en el año
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Nivel de servicio
Tiempo Respuesta Incidentes: No tiene Definido
Tiempo resolución incidentes: No tiene Definido depende complejidad puede llegar a tardar hasta 8 días
Tiempo escalamiento: No tiene Definido hasta tomar contacto con empresa SINETCOM
72
Nivel de soporte
Tiempo Respuesta Incidentes No tiene Definido
Tiempo resolución No tiene Definido
Tiempo escalamiento No tiene Definido
ESCALAMIENTO DEL SERVICIO
Nivel 1 Alta: Tcrn. Rodríguez Luis
Nivel 2 Media: Tcrn. Rodríguez Luis
Nivel 3 Baja: Sgos. Escudero
2. Una vez realizado el levantamiento de cada uno de los servicios, se definió un flujo
utilizando la herramienta BIZAGI, de cómo se está manejando en la actualidad cada
servicio y así poder manejar un estándar que permita justificar su manejo de una
forma adecuada (figura 27).
Figura 27
Proceso de Infraestructura Servidores
3. Como siguiente paso se realizó el análisis de los niveles de impacto de los servicios
técnicos, donde se han definido tres niveles de impacto que serán de mucha utilidad
para el análisis.
• Nivel de servicio bajo. - Las actividades o servicios técnicos que ofrece el
departamento tecnológico cumplen con un porcentaje de servicio mayor al 70% de
su atención, no presentarán mayor problema.
73
• Nivel de servicio medio. - Las actividades o servicios técnicos que ofrece el
departamento tecnológico cumplen con un porcentaje entre el 40% y 70% de
atención, las cuales se ajustarán de acuerdo con los requisitos de los usuarios.
• Nivel de servicio urgente. - Los servicios técnicos que ofrece el departamento
tecnológico cumplen con una proporción mínima o igual al 40% de su atención,
serán realizados desde un mejor esquema, brindando mayor importancia a los
mismos, con tiempos de respuesta óptimos.
4. El siguiente paso que se realizó para mejorar los procesos de servicios de TI
actuales, es el análisis de SLA’s o acuerdos de servicios, definidos en función a los
diferentes tipos de necesidades, ya sean estos incidentes o requerimientos, para lo
cual se comprende como actualmente se reciben los requerimientos e incidentes de
los usuarios y se definió la Tabla 9, para parametrizar cada uno de los niveles de
servicios:
Tabla 9
Niveles de servicio SLA’s
NIVEL SLA HORAS / DÍAS LABORABLES
Incidencias SLA 01 1 HORAS
Incidencias SLA 02 2 HORAS
Incidencias SLA 03 3 HORAS
Incidencias SLA 04 4 HORAS
Incidencias SLA 05 5 HORAS
Requerimiento SLA 01 8 HORAS -> 1 DÍA
Requerimiento SLA 02 16 HORAS -> 2 DÍAS
Requerimiento SLA 03 24 HORAS -> 3 DÍAS
Requerimiento SLA 04 32 HORAS -> 4 DÍAS
Requerimiento SLA 05 40 HORAS -> 5 DÍAS
74
Finalmente se documentan los servicios de TI de la DTIC, se les agrega mejoras
como la definición de SLA’s para establecer acuerdos de servicio, en función al impacto
que los mismos lleguen a tener dentro de la institución.
Con esta implementación la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC) podrá mantener los procesos de los servicios de TI
actualizados en función al modelo basado en ITIL, esto permitirá a la Institución tener un
mejor manejo de las TIC y sustentar la gestión que se realiza dentro del Ejercito del
Ecuador.
Diseño de un Sistema de Gobierno Personalizado
COBIT 2019 propone un flujo para el diseño de un sistema de gobierno
personalizado, el flujo contiene 4 etapas con una serie de pasos cada una (figura 28),
los cuales resultarán en recomendaciones para conseguir un sistema de gobierno
adaptado a las necesidades de la DTIC. Las 4 etapas del diseño del sistema de
gobiernos son las siguientes (ISACA, Diseño de una solución de Gobierno de
Información y Tecnología, 2018):
1. Entender el contexto y estrategia de la empresa
2. Determinar el alcance inicial del sistema de gobierno
3. Perfeccionar el alcance del sistema de gobierno
4. Resolver conflictos y finalizar el diseño del sistema de gobierno
75
Figura 28
Flujo de trabajo del diseño del sistema de gobierno
Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)
PASO 1: Entender el contexto y estrategia de la empresa.
El diseño del sistema de gobierno inicia con la definición del contexto general de
la empresa, para alcanzar un mayor conocimiento de la estrategia, metas
empresariales, perfil de riesgo de I&T y problemas actuales relacionados con I&T
(ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018).
Estrategia Empresarial
A inicios del año 2019 y con base a los objetivos estratégicos planteados por el
Comando General de la Fuerza Terrestre, la DTIC define 20 estrategias para la
consecución de objetivos. En la Tabla 10, se indican las estrategias definidas por la
DTIC.
76
Tabla 10
Estrategias de la DTIC
No Objetivos
Estratégicos Estrategias
1
INCREMENTAR LA EFECTIVIDAD EN EL CONTROL DEL TERRITORIO NACIONAL
Proponer los cambios que sean pertinentes al marco legal
2 MANTENER LA IMAGEN INSTITUCIONAL
Optimizar los procesos de difusión de información que tengan impacto estratégico
Fortalecer la imagen institucional y cohesión interna con el manejo adecuado de los temas legales (disciplinarios) y evitando el involucramiento del personal militar en actividades ilícitas
Fortalecer la integración y cooperación con los ejércitos de los países amigos
Mejorar los niveles de cooperación e integración con las otras fuerzas
3
INCREMENTAR LA EFECTIVIDAD OPERACIONAL DE LAS UNIDADES MILITARES
Desarrollar protocolos y procedimientos que definan las condiciones de empleo, tareas específicas y coordinaciones que se deben realizar para el cumplimiento de misiones y tareas de apoyo a la seguridad integral
Optimizar el apoyo a la gestión de riesgos
4 INCREMENTAR LAS CAPACIDADES MILITARES.
Recuperar, modernizar y adquirir material, armamento y equipo (terrestre, aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el ámbito interno
Fortalecer la capacidad de “ciberdefensa”
5 INCREMENTAR EL ALISTAMIENTO OPERACIONAL
Optimizar los procesos de entrenamiento por medio del uso de simuladores y nueva tecnología
6 INCREMENTAR LA EFECTIVIDAD EN EL APOYO LOGÍSTICO
Fortalecer el sistema logístico
Reformular los procesos de mantenimiento y conservación del material, equipo, medios e infraestructura a fin de alargar la vida útil del mismo
7 INCREMENTAR LA EFICIENCIA INSTITUCIONAL
Optimizar los procedimientos de planificación estratégica del ejército
Implantar la administración por procesos en todas las estructuras militares del ejército
Implementar un sistema integrado de gestión institucional por resultados
Optimizar en forma permanente la estructura organizacional de la institución
8 INCREMENTAR EL DESARROLLO DEL TALENTO HUMANO
Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el cumplimiento estricto de normas y procedimientos institucionales
Fortalecer el clima laboral, política de género, asistencia social del personal, manteniendo una adecuada cultura organizacional y adaptación a los procesos de modernización
9 INCREMENTAR EL USO EFICIENTE DEL PRESUPUESTO
Mejorar los procesos y procedimientos que permitan optimizar la planificación y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el manejo administrativo de las unidades de acuerdo a las normas vigentes Realizar el manejo del presupuesto y recursos institucionales bajo una política de priorización en virtud de los requerimientos operacionales y administrativos más importantes
Nota. Recuperado de Manuales de Proceso DTIC 2019
77
Las 20 estrategias planteadas por la DTIC encajan de cierta manera con las
estrategias empresariales prototipo de COBIT 2019 (Tabla 11), revisadas en el capítulo
2 sección 2.3.3.
Tabla 11
Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019
Prototipo de la Estrategia COBIT
2019 Estrategias DTIC 2019
Crecimiento/ Adquisición
Optimizar los procesos de difusión de información que tengan impacto estratégico Fortalecer la imagen institucional y cohesión interna con el manejo adecuado de los temas legales (disciplinarios) y evitando el involucramiento del personal militar en actividades ilícitas Fortalecer la integración y cooperación con los ejércitos de los países amigos Desarrollar protocolos y procedimientos que definan las condiciones de empleo, tareas específicas y coordinaciones que se deben realizar para el cumplimiento de misiones y tareas de apoyo a la seguridad tecnológica Optimizar el apoyo a la gestión de riesgos Reformular los procesos de mantenimiento y conservación del material, equipo, medios e infraestructura a fin de alargar la vida útil del mismo Implantar la administración por procesos en todas las estructuras militares del ejército
Innovación/ Diferenciación
Optimizar los procedimientos de planificación estratégica del ejército
Fortalecer el sistema logístico
Optimizar en forma permanente la estructura organizacional de la institución Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el cumplimiento estricto de normas y procedimientos institucionales Fortalecer el clima laboral, política de género, asistencia social del personal, manteniendo una adecuada cultura organizacional y adaptación a los procesos de modernización
Fortalecer la capacidad de “ciberdefensa”
Implementar los procesos de entrenamiento por medio del uso de simuladores y nueva tecnología Implementar un sistema integrado de gestión institucional por resultados Recuperar, modernizar y adquirir material, armamento y equipo (terrestre, aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el ámbito interno
Liderazgo en costes
Mejorar los procesos y procedimientos que permitan optimizar la planificación y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el manejo administrativo de las unidades de acuerdo a las normas vigentes Realizar el manejo del presupuesto y recursos institucionales bajo una política de priorización en virtud de los requerimientos operacionales y administrativos más importantes
Servicio al Cliente/Estabilidad
Proponer los cambios que sean pertinentes al marco legal Mejorar los niveles de cooperación e integración con las otras fuerzas
78
Metas Empresariales
Las estrategias empresariales de la DTIC se encuentran definidas por los
objetivos que se han planteado para alcanzar sus metas; actualmente la institución
cuenta con 9 objetivos estratégicos, los cuales se indican en la Tabla 12.
Tabla 12
Objetivos estratégicos de la DTIC
Referencia Objetivos Estratégicos OB1 Incrementar la efectividad en el control del territorio nacional OB2 Mantener la imagen institucional OB3 Incrementar la efectividad operacional de las unidades militares OB4 Incrementar las capacidades militares OB5 Incrementar el alistamiento operacional OB6 Incrementar la efectividad en el apoyo logístico OB7 Incrementar la eficiencia institucional OB8 Incrementar el desarrollo del talento humano OB9 Incrementar el uso eficiente del presupuesto
De acuerdo con el campo de acción, los 9 objetivos estratégicos de la DTIC se
pueden categorizar en torno a las dimensiones del cuadro de mando integral (Balanced
Scorecard, BSC), con respecto a las metas financieras, metas de cliente, metas internas
y metas de aprendizaje y conocimiento (Tabla 13).
Tabla 13
Objetivos estratégicos de la DTIC y dimensiones del BSC
BSC Objetivos Estratégicos Financieras Incrementar el uso eficiente del presupuesto
Cliente Incrementar la efectividad en el control del territorio nacional
Interna
Mantener la imagen institucional Incrementar la efectividad operacional de las unidades militares Incrementar las capacidades militares Incrementar la efectividad en el apoyo logístico Incrementar la eficiencia institucional Incrementar el desarrollo del talento humano
Aprendizaje y Conocimiento
Incrementar el alistamiento operacional
79
Perfil de riesgo de I&T
Al momento de realizar el levantamiento de información dentro de la DTIC, se
pudo identificar que no se cuenta con un modelo definido, el cual les permita determinar
de forma correcta los posibles riesgos, el impacto y la probabilidad de que los mismos
se puedan materializar; al identificar como uno de los puntos frágiles dentro del DTIC,
se vio fundamental realizar el levantamiento de los riesgos con base a lo propuesto por
COBIT 2019 y a su vez elaborar un perfil que permita determinar su impacto dentro del
área de I&T.
Como uno de los puntos a desarrollar dentro del diseño del sistema de gobierno
de TI para la DTIC; es importante entender el perfil de riesgo que actualmente tienen
dentro la DTIC; es decir, entender qué escenarios de riesgo podrían afectar a la
institución y cómo evaluar su impacto y probabilidad de materialización.
Para obtener esta información, se utiliza la metodología COBIT 2019, donde se
han considerado 3 aspectos principales para la respectiva evaluación:
• Como punto inicial se realizó la identificación de escenarios de riesgo relevantes,
mismos que fueron tomados del modelo de gestión, para en función a ellos
identificar cuáles de estos se presentan dentro de la DTIC.
• Como segundo punto, junto con funcionarios de la DTIC se realiza la evaluación del
impacto y probabilidad de que se materialice el escenario, los cuales se encuentran
ponderados en un rango del uno (1) a cinco (5); siendo uno (1) un bajo impacto y
de probabilidad de ocurrencia y cinco (5) alto impacto y de probabilidad de
ocurrencia, dejando a los rangos de dos (2) a cuatro (4) como un nivel de impacto
medio y de probabilidad de ocurrencia.
• Como tercer punto se realiza la valoración íntegra del riesgo basada en entradas
precedentes, para lo cual se considera los siguientes niveles para categorizar a los
80
riegos, como riesgo muy alto a los de color rojo, riesgo alto a los de color amarillo,
riesgo normal a los de color verde y riesgo bajo a los de color negro (figura 29).
Figura 29
Categorización del escenario del perfil de riesgo de la DTIC
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y
Tecnología, 2018)
En función a los puntos detallados anteriormente, se ha elaborado la siguiente
categorización de los riegos que se puedan presentar dentro de la DTIC.
Como se puede identificar en la evaluación realizada, se obtuvo los resultados
indicados en la Tabla 14.
Impacto
(1-5)
Probabilidad
(1-5)TOTAL Riesgo
3 4 4
4 4 4
3 5 4
4 4 4
4 5 5
4 5 5
5 3 4
3 4 4
5 3 4
4 4 4
5 5 5
3 4 4
3 3 3
3 3 3
3 3 3
3 3 3
3 2 3
3 3 3
5 5 5
3.68 3.79 3.74TOTAL
Ataques lógicos (hacking, malware, etc.)
Categoría del escenario de riesgo
Toma de decis iones sobre invers iones en TI, definición y
mantenimiento del portafol io
Gestión del ciclo de vida de los programas y proyectos
Coste y control de TI
Comportamiento, habi l idades y conocimiento de TI
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Adopción de software/problemas de uso
Incidentes de hardware
Fal los de Software
Medio ambiente
Gestión de datos e información
Incidentes de terceros/proveedores
Incumpl imiento
Problemas geopol íticos
Acción industria l
Actos de la natura leza
Innovación basada en la tecnología
81
Tabla 14
Resultados de la categorización del perfil de riesgos de la DTIC
Tipo de Riesgo Categoría del escenario de riesgo Total
Riesgo muy alto
Gestión del ciclo de vida de los programas y proyectos
10
Coste y control de TI
Comportamiento, habilidades y conocimiento de TI
Arquitectura de la empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Incidentes de hardware
Fallos de Software
Ataques lógicos (hacking, malware, etc.)
Gestión de datos e información
Riesgo alto
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio.
8
Adopción de software/problemas de uso
Incidentes de terceros/proveedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Medio ambiente
Riesgo Normal Innovación basada en la tecnología 1
Se concluye que de las 19 categorías de riesgos evaluados, 10 fueron
catalogados como riesgos muy altos dando un 52.63% de probabilidad que los
mismos se materialicen, adicional 8 de los escenarios fueron catalogados como altos
dando 42.10% de probabilidad que los mismos se materialicen y tan solo 1 escenario
con riesgo normal dando 5.26% de probabilidad de ocurrencia; por lo tanto, la DTIC
deberá considerar los controles respectivos sobre los 18 escenarios identificados en los
que se debería trabajar para tener un mejor control sobre los mismos.
82
Problemas actuales relacionados con I&T
Al momento de realizar el levantamiento de información dentro de la DTIC, se
pudo constatar que no cuenta con un modelo definido que permita determinar de forma
correcta los problemas actuales relacionados con IT, al identificar como uno de los
puntos frágiles dentro del DTIC, se vio fundamental realizar el levantamiento del mismos
y a su vez elaborar una clasificación exhaustiva de las problemáticas relacionadas
directamente con el área de I&T.
Como uno de los factores principales para poder continuar con la evaluación de
los problemas actuales dentro de la DTIC, fue necesaria la categorización adecuada de
los escenarios de riesgos con los que cuenta la institución, ya que se están
estrechamente relacionados con los problemas de TI.
Como una guía para identificar los problemas de TI, se puede realizar un
seguimiento a todo aquello que se haya reportado a través de la gestión de riesgos, una
auditoría, o la alta dirección o las partes interesadas externas; en conjunto con el
personal de procesos de la DTIC se realiza la evaluación de la matriz de problemas de
TI propuesta por COBIT 2019. Se asignaron valores de uno (1) a tres (3), siendo uno (1)
menos importante.
En la Figura 30 se presenta la evaluación a cada uno de los problemas en
función a la importancia que tenga la misma dentro de la DTIC.
Como se puede identificar en la evaluación realizada, se obtuvo los resultados
indicados en la Tabla 15.
Con lo que podemos concluir que de los 20 problemas relacionados con I&T
evaluados, 14 fueron catalogados como problemas dando un 70% de probabilidad que
los mismos se materialicen dentro de la DTIC, adicional 5 de los problemas
relacionados con I&T fueron catalogados como problemas graves dando 25% de
83
probabilidad que los mismos se materialicen y tan solo 1 de los problemas relacionados
con I&T fue catalogado sin problema dando 5% de probabilidad de ocurrencia.
Figura 30
Categorización de los problemas actuales relacionados con I&T
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
84
Tabla 15
Problemas relacionados con I&T
Tipo de Riesgo
Categoría del Problema de I&T Total
Sin problema
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto
1
Problema
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
14
Problemas de ejecución del servicio por parte de los subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI
Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados
Insuficientes recursos de TI, personal con habilidades inadecuadas o personal agotado / insatisfecho
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto
Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI
Excesivamente alto coste de TI
Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales
Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando
Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa (relacionado con la computación de usuarios finales, que suele surgir de la insatisfacción con las soluciones y servicios de TI)
Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad
Incapacidad para explotar nuevas tecnologías o innovar con las TI
85
Tipo de Riesgo
Categoría del Problema de I&T Total
Problema grave
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
5
Incidentes significativos relacionados con I&T, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI
Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI
Gasto sustancial oculto y fraudulento en I&T, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados
Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes
PASO 2: Determinar el alcance inicial del sistema de gobierno
En este paso la institución tiene una visión más clara y global de la estrategia
empresarial, metas empresariales, perfil de riesgo de I&T y problemas actuales
relacionados con I&T. La información recopilada en el paso anterior ahora se traduce en
objetivos de gobierno y gestión priorizados, para determinar un alcance inicial de un
sistema de gobierno personalizado para la DTIC.
COBIT 2019 presenta dos enfoques, cualitativo y cuantitativo que permiten
realizar la priorización de objetivos de gobierno y gestión. El enfoque cualitativo
considera los objetivos de gobierno y gestión con relevancia para cada factor de diseño;
mientras que el enfoque cuantitativo contempla matrices de asignación numéricas para
los factores de diseño (ISACA, Diseño de una solución de Gobierno de Información y
Tecnología, 2018).
Factor de diseño 1 (DF1): Considerar la estrategia empresarial
El factor de diseño número 1, permite trasladar las estrategias definidas por la
institución a una valoración de la importancia de los objetivos de gobierno y gestión.
86
De acuerdo con las directrices de COBIT 2019, se desarrolla una matriz de la
estrategia empresarial para la DTIC; mediante un enfoque cuantitativo y con base a la
experiencia y conocimiento del personal de la DTIC se asignan valores que encajan de
mejor forma con la situación actual de la institución (Anexo A. Factor de Diseño 1).
Las asignaciones para cada uno de los cuatro valores posibles para el factor de
diseño de la estrategia empresarial (crecimiento/adquisición, innovación/diferenciación,
liderazgo en coste, servicios/estabilidad al cliente) se clasificaron en una escala de uno
(1) a cinco (5): 5 indica la mayor influencia y 1 indica la ausencia de cualquier relación;
con la finalidad de priorizar los objetivos de gobierno y gestión para la DTIC.
Los valores obtenidos permitieron realizar la priorización de los objetivos de
gobierno y gestión; y se consideran las metas que, a partir de la puntuación, se
encuentren en el rango de la media hacia arriba.
Una vez realizado el análisis de la matriz del factor de diseño 1 para la DTIC, se
exponen las siguientes conclusiones:
• La evaluación de la matriz de la estrategia empresarial de la DTIC muestra valores
de 2.95, 3.47, 2.98 y 2.4 respectivamente, para los factores de diseño
Crecimiento/Adquisición, Innovación/Diferenciación, Liderazgo en coste y Servicio al
cliente /estabilidad. Se identifica que el prototipo principal que se relaciona con las
estrategias de la DTIC es Innovación/Diferenciación, es decir, la institución se
enfoca en ofrecer servicios innovadores a sus clientes. Así como el prototipo
secundario es Servicio al cliente /estabilidad, por lo que, la institución debería
proporcionar un servicio estable y orientado al cliente.
• Para las estrategias definidas por la DTIC en el 2019, la asignación de valores
muestra la importancia de los objetivos de gobierno y gestión indicados en la Tabla
16.
87
Tabla 16
Objetivos de gobierno y gestión DF1
Dominio Referencia Objetivos De Gobierno y Gestión
Para DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
95
EDM02 Asegurar la realización de beneficios 90 EDM03 Asegurar la optimización del riesgo 87 EDM04 Asegurar la optimización de recursos 91
EDM05 Asegurar la transparencia de las partes interesadas
95
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 95 APO02 Gestionar la estrategia 65 APO04 Gestionar la innovación 85 APO07 Gestionar los recursos humanos 82 APO08 Gestionar las relaciones 73 APO11 Gestionar la calidad 73 APO12 Gestionar el riesgo 73 APO13 Gestionar la seguridad 83 APO14 Gestionar los datos 86
Construir, Adquirir e
Implementar
BAI01 Gestionar los programas 71 BAI02 Gestionar la definición de requisitos 71
BAI03 Gestionar la identificación y construcción de soluciones
74
BAI06 Gestionar los cambios de TI 68
Factor de diseño 2 (DF2): Considerar las metas empresariales y aplicar la cascada
de metas de COBIT
Una vez realizada la valoración de las estrategias empresariales de la DTIC, se
tiene una base para ejecutar el análisis de las metas empresariales en el siguiente
factor de diseño del modelo de COBIT 2019, que define un conjunto de 13 metas
empresariales genéricas, las cuales se deben priorizar en concordancia con las
estrategias de la DTIC.
El factor de diseño número 2 permite traducir las metas empresariales a una
valoración relativa de los objetivos de gobierno y gestión, se siguen los pasos que se
88
indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y
Tecnología, 2018).
1. Determinar metas empresariales importantes para la DTIC. - Se desarrolla una
matriz entre los objetivos estratégicos de la DTIC y las metas empresariales
genéricas de COBIT 2019, con la finalidad de determinar las metas más importantes
para la institución (figura 31). COBIT recomienda seleccionar de tres a cinco metas
empresariales para obtener resultados más significativos.
Figura 31
Metas empresariales COBIT 2019
Mediante información que proveen los colaboradores de la DTIC, se asignan valores
con base a la siguiente escala de calificación:
89
a) Primaria (P): Si la meta DTIC tiene una relación directa con la meta COBIT
2019. Para facilitar el análisis cuantitativo se considera que P es equivalente a
cinco (5).
b) Secundaria (S): Si la meta DTIC tiene una relación indirecta con la meta COBIT
2019. Para facilitar el análisis cuantitativo se define que S es equivalente a uno
(1).
c) En Blanco: Cuando la meta DTIC NO tiene ninguna relación con la meta COBIT
2019. Para facilitar el análisis cuantitativo se determina que VACIO es
equivalente a cero (0)
Mediante la evaluación de la matriz anterior es posible establecer las metas
empresariales de COBIT 2019 priorizadas a partir de la puntuación total, que es
equivalente a la sumatoria de la valoración de cada meta.
Como resultado se obtienen 5 metas empresariales relevantes (Tabla 17), se
consideraron aquellas con una calificación que se encuentra en el rango de la media
hacia arriba.
Tabla 17
Metas empresariales priorizadas
Referencia Metas Empresariales para la DTIC
EG02 Gestión de riesgo del negocio EG03 Cumplimiento de leyes y regulaciones externas EG07 Calidad de la información de gestión
EG012 Gestión de programas de transformación digital
EG013 Innovación de producto y negocio
2. Determinar las metas de alineamiento más importantes para la DTIC. – La
información resultante del paso anterior sobre las metas empresariales priorizadas,
representa la base para estructurar la siguiente matriz, entre las metas
90
empresariales de COBIT 2019 significativas para la DTIC y las 13 metas de
alineamiento planteadas en COBIT 2019 analizadas en la sección 2.3.4. (figura 32)
Figura 32
Metas empresariales a metas de alineamiento
Con el apoyo y conocimiento de los funcionarios de la DTIC sobre la
situación actual de la institución, se establecen valores para las 13 metas
relacionadas con I&T, se utiliza la siguiente escala de evaluación:
a) Primaria (P): Cuando la meta empresarial tiene una relación directa con la
meta de alineamiento. Para facilitar el análisis cuantitativo se define que P es
equivalente a cinco (5).
b) Secundaria (S): Cuando la meta empresarial tiene una relación indirecta
con la meta de alineamiento. Para facilitar el análisis cuantitativo se define que S es
equivalente a uno (1)
91
c) En Blanco: Cuando la meta empresarial NO tiene NINGUNA relación con
la meta de alineamiento. Para facilitar el análisis cuantitativo se define que VACIO
es equivalente a cero (0).
A partir de la puntuación total que es equivalente a la sumatoria de la valoración
de cada meta de alineamiento, como resultado se determinan 7 metas de alineamiento
importantes (Tabla 18), se consideraron aquellas con una calificación que se encuentra
en el rango de la media hacia arriba.
Tabla 18
Metas de alineamiento priorizadas
Referencia Metas Alineamiento DTIC
AG2 Gestión de riesgo relacionado con I&T
AG5 Prestación de servicios I&T conforme a los requerimientos del negocio
AG7 Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
AG9 Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad
AG10 Calidad de la información sobre gestión de I&T AG11 Cumplimiento de I&T con las políticas internas
AG13 Conocimiento, experiencia e iniciativas para la innovación empresarial
3. Determinar los objetivos de gobierno y gestión relevantes para la DTIC. – Las
metas de alineamiento priorizadas del paso anterior, representan una guía para el
análisis de una nueva matriz genérica con los 40 objetivos de gobierno y gestión de
COBIT 2019 indicados en el apartado 2.2.1. Se presenta la matriz en la Figura 33.
92
Figura 33
Metas de alineamiento a Objetivos de gobierno y gestión DF3
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
93
Con esta información se identifica el conjunto de objetivos de gobierno y gestión
que tienen mayor importancia para la DTIC. Con la ayuda de colaboradores de la DTIC,
de su experiencia y del contexto de la institución, se realiza la asignación de valores
empleando la siguiente escala de calificación:
a) Primaria (P): Cuando los objetivos de gobierno y gestión tienen una
relación directa con las metas de alineamiento. Para facilitar el análisis cuantitativo
se define que P es equivalente a cinco (5).
b) Secundaria (S): Cuando los objetivos de gobierno y gestión tienen una
relación indirecta con las metas de alineamiento. Para facilitar el análisis cuantitativo
se define que S es equivalente a uno (1).
C) En Blanco: Cuando los objetivos de gobierno y gestión NO tiene una
NINGUNA relación con las metas de alineamiento. Para facilitar el análisis
cuantitativo se define que VACIO es equivalente a cero (0).
Tabla 19
Objetivos de gobierno y gestión para la DTIC DF2
Dominio Referencia Objetivos De Gobierno y Gestión
Para DTIC Calificación
Alinear, Planificar y Organizar
APO03 Gestionar la arquitectura de la empresa 31 APO04 Gestionar la innovación 31 APO05 Gestionar el portafolio 31 APO06 Gestionar el presupuesto y los costes 35 APO07 Gestionar los recursos humanos 35 APO09 Gestionar los acuerdos de servicio 35 APO10 Gestionar los proveedores 31 APO11 Gestionar la calidad 35
Construir, Adquirir e Implementar
BAI09 Gestionar los activos 35 BAI11 Gestionar los proyectos 30
Entregar, Dar Servicio y Soporte
DSS03 Gestionar los problemas 31
Monitorizar, Evaluar y Valorar
MEA01 Gestionar la monitorización del rendimiento y la conformidad
35
MEA02 Gestionar el sistema de control interno 35 MEA04 Gestionar el aseguramiento 31
94
La priorización de los objetivos de gobierno y gestión está dada de acuerdo con
la puntuación alcanzada, se consideran valores de la media hacia arriba y se obtienen
los resultados finales del factor de diseño número 2 (DF2). Se determinan 14 objetivos
de gobierno y gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan
en la Tabla 19.
Factor de diseño 3 (DF3): Considerar el perfil de riesgo de la empresa
Una vez realizada la valoración en la cual se definió la categorización de los
riegos con el personal de la DTIC, se tiene una base para ejecutar el análisis del perfil
de riesgo empresarial; en el siguiente factor de diseño del modelo de COBIT 2019, que
define un conjunto de 19 categorías de riesgo de TI empresariales genéricas, las cuales
se deben priorizar en concordancia con los objetivos de gobierno y gestión; las
asignaciones expresan hasta qué grado los valores del factor de diseño DF3, influyen
en la importancia de un objetivo de gobierno o gestión. Se siguen los pasos que se
indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y
Tecnología, 2018).
Se desarrolla una matriz de las 19 categorías de riesgo de TI definidas por
COBIT 2019, las cuales llevan una correlación con los objetivos de gobierno y gestión,
con la finalidad de determinar los diferentes escenarios de riesgos importantes para la
institución (Anexo A. Factor de Diseño 3b).
Mediante información que proveen los colaboradores de la DTIC, se asignan
valores con base a la siguiente escala de calificación:
a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor
influencia y 1 indica la ausencia de cualquier relación.
b) Se recomienda mantener la suficiente distancia entre los valores
95
Una vez realizada la evaluación, se obtuvieron los resultados indicados en la
Tabla 20 con respecto al resultado de la asignación de Riesgos de TI y Tabla 21,
correspondientes a la priorización de objetivos de gobierno/gestión para la DTIC.
Tabla 20
Resultado de la asignación de Riesgos de TI DF3
No Referencia Riesgos que se aplican para la DTIC
1 RISKCAT01 Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio.
2 RISKCAT02 Gestión del ciclo de vida de los programas y proyectos.
3 RISKCAT03 Coste y control de TI.
4 RISKCAT04 Comportamiento, habilidades y conocimiento de TI.
5 RISKCAT05 Arquitectura de empresa/TI. 6 RISKCAT06 Incidentes de infraestructura operativa de TI. 7 RISKCAT08 Adopción de software/problemas de uso 8 RISKCAT09 Incidentes de hardware. 9 RISKCAT10 Fallos de software.
10 RISKCAT11 Ataques lógicos [hackeo, software malintencionado (malware), etc.]
11 RISKCAT17 Innovación tecnológica. 12 RISKCAT19 Gestión de información y datos.
Tabla 21
Objetivos de gobierno y gestión DF3
Dominio Referencia Objetivos de Gobierno y
Gestión para DTIC Calificación
Evaluar, Dirigir y Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
54
EDM02 Asegurar la realización de beneficios
59
EDM03 Asegurar la optimización del riesgo
77
EDM04 Asegurar la optimización de recursos
63
EDM05 Asegurar la transparencia de las partes interesadas
59
96
Dominio Referencia Objetivos de Gobierno y
Gestión para DTIC Calificación
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI
61
APO02 Gestionar la estrategia 51
APO03 Gestionar la arquitectura de la empresa
58
APO04 Gestionar la innovación 59 APO05 Gestionar el portafolio 56
APO06 Gestionar el presupuesto y los costes
54
APO07 Gestionar los recursos humanos
50
APO08 Gestionar las relaciones 56
APO09 Gestionar los acuerdos de servicio
51
APO10 Gestionar los proveedores 55 APO11 Gestionar la calidad 56 APO12 Gestionar el riesgo 70 APO13 Gestionar la seguridad 58 APO14 Gestionar los datos 51
Construir, Adquirir e
Implementar BAI06 Gestionar los cambios de TI 53
Entrega, Dar Servicio y Soporte
DSS03 Gestionar los problemas 51
Factor de diseño 4 (DF4): Considerar los problemas actuales relacionados con la
I&T de la empresa
Una vez finalizada la valoración de los problemas actuales relacionados con la
DTIC, se realizó un diagnóstico a alto nivel de los mismos con el personal de la DTIC,
con ello se tiene una base para ejecutar el análisis de los problemas relacionados con
I&T que experimenta en la actualidad; en el siguiente factor de diseño del modelo de
COBIT 2019, se define un conjunto de 20 posibles problemas relacionados con I&T, los
cuales se deben priorizar en relación con los objetivos de gobierno y gestión; para el
análisis se siguen los pasos que se indican a continuación (ISACA, Diseño de una
solución de Gobierno de Información y Tecnología, 2018).
97
Se desarrolla una matriz de los 20 posibles problemas relacionados con I&T
definidos por COBIT 2019, los cuales se correlacionan con los objetivos de gobierno y
gestión de COBIT 2019, con el propósito de determinar los problemas relacionados con
I&T importantes para la institución (Anexo A. Factor de Diseño 4b).
Con la información que proveen los colaboradores de la DTIC, se asignan
valores con base a la siguiente escala de calificación:
a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor
influencia y 1 indica la ausencia de cualquier relación.
b) Se recomienda mantener la suficiente distancia entre los valores.
Los resultados indicados en la Tabla 22 corresponden a la asignación de
problemas relacionados con I&T y los de la Tabla 23 muestran 19 objetivos de
gobierno/gestión priorizados para la DTIC, para este factor de diseño.
Tabla 22
Resultado de la Asignación de problemas relacionados con I&T DF4
Referencia Problemas Relacionados con I&T para la DTIC
01 Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI.
02 Problemas de ejecución del servicio por parte de los subcontratistas de TI.
03 Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI.
04 Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI.
05 Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados.
06 Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho.
07 Alto coste de protección de TI
08 Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes
09 Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa
98
Tabla 23
Objetivos de gobierno y gestión DF4
Dominio Referencia Objetivos de Gobierno y Gestión
para DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
75
EDM02 Asegurar la realización de beneficios 76 EDM03 Asegurar la optimización del riesgo 71 EDM04 Asegurar la optimización de recursos 67
EDM05 Asegurar la transparencia de las partes interesadas
60
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 81 APO02 Gestionar la estrategia 72 APO04 Gestionar la innovación 63 APO08 Gestionar las relaciones 61 APO11 Gestionar la calidad 68 APO12 Gestionar el riesgo 75
Construir, Adquirir e
Implementar
BAI02 Gestionar la definición de requisitos 58
BAI03 Gestionar la identificación y construcción de soluciones
64
BAI05 Gestionar los cambios organizativos 60 Entrega,
Dar Servicio y Soporte
DSS01 Gestionar las operaciones 60
DSS03 Gestionar los problemas 59
Monitorizar, Evaluar y
Valorar
MEA01 Gestionar la monitorización del rendimiento y la conformidad
54
MEA02 Gestionar el sistema de control interno
62
MEA04 Gestionar el aseguramiento 57
Al finalizar con el análisis de los factores de diseño del paso 2, en la Tabla 24 se
presenta un resumen con la priorización de los objetivos de gobierno y gestión para
cada factor de diseño. Adicional, la priorización de los objetivos de gobierno y gestión
está dada de acuerdo con la puntuación alcanzada en los factores de diseño DF1 al
DF4, se consideran valores de la media hacia arriba y se obtienen los resultados finales
de los factores de diseño del paso número 2. Se determinan 16 objetivos de gobierno y
gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan en la Tabla 25.
99
Tabla 24
Resumen resultados factores de diseño Paso 2
Paso 2: Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM01 EDM01 EDM01 EDM01
Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02 Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03 Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04 Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05
Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01
Gestionar la estrategia APO02 APO02 APO02 APO02 Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03 Gestionar la innovación APO04 APO04 APO04 APO04 Gestionar el portafolio APO05 APO05 APO05 APO05 Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06 Gestionar los recursos humanos APO07 APO07 APO07 APO07 Gestionar las relaciones APO08 APO08 APO08 APO08 Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09
Gestionar los proveedores APO10 APO10 APO10 APO10 Gestionar la calidad APO11 APO11 APO11 APO11 Gestionar el riesgo APO12 APO12 APO12 APO12 Gestionar la seguridad APO13 APO13 APO13 APO13 Gestionar los datos APO14 APO14 APO14 APO14 Gestionar los programas BAI01 BAI01 BAI01 BAI01 Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02 Gestionar la identificación y construcción de soluciones
BAI03 BAI03 BAI03 BAI03
Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04 Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05 Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06 Gestionar la aceptación y la transición de los cambios de TI
BAI07 BAI07 BAI07 BAI07
Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08 Gestionar los activos BAI09 BAI09 BAI09 BAI09 Gestionar la configuración BAI10 BAI10 BAI10 BAI10 Gestionar los proyectos BAI11 BAI11 BAI11 BAI11 Gestionar las operaciones DSS01 DSS01 DSS01 DSS01 Gestionar las peticiones y los incidentes del servicio
DSS02 DSS02 DSS02 DSS02
Gestionar los problemas DSS03 DSS03 DSS03 DSS03 Gestionar la continuidad DSS04 DSS04 DSS04 DSS04 Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05
Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06 Gestionar la monitorización del rendimiento y la conformidad
MEA01 MEA01 MEA01 MEA01
Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02 Gestionar el cumplimiento de los requerimientos externos
MEA03 MEA03 MEA03 MEA03
Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04
100
Tabla 25
Resumen valores de factores de diseño Paso 2
Paso 2: Valores Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Total
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
95 27 54 75 251
EDM02 Asegurar la realización de beneficios 90 23 59 76 248 EDM03 Asegurar la optimización del riesgo 87 27 77 71 262 EDM04 Asegurar la optimización de recursos 91 27 63 67 248 EDM05 Asegurar la transparencia de las partes interesadas 95 27 59 60 241 APO01 Gestionar el marco de gestión de TI 95 23 61 81 260 APO02 Gestionar la estrategia 65 27 51 72 215 APO03 Gestionar la arquitectura de la empresa 60 31 58 37 186 APO04 Gestionar la innovación 85 31 59 63 238 APO05 Gestionar el portafolio 35 31 56 46 168 APO06 Gestionar el presupuesto y los costes 23 35 54 43 155
APO07 Gestionar los recursos humanos 82 35 50 39 206
APO08 Gestionar las relaciones 73 27 56 61 217 APO09 Gestionar los acuerdos de servicio 50 35 51 33 169 APO10 Gestionar los proveedores 44 31 55 43 173 APO11 Gestionar la calidad 73 35 56 68 232 APO12 Gestionar el riesgo 73 27 70 75 245 APO13 Gestionar la seguridad 83 23 58 6 170 APO14 Gestionar los datos 86 25 51 36 198
BAI01 Gestionar los programas 71 14 49 46 180
BAI02 Gestionar la definición de requisitos 71 23 42 58 194
BAI03 Gestionar la identificación y construcción de soluciones 74 19 48 64 205 BAI04 Gestionar la disponibilidad y capacidad 58 15 43 40 156
BAI05 Gestionar los cambios organizativos 57 26 40 60 183
BAI06 Gestionar los cambios de TI 68 27 53 51 199
BAI07 Gestionar la aceptación y la transición de los cambios de TI
59 27 37 46 169
BAI08 Gestionar el conocimiento 60 19 40 32 151 BAI09 Gestionar los activos 36 35 29 28 128 BAI10 Gestionar la configuración 30 23 37 46 136
BAI11 Gestionar los proyectos 50 30 46 43 169
DSS01 Gestionar las operaciones 50 26 30 60 166 DSS02 Gestionar las peticiones y los incidentes del servicio 44 23 49 39 155 DSS03 Gestionar los problemas 46 31 51 59 187 DSS04 Gestionar la continuidad 46 27 40 49 162 DSS05 Gestionar los servicios de seguridad 58 26 39 51 174 DSS06 Gestionar los controles de procesos de negocio 53 27 48 51 179
MEA01 Gestionar la monitorización del rendimiento y la conformidad
50 35 37 54 176
MEA02 Gestionar el sistema de control interno 43 35 46 62 186
MEA03 Gestionar el cumplimiento de los requerimientos externos
49 23 46 49 167
MEA04 Gestionar el aseguramiento 50 31 48 57 186
TOTAL 7690
192,25
101
Conclusión Paso 2
Al finalizar el paso 2, se tiene una visión más completa de los elementos que se
requieren para definir el alcance inicial de un sistema de gobierno personalizado para la
DTIC:
I. Objetivos de gobierno y gestión priorizados: Se refiere a la serie de objetivos de
gobierno y gestión en los cuales se deberá enfocar la DTIC, los cuales se indican
en la Tabla 26.
Tabla 26
Objetivos de gobierno y gestión Paso 2
Dominio Referencia Objetivos de Gobierno y Gestión para
DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
251
EDM02 Asegurar la realización de beneficios 248 EDM03 Asegurar la optimización del riesgo 262 EDM04 Asegurar la optimización de recursos 248
EDM05 Asegurar la transparencia de las partes interesadas
241
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 260 APO02 Gestionar la estrategia 215 APO04 Gestionar la innovación 238 APO07 Gestionar los recursos humanos 206 APO08 Gestionar las relaciones 217 APO11 Gestionar la calidad 232 APO12 Gestionar el riesgo 245 APO14 Gestionar los datos 198
Construir, Adquirir e
Implementar
BAI02 Gestionar la definición de requisitos 194
BAI03 Gestionar la identificación y construcción de soluciones
205
BAI06 Gestionar los cambios de TI 199
PASO 3: Perfeccionar el alcance del sistema de gobierno
Los factores de diseño restantes, de los indicados en la sección 3.4 en el paso 3,
permiten realizar afinamientos sobre el alcance inicial del sistema de gobierno y gestión
102
definido. Este paso incluye los siguientes aspectos: (ISACA, Diseño de una solución
de Gobierno de Información y Tecnología, 2018)
I. Explicación de cada factor de diseño (DF), del DF5 al DF11, Escenario de
amenazas al Tamaño de la empresa respectivamente.
II. Determinar si cada factor de diseño es aplicable o no a la empresa. - Para este
punto, en función de las características de la institución, la DTIC considera el
análisis de los factores de diseño (DF) 5,7,8 y 9.
III. Para los factores de diseño aplicables, determinar los posibles valores que se
ajusten al contexto de la institución, junto con descripciones de referencia de los
valores y matrices de asignación.
El resultado de cada consideración de estos factores de diseño corresponde a
una lista clasificada con los objetivos de gobierno y gestión similar al paso anterior,
asimismo con las matrices de asignación es posible utilizar las mismas técnicas y
escalas ya descritas.
Factor de diseño 5 (DF5): Considerar el escenario de amenazas
Escenario bajo el cual opera la DTIC; el factor de diseño 5 permite determinar
los valores que encajan de mejor manera al funcionamiento actual de la DTIC, conforme
a cada una de las dos entradas posibles correspondientes a este factor de diseño: alto y
normal, descritos en la sección 2.3.3. numeral 5.
De acuerdo con los criterios de COBIT 2019, para priorizar los objetivos de
gobierno y gestión se desarrolla una tabla de asignación entre los parámetros del factor
de diseño 5 y los objetivos de gobierno y gestión (Anexo A. Factor Diseño 5).
En conjunto con funcionarios de la DTIC, para cada objetivo de gobierno y
gestión se asignan valores a las categorías alto y normal entre uno (1) y cuatro (4), así:
a) Definir un valor NORMAL < 4
103
b) El valor asignado al campo ALTO será mayor que el valor del campo NORMAL
La matriz de asignación del factor de diseño 5 deriva en la identificación de los
objetivos de gobierno y gestión relevantes para la DTIC en los parámetros analizados
(Tabla 27).
Tabla 27
Objetivos de gobierno y gestión DF5
Dominio Referencia Objetivos de Gobierno y Gestión
para DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM03 Asegurar la optimización del riesgo 5
EDM04 Asegurar la optimización de recursos 5
Alinear, Planificar y Organizar
APO02 Gestionar la estrategia 5
APO03 Gestionar la arquitectura de la empresa
5
APO06 Gestionar el presupuesto y los costes 5 APO07 Gestionar los recursos humanos 5 APO09 Gestionar los acuerdos de servicio 5 APO10 Gestionar los proveedores 5 APO11 Gestionar la calidad 5 APO12 Gestionar el riesgo 5 APO13 Gestionar la seguridad 5 APO14 Gestionar los datos 5
Construir, Adquirir e
Implementar
BAI02 Gestionar la definición de requisitos 5 BAI06 Gestionar los cambios de TI 5
BAI07 Gestionar la aceptación y la transición de los cambios de TI
5
BAI08 Gestionar el conocimiento 5 BAI11 Gestionar los proyectos 5
Entregar, Dar Servicio
y Soporte
DSS03 Gestionar los problemas 5 DSS04 Gestionar la continuidad 5 DSS05 Gestionar los servicios de seguridad 5
Monitorizar, Evaluar y Valorar
MEA02 Gestionar el sistema de control interno 5
MEA03 Gestionar el cumplimiento de los requerimientos externos
5
Además, cada categoría del factor de diseño de escenario de amenazas se
valoró sobre el 100% y fue posible concluir los siguientes aspectos:
Se observa que, de las calificaciones de los dos valores analizados para este
factor de diseño, la categoría alta presenta el mayor porcentaje con el 78.14%, mientras
104
que el 21.85% corresponde al parámetro de normal; es decir que la mayor parte de las
operaciones de la DTIC se encuentra sujeta a un escenario de amenazas alta.
Factor de diseño 7 (DF7): Rol de TI
El factor de diseño 7 señala las directrices a seguir por parte de la institución
para evaluar cuatro posibles parámetros del Rol de TI (soporte, fábrica, cambio y
estratégico) revisados en la sección 2.3.3. Se plantea una matriz base entre los factores
de diseño y los objetivos de gobierno y gestión, con el fin de realizar el análisis
respectivo y cuantificar cada objetivo.
En consideración con la situación actual, en conjunto con personal de la DTIC se
evalúa la matriz para este factor de diseño, con valores de la escala entre uno (1) hasta
cinco (5): 1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño
7).
Una vez realizada la evaluación de los parámetros descritos, los resultados se
presentan en la Tabla 28 con los objetivos de gobierno y gestión priorizados; se
consideraron aquellos con una calificación en el rango de la media hacia arriba.
Tabla 28
Objetivos de gobierno y gestión DF7
Dominio Referencia Objetivos de Gobierno y Gestión para
DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
17
EDM02 Asegurar la realización de beneficios 16
EDM04 Asegurar la optimización de recursos 15
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 18
APO02 Gestionar la estrategia 15
APO03 Gestionar la arquitectura de la empresa 18
APO04 Gestionar la innovación 16
APO06 Gestionar el presupuesto y los costes 16
APO07 Gestionar los recursos humanos 17
APO09 Gestionar los acuerdos de servicio 17
APO12 Gestionar el riesgo 15
105
Dominio Referencia Objetivos de Gobierno y Gestión para
DTIC Calificación
Construir, Adquirir e
Implementar
BAI01 Gestionar los programas 15
BAI02 Gestionar la definición de requisitos 16
BAI03 Gestionar la identificación y construcción de soluciones
16
BAI05 Gestionar los cambios organizativos 15
BAI06 Gestionar los cambios de TI 16
BAI07 Gestionar la aceptación y la transición de los cambios de TI
17
BAI08 Gestionar el conocimiento 15
BAI11 Gestionar los proyectos 18
Entregar, Dar Servicio
y Soporte DSS06
Gestionar los controles de procesos de negocio
16
Monitorizar, Evaluar y Valorar
MEA01 Gestionar la monitorización del rendimiento y la conformidad
15
Además, los resultados muestran que los valores de los cuatro parámetros
definidos en este factor de diseño no marcan una diferencia significativa entre ellos;
adicional, que el Rol de TI estratégico es el más representativo para la DTIC con 28,7%,
es decir las TI son críticas para el funcionamiento e innovación de los procesos y
servicios de la institución.
Factor de diseño 8 (DF8): Modelo de abastecimiento de proveedores para TI
El factor de diseño 8 señala las directrices a seguir por parte de la institución
para evaluar tres posibles modelos de abastecimiento de proveedores para TI
(Externalización (outsourcing), Nube, Personal interno (insourcing). Se plantea una
matriz base entre los factores de diseño y los objetivos de gobierno y gestión, con el fin
de realizar el análisis respectivo y cuantificar cada objetivo.
Con respecto a la situación actual y junto con el personal de la DTIC, se evalúa
la matriz para el factor de diseño 8, con valores de la escala entre uno (1) hasta cinco
(5): 1 indica que es nada importante y 5 más importante. (Anexo A. Factor Diseño 8).
106
Luego de finalizar la evaluación de la matriz descrita, los resultados se
presentan en la Tabla 29, con los objetivos de gobierno y gestión priorizados; se
consideraron aquellos con una calificación en el rango de la media hacia arriba.
Tabla 29
Objetivos de gobierno y gestión DF8
Dominio Referencia Objetivos de Gobierno y Gestión para
DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM02 Asegurar la realización de beneficios 5 EDM03 Asegurar la optimización del riesgo 5 EDM04 Asegurar la optimización de recursos 5
EDM05 Asegurar la transparencia de las partes interesadas
5
Alinear,
Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 5 APO04 Gestionar la innovación 5 APO05 Gestionar el portafolio 5 APO06 Gestionar el presupuesto y los costes 5 APO07 Gestionar los recursos humanos 5 APO08 Gestionar las relaciones 5 APO10 Gestionar los proveedores 5 APO11 Gestionar la calidad 5 APO12 Gestionar el riesgo 5 APO13 Gestionar la seguridad 5 APO14 Gestionar los datos 5
Construir, Adquirir e
Implementar
BAI01 Gestionar los programas 5 BAI02 Gestionar la definición de requisitos 5
BAI03 Gestionar la identificación y construcción de soluciones
5
BAI04 Gestionar la disponibilidad y capacidad 5 BAI05 Gestionar los cambios organizativos 5 BAI08 Gestionar el conocimiento 5 BAI09 Gestionar los activos 5 BAI10 Gestionar la configuración 5 BAI11 Gestionar los proyectos 5
Entrega, Dar Servicio y Soporte
DSS01 Gestionar las operaciones 5 DSS03 Gestionar los problemas 5 DSS05 Gestionar los servicios de seguridad 5
DSS06 Gestionar los controles de procesos de negocio
5
Monitorizar, Evaluar y Valorar
MEA03 Gestionar el cumplimiento de los requerimientos externos
5
MEA04 Gestionar el aseguramiento 5
107
Con respecto a la evaluación realizada, se pudo detectar que de 40 objetivos de
gobierno analizados en función a la DTIC; el 75% de objetivos es decir 30 objetivos
detallados, cuentan con alto grado de importancia en lo que respecta al abastecimiento
de los proveedores de TI, dan un buen lineamiento a las buenas prácticas que nos
brinda COBIT 2019. Adicional que, dentro de la DTIC, es superior el modelo de
abastecimiento de proveedores para TI el personal interno, con un valor de 79%.
Factor de diseño 9 (DF9): Métodos de implementación de TI
El factor de diseño 9 señala las directrices a seguir por parte de la institución
para evaluar tres posibles modelos de asignación de métodos de implementación de TI
(Agile, DevOps, Tradicional). Se plantea una matriz base entre los factores de diseño y
los objetivos de gobierno y gestión, con el fin de realizar el análisis respectivo y
cuantificar cada objetivo.
Con base a la situación actual y junto con el personal de la DTIC, se evalúa la
matriz para este factor de diseño, con valores de la escala entre uno (1) hasta cinco (5):
1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño 9).
Los resultados se presentan en la Tabla 30, con los objetivos de gobierno y
gestión priorizados; se consideraron aquellos con una calificación en el rango de la
media hacia arriba.
Tabla 30
Objetivos de gobierno y gestión DF9
Dominio Referencia Objetivos de Gobierno y Gestión Calificación
Alinear, Planificar y Organizar
APO05 Gestionar el portafolio 11
APO06 Gestionar el presupuesto y los costes 11 APO07 Gestionar los recursos humanos 13 APO13 Gestionar la seguridad 11
Construir, Adquirir e
Implementar
BAI03 Gestionar la definición de requisitos 9 BAI04 Gestionar la disponibilidad y capacidad 11 BAI09 Gestionar los activos 9
108
Con respecto a la evaluación realizada se pudo detectar que de 40 objetivos de
gobierno analizados; el 17.5% de objetivos, es decir 7 objetivos detallados cuentan con
alto grado de importancia en lo que respecta a la asignación de métodos de
implementación de TI; por lo que es necesario realizar un plan de innovación, el cual
permita actualizar las herramientas tecnologías actualmente implementadas. Además,
para la asignación de métodos de implementación de TI para la DTIC, el más
significativo es DevOps con un valor de 37.76%.
Al finalizar con el análisis de los factores de diseño del paso 3, en la Tabla 31 se
presenta una síntesis con la prioridad de los objetivos de gobierno y gestión para cada
factor de diseño.
Tabla 31
Resumen resultados factores de diseño Paso 3
Paso 3: Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM01 EDM01 EDM01 EDM01
Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02
Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03
Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04
Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05
Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01
Gestionar la estrategia APO02 APO02 APO02 APO02
Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03
Gestionar la innovación APO04 APO04 APO04 APO04
Gestionar el portafolio APO05 APO05 APO05 APO05
Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06
Gestionar los recursos humanos APO07 APO07 APO07 APO07
Gestionar las relaciones APO08 APO08 APO08 APO08
Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09
Gestionar los proveedores APO10 APO10 APO10 APO10
Gestionar la calidad APO11 APO11 APO11 APO11
Gestionar el riesgo APO12 APO12 APO12 APO12
Gestionar la seguridad APO13 APO13 APO13 APO13
Gestionar los datos APO14 APO14 APO14 APO14
Gestionar los programas BAI01 BAI01 BAI01 BAI01
Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02
Gestionar la identificación y construcción de soluciones BAI03 BAI03 BAI03 BAI03
Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04
109
Paso 3: Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05
Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06
Gestionar la aceptación y la transición de los cambios de TI
BAI07 BAI07 BAI07 BAI07
Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08
Gestionar los activos BAI09 BAI09 BAI09 BAI09
Gestionar la configuración BAI10 BAI10 BAI10 BAI10
Gestionar los proyectos BAI11 BAI11 BAI11 BAI11
Gestionar las operaciones DSS01 DSS01 DSS01 DSS01
Gestionar las peticiones y los incidentes del servicio DSS02 DSS02 DSS02 DSS02
Gestionar los problemas DSS03 DSS03 DSS03 DSS03
Gestionar la continuidad DSS04 DSS04 DSS04 DSS04
Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05
Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06
Gestionar la monitorización del rendimiento y la conformidad
MEA01 MEA01 MEA01 MEA01
Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02
Gestionar el cumplimiento de los requerimientos externos MEA03 MEA03 MEA03 MEA03
Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04
Adicional, en la Tabla 32 se resume el refinamiento del alcance inicial definido,
se muestran los factores de diseño aplicables a la institución.
Tabla 32
Refinamiento del alcance del sistema de gobierno y gestión
Ref Factor de
Diseño Valor
Prioridad de los Objetivos de Gobierno y Gestión
Componentes
DF5 ESCENARIO DE AMENAZAS
Alto 78%
Entre los objetivos de gobierno y gestión importantes se incluyen: - EDM03, EDM04 - APO02, APO03, APO6, APO7,APO9, APO10, APO11, APO12, APO13, APO14 - BAI02, BAI06, BAI07, BAI08, BAI11 - DSS03, DSS04, DSS05 - MEA02, MEA03
Entre las estructuras organizativas importantes están: - Comité de estrategia de seguridad - CISO Entre los aspectos de cultura y comportamiento importantes se encuentran: - Concienciación sobre seguridad Flujos de información: - Política de seguridad - Estrategia de seguridad (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)
DF7 ROL DE TI
110
Ref Factor de
Diseño Valor
Prioridad de los Objetivos de Gobierno y Gestión
Componentes
Estratégico
4 de una escala de 5
Entre los objetivos de gobierno y gestión importantes están: - EDM01, EDM02, EDM04. - APO01, APO02, APO03, APO04, APO06, APO07, APO09, APO12. - BAI01, BAI02, BAI03, BAI05, BAI06, BAI07, BAI08, BAI11. - DSS01, DSS02, DSS06. - MEA01
N/A
DF8 MODELO DE ABASTECIMIENTO DE PROVEEDORES PARA TI
Personal interno
79%
Entre los objetivos de gobierno y gestión importantes se incluyen: - EDM02, EDM03, EDM04, EDM05 -APO01, APO04, APO05,APO06, APO07, APO08, APO10, APO11, APO12, APO13, APO14 - BAI01, BAI02. BAI03, BAI04, BAI05, BAI08, BAI09, BAI10, BAI11 -DSS01, DSS03, DSS05, DSS06 - MEA03, MEA04
N/A
DF9 MÉTODOS DE IMPLEMENTACIÓN DE TI
DevOps 37.7%
Entre los objetivos de gobierno y gestión importantes están: - APO05, APO06, APO07, APO13 - BAI03, BAI04, BAI09
N/A
La priorización de los objetivos de gobierno y gestión está dada de acuerdo con
la puntuación alcanzada en los factores de diseño DF5, DF7, DF8, DF9, se consideran
valores de la media hacia arriba y se obtienen los resultados finales de los factores de
diseño del paso número 3.
Se determinan 17 objetivos de gobierno y gestión para ser fortalecidos dentro de
la DTIC, los cuales se presentan en la Tabla 33.
111
Tabla 33
Resumen valores de factores de diseño Paso 3
Paso 3: Valores Factores
de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Total
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
4 17 4 9 34
EDM02 Asegurar la realización de beneficios 4 16 5 9 34 EDM03 Asegurar la optimización del riesgo 5 14 5 9 33 EDM04 Asegurar la optimización de recursos 5 15 5 9 34 EDM05 Asegurar la transparencia de las partes interesadas 4 12 5 9 30 APO01 Gestionar el marco de gestión de TI 4 18 5 9 36 APO02 Gestionar la estrategia 5 15 4 9 33 APO03 Gestionar la arquitectura de la empresa 5 18 4 9 36 APO04 Gestionar la innovación 5 16 5 9 35 APO05 Gestionar el portafolio 4 13 5 11 33 APO06 Gestionar el presupuesto y los costes 5 16 5 11 37 APO07 Gestionar los recursos humanos 5 17 5 13 40 APO08 Gestionar las relaciones 4 11 5 9 29 APO09 Gestionar los acuerdos de servicio 5 17 4 9 35 APO10 Gestionar los proveedores 5 4 5 9 23 APO11 Gestionar la calidad 5 12 5 9 31 APO12 Gestionar el riesgo 5 15 5 9 34 APO13 Gestionar la seguridad 5 11 5 11 32 APO14 Gestionar los datos 5 13 5 9 32 BAI01 Gestionar los programas 4 15 5 9 33 BAI02 Gestionar la definición de requisitos 5 16 5 9 35 BAI03 Gestionar la identificación y construcción de soluciones 4 16 5 11 36 BAI04 Gestionar la disponibilidad y capacidad 4 12 5 11 32 BAI05 Gestionar los cambios organizativos 4 15 5 9 33 BAI06 Gestionar los cambios de TI 5 16 3 9 33 BAI07 Gestionar la aceptación y la transición de los cambios de TI 5 17 3 9 34 BAI08 Gestionar el conocimiento 5 15 5 9 34 BAI09 Gestionar los activos 4 14 5 11 34 BAI10 Gestionar la configuración 4 11 5 9 29 BAI11 Gestionar los proyectos 5 18 5 9 37 DSS01 Gestionar las operaciones 4 15 5 9 33 DSS02 Gestionar las peticiones y los incidentes del servicio 4 15 3 9 31 DSS03 Gestionar los problemas 5 12 5 9 31 DSS04 Gestionar la continuidad 5 13 3 9 30 DSS05 Gestionar los servicios de seguridad 5 14 5 9 33 DSS06 Gestionar los controles de procesos de negocio 4 16 5 9 34 MEA01 Gestionar la monitorización del rendimiento y la conformidad 4 15 4 9 32 MEA02 Gestionar el sistema de control interno 5 14 4 9 32 MEA03 Gestionar el cumplimiento de los requerimientos externos 5 13 5 9 32 MEA04 Gestionar el aseguramiento 4 13 5 9 31
TOTAL 1320 33
112
Conclusión Paso 3
Al finalizar el paso 3, la institución pudo identificar los refinamientos necesarios
para el sistema de gobierno y gestión inicial, información que será considerada en el
siguiente paso (Paso 4) para su consolidación.
De manera similar al anterior paso, el afinamiento se expresa en objetivos de
gobierno/gestión priorizados del sistema de gobierno y gestión, los cuales se indican en
la Tabla 34.
Tabla 34
Objetivos de gobierno y gestión Paso 3
Dominio Referencia Objetivos de Gobierno y Gestión
para DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
34
EDM02 Asegurar la realización de beneficios 34
EDM04 Asegurar la optimización de recursos 34
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 36
APO03 Gestionar la arquitectura de la empresa 36
APO04 Gestionar la innovación 35
APO06 Gestionar el presupuesto y los costes 37
APO07 Gestionar los recursos humanos 40
APO09 Gestionar los acuerdos de servicio 35
APO12 Gestionar el riesgo 34
Construir, Adquirir e
Implementar
BAI02 Gestionar la definición de requisitos 35
BAI03 Gestionar la identificación y construcción de soluciones
36
BAI07 Gestionar la aceptación y la transición de los cambios de TI
34
BAI08 Gestionar el conocimiento 34
BAI09 Gestionar los activos 34
BAI11 Gestionar los proyectos 37
Entregar, Dar Servicio y Soporte
DSS06 Gestionar los controles de procesos de negocio
34
113
PASO 4: Perfeccionar el alcance del sistema de gobierno
Como se puede observar en la Figura 34, el sistema de gobierno resultante del
paso final del proceso de diseño considera todos los aportes revisados de los pasos
anteriores, así:
• El alcance inicial del diseño del sistema de gobierno se realizó en el Paso 2, a partir
del Paso 1 en el que se tuvo un mayor conocimiento del contexto y de la estrategia
de la empresa.
• El perfeccionamiento del alcance se obtuvo en el Paso 3 con el análisis de los
factores de diseño adicionales descritos por COBIT 2019.
Figura 34
Flujo de trabajo del diseño del sistema de gobierno
Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)
Finalizar el diseño
El resultado final del desarrollo de cada una de las etapas permite obtener el
diseño de un sistema de gobierno de TI para la DTIC y alcanzar una conclusión; el
diseño incluye:
114
Objetivos de gobierno y gestión priorizados
En este punto es posible incluir las prioridades de los objetivos de gobierno
revisados en los pasos 2 y 3 de las etapas de diseño propuestas por COBIT. Este
análisis genera las prioridades ajustadas indicadas en la Tabla 35.
Tabla 35
Objetivos de gobierno y gestión Paso 2 Paso 3
Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 PASO
2 PASO
3 Total
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
251 34 142,5
EDM02 Asegurar la realización de beneficios 248 34 141
EDM03 Asegurar la optimización del riesgo 262 33 147,5
EDM04 Asegurar la optimización de recursos 248 34 141 EDM05 Asegurar la transparencia de las partes interesadas 241 30 135,5 APO01 Gestionar el marco de gestión de TI 260 36 148 APO02 Gestionar la estrategia 215 33 124 APO03 Gestionar la arquitectura de la empresa 186 36 111
APO04 Gestionar la innovación 238 35 136,5
APO05 Gestionar el portafolio 168 33 100,5
APO06 Gestionar el presupuesto y los costes 155 37 96
APO07 Gestionar los recursos humanos 206 40 123 APO08 Gestionar las relaciones 217 29 123 APO09 Gestionar los acuerdos de servicio 169 35 102 APO10 Gestionar los proveedores 173 23 98 APO11 Gestionar la calidad 232 31 131,5 APO12 Gestionar el riesgo 245 34 139,5 APO13 Gestionar la seguridad 170 32 101 APO14 Gestionar los datos 198 32 115 BAI01 Gestionar los programas 180 33 106,5
BAI02 Gestionar la definición de requisitos 194 35 114,5
BAI03 Gestionar la identificación y construcción de soluciones
205 36 120,5
BAI04 Gestionar la disponibilidad y capacidad 156 32 94 BAI05 Gestionar los cambios organizativos 183 33 108
BAI06 Gestionar los cambios de TI 199 33 116
BAI07 Gestionar la aceptación y la transición de los cambios de TI
169 34 101,5
BAI08 Gestionar el conocimiento 151 34 92,5 BAI09 Gestionar los activos 128 34 81
BAI10 Gestionar la configuración 136 29 82,5
BAI11 Gestionar los proyectos 169 37 103 DSS01 Gestionar las operaciones 166 33 99,5 DSS02 Gestionar las peticiones y los incidentes del servicio 155 31 93
115
Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 PASO
2 PASO
3 Total
DSS03 Gestionar los problemas 187 31 109 DSS04 Gestionar la continuidad 162 30 96
DSS05 Gestionar los servicios de seguridad 174 33 103,5
DSS06 Gestionar los controles de procesos de negocio 179 34 106,5
MEA01 Gestionar la monitorización del rendimiento y la conformidad
176 32 104
MEA02 Gestionar el sistema de control interno 186 32 109
MEA03 Gestionar el cumplimiento de los requerimientos externos
167 32 99,5
MEA04 Gestionar el aseguramiento 186 31 108,5
La puntuación alcanzada en los pasos 2 y 3 permitió consolidar los resultados de
los objetivos de gobierno y gestión aplicables para la DTIC; se pudo identificar los
siguientes objetivos más importantes:
• APO01 Gestionar el marco de gestión de TI (148)
• EDM03 Asegurar la optimización del riesgo (147,5)
• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
(142,5)
• EDM02 Asegurar la realización de beneficios (141)
• EDM04 Asegurar la optimización de recursos (141)
• APO12 Gestionar el riesgo (139,5)
Con respecto al análisis inicial de los factores de diseño de los pasos anteriores,
los objetivos de gobierno/gestión cambiaron y se añadieron; así como, se añadieron
APO03, APO06, APO09, BAI07, BAI08, BAI09, BAI11, DSS06. Asimismo, se identifican
los siguientes objetivos de gobierno menos importantes:
• BAI09 Gestionar los activos (81)
• BAI08 Gestionar el conocimiento (92,5)
• APO06 Gestionar el presupuesto y los costes (96)
116
Adicional, con base a lo acordado con la DTIC en el alcance del proyecto, se
requiere la implementación de los siguientes objetivos, por lo tanto, se incluyen dentro
de los objetivos de gobierno/gestión priorizados:
• APO11 Gestionar la calidad
• DSS05 Gestionar los servicios de seguridad
Los cambios identificados en los objetivos de gobierno más importantes, así
como los menos importantes, demuestra que, considerar otros factores de diseño ha
conllevado a tener ajustes adicionales en el sistema de gobierno.
Tabla 36
Objetivos de gobierno y gestión priorizados para la DTIC
Dominio Ref. Objetivos de Gobierno y Gestión para DTIC Calificación
Evaluar, Dirigir y
Monitorizar
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
142,5
EDM02 Asegurar la realización de beneficios 141
EDM03 Asegurar la optimización del riesgo 147,5
EDM04 Asegurar la optimización de recursos 141
EDM05 Asegurar la transparencia de las partes interesadas 135,5
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 148
APO02 Gestionar la estrategia 124
APO03 Gestionar la arquitectura de la empresa 111
APO04 Gestionar la innovación 136,5
APO06 Gestionar el presupuesto y los costes 96
APO07 Gestionar los recursos humanos 123
APO08 Gestionar las relaciones 123
APO09 Gestionar los acuerdos de servicio 102
APO11 Gestionar la calidad 131,5
APO12 Gestionar el riesgo 139,5
APO14 Gestionar los datos 115
Construir, Adquirir e
Implementar
BAI02 Gestionar la definición de requisitos 114,5
BAI03 Gestionar la identificación y construcción de soluciones 120,5
BAI06 Gestionar los cambios de TI 116
BAI07 Gestionar la aceptación y la transición de los cambios de TI 101,5
BAI08 Gestionar el conocimiento 92,5
BAI09 Gestionar los activos 81
BAI11 Gestionar los proyectos 103 Entregar,
Dar Servicio y Soporte
DSS05 Gestionar los servicios de seguridad 103,5
DSS06 Gestionar los controles de procesos de negocio 106,5
117
Para concluir, una vez realizado un análisis cuantitativo de todos los factores de
diseño planteados por COBIT 2019 con base al contexto actual de la institución, se
identificaron 25 objetivos de gobierno y gestión propuestos para la DTIC y se indican en
la Tabla 36.
Kit de Herramientas de COBIT 2019
Adicional al diseño realizado mediante las 4 fases, COBIT 2019 permite aplicar
un Kit de herramientas para obtener los resultados sobre la priorización de los objetivos
de gobierno y gestión, a través de los factores de diseño de cada fase y visualizar los
resultados obtenidos.
La herramienta consiste en varias hojas de cálculo de Excel, las cuales de
manera general se estructuran de la siguiente manera:
• Una hoja de cálculo por cada factor de diseño, constituidas con la siguiente
información:
• Valores de entrada: Valores que se pueden introducir y se encuentran relacionados
con el contexto y situación actual de la institución, valores que se pueden
representar de forma gráfica.
• Cuantificación y clasificación de prioridades para los objetivos de gobierno y
gestión: Mediante tablas de asignación con valores que indican la importancia de
cada objetivo de gobierno/gestión. El Kit de herramientas realiza cálculos
automáticos de los valores introducidos para cada factor de diseño y refleja
promedios establecidos por la propia herramienta.
• Salidas: Corresponde a los resultados obtenidos. Los puntajes de prioridad se
calculan y son presentados en formato de tabla y de forma gráfica en dos diagramas
(Diagrama de barras y de araña).
118
• Dos hojas de resumen al finalizar el paso 2 y el paso 3 del diseño del sistema de
gobierno
• Una hoja de cálculo que permite consolidar los resultados de los factores de diseño
del sistema de gobierno.
Mediante el Kit de herramientas de COBIT 2019 será posible tener una
comparativa de los resultados obtenidos en los pasos anteriores y definir valores con
mayor exactitud, además presentar los resultados de una manera dinámica y gráfica.
La herramienta realiza una suma ponderada de los puntajes de importancia de
los objetivos de gobierno/gestión relacionadas con los factores de diseño del 5 al 10 y la
combina con los resultados del paso 2 Diseño inicial del sistema de gobierno. (ISACA,
Diseño de una solución de Gobierno de Información y Tecnología, 2018)
Para cada uno de los factores de diseño de las etapas planteadas por COBIT
para el sistema de gobierno y gestión, se presentan los valores de entrada y los
resultados obtenidos como salida. (Figura 35 – Figura 42).
Factor de diseño DF1
Se evalúa cada uno de los cuatro valores posibles para el factor de diseño de la
estrategia empresarial: crecimiento/adquisición, innovación/diferenciación, liderazgo en
coste, servicios/estabilidad al cliente.
Factor de diseño DF2
Análisis de cada una de las trece metas empresariales calificadas entre 1 (nada
importante) y 5 (más importante).
Factor de diseño DF3
Análisis del riesgo, considerando las 19 categorías de riesgo contenidas en el
factor de diseño de perfil de riesgo
119
Factor de diseño DF4
Evaluación de cada uno de los 20 problemas relacionados con TI entre 1 (ningún
problema) y 3 (problema grave).
Factor de diseño DF5
Se evalúa cada uno de los dos valores posibles (alto y normal) para el factor de
diseño de escenario de amenazas, entre 0% y 100%; la suma de los valores debe ser
100%.
Factor de diseño DF7
Estudio de cada uno de los cuatro valores posibles para el factor de diseño de
rol de TI (soporte, fábrica, cambio y estratégico), deben valorarse entre 1 (nada
importante) y 5 (más importante).
Factor de diseño DF8
Análisis de cada uno de los tres valores posibles para el factor de diseño de
modelo de abastecimiento de proveedores para TI (externalización, nube y personal
interno), se valora entre 0% y 100%. La suma de los tres valores debe ser 100%
Factor de diseño DF9
Estudio de cada uno de los tres valores posibles para el factor de diseño de
métodos de implementación de TI (Agile, DevOps y tradicional), entre 0% y 100% y la
suma de los tres valores debe ser 100%.
120
Figura 35
Factor de Diseño DF1
121
Figura 36
Factor de Diseño DF2
122
Figura 37
Factor de Diseño DF3
123
Figura 38
Factor de Diseño DF4
124
Figura 39
Factor de Diseño DF5
125
Figura 40
Factor de Diseño DF7
126
Figura 41
Factor de Diseño DF8
127
Figura 42
Factor de Diseño DF9
128
Una vez realizada la evaluación de cada uno de los factores de diseño, la
herramienta resume los valores en una lista de resultados, que proporciona una visión
confiable de la importancia relativa que se calculó para cada uno de los 40 objetivos de
gobierno y gestión de COBIT 2019; mediante estos resultados es posible priorizar los
objetivos de gobierno/gestión para la DTIC y definir niveles de capacidad objetivo
adecuados. Los resultados se presentan como diagrama de barras (figura 43).
Figura 43
Importancia de los objetivos de gobierno/gestión para DTIC
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
129
Con base a los resultados obtenidos de las matrices genéricas propuestas por
COBIT 2019 y de los valores alcanzados con la herramienta de COBIT 2019, es posible
realizar una comparación entre los objetivos con mayor resultado en ambos casos y
obtener un valor promedio, para determinar con mayor exactitud y fiabilidad los
objetivos de gobierno/gestión priorizados para la DTIC, estos resultados se muestran en
la Tabla 37.
De acuerdo con el análisis realizado en cada uno de los factores de diseño y
mediante la utilización del kit de herramientas de COBIT 2019, el modelo de mejora de
un sistema de gobierno propuesto para la DTIC comprende 20 objetivos de
gobierno/gestión, y se encuentran listados en la Tabla 38 con base a la calificación
alcanzada, lo que indica el orden en el que se recomienda fortalecer o implementar;
además se presenta el mapa del modelo de mejoramiento de procesos de TI que se
recomienda implementar en la institución (figura 44).
En el Anexo A se puede visualizar el modelo propuesto para la DTIC, con la
información de todas las fases de COBIT 2019.
130
Tabla 37
Resumen de valores de objetivos de gobierno y gestión DTIC
Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 PASOS
2 y 3 HERRAMIENTA
COBIT TOTAL
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
142,5 35 88,75
EDM02 Asegurar la realización de beneficios 141 -5 68 EDM03 Asegurar la optimización del riesgo 147,5 45 96,25 EDM04 Asegurar la optimización de recursos 141 5 73 EDM05 Asegurar la transparencia de las partes interesadas 135,5 10 72,75 APO01 Gestionar el marco de gestión de TI 148 40 94 APO02 Gestionar la estrategia 124 10 67 APO03 Gestionar la arquitectura de la empresa 111 60 85,5 APO04 Gestionar la innovación 136,5 -10 63,25 APO05 Gestionar el portafolio 100,5 5 52,75 APO06 Gestionar el presupuesto y los costes 96 -5 45,5
APO07 Gestionar los recursos humanos 123 10 66,5
APO08 Gestionar las relaciones 123 -10 56,5 APO09 Gestionar los acuerdos de servicio 102 -5 48,5 APO10 Gestionar los proveedores 98 5 51,5 APO11 Gestionar la calidad 131,5 30 80,75 APO12 Gestionar el riesgo 139,5 70 104,75 APO13 Gestionar la seguridad 101 75 88 APO14 Gestionar los datos 115 45 80 BAI01 Gestionar los programas 106,5 20 63,25 BAI02 Gestionar la definición de requisitos 114,5 45 79,75 BAI03 Gestionar la identificación y construcción de soluciones 120,5 60 90,25 BAI04 Gestionar la disponibilidad y capacidad 94 35 64,5 BAI05 Gestionar los cambios organizativos 108 15 61,5
BAI06 Gestionar los cambios de TI 116 100 108
BAI07 Gestionar la aceptación y la transición de los cambios de TI
101,5 60 80,75
BAI08 Gestionar el conocimiento 92,5 10 51,25 BAI09 Gestionar los activos 81 5 43 BAI10 Gestionar la configuración 82,5 70 76,25 BAI11 Gestionar los proyectos 103 30 66,5 DSS01 Gestionar las operaciones 99,5 35 67,25
DSS02 Gestionar las peticiones y los incidentes del servicio 93 65 79
DSS03 Gestionar los problemas 109 45 77 DSS04 Gestionar la continuidad 96 50 73 DSS05 Gestionar los servicios de seguridad 103,5 55 79,25 DSS06 Gestionar los controles de procesos de negocio 106,5 55 80,75
MEA01 Gestionar la monitorización del rendimiento y la conformidad
104 30 67
MEA02 Gestionar el sistema de control interno 109 40 74,5
MEA03 Gestionar el cumplimiento de los requerimientos externos 99,5 65 82,25 MEA04 Gestionar el aseguramiento 108,5 45 76,75
TOTAL 2925
73,125
131
Tabla 38
Objetivos de gobierno y gestión para la DTIC
No Dominio Objetivos de Gobierno y Gestión
COBIT 2019 Total
1 Construir, Adquirir e Implementar BAI06 Gestionar los cambios de TI 108
2 Alinear, Planificar y Organizar APO12 Gestionar el riesgo 104,75
3 Evaluar, Dirigir y Monitorizar EDM03 Asegurar la optimización del riesgo
96,25
4 Alinear, Planificar y Organizar APO01 Gestionar el marco de gestión de TI
94
5 Construir, Adquirir e Implementar BAI03 Gestionar la identificación y construcción de soluciones
90,25
6 Evaluar, Dirigir y Monitorizar EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
88,75
7 Alinear, Planificar y Organizar APO13 Gestionar la seguridad 88
8 Alinear, Planificar y Organizar APO03 Gestionar la arquitectura de la empresa
85,5
9 Monitorizar, Evaluar y Valorar MEA03 Gestionar el cumplimiento de los requerimientos externos
82,25
10 Alinear, Planificar y Organizar APO11 Gestionar la calidad 80,75
11 Construir, Adquirir e Implementar BAI07 Gestionar la aceptación y la transición de los cambios de TI
80,75
12 Entregar, Dar Servicio y Soporte DSS06 Gestionar los controles de procesos de negocio
80,75
13 Alinear, Planificar y Organizar APO14 Gestionar los datos 80
14 Construir, Adquirir e Implementar BAI02 Gestionar la definición de requisitos
79,75
15 Entregar, Dar Servicio y Soporte DSS05 Gestionar los servicios de seguridad
79,25
16 Entregar, Dar Servicio y Soporte DSS02 Gestionar las peticiones y los incidentes del servicio
79
17 Entregar, Dar Servicio y Soporte DSS03 Gestionar los problemas 77
18 Monitorizar, Evaluar y Valorar MEA04 Gestionar el aseguramiento 76,75
19 Construir, Adquirir e Implementar BAI10 Gestionar la configuración 76,25
20 Monitorizar, Evaluar y Valorar MEA02 Gestionar el sistema de control interno
74,5
132
Figura 44
Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC
Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC
La hoja de secuencia establece un plan general sobre la priorización de los
objetivos de gobierno/gestión que se propone implementar en la DTIC, un esquema en
el que se puede visualizar a breves rasgos la urgencia de implementación de los
procesos en la institución, de acuerdo con los 5 dominios que se indican en COBIT
2019.
Los objetivos de gobierno/gestión que se propone implementar en la DTIC se
encuentran definidos en el orden que se indica en la Figura 45, agrupados y priorizados
133
con base a los valores detallados en la Tabla 38, en la primera fase con base a lo
acordado con la DTIC en el alcance del proyecto, se requiere la implementación de los
objetivos: APO11 y DSS05.
Figura 45
Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC
1. Primera Fase (prioridad 1):
• APO11 Gestionar la calidad
• DSS05 Gestionar los servicios de seguridad
2. Segunda Fase (prioridad 2):
• BAI06 Gestionar los cambios de TI
• APO12 Gestionar el riesgo
• EDM03 Asegurar la optimización del riesgo
134
• APO01 Gestionar el marco de gestión de TI
• BAI03 Gestionar la identificación y construcción de soluciones
3. Tercera Fase (prioridad 3):
• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
• APO13 Gestionar la seguridad
4. Cuarta Fase (prioridad 4):
• APO03 Gestionar la arquitectura de la empresa
• MEA03 Gestionar el cumplimiento de los requerimientos externos
• BAI07 Gestionar la aceptación y la transición de los cambios de TI
• DSS06 Gestionar los controles de procesos de negocio
• APO14 Gestionar los datos
5. Quinta Fase (prioridad 5):
• BAI02 Gestionar la definición de requisitos
• DSS02 Gestionar las peticiones y los incidentes del servicio
6. Sexta Fase (prioridad 6):
• DSS03 Gestionar los problemas
• MEA04 Gestionar el aseguramiento
• BAI10 Gestionar la configuración
• MEA02 Gestionar el sistema de control interno
Modelo de evaluación de procesos
Para la institución es importante conocer la capacidad de los procesos de TI a
implementar, es así que, COBIT 2019 incluye un esquema de capacidad de procesos
basado en CMMI, Integración del modelo de madurez de capacidades (CMMI por sus
siglas en inglés, Capability Maturity Model Integration).
135
CMMI se deriva del modelo que el SEI (Software Engineering Intitute) definió
para la madurez de la capacidad del software, contiene las mejores prácticas del
desarrollo, las cuales se aplican desde un enfoque de administración y control de los
procesos de TI. El fin es identificar donde se encuentran los problemas y como fijar las
prioridades para obtener mejoras (iPMOGuide, 2018).
CMMI representa un método de evaluación con valores desde cero (0) hasta
cinco (5): 0 indica que es no existente y 5 que se encuentra optimizado; tal como se
revisó en la sección 2.5.1. Su importancia está dada en función de conocer el estado
actual en el que se encuentran los objetivos de gobierno y gestión y el nivel de
capacidad objetivo al que deben implementarse los procesos relacionados.
El nivel elegido para cada uno de los objetivos de gobierno y gestión deberá
considerar el benchmark interno disponible en la DTIC, correspondiente a la Matriz de
Control de Procesos DTIC. La escala de calificación de los objetivos de gobierno y
gestión se indica en la Tabla 39.
Tabla 39
Escala de calificación de niveles de capacidad
Nivel de capacidad
Descripción
5 El proceso lograr su propósito, está bien definido, su rendimiento se mide para mejorar el desempeño y se persigue la mejora continua.
4 El proceso lograr su propósito, está bien definido, y su rendimiento se mide (de forma cuantitativa).
3 El proceso logra su propósito de forma mucho más organizada usando activos para la organización. Los procesos están, por lo general, bien definidos.
2 El proceso logra su propósito a través de la aplicación de un conjunto de actividades básicas, pero completas, que pueden caracterizarse como realizadas.
1 El proceso logra más o menos su propósito a través de la aplicación de un conjunto de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no muy organizadas.
0 • Falta de cualquier capacidad básica • Estrategia incompleta para abordar el propósito de gobierno y gestión • La intención de todas las prácticas del proceso puede haberse definido o no.
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
136
Para obtener los valores de capacidad, se inicia con la consideración de los 20
objetivos de gobierno y gestión priorizados, luego se realiza la evaluación de cada uno
con base a los seis niveles de capacidad mencionados, lo cual se indica en las
siguientes Tablas (Tabla 40 – Tabla 44).
Determinación del nivel de capacidad actual de los procesos en la DTIC
Dominio: Evaluar, Dirigir y Monitorizar (EDM)
Tabla 40
Nivel de madurez actual de los objetivos gobierno/gestión EDM
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad Actual (NCA)
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno Analizar y articular los requisitos para el gobierno de la I&T de la empresa. Establecer y mantener componentes de gobierno claros con respecto a la autoridad y las responsabilidades para lograr la misión, las metas y los objetivos de la empresa.
1 Incompleto
- No existe un modelo estratégico de toma de decisiones que se cumpla al 100%. - Las actividades de planificación de TI no se cumplen de acuerdo con lo proyectado -No se cuenta con un sistema de gobierno de TI, las decisiones estratégicas se aplican de forma intuitiva
EDM03 Asegurar la optimización del
riesgo Asegurar que el apetito y la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio relacionado con el uso de I&T
0 No existe
-La actividad de Gestión de Riesgos tiene un cumplimiento de 0%. -No se cuenta con una gestión de riesgos adecuada, que permita la identificación y evaluación de riesgos de TI.
137
Dominio: Alinear, Planificar y Organizar (APO)
Tabla 41
Nivel de madurez actual de los objetivos gobierno/gestión APO
Objetivos de Gobierno y Gestión COBIT 2019 Nivel de Capacidad Actual
(NCA) APO01
Gestionar el marco de gestión de TI Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales y otros factores de diseño. En base a este diseño, implementar todos los componentes necesarios del sistema de gestión
1 Incompleto
-No se cuenta con un sistema de gobierno de TI -No se cuenta con un plan estratégico de TI alineado totalmente con el plan estratégico de la institución
APO03 Gestionar la arquitectura de la empresa Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología. Crear modelos y prácticas claves que describen las arquitecturas base y objetivo, en línea con la estrategia de I&T de la empresa. Definir los requisitos de taxonomía, estándares, directrices, procedimientos, plantillas y herramientas, y proporcionar un vínculo para estos componentes. Mejorar el alineamiento, aumentar la agilidad, mejorar la calidad de la información y generar ahorros potenciales de costes mediante iniciativas como la reutilización de componentes de bloques de construcción.
0 No existe
-No existe una arquitectura empresarial, ni tampoco un repositorio de arquitectura integrado -No se cuenta con modelos o prácticas claves para arquitecturas base y objetivo en línea con la estrategia de TI
APO11
Gestionar la calidad
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados. Habilitar los controles, monitorización continua y uso de prácticas y estándares probados en esfuerzos de mejora y eficiencia continuos.
0 No existe
-La DTIC carece de metodologías de calidad, así, no se cuenta con un modelo de ciclo de vida de desarrollo de Software
138
Objetivos de Gobierno y Gestión COBIT 2019 Nivel de Capacidad Actual
(NCA)
APO12 Gestionar el riesgo
Identificar, evaluar y reducir continuamente los riesgos relacionados con I&T dentro de los niveles de tolerancia establecidos por la gerencia ejecutiva de la empresa
0 No existe
-La Gestión de riesgos adecuada, que permita la identificación y evaluación de riesgos de TI, no se realiza en la DTIC -La DTIC no considera el impacto de la materialización de un riesgo, relacionado con una vulnerabilidad de seguridad, ni la probabilidad de ocurrencia. -La DTIC no cuenta con una matriz de riesgos definida.
APO13 Gestionar la seguridad
Definir, operar y monitorizar un sistema de gestión de seguridad de la información
1 Incompleto
-Actualmente la DTIC no tiene implementado un sistema de gestión de seguridad de la información. Se tiene establecida una política de seguridad de la información, pero no se encuentra aceptada de manera formal ni difundida en toda la organización.
APO14 Gestionar los datos
Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega, mantenimiento y archivo
0 No existe
-La DTIC no cuenta con una gestión oportuna de los activos de datos durante todo el ciclo de vida de los datos.
139
Dominio: Construir, Adquirir e Implementar (BAI)
Tabla 42
Nivel de madurez actual de los objetivos gobierno/gestión BAI
Objetivos de Gobierno y Gestión COBIT 2019 Nivel de Capacidad Actual
(NCA)
BAI02 Gestionar la definición de requisitos
Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la empresa cubriendo los procesos, aplicaciones, información/datos, infraestructura y servicios del negocio. Coordinar la revisión de opciones viables con las partes interesadas afectadas, incluidos costes y beneficios relativos, análisis de riesgos y aprobación de los requisitos y soluciones propuestas
0 No existe
- Actualmente en la DTIC, la adquisición de infraestructura de TI, la definición de servicios de TI y el mantenimiento de aplicaciones y de servicios de TI no se realizan en torno a los lineamientos de estrategias o a las necesidades de la institución. Se atienden los requerimientos de los usuarios y se programan algunos mantenimientos, pero no en su totalidad.
BAI03 Gestionar la identificación y construcción de
soluciones Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa que cubran el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores. Gestionar la configuración, preparación de pruebas, gestión de requisitos y mantenimiento de procesos de negocio, aplicaciones, información/datos, infraestructura y servicios.
1 Incompleto
-En la DTIC la aplicación de soluciones de TI se basa en enfoques intuitivos, los requerimientos se identifican de manera informal con base a las necesidades del día a día de los usuarios.
BAI06 Gestionar los cambios de TI
Gestionar todos los cambios de una manera controlada, incluidos los cambios estándar y los mantenimientos de emergencia en relación con los procesos de negocio, las aplicaciones y la infraestructura. Esto incluye estándares y procedimientos de cambio, evaluación del impacto, priorización y autorización, cambios de emergencia, seguimiento, informes, cierre y documentación.
0 No existe
-No se cuenta con un proceso estructurado de control de cambios de TI, no se aplican procedimientos y políticas para realizar cambios de TI, mediante planes de implantación, cronogramas definidos y planes de roll back.
140
Objetivos de Gobierno y Gestión COBIT 2019 Nivel de Capacidad Actual
(NCA)
BAI07 Gestionar la aceptación y la transición de los
cambios de TI
Aceptar formalmente y hacer operativas las nuevas soluciones. Incluir la planificación de la implementación, conversión de sistemas y datos, pruebas de aceptación, comunicación, preparación de la puesta en producción, paso a producción de nuevos o modificados procesos de negocio y servicios de I&T, soporte temprano de la producción y revisión posterior a la implementación.
1 Incompleto
-Actualmente existe un proceso de puesta y paso a producción de nuevos o modificados servicios de TI, sin embargo, el proceso no se encuentra totalmente estructurado y no se basa en una metodología; el equipo de desarrollo decide el enfoque de la prueba, pero el proceso no se encuentra definido de manera formal.
BAI10 Gestionar la configuración
Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T. Incluir la recopilación de información sobre la configuración, estableciendo líneas de referencia, verificando y auditando esta información, y actualizando el repositorio de configuración.
0 No existe
-La DTIC está consciente de la necesidad de controlar la configuración de TI ante la alta rotación que se tiene del personal administrador de TI, y se comprende los beneficios de mantener información completa y precisa sobre las configuraciones existentes; debido a que actualmente existe dependencia implícita del conocimiento y experiencia del personal de TI, así como, el contenido de la información de la configuración es limitado o nulo, y no se cuenta con estándares o políticas con respecto a la información de configuración.
141
Dominio: Entregar, Dar Servicio y Soporte (DSS)
Tabla 43
Nivel de madurez actual de los objetivos gobierno/gestión DSS
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad Actual (NCA)
DSS02 Gestionar las peticiones y los incidentes del servicio Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y la resolución de todos los tipos de incidentes. Restaurar el servicio normal, registrar y completar las solicitudes de usuario; y registrar, investigar, diagnosticar, escalar y resolver los incidentes.
2 Completo
-En la mayoría de los casos, a través de la herramienta Chasqui se recibe, se da soporte y respuesta a los usuarios ante incidentes de TI; en cuanto a incidentes de seguridad cibernética, mediante el área de Seguridad de la Información, se da respuesta y se analiza el incidente para tomar medidas de contención y erradicación. -Actualmente no se cuenta con un área específica dedicada únicamente al soporte de usuarios y no se documentan o estandarizan los procedimientos.
DSS03 Gestionar los problemas
Identificar y clasificar los problemas y su causa raíz. Ofrecer una solución oportuna para evitar incidentes recurrentes. Ofrecer recomendaciones de mejoras.
0 No existe
-No se cuenta con un sistema integrado de gestión de problemas. -No se tienen procesos para identificación y clasificación de problemas y la causa raíz -No existe una estandarización de procedimientos de escalamiento y resolución de problemas considerando SLA´s y OLA´s
DSS05 Gestionar los servicios de
seguridad
Proteger la información de la empresa para mantener el nivel de riesgo de la seguridad de la información aceptable para la empresa, conforme con la política de seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la información. Realizar una monitorización de la seguridad
2 Completo
-Se aplican medidas de seguridad a nivel de endpoint y borde de la red; pero no con base a una política de seguridad bien definida y estructurada. -Las políticas aplicadas no consideran medidas de concientización sobre seguridad de la información. - Los roles y privilegios de acceso de seguridad de la información no se encuentran bien definidos y aplicados -Los servicios de proveedores pueden no cumplir con requerimientos específicos de seguridad de información de la institución, que puedan traducirse en el cumplimiento de SLA´s.
142
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad Actual (NCA)
DSS06
Gestionar los controles de procesos de negocio
Definir y mantener los controles apropiados de los procesos de negocio para asegurar que la información relacionada y procesada por procesos de negocio internos o externalizados cumpla con todos los requisitos relevantes de control de la información. Identificar los requisitos relevantes de control de la información. Gestionar y operar los controles adecuados de entrada, throughput y salida (controles de aplicación) para asegurar que la información y el procesamiento de la información cumpla con estos requisitos
0 No existe
-En la actualidad no se cuenta con procesos para la definición y empleo de controles, para asegurar que la información relacionada y procesada por procesos de negocio cumplan con los requisitos de control de la información. -Estos procesos deben estar relacionados y mapeados con los procesos de negocio de la DTIC y la información retenida deberá será auditable.
Dominio: Monitorizar, Evaluar y Valorar (MEA)
Tabla 44
Nivel de madurez actual de los objetivos gobierno/gestión MEA
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad Actual (NCA)
MEA02 Gestionar el sistema de control interno
Supervisar y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y auto concienciación. Habilitar a la gerencia para identificar deficiencias e ineficiencias de control e iniciar acciones de mejora. Planificar, organizar y mantener estándares para la evaluación del control interno y la eficacia del control de procesos.
0 No existe
-Actualmente en la DTIC no existe un sistema de control interno, por parte de la institución se tiene la necesidad de una administración y gestión del control de TI de manera regular. -Los roles y responsabilidades para realizar el monitoreo y seguimiento de la efectividad de controles internos, no se encuentran definidos de manera formal por parte de la dirección de la DTIC
143
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad Actual (NCA)
MEA03 Gestionar el cumplimiento de los
requerimientos externos Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes, regulaciones y requisitos contractuales. Asegurar que los requisitos se han identificado y cumplido; integrar el cumplimiento de TI con el cumplimiento general de la empresa.
2 Completo
-La DTIC tiene el entendimiento de garantizar la integración del cumplimiento de TI con el cumplimiento de los objetivos estratégicos de la institución. - Se cumple con la necesidad de identificar y atender los requerimientos externos, como con los reglamentos regulatorios; sin embargo, no existe un enfoque estándar, en cuanto a los procedimientos que se definen para el cumplimiento de estos requerimientos.
MEA04 Gestionar el aseguramiento
Planificar, delimitar y ejecutar iniciativas de aseguramiento para cumplir con requisitos internos, leyes, regulaciones y objetivos estratégicos. Permitir que la dirección ofrezca una garantía adecuada y sostenible en la empresa, con la realización de revisiones y actividades de aseguramiento independiente.
2 Completo
-Existe la gestión del aseguramiento mediante un conjunto de actividades básicas, pero completas en cuanto a la planificación, delimitación y ejecución de iniciativas de aseguramiento para alcanzar el cumplimiento de requerimientos internos, leyes, así como con los objetivos estratégicos de la institución.
En la Tabla 45, se resume el nivel de capacidad actual de los objetivos de
gobierno/gestión para la DTIC.
144
Tabla 45
Nivel de madurez de los procesos de TI a fortalecer en la DTIC
Niveles de capacidad para los procesos (COBIT 2019)
5 4 3 2 1 0
Objetivos de Gobierno y Gestión COBIT 2019
-El proceso logra su propósito -está bien definido, - Su rendimiento se mide para mejorar el desempeño y - Se persigue la mejora continua.
-El proceso logra su propósito, está bien definido, y su rendimiento se mide de forma cuantitativa
-El proceso logra su propósito de forma mucho más organizada usando activos para la organización. -Los procesos están, por lo general, bien definidos.
-El proceso logra su propósito a través de la aplicación de un conjunto de actividades básicas, pero completas, que pueden caracterizarse como realizadas
-El proceso logra más o menos su propósito a través de la aplicación de un conjunto de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no muy organizadas
-Falta de cualquier capacidad básica -Estrategia incompleta para abordar el propósito de gobierno y gestión -La intención de todas las prácticas del proceso puede haberse definido o no
Evaluar, Dirigir y Monitorizar (EDM)
EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM03 Asegurar la optimización del riesgo
Alinear, Planificar y Organizar (APO)
APO01 Gestionar el marco de gestión de TI
APO03 Gestionar la arquitectura de la empresa
APO11 Gestionar la calidad APO12 Gestionar el riesgo APO13 Gestionar la seguridad APO14 Gestionar los datos
Construir, Adquirir e Implementar (BAI)
BAI02 Gestionar la definición de requisitos
BAI03 Gestionar la identificación y construcción de soluciones
BAI06 Gestionar los cambios de TI
BAI07 Gestionar la aceptación y la transición de los cambios de TI
BAI10 Gestionar la configuración Entregar, Dar Servicio y Soporte (DSS)
DSS02 Gestionar las peticiones y los incidentes del servicio
DSS03 Gestionar los problemas
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los controles de procesos de negocio
Monitorizar, Evaluar y Valorar (MEA)
MEA02 Gestionar el sistema de control interno
MEA03 Gestionar el cumplimiento de los requerimientos externos
MEA04 Gestionar el aseguramiento
145
Fases de implementación de un Sistema de Gobierno Personalizado
Posicionar el gobierno de Información y Tecnología de la empresa
Esta sección se refiriere al entendimiento que se debe tener sobre el contexto en
el que se desarrolla la institución y así, implementar el GEIT (Gobierno empresarial de
información y tecnología) de manera adecuada y exitosa. Se debe considerar que la
implementación tiene lugar bajo la influencia de varios factores del entorno interno y
externo como: estándares, ética, cultura, escenario de amenazas, misión, visión,
objetivo, valores, políticas, etc.
GEIT
En este trabajo se propone un modelo de Implementación de Gobierno de TI
como aliado del negocio, para ello se utilizaron las mejores prácticas de gobernanza de
TI como lo es COBIT 2019, ya que en la actualidad las tecnologías y los sistemas de
información se han convertido en el elemento esencial para la supervivencia de las
organizaciones, al posicionar al departamento de TI como área estratégica en el
cumplimiento de los objetivos del negocio. (ISACA, Marco de referencia COBIT 2019:
Objetivos de Gobierno y Gestión, 2018)
El Gobierno de TI consiste en un completo marco de estructuras, procesos y
mecanismos relacionales. Las estructuras hacen referencia a la existencia de funciones
de responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como
diversos comités de TI. Los procesos se refieren a la monitorización y a la toma de
decisiones estratégicas de TI. Los mecanismos relacionales consideran las alianzas y la
participación de la empresa/organización de TI, el diálogo en la estrategia y el
aprendizaje compartido. (Salah Llanes, 2017)
146
Además, se entiende por Gobierno TI al conjunto de acciones que realiza el área
de TI en coordinación con la alta dirección, para movilizar sus recursos de la forma más
eficiente en respuesta a requisitos regulatorios, operativos o del negocio.
Constituye una parte esencial del gobierno de la empresa en su conjunto, y
combina la estructura organizativa y directiva necesaria para asegurar que TI soporta y
facilita el desarrollo de los objetivos estratégicos definidos. (Gobernanza de las
tecnologías de la información , 2020)
GETI garantiza que:
• TI está alineada con la estrategia del negocio.
• Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la
forma más eficiente.
• Todos los riesgos relacionados con TI son conocidos y administrados y los recursos
de TI están seguros
Los elementos de la gobernanza de TI:
La TI además ayudan a comprender que los roles, la experiencia y la cultura son
factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva
arquitectura de la empresa, mejorando su rendimiento. Se tiene los siguientes
elementos: (Garbarino Alberti, 2014)
• Alineamiento Estratégico
• Estructuras organizativas
• Generación de Valor
• Procesos de Gobernanza de TI
• Gestión del riesgo
• Gestión del rendimiento
147
• Gestión de recursos
Ciclo de vida de mejora continua
COBIT 2019 indica tres componentes interrelacionados con el ciclo de vida de
mejora continua durante el proceso de implementación del GEIT, hasta convertirse en
algo usual para la institución, estos son: el ciclo de vida de mejora continua central del
GEIT, habilitación del cambio y gestión del programa. El método del ciclo de vida
incluye 7 fases, mostradas en la Figura 46 (ISACA, GUÍA DE IMPLEMENTACIÓN
COBIT® 2019, 2018).
Figura 46
Hoja de ruta de implementación COBIT
Nota. (ISACA, GUÍA DE IMPLEMENTACIÓN COBIT® 2019, 2018)
Las 7 fases del mapa de ruta de implementación del sistema de gobierno
definidas por COBIT 2019, se realiza con base a la ejecución de las actividades
determinadas en cada fase. La información obtenida del análisis de los factores de
148
diseño de un sistema de gobierno para la DTIC, realizado en la sección 3.4, permite
definir las tres primeras fases, tal como se describen en la Tabla 46.
Tabla 46
Fases de implementación COBIT2019 en DTIC
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
Fase 1
¿Cuáles son los
motivadores?
1. Identificar el contexto de gobierno actual, los puntos de dolor del negocio y de TI, los eventos y los síntomas que provocan la necesidad de actuar.
1.4
- Entender los problemas actuales relacionados con I&T.
De los 20 problemas relacionados con I&T evaluados: -14 fueron catalogados como problemas dando un 70% de probabilidad que los mismos se materialicen dentro de la DTIC. -5 de los problemas relacionados con I&T fueron catalogados como problemas graves dando 25% de probabilidad que los mismos se materialicen -1 de los problemas relacionados con I&T fueron catalogados sin problema dando 5% de probabilidad de ocurrencia.
2. Identificar los impulsores de negocio y de gobierno y los requisitos de cumplimiento para mejorar el GEIT y evaluar las necesidades actuales de las partes interesadas. 3. Identificar prioridades del negocio y estrategia de negocio dependientes de TI, incluido cualquier proyecto significativo en curso.
1.1 1.2 1.3
- Entender la estrategia empresarial. - Entender las metas empresariales. - Entender el perfil de riesgo
Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1)
Metas empresariales: OB1. Incrementar la efectividad en el control del territorio nacional OB2. Mantener la imagen institucional OB3. Incrementar la efectividad operacional de las unidades militares OB4. Incrementar las capacidades militares OB5. Incrementar el alistamiento operacional OB6. Incrementar la efectividad en el apoyo logístico OB7. Incrementar la eficiencia institucional OB8. Incrementar el desarrollo del talento humano OB9. Incrementar el uso eficiente del presupuesto
De las 19 categorías de riesgos evaluados: -10 fueron catalogados como riesgos muy altos dando un 52.63% de probabilidad que los mismos se materialicen.
149
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
-8 de los escenarios fueron catalogados como altos dando 42.10% de probabilidad que los mismos se materialicen -1 escenario con riesgo normal dando 5.26% de probabilidad de ocurrencia
4. Alinearse con las políticas, las estrategias y los principios rectores de la empresa y cualquier iniciativa en curso del gobierno actual.
Relacionadas con tareas de habilitación del cambio
Relacionadas con tareas de habilitación del cambio
5. Aumentar la concienciación de los directivos sobre la importancia de TI para la empresa y el valor del GEIT.
6. Definir la política, los objetivos, los principios rectores y los objetivos de mejora de alto nivel del GEIT.
7. Asegurar que, la dirección y el consejo de administración entienden y aprueban una estrategia de alto nivel, y que aceptan el riesgo de no hacer nada ante problemas significativos.
Fase 2
¿Dónde estamos ahora?
(Tareas CI)
1. Identificar metas empresariales clave y
apoyar las metas relacionadas con TI
claves
2.1 2.2
-Considerar la estrategia empresarial. -Considerar las metas empresariales y aplicar la cascada de metas de COBIT
Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio
150
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial
2. Establecer la importancia y naturaleza de la contribución de TI (soluciones y servicios) requeridos para respaldar los objetivos de negocio.
2.2 3.3 3.4 3.5 3.6 3.7
-Considerar las metas empresariales y aplicar la cascada de metas de COBIT. -Considerar el rol de TI. -Considerar el modelo de abastecimiento de proveedores. -Considerar los métodos de implementación de TI. -Considerar la estrategia de adopción de tecnología. -Considerar el tamaño de la empresa.
-Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial -Rol de TI El Rol de TI estratégico es el más representativo para la DTIC con 28,7%, es decir las TI son críticas para el funcionamiento e innovación de los procesos y servicios de la institución - Abastecimiento de proveedores para TI Dentro de la DTIC es superior el modelo de abastecimiento de
151
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
proveedores para TI, el personal interno, con un valor de 79%. - Implementación de TI Para la asignación de métodos de implementación de TI para el DTIC, el más significativo es DevOps con un valor de 37.76%
3. Identificar problemas y debilidades claves de gobierno relacionadas con las soluciones y servicios actuales y requeridos en el futuro, la arquitectura empresarial necesaria para respaldar las metas relacionadas con TI y cualquier restricción o limitación.
2.4
- Considerar los problemas actuales relacionados con I&T.
1. Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI. 2. Problemas de ejecución del servicio por parte de los subcontratistas de TI. 3. Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI. 4. Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI. 5. Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados. 6. Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho. 7. Alto coste de protección de TI 8. Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes 9. Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa
4. Identificar y seleccionar los procesos críticos para respaldar las metas relacionadas con TI y, si corresponde, prácticas de gestión clave para cada proceso seleccionado.
2.1 2.2
- Considerar la estrategia empresarial. - Considerar las metas empresariales y aplicar la cascada de metas de COBIT.
Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital
152
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial
5. Evaluar el riesgo de habilitación de beneficios/valor, el riesgo derealización de programa/proyecto y el riesgo de operaciones de prestación de servicio/TI relacionados con procesos críticos de TI.
2.3 -Considerar el perfil de riesgo de la empresa.
Perfil de riesgo: Riesgo muy Alto: -Gestión del ciclo de vida de los programas y proyectos -Coste y control de TI -Comportamiento, habilidades y conocimiento de TI -Arquitectura de la empresa/TI -Incidentes de infraestructura operativa de TI -Acciones no autorizadas -Incidentes de hardware -Fallos de Software -Ataques lógicos (hacking, malware, etc.) -Gestión de datos e información Riesgo Alto: -Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio -Adopción de software/problemas de uso -Incidentes de terceros/proveedores - Incumplimiento -Problemas geopolíticos -Acción industrial -Actos de la naturaleza - Medio ambiente Riesgo Normal: - Innovación basada en la tecnología
6. Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de realización de programa/proyecto y el riesgo de operaciones de prestación de servicio/TI relacionados con procesos críticos de TI.
2.3 -Considerar el perfil de riesgo de la empresa.
7. Entender la posición de aceptación del riesgo conforme a lo definido por la dirección.
1.3 2.3
-Entender el perfil de riesgo. -Considerar el perfil de riesgo de la empresa.
8. Definir el método para ejecutar la evaluación.
Niveles de capacidad de CMMI
153
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
9. Documentar el entendimiento de cómo el proceso actual aborda las prácticas de gestión seleccionadas anteriormente
2.1 2.2 2.3 2.4 3.1 3.2 3.3 3.4 3.5 3.6 3.7
-Considerar la estrategia empresarial. -Considerar las metas empresariales y aplicar la cascada de metas de COBIT. -Considerar el perfil de riesgo de la empresa. -Considerar los problemas actuales relacionados con I&T. -Considerar el escenario de amenazas. -Considerar los requisitos de cumplimiento. -Considerar el rol de TI. -Considerar el modelo de abastecimiento de proveedores. -Considerar los métodos de implementación de TI. -Considerar la estrategia de adopción de tecnología. -Considerar el tamaño de la empresa.
Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial Perfil de riesgo: Riesgo muy Alto: -Gestión del ciclo de vida de los programas y proyectos -Coste y control de TI -Comportamiento, habilidades y conocimiento de TI -Arquitectura de la empresa/TI -Incidentes de infraestructura operativa de TI -Acciones no autorizadas -Incidentes de hardware -Fallos de Software -Ataques lógicos (hacking, malware, etc.) -Gestión de datos e información Riesgo Alto: -Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio -Adopción de software/problemas de uso
154
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
-Incidentes de terceros/proveedores - Incumplimiento -Problemas geopolíticos -Acción industrial -Actos de la naturaleza - Medio ambiente Riesgo Normal: - Innovación basada en la tecnología - Problemas actuales relacionados con I&T. 1. Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI. 2. Problemas de ejecución del servicio por parte de los subcontratistas de TI. 3. Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI. 4. Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI. 5. Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados. 6. Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho. 7. Alto coste de protección de TI 8. Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes 9. Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa - Escenario de amenazas -Rol de TI El Rol de TI estratégico es el más representativo para la DTIC con 28,7%, es decir las TI son críticas para el funcionamiento e innovación de los procesos y servicios de la institución
155
Fase Tareas de mejora
continua (CI) Pasos del Diseño
Información de la Institución DTIC
- Abastecimiento de proveedores para TI Dentro de la DTIC es superior el modelo de abastecimiento de proveedores para TI, el personal interno, con un valor de 79%. - Implementación de TI Para la asignación de métodos de implementación de TI para el DTIC, el más significativo es DevOps con un valor de 37.76%
10. Analizar el nivel de capacidad actual.
4.1 4.2
-Resolver conflictos de prioridades
inherentes. -Finalizar el diseño del sistema de gobierno.
Nivel de capacidad actual: Nivel 2: -DSS02 -DSS05 -MEA03 -MEA04 Nivel 1: -EDM01 -APO01 -APO13 -BAI03 -BAI07 Nivel 0: -EDM03 -APO03 -APO11 -APO12 -APO14 -BAI02 -BAI06 -BAI10 -DSS03 -DSS06 -MEA02
11. Definir la valoración de capacidad del proceso actual.
4.1 4.2
-Resolver conflictos de prioridades
inherentes. -Finalizar el diseño del sistema de gobierno.
Fase 3
¿Dónde queremos
estar? (Tareas CI)
1. Definir objetivos de mejora:
4.1 4.2
-Resolver conflictos de prioridades
inherentes. -Finalizar el diseño del sistema de gobierno.
Priorización de objetivos de gobierno/gestión para la DTIC
•EDM01 •EDM03 •APO01 •APO03 •APO11 •APO12 •APO13 •APO14 •BAI02 •BAI03 •BAI06 •BAI07 •BAI10 •DSS02 •DSS03 •DSS05 •DSS06 •MEA02 •MEA03 •MEA04
2. Analizar brechas: 4.14.2
-Resolver conflictos de prioridades
inherentes. -Finalizar el diseño del sistema de gobierno.
156
Determinación de brechas para los objetivos de gobierno/gestión de la DTIC
Una vez finalizados los factores de diseño del paso 4, que se relacionan con la
fase 3 del modelo de implementación; se puede constatar que dentro de la fase 3 se
consideran como parte de las tareas de mejora continua (CI), el análisis de brechas.
Con base en la valoración de los niveles actuales de capacidad, se debe determinar un
nivel de capacidad objetivo que sea adecuado para cada proceso y así identificar las
brechas existentes para cada uno de los objetivos de gobierno/gestión evaluados para
la DTIC, es decir se define si la diferencia entre el nivel de capacidad objetivo, con
respecto a la capacidad actual, es mínima, moderada o significativa.
Se realiza la evaluación en cuanto a los valores indicados en la sección 3.4.6
(capacidad actual) y se determina un nivel de capacidad objetivo adecuado para cada
proceso (NCO).
Se considera el valor 4 para el nivel de capacidad objetivo (NCO), nivel que sin
ser el óptimo deseado, permite cubrir los requerimientos principales de la institución
(Tabla 47).
Tabla 47
Análisis de brechas en los procesos de la DTIC
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad
Actual (NCA)
Nivel de Capacidad Objetivo
(NCO)
Definición de Brechas
(NCO – NCA)
EDM01
Garantizar el establecimiento y el mantenimiento del marco de gobierno
1 4 3
Brecha significativa
EDM03 Asegurar la optimización del riesgo
0 4 4
Brecha significativa
APO01 Gestionar el marco de gestión de TI
1 4 3
Brecha significativa
APO03 Gestionar la arquitectura de la empresa
0 4 4
Brecha significativa
157
Objetivos de Gobierno y Gestión COBIT 2019
Nivel de Capacidad
Actual (NCA)
Nivel de Capacidad Objetivo
(NCO)
Definición de Brechas
(NCO – NCA)
APO11 Gestionar la calidad 0 4 4
Brecha significativa
APO12 Gestionar el riesgo 0 4 4
Brecha significativa
APO13 Gestionar la seguridad 1 4 3
Brecha significativa
APO14 Gestionar los datos 0 4 4
Brecha significativa
BAI02 Gestionar la definición de requisitos
0 4 4
Brecha significativa
BAI03
Gestionar la identificación y construcción de soluciones
1 4 3
Brecha significativa
BAI06 Gestionar los cambios de TI
0 4 4
Brecha significativa
BAI07 Gestionar la aceptación y la transición de los cambios de TI
1 4 3
Brecha significativa
BAI10 Gestionar la configuración
0 4 4
Brecha significativa
DSS02 Gestionar las peticiones y los incidentes del servicio
2 4 2
Brecha moderada
DSS03 Gestionar los problemas 0 4 4
Brecha significativa
DSS05 Gestionar los servicios de seguridad
2 4 2
Brecha moderada
DSS06 Gestionar los controles de procesos de negocio
0 4 4
Brecha significativa
MEA02 Gestionar el sistema de control interno
0 4 4
Brecha significativa
MEA03 Gestionar el cumplimiento de los requerimientos externos
2 4 2
Brecha moderada
MEA04 Gestionar el aseguramiento
2 4 2
Brecha moderada
158
Definición de planes de acción para cubrir las brechas identificadas
En esta sección se considera la siguiente fase del mapa de ruta de
implementación del sistema de gobierno definido por COBIT 2019, la fase 4, que tiene
como objetivo traducir las oportunidades de mejora en proyectos viables y justificables,
es decir, una vez que se han identificado todas las posibles iniciativas de mejora, se
priorizan en proyectos formales y justificables mediante el diseño de planes de
respuesta; tomando en cuenta los puntos expuestos en la apartado anterior 3.5.3, los
planes en mención se muestran en la Tabla 48.
Tabla 48
Análisis de brechas en los procesos de la DTIC
Objetivos de Gobierno y Gestión COBIT 2019
Definición de Brechas
(NCO – NCA) Planes de Acción
EDM01
Garantizar el establecimiento y el mantenimiento del marco de gobierno
3 Brecha significativa La DTIC deberá restructurar un plan
estratégico de TI y establecer el modelo de gobierno de TI
EDM03 Asegurar la optimización del riesgo
4 Brecha significativa
APO01 Gestionar el marco de gestión de TI
3 Brecha significativa
La DTIC deberá reformar un plan estratégico de TI y establecer el modelo de gobierno de TI
APO03 Gestionar la arquitectura de la empresa
4 Brecha significativa
La DTIC deberá definir el modelo de Gobierno de TI y desarrollar un modelo de arquitectura empresarial
APO11 Gestionar la calidad
4 Brecha significativa
La DTIC deberá aplicar una metodología de calidad para el ciclo de vida de desarrollo de software y, además difundir el enfoque de administración de proyectos
APO12 Gestionar el riesgo
4 Brecha significativa
La DTIC debe aplicar un esquema de Gestión de Riesgos de TI, que permita la identificación, evaluación de riesgos de TI y aplicación de controles
APO13 Gestionar la seguridad
3 Brecha significativa
La DTIC deberá restructurar, reforzar y monitorizar el sistema de gestión de seguridad de la información
159
Objetivos de Gobierno y Gestión COBIT 2019
Definición de Brechas
(NCO – NCA) Planes de Acción
APO14 Gestionar los datos
4 Brecha significativa
La DTIC deberá definir y mantener una gestión eficaz durante todo el ciclo de vida de los datos.
BAI02 Gestionar la definición de requisitos
4 Brecha significativa
La DTIC deberá difundir el enfoque de administración de proyectos, así como definir y restructurar políticas y procedimientos de TI.
BAI03
Gestionar la identificación y construcción de soluciones
3 Brecha significativa
La DTIC deberá establecer y mantener soluciones de TI identificadas en su totalidad, en línea con los requerimientos de la institución que incluya el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores.
BAI06 Gestionar los cambios de TI
4 Brecha significativa
La DTIC debe contar con un proceso estructurado de control de cambios de TI, en el que se consideren procedimientos y políticas para realizar cambios de TI, mediante planes de implantación, evaluación de impacto, riesgos, autorizaciones y planes de roll back.
BAI07
Gestionar la aceptación y la transición de los cambios de TI
3 Brecha significativa
La DTIC deberá restructurar el proceso de puesta y paso a producción de nuevos o modificados servicios de TI, con base a una metodología, así como reformar y cumplir con las políticas y procedimientos de TI.
BAI10 Gestionar la configuración
4 Brecha significativa
La DTIC deberá definir un proceso para la gestión de la configuración de TI, así como considerar la implementación de una herramienta que permita automatizar tareas relacionadas con las configuraciones de TI
DSS02
Gestionar las peticiones y los incidentes del servicio
2 Brecha moderada
La DTIC deberá estandarizar los canales para la atención de requerimientos de TI, además definir y aplicar SLA´s y OLA´s.
DSS03 Gestionar los problemas
4 Brecha significativa
La DTIC debe contemplar la aplicación de un sistema integrado de gestión de problemas, que incluya procesos estándares de identificación y clasificación de problemas y la causa raíz, considerando el cumplimiento de SLA´s y OLA´s
DSS05 Gestionar los servicios de seguridad
2 Brecha moderada
-La DTIC deberá restructurar la política de seguridad que incluya los servicios a todo nivel, ya que en la actualidad solamente se cubren los servicios de internet, correo electrónico y la adquisición y desarrollo de aplicativos.
160
Objetivos de Gobierno y Gestión COBIT 2019
Definición de Brechas
(NCO – NCA) Planes de Acción
-Se debe considerar medidas de concientización con respecto a temas de seguridad de la información -Se debe definir roles y privilegios de acceso de seguridad de la información -Se deberá definir los servicios de proveedores con base a requerimientos específicos de seguridad de la información.
DSS06
Gestionar los controles de procesos de negocio
4 Brecha significativa
-La DTIC debe contar con procesos que permitan aplicar controles, para asegurar que la información relacionada con el negocio cumpla con los requisitos de control de la información y pueda ser auditable. -Considerar la alternativa de implementar herramientas automatizadas de TI.
MEA02 Gestionar el sistema de control interno
4 Brecha significativa
La DTIC deberá considerar la opción de contar con un sistema de control interno que permita la administración y gestión del control de TI de manera regular, incluyendo la definición de roles y responsabilidades.
MEA03
Gestionar el cumplimiento de los requerimientos externos
2 Brecha moderada
La DTIC debe estandarizar los procedimientos que permiten identificar y atender los requerimientos externos, así como regulatorios y legales.
MEA04 Gestionar el aseguramiento
2 Brecha moderada
La DTIC deberá estandarizar la gestión del aseguramiento que se realiza en la institución, en cuanto a la planificación, delimitación y ejecución de iniciativas de aseguramiento.
161
Implementación de procesos en la DTIC
De acuerdo con el alcance establecido por la DTIC sobre la urgencia de
implementación, de la hoja de secuencia indicada en la sección 3.4.5, se requiere
implementar los siguientes procesos en la institución:
1. APO11: Gestionar la calidad
• Dominio: Alinear, Planificar y Organizar (APO)
• Objetivo de Gestión
2. DSS05: Gestionar los servicios de seguridad
• Dominio: Entregar, Dar Servicio y Soporte (DSS)
Descripción de los objetivos de gobierno/gestión
Los objetivos que se requiere implementar en la DTIC APO11 y DSS05
pertenecen a la Gestión de TI; a continuación, se realiza una descripción de cada uno,
se incluye las métricas recomendadas por COBIT 2019 que se ajustan con el contexto
de la institución y la matriz de responsabilidades RACI.
Gestionar la calidad. APO11
Descripción:
Definir y comunicar los requisitos de calidad en todos los procesos,
procedimientos y resultados empresariales relacionados. Habilitar los controles,
monitorización continua y uso de prácticas y estándares probados en esfuerzos de
mejora y eficiencia continuos. (ISACA, Marco de referencia COBIT 2019: Objetivos de
Gobierno y Gestión, 2018)
Propósito
Asegurar la prestación consistente de soluciones y servicios tecnológicos para
satisfacer los requisitos de calidad de la empresa y las necesidades de las partes
162
interesadas. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018).
Metas empresariales/alineamiento y métricas
APO11 respalda la consecución de una serie de metas empresariales y de
alineamiento primarias tal cual se describe en la Tabla 49. Por otra parte, de las
métricas propuestas por COBIT 2019, se seleccionan métricas y se define una fórmula
de cálculo para el indicador que medirá el proceso (Tabla 50).
Tabla 49
Metas empresariales y de alineamiento de APO11
METAS EMPRESARIALES/ALINEAMIENTO
APO11: GESTIONAR LA CALIDAD
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Descripción Ref. Descripción
EG01 Portafolio de productos y servicios competitivos
AG09
Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplan con los requisitos y estándares de calidad
EG04 Calidad de la información financiera
AG10 Calidad de la información sobre gestión de I&T
EG07 Calidad de la información sobre gestión
EG08 Optimización de la funcionalidad de procesos internos del negocio
EG12 Gestión de programas de transformación digital
163
Tabla 50
Métricas del APO11 para la DTIC
MÉTRICAS
APO11: GESTIONAR LA CALIDAD
MÉTRICAS PARA METAS EMPRESARIAL MÉTRICAS PARA METAS DE ALINEAMIENTO
Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
EG01
Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado
𝑋 =
𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠𝑞𝑢𝑒 𝑒𝑥𝑐𝑒𝑑𝑒𝑛 𝑖𝑛𝑔𝑟𝑒𝑠𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜
𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
AG09
Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎
𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜
Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente
𝑋 =
𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠𝑜𝑓𝑒𝑟𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛
𝑐𝑖𝑒𝑛𝑡𝑒𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜
𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
Número de programas que necesitan una revisión significativa debido a defectos de calidad
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑐𝑜𝑛 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎d
Porcentaje de productos y servicios que proporcionan una ventaja competitiva
𝑋 =
𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
𝑞𝑢𝑒 𝑔𝑒𝑛𝑒𝑟𝑎 𝑣𝑒𝑛𝑡𝑎𝑗𝑎𝑐𝑜𝑚𝑝𝑒𝑡𝑖𝑡𝑖𝑣𝑎
𝑇𝑜𝑡𝑎𝑙 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
*100
Porcentaje de partes interesadas satisfechas con la calidad del programa/ proyecto
𝑋 =
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
𝑐𝑜𝑛 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒
𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠
Plazo de comercialización para nuevos productos y servicios
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑑𝑖𝑎𝑠 𝑑𝑒 𝑒𝑛𝑡𝑟𝑒𝑔𝑎
EG04
Encuesta de satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de la información financiera de la empresa
𝑋 =
𝑁𝑜. 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
𝑇𝑜𝑡𝑎𝑙 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
𝑒𝑛𝑐𝑢𝑒𝑠𝑡𝑎𝑑𝑜𝑠
AG10
Nivel de satisfacción del usuario con la calidad, puntualidad y disponibilidad de la información de gestión relacionada con I&T, tras considerar los recursos disponibles
Mediante la aplicación de cuestionarios es posible consultarlo directamente con el usuario, y con base a los resultados obtenidos se puede aplicar la siguiente formula:
𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
− % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
(Zone, 2019)
Coste de incumplimiento con respecto a regulaciones financieras
𝑋 = 𝐶𝑜𝑠𝑡𝑜 𝑑𝑒 𝑖𝑛𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑟𝑒𝑠𝑝𝑒𝑐𝑡𝑜 𝑎 𝑟𝑒𝑔𝑢𝑙𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑓𝑖𝑛𝑎𝑛𝑐𝑖𝑒𝑟𝑎𝑠
EG07
Grado de satisfacción del consejo de administración y la dirección ejecutiva con la información para la toma de decisiones
𝑋 =
𝑁𝑜. 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎𝑑𝑜𝑠 𝑝𝑎𝑟𝑎
𝑙𝑎 𝑡𝑜𝑚𝑎 𝑑𝑒 𝑑𝑒𝑠𝑖𝑐𝑖𝑜𝑛𝑒𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠
𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠
Relación y extensión de las decisiones de negocio erróneas en las que la información errónea o no disponible relacionada con
𝑋 =
𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑒𝑠𝑡𝑟𝑎𝑡𝑒𝑔𝑖𝑐𝑎𝑠 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑑𝑒 𝑇𝐼 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
Número de incidentes causados 𝑋 =
𝑁𝑜. 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑐𝑎𝑢𝑠𝑎𝑑𝑜𝑠 𝑝𝑜𝑟 𝑑𝑒𝑐𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑒𝑟𝑟ó𝑛𝑒𝑎𝑠
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
164
por decisiones erróneas de negocio basadas en información imprecisa
I&T fue un factor clave
Tiempo que se tarda en proporcionar la información que respalde la toma de decisiones empresariales eficaces
𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑠𝑜𝑙𝑖𝑐𝑖𝑡𝑢𝑑
𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
−
𝑇𝑖𝑒𝑚𝑝𝑜 𝑒𝑛𝑡𝑟𝑒𝑔𝑎 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
Periodicidad de la información sobre gestión
𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑑𝑒 𝑝𝑒𝑟𝑖𝑜𝑐𝑖𝑑𝑎𝑑 𝑑𝑒
𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑠𝑜𝑏𝑟𝑒 𝑔𝑒𝑠𝑡𝑖ó𝑛
Porcentaje de información que satisface los criterios de calidad
𝑋 =
𝐼𝑛𝑓𝑜𝑟𝑚𝑒𝑠 𝑐𝑜𝑛 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠
𝑔𝑒𝑛𝑒𝑟𝑎𝑑𝑜𝑠
EG08
Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso empresarial
Mediante la aplicación de cuestionarios es posible consultarlo directamente con el usuario, y con base a los resultados obtenidos se puede aplicar la siguiente formula:
𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
− % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
(Zone, 2019)
Niveles de satisfacción de los clientes con las capacidades de prestación de servicios Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro
EG12
Número de programas ejecutados a tiempo y dentro del presupuesto
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎 𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜
Porcentaje de partes interesadas satisfechas con la ejecución del programa
𝑋 =
𝑁𝑜. 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
𝑐𝑜𝑛 𝑙𝑎 𝑒𝑗𝑒𝑐𝑢𝑐𝑖ó𝑛 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑚𝑎
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠
Porcentaje de programas de transformación del negocio detenidos
𝑋 =
𝑁𝑜.𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙
𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑟𝑒𝑡𝑒𝑛𝑖𝑑𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜
∗ 100
Porcentaje de programas de transformación del negocio con actualizaciones del estado notificadas regularmente
𝑋 =
𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙
𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑐𝑜𝑛 𝑎𝑐𝑡𝑢𝑎𝑙𝑖𝑧𝑎𝑐𝑖𝑜𝑛𝑒𝑠
𝑑𝑒 𝑒𝑠𝑡𝑎𝑑𝑜 𝑛𝑜𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜
∗ 100
165
Procesos
APO11.01 Establecer un sistema de gestión de calidad (SGC)
Descripción: Establecer y mantener un sistema de gestión de calidad (SGC)
que proporciona un enfoque estándar, formal y continuo para la gestión de calidad de la
información. El SGC debería habilitar la tecnología y los procesos del negocio que están
alineados con los requisitos del negocio y la gestión de la calidad empresarial. (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define las fórmulas de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Porcentaje de la eficacia de las revisiones de gestión de la calidad
𝑿 = 𝑁𝑜. 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎𝑚𝑒𝑛𝑡𝑒
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠∗ 100%
o Porcentaje de satisfacción de partes interesadas clave con el programa
de revisión de gestión de la calidad
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑎𝑐𝑒𝑝𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 é𝑥𝑖𝑡𝑜
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎∗ 100%
Actividades: El conjunto de actividades que describen el proceso para
Establecer un sistema de gestión de calidad (SGC), COBIT propone las siguientes
actividades detalladas en la Tabla 51, las mismas que se deberán ejecutar en la DTIC,
las cuales se incluyen como parte de la definición del proceso.
166
Tabla 51
Actividades proceso APO11.01
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Asegurar que el marco de control de I&T y los procesos empresariales y de TI, incluyen una estrategia estándar, formal y continua con respecto a la gestión de la calidad que está alineada con los requisitos de la empresa. Dentro del marco de control de I&T y los procesos empresariales y de TI, identificar los requisitos y criterios de calidad
3
La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos, tanto para quien los elabora como para quien los recibe.
A2.
Definir roles, tareas y derechos de decisión y responsabilidades para la gestión de la calidad en la estructura organizativa.
La DTIC deberá analizar los diferentes roles planteados en el proyecto, en función de las distintas actividades que se plantean en el proceso de calidad y adaptarlos a los roles actualmente definidos.
A3.
Obtener insumos de la dirección y las partes interesadas externas e internas sobre la definición de los requisitos de calidad y los criterios de gestión de la calidad.
La DTIC deberá implementar un plan donde se defina los parámetros de aceptación para la entrega y recepción de insumos, para el cumplimiento de los diversos proyectos y servicios.
A4.
Gestionar y revisar regularmente el SGC frente a los criterios de aceptación acordados. Incluir retroalimentación de los clientes, usuarios y dirección
4
La DTIC deberá implementar parámetros de aceptación donde se pueda identificar que se cumpla y se puedan satisfacer las necesidades de los clientes, en cuanto a los entregables proporcionados.
A5. Responder a las discrepancias de los resultados de la revisión para mejorar continuamente el SGC
5
La DTIC deberá establecer un plan con una periodicidad adecuada, que permita analizar los procesos, programas y proyectos implementados para realizar los respectivos ajustes que permitan mejorar continuamente.
167
APO11.02: Enfocar la gestión de la calidad en los clientes
Descripción: Enfocar la gestión de la calidad en los clientes para determinar
sus requisitos y asegurar su integración en las prácticas de gestión de la calidad.
(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define las fórmulas de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Porcentaje de satisfacción del cliente
𝑿 =
𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑒𝑟𝑜𝑛 𝑙𝑎𝑠 𝑒𝑥𝑝𝑒𝑐𝑡𝑎𝑡𝑖𝑣𝑎𝑠 𝑑𝑒𝑙 𝑐𝑙𝑖𝑒𝑛𝑡𝑒
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠∗ 100%
o Porcentaje de requisitos y expectativas del cliente comunicadas a la
empresa y la organización de TI
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑑𝑜𝑠 𝑎 𝑙𝑎 𝑒𝑚𝑝𝑟𝑒𝑠𝑎 𝑦 𝑎 𝑇𝐼
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠 ∗ 100%
Actividades: El conjunto de actividades que describen el proceso para Enfocar
la gestión de la calidad en los clientes, COBIT propone las siguientes actividades
detalladas en la Tabla 52, las mismas que se deberán ejecutar en la DTIC, las cuales se
incluyen como parte de la definición del proceso.
168
Tabla 52
Actividades proceso APO11.02
Ref. Actividad Nivel de
Capacidad
Actividades en la DTIC
A1.
Enfocar la gestión de la calidad en los clientes para determinar los requisitos del cliente interno y externo y asegurar el alineamiento de los estándares y las prácticas de I&T. Definir y comunicar los roles y responsabilidades relacionados con la resolución de conflictos entre el usuario/cliente y la organización de TI.
3
La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos, tanto para quien los elabora como para quien los recibe.
A2.
Gestionar las necesidades y expectativas empresariales para cada proceso de negocio y servicio operativo y nuevas soluciones de TI. Mantener sus criterios de aceptación de calidad.
La DTIC deberá analizar los criterios de aceptación de cada uno de los procesos y proyectos planteados, indicando el cumplimiento de estos.
A3.
Comunicar los requisitos y expectativas del cliente al negocio y la organización de TI
La DTIC deberá plantear un formato de cumplimiento de acuerdo a cada requerimiento o proyecto realizado, el cual le permita respaldar las entregas a tiempo y el cumplimiento de todos los requerimientos entregados.
A4.
Obtener las opiniones de clientes de forma periódica sobre los procesos de negocio y la prestación de servicios y entrega de soluciones de TI. Determinar el impacto de los estándares y prácticas de I&T y garantizar que se satisfagan y pongan en práctica las expectativas del cliente.
4
La DTIC deberá realizar reuniones periódicas, las cuales les permita mejorar los niveles de satisfacción de los clientes.
A5. Capturar los criterios de aceptación de calidad para su inclusión en los SLA.
La DTIC deberá compartir con la organización los niveles SLA acordados con los responsables de cada proceso y servicio ofertado por la DTIC.
169
APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e
integrar la gestión de la calidad en los procesos y soluciones clave.
Descripción: Identificar y mantener los requisitos, estándares, procedimientos y
prácticas para los procesos clave con el fin de guiar a la empresa hacia el logro de los
estándares de gestión de la calidad (SGC) acordados. Esta actividad debería alinearse
con los requisitos del marco de control de I&T. Considerar la certificación de procesos
clave, unidades organizativas, productos o servicios. (ISACA, Marco de referencia
COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define las fórmulas de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Porcentaje del número de procesos con requisitos de calidad definidos.
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑟𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑 𝑑𝑒𝑓𝑖𝑛𝑖𝑑𝑜𝑠
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠∗ 100%
o Porcentaje del número de defectos descubiertos antes del paso a
producción
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑜𝑠
𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠∗ 100%
o Porcentaje del número de servicios con un plan formal de gestión de la
calidad
𝑿 =
𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑝𝑙𝑎𝑛 𝑓𝑜𝑟𝑚𝑎𝑙 𝑑𝑒 𝑔𝑒𝑠𝑡𝑖𝑜𝑛 𝑑𝑒 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠∗ 100%
o Porcentaje del número de SLAs que incluyen criterios de aceptación de
la calidad
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑑𝑒 𝑎𝑐𝑒𝑝𝑡𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑎𝑝𝑙𝑖𝑐𝑑𝑜𝑠∗ 100%
170
Actividades: El conjunto de actividades que describen el proceso para
Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de
la calidad en los procesos y soluciones clave, COBIT propone las siguientes actividades
detalladas en la Tabla 53, las mismas que se deberán ejecutar en la DTIC, las cuales se
incluyen como parte de la definición del proceso.
Tabla 53
Actividades proceso APO11.03
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Definir los estándares, prácticas y procedimientos de gestión de la calidad en línea con los requisitos del marco de control de I&T y los criterios y políticas de gestión de la calidad empresariales.
2
La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos tanto para quien los elabora como para quien los recibe.
A2.
Integrar las prácticas de gestión de la calidad requeridas en procesos y soluciones clave en toda la organización.
3
La DTIC deberá ajustar sus procesos y soluciones a medida que las mismas, puedan generar mayor valor agregado a la organización.
A3.
Cuantificar los beneficios y costes de las certificaciones de calidad
A4.
Comunicar de forma eficaz el enfoque de gestión de la calidad
La DTIC deberá implementar el proceso de calidad, mismo que deberá ser difundido en un plan de capacitación para la organización.
A5.
Registrar y monitorizar los datos de calidad. Usar buenas prácticas de la industria como referencia a la hora de mejorar y personalizar las prácticas de calidad de la empresa
4
La DTIC deberá implementar un proceso que permita ejecutar el monitoreo constante de los procesos implementados
A6.
Revisar regularmente la relevancia, eficiencia y eficacia continua de los procesos específicos de gestión de calidad. Monitorizar el logro de los objetivos de calidad.
171
APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad.
Descripción: Monitorizar la calidad de los procesos y los servicios de forma
continua, en línea con los estándares de gestión de la calidad. Definir, planificar e
implementar medidas para monitorizar la satisfacción del cliente con la calidad, así
como con el valor proporcionado por el sistema de gestión de la calidad (SGC). El
Dueño del proceso debería utilizar la información recopilada para mejorar la calidad.
(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define las fórmulas de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Porcentaje de soluciones y servicios entregados con certificación formal.
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛 𝑓𝑜𝑟𝑚𝑎𝑙
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠∗ 100%
o Calificación promedio de satisfacción de las partes interesadas con las
soluciones y los servicios. Siendo i las calificaciones obtenidas y n el
número de calificaciones, se tiene:
𝑿 = ∑ 𝑋𝑖𝑛
𝑖=1𝑛
o Porcentaje del número de procesos con un reporte formal de evaluación
de la calidad
𝑿 =
𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑟𝑒𝑝𝑜𝑟𝑡𝑒 𝑓𝑜𝑟𝑚𝑎𝑙 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠∗ 100%
o Porcentaje de proyectos revisados que cumplen con las metas y los
objetivos de calidad esperados
𝑿 =
𝑁𝑜 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑒𝑛 𝑐𝑜𝑛 𝑚𝑒𝑡𝑎𝑠 𝑦 𝑜𝑏𝑗𝑒𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠∗ 100%
172
o Número, robustez y plazo de los análisis de riesgo.
𝑿 = 𝑁𝑜. 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑜
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑝𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑜∗ 100%
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑒𝑙𝑖𝑚𝑖𝑛𝑎𝑑𝑜𝑠/𝑚𝑖𝑡𝑖𝑔𝑎𝑑𝑜𝑠
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠∗ 100%
𝑿 = 𝑃𝑙𝑎𝑧𝑜 𝑑𝑒 𝑡𝑖𝑒𝑚𝑝𝑜 𝑝𝑎𝑟𝑎 𝑒𝑙 𝑎𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜
Actividades: El conjunto de actividades que describen el proceso para Llevar a
cabo la monitorización, control y revisiones de calidad, COBIT propone las siguientes
actividades detalladas en la Tabla 54, las mismas que se deberán ejecutar en la DTIC,
las cuales se incluyen como parte de la definición del proceso.
Tabla 54
Actividades proceso APO11.04
Ref.
Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Preparar y realizar las revisiones de calidad para procesos y soluciones organizativas clave.
3
La DTIC deberá difundir su proceso de calidad e implementarlo en los diversos servicios y productos que agreguen valor a la organización.
A2.
Para estos procesos y soluciones organizativas clave, monitorizar las métricas de calidad basadas en metas alineadas con los objetivos generales en cuanto a calidad.
4
La DTIC deberá implementar indicadores de gestión, los cuales se encuentran alineados a los objetivos estratégicos.
A3.
Asegurar que la dirección y los responsables de los procesos revisen regularmente el rendimiento de la gestión de la calidad en comparación con las métricas de calidad definidas
La DTIC deberá elaborar reportes de gestión, que permitan validar la implementación adecuada de los procesos.
A4.
Analizar los resultados generales del rendimiento de gestión de la calidad
La DTIC deberá analizar los resultados y elaborar planes de mejora, que permitan elevar el rendimiento de cada uno de los procesos implementados.
A5.
Informar sobre los resultados de revisión de rendimiento y gestión de la calidad e iniciar las mejoras necesarias
5
La DTIC deberá generar reportes de gestión, que permitan a los mandos superiores estar al tanto de los resultados obtenidos de cada implementación realizada.
173
APO11.05 Mantener la mejora continua.
Descripción: Mantener y comunicar periódicamente un plan de calidad general
que promueva la mejora continua. El plan debería definir la necesidad y los beneficios
de la mejora continua. Obtener y analizar datos sobre el sistema de gestión de la
calidad (SGC) y mejorar su efectividad. Corregir las no conformidades para evitar la
recurrencia. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define las fórmulas de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de análisis de causa raíz completados.
𝑿 = 𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑠𝑢𝑒𝑙𝑡𝑜𝑠
𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
∗ 100%
o Porcentaje de servicios y productos completados dentro del plazo.
𝑿 = 𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎𝑑𝑜𝑠 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑙𝑎𝑧𝑜
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠∗ 100%
Actividades: El conjunto de actividades que describen el proceso para
Mantener la mejora continua, COBIT propone las siguientes actividades detalladas en la
Tabla 55, las mismas que se deberán ejecutar en la DTIC, las cuales se incluyen como
parte de la definición del proceso.
174
Tabla 55
Actividades proceso APO11.05
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Establecer una plataforma para compartir buenas prácticas y captar información sobre los defectos y errores para permitir el aprendizaje a partir de ellos
2
La DTIC deberá elaborar tableros de BI que permitan la gestión y la toma de decisiones de cada uno de los proyectos entregados.
A2.
Identificar ejemplos de procesos de entrega de calidad excelente que puedan beneficiar a otros servicios o proyectos. Compartirlos con los equipos de ejecución de proyectos y servicios para fomentar la mejora.
3
La DTIC deberá elaborar planes de mejora de los procesos y servicios implementados
A3.
Identificar ejemplos recurrentes de defectos de calidad. Determinar su causa raíz, evaluar su impacto y resultado y acordar acciones de mejora con los equipos de ejecución del servicio y/o proyecto.
La DTIC deberá implementar matrices, que permitan identificar los diferentes riesgos y problemas, que puedan afectar a los procesos y proyectos previamente implementados.
A4.
Proporcionar a los empleados formación en métodos y herramientas de mejora continua
La DTIC deberá desarrollar planes de capacitación, que permita al personal de la organización estar capacitado para la implementación de nuevas mejoras.
A5.
Hacer un análisis comparativo de los resultados de benchmarks de calidad con los datos históricos internos, directrices de la industria, estándares y datos de tipos de empresas similares.
4
La DTIC deberá elaborar actualizaciones periódicas de los procesos, servicios o productos entregados a la organización, en los cuales se haya implementado mejoras y permita generar valor agregado a la institución.
175
Estructuras Organizativas
Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:
Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las
responsabilidades de cada actor que participa en cada uno de los procesos descritos.
La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las
columnas los actores; en la intersección de cada fila con cada columna, se asigna la
responsabilidad de cada rol, como se muestra en la Figura 47
Figura 47
Matriz de Responsabilidades
Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
176
Flujos y elementos de comunicación
Este componente de gobierno indica una guía sobre los flujos y elementos de
comunicación relacionados con la práctica de los cinco procesos del objetivo APO11,
incluye entradas, salidas y se incluye origen y destino (Tabla 56).
Tabla 56
Flujos y elementos de comunicación
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO11.01
Establecer un sistema de gestión de calidad (SGC).
Fuera de COBIT
Sistema de calidad empresarial
Roles, responsabilidades y derechos de decisión del sistema de gestión de calidad (SGC)
APO11.05 Mantener la mejora continua DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad.
Planes de gestión de la calidad
APO14.04 Definir una estrategia de calidad de los datos. APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos BAI01.07 Gestionar la calidad del programa. BAI11.05 Gestionar la calidad del proyecto.
Resultados de las revisiones de eficiencia del SGC
BAI03.06 Realizar el aseguramiento de calidad (QA)
APO11.02
Enfocar la gestión de la calidad en los clientes
Fuera de COBIT
Requisitos de calidad del negocio y los clientes
Requisitos del cliente para la gestión de la calidad
APO08.05 Proporcionar aportes para la mejora continua de los servicios APO09.03 Definir y preparar acuerdos de servicio BAI01.07 Gestionar la calidad del programa BAI11.06 Gestionar el riesgo del proyecto.
Resultados de la calidad del servicio, incluida la retroalimentación de los clientes
APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.05 Revisar los acuerdos y los contratos de servicio BAI05.01 Establecer el deseo de cambiar. BAI07.07 Proporcionar soporte oportuno en producción
177
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
Criterios de aceptación
BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas
APO11.03
Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de la calidad en los procesos y soluciones clave
BAI02.04 Obtener la aprobació
n de requisitos
y soluciones
Revisión de la calidad
aprobada
Estándares de gestión de
calidad
TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA
178
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento
Fuera de COBIT
•Certificaciones de calidad disponibles • Buenas prácticas de la industria
Causas raíz de los fallos de entrega de calidad
APO08.02 Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades para que TI mejore el negocio APO09.04 Monitorizar y reportar los niveles de servicio BAI07.08 Realizar una revisión post-implementación MEA02.04 Identificar e informar las deficiencias de control MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
Resultados de la monitorización de la calidad
APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.04 Monitorizar y reportar los niveles de servicio BAI07.08 Realizar una revisión post implementación
APO11.04
Llevar a cabo la monitorización, control y revisiones de calidad.
BAI03.06 Realizar el asegurami
ento de calidad (QA)
• Plan de aseguramiento de calidad • Resultados, excepciones y correcciones de la revisión de calidad
Metas y métricas del proceso de calidad del servicio
TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas
179
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento
DSS02.07 Hacer
seguimiento al
estado y producir informes
• Estado de incidentes e informe de tendencias • Estado de cumplimiento de peticiones e informe de tendencias
Resultados de las revisiones y auditorías de calidad
APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.04 Monitorizar y reportar los niveles de servicio. APO09.05 Revisar los acuerdos y los contratos de servicio. BAI07.08 Realizar una revisión post-implementación
APO11.05 Mantener la mejora continua
Resultados del benchmark de revisión de calidad
TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes
180
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento
Ejemplos de buenas prácticas a compartir
TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes
181
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento
Comunicaciones sobre mejora continua y mejores prácticas
TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos
182
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
183
Personas, habilidades y competencias
COBIT con base al Skills Framework for the Information Age (SFIA®) V6
(versión 6), define los siguientes recursos humanos y habilidades que se requieren para
alcanzar el objetivo de gestión APO11: Gestionar la calidad. (ISACA, Marco de
referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).
• Aseguramiento de calidad (QUAS)
• Gestión de la calidad (QUMG)
• Estándares de calidad (QUST)
Políticas y Procedimientos
Este componente proporciona una guía de políticas y procedimientos relevantes
para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y
una descripción; en el caso del objetivo de gobierno APO11: Gestionar la calidad, se
especifica la política indicada a continuación (ISACA, Marco de referencia COBIT 2019:
Objetivos de Gobierno y Gestión, 2018).
• Política Relevante: Política de gestión de la calidad
• Descripción de la Política Captar la visión de la gestión de los objetivos de calidad
de la empresa, nivel de calidad aceptable y labores de equipos y entidades
específicas para garantizar la calidad.
Cultura, ética y comportamiento
Este componente desea promover una cultura de calidad y mejora continua.
Mantener y comunicar periódicamente la necesidad, y los beneficios, de la calidad y la
mejora continua, en el caso del objetivo de gestión APO11: Gestionar la calidad se
184
tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019: Objetivos de
Gobierno y Gestión, 2018).
• Elementos Culturales Clave:
• SGC
• Servicios de aseguramiento de calidad de terceros.
Servicio, infraestructuras y aplicaciones
Servicio de Aseguramiento de Calidad
Este componente de gobierno proporciona una guía sobre el servicio del
aseguramiento de la calidad a terceros que puede utilizarse para lograr la consecución
de los objetivos de gobierno y gestión, en este caso, del objetivo de gestión APO11:
Gestionar la calidad.
Se procedió con el levantamiento de la información de la DTIC respecto a
Gestión de Calidad, donde se obtuvo como resultado que la institución no cuenta con un
servicio o proceso definido, el cual les permita asegurar la calidad de los
requerimientos, proyectos o que los desarrollos entregados sean de calidad y que
puedan satisfacer las diversas necesidades de los usuarios.
Es por este motivo que se ha propuesto la elaboración de un proceso de calidad
para la DTIC, mismo que se detalla a continuación:
El proceso de QA se basará en el enfoque llamado Test-Driven Requeriments
Engineering (TDRE), donde los requisitos son especificados esencialmente mediante
Pruebas de Aceptación; estas Pruebas de Aceptación que deben ser definidas en
función a las diferentes necesidades, permitirán organizar el trabajo con base a la
metodología de desarrollo, además otorgar a los proyectos de una estructura basada en
185
un grafol, donde las funcionalidades están representadas como nodos y dentro de estas
encontramos las distintas PA (Prueba de Aceptación) que especifican su
correcto/deseado funcionamiento. (Sanchis Milla, 2015)
Características de un PA
Las principales características que se pueden indicar son: (Sanchis Milla, 2015)
• Una PA tiene como propósito demostrar al cliente el cumplimiento de un requisito
del software.
• Describe un escenario, compuesto por una situación del sistema (condición de
ejecución) una secuencia de pasos de uso y el resultado alcanzado, todo ello desde
la perspectiva del usuario.
• Puede estar asociada a requisitos funcionales o no funcionales.
• Un requisito tendrá una o más PA asociadas.
• Las PA cubren desde escenarios típicos/frecuentes hasta los más excepcionales.
En la Figura 48 se muestra el contexto de TDRE usando como marco el Modelo V.
Figura 48
Contexto de TDRE
Nota. (Sanchis Milla, 2015)
186
Con ello se definió el servicio de calidad, el cual se generará en el siguiente
formato estándar propuesto en los servicios previamente realizados:
• Código de servicio
• Versión
• Nivel de Servicio
SERVICIO DE ASEGURAMIENTO DE LA CALIDAD EN DESARROLLO DE SOFTWARE
I. Diagnóstico Inicial
Al iniciar con levantamiento del servicio de aseguramiento de la calidad se pudo identificar que no se cuenta con un flujo de calidad definido, o niveles de servicio determinados; puesto que al realizar una evaluación del estado actual de la DTIC se vio necesaria la definición como un servicio que permita definir un estándar en el desarrollo de nuevos procesos, proyectos o servicios.
II. Levantamiento de procesos actuales
DETALLE DEL SERVICIO
Código STI.QA.02
Nombre Gestión de la Calidad
Descripción
El siguiente servicio permitirá a la DTIC tomar un control de cada uno de los procesos, servicios u proyectos, definiendo un formato estándar para el levantamiento de requerimientos, en el cual se indique las necesidades y acuerdos de cada una de las necesidades solicitadas, garantizando satisfacción de los clientes internos y externos en la entrega de los mismos.
Estado En Proceso
Versión 1.0
Fecha puesta en operación
2019
Fecha finalización En Proceso
187
Contacto Soporte Mayo. Ocampo mail:[email protected]
Contacto para modificaciones
Ing. Gilma Toaza mail: [email protected]
Propietario La Dirección de Tecnologías de la Información y Comunicaciones (DTIC)
Clientes Usuarios unidades militares
INTRODUCCIÓN
El servicio de aseguramiento de calidad permitirá garantizar en cada uno de los entregables el cumplimiento de todas las necesidades solicitadas, a su vez dicho servicio permitirá mitigar la cantidad de errores que puedan surgir en su entrega.
ALCANCE
Inicia con:
a) Elaboración de requerimiento con todas las necesidades
b) Se genera un oficio de la solicitud del requerimiento en el Gestor Documental (Chasqui)
c) DTIC recepta el requerimiento d) Se evalúa la factibilidad del desarrollo del
requerimiento e) Se envía una respuesta al solicitante f) Se procede con la asignación del requerimiento al
responsable
Termina con:
a) Se realiza pruebas de validación con el usuario solicitante
b) Se realiza acta entrega del requerimiento c) Se firma el acuerdo de la entrega del requerimiento d) Cierre de oficio en el sistema Chasqui
OBJETIVO
Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de cada uno de los entregables.
SERVICIO CONTIENE
Es aplicable para procesos, servicios o proyectos que se desarrolle por parte de la DTIC
EXCLUSIONES
Mantenimiento de Hardware o Software
CARACTERISTICAS GENERALES
Responsables a) Mayo. Ocampo b) Ing. Gilma Toaza
Clientes a) Usuarios de unidades militares
Servicios Relacionados
a) Todos los servicios b) Todos los procesos
188
ESPECIFICACIONE
c) Todos los proyectos
Entradas a) Documento mediante el Gestor Documental
(Chasqui), escalado hacia la DTIC.
Entregables a) Informe de trabajos realizados b) Informe de pruebas de calidad realizadas c) Entrega del Requerimiento
Funciones
a) Revisar los requerimientos b) Analizar la factibilidad del requerimiento c) Elaborar la una matriz de riesgos d) Desarrollar el requerimiento e) Elaborar Pruebas de Calidad f) Elaborar documento de entrega del proyecto g) Documento de firma de aceptación
ESPECIFICACIONES
Restricciones a) Administración de equipos
Nivel de Servicio a) Urgente: 2 hora b) Medio: 4 horas c) Bajo: más de 4 horas
Horarios b) El servicio se encuentra activo las 8 horas al día los 5 días de la semana
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Nivel de servicio
Tiempo Respuesta Incidentes: 2 horas
Tiempo resolución incidentes: 3 horas
Tiempo escalamiento: 1 hora
Nivel de soporte
Tiempo Respuesta Incidentes: 2 horas
Tiempo resolución incidentes: 2 horas
Tiempo escalamiento: 1 hora
ESCALAMIENTO DEL SERVICIO
Nivel 1 [email protected]
Nivel 2 Desarrollo Software : Mayo. Velastegui Andrés
189
III. Niveles de servicio
IN
DIC
AD
OR
OP
ER
AT
IVO
PE
SO
DE
L
IND
ICA
DO
R
OP
ER
AT
IVO
RA
TIO
PE
SO
DE
L
RA
TIO
VA
LO
R
OB
JE
TIV
O
MÍN
IMO
VA
LO
R
OB
JE
TIV
O
ES
PE
RA
DO
CO
ND
ICIÓ
N
DE
ME
DID
A
FU
EN
TE
FÓ
RM
UL
A D
E
CÁ
LC
UL
O
DE
MA
ND
A
(um
bra
l)
Desempeño 100%
Tiempo de
atención del
requerimiento
40%
80% 85%
Tiempo en estado sin atención
desde que el
requerimiento fue
reportado
Chasqui
(# Requerimientos atendidos en el tiempo comprometido / # Total Requerimientos Recibidos)*100
5
Tiempo de
Resolución del
requerimiento
40%
80% 85%
Tiempo en estado sin atención
desde que el
requerimiento fue
reportado
Chasqui
(# Requerimientos resueltos en el tiempo comprometido / # Total Requerimientos Recibidos)*100
5
Número de
desarrollos
revisados
45%
80% 85%
Número de
desarrollos
solicitados para la revisión
Chasqui Número de desarrollos revisados
10
190
IV. Diagrama del Proceso
191
Gestionar los servicios de seguridad. DSS05
Descripción
Proteger la información de la empresa para mantener el nivel de riesgo de la
seguridad de la información aceptable para la empresa, conforme con la política de
seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la
información. Realizar una monitorización de la seguridad. (ISACA, Marco de referencia
COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Propósito
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes
operativos de seguridad de la información. (ISACA, Marco de referencia COBIT 2019:
Objetivos de Gobierno y Gestión, 2018)
Metas empresariales/alineamiento y métricas
DSS05 respalda la consecución de las metas empresariales y de alineamiento
como se indica en la Tabla 57. Por otra parte, de las métricas propuestas por COBIT
2019, se seleccionan métricas y se define una fórmula de cálculo para el indicador que
medirá el proceso (Tabla 58)
Tabla 57
Metas empresariales y de alineamiento de DSS05
METAS EMPRESARIALES/ALINEAMIENTO
DSS05. GESTIONAR LOS SERVICIOS DE SEGURIDAD
META EMPRESARIAL META DE ALINEAMIENTO Ref. Descripción Ref. Descripción
EG02 Gestión de riesgo del negocio AG02 Gestión de riesgo relacionado con I&T
EG06
Continuidad y disponibilidad del servicio del negocio
AG07
Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
192
Tabla 58
Métricas de DSS05 para DTIC
Procesos
DSS05.01 Proteger contra software malicioso
Descripción: Implementar y mantener en toda la empresa medidas preventivas,
detectivas y correctivas (especialmente parches de seguridad y control de virus
actualizados) para proteger los sistemas de información y la tecnología del software
malicioso (p. ej., ransomware, malware, virus, gusanos, spyware y spam). (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
MÉTRICAS
DSS05. Gestionar los servicios de seguridad
META EMPRESARIAL META DE ALINEAMIENTO Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
EG02
Porcentaje de
objetivos y
servicios
empresariales
críticos
cubiertos por la
evaluación de
riesgo
𝑿 =
𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓
𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔
𝒄𝒓í𝒕𝒊𝒄𝒐𝒔
AG2
Porcentaje de
evaluaciones de
riesgo
empresarial que
incluyen el
riesgo
relacionado con
I&T
𝑿 =
𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓
𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔
𝒄𝒓í𝒕𝒊𝒄𝒐𝒔
Número de
incidentes
significativos
que no se
identificaron en
la evaluación de
riesgos frente al
total de
incidentes
𝑿 =
𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
𝑻𝒐𝒕𝒂𝒍 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔
Número de
incidentes
significativos
relacionados
con I&T que no
se identificaron
en la evaluación
de riesgos
𝑿 =𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 IT
𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
EG06
Número de
interrupciones
del servicio al
cliente o
procesos
empresariales
que causan
incidentes
significativos
𝑿 = 𝑵𝒐. 𝒅𝒆 𝒊𝒏𝒕𝒆𝒓𝒓𝒖𝒑𝒄𝒊𝒐𝒏𝒆𝒔 𝒅𝒆𝒍 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐 𝒂𝒍 𝒄𝒍𝒊𝒆𝒏𝒕𝒆
AG07
Número de
incidentes de
disponibilidad
que causan
pérdidas
financieras,
interrupción del
negocio o
descrédito
público
𝑿 =𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 𝒅𝒊𝒔𝒑𝒐𝒏𝒊𝒃𝒊𝒍𝒊𝒅𝒂𝒅
𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
193
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métrica Recomendada:
o Porcentaje de ataques exitosos de software malicioso
𝑿 = 𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑎𝑡𝑎𝑞𝑢𝑒𝑠 𝑒𝑥𝑖𝑡𝑜𝑠𝑜𝑠
𝑁𝑢𝑚𝑒𝑟𝑜 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑡𝑎𝑞𝑢𝑒𝑠∗ 100%
Actividades: El conjunto de actividades que describen el proceso de protección
contra software malicioso, planteadas por COBIT son las que se indica en la Tabla 59,
para las cuales se señala las actividades relacionadas que se ejecutan y que se
deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición del
proceso.
Tabla 59
Actividades proceso DSS05.01
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Instalar y activar herramientas de protección contra software malicioso en todas las instalaciones de procesamiento
2
Herramienta de antivirus Bit Defender instalada y activa
A2. Filtrar el tráfico de entrada
Solución única de seguridad UTM funcionando, que integra funciones de filtrado de contenido, firewall de red, etc.
A3.
Comunicación y concienciación sobre software malicioso y hacer cumplir los procedimientos y responsabilidades de prevención. Impartir formación periódica sobre malware en el uso de correo electrónico e Internet.
3
La DTIC deberá definir y comunicar de manera frecuente una política de prevención de software malicioso
A4.
Distribuir todo el software de protección centralmente (versión y parches) usando una
La DTIC deberá optimizar el funcionamiento de la herramienta Bit Defender y Distribuir todo el software de
194
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
configuración centralizada y la gestión de cambios de TI
protección centralmente (versión y parches) usando una configuración centralizada y la gestión de cambios de TI
A5. Revisar y evaluar la información sobre nuevas amenazas potenciales.
4
La DTIC deberá revisar y evaluar la información sobre nuevas amenazas potenciales, de manera periódica
DSS05.02 Gestionar la seguridad de la conectividad y de la red
Descripción: Usar medidas de seguridad y procedimientos de gestión
relacionados para proteger la información a través de todos los métodos de
conectividad. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de brechas en el Firewall
𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑏𝑟𝑒𝑐ℎ𝑎𝑠 𝑒𝑛 𝑒𝑙 𝐹𝑖𝑟𝑒𝑤𝑎𝑙𝑙
o Número de vulnerabilidades descubiertas
𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠
Actividades: El conjunto de actividades que describen el proceso de gestionar
la seguridad de la conectividad y de la red, planteadas por COBIT son las que se indica
en la Tabla 60, para las cuales se señala las actividades relacionadas que se ejecutan y
que se deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición
del proceso.
195
Tabla 60
Actividades proceso DSS05.02
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Permitir que solo los dispositivos autorizados tengan acceso a la información corporativa y a la red de la empresa
2
La DTIC deberá definir una política de autenticación para los dispositivos que requieran conexión a la red.
A2.
Implementar mecanismos de filtrado de red y software de detección de intrusos. Hacer cumplir las políticas adecuadas para controlar el tráfico entrante y saliente.
Solución única de seguridad UTM funcionando, que integra funciones de filtrado de contenido, firewall de red, etc.
A3.
Configurar el equipo de red de forma segura
La DTIC deberá definir una política de configuración de equipos de red de forma segura
A4. Encriptar la información en tránsito de acuerdo con su clasificación
3
La DTIC deberá realizar encriptación de la información en tránsito.
A5.
Establecer y mantener una política para la seguridad de la conectividad con base en las evaluaciones de riesgo y los requisitos del negocio
La DTIC deberá mantener una política para la seguridad de la conectividad con base en las evaluaciones de riesgo y los requisitos del negocio
A6.
Establecer mecanismos confiables para apoyar la transmisión y recepción segura de la información
La DTIC debe establecer mecanismos confiables para apoyar la transmisión y recepción segura de la información
A7.
Llevar a cabo pruebas periódicas de penetración y a seguridad del sistema para determinar la idoneidad de la protección de la red y del sistema
4
En la DTIC se deberá llevar a cabo pruebas periódicas de penetración y a seguridad del sistema para determinar la idoneidad de la protección de la red y del sistema
196
DSS05.03 Gestionar la seguridad de endpoint
Descripción: Garantizar que los dispositivos de punto final (Endpoint, término
en inglés) tengan una seguridad a un nivel igual o superior al de los requisitos de
seguridad definidos para la información procesada, almacenada o transmitida (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de incidentes que involucran a un dispositivo End Point
𝑿𝟏 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑞𝑢𝑒 𝑖𝑛𝑣𝑜𝑙𝑢𝑐𝑟𝑎𝑛 𝑢𝑛 𝐸𝑛𝑑 𝑃𝑜𝑖𝑛𝑡
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠𝑐
∗ 100%
o Número de dispositivos no autorizados detectados en la red o en el
entorno de usuario final
𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜𝑠
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐷𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠∗ 100%
Actividades: Del conjunto de actividades que describen el proceso de gestionar
la seguridad de endpoint planteadas por COBIT, en la Tabla 61 se describen las
actividades relacionadas con la DTIC, que se ejecutan y que se deberán implementar,
las cuales se incluyen como parte de la definición del proceso.
197
Tabla 61
Actividades proceso DSS05.03
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Configurar los sistemas operativos de forma segura
2
La DTIC mediante el área de Seguridad Lógica deberá incluir la configuración segura de sistemas operativos.
A2. Implementar mecanismos de bloqueo de dispositivos
La DTIC deberá optimizar el funcionamiento de la herramienta Bit Defender para implementar mecanismos de bloqueo de dispositivos
A3.
Implementar el filtrado de tráfico de red en dispositivos de punto final
La DTIC deberá optimizar el funcionamiento del cortafuegos de la herramienta Bit Defender para implementar filtrado de trafico de red
A4. Gestionar la configuración de red de forma segura
La DTIC deberá revisar la política de seguridad para considerar la configuración de red de endpoint de forma segura
A5. Proteger la integridad del sistema
-La DTIC a través del área de seguridad lógica deberá proteger la tanto la integridad de los discos como del sistema de archivos almacenada en los equipos, mediante el uso de herramientas propias de Windows, para revisar si existen sectores dañados u otros errores en los discos. -Además, se debe mantener el software de Antivirus instalado y funcionando de manera correcta - Mantener políticas de copias de seguridad, y - Disponer de planes de contingencia e inventario de todo el software instalado.
A6. Proporcionar protección física a los dispositivos de punto final
La DTIC deberá revisar la política de seguridad para incluir medidas de protección del hardware, que contemple aspectos como: acceso físico, desastres naturales, alteraciones del entorno
198
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A7. Eliminar de forma segura los dispositivos Endpoint
La DTIC deberá revisar la política de seguridad para incluir medidas de protección del hardware para incluir la eliminación segura de endpoint.
A8.
Gestionar el acceso malicioso a través del correo electrónico y los navegadores web
La DTIC deberá considerar ampliar las capacidades de seguridad de la herramienta Bitdefender para implementar la funcionalidad de EDR (Endpoint Detection and Response) con el fin de mantener una mayor visibilidad y respuesta ante incidentes de seguridad en puntos finales de la red.
A9.
Encriptar la información almacenada de acuerdo con su clasificación
3
La DTIC deberá considerar la utilización de una herramienta que permita la encriptación de la información almacenada de acuerdo con su clasificación.
DSS05.04: Gestionar la identidad del usuario y el acceso lógico
Descripción: Asegurarse de que todos los usuarios tienen derechos de acceso
a la información de acuerdo con los requisitos del negocio. Coordinarse con las
unidades del negocio que gestionan sus propios derechos de acceso en los procesos
de negocio. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de cuentas (vs. número de usuarios/personal autorizado)
𝑿𝟏 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐
o Número de incidentes relacionados con el acceso no autorizado a la
información.
199
𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑙 𝐴𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜 𝑐
𝑿𝟑 =𝑁𝑜. 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑎𝑐𝑐𝑒𝑠𝑜 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
Actividades: Del conjunto de actividades que describen el proceso de Gestionar
la identidad del usuario y el acceso lógico planteadas por COBIT, en la Tabla 62 se
describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán
implementar, las cuales se incluyen como parte de la definición del proceso.
Tabla 62
Actividades proceso DSS05.04
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Mantener los derechos de acceso de los usuarios de acuerdo con la función del negocio, los requisitos del proceso y las políticas de seguridad.
2
Para cumplir las actividades indicadas en el proceso de Gestionar la identidad del usuario y el acceso lógico, la DTIC deberá considerar la opción de implementar un servidor de Directorio Activo que proporcione las funcionalidades de organización y gestión de los componentes de la red como ordenadores, grupos, usuarios, dominios, varias políticas de seguridad, además de cualquier tipo de objeto definido para el usuario y administración de credenciales. Entre las opciones que se pueden considerar se encuentran, la licenciada de Microsoft Active Directory, o herramientas gratuitas que ofrecen este tipo de
A2.
Administrar oportunamente todos los cambios en los derechos de acceso (creación, modificación y eliminación), basándose únicamente en transacciones aprobadas y documentadas que hayan sido autorizadas por personas designadas por la dirección. 3
A3.
Segregar, reducir al mínimo necesario y gestionar activamente cuentas de usuario privilegiadas.
A4.
Identificar de forma unívoca y por roles funcionales todas las actividades de procesamiento de información.
200
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A5.
Autenticar todo el acceso a activos de información de acuerdo con el rol del individuo o a las reglas del negocio.
funcionalidades como Open LDAP, Mandriva Directory Server, etc.
A6.
Garantizar que todos los usuarios (internos, externos y temporales) y su actividad en los sistemas de TI (aplicación de negocio, infraestructura de TI, operaciones, desarrollo y mantenimiento de sistemas) se puedan identificar de manera unívoca.
A7.
Mantener un registro de auditoría del acceso a la información dependiendo de su sensibilidad y de los requisitos regulatorios. 4
A8.
Llevar a cabo revisiones gerenciales periódicas de todas las cuentas y privilegios relacionados.
DSS05.05: Gestionar el acceso físico a los activos de I&T
Descripción: Definir e implantar procedimientos (incluyendo procedimientos de
emergencia)
para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de
acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios y
áreas debe estar justificado, autorizado, registrado y supervisado. Este requisito aplica a
todas las personas que accedan a las instalaciones, incluyendo personal interno,
personal temporal, clientes, proveedores, visitantes y cualquier otro tercero. (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
201
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Calificación promedio de las evaluaciones de seguridad física.
𝑿𝟏 = ∑ 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑
𝑁ú𝑚𝑒𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑓í𝑠𝑖𝑐𝑎 𝑐
o Número de incidentes relacionados con la seguridad de la información
física
𝑿𝟐 =
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑙𝑎𝑐𝑖𝑜𝑛𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 𝑙𝑎 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑑𝑒 𝑙𝑎 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑓í𝑠𝑖𝑐𝑎
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
Actividades: Del conjunto de actividades que describen el proceso de Gestionar
el acceso físico a los activos de I&T planteadas por COBIT, en la Tabla 63 se describen
las actividades relacionadas con la DTIC, que se ejecutan y que se deberán
implementar, las cuales se incluyen como parte de la definición del proceso.
Tabla 63
Actividades proceso DSS05.05
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Registrar y monitorizar todos los puntos de entrada a las instalaciones de TI. Registrar a todos los visitantes al sitio, incluidos contratistas y Proveedores
2
La institución realiza el registro y monitorización de todos los puntos de entrada a las instalaciones. El requisito para ingresar es la entrega de un documento de identificación. Se tiene 2 puntos de registro, en la planta baja del edificio de la Comandancia General y en el piso 8 para ingresar a la DTIC.
A2. Asegurar que todo el personal muestra una identificación
A todos los visitantes que ingresan a la Comandancia General se entrega una
202
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
debidamente autorizada en todo momento
credencial y se solicita utilizar la misma de manera visible, para seguir a cualquier departamento incluido a la DTIC
A3.
Requerir a los visitantes que estén acompañados en todo momento durante su estancia en las instalaciones
La institución solicita información del propósito de la visita, para constatar la persona/s con quien se encontrará el visitante.
A4.
Restringir y monitorizar el acceso a instalaciones sensibles de TI, mediante el establecimiento de restricciones al perímetro, como vallas, paredes y dispositivos de seguridad en puertas interiores y exteriores.
A pesar de que el ingreso al Ministerio es controlado mediante un sistema de rayos X de inspección de pertenencias; la DTIC debe considerar la implementación de controles adicionales que permitan reforzar la seguridad a las instalaciones de TI.
Gestionar solicitudes para permitir el acceso debidamente autorizado a las instalaciones de cómputo.
3
La DTIC debe incluir como parte de la política la gestión de solicitudes para permitir el acceso autorizado a las instalaciones de cómputo
A6.
Garantizar que los perfiles de acceso permanezcan actualizados. Basar el acceso a las instalaciones de TI (sala de servidores, edificios, áreas o zonas) en el cargo y las responsabilidades.
La DTIC deberá garantizar que los perfiles de acceso permanezcan actualizados y que el acceso a las instalaciones de TI se encuentre relacionado con el cargo y las responsabilidades de los usuarios.
A7.
Realizar formación sobre concienciación de la seguridad de la información física de forma regular
La DTIC debe realizar concientización a los usuarios sobre la seguridad de la información física de forma regular.
DSS05.06: Gestionar documentos sensibles y dispositivos de salida.
Descripción: Establecer protecciones físicas apropiadas, prácticas contables y
gestión de inventario relativa a activos sensibles de I&T, como formas especiales,
instrumentos negociables, impresoras para fines especiales o tokens de seguridad.
(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
203
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de dispositivos de salida robados
𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎 𝑟𝑜𝑏𝑎𝑑𝑜𝑠
o Porcentaje de documentos sensibles y dispositivos de salida identificados
en el inventario
𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑜𝑐𝑢𝑚𝑒𝑛𝑡𝑜𝑠 𝑠𝑒𝑛𝑠𝑖𝑏𝑙𝑒𝑠 𝑦 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠 𝑒𝑛 𝑒𝑙 𝑖𝑛𝑣𝑒𝑛𝑡𝑎𝑟𝑖𝑜∗ 100%
Actividades: Del conjunto de actividades que describen el proceso de Gestionar
documentos sensibles y dispositivos de salida planteadas por COBIT, en la Tabla 64 se
describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán
implementar, las cuales se incluyen como parte de la definición del proceso.
Tabla 64
Actividades proceso DSS05.06
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Establecer procedimientos para gobernar la recepción, uso, retiro y desecho de documentos sensibles y dispositivos de salida, dentro y fuera de la empresa.
2
La DTIC deberá establecer procedimientos para gobernar la recepción, uso, retiro y desecho de documentos sensibles y dispositivos de salida, dentro y fuera de la empresa
A2.
Asegurar que se han establecido controles criptográficos para proteger información sensible almacenada electrónicamente.
La DTIC deberá asegurar el establecimiento de controles criptográficos para proteger información sensible almacenada electrónicamente
204
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A3.
Asignar privilegios de acceso a documentos sensibles y dispositivos de salida con base en el principio de menor privilegio, manteniendo un equilibrio entre el riesgo y los requisitos del negocio
3
La DTIC deberá definir privilegios de acceso a documentos sensibles y dispositivos de salida.
A4.
Establecer un inventario de documentos sensibles y dispositivos de salida y realizar reconciliaciones periódicas
La DTIC debe establecer un inventario de documentos sensibles y dispositivos de salida.
DSS05.07: Gestionar las vulnerabilidades y monitorizar la infraestructura para
detectar eventos relacionados con la seguridad
Descripción: Mediante el uso de un portafolio de herramientas y tecnologías,
gestionar las vulnerabilidades y monitorizar la infraestructura para detectar accesos no
autorizados. Asegurar que las herramientas, tecnologías y detección de seguridad están
integradas en la monitorización general de eventos y la gestión de incidentes. (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)
Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas
y se define una fórmula de cálculo para el indicador que medirá el proceso.
• Métricas Recomendadas:
o Número de pruebas de vulnerabilidad llevadas a cabo en dispositivos
perimetrales
𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑝𝑟𝑢𝑒𝑏𝑎𝑠 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠
o Número de vulnerabilidades descubiertas durante las pruebas
𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠
o Porcentaje de tickets creados de forma oportuna cuando los sistemas de
monitorización identifican posibles incidentes de seguridad
205
𝑿𝟑 =𝑁𝑜. 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑐𝑟𝑒𝑎𝑑𝑜𝑠 𝑒𝑛 𝑚𝑒𝑛𝑜𝑟 𝑡𝑖𝑒𝑚𝑝𝑜
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑡𝑖𝑐𝑘𝑒𝑡𝑠 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑
∗ 100%
Actividades: Del conjunto de actividades que describen el proceso de Gestionar
las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados
con la seguridad planteadas por COBIT, en la Tabla 65 se describen las actividades
relacionadas con la DTIC, que se ejecutan y que se deberán implementar, las cuales se
incluyen como parte de la definición del proceso.
Tabla 65
Actividades proceso DSS05.07
Ref. Actividad Nivel de
Capacidad Actividades en la DTIC
A1.
Usar de forma continua un portafolio de tecnologías, servicios y activos soportados (por ejemplo: escáneres de vulnerabilidad y sniffers) para identificar vulnerabilidades de seguridad de la información.
2
La DTIC a través del área de Seguridad de la información deberá realizar actividades periódicas de escaneos de vulnerabilidades.
A2.
Definir y comunicar escenarios de riesgo para que se puedan reconocer con facilidad y se pueda entender su probabilidad e impacto.
La DTIC mediante el área de Seguridad de la Información Digital recibe información y comunica escenarios de riesgo para definir su probabilidad e impacto.
A3. Revisar regularmente los logs de eventos para detectar posibles incidentes.
La DTIC mediante el área de Seguridad de la Información Digital, revisa periódicamente los logs de eventos para identificar posibles incidentes.
A4.
Garantizar que se creen tickets relativos a incidentes de seguridad de forma oportuna cuando la monitorización identifique posibles incidentes
La DTIC por medio del área de Seguridad de la Información Digital, deberá reforzar el procedimiento de creación de tickets de forma oportuna, frente a la identificación de posibles incidentes.
A5.
Registrar eventos relacionados con la seguridad y conservar los registros durante el periodo de tiempo apropiado
3
La DTIC por medio del área de Seguridad de la Información Digital registra eventos relacionados con la seguridad.
206
Estructuras Organizativas
Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:
Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las
responsabilidades de cada actor que participa en cada uno de los procesos descritos.
La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las
columnas los actores; en la intersección de cada fila con cada columna, se asigna la
responsabilidad de cada rol, como se muestra en la Figura 49.
Figura 49
Matriz de Responsabilidades
Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
207
Flujos y elementos de comunicación
Este componente de gobierno indica una guía sobre los flujos y elementos de
comunicación relacionados con la práctica de los siete procesos del objetivo DSS05,
incluye entradas, salidas y se incluye origen y destino (Tabla 66)
Tabla 66
Flujos y elementos de comunicación
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
DSS05.01 Proteger contra software malicioso
Política de prevención de software malicioso
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.
Evaluaciones de amenazas potenciales
APO12.02 Analizar el riesgo APO12.03 Mantener un perfil de riesgo
DSS05.02
Gestionar la seguridad de la conectividad y de la red.
APO01.07 Definir la propiedad de la información (datos) y del sistema de información
Directrices de clasificación de datos
Política de seguridad de la conectividad
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas
APO09.03 Definir y preparar acuerdos de servicio
SLAs Resultados de pruebas de penetración
MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa
DSS05.03 Gestionar la seguridad de endpoint.
APO03.02 Definir la arquitectura de referencia
Modelo de arquitectura de la información
Políticas de seguridad para dispositivos Endpoint
APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas
APO09.03 Definir y preparar acuerdos de servicio
• SLAs • OLAs
BAI09.01 Identificar y registrar los activos actuales
Resultados de comprobaciones de inventario físicas
DSS06.06 Asegurar los activos de información
Informes de violaciones
208
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
DSS05.04
Gestionar la identidad del usuario y el acceso lógico.
APO01.05 Establecer roles y responsabilidades
Definición de roles y responsabilidades relacionadas con I&T
Resultados de revisiones de cuentas de usuarios y privilegios
Interna
APO03.02 Definir la arquitectura de referencia
Modelo de arquitectura de la información
Derechos de acceso de usuario aprobados
Interna
DSS05.05
Gestionar el acceso físico a los activos de I&T.
Registros de acceso
DSS06.03, Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa
Solicitudes de acceso aprobadas
Interna
DSS05.06
Gestionar documentos sensibles y dispositivos de salida.
APO03.02 Definir la arquitectura de referencia
Modelo de arquitectura de la información
Privilegios de acceso
Interna
Inventario de documentos y dispositivos sensibles
Interna
DSS05.07
Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.
Tickets relacionados con incidentes de seguridad
DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes
Características de los incidentes de seguridad
Interna
Logs de eventos de seguridad
Interna
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno
y Gestión, 2018)
Personas, habilidades y competencias
COBIT con base al Skills Framework for the Information Age (SFIA®) V6
(versión 6), define los siguientes recursos humanos y habilidades que se requieren para
209
alcanzar el objetivo de gestión DSS05: Gestionar los servicios de seguridad (ISACA,
Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).
• Seguridad de la información
• Gestión de seguridad de la información
• Pruebas de penetración
• Administración de seguridad
Políticas y Procedimientos
Este componente proporciona una guía de políticas y procedimientos relevantes
para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y
una descripción; en el caso del objetivo de gobierno DSS05: Gestionar los servicios
de seguridad, se especifica la política indicada a continuación (ISACA, Marco de
referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).
• Política Relevante: Política de seguridad de la información
• Descripción de la Política: Establecer directrices para proteger la información
corporativa y los sistemas e infraestructura asociados.
Cultura, ética y comportamiento
Este componente provee un modelo detallado sobre los elementos culturales
deseados por la institución, que permitan la consecución de los objetivos de gobierno y
gestión, en el caso del objetivo de gestión DSS05: Gestionar los servicios de
seguridad, se tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019:
Objetivos de Gobierno y Gestión, 2018).
• Elementos Culturales Clave: Crear una cultura de concienciación con respecto a la
responsabilidad del usuario de mantener prácticas de seguridad y de privacidad.
210
Servicio, infraestructuras y aplicaciones
Este componente de gobierno proporciona una guía sobre los servicios,
infraestructura y categoría de aplicaciones de terceros que pueden utilizarse para lograr
la consecución de los objetivos de gobierno y gestión, en este caso, del objetivo de
gestión DSS05: Gestionar los servicios de seguridad.
Como se indicó en el apartado 3.3, se procedió con el levantamiento de servicios
de TI para la DTIC; es así que en este apartado se considera todos los servicios de TI,
adicionales a los servicios de seguridad de TI y con base a los lineamientos de ITIL, se
completó la información para cada servicio, se registraron las actividades que se
cumple, así como objetivos, entradas, salidas, etc. Además, con las actividades
identificadas se desarrolló un diagrama de flujo.
La información relevante con la que no contaban los servicios y que se incluyó
para cada uno, es la que se indica a continuación:
• Código de servicio
• Versión
• Niveles de Servicio
Con base a la información recolectada, en la Tabla 67 se resume la información
general que describe cada uno de los servicios de TI identificados, de la Dirección de
Tecnologías de la Información y Comunicaciones (DTIC).
211
Tabla 67
Servicios de TI en la DTIC
No CATEGORIA SUB-
CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
1
Servicios de Software
Aplicaciones
Aplicaciones Aplicaciones STI.APL.09
Identificar los requisitos funcionales del software de aplicaciones, prestar apoyo en el diseño y desarrollo de dichas aplicaciones y subir a los ambientes de desarrollo, pruebas y producción, aplicaciones nuevas o actualizaciones a las versiones ya existentes; y así mantener los servicios disponibles para el usuario
2 Gestión Documental
Gestor Documental
STI.GDOC.11
Permitir ahorro de recursos, protección al medio ambiente, ayuda al manejo centralizado de los requerimientos y seguridad de la información del Ejército del Ecuador.
3
Desarrollo Informático
Herramientas de Desarrollo
Desarrollo de Software
STI.DESA_HE. 04.01
Desarrollar e implementar nuevos aplicativos y brindar mantenimiento y soporte de aplicativos que se encuentran desarrollados
4 Herramientas de Reportería
Herramientas de desarrollo de Reportería
STI.DESA_REP.04.02
Brindar al usuario la información necesaria para realizar una mejor toma de decisiones en función a la información registrada por cada proceso.
5 Control de Calidad
Control de Calidad
STI.QA.02
Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de cada uno de los entregables.
212
No CATEGORIA SUB-
CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
6 Base de Datos Base de Datos Base de Datos
STI.BASE_DATOS.05
Asegurar que el versionamiento del sistema sea validado y tenga conformidad con el requerimiento del usuario, para realizar puestas en producción.
7
Servicios de Comunicaciones
Centro de Control
LAN Admin de la LAN
STI.RLAN.06
Mantener la LAN (Red de Área Local) del edificio de la Comandancia General del Ejército operativa, eficiente y segura.
8 WAN Admin de la WAN
STI.RWAN.14
Administrar, monitorear y supervisar el correcto funcionamiento de los enlaces desde y hacia las unidades militares y la Comandancia General del Ejército
9 Telefonía IP TELEFONIA IP/CONMUTACIÓN
STI.TEL_IP.10
Disponer de un sistema unificado de Telefonía para brindar el servicio a los usuarios, con una gestión centralizada y la integración de varias localidades
10 Video conferencia
Servicio de Video Conferencia
STI.VIDEOC.03
Ahorrar tiempos, recursos y costos a los usuarios del ejercito del Ecuador Facilita la disposición al momento de requerir un trabajo de suma urgencia Permite mantener informados a cada unidad militar en su respectivo nivel, sobre el estado del personal, material y equipo.
11 Correo Electrónico
Servicio de Correo Electrónico
STI.CO_ELC.13
Crear, resetear las cuentas de correos de los usuarios y mantener el servicio al 100% durante las 24 horas.
12 Infraestructura Infraestructura Servidores
Servidores Administración de servidores
STI.ADM_SRV.12.01
Mantener los servidores operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares
213
No CATEGORIA SUB-
CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
13 Almacenamiento
Almacenamiento físico de servidores
STI.ALM_SRV.12.02
Mantener el sistema de almacenamiento operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares, brindando información fiable para la toma de decisiones
14
Seguridad
Seguridad de la Información
Seguridad de la información digital
STI.SI_DIGITAL.01
El centro de respuesta incidentes de seguridad cibernética fuerzas armadas tiene el propósito de gestionar incidentes de Fuerzas Armadas que atenten la infraestructura tecnológica, física y digital de las Fuerzas Armadas
15 UTM Admin UTM STI.SI_UTM.07
Administrar el acceso hacia Internet por parte de los usuarios y proteger la red de datos del edificio de la Comandancia General del Ejército
16 Seguridad Lógica
Servicio Seguridad Dominio
STI.SI_SEGLOG.08
Cumplir al 80% con las necesidades requeridas por los usuarios para que puedan desempeñar su trabajo de forma óptima
A continuación, se muestra la información propuesta para el servicio de red de
datos. En el Anexo B, se incluye la información para los servicios restantes.
214
SERVICIO DE RED DE DATOS DE LA FUERZA TERRESTRE
I. Diagnóstico Inicial Al iniciar con levantamiento del servicio de WAN se pudo identificar que no se cuenta con un flujo del servicio definido, o niveles de servicio determinados; el encargado actual del servicio tiene el conocimiento de las actividades que se realizan, pero no como parte de un proceso establecido. Los responsables del servicio se encargan de la administración, configuración y monitoreo de la WAN de la Fuerza Terrestre.
II. Levantamiento de procesos actuales
DETALLE DEL SERVICIO
Código STI.RWAN.14
Nombre Administración de la WAN
Descripción
Soporte técnico y administración, así como recepción y atención de incidentes asociados a la red WAN (Red de área extensa), red que permite que las unidades militares geográficamente distribuidas dispongan de los servicios y aplicativos proporcionados por la Fuerza terrestre integrando la Comandancia General del Ejército con las unidades.
Estado Activo - Operativo
Versión 1.0
Fecha puesta en operación
1997
Fecha finalización En Funcionamiento Actualmente
Contacto Soporte Sgos. Cacpata Vicente mail:[email protected]
Contacto para modificaciones
Sgos. Cacpata Vicente mail: [email protected]
Propietario Comandancia General del Ejército
Clientes Usuarios unidades militares
INTRODUCCIÓN
La administración de la WAN es responsable del soporte técnico y gestión, así como de la recepción y atención de incidentes asociados a la red WAN (Red de área extensa), red que permite la interconexión de la Comandancia General del Ejercito con las unidades militares geográficamente distribuidas; con la finalidad de mantener la correcta operatividad de las redes y asegurar el normal desempeño de los usuarios
ALCANCE
215
Inicia con: g) Oficio de la solicitud del servicio en el Gestor
Documental (Chasqui) h) Memorándum de trabajo
Termina con: e) Cierre de oficio en el sistema Chasqui
OBJETIVO
Administrar, monitorear y supervisar el correcto funcionamiento de los enlaces desde y hacia las unidades militares y la Comandancia General del Ejército
SERVICIO CONTIENE
a) Administración de enlaces b) Administración de DNS internos y externos c) Administración del Firewall UTM (FW) d) Administración del servidor VPN
EXCLUSIONES
a) Mantenimientos correctivos b) Administración de enlaces de CNT, solamente se considera la administración de equipos finales
CARACTERISTICAS GENERALES
Responsables c) Sgos. Cacpata Vicente d) Sgos. Cando Edwin e) Sgos. Guaman Luis
Clientes b) Usuarios de unidades militares c) Administradores de los servidores
Servicios Relacionados
d) LAN e) Infraestructura - Servidores
Entradas b) Documento mediante el Gestor Documental
(Chasqui), escalado desde la DTIC al jefe del Centro de Control de Datos
Entregables d) Informe de trabajos realizados
Funciones
c) Monitoreo de enlaces. – Incluye la medición y verificación del nivel de señal y calidad del enlace; en casos de daños identificados, se realiza la calibración del enlace
d) Apertura de puertos en el UTM e) Administración de reglas en el UTM f) Monitoreo, soporte y mantenimiento preventivo del
UTM g) Creación y accesos de VPNs a la red h) Asignación de nombres de dominio i) Control de direccionamiento IP de las unidades y
servidores j) Realización de informes del trabajo realizado y
situación actual del sitio o unidadmilitar visitado. Se entrega aljefe del centro de control de datos.
216
Flujo de Actividades
Creación de reglas en el UTM a) Acceder al UTM y verificarla zona desde donde se
requiere acceder b) Verificar el tipo de protocolo (TCP/UDP) y el
número de puerto c) Verificar las redes de origen y destino d) Creación de la regla respectiva en el UTM para la
apertura del puerto específico, para el servicio requerido
e) Se realiza pruebas con el usuario f) Finaliza el requerimiento
Asignación de nombres de dominio a) En el sistema chasqui el administrador de un
servidor solicita la asignación de un nombre de dominio para determinado servidor
b) Administrador del servidor entrega los datos del servidor y nombre del sitio a resolver al administrador de la WAN
c) Asignar al servidor una dirección IP pública, del pool de direcciones públicas entregadas por CNT
d) Administrador de la WAN asigna la dirección IP del servidor al nombre solicitado, dentro del dominio ejercito.mil.ec. en los sistemas de archivos de la configuración de DNS
e) Se verifica la resolución del sitio configurado, tanto interna como externamente en conjunto con el administrador del servidor
f) Se guarda la configuración y se obtiene el backup de la última configuración realizada.
g) Finaliza el requerimiento Para VPN Servicio únicamente disponible para unidades que no disponen de una Red de Datos de la Fuerza Terrestre y el único medio de interconexión es el INTERNET actualmente se encuentran funcionando con este sistema 2 unidades militares.
a) Se solicita al usuario de manera obligatoria un oficio con el requerimiento para la VPN. El documento se dirige a la DTIC, quienes escalan al jefe del Centro de Control de Datos.
b) Se verifica en el UTM las reglas correspondientes a la VPN
c) En el router cisco se crea el usuario y se asigna una contraseña
d) Verificar que el usuario disponga del cliente cisco para iniciar la VPN en su equipo
e) Se crea memorándum de la configuración realizada
217
f) Se entrega el usuario y la contraseña al encargado de la unidad de manera personal, con la copia de cédula como responsable de la VPN
g) La VPN caduca bajo pedido del usuario. h) Finaliza el requerimiento
ESPECIFICACIONES
Configuración
- Unidades militares enlazadas por el proveedor CNT a nivel nacional - Enlaces de radio microondas IP - Enlace directo con fibra óptica, desde el dispositivo local hacia el dispositivo final de CNT, en cada unidad militar. - Configuración de un UTM en cada unidad militar
Restricciones a) Obsolescencia de los equipos
Elementos Tecnológicos
Enlaces WAN - Se cuenta con 26 unidades militares integradas a la Red de Datos mediante la infraestructura de la CNT a nivel nacional - Se cuenta con 35 unidades militares que por medio del Backbone del Comando Conjunto se integran los enlaces de última milla mediante Radios: Motorola, Alvarion, Ceragon - Sistema monitoreo de enlaces mediante Software libre y la aplicación Nagios. Asignación de nombres de dominio - 4 Servidores DNS: HPcon Sistema Operativo CENTOS 7 (2 internos y 2 externos) - Firewall UTM marca IBM VPN - Router marca Cisco 2811 dedicado para VPN
Nivel de Servicio
Requerimientos Locales a) Urgente: 1 hora b) Medio: 2 horas c) Bajo: más de 2 horas Requerimientos Externos a) Urgente: Depende de la coordinación logística (Requerimiento vehículo): 3 días b) Medio: 3dias c) Bajo: 5 días
Horarios a) El servicio se encuentra activo las 24 horas al día los 7 días de la semana
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Nivel de servicio Tiempo Respuesta Incidentes: 1 hora
Tiempo resolución incidentes: 2 horas
218
III. Niveles de servicio
IND
ICA
DO
R
OP
ER
AT
IVO
PE
SO
DE
L
IND
ICA
DO
R
OP
ER
AT
IVO
RA
TIO
PE
SO
DE
L
RA
TIO
VA
LO
R
OB
JE
TIV
O
MÍN
IMO
V
AL
OR
O
BJE
TIV
O
ES
PE
RA
DO
CO
ND
ICIÓ
N
DE
ME
DID
A
FU
EN
TE
FÓ
RM
UL
A D
E
CÁ
LC
UL
O
DE
MA
ND
A
(um
bra
l)
Desempeño 100%
Tiempo de
atención del
requerimiento
40%
80%
85%
Tiempo en
estado sin
atención desde que el
requerimiento fue reportad
o
Chasqui
(# Requerimientos atendidos en el tiempo comprometido / # Total Requerimientos Recibidos)*100
10
Tiempo de
Resolución del
requerimiento
40%
80%
85%
Tiempo en
estado sin
atención desde que el
requerimiento fue reportad
o
Chasqui
(# Requerimientos resueltos en el tiempo comprometido / # Total Requerimientos Recibidos)*100
10
Tiempo escalamiento: 30 minutos
Nivel de soporte
Tiempo Respuesta Incidentes: Inmediato, Cuando el incidente se suscita en otras localidades depende de la disponibilidad del vehículo de la institución, en horarios definidos y autorizados (Se requiriere autorización del director para que se movilice el técnico).
Tiempo resolución incidentes: Inmediato, Cuando el incidente se suscita en otras localidades depende de la disponibilidad del vehículo de la institución, en horarios definidos y autorizados (Se requiriere autorización del director para que se movilice el técnico).
Tiempo escalamiento: Inmediato
ESCALAMIENTO DEL SERVICIO
Nivel 1 [email protected]
Nivel 2 Mayor. Sanchez Juan Carlos
Nivel 3 Empresas proveedoras de servicios
219
IV. Diagrama del Proceso Actual
220
Capítulo IV
Conclusiones y recomendaciones
Al terminar el presente trabajo se ha llegado a las siguientes conclusiones y
recomendaciones
Conclusiones
• La Dirección de Tecnologías de la Información y Comunicaciones (DTIC)
actualmente no cuenta con un modelo de gobierno de TI definido, el cual les
permita tener un mejor control en cuanto a servicios y procesos que ofertan
dentro de la institución y con base al mismo poder mostrar el valor agregado que
generan dentro de la Institución.
• En función a la información recibida por parte de la Institución se aplicó el
modelo de gestión COBIT 2019, para poder definir cuan alineada se encuentra
la DTIC con respecto a los objetivos estratégicos de la Institución, el cual nos dio
como resultado un 80% de alineamiento acorde a los objetivos estratégicos
generando un alto impacto como área.
• La DTIC busca la implementación de un modelo de gestión TICs que le permita
generar indicadores tanto de cumplimiento como gestión, en el cual se refleje el
trabajo y el aporte que generan dentro del Ejercito del Ecuador, en función a
esto se aplicó dos fases para la implementación de un modelo de gestión, el cual
en su fase inicial se basó en el levantamiento de Servicio y definición de
Procesos que oferta el DTIC; para ello se utilizó la ITIL V4 el cual permitió aplicar
y definir niveles de SLA; como fase dos se implementó el modelo de gestión
221
COBIT 2019, el cual permitió definir un modelo de gestión basado en calidad y
mejora continua.
• Las 5 metas empresariales relevantes que se obtuvieron para la DTIC,
permitieron identificar 7 metas de alineamiento relacionadas con I&T importantes
para la institución; es así que la DTIC debe enfocar los objetivos de TI hacia la
gestión de riegos, a la prestación de servicios de TI con base a los
requerimientos de la institución, a la seguridad de la información, a la calidad de
la información de la gestión de TI, etc.
• Los factores de diseño propuestos por COBIT 2019 permitieron definir un
modelo de mejora de un sistema de gobierno para la DTIC, el cual comprende
de 20 objetivos de gobierno y gestión, 2 bajo el dominio de la administración y
dirección ejecutiva, mientras que los 18 restantes se encuentran bajo el dominio
de gestión.
• Dentro del dominio de gobierno es importante para la DTIC, Garantizar el
establecimiento y el mantenimiento del marco de gobierno (EDM01) y Asegurar
la optimización del riesgo (EDM03).
• En el dominio de gestión, es necesario que la DTIC considere, Gestionar el
marco de gestión de TI (APO01), Gestionar la arquitectura de la empresa
(APO03), Gestionar la calidad (APO011), Gestionar el riesgo (APO012),
Gestionar la seguridad (APO013), Gestionar los datos (APO014), Gestionar la
definición de requisitos (BAI02), Gestionar la identificación y construcción de
soluciones (BAI03), Gestionar los cambios de TI (BAI06), Gestionar la
aceptación y la transición de los cambios de TI (BAI07), Gestionar la
configuración (BAI10), Gestionar las peticiones y los incidentes del servicio
(DSS02), Gestionar los problemas (DSS03), Gestionar los servicios de
222
seguridad (DSS05), Gestionar los controles de procesos de negocio (DSS06),
Gestionar el sistema de control interno (MEA02), Gestionar el cumplimiento de
los requerimientos externos (MEA03) y Gestionar el aseguramiento (MEA04).
• Los 20 objetivos de gobierno y gestión relevantes para la DTIC, se traducen en 2
procesos orientados a Evaluar, Dirigir y Monitorizar; en 6 procesos que permiten
Alinear, Planificar y Organizar; en 5 procesos para Construir, Adquirir e
Implementar; en 4 procesos para Entregar, Dar Servicio y Soporte, y finalmente
en 3 procesos que permiten Monitorizar, Evaluar y Valorar.
• El modelo de evaluación de procesos de COBIT 2019 priorizados para la DTIC
se basó en CMMI (Integración del modelo de madurez de capacidades) y se
pudo identificar que la mayoría se encuentran en nivel 0, es decir con estrategias
incompletas para lograr el propósito de gobierno y gestión; es así que se
evidenció una brecha significativa en cuanto a la información que se tiene
disponible para la toma acertada y efectiva de decisiones.
• De los procesos evaluados, el mayor porcentaje 55% se encuentran en el nivel
de capacidad de valor 0 (Cero), es decir procesos en los cuales se requiere
mayor esfuerzo en cuanto a estrategias para abordar el propósito de gobierno y
gestión.
223
Recomendaciones
• Se recomienda a la DTIC revisar las fases y considerar el mapa de la secuencia
de Objetivos de Gobierno/Gestión a implementar, en el cual se encuentran
agrupados y priorizados en el orden que deberían ser ejecutados en la
Institución.
• Se recomienda mantener la estructura de los procesos definidos por COBIT
2019, en la cual se incluye descripción, métricas y actividades, así como en la
información global de los objetivos de gobierno/gestión, con el fin de tener
conocimiento por parte de los usuarios en la utilización, administración y
gobierno de TI.
• Se recomienda sostener e implementar mejoras en la definición de los Servicios
de TI realizada, de manera que sea posible contar con procedimientos
adecuados, con base a un modelo de mejores prácticas de TI y tener
información adecuada para la toma efectiva de decisiones.
• Se recomienda la implementación de una herramienta de atención de incidentes
en la cual se pueda generar tickets en función de SLAs definidos; y que permita
tener una base de datos de las incidencias de sus clientes; para con ello tener
un mejor control respecto de las soluciones brindadas.
• Se recomienda elaborar un plan de actualización en cuanto a la metodología
scrum para el desarrollo de Software, la cual permita a la DTIC tener un control e
interactividad al momento de realizar cambios o nuevos desarrollos requeridos
por sus clientes
224
Referencias bibliográficas
ADACSI. (20 de 11 de 2018). ADACSI: ¡Nuevo COBIT 2019! Obtenido de ADACSI: https://isaca.org.ar/2018/11/20/nuevo-cobit-2019/ Aportela, R. I., & Gallego Gómez, C. (Noviembre de 2015). La información como recurso estratégico. Obtenido de revistas.ucm.es: https://revistas.ucm.es/index.php/RGID/article/download/51238/47559 Caneo Pablo., G. (2015). Caso de éxito COBIT 5 una experiencia práctica (2015). Recuperado el 10 de 03 de 2019 CAPT DE COM PAREDES RODRIGUEZ, P., & CAPT DE COM PRADO MÉNDEZ, N. (2019). PROYECTO INTEGRADOR DEL COAAS 36. Cazau, P. (2004). Apuntes sobre metodología de la investigación. CMMI. (2019). CMMI Institute. Obtenido de https://cmmiinstitute.com DTIC. (22 de 01 de 2019). MANUAL DE PUESTOS 2018-2021. Escoute, L. (2019). A new COBIT® is in town and I really like how this looks. Obtenido de Escoute, LLC: https://www.escoute.com/a-new-cobit-is-in-town-and-i-really-like-how-this-looks/ Espinoza, J. M. (2019). Se actualiza COBIT 5, y se llamará COBIT 2019. ¡Te lo cuento todo! Obtenido de linkedin: https://www.linkedin.com/pulse/se-actualiza-cobit-5-y-llamar%C3%A1-2019-te-lo-cuento-todo-juanma-espinoza FLORES, L. A. (2017). DISEÑO E IMPLEMENTACIÓN DE UNA MESA DE SERVICIOS, UTILIZANDO ITIL V3.0, PARA EL SERVICIO TÉCNICO EN EL DEPARTAMENTO TECNOLÓGICO DEL MINISTERIO DEL AMBIENTE. Quito: ESCUELA POLITÉCNICA NACIONAL. Garbarino Alberti, H. (2014). Marco de Gobernanza de TI para empresas Pymes. Madrid: Universidad Politecnica de Madrid. Gobernanza de las tecnologías de la información . (17 de 02 de 2020). Obtenido de https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n Gonzalez, P. (30 de Noviembre de 2018). COBIT 2019 — EL NUEVO MODELO DE GOBIERNO EMPRESARIAL PARA INFORMACIÓN Y TECNOLOGÍA. Obtenido de Medium: https://medium.com/@ppglzr/cobit-2019-el-nuevo-modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog%C3%ADa-a7bf92b7288b Huércano, S. R. (2018). Manual ITIL V3 Integro. Sevilla: Biable Management, Excellence and Innovation. iPMOGuide. (junio de 2018). iPMOGuide. Obtenido de https://ipmoguide.com/cobit-modelo-de-madurez/ ISACA. (2018). Diseño de una solución de Gobierno de Información y Tecnología. ISACA. (2018). GUÍA DE IMPLEMENTACIÓN COBIT® 2019. Schaumburg. ISACA. (2018). Marco de referencia COBIT 2019: ¿Qué es COBIT y qué no es? USA. ISACA. (2018). Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la información. USA. ISACA. (2018). Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T. USA. ISACA. (2018). Marco de referencia COBIT 2019: Gobierno empresarial de la Información y Tecnología. ISACA. (2018). Marco de referencia COBIT 2019: Introducción y Metodología. ISACA. (2018). Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión ISACA. (2018). Marco de referencia COBIT 2019: Partes interesadas en el gobierno. ISACA. (2018). Marco de referencia COBIT 2019: Principios de COBIT 2019. ISACA. (2019). I N T R O D U C I N G COBIT 2019. Obtenido de Isaca.org: http://www.isaca.org/COBIT/Documents/COBIT-Current-User_res_eng_1018.pdf
225
Juan Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco Quintero. (2017). Guía de implementación de gestión de servicio de TI usando ITIL en las MIPYME. Bogota: ESCUELA COLOMBIANA DE INGENIERÍA JULIO GARAVITO. Juárez, H. A. (10 de 06 de 2010). ITIL: ¿qué es y para qué sirve? (Magazcitum, Editor) Recuperado el 12 de 12 de 2019, de Magazcitum: https://www.magazcitum.com.mx/?p=50#.XlXH6KhKjIU López Ibarra, L. (s.f.). Redes de agronegocios. Obtenido de https://sites.google.com/site/redesdeagronegocios/redes-de-valor/temas-de-mapeo-de-redes-de-agronegocios Luisa Fernanda Quintero Gómez, Hernando Peña Villamil. (4 de 12 de 2017). Modelo basado en ITIL para la Gestión de los Servicios de TI en la Cooperativa de Caficultores de Manizales. (U. T. Pereira, Ed.) Scientia et Technica Año XXII, 22(04), 10. doi:0122-1701 Mejia Jervis, T. (Marzo de 2017). ¿Qué son las Variables de Investigación?: Lifeder.com. Obtenido de Lifeder.com: https://www.lifeder.com/variables-de-investigacion/ Metodología de investigación, pautas para hacer Tesis. . (Agosto de 2013). Obtenido de tesis-investigacion-cientifica.blogspot.com: http://tesis-investigacion-cientifica.blogspot.com/2013/08/que-es-operacionalizacion-de-variables.html Peñaherrera, I. C. (2015). Desarrollo de un modelo de mejoramiento de procesos de tecnología de información basado en COBIT5 para Yanbal Ecuador. Quito - Ecuador: Aguayo. Reguant Alvarez, M., & Martínez-Olmo, F. (2014). OPERACIONALIZACIÓN DE CONCEPTOS/ VARIABLES. Barcelona. Obtenido de http://diposit.ub.edu/dspace/bitstream/2445/57883/1/Indicadores-Repositorio.pdf Rodriguez, L. I. (2019). Manual de Puestos de la DTIC 2019-2021. Quito. S.L., S. (01 de 01 de 2019). INTRODUCCIÓN A ITIL V3. (S. S.L., Editor) Recuperado el 12 de 12 de 2019, de ServiceTonic S.L.: https://www.servicetonic.com/es/itil/introduccion-a-itil-v3/ Salah Llanes, J. (2017). Modelo de Gobierno y Gestión de TI basado en la estrategia de Gestión del Riesgo para la. Sanchis Milla, F. (2015). Definición e implantación de un proceso. Santana, C. (04 de 02 de 2014). ¿Qué es el Balanced Scorecard? Obtenido de https://blog.acsendo.com/que-es-el-balanced-scorecard/ Torres, A. (08 de 2016). Interpolados. Obtenido de COBIT 5: UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA: https://interpolados.wordpress.com/2016/08/30/cobit-5-un-marco-de-negocio-para-el-gobierno-y-la-gestion-de-las-ti-de-la-empresa/ Velasteguí, A. (2019). IMPLEMENTACIÓN DEL MODELO INTEGRADO DE MADUREZ Y CAPACIDADES (CMMI) EN LA UNIDAD INFORMÁTICA DE LA DTIC. Zone, M. (24 de 04 de 2019). Métricas de cliente. Cómo medir la rentabilidad, la satisfacción y la fidelidad. Obtenido de http://www.icesi.edu.co/marketingzone/metricas-del-cliente/
226
Anexos