CAPTULO I AUDITORA INFORMTICA PRESENTACIN DEL PROYECTO

1.1 PROYECTO Auditora Informtica de los sistemas de informacin de la ESPE Dominio de Planeacin y Organizacin. 1.2 INTRODUCCIN La evolucin de los sistemas de informacin y comunicacin en nuestro Pas, ha generado la necesidad de implementar la gestin de sistemas en las diferentes instituciones; para obtener seguridad, confiabilidad y escalabilidad en todos los mbitos que a tecnologa de la informacin conciernen. La velocidad con que los medios de comunicacin progresan, ha hecho que las empresas cada vez necesiten de ms control sobre sus datos y los sistemas que estas utilizan, provocando con ello el que el procesamiento de la informacin y la rapidez con la que se realiza se vuelva de vital importancia. La Escuela Politcnica del Ejrcito y su Unidad de Tecnologa de la Informacin y Comunicaciones, ha venido ejecutando varios proyectos relacionados con el rea informtica con el fin de apoyar a las distintas actividades que se desarrollan dentro de ella. Se han implementado algunos servicios informticos y otros se encuentran en desarrollo, para lo que se han adquirido equipos, instalado redes y contratado otros servicios adicionales. Sin embargo debido a la carga de trabajo encomendada a la unidad de TICs estos sistemas se han visto afectados en la calidad que el cliente interno espera obtener de estos.

Motivo por el cual se ha considerado la necesidad de realizar una Auditora Informtica con el fin de enmendar fallas en el momento oportuno, fallas que redundan en el costo de los productos y en la calidad de los mismos; para lo cual se ha considerado la utilizacin de Cobit como metodologa de desarrollo. COBIT es un Marco de referencia basado en las mejores prcticas de sistemas de informacin de auditora y control de procesos y objetivos de TI que pueden ser implementados para controlar, auditar y administrar la organizacin TI. Particularmente ayudar a entender y administrar los riesgos relacionados con la tecnologa de la informacin, la relacin entre los procesos de administracin, las preguntas tcnicas, la necesidad de controles y los riesgos y su gestionamiento.

1.3 ANTECEDENTES La Escuela Politcnica del Ejrcito, desde hace algunos aos, ha venido ejecutando varios proyectos relacionados con el rea informtica, con el objeto de apoyar a las diferentes actividades que desarrolla la Escuela. La ESPE, como institucin educativa de prestigio que brinda servicios acadmicos, cuenta con la una unidad de Tecnologa de la Informacin y Comunicaciones que centraliza la administracin y gestin de las actividades TI, es decir se encarga del anlisis, desarrollo e implantacin de los sistemas requeridos en toda la ESPE y sus sedes y se preocupa por el adecuado funcionamiento de las aplicaciones existentes, redes y comunicaciones.

1.4 JUSTIFICACIN Tomando en cuenta los antecedentes antes nombrados y tomando en cuenta que para la correcta gestin de TI y la administracin de los sistemas de informacin, es necesario realizar un adecuado Control, Planeacin y

Organizacin de los procesos y sistemas que maneja la institucin; se consider de vital importancia la realizacin de una Auditora de Sistemas con el objeto de plantear medidas correctivas para enmendar fallas en el momento oportuno. La ESPE es una institucin en constante evolucin por lo que es necesario llevar un control de los proyectos que en ella se realizan, ya que debido al cambio constate de autoridades los avances de dichos proyectos quedan nicamente a cargo y en conocimiento del personal asignado a ellos, de tal manera que estas falencias redundan en costos para la institucin

1.5 OBJETIVO DEL PROYECTO 1.5.1 Objetivo General Realizar la auditora informtica de la Escuela Politcnica del Ejrcito, del dominio de Planeacin y Organizacin, utilizando el modelo COBIT (Control Objectives For Information and Related Technology), con el fin de evaluar el cumplimiento de controles citados en l, identificar falencias y formular recomendaciones. 1.5.2 Objetivos Especficos Presentar el marco terico del Modelo Cobit.

Describir la situacin actual del rea informtica, las actividades y esfuerzos necesarios para lograr los objetivos propuestos de la ESPE.

Evaluar la eficiencia y eficacia con que los Sistemas de Informacin, apoyan en la toma de decisiones a la empresa, considerando:

(i) El nivel de detalle provisto por los "Objetivos de Control" y las "Directrices de Administracin" de Cobit, principalmente enfocados en los criterios de efectividad, disponibilidad, confidencialidad e integridad. (ii) Polticas, procesos, procedimientos y prcticas de trabajo que sern evaluados a diferentes niveles de la organizacin, desde la Administracin TI (Tecnologa de Informacin) hasta el staff operacional. Aplicar el Modelo Cobit en la evaluacin y auditora de sistemas para la unidad de tecnologa de la informacin y comunicaciones de la ESPE.

1.6 ALCANCE El proyecto de tesis EVALUACIN Y AUDITORA INFORMTICA DEL

SISTEMA DE INFORMACIN DE LA ESPE, realizar la revisin de los planes estratgicos de la institucin para conocer el estado interno en cuanto a TI concierne. Tomando en cuenta que la presente tesis estar enfocada al dominio de Planeacin y Organizacin, se profundizar aspectos como el anlisis de planes estratgicos, operacionales, as como de los procesos que se llevan a cabo dentro de la Unidad de Tecnologa de la Informacin y Comunicaciones (UTIC) de la ESPE.

Como primera parte se mantendrn entrevistas con el personal y las unidades involucradas, con lo cual se espera recoger, agrupar y evaluar evidencias para determinar si la unidad de tecnologa de la informacin esta contribuyendo con el logro de objetivos institucionales, adicionalmente conocer si se est planteando una visin estratgica dentro de la unidad y si esta est siendo planeada, comunicada y administrada. Este plan de tesis se ejecutar en la Escuela Politcnica del Ejrcito, para lo cual se realizar la revisin de controles establecidos dentro de la institucin aplicando el modelo COBIT. El proyecto que tendr una duracin de 22 semanas al final de las cuales se espera obtener recomendaciones en base a las falencias detectadas las cuales quedarn planteadas en el informe final para que puedan ser aplicadas segn el criterio de las autoridades.

1.7 METODOLOGA COBIT (Control Objectives For Information and Related Technology) es un estndar generalmente aceptado para buenas prcticas en seguridad tecnolgica, en administracin y control de la tecnologa de la informacin (TI). COBIT tiene como misin investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores. Esto en particular aspira a ayudar a los lderes empresariales a entender y administrar los riesgos relacionados con la tecnologa de la Informacin y la relacin entre los procesos de administracin, las preguntas tcnicas, la necesidad de controles y los riesgos.

COBIT se basa en un conjunto de normas, estndares y mejores prcticas de TI, pero han sido mejorados de acuerdo a los actuales estndares internacionales profesionales y especficos a la industria, este modelo de referencia tiene la facilidad de adaptarse a cualquier tipo de negocio por lo que lo adaptaremos a la ESPE.

1.8 AUDITORA INFORMTICA 1.8.1 Introduccin Hoy en da los sistemas de informacin se han convertido en pilares fundamentales de la empresa, ya que ayudan en la toma de decisiones y forman parte del Management de la misma, por ello, los sistemas de informacin deben ir de acuerdo con el gestionamiento de la empresa, procurando mejorarla hacindola cada vez ms eficaz y eficiente, ya que la gestin de la empresa sobre sistemas mal diseados puede generar un serio problema y desencadenar un efecto domin sobre la misma que conlleve a poner en peligro su funcionamiento. Debido a la importancia de los Sistemas de Informacin dentro de la empresa, existe la AUDITORA INFORMTICA cuya tarea consiste en la realizacin de un examen crtico con el fin de evaluar la eficiencia y eficacia de una empresa. Dentro de sus objetivos principales estn: el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas informticos, la verificacin del cumplimiento de la Normativa y la revisin de la eficaz gestin de los recursos informticos. En trminos generales podemos definir a la auditora informtica como el conjunto de tcnicas, actividades y procedimientos destinados a analizar, evaluar, verificar

y recomendar en los asuntos relacionados a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en la empresa; para plantear alternativas de accin, la toma de decisiones que permitan corregir errores en caso de que existiesen, o bien para mejorar la forma de accin. Con la realizacin de una Auditora Informtica se lograr conocer si la calidad de los datos es la adecuada, si es errnea, inexacta o si la misma ha sido manipulada de alguna manera. Se podr tambin conocer si la seguridad que posean los centros de procesamiento, servidores y datos son las suficientes, debido a que estos en los ltimos tiempos se han convertido en blancos para la realizacin de fraudes, espionaje, delincuencia y terrorismo informtico; se deben analizar si los planes de contingencia cumple las funciones para las cuales han sido creados, para lo cual tambin se debe realizar un anlisis de los riesgos a los cuales estn expuestos los Sistemas de Informacin. As mismo se puede conocer si la empresa ha sido o puede ser vctima de robo de informacin, si el soporte tcnico es el que necesitan los usuarios. Adems se puede conocer si el Departamento de Sistemas como tal ha manejado su presupuesto de manera adecuada, con inversiones justificadas o si han existido desviaciones del presupuesto planteado.

1.8.2 Ambiente de control Las empresas deciden realizar auditoras informticas, el momento en el que detectan debilidades potenciales dentro de la unidad de Tecnologa de la Informacin y muchas de las veces cuando sus indicadores dan muestra de desvo dentro de la planificacin del departamento. Algunas de las razones para ejecutar esta actividad son:

La presencia de aumento injustificado del presupuesto para TI, o la necesidad de justificar inversiones informticas de las cuales la empresa no esta totalmente segura.

Falta de seguridades tanto a nivel fsico como lgico que permitan salvaguardar la informacin de la empresa y de los equipos que en ella funcionan.

Sospechas de fraudes o robos de informacin de la empresa. La falta de una planificacin informtica adecuada y que vaya de acuerdo con los objetivos propios de la empresa.

Falta de organizacin del departamento. Cuando no coinciden los objetivos del departamento de Informtica de la Compaa y de la propia Compaa. O cuando los estndares productividad se desvan sensiblemente de los promedios conseguidos habitualmente.

Insatisfaccin del cliente interno en cuanto a soporte a usuarios se refiere. Cuando no se estn atendiendo peticiones de cambios de los usuarios, como cambios de software en los terminales de usuario, no se reparan a tiempo las averas en el hardware o en un tiempo razonable.

La poca calidad o falta de planes de contingencia en el departamento que permitan llevar continuidad en el servicio.

Falta de controles relativos a la confidencialidad y seguridad de la informacin, refirindose con esto al acceso a la propia informacin.

1.8.3 Proceso de Auditora Informtica Todo proceso posee una metodologa para ser realizado, es as que el mtodo de trabajo del auditor pasa por las siguientes etapas:

1.8.3.1 Planificacin De La Auditora Informtica La auditora informtica empieza por la realizacin de un plan de auditora el cual conllevar a la consecucin de los objetivos de dicha auditora, adems de que de esta manera se asegurar el xito de la misma. El objetivo principal de la realizacin de esta planificacin deber ser el determinar la estrategia para cada etapa de la auditora, o el proporcionar la informacin necesaria para la evaluacin del riesgo y as poder determinar el enfoque de trabajo. Para iniciar y plantear un plan de auditora, es necesario que el auditor comprenda el ambiente del negocio en el que se encuentra principalmente sobre la funcin informtica a evaluar, los riesgos y el control asociado al mismo; para lo cual ser necesario llevar acabo algunas actividades previas tales como entrevistas y una investigacin preliminar que permita tener una visin general del rea a auditar y en base a ello plantear un programa de trabajo en el cual se deber detallar: Tiempo Costo Personal necesario Documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Algunos de los mbitos a ser cubiertos dentro de la planificacin de la auditora son: 1. Comprensin del negocio: al planificar el auditor debe tener una visin suficiente del ambiente que esta siendo objeto de anlisis, las funciones que en ella se llevan a cabo, los sistemas que en ella operan, el ambiente normativo, hacer un recorrido por la empresa y la realizacin de entrevistas a la gerencia. Otra documentacin que puede ser de ayuda para el conocimiento del negocio puede ser informes de normas y reglamentos, planes estratgicos e informes emitidos en auditoras anteriores.

2. Riesgo y materialidad de auditora: Se debe tomar en cuenta los errores que podran darse a lo largo de la auditora, estos podran ser debido a informacin errnea o porque el auditor no ha podido detectar un error que haya ocurrido. Esta cuantificacin de los riesgos no debe demostrarse tanto a nivel monetario, sino ms bien en el impacto potencial que tendra para la empresa.

3. Objetivos de control y objetivos de auditora: El auditor debe conocer que controles se llevan a cabo dentro de la empresa para poder verificar as como su existencia, el hecho de que sean eficientes, eficaces y que vayan de acuerdo con las polticas y objetivos de la empresa. Dentro de los objetivos de la auditora tambin se encuentran: el verificar que el acceso a la informacin est debidamente resguardada, que la ocurrencia de las transacciones sea registrada y autorizada una sola vez y que los programas sean debidamente probados y aprobados.

10

4. Procedimientos de auditora: Revisin de la documentacin de sistemas e identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas.

En sntesis podemos decir que un plan de auditora debe cubrir: Concentracin de objetivos. reas que cubrir. Personas involucradas en el proceso de auditora. Plan de trabajo. o Tareas. o Calendario. o Resultados parciales. o Presupuesto. Equipo auditor necesario

1.8.3.2 Ejecucin De La Auditora Informtica Para el desarrollo adecuado de una auditora por lo general se debe llevar una apropiada documentacin que de modo general incluye: a. Tema de auditora: Donde se identifica el rea a ser auditada. b. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar.

11

c. Alcances de auditora: Se detalla los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. d. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. e. Procedimientos de auditora:

Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes.

Procedimientos para evaluar los resultados de las pruebas y revisiones.

Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.

Para lo cual deberemos cumplir con las fases a continuacin sealadas: Alcance y Objetivos de la Auditora Informtica. Estudio inicial del entorno auditadle. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los programas de trabajo, actividades de la auditora. Anlisis de la metodologa de trabajo.

12

1.8.3.2.1 Definicin de Alcance y Objetivos Para determinar el alcance de una auditora informtica, este debe estar determinado de acuerdo al objeto a auditar el cual est compuesto bsicamente por todos los recursos informticos (personas, equipos, aplicaciones, capacitacin, etc.), la informacin y los controles. Dentro de esta primera Fase, se deben enfocar las siguientes reas: rea de Desarrollo (donde se hacen el diseo, programacin y desarrollo de sistemas). rea de Explotacin (lugares donde se explotan los sistemas desarrollados). rea administrativa o de servicios al usuario. Sistemas o Aplicaciones (Sistema de rol de pagos). Seguridades. Normas y Directivas.

De la realizacin de esta fase se obtiene como resultado: los documentos de especificaciones del mbito y objetivos de la auditora debidamente afinados. Mediante este procedimiento, logramos uno de los aspectos ms relevantes en la ejecucin de la Auditora Informtica como es: La Existencia de un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. Al acordar la puesta en marcha de la Auditora, es importante y beneficioso para ambas partes expresar las excepciones de alcance de la auditora, es decir, definir reas, funciones u organizaciones no van a ser auditadas. Los alcances como las excepciones deben figurar al comienzo del Informe Final. El personal que trabajara directa o indirectamente en la auditora debe conocer con la mayor

13

exactitud posible los objetivos a los que su tarea debe llegar y comprender las necesidades y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas con eficiencia y eficacia. Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales Informtica.

1.8.3.2.2 Estudio Inicial del Entorno Auditable. El procedimiento a realizarse en esta fase es el siguiente: 1) Se debe definir la estructura y el orden de los elementos a estudiar - Organizacin - Unidades administrativas (estructura y tamao) - Nmero de personas por cada puesto o funcin de trabajo - Nmero de puestos de trabajo - Relacin que existe entre las unidades 2) Analizar las aplicaciones informticas Cantidad, tamao y complejidad Antigedad (versin) Documentacin Mtodos de diseo y programacin Cantidad, calidad, complejidad, organizacin, niveles de seguridad de los datos. 3) Anlisis del entorno operativo Configuracin del software y hardware Nmero de centros

14

Redes de comunicacin Nmero, tipo, complejidad de los procesos en el entorno operativo

4) Anlisis de la Metodologa de trabajo Normas y procedimientos Documentacin (de las normas y procedimientos) Estndares Planificacin, administracin y control

El producto de esta fase, es el informe sobre los parmetros observados, debidamente firmados y validado por el personal involucrado. Para realizar el estudio inicial cumpliendo con lo antes mencionado, para definir la estructura y el orden de los elementos a estudiar se deben examinar previamente las funciones y actividades generales del departamento de sistemas en la organizacin. Para su realizacin el auditor debe conocer lo siguiente:

Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto el auditor deber fijarse en: 1. Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar. Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia. 2. Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.

15

3. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El equipo auditor verificar si se cumplen las relaciones funcionales y jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. Una jerarqua implica la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. 4. Flujos de Informacin: Adems de las corrientes verticales

intradepartamentales, la estructura organizativa, produce corrientes de informacin horizontal y extradepartamental. Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. En ocasiones, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin.

1.8.3.2.3 Anlisis de la Metodologa de trabajo Normas y procedimientos: Una metodologa slida de auditora establece que, antes de probar el cumplimiento con los controles, es necesario determinar (1) que existan normas relativas a los controles y (2) que estas normas sean adecuadas para

16

proporcionar el grado de confiabilidad deseado. Sin la existencia de normas para las operaciones, el auditor no tiene fundamento alguno que le sirva de base para hacer una prediccin.

Documentacin (de las normas y procedimientos): La documentacin inherente a las normas de sistemas sirve para establecer comunicacin y registrar logros. An cuando las polticas, guas de orientacin, o instrucciones efectivas pueden comunicarse verbalmente, este medio es muy poco confiable. Las palabras pueden cambiarse fcilmente, olvidarse, o bien nunca orse; esta deficiencia puede ser bastante seria cuando se trata de evaluar la confiabilidad de las actividades que se implantan como resultado de tales polticas.

Estndares: Documentacin estndar detallada de la lgica del procesamiento y del flujo de la informacin relativa a la aplicacin, que sea comprensible para todas las partes relacionadas con el desarrollo de sistemas: los usuarios, analistas,

programadores, personal de operaciones, gerentes y auditores.

1.8.3.3 Finalizacin de la auditora Informtica 1.8.3.3.1 Preparacin y redaccin del Informe Final La funcin de auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que

17

pueden ser elementos de contraste entre la opinin del auditor y del auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final.- El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados.- Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora. Cuerpo de Recomendacin.- Para cada tema, se seguir el siguiente orden, detallndose la observacin realizada y la evidencia de la debilidad identificada. Situacin actual (Observacin).- Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. Riesgo.- Se detallar el riesgo al no aplicar un control adecuado que

permita mitigar la debilidad y amenazas. Redaccin de las recomendaciones y planes de accin.- Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica.

1.8.3.3.2 Redaccin de la carta de introduccin o carta de presentacin del informe final

18

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la organizacin, o a la persona concreta que encargo o contrato la auditora. As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin. El informe importantes. que ser presentado a la gerencia debe incluir solamente hechos La inclusin de hechos poco relevantes o accesorios desva la

atencin del lector. El trmino de hechos consolidados adquiere un especial significado de verificacin objetiva y debe estar documentalmente probada y soportada con evidencia ecunime. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios, Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin, No deben existir alternativas viables que superen al cambio propuesto, La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin. La identificacin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del Hecho o Debilidad Debilidad identificada. o Ha de ser relevante para el auditor e implicar un riesgo para el cliente. o Ha de ser exacto, y adems convincente.

19

o No deben existir hechos repetidos. Consecuencias de mantener la debilidad o Las consecuencias deben redactarse de modo que sean

directamente deducibles del hecho. Repercusin del hecho o Se redactar las influencias directas que la debilidad pueda tener sobre otros aspectos informticos u otros mbitos de la empresa. Conclusin del hecho o No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. Recomendacin del auditor informtico o Deber entenderse por s sola, por simple lectura. o Deber estar suficientemente soportada en el propio texto. o Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. o La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

1.8.4 Clasificacin de los controles TI Control es todo aquello que tiende a causar la reduccin de los riesgos. El control puede lograr esto reduciendo ya sea los efectos nocivos del riesgo o la frecuencia de su ocurrencia. Las reas de control dentro de un sistema computarizado incluyen

1.8.4.1 Controles De Aplicacin

20

Los controles de aplicacin son procedimientos diseados para asegurar la integridad de los registros. Los controles de aplicacin brindan soporte directamente a los objetivos de control: Integridad, Valor correcto, Validez y Acceso restringido.

1.8.4.1.1 Integridad de los registros.- Los controles sobre la integridad se disean para asegurar que: Todas las transacciones son registradas, introducidas y aceptadas para procesamiento solo por una vez. Todas las transacciones introducidas y aceptadas para procesamiento son actualizadas con los archivos de datos apropiados. Una vez que los datos son actualizados en el archivo, estos permanecen correctos, vigentes y representan los valores que existen.

1.8.4.1.2 Valor correcto de los registros.- Los controles sobre el valor correcto son diseados para asegurar que: Los elementos de datos claves son registrados e introducidos al computador con el valor correcto. Los cambios a los datos existentes son introducidos con el valor correcto. Todas las transacciones introducidas y aceptadas para procesamiento actualizan con precisin el archivo de datos apropiado.

21

1.8.4.1.3 Validez de los registros.- Los controles sobre la validez de los registros son diseados para asegurar que: Las transacciones son autorizadas. Las transacciones no son ficticias y estn relacionadas con el cliente. Los cambios a los datos existentes son autorizados, y una vez introducidos, no son cambiados sin autorizacin.

1.8.4.1.4 Acceso restringido a los activos y registros.- Los controles para restringir el acceso son diseados para: Proteger contra rectificaciones de datos no autorizadas. Asegurar la confidencialidad de los datos. Proteger los activos fsicos tales como el efectivo y el inventario.

Los controles de aplicacin pueden ser procedimientos manuales llevados a cabo por los usuarios de procedimientos automatizados desarrollados por los programas de computacin.

1.8.4.2 Controles Generales Los Controles Generales son Controles diseados e implantados para asegurar que el ambiente computadorizado de la organizacin sea estable y adecuadamente administrado a fin de reforzar la efectividad de los controles de aplicacin. Los Controles Generales (a veces denominados tambin controles de la organizacin IT) fueron agrupados en las siguientes categoras: Controles Gerenciales del Departamento de IT,

22

Controles sobre la Seguridad de la Informacin, Controles sobre la Operacin del Computador, Controles sobre las Actividades de Mantenimiento de Sistemas, Controles sobre el Desarrollo e Implementacin de Nuevos Sistemas.

1.8.4.2.1 Controles Gerenciales del Departamento de IT.- Los controles de monitoreo son definidos para verificar las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa, la calidad del control interno y su ejecucin sobre el tiempo, se logra a travs de actividades de monitoreo, separada de evaluaciones o una combinacin de las dos. Para ello, habrn que analizarse puntos de enfoque como:

Ambiente de Control.- Controles fijados entorno a la organizacin, infundiendo el conocimiento del control al personal de la empresa, este es la base para todos los componentes del control interno, proporcionando disciplina y estructura. Evaluando: Conduccin del Departamento de TI, Importancia de los controles dentro de la funcin de TI, Roles y competencia de TI, Segregacin de funciones y responsabilidades, Desarrollo, capacitacin y remuneracin del personal de TI,

Valoracin de Riesgo.- son los procesos de control que la entidad ha definido para identificar y analizar los riesgos relevantes y lograr el xito en la

consecucin de los objetivos planteados por la empresa y por el departamento

23

de TI, creando una base para determinar como los riesgos podran ser administrados. Definiendo principalmente: Identificar los riesgos del negocio, Estimar la importancia de riesgo del negocio, Evaluar la probabilidad de ocurrencia, Administracin de los cambios en los riesgos de IT, Mitigacin del riesgo y el riesgo residual.

Informacin y Comunicacin.- mtodo que apoya a la identificacin, captura e intercambio de informacin en un marco de forma y tiempo que facilita al personal cumplir con sus responsabilidades, enfocado en: Disponibilidad y calidad de la informacin, Definicin de responsables y propietarios de los datos por unidad del negocio. Adquirir el "feedback" del personal de TI y de los usuarios finales.

Controles de Monitoreo.- es el proceso para evaluar la calidad del control interno y su cumplimiento en la empresa. Su propsito es asegurar que los controles definidos continan operando efectivamente, evaluando y validado mediante: Calidad del monitoreo continuo, funcin de Quality Assurance, Cobertura y alcance de las revisiones de controles y cobertura apropiada de los riesgos de TI, Comunicacin de debilidades, de control interno de TI dentro de la organizacin.

24

1.8.4.2.2 Controles sobre la Seguridad de la Informacin.- El objetivo principal de comprender, evaluar y validar los controles sobre la seguridad de la informacin es asegurar que solo se otorga acceso autorizado a los programas y datos solo si se autentifica la identidad del usuario. Puntos de enfoque:

Administracin General de las Actividades de Seguridad.- La administracin general de las actividades de seguridad se encarga de proveer una estructura y supervisin general del entorno de seguridad de la organizacin y los

controles relacionados, como: Adecuada segregacin de Funciones de Seguridad, Documentacin de roles y responsabilidades, Asegurar a la gerencia de que las polticas y procedimientos del personal son apropiados para todos los roles sensitivos de seguridad de la informacin, Informar peridicamente a los usuarios de TI y del negocio con respecto a sus responsabilidades en materia de seguridad y las polticas y procedimientos relacionados.

Administracin

Centralizada

de

la

Seguridad.-

Las

actividades

de

administracin centralizada de la seguridad deben asegurar que el acceso a las aplicaciones, datos y sistemas operativos son otorgados, modificado y eliminado de acuerdo con las solicitudes aprobadas recibidas del personal de nivel apropiado de la gerencia. Identificados mediante:

25

Asegurar que el proceso de administracin de seguridad

mediante la

aprobacin por la gerencia de la unidad de negocios del acceso a todas las aplicaciones y datos financieros relacionados de propiedad de esa unidad de negocios, Revisiones peridicas del acceso a los usuarios por parte de la gerencia de la unidad de negocio, para asegurar que el acceso otorgado siga siendo el adecuado.

Seguridad de los Datos.- Los controles definidos deben asegurar que el acceso directo a los datos est limitado al personal autorizado de manera apropiada y es monitoreado para detectar una posible actividad no autorizada. Actividades evaluar y validar: Asegurar que todos los mtodos de acceso directo a los datos (es decir, acceso desde fuera de la aplicacin) han sido definidos y documentados. Como los cambios directos realizados en los archivos de datos son debidamente controlados, Monitoreo de posibles actividades no autorizadas, resoluciones cuando estas han sido identificadas.

Seguridad de la Red Interna.- Los controles sobre la seguridad de la red interna deben asegurar qua la red est configurada y es monitoreada para proteger los programas y datos de accesos no autorizados, mediante: Controles para asegurar adecuados cambios en el diseo de la red interna. Respalda el diseo de la red los objetivos de integridad de la informacin generales de la organizacin (separacin lgica de dominios, uso de

26

VLANs, autenticacin de computadoras remotas, administracin del enrutador, etc.) Monitoreo de posibles incidentes de seguridad en la red interna, y cmo responde a ellos.

Seguridad de la Red Perimetral.- Mediante los controles definidos para la Red Perimetral deben asegurar que la red est configurada y es monitoreada para proteger los programas y datos de accesos no autorizados. Por medio de: Justificacin de negocios para cada conexin a la red externa (Internet, correo electrnico, EDI, EFT, discado directo, socios extranet, etc.), Los controles sobre las conexiones a la red externa estn diseadas para lograr los objetivos planteados, Mtodo adoptado para proteger a la red interna de los accesos no autorizados a travs de conexiones, Monitoreo de posibles incidentes de seguridad a travs de conexiones a la red externa.

Seguridad Fsica.- Son controles operativos importantes que ayudan a asegurar que los sistemas de una organizacin estn protegidos de accesos no autorizados, mediante: Restriccin del acceso fsico al establecimiento/edificio de la organizacin (considerar cualquier lugar en el que se encuentren equipos de computacin y tambin cualquier lugar conectado con esos equipos a travs de las redes internas de la organizacin), Restriccin de acceso fsico a los centros de cmputos locales y remotos

27

Acceso fsico restringido a los medios de almacenamiento removibles (tales como cintas, discos pticos, etc.)

1.8.4.2.3 Controles sobre la Operacin del Computador.- El objetivo dominante para las operaciones del computador es asegurar que los sistemas de produccin se procesan en forma completa y correcta de acuerdo con los objetivos que gerencia ha definido, que los problemas de procesamiento son identificados y resueltos en forma completa y correcta para mantener la integridad de los datos.

Administracin

General

de

las

Actividades

de

Operaciones

computadorizadas.- Proveen de una estructura y supervisin a las actividades de operaciones computadorizadas de la organizacin, definiendo controles a evaluar tales como: Documentar y comunicar las polticas y procedimientos para operaciones computadorizadas, Definicin de roles y responsabilidades en las operaciones, adoptando medidas de segregacin de funciones, Programas adecuados de capacitacin tcnica a los empleados, Monitoreo adecuado para asegurar que los problemas operativos potenciales son identificados y resueltos.

Administracin de Procesos Batch.- el procesamiento de procesos batch o por lotes debe asegurar que los trabajos de produccin autorizados son organizados y monitoreados de manera apropiada, y que las excepciones son

28

resueltas en forma completa y correcta de acuerdo con los objetivos de la gerencia. Para lo cual se debera evaluar y validar como mnimo: Monitoreo de la gerencia para asegurar el procesamiento de trabajos para asegurar que se ejecuta de acuerdo con la programacin de trabajos aprobada. Aseguramiento de que slo personal autorizado tiene acceso a la herramienta de programacin de trabajos por lotes. Monitoreo de la gerencia a las dependencias de trabajos y los procedimientos de reinicio/recuperacin son documentados para todos los trabajos en la programacin por lotes. Aseguramiento de altas, cambios y bajas de la programacin de trabajos son autorizados y completados oportunamente.

Procesamiento en Tiempo Real.- Los controles sobre el procesamiento en tiempo real deben asegurar que la transmisin y registro continuos de los datos de transacciones ocurren en forma completa y correcta de acuerdo con los objetivos de la gerencia. Los siguientes puntos de enfoque pueden resultar tiles para identificar las actividades a evaluar y validar: Slo personal autorizado tiene acceso para configurar cualquier

componente de la tecnologa utilizada para facilitar el procesamiento en tiempo real. Proceso para asegurar que todas las fallas en el procesamiento en tiempo real son capturadas y resueltas oportunamente.

29

Certifica la gerencia que los cambios en la configuracin de los componentes del procesamiento en tiempo real son autorizados y completados oportunamente.

Backups y Procesos de Recuperacin.- Son implementados para asegurar que los requerimientos de backup estn definidos de modo de garantizar que los datos estn disponibles cuando son necesarios, que los problemas que requieren resolucin son identificados oportunamente y que la recuperacin de esos problemas es realizada en forma completa y correcta. Contenido y frecuencia de la obtencin de backups, los datos coinciden con los objetivos del negocio, Cerciora la gerencia que los medios de backup estaran disponibles en caso de emergencia, Existe un medio de almacenamiento de Backups fuera de las instalaciones de la empresa y bajo estrictas medidas de seguridad, El proceso de obtencin de backups asegura que los datos pueden recuperarse conforme a lo previsto de los medios cuando sea necesario, Se certifica que todas las fallas operativas significativas son identificadas y resueltas oportunamente en forma completa y correcta.

Planes de Contingencias.-

Los planes de contingencias en una empresa

ayudan a garantizar que una organizacin podr continuar con sus operaciones en caso de desastre. Los controles se debern evaluar y validar si la recuperacin en caso de desastre se considera relevante debido a

30

requisitos de entes reguladores del territorio y/o un impacto significativo en el principio de empresa en marcha, evaluar y validar por medio de: Mitiga la empresa riesgos ambientales (incendio, humo, agua, electricidad, temperatura, humedad, etc.) en los establecimientos de computacin importantes de manera apropiada, Se realiza un anlisis de impacto en el negocio o una evaluacin de riesgo similar para asegurar que existen planes de recuperacin en caso de desastre y las pruebas relacionadas para todas las aplicaciones significativas y los respectivos componentes de la tecnologa, El plan de contingencias definido por la empresa es probado anualmente, De existir algn cambio este es actualizado y comunicado al personal afectado.

1.8.4.2.4 Controles sobre las Actividades de Mantenimiento de Sistemas.- Los cambios o mantenimientos en los sistemas se pueden realizar por personal interno como externo del departamento de sistemas, los controles definidos para las actividades de mantenimiento tienen como objetivo, asegurar que los cambios y los componentes de la infraestructura relacionada sean debidamente solicitados, priorizados, realizados aprobados e implementados de acuerdo a los objetivos de la gerencia y principalmente de la empresa. La eficacia de los controles definidos para las actividades de administracin de cambios en los

sistemas pueden ser verificados mediante los siguientes puntos de enfoque: Administracin General de las Actividades de Cambios en los Programas.- A nivel general se busca proveer una estructura y supervisin a las actividades

31

de administracin de cambios en los sistemas para la organizacin. Evaluando y validando los siguientes puntos: Cmo se documentan y comunican polticas y procedimientos de administracin de cambios, Definicin de los roles y responsabilidades en la administracin de cambios, Asegura la gerencia que se aplica un proceso uniforme para todos los cambios en los sistemas en todos los programas de aplicacin, componentes de infraestructura, unidades de administracin y

establecimientos, Evala la gerencia la calidad funcional y operativa de sus sistemas, Monitorea la gerencia el cumplimiento de los controles implantados sobre cambios en los programas.

Solicitud de Cambio.- Los controles que se definen para probar los controles sobre los cambios permiten asegurarse que las solicitudes de los usuarios son capturadas, autorizadas y rastreadas hasta completadas de acuerdo con los objetivos marcados por la gerencia de sistemas. Verificar los controles definidos para validar la adecuada administracin de los cambios mediante: Afirma la gerencia de que todas las solicitudes de cambios de los usuarios son capturadas, Se asegura la gerencia de que todas las solicitudes de cambios de los usuarios son autorizadas,

32

Prioriza la gerencia sus actividades de cambios en los programas para garantizar que las solicitudes de ms alta prioridad sean completadas en primer trmino,

Construccin.- Los controles mnimos necesarios para asegurar que los cambios se realizan de acuerdo a los objetivos planteados se debe validar: Se aplica el uso uniforme de los estndares de programacin para las aplicaciones desarrolladas internamente, Se consideran de manera uniforme los riesgos asociados con las modificaciones a los paquetes de software, Monitorea la gerencia que se aplican los estndares relevantes para los sistemas desarrollados internamente y los sistemas en paquete.

Pruebas y Control de Calidad.- Mediante los controles sobre las pruebas y control de calidad se debe asegurar que el personal apropiado lleva a cabo un nivel adecuado de pruebas para determinar que el programa contina funcionando segn lo previsto de acuerdo con los objetivos de la organizacin. Puntos de enfoque para realizar la revisin: Analiza la gerencia de que las pruebas realizadas prueban el cambio efectuado, as como la funcionalidad significativa dentro del sistema que no debera haber cambiado, Se obtiene evidencia de la aceptacin de los usuarios del cambio antes de la implantacin en produccin, Mitiga la gerencia el riesgo de que los programas no sean modificados despus de las pruebas sino antes de la implantacin en produccin,

33

Controla la gerencia la migracin del cdigo entre los entornos lgicos desarrollo y produccin.

Implementacin de los Cambios.-

Los controles establecidos en las

actividades de implementacin de los cambios permiten asegurar que los cambios son solo implementados en el entorno de produccin por el personal apropiado, luego de haberse realizado pruebas y de haberse obtenido la aprobacin de la administracin de usuarios del negocio. Los siguientes puntos de atencin pueden resultar tiles para identificar las actividades a evaluar y validar: Asegura la gerencia de que todas las implantaciones de programas son aprobadas por la administracin de TI y de usuarios del negocio, Se aplica un proceso uniforme al implantar cambios en la produccin, Los cambios emergentes son capturados, documentados y aprobados luego de su implantacin en produccin, Slo el personal apropiado y autorizado tiene acceso para pasar los cambios en los programas al entorno de produccin, Controla la gerencia la versin del programa implantada en produccin es la versin ms reciente probada y aprobada por la administracin de usuarios del negocio, Si el programa corre en varios sitios, asegura la gerencia de que todas las copias del programa fueron actualizadas con la versin correcta.

Documentacin y Capacitacin.- Los controles definidos para deben asegurar que la documentacin y capacitacin del usuario final y de soporte TI son

34

actualizadas junto con la implantacin de los cambios en los programas. Considerar como puntos a evaluar y validar: La documentacin para usuarios y tcnica es actualizada en funcin de todos los cambios a sus sistemas, Asegura la gerencia de que la documentacin actualizada est disponible en el momento de la implantacin, Los usuarios y el personal de IT reciben capacitacin adecuada sobre los cambios significativos en los sistemas.

1.8.4.2.5 Controles sobre el Desarrollo e Implementacin de Nuevos Sistemas.- El objetivo dominante verificar los controles establecidos para el desarrollo de programas es, asegurar que los sistemas son desarrollados, configurados e implantados para cumplir con los objetivos de la gerencia planteados por el negocio. La eficacia de los controles definidos para las actividades de desarrollo e implementacin de nuevos sistemas pueden ser verificados mediante los siguientes puntos de enfoque:

Administracin General de las Actividades de Desarrollo de Programas.- La administracin general de las actividades de desarrollo de programas provee estructura y supervisin a las actividades de desarrollo de programas de la organizacin. Las cuales pueden ser evaluadas y validadas mediante los siguientes puntos de enfoque: Existe una metodologa de desarrollo de sistemas formal, Asegura la gerencia de que se desarrollan planes de proyecto detallados para todos los proyectos,

35

Se realizan evaluaciones de factibilidad para los nuevos desarrollos aprobados por la gerencia,

Los promotores del negocio y lderes de proyecto de TI definen y acuerdan los productos a entregar,

Revisa la gerencia peridicamente el estado de los proyectos en curso, Document y comunic la gerencia los roles y responsabilidades en el desarrollo de programas,

Monitorea la gerencia las actividades de desarrollo de programas.

Inicio de Proyectos.-

Los controles sobre el inicio de proyectos deben

asegurar que los proyectos son planificados, equipados y movilizados de manera uniforme. Verificar y validar los controles definidos para el inicio de proyectos: Se realizan adecuadamente anlisis de factibilidad, Se identifican promotores del negocio y dueos de los datos para todos los proyectos, Asegura la gerencia de que cada equipo de proyecto posee las destrezas de negocios y tecnolgicas requeridas para realizar el desarrollo.

Anlisis y Diseo.- Los controles sobre el anlisis y el diseo para nuevos desarrollos deben asegurar que los requerimientos son definidos y los sistemas son diseados para lograr los objetivos propuestos por la gerencia sin afectar el desempeo actual de los sistemas. Evaluar y validar los

36

controles definidos para el anlisis y diseo de nuevos sistemas mediante los siguientes puntos de enfoque: Asegura la gerencia de que los requerimientos del sistema son desarrollados de manera uniforme con suficiente detalle, El equipo de desarrollo del proyecto considera las dependencias de

sistemas e interfaces, los requerimientos de control interno y los requerimientos de seguridad para cada proyecto, Se ha obtenido la aprobacin del promotor del negocio antes de pasar a la fase de construccin del proyecto.

Construccin y Seleccin de de Paquetes de Desarrollo.- Los controles sobre la construccin y seleccin de paquetes deben asegurar que las actividades de desarrollo de programas internos y la seleccin de software en paquete son realizadas de manera uniforme de acuerdo con los objetivos que ha definido la gerencia. Evaluar y validar mediante los siguientes controles: La gerencia asegura el uso uniforme de los estndares de programacin para las aplicaciones desarrolladas internamente, Se asegura la gerencia de la aplicacin uniforme de los pasos requeridos para la seleccin, adaptacin a medida e implantacin de los paquetes de software adquiridos, Se aplican los estndares relevantes para los sistemas desarrollados internamente y en paquete.

37

Pruebas y Control de Calidad.- Los controles sobre las pruebas y el control de calidad deben asegurar que el personal apropiado realiza un nivel adecuado de pruebas para determinar que el nuevo sistema funciona segn lo previsto. Verificar y validar los controles definidos mediante los siguientes puntos de enfoque: Asegura la gerencia de que los planes de prueba responden a los requerimientos definidos en la fase de anlisis y diseo, Cmo certifica la gerencia de que no se modifican los programas despus de las pruebas y antes de la implantacin en produccin, Se realiza una migracin controlada del cdigo entre los entornos lgicos.

Conversin de Datos.- Los controles sobre la conversin de datos deben asegurar que los datos se convierten en forma completa y correcta a los nuevos sistemas. Evaluar y validar controles mediante: Se realiza un mapeo correcto de los campos de datos entre los sistemas heredados y los futuros, Asegura la gerencia de que los datos convertidos son y siguen siendo completos, correctos y vlidos, Se verifica que las interfaces de sistemas crticas son consideradas en los planes de conversin de datos.

Implementacin de Programas.-

Los controles sobre la implantacin de

programas deben asegurar que los nuevos sistemas slo son implantados en

38

el entorno de produccin luego de haberse realizado pruebas adecuadas, de haberse obtenido la aprobacin del promotor del negocio y de haberse desarrollado planes de implantacin y "backout" (eliminacin de

actualizaciones fallidas). Evaluar y validar controles mediante: Se verifica que todas las implantaciones de programas son aprobadas por promotores del negocio y la gerencia de IT, Se aplica un proceso uniforme cuando se adoptan todas las decisiones de traspaso al entorno de produccin (planes de implantacin, procedimientos de "backout"), Se verifica que la versin del programa implantada en produccin es la ms reciente, probada y aprobada por los promotores del negocio, Si el programa corre en varios establecimientos, se asegura que todas las copias del programa fueron actualizadas con la versin correcta.

Capacitacin y Documentacin.- Los controles sobre la documentacin y la capacitacin deben asegurar que los usuarios finales y el personal de soporte tcnico reciban la documentacin y capacitacin adecuada junto con la implantacin del programa. Los siguientes puntos de enfoque pueden resultar tiles para identificar las actividades a evaluar y validar: Se desarrolla documentacin tcnica y para el usuario para todos los nuevos sistemas, La documentacin est disponible en el momento de la implantacin,

39

Los usuarios y el personal de TI recibe capacitacin adecuada en todos los nuevos sistemas,

1.8.4.3 Matriz De Evaluacin De Controles Para evaluar y validar los controles definidos en el departamento de TI, se debe considerar el entendimiento de los procesos del negocio para determinar los ambientes computacionales y sistemas relevantes para realizar la revisin,

puede haber uno o ms ambientes o sistemas, dependiendo de la complejidad y el nivel tcnico de la organizacin auditada. Los controles especficos de cada rea son normalmente una mezcla de controles manuales y automticos. Por ejemplo, los controles que aseguran la apropiada

seguridad dentro de los sistemas de informacin, es un control automtico que restringe el Acceso de Usuarios a los utilitarios o herramientas sensitivas del sistema. Sin embargo, la funcionalidad y efectividad de estos controles automticos dependen de los controles manuales para garantizar que las opciones habilitadas manualmente al usuario corresponden a sus

responsabilidades y necesidades segn el cargo que ocupa en la empresa. Cada una de las cuatro reas: seguridad, operaciones, mantenimiento y desarrollo podran ser evaluadas, sin embargo, la naturaleza y extensin de las pruebas de controles generales podra depender de los siguientes factores: Complejidad de los ambientes y controles, Amplitud y cobertura que un control proporciona, Alcance del riesgo y aseguramiento requerido, Extensin del los cambios del sistema,

40

La efectividad de la administracin de la organizacin sobre los sistemas de informacin y actividades de tecnologa.

41

CAPTULO II MODELO COBIT

2.1 INTRODUCCIN COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas), fue lanzado por primera vez en septiembre de 1996, su segunda edicin en Abril de 1998, la tercera en marzo del 2000 y su ltima versin (COBIT 4.1) en el primer semestre del ao 2007. El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association). COBIT es un estndar generalmente aplicable y aceptado para las buenas prcticas en seguridad tecnolgica, en la administracin y control de la tecnologa de la informacin (TI). COBIT Integra y concilia normas y reglamentaciones existentes como: ISO (9000-3)1, Cdigos de Conducta del Consejo Europeo2, COSO3, IFAC4, IIA5, AICPA6, ISACA y Otras. El COBIT inicia con la simple premisa de proveer la informacin necesaria para lograr sus objetivos, una organizacin debe administrar sus recursos de TI a travs de un conjunto de procesos agrupados naturalmente.

ISO(9000-3): Cdigos de Conducta del Consejo Europeo 3 COSO: (Committee of Sponsoring Organizations), de la Comisin de Estudios de Controles Internos. 4 IFAC: FEDERACIN INTERNACIONAL DE CONTADORES PBLICOS 5 IIA: Instituto de Auditores Internos 6 AICPA: Instituto Americano de Contadores Pblicos Certificados
2

42

Los grupos COBIT procesan en una jerarqua simple orientada al negocio. Cada proceso se relaciona con los recursos de TI, y los requerimientos de seguridad, fiduciarios, y de calidad para la informacin. Como el COBIT est orientado al negocio, es directo su uso para comprender los objetivos de control de TI con el fin de administrar los riesgos del negocio relacionados con la misma de la siguiente forma: Inicie con los objetivos de su negocio en el Marco de Referencia, Seleccione los procesos y controles de TI adecuados para su empresa de los Objetivos de Control Opere desde su plan de negocio Evale sus procedimientos y resultados con las Directrices. Evale el estado de su organizacin identificando actividades crticas necesarias para el xito. Mida el desempeo en busca de las metas de la empresa con Las Directrices Gerenciales. El modelo de referencia COBIT es adaptable a cualquier tipo de negocio y los objetivos definidos pueden ser aplicados independientemente del ambiente, plataformas y madurez tecnolgica de la organizacin. El conjunto de guas y materiales COBIT proveen un marco referencial y un lenguaje comn para la administracin de sistemas de informacin, la auditora de sistemas de informacin, las prcticas de control y la seguridad de la informacin, a lo largo del ciclo de vida de los sistemas de informacin. COBIT puede ser integrado con otros estndares en ciertas reas entre los cuales estn: ISO177997, ISO90008, ITIL 9, CMM10.

8 ISO 17799: Es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar e implantar o mantener la seguridad de una organizacin.

43

Es aplicable a los sistemas de informacin de toda empresa e incluso en ambientes distribuidos, esta herramienta ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, proveyendo as de informacin pertinente y confiable. COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. Los lineamientos y estndares COBIT est estructurado por 4 dominios principales de administracin, los cuales a su vez implican 34 procesos de administracin asociados con la tecnologa de la informacin de acuerdo a COBIT 3rd Edition. Planificacin y organizacin Adquisicin e implantacin Soporte y servicios Monitoreo

Cada proceso TI provee una descripcin de los requerimientos del negocio e identifica los asuntos claves que deben ser llevados a cabo para administrar exitosamente estos procesos. CobiT es una compilacin de las mejores prcticas globales, obtenidas de un amplio espectro de fuentes, como: Estndares Tcnicos de ISO, EDIFACT11, etc. Cdigos de Conducta emitidos por el Consejo de Europa, OECD12, ISACA, etc.

9 ISO9000: Son directrices para que una organizacin pueda lograr la calidad de un producto o servicio de manera que las necesidades del cliente sean satisfechas. 10 ITIL: Conjunto de bibliotecas que renen las mejores prcticas para la gestin de servicios de IT agrupadas en dos reas Soporte al Servicio, Entrega al Servicio. 11 CMM: Modelo de madurez para las etapas de desarrollo de aplicaciones define 5 niveles siendo el 1 los ms bajo y 5 el nivel ideal. 11 EDIFACT: Electronic Data Interchange for Administration, Transport and Commerce

44

Criterios de evaluacin de calidad de Sistemas IT y procesos: ITSEC13, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, etc.

Estndares profesionales para control interno y auditora: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc.

Prcticas de la industria y requerimientos de foros industriales: (IBAG, NIST, DTI), etc.

Requerimientos especficos de industrias incluyendo bancos, comercio electrnico y manufactura.

COBIT a significado el inicio de los cambios de perspectiva de control interno relacionada al rea tecnolgica, el objetivo principal de COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin (TI), con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa.

12 13

OECD: Organization por Economic Co-operation and Development ITSEC: Information Technology Security Evaluation Criteria

45

2.2 CONTENIDO (PRODUCTOS COBIT)

Fig.2. 1 Productos de la Familia COBIT

2.2.1 Resumen Ejecutivo En esta seccin se presentan antecedentes y un resumen ejecutivo, con el fin de proporcionar a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios del modelo COBIT. Este resumen est dirigido a principiantes en el uso de COBIT as como a expertos administradores.

46

2.2.2 Marco Referencial Proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT, describiendo en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control agrupndolos en los cuatro dominios (Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo)
Requeri mie ntos de Negocio

Requerimientos del Negocio

Monitoreo
Monitorear el proceso Evaluar el Control Interno Obtener Aseguramiento Independiente Proporcionar auditora Independiente

Procesos y Dominios de TI Recurs os de TI

Planeacin y Organizacin

Informacin
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Entrega y Soporte
Definir Niveles de Servicio Administrar Niveles de Servicio Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y Capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin

Definir un Plan Estratgico Definir la Arquitectura de la Informacin Determinar la Direccin Tecnolgica Definir la Organizacin y sus Relaciones Administrar la Inversiones (en TI) Comunicar la direccin y objetivos gerenciales Administrar los Recursos Humanos Asegurar el apego de disposiciones externas Evaluar Riesgos Administrar Proyectos Administrar Calidad

Recursos
Gente Aplicaciones Tecnologa Instalaciones Datos

Adquisicin e Implementacin
Identificar sistemas automatizados Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios

Fig.2. 2 Resumen de Dominios de COBIT con objetivos de control

Planeacin y Organizacin.- Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

47

Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Adquisicin e Implementacin.- Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Entrega y Soporte.- En este dominio hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

Monitoreo.- Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Este marco referencial de CobIT est orientado hacia el entendimiento, de que la administracin y control adecuados de TI se llevan a cabo identificando la informacin necesaria para soportar los procesos del negocio (Requerimientos del Negocio) y a su vez considerando a la informacin como el resultado de la

48

aplicacin combinada de los recursos informticos (Recursos TI) disponibles, para ser administrados por los procesos TI (Procesos y Dominios TI).

Requerimientos De Negocio

Procesos y Dominios De T I Recursos de TI

Fig.2. 3 Integracin de Requerimientos del Negocio Procesos y Dominios IT Recursos IT

2.2.3 Objetivos de Control Los objetivos de Control en TI especifican los resultados o propsitos que se desean alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. Este documento proporciona 318 objetivos de control genricos, agrupados por los 34 objetivos de control de alto nivel del marco referencial, se identifica cuales son las necesidades que deben ser administradas y objetivos de control en cada proceso de IT, los mismos que ayudan a definir polticas claras y buenas prcticas para el control aplicables a cada proceso IT.

49

Fig.2. 4 Objetivos de Control-Resumen

2.2.4 Directrices de Auditora Contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 318 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o recomendaciones de Mejoramiento, ayudando con ello a la mejor aplicacin del

50

Marco Referencial y los Objetivos de Control COBIT contando con una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compatibles con el esquema global COBIT. Estas Directrices de Auditora proporcionan orientaciones para preparar planes de auditora que se integran al Marco Referencial COBIT y a los Objetivos de Control detallados. Deben ser usados conjuntamente con estos dos ltimos, y a partir de ah pueden desarrollarse programas especficos de auditora.

2.2.5 Guas de Administracin O Directrices Gerenciales Contienen modelos de madurez, adems sirven para determinar en que posicin se encuentra la organizacin, determinando el estado y los niveles de control esperados y compararlos con las normas de la industria; Factores Crticos de xito, en base a benchmarkings, para lo cual se necesitan escalas adecuadas de comparacin, con el fin de obtener datos lo ms reales posibles e identificar las acciones ms importantes para lograr control sobre los procesos de TI; Los Indicadores Clave de Logros de Objetivos, para identificar los niveles de rendimiento deseados; y los Indicador Clave de Desempeo, para medir si un control TI est cumpliendo sus objetivos. Las guas de administracin proveen factores crticos de xito y cules son las mejores prcticas administrativas para alcanzar los objetivos de control en IT.

2.2.6 Prcticas de Control Las prcticas de control ayudan al personal encargado de disear e implementar controles especficos para administrar riesgos en proyectos de IT,

51

estn orientadas a la accin y explican la razn de su aplicacin, las prcticas de control ayudan a mejorar el rendimiento de IT ya que proveen guas que permiten conocer que controles son necesarios y cules son las mejores prcticas para alcanzarlos.

2.2.7 Conjunto de Herramientas de Implementacin El conjunto de herramientas de implementacin son el resultado de las mejores lecciones aprendidas por medio de la aplicacin del COBIT de forma exitosa en empresas, pudiendo as ser reutilizadas en otras organizaciones que deseen implementarlo. El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva, que pretende proporcionar a la alta gerencia conciencia y entendimiento de COBIT. Adicional a ello incluye una gua de implementacin con dos tiles herramientas: Diagnstico de la Conciencia de la Gerencia (Management Awareness Diagnostic y el Diagnstico de Control de TI (IT Control Diagnostic) para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin. Tambin se incluyen varios casos de estudio que detallan como organizaciones en todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas ms frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones.

52

2.3 DOMINIO DE PLANEACIN Y ORGANIZACIN Para asegurar el xito de una empresa, se debe administrar adecuadamente la interdependencia entre los procesos del negocio y los sistemas de informacin, de esta manera la administracin del riesgo y la seguridad sobre los procesos IT es dependiente de las prcticas administrativas del negocio. Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. A continuacin se detalla los objetivos contenidos dentro de los Objetivos de alto nivel correspondientes al dominio de Planeacin y Organizacin, que ser objeto de la presente tesis. El Domino de Planeacin y Organizacin se enfoca a evaluar a la organizacin, en este caso la ESPE, como a la Gerencia de Tecnologa (UTIC) en cuanto esta es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la
14

empresa. El Gobierno de TI

provee las estructuras que unen los procesos de TI,

los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la

14 Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.

53

informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El dominio de Planeacin y Organizacin encamina al Gobierno de TI a

conducir a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. 2.3.1 Definicin de un Plan Estratgico de Tecnologa de Informacin Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas, direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa.

Fig.2. 5 Actividades de TI

54

Las

empresas

son

gobernadas

por

buenas

(mejores)

prcticas

generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI; para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.

Fig.2. 6 Actividades de la Gerencia de la Empresa

Este Objetivo de Control contiene los siguientes requerimientos:

55

Se requiere una planeacin estratgica de TI para administrar y dirigir todos los recursos de TI de acuerdo con la estrategia del negocio y las prioridades.

La funcin de TI y los participantes del negocio son responsables de garantizar que se materialice el valor ptimo de los portafolios de proyectos y servicios.

El plan estratgico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeo actual y aclarar el nivel de inversin requerido.

La estrategia de negocio y las prioridades se deben reflejar en los portafolios y deben ser ejecutadas por los planes tcticos de TI, los cuales establecen objetivos, planes y tareas especficas, entendidas y aceptadas tanto por el negocio como por TI.

Lo anteriormente citado, se evaluara en base al siguiente proceso: Control sobre el proceso de TI de: Definicin de un plan Estratgico de TI Que satisface los requerimientos del negocio de: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros. Se hace posible a travs de: Un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo y toma en consideracin:

56

Estrategia del negocio de la empresa Definicin de cmo TI soporta los objetivos de negocio Inventario de soluciones tecnolgicas e infraestructura actual Monitoreo del mercado de tecnologa Estudios de factibilidad oportunos y chequeos con la realidad Anlisis de los sistemas existentes Posicin de la empresa sobre riesgos, en el proceso de compra (time-onmarket), calidad

Necesidades de la Administracin senior en el proceso de compra, soportado en revisin crtica15

2.3.2 Definicin de la Arquitectura de Informacin El control de Definir la Arquitectura de Informacin que se encamina al

cumplimiento del objetivo del negocio de optimizar la organizacin de los sistemas de informacin, asegura la entrega de informacin que satisface los Criterios de Informacin requeridos y se mide por medio de Indicadores Clave. El cumplimiento de este control es posibilitado mediante la creacin y el mantenimiento de un modelo de informacin y asegurando que estn definidos los sistemas apropiados para optimizar el uso de esta informacin. La definicin de la Arquitectura de la Informacin, nos da un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes, por medio de la evaluacin de los siguientes requerimientos:

15

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

57

La funcin de los sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definir los sistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad.

Este proceso mejora la calidad de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y permite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio.

Este

proceso

de

TI tambin es

necesario

para

incrementar

la

responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la informacin compartida a lo largo de las aplicaciones y de las entidades. Todo esto en base al siguiente proceso de evaluacin: Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin Que satisface los requerimientos de negocio de: Organizar de la mejor manera los sistemas de informacin Se hace posible a travs de: La creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin. Y toma en consideracin: Repositorio automatizado de datos y diccionario

58

Reglas de sintaxis de datos Propiedad de la informacin y clasificacin con base en criticidad /seguridad Un modelo de informacin que represente el negocio Normas de arquitectura de informacin de la empresa16

2.3.3 Determinacin de la direccin tecnolgica El Control sobre el proceso de Determinar la Direccin Tecnolgica que permite cumplir con el objetivo del negocio de aprovechar la tecnologa disponible y emergente para impulsar y hacer posible la estrategia del negocio, asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos. El cumplimiento de este control es posibilitada por: La creacin y el mantenimiento de un plan de infraestructura tcnica que establece y maneja expectativas claras y realistas de lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de entrega. La actualizacin de forma regular del plan y verificar que contenga aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin, estndares, estrategias de migracin y

contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente competitivo, economas de escala para consecucin de personal de sistemas de informacin e inversiones, as como una interoperabilidad mejorada de las plataformas y de las aplicaciones.
16

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

59

El control de este proceso se lleva a cabo segn el siguiente proceso: Control sobre el proceso de TI de: Determinacin de la direccin tecnolgica Que satisface los requerimientos de negocio de: Aprovechar la tecnologa disponible y las que van apareciendo en el mercado para impulsar y posibilitar la estrategia del negocio. Se hace posible a travs de: La creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega. Y toma en consideracin: Capacidad de la infraestructura actual Monitoreo de desarrollos tecnolgicos por la va de fuentes confiables Realizacin de prueba de conceptos Riesgos, restricciones y oportunidades Planes de adquisicin estrategia de migracin y mapas alternativos (roadmaps) Relaciones con los vendedores Reevaluacin independiente de la tecnologa Cambios de precio /desempeo de hardware y de software17

2.3.4 Definicin de la Organizacin y de las Relaciones de TI Una organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegacin, autoridad, roles, responsabilidades y
17

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

60

supervisin. La organizacin estar incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. El definir la organizacin de TI, conlleva cumplir lo siguiente: Establecer un comit estratgico que debe garantizar la vigilancia del consejo directivo sobre la TI, con la responsabilidad de determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, polticas administrativas y procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la segregacin de tareas. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisin. El proceso de evaluacin de este control es el siguiente: Control sobre el proceso de TI de: Definicin de la organizacin y de las relaciones de TI Que satisface los requerimientos de negocio de: Prestacin de los servicios correctos de TI Se hace posible a travs de: Una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado. Y toma en consideracin: Responsabilidades del nivel directivo sobre TI

61

Direccin de la gerencia y supervisin de TI Alineacin de TI con el negocio Participacin de TI en los procesos clave de decisin Flexibilidad organizacional Roles y responsabilidades claras Equilibrio entre supervisin y delegacin de autoridad (empoderamiento) Descripciones de puestos de trabajo Niveles de asignacin de personal y personal clave Ubicacin organizacional de las funciones de seguridad, calidad y control interno

Segregacin de funciones18

2.3.5 Manejo de la Inversin en Tecnologa de Informacin El Control sobre el proceso de Administrar la Inversin de TI, permite alcanzar el objetivo del negocio de asegurar el financiamiento y controlar el desembolso de recursos financieros; de esta manera asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos. Es posibilitado por medio de una inversin peridica y de un presupuesto operativo establecido y aprobado por el negocio Los puntos a cumplirse para alcanzar esto son: Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto.
18

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

62

Trabajar con los interesados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias.

El proceso permite la sociedad entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI. El proceso es el siguiente: Control sobre el proceso de TI de: Manejo o administracin de la inversin de TI Que satisface los requerimientos de negocio de: Asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: Inversin peridica y presupuestos operacionales establecidos y aprobados por el negocio. Y toma en consideracin: Alternativas de financiamiento Claros responsables del presupuesto Control sobre los gastos actuales Justificacin de costos y concientizacin sobre el costo total de la propiedad Justificacin del beneficio y contabilizacin de todos los beneficios obtenidos Ciclo de vida del software de aplicacin y de la tecnologa Alineacin con las estrategias del negocio de la empresa Anlisis de impacto

63

 Administracin de los activos19

2.3.6 Comunicacin de la direccin y aspiraciones de la gerencia El control sobre el proceso de TI de Comunicar los Objetivos y la Orientacin de la Gerencia permite alcanzar el objetivo del negocio de asegurar el conocimiento y comprensin del usuario de los objetivos y actividades de TI y es posibilitado por polticas establecidas y comunicadas a la comunidad de usuarios; por otra parte, es necesario establecer normas para traducir las opciones estratgicas en reglas prcticas y utilizables por los usuarios. Para lograr esto, se requiere lo siguiente: La direccin debe elaborar un marco de trabajo de control empresarial para TI, y definir y comunicar las polticas. Implantar un programa de comunicacin continua para articular la misin, los objetivos de servicio, las polticas y procedimientos, etc., aprobados y apoyados por la direccin. Con esto se obtendr que la comunicacin apoye el logro de los objetivos de TI y asegure la concientizacin y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de las leyes y reglamentos

relevantes, y se enmarca en lo siguiente: Control sobre el proceso de TI de: Comunicacin de los objetivos y aspiraciones de la gerencia Que satisface los requerimientos de negocio de: Asegurar que el usuario sea conciente y comprenda dichas aspiraciones
19

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

64

Se hace posible a travs de: Polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables Y toma en consideracin: Misin claramente articulada Directivas tecnolgicas vinculadas con aspiraciones de negocios Cdigo de tica / conducta Compromiso con la calidad Polticas de seguridad y control interno Practicas de seguridad y control interno Ejemplos de liderazgo Programacin continua de comunicaciones Proveer guas y verificar su cumplimiento20

2.3.7 Administracin de Recursos Humanos El control sobre el proceso de Administrar Recursos Humanos permite cumplir con el objetivo del negocio de adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI. Es posibilitado por prcticas saludables, justas y transparentes de administracin de personal. Para obtener esto se debe dar cumplimiento a los siguientes requerimientos:

20

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

65

Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega de servicios de TI para el negocio.

Seguir prcticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del desempeo, la promocin y la terminacin.

El proceso de evaluacin del control es el siguiente: Control sobre el proceso de TI de: Administracin de recursos humanos Que satisface los requerimientos de negocio de: Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI Se hace posible a travs de: Prcticas de administracin de personal, sensata, justa y transparente para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir Y toma en consideracin: Reclutamiento y promocin Entrenamiento y requerimientos de calificaciones Desarrollo de conciencia Entrenamiento cruzado y rotacin de puestos Procedimientos para contratacin, veto y despidos Evaluacin objetiva y medible del desempeo Responsabilidades sobre los cambios tcnicos y de mercado Balance apropiado de recursos internos y externos Plan de sucesin para posiciones clave21

21

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

66

2.3.8 Aseguramiento del Cumplimiento de Requerimientos Externos Lo requerimientos externos no son nada mas que obligaciones

organizacionales, legales, regulatorias y contractuales; las cuales deben estar dentro de un proceso definido en el cual se han desarrollado, documentado y comunicado polticas, procedimientos y procesos para asegura el cumplimiento de las mismas. El control sobre el proceso de Asegurar el Cumplimiento de los

Requerimientos Externos permitir el cumplimiento del objetivo del negocio de cumplir con las obligaciones legales, regulatorias y contractuales. Es posibilitado por la identificacin y anlisis de los requerimientos externos para el impacto en TI, y tomando las medidas apropiadas para cumplirlas. El proceso para la evaluacin de este control es: Control sobre el proceso de TI de: Aseguramiento del cumplimiento de requerimientos externos Que satisface los requerimientos de negocio de: Cumplir con obligaciones legales, regulatorias y contractuales Se hace posible a travs de: La identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y realizando las medidas apropiadas para cumplir con ellos Y toma en consideracin: Leyes, regulaciones y contratos monitoreo de desarrollos legales y regulatorios Monitoreo regular sobre cumplimiento Seguridad y ergonoma Privacidad

67

 Propiedad intelectual22

2.3.9 Evaluacin de Riesgos La evaluacin de riesgos permitir a la administracin decidir cual es la

inversin razonable en seguridad y en el control en lo que a TI se refiere; as como lograr un balance entre riesgos e inversiones. Tomando en cuenta que el ambiente de TI frecuentemente es impredecible ya que si bien la seguridad y los controles en los sistemas de informacin ayudan a administrar los riesgos, esto no los elimina y adicionalmente, el nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre. En si la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar y juzgar cual puede ser el nivel tolerable contra el costo, lo cual puede ser una decisin difcil por esta razn, la Administracin necesita un marco de referencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado. Es as que el control sobre el proceso de Evaluar los Riesgos permite lograr el objetivo del negocio de apoyar las decisiones de la administracin y responder a las amenazas reduciendo la complejidad, la objetividad creciente e identificando factores importantes de decisin Esto es posibilitado por la organizacin dedicndose a la identificacin de riesgos y al anlisis de impacto de TI, que involucran funciones multidisciplinarias y tomando medidas de eficiencia de costos para mitigar los riesgos Los requerimientos para el control de este objetivo son:

22

Tom ado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

68

Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos.

Establecer un Marco de trabajo que documente un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales acordados.

Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organizacin.

Se deben adoptar estrategias de mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable.

El resultado de la evaluacin debe ser entendible para los participantes y se debe expresar en trminos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.

El proceso de evaluacin es el siguiente: Control sobre el proceso de TI de: Anlisis de riesgos Que satisface los requerimientos de negocio de: Soportar las decisiones de la gerencia a travs del logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad e incrementando objetivamente e identificando factores importantes de decisin. Se hace posible a travs de: La participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas costoefectivas para mitigar los riesgos Y toma en consideracin: Administracin de riesgos de la propiedad y del registro de las operaciones

69

 Diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Definir y comunicar un perfil tolerable de riesgos Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos Medicin cuantitativa y/o cualitativa de los riesgos Metodologa de anlisis de riesgos Plan de accin contra los riesgos Volver a realiza anlisis oportunos23

2.3.10 Administracin de proyectos El control sobre el proceso de Administrar Proyectos que permite alcanzar el objetivo del negocio de establecer prioridades y entregar a tiempo y dentro de presupuesto; es posibilitado por la organizacin mediante la identificacin y la priorizacin de los proyectos en lnea con el plan operativo y la adopcin y aplicacin de tcnicas saludables de administracin de proyectos para cada proyecto emprendido Los requerimientos identificados para cumplir este objetivo son: Establecer un programa y un marco de control administrativo de proyectos para la administracin de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas,
23

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

70

revisin de pruebas y revisin post-implantacin para garantizar la administracin de los riesgos del proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y de cancelacin de proyectos, mejora la comunicacin y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribucin a los programas de inversin en TI. El proceso de evaluacin de este control se describe a continuacin: Control sobre el proceso de TI de: Administracin de proyectos Que satisface los requerimientos de negocio de: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin. Se hace posible a travs de: La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido. Y toma en consideracin: El patrocinio que la gerencia de negocios debe dar a los proyectos Administracin de programas Capacidad para el manejo de proyectos Involucramiento del usuario Divisin de tareas, definicin de puntos de control y aprobacin de fases Distribucin de responsabilidades Rastreo riguroso de puntos de control y entregables

71

 Costos y presupuestos de mano de obra, balance de recursos internos y externos Planes y mtodos de aseguramiento de calidad Programa y anlisis de riesgos del proyecto Transicin de desarrollo a operacin24

2.3.11 Administracin de Calidad Administrar la calidad conlleva a una conciencia de calidad institucionalizada de tal manera que el aseguramiento de calidad este integrado y se ejecute en todas las actividades en especial en las de TI. El aseguramiento de calidad de los procesos de TI est totalmente integrados con la aseguramiento sobre los procesos del negocio para asegurar que los productos y servicios de toda la organizacin tengan una ventaja competitiva. Por esto el control sobre el proceso de Administrar Calidad que permite alcanzar el objetivo del negocio de satisfacer los requerimientos de clientes de TI, es posibilitado por la planeacin, implementacin y mantenimiento de normas y sistemas de administracin de calidad proveyendo fases distintas de desarrollo, productos claros y responsabilidades explcitas Los requerimientos para alcanzar este objetivo son: Se debe elaborar y mantener un sistema de administracin de calidad, el cual incluya procesos y estndares probados de desarrollo y de adquisicin.

24

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

72

Establecer la planeacin, implantacin y mantenimiento del sistema de administracin de calidad, proporcionando requerimientos, procedimientos y polticas claras de calidad.

Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables.

La mejora continua se logra por medio del constante monitoreo, correccin de desviaciones y la comunicacin de los resultados a los interesados.

La administracin de calidad es esencial para garantizar que TI est dando valor al negocio, mejora continua y transparencia para los interesados, a continuacin se detalla el proceso para la evaluacin del control. Control sobre el proceso de TI de: Administracin de la calidad Que satisface los requerimientos de negocio de: Satisfacer los requerimientos del cliente de TI Se hace posible a travs de: La planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas Y toma en consideracin: Establecimiento de una cultura de calidad Planes de calidad Responsabilidades de aseguramiento de la calidad Practicas de control de calidad Metodologa del ciclo de vida de desarrollo de sistemas Pruebas y documentacin de sistemas y programas

73

 Revisiones y reporte de aseguramiento de calidad Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad Desarrollo de una base de conocimiento de aseguramiento de calidad Benchmarking contra las normas de la industria25

25

Tomado de CobiT Objetivos de Control 3ra Edicion, Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR

74

CAPTULO III AUDITORA INFORMTICA DEL SISTEMA DE INFORMACIN DE LA ESPE: DOMINIO PLANEACIN Y ORGANIZACIN.

En conformidad con el Plan del proyecto de tesis, Auditora Informtica del Sistema de Informacin de la Escuela Politcnica del Ejrcito, se ha realizado la revisin de los controles referentes a la Planeacin y Organizacin implantados en Tecnologa de la Informacin y Comunicaciones de la Escuela Politcnica del Ejrcito, durante el perodo 2006-2007 de gestin de la UTIC. La metodologa empleada ha sido recopilacin de informacin mediante entrevistas, cuestionarios, estudio documental de informacin entregada por las unidades, informacin que fue tabulada y detallada en matrices de control, antes ya expuesta en el caplitulo1 del presente trabajo. El equipo estuvo conformado por Mara Alexandra Tapia Mendieta y Mara ngeles Salcedo Salgado. A continuacin se detallan las observaciones y recomendaciones resultantes de la revisin, en base del estndar COBIT

PO1. DEFINICIN DE UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN PO1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. Observacin PO1: La UTIC no particip de manera activa en la elaboracin del plan estratgico institucional.

75

Criterio De acuerdo al enfoque de auditora, en el cual la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin; es decir que se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin Condicin La ESPE tiene un Plan Estratgico Institucional elaborado mediante eventos, con asesora extranjera; en el cual no existe evidencia de participacin activa de la UTIC (Evidencia : AUDI-ESPE-2007-ENT-005, AUDI-ESPE-2007-ENT004) La ESPE tiene un Plan Operativo Anual Institucional, elaborado por la Unidad de Desarrollo Institucional, en base del Presupuesto Operativo Anual asignado, y de los requerimientos o necesidades emergentes y urgentes de la ESPE; ms no en base a perspectivas y metas a alcanzar; para el apoyo al plan estratgico institucional, as como no se evidencia uso de una metodologa o procedimiento formal de anlisis de asignacin de

presupuestos. (Evidencia: AUDI-ESPE-2007-ENT-012, ENT-005). Causa-

AUDI-ESPE-2007-

La falta de una metodologa participativa efectiva de todos los estratos y grupos funcionales u organizacionales y la falta de sociabilizacin del mismo

Los proyectos relacionados de tecnologa de informacin son entregados a la UDI segn el criterio de costo y factibilidad del usuario, mas no por el

76

responsable de la planificacin, adems se desconoce la metodologa o procedimiento para la seleccin de los proyectos presentados y para la asignacin de presupuesto. No existe evidencia de Gerencia de TI.

Efecto Sin una Planificacin Estratgica institucional, integrada con la participacin activa de las unidades organizacionales, en especial la de Tecnologa de la Informacin, es difcil obtener ventajas competitivas sostenibles y/o apoyar a los objetivos institucionales, propiciando servicios deficientes o fuera de los objetivos que pretende alcanzar con la Institucin. El desarrollo de los Sistemas y Tecnologa de Informacin no es visualizado ni evaluado. La falta de Metodologas, Estndares normas y procedimientos definidos institucionalmente en lo que a planeacin se refiere conlleva al desarrollo en diferentes marcos de referencia, criterios, etc.; que no permiten un desarrollo, ejecucin y cumplimiento ptimo de los Planes. La manera en la que se realiza la Planificacin Operativa, no permite el emprendimiento de proyectos realmente enfocados a los objetivos

institucionales y puede generar trfico de influencias para aprobacin de presupuestos o aplicacin de criterios arbitrarios y personales para ese proceso, sin que se consiga el desarrollo de la institucional.

Recomendacin PO1

77

El Director de la UDI realizar hasta el primer semestre del ao en curso, la evaluacin del Plan Estratgico Institucional, para una actualizacin del mismo, luego del anlisis y diseo de una metodologa o proceso acorde con la institucin; como por ejemplo la METODOLOGA ACTIVA DE

INTEGRACIN O DE PLANIFICACIN EN PARALELO; integrando las posibilidades de TI y la participacin activa de las Unidades Organizacionales. El Director de la UDI reformular la Planificacin Operativa del ao en curso, con el anlisis presupuestario real pertinente, en base a perspectivas y metas a alcanzar durante el ao en alineacin con la Planificacin Estratgica Institucional y la Planificacin Estratgica de Sistemas de Informacin. El Director de la UDI, disear y pondr en ejecucin un proceso participativo para seleccionar y asignar presupuesto a los proyectos de tecnologas de informacin.

Punto de vista

PO1.2 Plan a largo plazo de Tecnologa de informacin. Observacin PO2- No existe Plan estratgico de Tecnologa de Informacin y Comunicacin. Criterio

78

De acuerdo al enfoque de auditora, la Gerencia de TI y los dueos del proceso de negocio sern responsables de desarrollar regularmente planes de TI a largo plazo, que apoyen el logro de la misin y las metas generales de la organizacin. De la misma manera, la Gerencia deber implementar un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan. Condicin En base a la investigacin de campo un plan estratgico Informtico en la UTIC. (Evidencia: AUDI-ESPE2007-ENT 004,005, memorando No 2007-1275ESPE-d-6) Los proyectos desarrollados por la UTIC, han recogido necesidades y requerimientos de las unidades de la ESPE, sin alineacin al plan estratgico institucional evidenciado. (Evidencia: GT1-6) Causa No existe evidencia de Gerencia de TI por parte de las autoridades. Falta de capacitacin referida al tema por parte del personal de la ESPE y de la UTIC, acerca de la Planificacin estratgica y su importancia. El diseo organizacional no contempla estas funciones ni asigna estas responsabilidades a unidad alguna especficamente. La administracin de Proyectos se lleva a cabo sin un procedimiento de seleccin adecuado (Evidencia : AUDIESPE- 2007-ENT005,004)

Efecto

79

La falta de Planificacin Estratgica Informtica, no permite el apoyo efectivo de TI a la estrategia de negocio de la Institucin, ni el establecimiento de perspectivas y metas para el mejoramiento de la Funcin de TI.

No se puede evaluar el costo beneficio de la inversin de TI. No es posible emprender con planes de mejoramiento, que permitan el desarrollo sostenido de la funcin de TI.

Recomendacin PO2 El Director de la UDI realizar hasta el primer semestre del ao en curso, el Plan Estratgico Informtico Institucional, luego del anlisis y diseo de una metodologa o proceso acorde con la institucin; como por ejemplo la

METODOLOGA ACTIVA DE INTEGRACIN O DE PLANIFICACIN EN PARALELO; integrando las posibilidades de TI y la participacin activa de las Unidades Organizacionales. El Director de la UTIC, durante el primer trimestre del ao en curso, organizar y ejecutar con el apoyo del departamento de Ciencias de la Computacin de la ESPE, un plan de capacitacin acerca de Planificacin Estratgica de Sistemas de Informacin, a todo el personal que estar involucrado en la formulacin del Plan Estratgico Informtico de la ESPE.

Punto de vista

80

PO1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura PO1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin Observacin PO3 - No existe Planificacin a Largo Plazo de la Unidad de TICs Criterio La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo. Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos Asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. La gerencia Senior deber establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI Condicin No existe Planificacin a Largo Plazo de la UTIC, ni evidencia de metodologas, estndares y procedimientos institucionalmente establecidos para la Planificacin en la ESPE. (Evidencia: Memo No 2007-1275-ESPE-d-6) No existe evidencia de un proceso para adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI; ni de Polticas de desarrollo y mantenimiento de Planes a largo plazo (Evidencia: Memo No 2007-1275-ESPE-d-6)

81

No existe gestin estratgica ni gerencia de tecnologa contemplada en el diseo organizacional. (Evidencia: TH-1)

No se realiza proyectos encaminados al cumplimiento de los objetivos del negocio por falta de alineacin estratgica. (Evidencia: AUDI-ESPE- 2007ENT 004,005)

Efecto La falta de un enfoque estructurado al proceso de planeacin a largo plazo, no permite tener como resultado un plan de alta calidad que cumpla los objetivos institucionales. La falta de un proceso para adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI, impide la actualizacin tecnolgica y resta competitividad a la institucin.

Recomendacin PO3 Durante el primer trimestre del ao en curso, El Director de la UDI, establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo de TI, para conseguir un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y el por qu del proceso de planeacin de TI, considerar los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos El Director de la UDI, establecer un proceso para adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI.

82

El Director de la UDI, establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI

Punto de vista

PO1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin Observacin PO4 No existe una metodologa adecuada en la planeacin a corto plazo de la Funcin de Servicios de Informacin. Criterio La planificacin a corto plazo, deber asegurar que se asignen los recursos apropiados de la funcin de servicios de TI con una base consistente. Condicin La planeacin que la UTIC desarrolla es nicamente a corto plazo, limitada por el Presupuesto asignado anualmente en funcin del gasto de ese periodo. (Evidencia: AUDI-ESPE-2007-ENT-004). No se dispone de una metodologa especfica, se utiliza MS Project Manager para elaborar cronogramas de trabajo y diagramas GANTT (Evidencia: AUDIESPE-2007-ENT-004). Creacin del cargo de Planificador y Administrador de Proyectos Informticos y designacin sin mtodos y procedimientos claros de anlisis y seleccin;
83

existiendo responsable de este proceso. (Evidencia: AUDI-ESPE2007-ENT 004) El desarrollo de Planeacin a corto plazo se cumple de acuerdo a un proceso establecido denominado Planificacin de proyectos TIC: (Evidencia: GT.1.1, AUDI-ESPE2007-ENT 004) La UTIC tiene un Plan RI (GT1-2), y el registro del seguimiento a los proyectos de los que GT1 es responsable, el resto de reas no lo evidencia (Evidencia GT1-4: documentacin de referencia, estado porcentual con fechas

establecidas y fechas reales), pero no existe un procedimiento formalmente establecido para el seguimiento de proyectos. La planificacin de la UTIC, no asegura asignacin de los recursos apropiados de la funcin de servicios de TI con una base consistente en la evidencia del seguimiento de cumplimiento de la planificacin y ejecucin de proyectos. Causa Falta de Gerencia Estratgica y Planificacin de TI.

Efecto La falta de una metodologa, estndar y procedimientos formales, hace que el proceso de planeacin, no establezca un esquema de prioridades para los objetivos del negocio y cuantifique, cules de los requerimientos del negocio son posibles, evidente para las autoridades, adems de no asegurar asignacin de los recursos apropiados de la funcin de servicios de TI.

Recomendacin PO4

84

El Director de la UDI, establecer dentro del primer trimestre del ao en curso, las polticas necesarias para definir metodologas, estndares, procedimientos y enfoque para el proceso de planificacin de TI, que encierren polticas de ejecucin de seguimiento, as como el desarrollo de Anlisis de factibilidad completo de los proyectos inmersos en la planificacin de TI, incluido el Plan RI.

Punto de vista

PO1.6 Comunicacin de los planes de TI Observacin PO5 No existe comunicacin de los Planes de TI. Criterio Se debe asegurar la comunicacin de los Planes de TI a todos los niveles organizacionales. Condicin No existe evidencia del procedimiento formalmente aprobado para la

comunicacin de los Planes o estados de proyectos aprobados a las unidades beneficiarias de los mismos. Estas conocen del proyecto nicamente al inicio con el envo para aprobacin y al final con el memorando de entrega del equipo o servicio. (Evidencia: AUDI-ESPE-2007-ENT-004) Causa

85

Falta de un sistema de comunicacin organizacional adecuado. Efecto La falta de flujo de informacin entre la UTIC y las dems unidades, conlleva la desinformacin del desenvolvimiento de la Funcin de TI, con respecto a: ndice de participantes que se involucrarn en el desarrollo del plan de TI, plan o proyecto realizado. La proporcin de participacin de los dueos del negocio frente al personal de TI y el nmero de participantes clave.

Recomendacin PO5 Durante el primer trimestre del ao en curso, el Director de la UDI, disear y pondr en operacin en la ESPE, un sistema de comunicacin organizacional con tecnologa de avanzada, para establecer flujos de informacin

institucionales que agiliten y optimicen tiempos y tramites en los procesos de las diferentes Unidades. El Director de la UTIC, en el trmino del primer trimestre del ao en curso, establecer dentro del proceso de ejecucin de los proyectos, el seguimiento e informacin del estado de los mismo a las Unidades beneficiarias y a las autoridades respectivas; con el fin de que los beneficiarios de los proyectos establecidos en el POA y que se encuentran dentro del PLAN RI, conozcan la situacin del proyecto y la gestin que la UTIC realiza para la su ejecucin.

Punto de vista

86

PO1.7 Evaluacin y Monitoreo de los planes de TI Observacin PO6 No existe Evaluacin y Monitoreo de Planes de TI. Criterio Se debe establecer procesos para captar y reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de la UTIC. Condicin La UTIC, realiza la evaluacin de la trascendencia, efectividad y eficiencia de la planificacin mediante el cumplimiento de las actividades del Plan RI. (Evidencia: AUDI-ESPE-2007-ENT-004).

Causa La UDI, no ha establecido polticas para la evaluacin y monitoreo de la planificacin de TI. Efecto La falta de la vigilancia, evaluacin y seguimiento de la Funcin de TI, no permite el mejoramiento de los servicios de TI, ni un proceso estructurado de toma de decisiones.

87

Recomendacin PO6 El director de la UDI, dentro del primer trimestre del ao en curso, establecer los lineamientos y dispondr a los responsables para evaluar y monitorear la planificacin de TI (Semestralmente), para conocer el estado actual y establecer estrategias de mejoramiento de los servicios de TI.

Punto de vista

PO1.8 Valoracin de los sistemas existentes Observacin PO7 No existe Valoracin de los sistemas existentes Criterio Previo al desarrollo o modificacin del Plan Estratgico, la Gerencia debe evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo, fortalezas y debilidades, etc. Condicin No existe evidencia de valoracin de los sistemas existentes (AUDI-ESPE-2007ENT-003) Causa Falta de un plan Estratgico Informtico.

88

No existe Gerencia de TI. Desconocimiento de procedimientos de evaluacin y valoracin por parte del personal responsable.

Efecto La falta de valoracin no permite desarrollar el Plan Estratgico Institucional ni el Plan Estratgico de TI de manera coherente, pertinente y efectiva, causando desorientacin y deficiencia en el uso de los recursos tecnolgicos, adems de que no permite establecer un proceso estructurado de toma de decisiones.

Recomendacin PO7. El Director de la UDI, en el lapso de tres meses, establecer y ejecutar las polticas y procedimientos para evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo, fortalezas y debilidades, etc.

Punto de vista

89

PO2. DEFINICIN DE LA ARQUITECTURA DE INFORMACIN PO2.1 Modelo de la Arquitectura de Informacin Observacin PO8: No existe modelo de arquitectura de la informacin. Criterio La informacin deber conservar consistencia con las necesidades y deber ser identificada, capturada y comunicada de tal forma y dentro de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Condicin No existe evidencia de un modelo de datos de arquitectura de la informacin. Adicionalmente no se lleva de manera normalizada modelos de datos de aplicaciones construidas por la UTIC y de los contratados no existe evidencia. (Evidencia: AUDI-ESPE-2007ENT-003) Del anlisis realizado en el objetivo DS3 (Administrar el desempeo y la Capacidad), se establece la falta de definicin de los periodos en los que la informacin debe estar disponible, y las caractersticas de eficiencia y oportunidad con las que debe contar.(Evidencia: N. 2007-1275ESPE-d-6) Causa La Planificacin Estratgica Informtica, en la que se establece la arquitectura general de los sistemas de informacin, no existe. Falta de formalidad con la que se llevan los proyectos de desarrollo de aplicaciones.

90

No existe un proceso eficaz de especificacin de requerimientos tecnolgicos y funcionales del negocio, lo que dificulta la definicin de la arquitectura de datos necesaria para la organizacin. (Evidencia: N. 2007-1275ESPE-d-6)

Efecto La falta de un modelo de arquitectura de informacin, impide determinar los requerimientos de una planificacin a futuro, por lo que se realizan adquisiciones emergentes que luego no pueden ser complementadas, afectando a la eficiencia en el uso de recursos y necesidades actuales. No permite la ejecucin de un proceso racional evolutivo de los sistemas de informacin en apoyo a los objetivos institucionales. Al no contar con informacin de manera eficiente y oportuna se producen retrasos en las tareas de personal responsable de los mismos o se corre el riesgo de que se cometan errores, se pasen por alto modificaciones hechas que puedan ser significativas para el funcionamiento de las distintas aplicaciones o para la obtencin de datos fiables y de los cuales dependan otros departamentos. Debido a que en la unidad se manejan grandes cantidades de informacin, al no tenerla debidamente organizada, la bsqueda de la misma en el momento que se la necesite se dificulta, debido a la falta de un estndar para su documentacin y almacenamiento y esto produce tambin retrasos en la obtencin de informacin crtica.

Recomendacin PO8

91

El Director de la UDI, durante el primer trimestre del ao en curso, dispondr la planificacin y ejecucin, de capacitacin al personal involucrado, referente a Arquitectura de la Informacin, a fin de realizar posteriormente el Plan

Estratgico Institucional, conforme a los requerimientos en tiempo del Ministerio de Economa; en el Plan Estratgico se incluir el diseo de la Arquitectura de los Sistemas de Informacin Institucionales, considerando los requerimientos de informacin descritos en este objetivo.

Punto de vista

PO2.2 Diccionario de Datos y Reglas de sintaxis Observacin PO9: No existe Diccionario de datos ni Reglas de sintaxis. Criterio. Asegurar la creacin y la continua actualizacin de un diccionario de datos corporativo que incorpore las regl0as de sintaxis de datos de la organizacin. Condicin No existe evidencia de algn tipo de diccionario de datos o la existencia de un manual propio de sintaxis para desarrollo de sistemas o de registro de datos, por lo que no existen actualizaciones del mismo. (Evidencia: AUDI-ESPE-2007ENT003)

92

Causa Falta de estndares adecuados para desarrollo de sistemas. Falta de capacitacin referida al tema por parte del personal de la UTIC. No se han designado responsabilidades que cubran estas actividades en forma especfica y falta de responsabilidades de supervisin. Efecto La falta de descripcin de los datos o una descripcin inadecuada de los mismos incide en la calidad del software, especialmente en el indicador de correccin y dificulta o imposibilita el mantenimiento de las aplicaciones Otro efecto de la no existencia de reglas de sintaxis es la falta de consistencia en la manera en la que se manejan los datos y en el caso de desarrollo no existen estndares para declaraciones de variables, funciones,

procedimientos, etc.

Recomendacin PO9. El Director de la UTIC, dispondr al coordinador de GT5, actualizar y/o desarrollar la documentacin tcnica de las aplicaciones desarrolladas o en desarrollo, en la que se incluir el diccionario de datos.

Punto de vista

93

PO2.3 Esquema de Clasificacin de Datos Observacin PO10: No existe un esquema de clasificacin de datos, ni clasificacin de la informacin crtica de la institucin. Criterio Deber establecerse un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin, as como la asignacin de propiedad. Las reglas de acceso para las clases debern definirse

apropiadamente. Condicin No existe evidencia de anlisis ni clasificacin de acuerdo a la criticidad de la informacin. No existen polticas de seguridad nicamente en lo que se refiere a seguridad en manejo de la informacin y seguridad de datos en servidores (Evidencia: memo N. 2007-1275ESPE-d-6).(Evidencia: referencia: SGC.DI.079) No existe una definicin formal de la persona responsable de llevar al da los backups de informacin, acceso, etc. (Evidencia : N 2007-0323-ESPE-d-6, N2007-0321-ESPE-d-6 en dichos memos se asigna la responsabilidad de administracin de active directory y administracin de redes ms no de respaldo de informacin) El responsable de almacenar los respaldos de datos revisa correcta etiquetacin de backups, mas no el contenido del respaldo en CD que se le

94

entrega; responsabilidad que no est especificada como parte de las funciones del cargo que desempea (Evidencia: AUDI-ESPE-2007ENT-005). No existe evidencia de reglas de acceso a la informacin (Evidencia: memorando N2007-1275-ESPE-d-6, AUDI-ESPE-2007ENT-003) Causa El personal afirma saber exactamente cual es la informacin crtica que se maneja, por lo cual no se realiza el anlisis de criticidad de informacin. (Evidencia: AUDI-ESPE-2007ENT-003). El facilismo o confianza en el personal que labora en la unidad y la falta de una estructura de la informacin no permite un adecuado control referente a la asignacin de usuarios, claves de acceso y privacidad de datos y asignacin de niveles de acceso. (Evidencia : AUDI-ESPE-2007ENT-003, AUDI-ESPE2007ENT-002) Efecto La falta de clasificacin de la informacin, impide establecer proteccin adecuada. Se propicia ineficiencia en el uso de recursos, porque se podra respaldar informacin no crtica o no necesaria y dejar sin respaldo informacin realmente importante para la institucin. En caso de desastre informtico, se pierde la informacin como ha ocurrido en el caso del servidor de datos de finanzas. La falta de verificacin del contenido de los respaldos pone en riesgo el restablecimiento de la informacin.

95

No se conoce exactamente que persona est accediendo a la informacin de los distintos servidores

Recomendacin PO10 El Director de la UTIC, en el lapso de dos meses, clasificar la informacin institucional, estableciendo el grado de criticidad de la misma e implementar las medidas de seguridad pertinentes, de acuerdo a esa clasificacin; as mismo, definir los propietarios o custodios de la informacin crtica, con sus niveles de acceso y el registro de auditora del personal que ha accedido a cualquier tipo de informacin con el detalle de los cambios realizados en la informacin. El Director de la UTIC, en el lapso de dos meses, elaborar y pondr en ejecucin un instructivo para respaldar la informacin clasificada.

Punto de vista

PO2.4 Niveles de Seguridad. Observacin PO11: No existen definiciones de Niveles de Seguridad. Criterio

96

La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Condicin Se mantiene acceso de acuerdo a perfiles de usuario pero no de acuerdo a niveles de seguridad de la informacin. (Evidencia: AUDI-ESPE-2007ENT003). No existen niveles de seguridad definidos, por lo que no existe actualizaciones ni evaluaciones de los mismos. (Evidencia: memo N 2007-12-75-ESPE-d-6 ). Causa No existe una clasificacin de criticidad de la informacin (PO2.3) No se pueden realizar evaluaciones de efectividad o actualizaciones de estos niveles de seguridad ya que no existen. Efecto Se incrementa el riesgo de acceso no autorizado, sabotaje, modificacin, robo de datos, fraude y otras acciones que pondran en riesgo la continuidad del negocio.

Recomendacin PO11 El Director de la UTIC, en el trmino de tres meses, definir e implementar niveles de seguridad para cada una de las clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin"; luego de tres meses de implementados y en forma peridica realizar actualizaciones y

97

evaluaciones de la efectividad de estas seguridades, de manera que se pueda retroalimentar y cubrir posibles falencias en la seguridad de la informacin.

Punto de vista

PO3. DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI PO3.1 Planeacin de la Infraestructura Tecnolgica Observacin PO12: No existe un Plan de Infraestructura Tecnolgica, desarrollado o consolidado. Criterio La funcin de servicios de informacin deber crear y actualizar regularmente un plan de infraestructura tecnolgica, que deber abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. Condicin La UTIC no posee un Plan de Infraestructura Tecnolgica, ya que el Plan RI no contiene anlisis de Arquitectura de Sistemas, Direccin tecnolgica y estrategias de migracin en base a las cuales se realizaran los planes de adquisiciones (Evidencia: AUDI-ESPE-2007-ENT-004).

98

Causa Falta de una planificacin estratgica informtica, que defina la Infraestructura Tecnolgica (Productos, Servicios y mecanismos de entrega) a la cual la ESPE apuntara. Falta de capacitacin referida al tema por parte del personal de la UTIC. No se han designado responsabilidades en la supervisin y en la captacin de estas actividades en forma especfica. Efecto La falta de un Plan de Infraestructura tecnolgica, conlleva a la deficiencia de anlisis y determinacin de expectativas claras y realistas de lo que la tecnologa puede ofrecer en trminos de productos, servicios y mecanismos de entrega; a la ESPE como entidad Educativa.

Recomendacin PO12 El Director de la UDI, elaborar el Plan de Infraestructura Tecnolgica durante los tres meses posteriores al establecimiento del Plan Estratgico Informtico; que se traduce en planes para la adquisicin de tecnologa, capacitacin y reclutamiento de personal, con consideracin de las polticas y normas de uso de la tecnologa.

Punto de vista

99

PO3.2 Monitoreo de Tendencias y Regulaciones Futuras Observacin PO13: No existe registro de Monitoreo de Tendencias y Regulaciones Futuras. Criterio La funcin de servicios de informacin deber asegurar el monitoreo continuo de tendencias futuras y condiciones regulatorias, de tal manera que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Condicin No existe reglamentos ni polticas establecidas directamente para el rea de tecnologa. (Evidencia: AUDI-ESPE-2007-ENT-013). La UTIC, no posee registros de Monitoreo de Tendencias Tecnolgicas. (Evidencia: AUDI-ESPE-2007-ENT-005, AUDI-ESPE-2007-ENT-004)

Causa La falta de un Plan Estratgico Informtico que contenga la tendencia tecnolgica institucional para el desarrollo del monitoreo de tendencias tecnolgicas, y el estudio de condiciones regulatorias aplicables a la institucin. No se han designado responsabilidades que cubran estas actividades en forma especfica ni de supervisin

100

Efecto No se logra mantener la innovacin tecnolgica en la Institucin, por lo que se pierde competitividad, as como la falta de cumplimiento de las regulaciones ecuatorianas.

Recomendacin PO13 El Director de la UDI, en el lapso de un mes, establecer las regulaciones a las cuales la ESPE se encuentra sujeta, en cuanto a tecnologa se refiere. El director de la UTIC, en el lapso de dos meses, establecer y ejecutar un instructivo para el monitoreo continuo de tendencias futuras y condiciones regulatorias, de tal manera que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.

Punto de vista

PO3.3 Contingencias en la Infraestructura Tecnolgica Observacin PO14: No existe evaluacin sistemtica del Plan de Infraestructura Tecnolgica. Criterio
101

El plan de infraestructura tecnolgica deber ser evaluado sistemticamente en cuanto a aspectos de contingencia. Condicin No existe registro o evidencia de evaluacin del plan de infraestructura Causa No existe Plan de Infraestructura Tecnolgica. y que cubran estas

No se han designado responsabilidades de supervisin actividades en forma especfica. Efecto

La falta de anlisis y evaluacin de los aspectos de contingencia en el Plan de Infraestructura Tecnolgica, no permite prever alternativas de solucin en caso de eventualidades que impidan el cumplimiento del plan y por tanto pone en riesgo el desarrollo tecnolgico en apoyo a los objetivos del negocio.

Recomendacin PO14 El Director de la UDI, en el lapso de tres meses, establecer el procedimiento peridico y designar el responsable o responsables de la evaluacin del Plan de Infraestructura Tecnolgico de la Institucin y determinacin de aspectos de contingencia del mismo.

Punto de vista

102

PO3.4 Planes de Adquisicin de Hardware y Software Observacin PO15: No existe Plan de Adquisicin de Hardware y Software. Criterio La gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos y que reflejen las necesidades identificadas en el plan de infraestructura tecnolgica. Condicin La ESPE no tiene un plan de Adquisiciones de Hardware y Software especfico, nicamente un Plan de Adquisiciones General con responsabilidad de la unidad de Logstica, donde los activos de TI son tratados como cualquier otro bien con la diferencia que en el proceso de adquisicin se especifican bases e informe tcnico.(Evidencia: AUDI-ESPE-2007-ENT-06) La UTIC, realiza el Plan RI, que recoge los proyectos de adquisicin de hardware y software de la ESPE y Sedes. Institucionalmente no se reconoce al Plan RI, como el Plan de Adquisiciones de Hardware y software. Causa Falta de Planificacin Estratgica Informtica. Falta de capacitacin referida al tema por parte del personal de la Unidad de Logstica.

103

No se han designado responsabilidades totales a la UTIC que cubran estas actividades en forma especfica. Efecto La falta de un Plan de Adquisiciones de Hardware y Software conlleva a la adquisicin de activos de TI de manera desorganizada y sin anlisis de la tendencia tecnolgica a la que la organizacin desea llegar. Adems de que la organizacin no realizara Innovacin tecnolgica.

Recomendacin PO15 El Director de la UDI en el primer semestre del ao en curso, establecer Institucionalmente el Plan de Adquisicin de Hardware y software, integrando las adquisiciones totales de activos de TI de todas las unidades que componen a la ESPE y sedes, en base del Plan Estratgico de Sistemas de Informacin y del Plan Operativo Anual. El Director de la UDI en el primer trimestre del ao, definir la responsabilidad de las Adquisiciones de Hardware y Software en la Unidad de Logstica con soporte de personal especializado para el efecto.

Punto de vista

104

PO3.5 Estndares de Tecnologa Observacin PO16: No existen estndares de Tecnologa establecidos. Criterio La Gerencia deber definir normas de tecnologa con la finalidad de fomentar la estandarizacin. Condicin No existen polticas, normas ni estndares definidos exclusivamente para las funciones y actividades relacionadas con las TIC's. (Evidencia: AUDI-ESPE-2007ENT-14; Reglamento General) Causa Falta de Planificacin estratgica Informtica, en base a la cual se establezcan los lineamientos para el tratamiento de la funcin de TI. Falta de capacitacin referida al tema por parte del personal de la UTIC. No se han designado responsabilidades que cubran estas actividades en forma especfica. Efecto La carencia de Polticas, normas y estndares para la Gestin y Gerencia de las TICs, no permite mantener confiabilidad en los sistemas de informacin, dificulta la evaluacin y estandarizacin del trabajo y no permite el cumplimiento operativo de los objetivos y procesos. Se propicia un nivel alto de riesgo en las actividades no controladas; impide la induccin y la regularizacin del trabajo cuotidiano.

Recomendacin PO16
105

El Director de la UDI, establecer durante el primer bimestre las polticas necesarias para definir los estndares de que se aplicar a las actividades de TI.

El Director de la UTIC, dentro de los tres primeros meses del ao en curso, elaborar, tramitar su aprobacin y pondr en ejecucin polticas, normas y estndares para la regulacin de las Funciones de TI. Se recomienda basar estas en ITIL (Librera de las mejoras prcticas destinadas a facilitar la entrega de Servicios de TI)

Punto de vista

PO4. DETERMINACIN DE LA DIRECCIN TECNOLGICA PO4.1 Planeacin de TI o Comit de planeacin/ direccin de la funcin de servicios de informacin Observacin PO17: No existe comit de planeacin o direccin para vigilar la funcin de TI. Criterio

106

La gerencia de la organizacin deber designar un Comit de Planeacin o Direccin para vigilar la funcin de TI y sus actividades. Entre los miembros del comit debern encontrarse representantes de la alta gerencia, de la gerencia usuaria y de la funcin de TI. El comit deber reunirse regularmente y reportar a la alta gerencia. Condicin En la Estructura Organizacional de la ESPE y en las funcione definidas en el Reglamento General de la ESPE (Art. 202), para la UTIC, no existe unidad o entidad alguna de vigilancia de las funciones de TI. (Evidencia: AUDI-ESPE2007-ENT-005) Causa Entre el personal de la UDI, encargado del diseo de la Organizacin Institucional, no existe asesora tecnolgica especializada. Falta de un plan estratgico Informtico, en el cual se enmarque las estrategias para la vigilancia de la funcin de TI. Efecto La falta de un comit de vigilancia/direccin de TI, impide mantener una visin coherente entre los objetivos institucionales y la gestin tecnolgica. Ha provocado toda la falencia evidente de orientacin tecnolgica, falta de planes, estndares, regulaciones, evaluacin, valoracin y actualizacin tecnolgica. El riesgo es realmente crtico y ha tenido su efecto a travs de los aos ubicando a la ESPE, fuera del grupo de universidades y politcnicas con tecnologa de avanzada.

107

Recomendacin PO17 El Director de la UDI, durante el primer bimestre del presente ao, realizar el rediseo organizacional de la Institucin, estableciendo un organigrama estructural conforme a la Tcnica de Organizacin y Mtodos e incluir un comit de vigilancia de la Funcin de TI en el nivel de Alta Gerencia; definir sus responsabilidades en base de los procedimientos de gerencia, direccin y vigilancia de TI, enmarcado en ITIL (Librera de las mejoras prcticas destinadas a facilitar la entrega de Servicios de TI).

Punto de vista

PO4.2 Ubicacin de los servicios de informacin en la organizacin Observacin PO18: La UTIC no se encuentra en un nivel organizacional en el cual pueda asesorar y apoyar en la toma de decisiones ni realizar gestin estratgica, solamente desarrolla funciones operativas. (Evidencia: AUDI-ESPE2007-ENT-005; TH-1) Criterio La ubicacin de la funcin de TI en la estructura organizacional general, mediante la cual la alta gerencia deber asegurar la existencia de autoridad, actitud crtica e

108

independencia con un grado tal que sea posible garantizar soluciones de tecnologa de informacin efectivas y progreso suficiente al implementarlas. Condicin La estructura organizacional de la ESPE, est definida mediante la Red Organizacional en base de procesos, en donde la UTIC se encuentra en un nivel operativo de soporte, con dependencia directa de la Gerencia Administrativa sin embargo, aunque es parte de una Gerencia, este nivel no le permite asesorar o participar en la toma de decisiones. (Evidencia: AUDI-ESPE-2007-ENT-005; TH1). Causa Falta de Gestin estratgica a nivel institucional que permita mantener una estructura organizacional adecuada en el rea de TI. No se ha realizado por parte de la ESPE, la organizacin estructural de la UTIC, enfocada, en la importancia de esta para la institucin Efecto La ubicacin inadecuada de la funcin de TI en la estructura organizacional general, no permite asegurar la existencia de autoridad, actitud crtica e independencia con un grado tal que sea posible garantizar soluciones de tecnologa de informacin efectiva y progreso suficiente al implementarlas.

Recomendacin PO18 Durante el primer trimestre del ao en curso, el Director de la UDI, analizar y evaluar el actual posicionamiento organizacional de la UTIC, de manera que se

109

ubique a esta Unidad, en un nivel en el que apoye de mejor manera a la institucin, considerando que se trata de una Institucin de Educacin Superior, organizada en departamentos cientficos y carreras profesionales, por lo que deber existir coherencia con los postulados de docencia, investigacin y extensin, para responder a las iniciativas clave del negocio y enfocarse en todas las necesidades corporativas de automatizacin.

Punto de vista

PO4.3 Revisin de Logros Organizacionales Observacin PO19: No existe revisin de Logros Institucionales. Criterio Deber establecerse un marco de referencia, con el propsito de revisar que la estructura organizacional, cumpla continuamente con los objetivos y se adapte a las circunstancias cambiantes. Condicin La UDI, no posee un proceso definido para la revisin de logros institucionales de la funcin de TI, (evidencia: No. AUDI-ESPE-2007-ENT-005) Falta de evaluacin de eficiencia y efectividad de la estructura organizacional de la Unidad de Tecnologas, adems no existe definicin clara de las

110

funciones, tareas o metas de cada GT; impidiendo la evaluacin de los logros institucionales. Causa Falta del plan estratgico institucional que contenga la evaluacin de la estructura organizacional de TI. Falta de evaluacin de la estructura de la Unidad de Tecnologas, en efectividad y eficiencia. Falta de responsabilidad de supervisin.

Efecto La falta de una valoracin y evaluacin a la estructura organizacional conlleva a desconocer si est dando los resultados necesarios en concordancia con los objetivos a alcanzar de la Unidad u Organizacin, de tal manera que mediante la evaluacin continua de flujos de informacin en la estructura establecida, evaluacin de las funciones de la direccin, trabajo en conjunto optimo de los elementos constitutivos de la estructura, indicadores de desempeo de la funcin de TI en la Institucin determinaran una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y

comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado.

Recomendacin PO19 El Director de la UDI desarrollar un marco de referencia para la evaluacin, valoracin y anlisis de la estructura organizacional actualmente implantada,

111

con el propsito de verificar que la estructura organizacional sea conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado, adems de mostrar un flujo de informacin fluido.

Punto de vista

PO4.4 Funciones y Responsabilidades Observacin PO20: No han sido determinadas en los manuales o reglamentos, las responsabilidades y funciones del personal respecto de los sistemas de informacin. Criterio La Gerencia deber asegurar que todo el personal en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de informacin, contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas. Ninguna persona en forma

individual deber controlar todos los aspectos clave de una transaccin o evento. Condicin

112

No existe estructura organizacional definida formalmente en la UTIC. (AUDIESPE-2007-ENT-005), esta se encuentra establecida segn los procesos existentes de la Unidad. Las funciones de la Direccin de la UTIC se encuentran definidas en el Reglamento General de la ESPE(Art. 202), las cuales no han sido cumplidas, por esa razn no existe una Gestin de tecnologa, planificacin y control de los proyectos y actividades de la UTIC y no se han dado las directrices (Polticas, Normas y Estndares) para el control de la Funcin de TI y sus actividades. (AUDI-ESPE-2007-ENT-005).

Las funciones generales de la UTIC se encuentran definidas en el reglamento General de la ESPE, sin embargo en la unidad no se ejecutan de la manera prevista; porque las responsabilidades son divididas por el personal segn la carga de trabajo existente en cada rea.

Existen funciones y responsabilidades no definidas como por ejemplo: manejo de Sistemas de Informacin, manejo del equipo Informtico, acceso a aplicativos (AUDI-ESPE-2007-ENT-004).

Causa Falta de un plan estratgico informtico, institucional en base a los cuales alineado con el plan estratgico se pueda definir funciones y

responsabilidades acordes. Los procedimientos e instructivos no se encuentran detallados. Falta de Gestin estratgica de la direccin de la UTIC para la definicin de funciones y responsabilidades acordes a los diferentes puestos establecidos y falta de seguimiento.

113

Efecto La falta de definicin de las funciones y responsabilidades y de polticas de seguridad y acceso a la informacin sobre los sistemas de Informacin, conlleva al incremento de los riesgos en la seguridad de la misma.

Recomendacin PO20 El Director de la UDI establecer las responsabilidades y funciones del manejo de los Sistemas de Informacin, mediante reglamentos y manuales, enmarcados en ITIL (Librera de las mejoras prcticas destinadas a facilitar la entrega de Servicios de TI).

Punto de vista

PO4.5 Responsabilidad del aseguramiento de calidad Observacin PO21: No existen responsables del aseguramiento de la calidad, en sistemas de informacin. Criterio La Gerencia deber asignar la responsabilidad de la ejecucin de la funcin de aseguramiento de calidad a miembros del personal de la funcin de servicios de informacin y asegurar que existan sistemas de aseguramiento de calidad

114

apropiados, controles y experiencia en comunicaciones dentro del grupo de aseguramiento de calidad de la funcin de servicios de informacin. La ubicacin de la funcin dentro del rea de servicios de informacin, las responsabilidades y el tamao del grupo de aseguramiento de calidad debern satisfacer los requerimientos de la empresa. Condicin Segn entrevista al director de la UTIC (AUDI-ESPE-2007-ENT-005), no existe un grupo de Aseguramiento de la Calidad de la Funcin de TI, pese a la existencia a nivel institucional del Macro Proceso de Seguimiento y Mejora de los Servicios de Administracin, mediante el cual se realiza la Gestin de la Calidad para el mejoramiento continuo de los Servicios de Administracin. Causa Falta de un plan estratgico informtico alineado con el plan estratgico institucional en base a los cuales se pueda definir funciones y

responsabilidades acordes. Falta de Gestin estratgica de la direccin de la UTIC para la definicin de funciones y responsabilidades acordes a los diferentes puestos establecidos. Falta de segregacin de funciones y responsabilidad de seguimiento.

Efecto La falta de un aseguramiento de la calidad conlleva a que la Funcin de TI no logre satisfacer los requerimientos de la institucin en su totalidad, por ende no aporte a alcanzar las metas establecidas en el Plan Estratgico Institucional y no se puedan efectuar procesos de mejora.

115

Recomendacin PO21 El Director de la UDI establecer una comisin responsable del aseguramiento de la calidad conformada por los miembros de la funcin de Servicios de informacin y establecer sistemas de aseguramiento de calidad apropiados, para lo cual se puede tomar como base el Aseguramiento de Calidad que ofrece ITIL (Librera de las mejoras prcticas destinadas a facilitar la entrega de Servicios de TI).

Punto de vista

PO4.6 Responsabilidad por la seguridad lgica y fsica Observacin PO22: No existen responsables de la seguridad lgica y fsica de los datos, formalmente designados. Criterio La Gerencia deber asignar formalmente la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la organizacin a un Gerente de Seguridad. Como mnimo, la responsabilidad de la Gerencia de seguridad deber establecerse a todos los niveles de la organizacin para manejar los problemas generales de seguridad en la organizacin. Condicin

116

La UTIC, no posee una estructura en base a la cual se establecen los responsables de la seguridad lgica y fsica de los activos de informacin. (Evidencia: AUDI-ESPE-2007-005, AUDI-ESPE-2007-003, AUDI-ESPE-2007014,015 ).

La UTIC, no tienen reglas definidas de acceso a la informacin, definicin de propietario o responsable del almacenamiento de la misma quien se pueda definir como la encargada o la custodia de dicha informacin y quien sea la responsable de respaldarla. (PO2.3)

La ubicacin fsica de los servidores es dispersa a pesar de existir un rea adecuada para estos, como son los de Talento Humano, Financiero, Biblioteca atribuyendo esta situacin a la falta de garantas en cuanto a resguardo de la seguridad e integridad del mismo por parte de UTIC (Evidencia: AUDI-ESPE2007-ENT-002, AUDI-ESPE-2007-ENT-00X)

No existen Polticas de seguridad de la informacin. (Evidencia: Memorando No. 2007-1275-ESPE-d-6) por lo cual no estn de acuerdo a la criticidad de la informacin que se maneja.(Evidencia: SGC.DI.079)

Causa Falta de Gerencia de TI. Falta de normatividad relativa al tema. Falta de definicin de procesos y funciones de importancia (servidores)

Efecto La no existencia de polticas, normas y estndares que regulen y establezcan las lineamientos en cuanto a seguridad lgica y fsica de los

117

activos de informacin, aumentan el riesgo de acceso indebido a la informacin, fraudes, alteraciones o prdida de informacin crtica, en definitiva limita la garanta en el almacenamiento de la informacin en cuanto a seguridad e integridad.

Recomendacin PO22 El Director de la UTIC, dentro del primer trimestre del ao en curso, establecer las polticas, normas y procedimientos; para la correcta administracin de servidores y asignacin formal de la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la ESPE, tomando en cuenta las mejores prcticas para el manejo de los mismos (Estipulados en ITIL); as como tambin gestionar la reubicacin de todos los servidores a la sala de comunicaciones, con garantas establecidas para los mismos en cuanto a su seguridad e integridad.. Punto de vista

PO4.7 Propiedad y Custodia Observacin PO23: No se mantiene una estructura en base de la cual se establezca propietarios y custodios de datos. Criterio

118

La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas. Condicin La UTIC no posee una estructura en base a la cual se establecen propietarios y custodios de los datos. (Evidencia: Entrevista No. AUDI-ESPE-2007-005, No. AUDI-ESPE-2007-003 No. AUDI-ESPE-2007-014) Causa Falta de Gestin, direccin y control de la direccin de la Unidad para establecer los propietarios. Falta d responsabilidad de supervisin.

Efecto El no poseer una estructura en base a la cual se establezcan los propietarios y custodio de los datos, con sus roles, funciones y responsabilidades bien definidos, conlleva a la falta de seguridad en la integridad, manipulacin y posible prdida de informacin.

Recomendacin PO23 El Director de la UTIC, durante el primer trimestre del ao en curso, establecer una estructura para designar formalmente a los propietarios y custodios de los datos, definiendo las polticas necesarias para establecer claramente sus responsabilidades y funciones.

119

Punto de vista

PO4.8 Propiedad de Datos y Sistemas Observacin PO24: No existen propietarios asignados informacin. Criterio La Gerencia deber asegurar que todos los activos de informacin (sistemas y datos) cuenten con un propietario asignado que tome decisiones sobre la clasificacin y los derechos de acceso. Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de distribucin/operacin de sistemas y las responsabilidades de seguridad a un administrador de la seguridad. Los Propietarios, sin embargo, permanecern como responsables del mantenimiento de medidas de seguridad apropiadas. Condicin No existen Polticas de Seguridad ni definicin o asignacin de propietarios de la informacin, que tengan responsabilidad sobre la clasificacin y los derechos de acceso (Evidencia: No. AUDI-ESPE-2007-005, No. AUDI-ESPE2007-003, 2007-1275-ESPE-d-6). Causa Falta de normatividad. a los activos de

120

Efecto La responsabilidad no definida crea arbitrariedad en el acceso y confidencialidad de los datos y el consiguiente riesgo en la integridad y disponibilidad de la informacin.

Recomendacin PO24 El Director de la UTIC y el Director de Talento Humano, durante el primer trimestre del ao, establecern los responsables de la clasificacin y acceso a la informacin y los propietarios de la informacin con sus respectivos derechos. El Director de la UTIC, establecer polticas para registrar el acceso y los cambios en los activos de informacin, para prevenir modificaciones no autorizadas y que puedan ocasionar problemas para la continuidad del negocio debido a informacin errnea o falsa.

Punto de vista

PO4.9 Supervisin Observacin PO25: No existen prcticas de supervisin adecuadas en los servicios de informacin.

121

Criterio La alta gerencia deber implementar prcticas de supervisin adecuadas en la organizacin de servicios de informacin, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente, para evaluar si todo el personal cuenta con suficiente autoridad y recursos para llevar a cabo sus tareas y responsabilidades, y para revisar de manera general los indicadores clave de desempeo. Condicin La vigilancia y supervisin administrativa del Sistema de Gestin de Calidad, la realiza la UDI, pero no existe una supervisin de gestin tecnolgica. No se establecen indicadores claves de desempeo en base a los cuales se pueda evaluar al personal y funciones que desempea. Los indicadores presentados (SGCDI114), no aplican para la supervisin de los servicios de informacin Causa Falta de normatividad que contenga la estrategia y tcnicas de supervisin de la funcin de TI para su ptimo funcionamiento. Efecto La falta de Prcticas de Supervisin adecuadas, de los servicios de informacin impide el establecer la lnea base para el mejoramiento continuo e incrementa la falta de credibilidad en los sistemas de informacin, as como la valoracin de las inversiones que se da a la misma.

122

Recomendacin PO25 El Director de la UDI, durante el primer trimestre del ao en curso, determinar indicadores claves de desempeo especficos, para cada proceso descrito en la UTIC, de manera que esta informacin permita la evaluacin y valoracin de la Funcin de TI y establecer polticas de supervisin de los servicios de informacin, enmarcados en las prcticas estipuladas en ITIL.

Punto de vista

PO4.10 Segregacin de Funciones Observacin PO26: No existe segregacin de funciones. Criterio La alta gerencia deber implementar una divisin de roles y responsabilidades que excluya la posibilidad de que un solo individuo responda un proceso crtico. La Gerencia deber asegurar tambin que el personal lleve a cabo nicamente aquellas tareas estipuladas para sus respectivos puestos. En particular, deber mantenerse una segregacin de funciones entre las siguientes funciones: uso de sistemas de informacin; entrada de datos; operacin de cmputo; administracin de redes; administracin de sistemas; desarrollo y mantenimiento de sistemas

123

administracin de cambios administracin de seguridad; y auditora a la seguridad. Condicin La UTIC, posee funciones y responsabilidades asignadas definidas en la Lista de Personal y Funciones presentada por la UTIC (Evidencia DP-1), sin embargo la segregacin de funciones no se ejerce ya que stas se adjudican de acuerdo a la carga de trabajo. (AUDI-ESPE-2007-ENT-

001,002,003,004,005) La Unidad de Talento Humano mantiene el orgnico funcional y numrico aprobado (Enero 2008), en los que se observa que la descripcin de Puestos para las funciones definidas no tienen concordancia con las funciones descritas por el personal de la UTIC. (Evidencia:TH-2 TH-3). Existen funciones y responsabilidades de importancia que no se encuentran definidas (Evidencia: AUDI-ESPE-2007-ENT-001,002,003,004,005, PO4.4) Causa El orgnico funcional de la ESPE, se encuentra en proceso de elaboracin y aprobacin hasta Noviembre del 2007. (AUDI-ESPE-ENT-014). No existen polticas ni lineamientos definidos para segregar funciones. No existe un estudio adecuado de clasificacin de puestos y divisin de trabajo (Evidencia: DSx). Efecto

124

La falta de definicin de un orgnico funcional de la organizacin no permite una apropiada induccin y desempeo dentro de los roles y responsabilidades que el personal tanto de TI como de las otras unidades deben cumplir.

La definicin de funciones y segregacin de las mismas, no permite la especializacin y experticia en el desempeo de las mismas, adems de riesgos en la seguridad en la administracin de activos de informacin de la Institucin.

Recomendacin PO26 El Director de la UTIC, establecer polticas para establecer la segregacin correcta de funciones y excluir la posibilidad de que un solo individuo responda a un proceso crtico.

Punto de vista

PO4.11 Asignacin de Personal para Tecnologa de Informacin Observacin PO27: No existe evaluacin formal para determinar los

requerimientos de asignacin de personal de la UTIC. Criterio

125

Las evaluaciones de los requerimientos de asignacin de personal, debern llevarse a cabo regularmente, para asegurar que la funcin de servicios de informacin cuente con un nmero suficiente de personal competente de tecnologa de informacin. Los requerimientos de asignacin de personal debern ser evaluados por lo menos anualmente o al presentarse cambios mayores en el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de las evaluaciones para

asegurar una asignacin de personal adecuada en el presente y en el futuro Condicin La Unidad de Talento Humano (UTH), tiene un proceso de Provisin de Personal, sin embargo en este no se evidencia proceso de anlisis para la creacin de requerimientos de personal.(Evidencia: AUDI-ESPE-2007-ENT014, TH 3.1) La UTIC, se encuentra en un punto crtico en cuanto a personal, porque existen vacantes que no han sido suplidas por ms de 6 meses a pesar de la carga de trabajo existente. (Evidencia: AUDI-ESPE-2007-ENT-005) La Unidad de Tecnologa, no posee proceso de evaluacin para el anlisis de requerimientos de personal. (Evidencia: AUDI-ESPE-2007-ENT-005). No existe continuidad en la gestin de la direccin de la Unidad, debido a las polticas internas de designacin como Director de la UTIC a Oficiales en servicio activo, con especialidad en electrnica, no en sistemas e informtica, con periodos de cambio muy corto.(Art. 203-204 Reglamento General ESPE) Causa

126

Falta de polticas adecuadas para administracin de Recursos Humanos.

Efecto El establecer evaluaciones de requerimientos de asignacin de personal permite obtener una institucin adecuada en nmero y en habilidades, con roles y

responsabilidades definidos y comunicados, alineados con el negocio y que facilita la estrategia y provee la orientacin efectiva y el control adecuado.

Recomendacin PO27 Durante el primer trimestre del presente ao, el Director de Talento Humano establecer un procedimiento para evaluar los requerimientos y asignar personal competente de tecnologa de informacin.

Punto de vista

PO4.12 Descripcin de Puestos para el Personal de la Funcin de TI. Observacin PO28: La Descripcin de puestos para el personal de la UTIC, no se encuentra correctamente definida. Criterio

127

La Gerencia deber asegurar que las descripciones de los puestos para el personal de TI sean establecidas y actualizadas regularmente. Estas

descripciones de puestos debern delinear claramente tanto la responsabilidad como la autoridad, incluir las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo. Condicin Mediante estudio documental del Manual de Descripcin de Puestos y la Estructura Orgnica Funcional, podemos determinar que la descripcin de cargos establecidos, en relacin con las funciones que actualmente el personal ejerce, no se encuentran alineados. (Evidencia: DP-1, TH-2, TH-3) Causa Falta de Administracin de Recursos Humanos. Orgnico funcional y Descripcin de puestos establecido sin un proceso correcto de definicin. Falta de Gestin de la direccin de la UTIC. Falta de capacitacin de la UTH en lo que referencia a la descripcin de puestos de la UTIC. Efecto La falta de descripcin de puestos no permite definir la responsabilidad ni la autoridad en los cargos, se incurre en una seleccin inadecuada de personal que carece de habilidades y experiencia necesarias para el puesto, adems de que no se puede lograr evaluaciones de desempeo reales.

128

Recomendacin PO28 El Director de Talento Humano, realizar un anlisis de puestos de manera

tcnica, para definir el orgnico posicional de la UTIC, mediante el anlisis de necesidades y requerimientos reales que evite creacin de cargos innecesarios, adems de una descripcin de puestos que este acorde al nivel profesional que se necesita.

Punto de vista

PO4.13 Personal clave de TI Observacin PO29: No se ha definido el personal clave de la UTIC. Criterio La Gerencia de TI deber definir e identificar al personal clave de tecnologa de informacin. Condicin El director de la UTIC clasific a su personal en el siguiente orden de importancia: o Personal de GT3, Redes y Comunicaciones

129

o Personal de GT2, Soporte Tcnico o Personal de GT4 y GT5, Sistemas de Informacin. No existe documento de anlisis o designacin que evidencie la definicin de personal clave de TI (Evidencia: AUDI-ESPE-2007-ENT-005) Causa Falta de Administracin de Recursos Humanos. Falta de gestin de la Direccin de la UTIC Falta de polticas institucionales de TI.

Efecto La identificacin del Personal Clave de TI, muestra que hay procesos claros de direccin y control, con segregacin donde se necesita, especializacin donde se requiere y delegacin de autoridad donde sea beneficioso.

Recomendacin PO29 Dentro del primer trimestre del ao en curso, el Director de Talento Humano, con el apoyo del Director de la UTIC, establecer un procedimiento de anlisis y determinar el personal clave especfico de TI.

Punto de vista

130

PO4.14 Procedimientos y polticas para el personal contratado Observacin PO30: No existen polticas para controlar actividades del personal externo contratado por la UTIC. Criterio La Gerencia deber definir e implementar polticas y procedimientos relevantes, para controlar las actividades de consultores y dems personal externo contratado por la funcin de TI, para asegurar la proteccin de los activos de informacin de la organizacin Condicin La Unidad de Talento Humano en sus procesos no define un proceso para reclutamiento y contratacin de personal externo.(Evidencia TH3.1, TH3.2, TH3.3) La UTIC, no posee polticas o procedimientos establecidos para el tratamiento de personal externo contratado (Servicios ocasionales). (Evidencia AUDIESPE-2007-ENT-005) Causa Falta de una Administracin de Recurso humano. Falta de polticas establecidas institucionalmente, para el manejo de Personal externo contratado. Efecto La falta de Procedimientos y polticas para el personal contratado conlleva a poner en riesgo la proteccin de los activos de informacin de la organizacin.

131

Recomendacin PO30 El Director de Talento Humano, definir en el primer trimestre del ao en curso, el proceso de contratacin de personal externo (Servicios

Profesionales). El Director de la UTIC, establecer Procedimientos y polticas para el personal contratado, encaminadas a resguardar la seguridad de los activos de TI.

Punto de vista

PO4.15 Relaciones Observacin PO31: La UTIC no mantiene relaciones ptimas, fluidas e interactivas. Criterio La Gerencia de TI deber llevar a cabo las acciones necesarias para establecer y mantener una coordinacin, comunicacin y un enlace ptimos entre la funcin de TI y dems interesados dentro y fuera de la funcin de servicios de informacin (usuarios, proveedores, oficiales de seguridad, administradores de riesgos)

132

Condicin Las acciones para mantener la coordinacin, comunicacin y enlace de la UTIC con otras Unidades estn definidas en los procesos establecidos en el SGC, en cuyos diagramas de flujo se observa la participacin de cada unidad as como su responsabilidad sobre los procesos y la manera de relacin, coordinacin y comunicacin; las mismas que se realizan mediante reuniones entre los involucrados en los procesos y memorandos, que no siempre son efectivas (Evidencia: SGC, AUDI-ESPE-2007-ENT-004). Causa Falta de normatividad y entendimiento del rol de los sistemas de informacin en la organizacin. Efecto No establecer acciones de coordinacin, comunicacin y enlace, limita la participacin de la UTIC en procesos de decisin, para responder a las iniciativas clave del negocio y enfocndose en todas las necesidades corporativas de automatizacin.

Recomendacin PO31 En el primer trimestre del ao en curso, el Director de la UTIC, establecer procedimientos y polticas para mejorar la coordinacin, comunicacin y enlace de la Unidad con usuarios y proveedores.

Punto de vista

133

PO5. MANEJO DE LA INVERSIN EN TECNOLOGA DE LA INFORMACIN PO5.1 Presupuesto Operativo Anual para la Funcin de Servicios de informacin.Observacin PO32: El presupuesto asignado se fija nicamente de acuerdo a techos presupuestarios, sin evidencia de alternativas de financiamiento. Criterio La alta gerencia deber implementar un proceso de asignacin de presupuestos, para asegurar que un presupuesto operativo anual para TI sea establecido y aprobado en lnea con los planes a largo y corto plazo de la organizacin, as como con los planes a largo y corto plazo de tecnologa de informacin. Debern investigarse alternativas de financiamiento. Condicin El presupuesto anual asignado para la UTIC, no se fija de acuerdo a la priorizacin de necesidades institucionales, ni plan de infraestructura tecnolgica (PO3), sino nicamente de acuerdo a los techos presupuestarios de la ESPE y bajo criterios del staff (rector, HCP, directores de cada una de las unidades, planificacin), no existe evidencia del uso de otras alternativas de financiamiento, por lo que no siempre se asigna la totalidad del

134

presupuesto solicitado por las unidades. (Evidencia: AUDI-ESPE-2007ENT012). De acuerdo lo revisado para la conclusin del PO1 referente a planes estratgicos y portafolio de proyectos de TI, se evidencia que tampoco existen procedimientos para la asignacin de presupuesto alineados con objetivos estratgicos de la organizacin ya que NO existe un plan estratgico de UTIC. Cada usuario (en este caso las unidades) ponen el valor referencial a sus necesidades y no se realiza un anlisis real de los costos de proyectos (Evidencia: AUDI-ESPE-2007ENT-012). Causa Procedimientos de planificacin y priorizacin de proyectos no adecuados, centralismo no participativo. Efecto Al carecer de un plan de infraestructura tecnolgica, no se puede argumentar la necesidad y la importancia de la inversin en ella como para que pueda formar parte del POA aprobado y que se le asigne el presupuesto necesario. Al no hacer un anlisis del presupuesto solicitado o pedir dicho anlisis para presentar el presupuesto de los proyectos, se podra estar

sobredimensionando el costo de los mismos. Si el nico presupuesto con el que se cuenta es el techo presupuestario de la ESPE por medio de la asignacin por parte del ministerio, podra no

135

cubrirse la necesidad de presupuesto para poner en marcha proyectos necesarios para el avance de la institucin. Al realizar priorizaciones de los proyectos sin una base tcnica y sin revisar si el proyecto est alineado con el plan estratgico institucional, se estara aprobando proyectos que muchas de las veces no aportaran al logro de los objetivos institucionales.

Recomendacin PO32 El Director de la UDI, establecer un procedimiento para permitir la presentacin de los proyectos con un justificativo y anlisis de costos reales, adems de una seleccin apropiada de alternativas a la solucin del problema presentado, para que esto sirva para la priorizacin y aprobacin de los proyectos, en base de un instructivo apropiado, que considere el impacto de cada proyecto en el cumplimiento de los objetivos institucionales.

Punto de vista

PO5.2 Monitoreo de Costo Beneficio Observacin PO33: No existe monitoreo Costo- Beneficio Criterio

136

La Gerencia deber establecer un proceso de monitoreo de costos que compare los costos reales contra los presupuestados. Aun ms, los posibles beneficios derivados de la actividad de tecnologa de informacin debern ser identificados y reportados. Condicin No existe evidencia de anlisis costo-beneficio (Evidencia: anlisis proceso DS6 y AI1 referente a informacin sobre el desempeo y capacidad) que se realice como parte de la presentacin o monitoreo de proyectos, no se tiene un documento en donde se resuma o reporte el anlisis comparativo de lo presupuestado contra el gasto real, a pesar de que se tiene como evidencia los certificados de existencia de fondos (AUDI-ESPE-2007ENT-004); nicamente se realizan reportes en caso de gastos imprevistos, en los que se debe quitar el presupuesto asignado a otros proyectos para cubrir contingencias, porque esto debe informarse al Ministerio de Defensa. (Evidencia: AUDI-ESPE-2007ENT-012). No existe un control de gastos por parte de la UDI, ya que es responsable nicamente de la planeacin del gasto mas no del control de estos (Evidencia: AUDI-ESPE-2007ENT-012). De acuerdo al mapa de procesos provista por el SGC quien debe llevar este proceso es el Director Financiero (referencia: memo 2007-0216-SGC). No existen revisiones post-implementacin, de acuerdo con la informacin evaluada en el AI7. No se ha realizado un plan de disponibilidad de servicios de tecnologa (Evidencia correlacionada: anlisis Dominio Soporte y Servicios: DS3).

137

Causa No existe un plan estratgico de sistemas de informacin que se encuentre alineado con el institucional por lo cual no existe un aseguramiento de la alineacin de los proyectos con los objetivos de la institucin (referencia: PO1). Falta de cultura de monitoreo.

Efecto La ejecucin de los proyectos podran no estar brindando a la ESPE los beneficios esperados por su implementacin ni el aporte al cumplimiento de los objetivos institucionales. Se pueden incurrir en gastos innecesarios para la organizacin.

Recomendacin PO33 El Director de la UDI, establecer un procedimiento para la presentacin de los proyectos, con un anlisis justificativo de los beneficios que se percibirn al ejecutarlos. El Director de la UDI, establecer un procedimiento para el monitoreo de los proyectos, mediante una bitcora en la que se incluir el detalle de los gastos en que incurre el proyecto y la comparacin con lo presupuestado en cada actividad; luego de la implementacin de los proyectos se deber presentar un anlisis, para determinar si los proyectos permitieron alcanzar los beneficios esperados.

138

Punto de vista

PO5.3 Justificacin de Costo Beneficio Observacin PO34: No existe evidencia de anlisis que justifiquen costos de servicios y actividades de la UTIC Criterio Deber establecerse un control gerencial que garantice que los servicios que presta la funcin de TI, presenten un costo justificado y se encuentren en lnea con la industria. Los beneficios derivados de las actividades de tecnologa de informacin debern ser analizados en forma similar. Condicin De acuerdo a la informacin presentada en detalle en el dominio de Adquisicin e Implantacin (AI1), se conoce que por la cantidad de proyectos que en la ESPE se manejan, no existe un aseguramiento de la alineacin de los proyectos con los objetivos de la organizacin o con la industria. No se tiene evidencia que certifique que al momento de la evaluacin de aprobacin de proyectos, se revise toda la informacin presentada sobre el mismo.

139

 No existe anlisis justificativo de costos de los servicios y actividades de la UTIC (Evidencia: DS6 identificacin y asignacin de costos, AUDI-ESPE2007ENT-005) Causa No existe dicho control por parte del rea de planificacin de la ESPE, ya que nicamente se encargan de la planificacin del gasto mas no del anlisis de los proyectos y presupuestos presentados por cada una de las unidades. (AUDI-ESPE-2007ENT-012) En la investigacin del dominio Mantenimiento y Soporte (DS3

administracin de desempeo y capacidad), se seala que no se ha realizado un plan de disponibilidad de servicios de tecnologa, con el cual se pueda llevar un control adecuado del funcionamiento de los servicios de tecnologa implantados en la ESPE. La justificacin de la existencia o no de un servicio o si este debe permanecer activo o si est alineado con la industria actual, requiere de un monitoreo post-implementacin, bajo el cual se pueda justificar el seguir incurriendo en el costo de la existencia del mismo, monitoreo que de acuerdo con la informacin obtenida en el dominio de Adquisicin e implementacin (AI7 instalar y acreditar soluciones y cambios), no existe. Efecto Sin control o monitoreo sobre los proyectos que se llevan a cabo en la unidad, es imposible justificar la inversin en TI ni mantener credibilidad en los servicios.

140

Sin un anlisis de servicios y su disponibilidad, tampoco se puede llegar a una justificacin de los costos por mantenimiento y mejoramiento de los mismos.

Al no realizar un anlisis de que los servicios estn alineados con los objetivos de la organizacin, puede ser que estos servicios sean innecesarios y se estn incurriendo en gastos que no apoyan al crecimiento de la organizacin y a alcanzar sus objetivos.

Si no se mantiene un anlisis de costos, tampoco se puede cobrar por esos servicios a los usuarios, ni elaborar presupuestos adecuados para su desarrollo y mejora.

Recomendacin PO34 Hasta el primer trimestre del ao en curso, el Director de la UTIC, determinar el costo de los servicios que presta la unidad, incluyendo costos de inversin, operacin y mantenimiento. Durante el primer trimestre del ao en curso, el Director de la UDI, evaluar los servicios que presta la UTIC y determinar si los servicios que se estn prestando, aportan al cumplimiento de los objetivos y la visin de la institucin y con ello justificar su existencia, eliminacin o mejoramiento.

Punto de vista

141

PO6. COMUNICACIN DE LOS OBJETIVOS Y ASPIRACIONES DE LA GERENCIA PO6.1 Ambiente Positivo de Control de la Informacin Observacin PO35: No existen manuales de tica para la ESPE, ni evidencia de programas de concientizacin para fomentar ambiente de control positivo. Criterio Con el fin de proveer guas para el desempeo apropiado, evitar tentaciones de acciones no ticas y crear disciplina donde se requiera, la Gerencia deber crear un marco de referencia y un programa de concientizacin que fomente un

ambiente de control positivo a travs de toda la organizacin. Condicin De acuerdo a entrevista mantenida, la Procuradora de la ESPE, seala que no existe un cdigo de tica. (Evidencia: AUDI-ESPE-2007ENT-014) En el reglamento General de la ESPE, el captulo III referente a los valores institucionales, estipula que la conducta de todo el personal de la institucin, estar bajo la prctica de los valores enunciados en el artculo 4, pero se no enuncia sanciones en caso de incumplimiento de las mismas. Causa No se ha considerado la necesidad de creacin de manuales de tica, por falta de inters o por extremada confianza en el personal de la institucin.
142

Efecto Al no existir un cdigo de tica difundido nivel de la ESPE, ni programas que propicien esta actividad, la Institucin se encuentra sujeta a riesgos potenciales de comportamientos poco ticos, en la implantacin, uso y evaluacin de los sistemas de informacin.

Recomendacin PO35 Durante el primer trimestre del ao en curso, el Director de la UTIC, elaborar un cdigo de tica, gestionar su aprobacin y pondr en marcha un programa anual de concientizacin tica, para la implantacin, uso y evaluacin de los sistemas de informacin, en los que se incluyan normas de conducta y disciplina, estipulando sanciones en caso de ser infringidas.

Punto de vista

PO6.2 Responsabilidad de la Gerencia sobre las Polticas Observacin PO36: No existen polticas referentes a tecnologa de la informacin y se desconoce la responsabilidad acerca de su difusin. Criterio

143

La Gerencia deber asumir la responsabilidad completa de la formulacin, el desarrollo, la documentacin, la promulgacin y el control de polticas que cubran metas y directrices generales. Condicin No existen polticas definidas acerca de TI. (Evidencia: AUDI-ESPE-2007ENT005, AUDI-ESPE-2007ENT-014) El Reglamento General de la ESPE estipula que el encargado de proponer reformas a la normativa institucional y proponer proyectos de reglamentos, normas y otros es la Procuradura; en el mismo reglamento se determina que el director de la UTIC es quien debe tomar las acciones necesarias para la promulgacin y aprobacin de polticas de la unidad a la cual pertenece. (referencia: reglamento general de la ESPE, cap X, art 61, literal p y o) Causa Desconocimiento del encargado de promulgar las normativas sobre sistemas de informacin, que de acuerdo a la entrevista es el director de UTIC (referencia: AUDI-ESPE-2007ENT-014). Desconocimiento de las polticas expuestas en el reglamento general de la ESPE. Falta de conocimiento de estndares internacionales de seguridad de la informacin y la importancia de las mismas. Efecto

144

 Se incurre en riesgos en seguridad de informacin; causada por alteraciones, robo o prdida, que podra atentar contra la continuidad del negocio y el

objetivo de mejora continua.

Recomendacin PO36 Hasta el primer trimestre del ao en curso, el Director de la UDI, formular, desarrollar, documentar, promulgar y controlar la ejecucin de polticas que cubran metas y directrices generales, referidas a TI.

Punto de vista

PO6.3 Comunicacin de las Polticas de la Organizacin Observacin PO37: No existe evidencia de mtodos de comunicacin de polticas organizacionales. Criterio La Gerencia deber asegurar que las polticas organizacionales sean claramente comunicadas, comprendidas y aceptadas por todos los niveles de la organizacin. Condicin

145

 No existen Leyes y reglamentos especficos sobre TI (Evidencia: AUDI-ESPE2007ENT-005, AUDI-ESPE-2007ENT-014). El reglamento general de la ESPE, establece que procuradura est encargada de difundir la normatividad institucional y remitirla a la Unidad de Tecnologas de Informacin y Comunicacin para su publicacin en el portal institucional (referencia: Reglamento General de la ESPE, cap X, art 61, literal r). Causa No existen polticas de TI para ser difundidas. No existe una planificacin de comunicacin de polticas mediante el cual se asegure que el personal revis dicho reglamento. No existe diseado ni implantado un sistema de comunicacin organizacional. Efecto La falta de de polticas incrementan significativamente los riesgos en seguridad de los sistemas de informacin, especialmente en la deficiente operacin de ellos.

Recomendacin PO37 El Director de la UDI, disear y pondr en ejecucin un sistema de comunicacin organizacional, para comunicar las polticas institucionales referidas a TI.

Punto de vista

146

PO6.4 Recursos para la implementacin de Polticas. Observacin PO38: No existe evidencia de asignacin de recursos para implantacin de polticas de TI. Criterio La Gerencia deber destinar recursos para la implementacin de sus polticas y para asegurar su cumplimiento, de tal manera que ellas se construyan dentro y formen parte integral de las operaciones Condicin No existe evidencia de recursos asignados, considerando que no existen polticas de TI establecidas (Evidencia: AUDI-ESPE-2007ENT-005). De acuerdo al reglamento general de la ESPE, captulo XIV referente al DIRECTOR DE LA UNIDAD DE TECNOLOGAS DE LA INFORMACIN Y COMUNICACIN, artculo 202, literal k. Autoriza al director de la unidad a

promulgar polticas que le permitan su adecuada gestin, polticas que deben ser presentadas a procuradura para ser aprobadas e implantadas dentro del rea. Causa Falta de induccin y desconocimiento de la funciones del Director de la UTIC as como de las polticas institucionales a las que se rige. Efecto

147

Si no existen recursos para promulgar polticas, se promueve un desinters peligroso en cuanto al desarrollo de tecnologas de Informacin.

Recomendacin PO38 El Director de la UDI, gestionar la asignacin de recursos para la promulgacin de polticas de TI, a travs del sistema de comunicacin organizacional diseado e implantado.

Punto de vista

PO6.5 Mantenimiento de Polticas Observacin PO39: No existe evidencia de mantenimientos de polticas de TI, ya que estas no existen Criterio Las polticas debern ser ajustadas regularmente para adecuarse a las condiciones cambiantes. Condicin

148

No

existe

evidencia

de

los

mantenimientos

ya

que

tampoco

existen

reglamentaciones de TI (Evidencia: AUDI-ESPE-2007ENT-005, AUDI-ESPE2007ENT-014) Causa Falta de conocimiento de estndares internacionales referentes a TI y su gerenciamiento. Efecto Cuando no se actualizan las polticas de TI, estas pierden vigencia y aumentan los riesgos referidos y la institucin pierde competitividad.

Recomendacin PO39 El Director de la UDI, establecer un procedimiento semestral de revisin y actualizacin de polticas de TI, que ser ejecutado por el Director de la UTIC.

Punto de vista

PO6.6 Cumplimiento de Polticas, Procedimientos y Estndares Observacin PO40: No existe evidencia de procedimientos para monitorear si el personal de la institucin ha comprendido y cumplido la normatividad institucional. Criterio

149

La Gerencia deber asegurar que se establezcan procedimientos apropiados para determinar si el personal comprende los procedimientos y polticas

implementados, y que ste cumple con dichas polticas y procedimientos. Condicin No existen registros ni estudios relacionados con la comprensin y cumplimiento de normatividad institucional; de acuerdo a la entrevista mantenida con la Sra. Procuradora (referencia: AUDI-ESPE-2007ENT-014), seala que los encargados de vigilar el cumplimiento de los reglamentos y polticas son todas y cada una de las personal de la ESPE y se encuentra a cargo de todos los funcionarios de la misma en la medida de sus responsabilidades. Causa Desconocimiento del control interno. Efecto Si se desconoce que el personal comprenda las polticas, no existe seguridad en la implementacin de stas, ineficiencia e ineficacia.

Recomendacin PO40 El Director de la UTIC, establecer procedimientos apropiados para determinar si el personal comprende los procedimientos y polticas implementados, y que ste cumple con dichas polticas y procedimientos.

Punto de vista

150

PO6.7 Compromiso con la Calidad Observacin PO41: No se han definido ni documentado polticas ni objetivos de tI orientados hacia la calidad. Criterio La Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y las polticas de la corporacin a este respecto. Condicin No existe evidencia de manuales o documentacin de la UTIC especfica orientada hacia la calidad. Causa El control de calidad se encuentra centralizado en la UDI, pero la esta unidad no efecta gerenciamiento de TI. Efecto Es imposible conseguir calidad o certificarse sin el compromiso formal de la calidad, slo podra ser algo aparente pero no efectivo.

Recomendacin PO41

151

El Director de la UTIC, definir, documentar y mantendr una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y las polticas de la ESPE a este respecto.

Punto de vista

PO6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno. Observacin PO42: No existen polticas sobre el marco de referencia para la Seguridad y el Control Interno. Criterio La Gerencia deber asumir la responsabilidad total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca el enfoque general de la organizacin en cuanto a seguridad y control interno para establecer y mejorar la proteccin de los recursos de tecnologa de informacin. Condicin No existe evidencia de la emisin de polticas referidas a seguridad ni al cumplimento del control interno (Evidencia: AUDI-ESPE-2007ENT-014,

Reglamento general de la ESPE).

152

 El Director de Talento Humano, informa que esta direccin se encuentra a cargo de la funcin de Inteligencia y de control interno, segn determinan reglamentos militares para el efecto (Evidencia: AUDI-ESPE-2007ENT-013). Causa Desconocimiento de las mejores prcticas de TI.

Efecto No se puede establecer y mejorar la proteccin de los recursos de tecnologa de informacin.

Recomendacin PO42 El Director de la UDI, asumir la responsabilidad total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca el enfoque general de la organizacin en cuanto a seguridad y control interno de TI.

Punto de vista

PO6.9 Derechos de propiedad intelectual Observacin PO43: No existen polticas desarrolladas sobre derechos de propiedad intelectual.

153

Criterio La gerencia deber proveer e implementar una poltica por escrito sobre derechos de propiedad intelectual, que cubra el desarrollo de software, tanto interno como contratado a externos. Condicin No existe evidencia de polticas o reglamentos referidos a los Derechos de propiedad intelectual (Evidencia: AUDI-ESPE-2007ENT-014) Causa Desconocimiento de la aplicacin de Ley en la Institucin. No se han considerado las aplicaciones desarrolladas en tesis de grado.

Efecto Riesgo de piratera de software consecuencias. e incumplimiento de la ley con sus

Recomendacin PO43 La Procuradora de la ESPE, dentro del primer trimestre del ao en curso, presentar para su aprobacin por parte del Consejo Politcnico, el reglamento interno para la aplicacin de la Ley de propiedad intelectual en la ESPE.

Punto de vista

154

PO6.10 Polticas para Situaciones Especficas Observacin PO44: No existen polticas que se apliquen a situaciones especficas. Criterio Debern ponerse en prctica medidas que aseguren el establecimiento de polticas, para situaciones especficas con el fin de documentar las decisiones gerenciales con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares. Condicin En los reglamentos de la ESPE, no existe evidencia de normas referentes a polticas, procedimientos o tratamiento de situaciones particulares. (Evidencia: AUDI-ESPE-2007ENT-014) Causa No se han realizado polticas de TI generales, por lo que se concluye que tampoco se las ha realizado para el tratamiento de sistemas o aplicaciones particulares. Efecto Al presentarse algn tipo de situacin no conocida o que no se ha dado antes en la institucin, no existe ninguna poltica que permita tomar decisiones al respecto, creando incertidumbre y problemas legales.

155

Recomendacin PO44 El Director de la UTIC, mantendr un registro de situaciones especiales para asegurar el establecimiento de polticas, que permitan decisiones gerenciales con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares.

Punto de vista

PO6.11 Comunicacin para educar y concienciar (crear conciencia) sobre Seguridad de TI. Observacin PO45: No existe evidencia de procedimientos o campaas de concientizacin sobre seguridad de TI. Criterio Un programa de concientizacin sobre seguridad de TI debe comunicar las polticas de TI a cada usuario de TI y asegurar el completo entendimiento de la importancia de la seguridad de TI. Condicin Debido a la no existencia de polticas y reglamentos sobre seguridades, se puede concluir que no existen programas de concientizacin sobre la seguridad, ni se puede asegurar el entendimiento de las mismas por parte del usuario (Evidencia: AUDI-ESPE-2007ENT-014, AUDI-ESPE-2007ENT-005)
156

Causa Inexistencia de polticas de seguridad de TI. Efecto Al no tener el usuario conocimiento de la importancia de TI y de su colaboracin para la seguridad de informacin, podra convertirse en una fuente por medio de la cual se generen debilidades para la institucin.

Recomendacin PO45 El Director de la UTIC, disear un programa anual de concienciacin, para promover el conocimiento y prctica de polticas de seguridad; este programa incluir indicadores de evaluacin de la efectividad del programa, as como el procedimiento para esta evaluacin.

Punto de vista

PO7. ADMINISTRACIN DE RECURSOS HUMANOS PO7.1 Reclutamiento y Promocin de Personal Observacin PO46 No existe estructura orgnica funcional definida.

157

Criterio La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las prcticas de reclutamiento y promocin de personal tengan como base criterios objetivos y consideren factores como la educacin, la experiencia y la responsabilidad. Condicin La UTH tiene definido el subproceso de Reclutamiento de Personal dentro del proceso de Provisin de Personal (Evidencia: TH3.1), sin embargo no existe evidencia (registros) de las prcticas de reclutamiento y promocin de personal. En la UTIC, existen varias vacantes no atendidas desde hace ms de seis meses. (Evidencia: AUDI-ESPE-2007-ENT-005) La ESPE no posee orgnico funcional y numrico establecido, as como un manual de descripcin de cargos actualizado que permitan establecer de manera correcta los perfiles para los cargos de la UTIC. Se desconoce la forma en la que se designan Directores de la UTIC y su proceso de seleccin. CausaLa estructura orgnica funcional y administracin de personal, se encuentra en una reestructuracin con asesoramiento de la SENRES en cuanto a lo que tiene que ver con los tipos de contrato, remuneraciones, etc. (AUDI-ESPE-2007-ENT014) Efecto

158

La falta de una clara descripcin de puestos y la definicin de un orgnico funcional y numrico conlleva a la deficiencia en el desarrollo y mantenimiento de un plan de administracin de recursos humanos, que apoye al plan estratgico institucional.

Recomendacin PO46 En el primer trimestre del ao en curso, el Director de Talento Humano, implementar y evaluar regularmente los procesos necesarios para asegurar que las prcticas de reclutamiento y promocin de personal tengan como base criterios objetivos y consideren factores como la educacin, la experiencia y la responsabilidad.

Punto de vista

PO7.2 Personal Calificado Observacin PO47 La Gerencia de la Funcin de TI no realiza calificacin y procesos de educacin, entrenamiento y/o experiencia apropiados para el personal. Criterio

159

La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal que lleva a cabo tareas especficas, est calificado tomando como base una educacin, entrenamiento y/o experiencia apropiados, segn se requiera. Condicin La evaluacin de desempeo del personal, realizada la Unidad de Talento Humano, es de carcter general y de orden administrativo. No existe evaluacin por parte del Director de la UTIC en cuanto a tareas especficas y calificacin del personal de la UTIC. (AUDI-ESPE-2007-ENT-005) CausaNo existen procedimientos referidos a la evaluacin tcnica o seguimiento de actividades especficas en la ESPE, en general. Efecto Desconocimiento del nivel de eficiencia, capacidad y experiencia del personal, que redunde en el cumplimiento de los objetivos institucionales.

Recomendacin PO47 El Director de la UDI, definir durante el primer trimestre del ao en curso, las polticas necesarias para que las diferentes unidades evalen la capacidad tcnica del personal que las componen y elaboren requerimientos de capacitacin para el personal a su cargo. El Director de Talento Humano, elaborar y ejecutar el procedimiento para evaluar la capacidad tcnica a ms de la de desempeo.

160

 El Director de la UTIC, realizar evaluaciones peridicas al personal en cuanto a sus funciones roles y responsabilidades, que sean valoradas para

reconocimiento o correctivos especficos, con el objetivo de mantener Personal calificado.

Punto de vista

PO7.3 Roles y Responsabilidades Observacin PO48 - Los roles y responsabilidades que cumple el personal de la UTIC, no concuerda con los definidos. Criterio La Gerencia debe definir claramente los roles y responsabilidades del personal, incluyendo los requisitos para adherirse a las polticas y procedimientos establecidos por la gerencia, el cdigo de tica y las prcticas profesionales. Los trminos y condiciones de los cargos deben estrechar la responsabilidad de los empleados por la seguridad de la informacin y el control interno. Condicin El personal de la UTIC ejecuta funciones y actividades descritas por los procesos que maneja, sin embargo, estas no son realizadas a cabalidad. (Evidencia:AUDI-ESPE-2007-ENT 004, SGC)

161

 Del estudio documental realizado al orgnico funcional y manual de descripcin de cargos, se puede establecer que no existe concordancia entre el cargo descrito y las funciones que el personal desempea segn los procesos establecidos, porque estos se cumplen de acuerdo a la carga de trabajo. CausaFalta de responsabilidades de supervisin por parte de la Direccin de la UTIC. Efecto Riesgo de cumplimiento no adecuado de los procesos, que atenten contra la seguridad de informacin y control interno.

Recomendacin PO48 El Director de Talento Humano, durante el primer trimestre del ao en curso, definir claramente los roles y responsabilidades del personal, incluyendo los requisitos para adherirse a las polticas y procedimientos establecidos por la gerencia, el cdigo de tica y las prcticas profesionales. Los trminos y condiciones de los cargos deben estrechar la responsabilidad de los empleados por la seguridad de la informacin y el control interno.

Punto de vista

162

PO7.4 Entrenamiento de Personal Observacin PO49 - No existen programas de educacin y entrenamiento

dirigidos a incrementar habilidad tcnica y administrativa del personal. Criterio La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de conservar los conocimientos, habilidades, destrezas y conciencia de seguridad al nivel requerido, para la ejecucin efectiva de sus tareas. Condicin La UTH, establece en sus procesos el de Capacitacin y Entrenamiento de Personal (Evidencia: TH 5.1), sin embargo en este no se describe ningn Programa de educacin y entrenamiento para el personal. La capacitacin del Personal se establece mediante requerimientos presentados por cada Unidad; pero no existe anlisis ni planificacin que permita cumplir con los objetivos del Plan estratgico institucional. (Evidencia: TH5.1) CausaFalta de polticas referidas al tema. Efecto Riesgo de cumplimiento no adecuado de los procesos, que atenten contra la seguridad de informacin y control interno.

Recomendacin PO49

163

El Director de Talento Humano, implantar desde el primer semestre del ao en curso, un programa de capacitacin y entrenamiento de personal de TI, en base de los requerimientos institucionales (Plan estratgico Institucional y Plan estratgico Informtico), considerando el plan de carrera, el anlisis y clasificacin de cargos.

Punto de vista

PO7.5 Entrenamiento Cruzado o Respaldo de personal Observacin PO50 - No existen programas de educacin y entrenamiento

cruzado o respaldo de personal. Criterio La Gerencia deber proporcionar un suficiente entrenamiento cruzado o contar con personal de respaldo para personal clave identificado, con la finalidad de solucionar posibles ausencias. La Gerencia debe establecer planes de sucesin para todas las funciones y posiciones claves. Condicin Dentro de los procesos establecidos por la UTH, no existe alguno referido a entrenamiento cruzado o respaldo de personal (Evidencia: TH 5.1).

164

CausaFalta de polticas referidas al tema. Efecto La institucin corre el riesgo de depender de personas claves, para la continuidad en sus operaciones.

Recomendacin PO50 El Director de Talento Humano, establecer el procedimiento para proporcionar entrenamiento cruzado y contar con personal de respaldo para personal clave identificado y lo pondr en ejecucin desde el primer trimestre del ao en curso. El Director de la UTIC, establecer planes y procedimiento de sucesin de personal clave, desde el primer trimestre del ao en curso.

Punto de vista

PO7.6 Procedimientos de Acreditacin de Personal Observacin PO51 Personal. Criterio - No existen procedimientos para la acreditacin de

165

La Gerencia de TI deber asegurar que su personal se sujete a una revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo delicado o sensible del puesto. Un empleado que no haya pasado por este procedimiento de revisin o acreditacin al ser contratado por primera vez, no deber ser colocado en un puesto delicado hasta que ste haya obtenido la acreditacin de seguridad. Condicin Dentro del proceso de Reclutamiento de personal, no existe un procedimiento de revisin o acreditacin de seguridad antes de ser contratado, ni polticas acerca de la ubicacin inicial del personal contratado (Evidencia: TH3.2) CausaFalta de normatividad referida al tema. Efecto Riesgo de cumplimiento no adecuado de los procesos, que atenten contra la seguridad de informacin y control interno.

Recomendacin PO51 El Director de Talento Humano, desde el primer trimestre del ao en curso implantar un procedimiento para asegurar que el personal de TI, se sujete a una revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo delicado o sensible del puesto. Un empleado que no haya pasado por este procedimiento de revisin o acreditacin al ser

166

contratado por primera vez, no deber ser colocado en un puesto delicado hasta que ste haya obtenido la acreditacin de seguridad.

Punto de vista

PO7.7 Evaluacin de Desempeo de los Empleados Observacin PO52 - La evaluacin de desempeo, no es de trascendencia ni apoya a la ESPE en sus objetivos. Criterio La Gerencia deber implementar un proceso de evaluacin de desempeo de los empleados, reforzadas con un efectivo sistema de recompensas que sea diseado para ayudar a los empleados a entender la conexin entre su desempeo y el xito de la organizacin. La evaluacin debe ser realizada segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando lo requiera. Condicin Dentro del macroproceso de Gestin del Talento Humano, se encuentra el proceso para evaluacin del desempeo de Personal, pero no existen registros

167

de estas evaluaciones, ni anlisis en base a ellas para incentivos, ascensin de cargos, etc. (Evidencia: AUDI-ESPE-2007- ENT-014, TH4.1) Las evaluaciones realizadas, no reflejan la conexin entre su desempeo y el xito de la organizacin. CausaFalta de normatividad referida al tema. Efecto Riesgo de mantener personal desmotivado, poco eficaz y eficiente en el desenvolvimiento de sus funciones.

Recomendacin PO52 El Director de Talento Humano, desde el primer semestre del ao en curso, implementar un proceso de evaluacin de desempeo de los empleados, reforzadas con un efectivo sistema de recompensas que sea diseado para ayudar a los empleados a entender la conexin entre su desempeo y el xito de la organizacin. La evaluacin ser realizada segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados recibirn asesora sobre su desempeo o su conducta cuando se requiera.

Punto de vista

168

PO7.8 Cambio y Terminacin de Trabajo Observacin PO53 - No existe proceso definido para el cambio y terminacin de trabajo. Criterio La Gerencia debe asegurar que se tomen acciones apropiadas y a tiempo en cuanto a cambios y terminacin de trabajo para que los controles internos y de seguridad no se vean perjudicados por estos eventos. Condicin Dentro del macroproceso de Gestin del Talento Humano, no existen procesos para el cambio y terminacin de trabajo. (Evidencia: TH1.1) CausaFalta de normatividad referida al tema. Efecto Riesgo de acceso indebido a los sistemas de informacin, fraude, sabotaje y otras acciones, que atenten contra la seguridad de informacin.

Recomendacin PO53 El Director de Talento humano, desde el primer trimestre del ao en curso, implantar un procedimiento para asegurar que se tomen acciones apropiadas y a tiempo en cuanto a cambios y terminacin de trabajo para que los controles internos y de seguridad no se vean perjudicados por estos eventos.

169

Punto de vista

PO8. ASEGURAMIENTO DE CUMPLIMIENTO DE REQUERIMIENTOS EXTERNO PO8.1 Revisin de Requerimientos Externos Observacin PO54- No existe revisin de requerimientos externos para el aseguramiento del cumplimiento de los mismos. Criterio La organizacin deber establecer y mantener procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La

investigacin continua deber determinar los requerimientos externos aplicables en la organizacin. Condicin La UTIC no posee un procedimiento para establecer y mantener los requerimientos externos y para la coordinacin de estas actividades; no existen definidos controles internos para el cumplimiento de leyes y reglamentos referidos a TI del Ecuador.

170

 No existe evidencia de anlisis de requerimientos legales, gubernamentales o cualquier otro requerimiento externo relacionado con las prcticas y controles de tecnologa de informacin. (Evidencia: AUDI-ESPE-2007- ENT-014) Causa Falta de polticas que contenga la definicin de Requerimientos externos y su prioridad para la UTIC y la institucin. Falta de aplicacin del Control Interno en la UTIC. Falta de capacitacin sobre el tema al personal de la UTIC. Falta de responsabilidad de supervisin. Efecto Riesgo de infrinjir eventualmente leyes y reglamentos tanto internos como externos.

Recomendacin PO54 El Director de la UDI, desde el primer trimestre del ao en curso, establecer un procedimiento para la revisin de requerimientos externos y para la coordinacin de estas actividades.

Punto de vista

171

PO8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos Observacin PO55 - No existen prcticas ni procedimientos para el cumplimiento de requerimientos externos. Criterio Las prcticas organizacionales debern asegurar que se lleven a cabo oportunamente las acciones correctivas apropiadas para garantizar el

cumplimiento de los requerimientos externos. Adems, debern establecerse y mantenerse procedimientos adecuados que aseguren el cumplimiento continuo. A este respecto la Gerencia deber solicitar apoyo legal en caso necesario. Condicin En la UTIC, no existen prcticas ni normas establecidas para el cumplimiento de requerimientos externos. (Evidencia: AUDI-ESPE-2007-ENT-005 y AUDI-ESPE2007-ENT-014) Causa Falta de polticas que contenga la definicin de Requerimientos externos y su prioridad para la UTIC y la institucin. Falta de aplicacin del Control Interno en la UTIC. Falta de capacitacin sobre el tema al personal de la UTIC. Falta de responsabilidad de supervisin. Efecto

172

Riesgo de infringir eventualmente leyes y reglamentos tanto internos como externos.

Recomendacin PO55 El Director de la UDI, desde el primer trimestre del ao en curso, implantar procedimientos y prcticas organizacionales para asegurar que se lleven a cabo oportunamente acciones correctivas que garanticen el cumplimiento de los requerimientos externos en forma continua, solicitar apoyo legal en caso necesario.

Punto de vista

PO8.3 Cumplimiento de Seguridad y Ergonoma Observacin PO56 - No existe evidencia de estndares de seguridad y

ergonoma del ambiente de trabajo para usuarios y personal de TI. Criterio La Gerencia deber asegurar el cumplimiento de los estndares ergonmicos y de seguridad en el ambiente de trabajo de los usuarios y el personal de TI. Condicin

173

 La unidad encargada de la seguridad de la ESPE no conoce del tema (Evidencia: Entrevista AUDI-ESOE-2007-ENT-013). Existe un manual de seguridad fsica de la ESPE, pero tampoco existe evidencia de su aplicacin. CausaFalta de normatividad referida al tema. Efecto Riesgos de infraccin de normas de seguridad y ergonoma en el trabajo.

Recomendacin PO56 El Director de la UDI, desde el primer trimestre del ao en curso, establecer polticas y normas que permitan asegurar el cumplimiento de los estndares ergonmicos y de seguridad en el ambiente de trabajo de los usuarios y el personal de TI.

Punto de vista

PO8.4 Privacidad, propiedad intelectual y Flujo de Datos

174

Observacin PO57: No existe evidencia de controles establecidos para la ejecucin y cumplimiento de la ley de propiedad intelectual, ni polticas, controles o reglamentos para la regulacin de la privacidad y flujo de datos. Criterio La Gerencia deber asegurar el cumplimiento de las regulaciones sobre privacidad, propiedad intelectual, flujo de datos a entes externos y regulaciones aplicables a las prcticas de tecnologa de informacin de la organizacin. Condicin La ESPE no posee controles internos definidos para asegurar el cumplimiento de regulaciones sobre privacidad, propiedad intelectual, flujo de datos a entes externos y criptografa aplicable a las prcticas de tecnologa de la informacin. (Evidencia: AUDI-ESPE-2007- ENT-014) Causa Falta de Definicin de Polticas de control interno en al UTIC. Falta de capacitacin acerca del tema en el personal de la UTIC. Falta de responsabilidad de seguimiento. Efecto Riesgo de infringir eventualmente leyes y reglamentos relacionados con la privacidad, propiedad intelectual y flujo de datos que conlleven a sanciones y demandas a la Institucin.

Recomendacin PO57

175

El Director de la UDI, durante el primer trimestre del ao en curso, establecer las polticas y normas necesarias para asegurar el cumplimiento de las regulaciones sobre privacidad, propiedad intelectual, flujo de datos a entes externos y

regulaciones de criptografa aplicables a las prcticas de tecnologa de informacin de la organizacin.

Punto de vista

PO9. ANLISIS DE RIESGOS PO9.1 Evaluacin de Riesgos del Negocio Observacin PO58: No existe evaluacin sistemtica de riesgos. Criterio La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos del negocio, al que deber incorporar una evaluacin regular de los riesgos de informacin relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. Condicin

176

 No existe un proceso para la Evaluacin e Identificacin de Riesgos del negocio, ni un marco de referencia relacionado. (Evidencia: AUDI-ESPE-2007-ENT-005) Existe un Plan de Contingencias, que determina medidas para evitar los riesgos listados en el documento, sin embargo no existen polticas de manejo de riesgos, formalmente definidas; la informacin para la identificacin de riesgos provino de los coordinadores de cada rea de la UTIC, mas no se realiz un estudio sistemtico fundamentado en resultado de auditoras, inspecciones o incidentes. (Evidencia: Plan de Contingencia) CausaFalta de normatividad referida al tema. Efecto - La falta de evaluacin e identificacin de riesgos, incide en la falta de polticas para el control de los mismos. - Un Plan de contingencias elaborado con riesgos improbables no tiene validez y desva peligrosamente la atencin de los objetivos del plan y la continuidad del negocio.

Recomendacin PO58 El Director de la UDI, durante el primer semestre del ao en curso, establecer un procedimiento de evaluacin sistemtica de riesgos del negocio, que incorpore una evaluacin regular de los riesgos de informacin relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable.

177

Punto de vista

PO9.2 Enfoque de Evaluacin de Riesgos Observacin PO59: No existe evidencia del establecimiento de un enfoque general para la evaluacin de riesgos (alcance, lmites, metodologa,

responsabilidades y habilidades). Criterio La Gerencia deber establecer un enfoque general para la evaluacin de riesgos en TI, que defina el alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. Condicin El plan de contingencia contiene un anlisis de riesgos enfocado de forma general a la ESPE, pero no se contempla los activos de TI. (Evidencia: Plan de Contingencias, entrevista No. AUDI-ESPE-2007-ENT-015 ) No se ha designado al responsable de la seguridad, quien deber identificar soluciones para la mitigacin de riesgos y vulnerabilidades. (Evidencia: GT1.4, entrevista No. AUDI-ESPE-2007-ENT-015) CausaFalta de normatividad y capacitacin en el tema.
178

Efecto Escasa capacidad de reaccin ante eventos imprevistos que inciden en la continuidad del negocio.

Recomendacin PO59 El Director de la UDI, desde el primer trimestre del ao en curso, establecer una poltica general para la evaluacin de riesgos que defina el alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas (ANLISIS CUANTITATIVO DE RIESGOS (ACR)). El Director de la UTIC en el primer trimestre del ao en curso designar al responsable de seguridad de la informacin.

Punto de vista

PO9.3 Identificacin de Riesgos Observacin PO60: No existe Identificacin de riesgos especficos para TI. Criterio

179

La evaluacin de riesgos deber enfocarse al examen de los elementos esenciales de riesgo y las relaciones causa/efecto entre ellos. Los elementos esenciales de riesgo incluyen activos tangibles e intangibles, valor de los activos, amenazas, vulnerabilidades, protecciones, consecuencias y probabilidad de amenaza. El proceso de identificacin de riesgos debe incluir una clasificacin cualitativa y, donde sea apropiado, clasificacin cuantitativa de riesgos y debe obtener insumos de las tormentas de ideas de la Gerencia, de planeacin estratgica, auditoras anteriores y otros anlisis. El anlisis de riesgos debe considerar el negocio, regulaciones, aspectos legales, tecnologa, comercio entre socios y riesgos del recurso humano Condicin La informacin para la identificacin de riesgos provino de los coordinadores de cada rea constitutiva de la UTIC, mas no se realizan un estudio sistemtico o un fundamento en resultado de auditoras, inspecciones e incidentes. (Evidencia: AUDI-ESPE-2007- ENT-005) Los riesgos ms relevantes para la UTIC son: Terremoto, Erupcin, Inundacin, Robo, Errores, Tormentas Elctricas, Infeccin de Virus. No se analiza riesgos como el Avance Tecnolgico. (Evidencia: Plan de Contingencia) El Plan de Contingencia no tiene ninguna incidencia en el Plan RI, ni en el Plan de Adquisiciones Tecnolgicas. (Evidencia: AUDI-ESPE-2007- ENT-004) Causa Falta de un Plan estratgico informtico que contenga la administracin de riesgos como estrategia para la funcin de TI. No se ha identificado la informacin crtica o equipos crticos de la ESPE.

180

 Falta de capacitacin en referencia a este tema. Efecto Escasa capacidad de reaccin ante eventos imprevistos que inciden en la continuidad del negocio.

Recomendacin PO60 El Director de la UTIC, desde el primer trimestre del ao en curso, implantar un procedimiento para la evaluacin de riesgos, que contemplar un examen de los elementos esenciales de riesgo y las relaciones causa/efecto entre ellos, tomar como referencia las libreras ITIL.

Punto de vista

PO9.4 Medicin de Riesgos Observacin PO61: La medicin de riesgos establecida no demuestra su incidencia en TI. Criterio El enfoque de la evaluacin de riesgos deber asegurar que la informacin del anlisis de la identificacin de riesgos genere como resultado una medida

181

cuantitativa y/o cualitativa del riesgo al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin de riesgos de la organizacin. Condicin El plan de contingencias vigente contiene la identificacin de riesgos, pero no existe anlisis ni medicin cuantitativa o cualitativa de riesgos de TI. Causa Falta de capacitacin en referencia a este tema. Falta de responsabilidad de supervisin. Efecto Deficiencia en la elaboracin del plan de contingencias, riesgo en la continuidad del negocio.

Recomendacin PO61 El Director de la UTIC, desde el primer trimestre del ao en curso, implantar un procedimiento para la medicin y actualizacin de riesgos y designar a un responsable para tal efecto.

Punto de vista

182

PO9.5 Plan de Accin contra Riesgos Observacin PO62: No existe Plan de Accin contra Riesgos. Criterio El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que el costo efectividad de los controles y las medidas de seguridad que mitiguen los riesgos en forma continua. El plan de accin contra los riesgos debe identificar la estrategia de riesgos en trminos de evitar, mitigar o aceptar el riesgo. Condicin Existe un Plan de Contingencias, pero no existe en forma especfica un Plan de accin contra riesgos, que asegure la efectividad de los controles y las medidas de seguridad que mitiguen los riesgos en forma continua. (Evidencia: Plan de Contingencia) CausaFalta de capacitacin en referencia a este tema. Efecto Deficiencia en la elaboracin del plan de contingencias y riesgo en mantener la continuidad en el negocio.

Recomendacin PO62

183

El Director de la UTIC, desde el primer trimestre del ao en curso, implantar un procedimiento para asegurar la actualizacin del plan de riesgos o contingencias y designar a un responsable para tal efecto.

Punto de vista

PO10. DEFINIR LA ADMINISTRACIN DE LOS PROYECTOS PO10.1 Marco de Referencia para la Administracin de Proyectos Observacin PO63: Existe un formato, mas no un marco de referencia formalmente definido para la administracin de proyectos. Criterio Establecer un marco de referencia general para la administracin de proyectos. Definicin de los alcances, lmites y metodologa de administracin de cada uno de los proyectos a ser emprendido. Asignacin de responsabilidades, la determinacin de tareas, la elaboracin de presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones. Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de referencia de administracin de proyectos. Las tareas de

184

aseguramiento debern apoyar la acreditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios. Condicin Existe un formato para la presentacin de proyectos, emitido por la UDI, mas no existe un procedimiento detallado y formalmente establecido que defina alcances, lmites y metodologa de administracin de cada uno de los proyectos a ser emprendido. (Evidencia: GT1-6) De acuerdo al proyecto "ACTUALIZAR Y AMPLIAR LA INFRAESTRUCTURA DE EQUIPOS INFORMTICOS DEL REA ACADMICA PARA LA ESPE SANGOLQU Y SEDES", se puede notar que en el punto referente a metodologa se realiza nicamente, un desglose de las actividades a cubrir para la consecucin del proyecto pero no se explica la metodologa a emplearse. La mayor parte de los proyectos se refieren a adquisiciones, en donde interviene personal de la UTIC, en vez de la Unidad de Logstica, distorsionndose la funcin de la UTIC. Causa Desconocimiento de estndares de metodologas para seguimiento de proyectos. No existe una definicin del papel que desempear la UTIC al fungir como unidad de apoyo en algunos proyectos. Efecto

185

Desorden y falta de control en la planificacin, ejecucin y evaluacin de proyectos, que redunda en riesgo potencial de falla en la eficacia de las acciones para el cumplimiento de los objetivos institucionales.

Recomendacin PO63El Director de la UDI, desde el primer trimestre del ao en curso, establecer e implantar un marco de referencia general para la administracin de proyectos, en el que se incluir la definicin del alcance, lmites y metodologa de administracin de cada uno de los proyectos a ser emprendido, asignacin de responsabilidades, determinacin de tareas, elaboracin de presupuestos de tiempo y recursos, beneficios que contraera la ejecucin del proyecto, determinacin de avances, puntos de revisin y aprobaciones. Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de referencia de administracin de proyectos, estas tareas debern apoyar la acreditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios. Realizar la capacitacin al personal sobre este marco de referencia y evaluar su difusin y aplicacin.

Punto de vista

186

PO10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos Observacin PO64: La participacin del usuario no se encuentra normada. Criterio El marco de referencia de la administracin de proyectos de la organizacin deber fomentar la participacin del departamento usuario afectado en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin. Condicin La participacin del usuario, se realiza nicamente para presentar sus requerimientos para el proyecto y a la finalizacin del mismo, en caso de que su requerimiento haya sido atendido (Evidencia: proyecto "Actualizar y ampliar la infraestructura de equipos informticos del rea acadmica para la ESPE Sangolqu y Sedes"). No existe monitoreo postimplementacin por parte del usuario, en concordancia en el dominio de Adquisicin e Implantacin (AI7). Las unidades acadmicas, por contar con presupuesto para un proyecto, realizan adquisiciones por su cuenta (software, hardware), sin participacin de la UTIC o contando con la UTIC nicamente para la elaboracin de las bases tcnicas (Evidencia: entrevistas AUDI-ESPE-2007ENT-003). Causa No existe normatividad en cuanto a participacin del usuario se refiere. Efecto

187

 Se pierde el control del proyecto y se incrementa el riesgo de ineficacia e ineficiencia del proyecto. Prdida de credibilidad en las funciones de la UTIC. Arbitrariedad en la seleccin de alternativas de cumplimiento de necesidades.

Recomendacin PO64El Director de la UDI, desde el primer trimestre del ao en curso, establecer polticas que permitan fomentar la participacin del departamento usuario afectado en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin.

Punto de vista

PO10.3 Miembros y Responsabilidades del Equipo del Proyecto Observacin PO65: No existen polticas formalmente aprobadas para la designacin de miembros del equipo de proyecto, ni responsabilidades especficas de los participantes en los proyectos. Criterio

188

El marco de referencia de administracin de proyectos de la organizacin deber especificar las bases para asignar a los miembros del personal al proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto. Condicin La asignacin de personal a los proyectos segn el reglamento interno de la ESPE, se realiza dependiendo del perfil del proyecto, no necesariamente ser una persona miembro de la UTIC. Al asignar un proyecto a la UTIC, ste a su vez es asignado a uno o varios Grupos de gestin dependiendo de la ndole del proyecto, a la persona responsable se le designa considerando su carga de trabajo. (Evidencia: AUDIESPE-2007ENT-004) Se ha encargado de adquisiciones de software a la Ing. M. Cristina Lemos (GT4); y de adquisiciones de hardware se encarga directamente GT1 pero con el apoyo de la revisin de bases tcnicas en GT2, a pesar de que este proceso es responsable la Direccin de Logstica(Evidencia: memorando 2007-0216SGC, RF.1.1). En algunas ocasiones el responsable del proyecto es enviado en prestacin de servicios y se realiza una reasignacin del mismo. Causa No existe una base tcnica para asignar la persona responsable ni al equipo. Para enviar a personal en prestacin de servicios, no se analiza previamente si dicha persona est ya asignada a un proyecto ya aprobado (referencia: AUDIESPE-2007ENT-001, 002, 003, 004).
189

 Existe una mala definicin del proceso de adquisiciones ya que es parte tanto del proceso de compras de logstica, como del de la gestin tecnolgica, por lo que no se sabe realmente quien es el responsable. Efecto Si el personal asignado para los proyectos no tiene el conocimiento tcnico suficiente, existe riesgo en el cumplimiento eficaz y eficiente del proyecto. La falta de una designacin formal del responsable del proyecto, puede producir especulacin al respecto dentro de la unidad y causar malestares entre las personas que posiblemente estaran a cargo de los mismos. La asignacin de proyectos de acuerdo a la carga de trabajo del personal no es totalmente efectiva, ni se la puede conocer a ciencia cierta, ya que no existen anlisis reales de cargas de trabajo del personal de la UTIC.

Recomendacin PO65El Director de la UDI, desde el primer trimestre del ao en curso, establecer polticas y normativa para asignar a los miembros del personal de los proyectos y definir las responsabilidades y autoridades de los miembros del equipo del proyecto de manera formal.

Punto de vista

190

PO10.4 Definicin del Proyecto Observacin PO66: No existe definicin clara de proyectos en cuanto al alcance y lmites. Criterio El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro y por escrito que defina la naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo empiecen. Condicin A pesar de que existe un formato en el cual se presentan los proyectos para someterlos a aprobacin, no se encuentra una definicin clara de los alcances del mismo (Evidencia: GT1-6). No existe una metodologa formalmente definida para el desarrollo de proyectos. Causa No existen procesos definidos ni reglamentacin completa al respecto. Efecto Al no saber exactamente lo que se pretende conocer por medio de cada uno de los puntos expuestos en el formato, se pueden presentar datos innecesarios, errneos, poco importantes e incluso que puedan no servir como argumentos para la presentacin y validacin de los proyectos. Al no definir los alcances del proyecto correctamente, se puede

sobredimensionar lo que realmente se desea alcanzar con la ejecucin del

191

mismo y traera consigo informacin equivocada e incluso podra no alcanzarse lo propuesto en el proyecto.

Recomendacin PO66Desde el primer trimestre de ao en curso, el Director de la UDI, implementar y evaluar el cumplimiento de polticas y normativa para definir la naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo empiecen, se analizar el formato de presentacin de los proyectos, de manera que se defina en cada uno de los puntos la informacin que se debe enfocar en ellos, y definir en donde se debe puntualizar el alcance que tendr el proyecto.

Punto de vista

PO10.5 Aprobacin del Proyecto Observacin PO67: No existen anlisis reales de factibilidad de los proyectos, ni evidencia de que la alta gerencia revise cada uno de los puntos de la presentacin de los proyectos incluyendo su factibilidad. Criterio El marco de referencia de administracin de proyectos de la organizacin deber asegurar que la alta gerencia de la organizacin revise los reportes de los

192

estudios de factibilidad relevantes para cada proyecto propuesto, como una base para fundamentar la decisin de proceder con el proyecto. Condicin No existe evidencia de que se emplea un procedimiento para revisar todos y cada uno de los elementos de un proyecto para su aprobacin, a pesar de que se utiliza un formato para su presentacin. No existe anlisis de factibilidad ni de riesgos en la presentacin y aprobacin de proyectos (evidencia: proyectos: "Actualizar y ampliar la infraestructura de equipos informticos del rea acadmica para la ESPE Sangolqu y Sedes", ESPE digital). La aprobacin o desaprobacin de los proyectos, se la realiza en una reunin de staff; pero no se conoce bajo que procedimientos de priorizacin se los aprueba. Causa Desconocimiento del personal sobre anlisis de factibilidad. No existe procesos definidos ni reglamentacin completa. Efecto Existe un riesgo potencial de fracaso o retardo en la ejecucin del proyecto. Riesgo potencial de realizar una priorizacin no adecuada, que redunde en el incumplimiento de los objetivos institucionales y se empleen recursos en forma ineficiente.

Recomendacin PO67-

193

El Director de la UDI, desde el primer trimestre del ao en curso, establecer y pondr en ejecucin polticas y normativas que permita asegurar que la alta gerencia de la organizacin, revise los reportes de los estudios de factibilidad relevantes para cada proyecto propuesto, como una base para fundamentar la decisin de aprobarlo.

Punto de vista

PO10.6 Aprobacin de las Fases del Proyecto. Observacin PO68: No existe evidencia de polticas o normatividad referente al diseo de proyecto en fases ni aprobacin de las fases del proyecto. Criterio El marco de referencia de administracin de proyectos de la organizacin deber disponer que los Gerentes designados en representacin de las funciones del usuario y de los servicios de TI aprueben el trabajo realizado en cada fase del ciclo antes de iniciar los trabajos de la siguiente fase. Condicin En el documento de planificacin de los proyectos, no se define hitos de revisin y aprobacin formal del avance del proyecto por fases; el formato que se utiliza no prev esta actividad.

194

 La participacin de usuarios como personal que podra aprobar o no la finalizacin una fase de un proyecto no se ha establecido formalmente.. Existe una aprobacin emprica y no formal en proyecto de desarrollo de aplicaciones, esta nicamente se la hace verbalmente con el usuario que haya hecho el requerimiento, no existen actas de revisin de todos los sistemas. En el proyecto "Actualizar y ampliar la infraestructura de equipos informticos del rea acadmica para la ESPE Sangolqu y Sedes" existe una definicin de fases de acuerdo al equipamiento a adquirir en cada una de las fases, ms no se hace constar puntos de revisin. Causa Falta de polticas y normatividad al respecto Efecto Dificulta el seguimiento de los proyectos. Se propicia reclamos no fundamentados al no contar con documentos formales de aceptacin de las fases del proyecto y no existira un aval de que se satisfacen las necesidades del usuario.

Recomendacin PO68 El Director de la UDI, desde el primer trimestre del ao en curso, establecer e implantar polticas y normas para definir fases dentro del proceso de planificacin, ejecucin y evaluacin de proyectos y dispondr que los representantes designados como usuarios conjuntamente con los representantes de los servicios de TI aprueben el trabajo realizado en cada fase del ciclo antes

195

de iniciar los trabajos de la siguiente fase; esta aprobacin ser formal y constar en actas legalmente suscritas por los representantes.

Punto de vista

PO10.7 Plan Maestro del Proyecto Observacin PO69: No existe evidencia de plan maestro de proyectos. Criterio Creacin de plan maestro aprobado para cada uno de los proyectos en el cual se monitoreen los proyectos durante toda su vida que incluya tiempo y costos. Existencia de plan de proyecto con objetivos, recursos, responsables e informacin que permita medir los avances del proyecto. Condicin No existe monitoreo de los proyectos. No existen definidos puntos de revisin en los proyectos.(Evidencia: PO10.6) La persona a la cual se le asigne la responsabilidad del proyecto lo lleva de acuerdo a su criterio y las revisiones del estado de un proyecto nicamente se hace el momento en el que algn superior solicita saber el estado o el avance del mismo (Evidencia: AUDI-ESPE-2007ENT-003).

196

 En el formato en el cual se presentan los proyectos existe una definicin de un cronograma para la ejecucin de los proyectos y en caso de no cumplirse con dichos tiempos, se presenta un informe indicando la razn del suscitado. Dentro de los procesos del SGC (referencia: 2007-0216-SGC GT.1.1), se establece que el encargado de realizar el seguimiento de los proyectos es GT1, pero se desconoce como realizan este seguimiento, ya que las mismas unidades a las que estn asignados los proyectos no siempre realizan el seguimiento y este debera ser reportado a GT1 para su consolidacin. Causa En el formato de los proyectos no existe una definicin de puntos de revisin. No existe un seguimiento de proyectos formalizado. Efecto No se puede conocer con certeza el avance de los proyectos o el momento en el que se han retrasados. Falta de coordinacin entre el seguimiento que hacen cada una de las unidades con las que hace GT1. retraso

Recomendacin PO69 El Director de la UDI, desde el primer trimestre del ao en curso, establecer y pondr en ejecucin polticas y normativas para monitorear los proyectos utilizando un plan maestro de seguimiento y evaluacin; el plan de proyecto

197

contendr objetivos, recursos, responsables e informacin que permita medir los avances del proyecto.

Punto de vista

PO10.8 Plan de Aseguramiento de la Calidad del Sistema Observacin PO70: No existe un plan de aseguramiento de calidad de sistemas de informacin. Criterio La Gerencia deber asegurar que la implementacin de un sistema nuevo o la modificacin de otro incluya la preparacin de un plan de calidad que sea integrado posteriormente al plan maestro del proyecto y que sea formalmente revisado y acordado por todas las partes interesadas. Condicin No existe un plan formalmente aprobado que asegure la calidad con la que se modifiquen o implementen sistemas nuevos o ya existentes (Evidencia: AUDIESPE-2007ENT-003). No existe un estndar en el que se permita el acceso a los usuarios de los distintos sistemas, porque cada usuario, a pesar de que tuviera el mismo perfil, muchas veces tiene distintos requerimientos.

198

Causa Falta de polticas y normatividad al respecto Efecto Seguimiento inadecuado de control de cambios y fallas en la calidad sistemas. de los

Recomendacin PO70 El Director de la UDI, desde el primer trimestre del ao en curso, establecer e implantar polticas y normas para asegurar que la implementacin de un sistema nuevo o la modificacin de otro incluya la preparacin de un plan de calidad que sea integrado posteriormente al plan maestro del proyecto y que sea formalmente revisado y acordado por todas las partes interesadas.

Punto de vista

PO10.10 Administracin Formal de Riesgos de Proyectos Observacin PO71: El anlisis de riesgos en los proyectos es incompleto. Criterio

199

La Gerencia deber implementar un programa de administracin formal de riesgos de proyectos, para eliminar o minimizar los riesgos asociados con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan la posibilidad de causar cambios no deseados). Condicin A pesar de que el formato de presentacin contiene el punto referente al anlisis de riesgos, no existe una metodologa o procedimiento formalmente establecido para dicho anlisis, por lo que esta actividad se realiza a buen criterio de quien formula el proyecto; en muchos de los casos no existe (Evidencia: AUDI-ESPE2007ENT-004). Causa Falta de polticas, normatividad y capacitacin al respecto. Efecto Retraso, suspensin temporal o definitiva en la ejecucin de proyectos.

Recomendacin PO71 El Director de la UDI, desde el primer trimestre del ao en curso, establecer un programa de administracin formal de riesgos de proyectos, para eliminar o minimizar los riesgos asociados con cada proyecto individual.

Punto de vista

200

PO10.11 Plan de Prueba Observacin PO72: No existe evidencia de un plan de pruebas formal para el desarrollo o modificacin de las aplicaciones. Criterio El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin. Condicin Antes de la puesta en marcha del sistema, sea modificacin o implementacin, se realizan pruebas en un servidor que se tiene para ese propsito, pero el procedimiento no se encuentra formalizado. (Evidencia: AUDI-ESPE-2007-ENT003). En el caso de adquisiciones de hardware, se realiza es una verificacin del cumplimiento de las caractersticas tcnicas solicitadas y que se encuentre en funcionamiento adecuado. (Evidencia: AUDI-ESPE-2007-ENT004) Causa No existe un marco de referencia para la administracin de proyectos, que debera contener el plan de pruebas. Efecto Riesgo en la aceptacin y puesta en marcha de los sistemas o proyectos.

201

Recomendacin PO72 El Director de la UDI, durante el primer trimestre del ao en curso, establecer e implantar polticas y normatividad para requerir la creacin de un plan de pruebas en cada proyecto de desarrollo, implementacin y modificacin.

Punto de vista

PO10.12 Plan de Entrenamiento Observacin PO73: No existe la planificacin de entrenamiento en los proyectos de desarrollo. Criterio El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin. Condicin Se realiza capacitacin al usuario pero no existe evidencia de un plan de entrenamiento (Evidencia: AUDI-ESPE-2007ENT-003, GT4-6) De acuerdo con la informacin entregada por el SGC (Evidencia: 2007-0216SGC, GT.4.5) en el proceso de implantacin y administracin de aplicativos (Evidencia: 2007-0216-SGC, GT.5.1) se debe realizar la capacitacin en caso
202

de que sea necesaria; quienes analizan si es necesaria dicha capacitacin, es el personal de GT4 o el Administrador de aplicativos. Como constancia de que esta capacitacin se lleva a cabo se entregan los certificados (referencia: GT46) mas no la planificacin de la capacitacin. Causa Falta de formalidad en la ejecucin de los procesos. Efecto No se asegura la calidad de la capacitacin, incrementando el riesgo en la operacin de los sistemas.

Recomendacin PO73 El Director de la UDI, desde el primer trimestre del ao en curso, establecer e implantar polticas y normatividad para requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin.

Punto de vista

PO10.13 Plan de Revisin Post Implementacin

203

Observacin

PO74:

No

existe

evidencia

de planes

de

revisin

post

implementacin pese a que existe dentro de los procesos. Criterio El marco de referencia de administracin de proyectos de la organizacin deber disponer que, como parte integral de las actividades del equipo del proyecto, se desarrolle un plan de revisin post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad de determinar si el proyecto ha generado los beneficios planeados. Condicin En cuando a proyecto de adquisicin de hardware, existe nicamente un registro de los equipos al momento de su llegada pero no hay un control posterior. En concordancia con la informacin obtenida en el dominio de Adquisicin e Implantacin(AI7), no existe una revisin post implementacin No existe un seguimiento de desempeo del equipamiento o aplicaciones despus de su implementacin (evidencia: AUDI-ESPE-2007ENT-003). Causa Desconocimiento del procedimiento referente a la Administracin de Aplicativos (Evidencia: 2007-0216-SGC, GT.5.1) en donde indica que el Administrador de sistemas debe monitorear para conocer si el aplicativo funciona

adecuadamente. Desconocimiento de la necesidad de la realizacin de revisiones despus de la implantacin. Efecto

204

Se desconoce la evolucin de la implementacin o modificacin y no pueden prevenirse posibles fallas o prdidas de datos que se estn presentando o se puedan presentar en la aplicacin, por tanto se desconocera si la aplicacin est alcanzando los objetivos bajo los cuales fue concebida.

Recomendacin PO74 El Director de la UTIC, en forma inmediata, dispondr que, como parte integral de las actividades del equipo del proyecto, se desarrolle y ejecute un plan de revisin post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad de determinar si el proyecto ha generado los beneficios planeados.

Punto de vista

PO11. ADMINISTRACIN DE LA CALIDAD PO11.1 Plan General de Calidad Observacin PO75: No existe evidencia de de un plan general de calidad. Criterio

205

La alta gerencia deber desarrollar y mantener regularmente un plan general de calidad basado en los planes organizacionales y de tecnologa de informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad, que cubra tanto las actividades de aseguramiento de calidad generales como las especficas de un proyecto. El enfoque deber determinar los tipos de actividades de aseguramiento de calidad (revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los objetivos del plan general de calidad. Asimismo deber requerir una revisin especfica de aseguramiento de calidad. Condicin No existe evidencia de un plan general y enfoques de calidad.

Causa De acuerdo al memo N2007-0215-SGC, se nos indic que para cualquier informacin referente al sistema de Gestin de la calidad, nos dirigiramos a la Web (http://sgc.espe.edu.ec), pero no existe en la Web el plan general de calidad al que se rigen. No existe evidencia de un enfoque de Aseguramiento de la calidad debido a que tampoco existe un plan general de calidad, en donde se especifique dichos enfoques. Efecto

206

Al no tener este plan general, no se conoce enfocndose a que objetivos o procedimientos de calidad se estn realizando los controles o el aseguramiento de la calidad.

Recomendacin PO75 Establecer un plan general de calidad, especificando los lineamientos (enfoque) hacia los cuales e deben encaminar los procedimientos de aseguramiento de la calidad de cada una de las unidades.

Punto de vista

PO11. 2 Enfoque de Aseguramiento de Calidad Observacin PO76: No existe evidencia de la presencia de un plan general de calidad. Criterio La alta gerencia deber desarrollar y mantener regularmente un plan general de calidad basado en los planes organizacionales y de tecnologa de informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo.

207

La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad, que cubra tanto las actividades de aseguramiento de calidad generales como las especficas de un proyecto. El enfoque deber determinar el (los) tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los objetivos del plan general de calidad. Asimismo deber requerir una revisin especfica de aseguramiento de calidad. Condicin No existe evidencia de un plan general y enfoques de calidad.

Causa De acuerdo al memo N2007-0215-SGC, se nos indic que para cualquier informacin referente al sistema de Gestin de la calidad, nos dirigiramos a la Web (http://sgc.espe.edu.ec), pero no existe en la Web el plan general de calidad al que se rigen. No existe evidencia de un enfoque de Aseguramiento de la calidad debido a que tampoco existe un plan general de calidad, en donde se especifique dichos enfoques. Efecto Al no tener este plan general, no se conoce enfocndose a que objetivos o procedimientos de calidad se estn realizando los controles o el aseguramiento de la calidad

Recomendacin PO76

208

Establecer un plan general de calidad, especificando los lineamientos (enfoque) hacia los cuales e deben encaminar los procedimientos de aseguramiento de la calidad de cada una de las unidades.

Punto de vista

PO11.3 Planeacin del Aseguramiento de Calidad Observacin PO77: No existe plan de aseguramiento de la calidad, por lo tanto tampoco un planeamiento del aseguramiento de la calidad. Criterio La Gerencia deber implementar un proceso de planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad. Condicin No existe evidencia de un plan de Aseguramiento de la Calidad donde se especifiquen alcance, duracin y actividades de aseguramiento; se procedi a revisar la pgina WEB http://sgc.espe.edu.ec, pero no se encontr el plan de aseguramiento de calidad. Existen planes de accin para las unidades, pero estos no contienen un enfoque relacionado a las labores de la UTIC. (Evidencia: SGCDI009)

209

Causa Normatividad y procesos incompletos. Efecto Riesgo en el funcionamiento adecuado de los sistemas y en la continuidad del negocio.

Recomendacin PO77 El Director de la UDI, desde el primer trimestre del ao en curso, desarrollar e implantar un proceso de planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad en TI.

Punto de vista

PO11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI Observacin PO78: No existen revisiones del aseguramiento de calidad, ni estndares de TI. Criterio

210

La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de calidad, incluyan una revisin del cumplimiento general de los estndares y procedimientos de TI. Condicin De acuerdo a las entrevistas mantenidas con cada uno de los Grupos de trabajo de la UTIC y a la Procuradora de la ESPE, los procedimientos para revisar el aseguramiento de la calidad basndose en estndares no existen, tampoco polticas propias para tecnologa de la informacin (referencia: AUDI-ESPE-2007ENT-001, 002, 003, 004, 005). Causa Desconocimiento de estndares y procedimientos de TI Efecto Riesgo de no adoptar las mejores prcticas de TI y no permitir el apoyo adecuado de los sistemas de informacin a los objetivos del negocio.

Recomendacin PO78 El Director de la UDI, desde el primer trimestre del ao en curso, establecer y pondr en ejecucin polticas y normatividad para asegurar que las

responsabilidades asignadas al personal de aseguramiento de calidad, incluyan una revisin del cumplimiento general de los estndares y procedimientos de TI.

Punto de vista

211

PO11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas PO11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual. PO11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas. Observacin PO79: No existe evidencia de la aplicacin de la metodologa del ciclo de vida de desarrollo de sistemas en general ni actualizaciones de la misma. Criterio La alta gerencia de la organizacin deber definir e implementar estndares de sistemas de informacin y adoptar una metodologa del ciclo de vida de desarrollo de sistemas que gobierne el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas. La metodologa del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser desarrollados, adquiridos,

implementados y mantenidos. En el caso de requerirse cambios mayores a la tecnologa actual, como en el caso de adquisicin de nueva tecnologa, la Gerencia deber asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas La alta gerencia deber implementar una revisin peridica de su metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos actuales generalmente aceptados.

212

Condicin Existe una metodologa bsica del Ciclo de Vida de Desarrollo de Sistemas (MSG-1), pero no existe evidencia de aplicacin de la misma en desarrollo, implementacin y mantenimiento de aplicaciones (Referencia: anlisis realizado en el dominio de Adquisicin e Implantacin AI2). Causa Falta de alineamiento a metodologas y estndares de desarrollo. Efecto Errores y falencias en los procesos de desarrollo, adquisicin, implementacin y mantenimiento de los sistemas orientados a la tecnologa actual.

Recomendacin PO79 El Director de la UDI, en el primer trimestre del ao en curso, definir e implementar estndares de sistemas de informacin y adoptar una metodologa del ciclo de vida de desarrollo de sistemas que gobierne el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas, en caso de requerirse cambios mayores a la tecnologa actual, deber asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas, implementar adems una revisin peridica de la metodologa para asegurar que incluya tcnicas y procedimientos actuales generalmente aceptados.

Punto de vista

213

PO11.8 Coordinacin y Comunicacin Observacin PO80: No existe evidencia de un proceso para asegurar la coordinacin y comunicacin entre clientes y desarrolladores. Criterio La Gerencia deber establecer un proceso para asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilice la metodologa del ciclo de vida de desarrollo de sistemas, aseguren la provisin de soluciones de tecnologa de informacin de calidad que satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo de sistemas. Condicin No existe evidencia de mtodos estructurados, ni de metodologa del ciclo de vida de desarrollo de sistemas, en el que se considere la coordinacin y comunicacin con el usuario. (Referencia: AUDI-ESPE-2007ENT-003). Causa Desconocimiento de estndares y procedimientos de TI Efecto

214

 Existencia de mltiples implementaciones que muchas veces pueden no ser necesarias. Falta de seguimiento de modificaciones de los sistemas. El requerimiento del usuario puede no ser atendido.

Recomendacin PO80 El Director de la UTIC, desde el primer trimestre del ao en curso, establecer con la aprobacin reglamentaria, un proceso para asegurar la coordinacin y comunicacin entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilice la metodologa del ciclo de vida de desarrollo de sistemas, aseguren la provisin de soluciones de tecnologa de informacin de calidad que satisfagan las demandas de negocio.

Punto de vista

PO11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Observacin PO81: No existe Marco de referencia establecido para la Adquisicin y Mantenimiento de la Infraestructura tecnolgica.

215

Criterio Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento de la infraestructura de tecnologa. Los diferentes pasos que

deben ser seguidos con respecto a la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern estar regidos por y mantenerse en lnea con el marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa. Condicin No existe evidencia de un Marco de referencia para la Adquisicin y mantenimiento de la infraestructura tecnolgica, segn informacin en referencia al Plan de Infraestructura Tecnolgica. (PO 3.1) (Evidencia: AUDI-ESPE-2007ENT- 001,002,003,004,005). Causa Normatividad y procesos incompletos. Efecto La falta de un Marco de referencia para la Adquisicin y mantenimiento de la Infraestructura tecnolgica, conlleva a la deficiencia de anlisis y determinacin de expectativas y necesidades claras y realistas de tecnologa que la ESPE como entidad Educativa necesita.

Recomendacin PO81

216

El director de la UDI, durante el primer trimestre del ao en curso, deber establecer un marco de referencia general de adquisicin y mantenimiento de la infraestructura de tecnologa; que contenga la adquisicin; programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones.

Punto de vista

PO11.10 Relaciones con Terceras Partes como Implementadores Observacin PO82: No existen procesos para asegurar las buenas relaciones de trabajo con los implementadores externos. Criterio La Gerencia deber crear un proceso para asegurar las buenas relaciones de trabajo con los implementadores externos que pertenezcan a terceras partes. Dicho proceso deber disponer que el usuario y el implementador estn de acuerdo sobre los criterios de aceptacin, el manejo de cambios, los problemas durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos. Condicin

217

No existen polticas establecidas para el establecimiento de acuerdos que permitan asegurar las relaciones con terceras partes se refiere. (Evidencia: AUDIESPE-2007-ENT 001,002,003,004,005,014) Causa No existe polticas y normatividad en referencia al tema. Efecto Riesgo en el funcionamiento adecuado de los sistemas y en la continuidad del negocio

Recomendacin PO82 El director de la UDI, durante el primer trimestre del ao en curso, deber crear e implementar un proceso para asegurar las buenas relaciones de trabajo con los implementadores externos, as como las polticas y normativa referentes a acuerdos de servicios.

Punto de vista

PO11.11 Estndares para la Documentacin de Programas PO11.12 Estndares para Pruebas de Programas PO11.13 Estndares para Pruebas de Sistemas
218

PO11.14 Pruebas Piloto/En Paralelo PO11.15 Documentacin de las Pruebas del Sistema Observacin PO83: No existen procedimientos de documentacin de sistemas, ni estndares establecidos para las actividades del ciclo de vida de desarrollo de sistemas. Criterio La metodologa del ciclo de vida de desarrollo de sistemas deber incorporar y proporcionar estndares para la documentacin, verificacin y pruebas de programas que hayan sido comunicados y ratificados al personal interesado, as como definir las condiciones bajo las cuales debern conducirse y documentar las pruebas piloto o en paralelo de sistemas nuevos y/o actuales. Condicin No existe aplicacin de la metodologa del ciclo de vida de desarrollo. No existen estndares adaptados a las actividades de desarrollo de sistemas (Evidencia: AUDI-ESPE-2007-014) No se realizan pruebas en base a una planificacin (PO10.11) No existe evidencia de documentacin de resultado de pruebas realizadas sobre implementaciones o modificaciones, las pruebas que se han realizado se las han hecho sobre un servidor destinado para estas labores, pero dicho procedimiento e incluso la aprobacin del usuario se la lleva informalmente. (Evidencia: AUDI-ESPE-2007-ENT003.) Causa

219

Inexistencia de metodologas, que conlleva a la falta de documentacin y controles de cambios. Efecto Riesgo de ineficacia en el cumplimiento del objetivo de las aplicaciones. No se tiene un control adecuado de las modificaciones, que impide un mantenimiento correcto de las aplicaciones.

Recomendacin PO83 El Director de la UTIC, durante el primer trimestre del ao en curso, incorporar a la metodologa de desarrollo de sistemas y proporcionar estndares para la documentacin, verificacin y pruebas de programas que hayan sido

comunicados y ratificados al personal interesado. Definir las condiciones bajo las cuales debern conducirse y documentar las pruebas piloto o en paralelo de sistemas nuevos y/o actuales.

Punto de vista

PO11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo PO11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI
220

PO11.19 Reportes de Revisiones de Aseguramiento de Calidad Observacin PO84: No existen procedimientos de aseguramiento de la calidad de estndares, ni revisin o reportes de esta actividad. Criterio El enfoque de aseguramiento de calidad de la organizacin deber requerir que una revisin post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones de la metodologa del ciclo de vida de desarrollo de sistemas, as como incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos de la funcin de servicios de informacin Los reportes de revisiones de aseguramiento de calidad debern ser preparados y enviados a la Gerencia de los departamentos usuarios y de la funcin de servicios de informacin (TI). Condicin No existe seguimiento post implementacin (AI7, PO10.13). No se puede evaluar al equipo involucrado de acuerdo a la metodologa de ciclo de vida de desarrollo ya que dicha metodologa no existe. No existe evidencia de monitoreo de proyectos en cuanto a alcances de objetivos, ya que tampoco esta formalizado procedimiento de seguimiento de proyectos, pese a que dicha funcin la ejerce GT1. Causa La inexistencia de metodologas y estndares dentro de la UTIC.

221

 La falta de definicin de un adecuado marco de administracin de proyectos. Efecto Seguimiento inadecuado de control de cambios y fallas en la calidad sistemas. de los

Recomendacin PO84 El Director de la UDI, desde el primer trimestre del ao en curso, establecer e implantar polticas y normatividad para realizar una revisin post -

implementacin de los sistemas de informacin, en las que se evale si el equipo encargado del proyecto, cumpli con las estipulaciones de la metodologa del ciclo de vida de desarrollo de sistemas; si los sistemas y las actividades de desarrollo de aplicaciones han alcanzado los objetivos de la funcin de servicios de informacin; los reportes de revisiones de aseguramiento de calidad debern ser preparados y enviados a la Direccin de los departamentos usuarios y de la funcin de servicios de informacin (TI).

Punto de vista

PO11.18 Mtricas de calidad Observacin PO85: No existen Mtricas de Calidad definidas para TI.

222

Criterio La gerencia deber definir y utilizar mtricas para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas Condicin No existen Mtricas de calidad definidas para lo que TI se refiere, tan solo las estipuladas organizacionalmente por la ISO. (Evidencia: SGC) Causa Falta de Polticas, normas y estndares para el aseguramiento de la Calidad de TI, segn informacin obtenida en este dominio. (PO 10.8) Efecto Seguimiento inadecuado de control de cambios y fallas en la calidad sistemas. de los

Recomendacin PO85 El Director de la UTIC, desde el primer trimestre del ao en curso, definir y utilizar mtricas para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas

Punto de vista

223

CAPTULO IV RESUMEN EJECUTIVO

DEFINICIN DE LA ARQUITECTURA DE INFORMACIN Actualmente en la ESPE no existe una adecuada clasificacin de la informacin de acuerdo a importancia, por lo cual no se le da las adecuadas seguridades, lo que conlleva a poner en peligro la integridad de datos sumamente importantes para la institucin y que su prdida provocara graves percances a la institucin.

MANEJO DE LA INVERSIN EN TECNOLOGA DE LA INFORMACIN El adecuado manejo de esta inversin asegura el financiamiento de proyectos de TI, as como a controlar los desembolsos de los recursos; para lo cual se hace necesario inversin peridica y presupuestos establecidos y aprobados por la institucin para darles cumplimiento, y una adecuada justificacin de los costos en los que se incurrirn para la puesta en marcha de proyectos y presentacin de los beneficios que se percibirn al implantarlo; anlisis que al momento no existe.

COMUNICACIN DE LOS OBJETIVOS Y ASPIRACIONES DE LA GERENCIA Es indispensable ya que la gerencia necesita que todo el personal comprenda las metas planteadas, de manera que formen una fuerza conjunta para alcanzarlas, para ello se necesita que las polticas establecidas sean conocidas y entendidas por todo el personal. Al momento no existen polticas institucionales sobre TI, propiciado por el desconocimiento de la funcin del director de TI, quien segn el

224

reglamento interno, es el encargado de promulgar reglamentos, estndares y normas referentes a Tecnologa de l Informacin dentro de la ESPE.

DEFINIR LA ADMINISTRACIN DE LOS PROYECTOS Para establecer prioridades, entregar servicios oportunamente de acuerdo a lo presupuestado; se deben identificar los proyectos y verificar que estn alineados con el plan operacional aplicando tcnicas de administracin de proyectos. En la ESPE existen formatos aprobados para la presentacin de proyectos, pero es necesaria su mejora y capacitacin al personal sobre la elaboracin de dicho formato, en el cual sugerimos se anexe el punto en el que se explique alcances, lmites, puntos de revisin y aprobaciones. Adicionalmente se debe realizar un completo anlisis de factibilidad y riesgos de los proyectos, ya que actualmente no se la realiza en su totalidad ni se la mantiene documentada del cual se deber incluir en la presentacin de los proyectos breve resumen del anlisis. Y como parte de las necesidades, se debe definir formalmente el cmo se llevarn y documentarn los proyectos, de manera que conste toda la informacin necesaria y alusiva al proyecto incluyendo las aprobaciones por fases, informes, planes de prueba, planes de entrenamiento a los usuarios, planes de revisin post-implementacin.

11. ADMINISTRACIN DE LA CALIDAD Para satisfacer las necesidades y requerimientos del cliente de TI, por medio de la planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las fases de desarrollo, entregables y responsabilidades.

225

La Escuela Politcnica del Ejercito,

se encuentra inmersa en un proceso de

aseguramiento de la calidad ISO 9000, cuya informacin reposa en la UDI y es publicada en el sitio web http://sgc.espe.edu.ec; sin embargo no existe evidencia de de un plan general de calidad, en el cual se especifique el enfoque y los factores a tomar en cuenta para el aseguramiento de la calidad; sin embargo cabe anotar, que este tipo de certificacin al que la ESPE se alinea evala nicamente cumplimiento administrativo . Si bien existen planes de accin para las unidades, estos no contienen un enfoque relacionado a las labores de la UTIC. Al establecer un plan general de calidad, especificando los lineamientos (enfoque) hacia los cuales se deben encaminar los procedimientos de aseguramiento de la calidad de cada una de las unidades se desarrollar e implantar un proceso de planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad en TI.

226

CAPITULO V CONCLUSIONES Y RECOMENDACIONES

5.1 CONCLUSIONES - El marco de referencia COBIT posee en su estructura terica las herramientas necesarias para la evaluacin y auditora de sistemas de tal manera que su aplicacin ayuda a satisfacer las mltiples necesidades de la administracin en aspectos de determinacin de riesgos, definicin de controles necesarios y el aspecto tcnico; y provee buenas prcticas en la ejecucin de los procesos y presenta actividades en una estructura que ayuda a optimizar la inversin de la informacin y proporcionar un mecanismo de medicin que establece cuando las actividades van por el camino equivocado. - El marco de referencia COBIT, aplicado para la ejecucin de este proyecto apoy de manera eficiente en la evaluacin y auditoria del Sistema de Informacin de la ESPE, permitiendo la deteccin de falencias determinacin de recomendaciones. - El desconocimiento del enfoque y base terica de proyectos como este y del Modelo COBIT en s, hace que el personal sea renuente a participar y brindar la informacin necesaria requerida incurriendo en el aumento de observaciones debido a la falta de evidencia. - La Escuela Politcnica del Ejrcito, se encuentra desalineada en lo que a la Planificacin y Organizacin se refiere del cumplimiento de los Objetivos de Control enmarcados en COBIT, as como de metodologas y estndares internacionales existentes. y la

227

- La ESPE actualmente posee una estructura organizacional deficiente en cuanto a gestin estratgica de tecnologa se refiere, la falta de polticas y estndares impiden el control de TI, la ubicacin organizacional de la UTIC y la falta de gestin estratgica en un nivel gerencial impiden el alineamiento de TI a las necesidades y requerimientos de la institucin y la poca importancia a la Arquitectura de Informacin y funciones relacionadas se denotan en una UTIC con procesos y funciones poco eficientes. - El proyecto de Evaluacin y Auditoria del Sistema de Informacin de la ESPE, era totalmente necesario, ya que permite a conocer a las autoridades el estado de la UTIC, as como de las diferentes unidades en referencia a la Tecnologa de la Informacin; dando los hitos para el inicio de una verdadera Gestin de Tecnologa, inexistente en la ESPE. - La Escuela Politcnica del Ejrcito, no posee una conciencia de UNIDAD como institucin, ya que desconoce la interrelacin entre sus unidades y

departamentos para cualquier tipo de Gestin estratgica, especialmente la Gestin estratgica informtica.

5.2 RECOMENDACIONES - Registrar las observaciones y recomendaciones, producidas por el proyecto de Evaluacin y Auditoria del Sistema de Informacin de la ESPE, dentro de los hitos a ser analizados para las Acciones de Mejora a desarrollarse durante el ao. - Se recomienda dar mayor importancia a la ejecucin de proyectos de evaluacin por medio de la sociabilizacin y conocimiento de toda la Comunidad

228

Politcnica, para evitar desconocimiento, miedo y por ende falta de colaboracin de la misma. - La UTIC debe dar apertura a este tipo de evaluacin de sus funciones, colaborando con la documentacin y evidencias requeridas y manteniendo registros documentados reales de las actividades que realizan. - El departamento de Planificacin de la ESPE como directivos que son, deben capacitarse y abrirse acerca de proyectos de este tipo para que sean entes colaboradores mas no de disturbio y freno a la ejecucin de los mismos. - La ESPE debe evaluar, analizar y restablecer su estructura organizacional acorde a sus objetivos estratgicos as como definir las polticas, normas y reglamentos a los cuales las diferentes unidades en el ejercicio de sus funciones se alinearan para la supervisin y control de las mismas.

229

BIBLIOGRAFA: http://www.auditoriasistemas.com/ http://dmi.uib.es/~bbuades/auditoria/sld006.htm http://www.solomanuales.org/cursoMatriculaShow.cfm?id_curso=32722070041969505457666768544565&id _centro=43204110021466565570676950524550&Nombre=MARY&Mail= masalcedos@yahoo.com&Pais=10&Provincia=58 http://www.monografias.com/trabajos5/audi/audi.shtml http://dmi.uib.es/~bbuades/auditoria/auditoria.PPT#266,11,Metodologa (2) http://www.audit.gov.tw/span/span2-2.htm Auditora Mario B. Ron Resumen Marco Conceptual Modelo COBIT / Mario B. Ron Fases de una Auditora / Mario B. Ron Evaluacin de los Sistemas de Tecnologa Informtica y Revisin de las Seguridades de Andrea M. Tobar. Management Guidelines Cobit 3rd Edition, Objetivos de Control Cobit, Resumen Ejecutivo Cobit, Marco Referencial Cobit, Implementation Tool Set Cobit 3rd Edition Modelo Coso Report Auditora interna moderna de Brink y UIT WHITTINGTON, O. Ray, PANY Kurt, Auditora: Un enfoque Integral, Irwin McGrawHill, 12. Edicin, Santa Fe de Bogota, Colombia, 2000 Plataforma Especfica para la empresa EMAPA-I/

230

Normas de Auditora Interna emitidas por el The Institute of Internal Auditors

Enciclopedia de la Auditora, Grupo Editorial Ocano, Barcelona, Espaa, 1999

ARENS, Alvin, Auditora: Un enfoque integral, Prentince Hall Gua de Auditora, McGrawHill, Mxico, 1996 Robert L. Grinaker Ben B. Barr, Auditora Examen de los Estados Financieros Mxico 1989

MEIGS, Principios de Auditora, Editorial Diana Mxico 1975 Maldonado Milton, Auditora de Gestin Economa, Ecologa, Eficacia, Eficiencia, Etica, 2001

Auditora Operacional de Jos Dagoberto Pinilla http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistem as.shtml

231

NDICE DE CONTENIDOS
CAPTULO I _____________________________________________________ 1 AUDITORA INFORMTICA PRESENTACIN DEL PROYECTO ________ 1 1.1 PROYECTO - ______________________________________________ 1 1.2 INTRODUCCIN - __________________________________________ 1 1.3 ANTECEDENTES - _________________________________________ 2 1.4 JUSTIFICACIN - __________________________________________ 3 1.5 OBJETIVO DEL PROYECTO -_________________________________ 3 1.5.1 Objetivo General_________________________________________ 3 1.5.2 Objetivos Especficos _____________________________________ 3 1.6 ALCANCE - _______________________________________________ 4 1.7 METODOLOGA -___________________________________________ 5 1.8 AUDITORA INFORMTICA - _________________________________ 6 1.8.1 Introduccin - ___________________________________________ 6 1.8.2 Ambiente de control - _____________________________________ 7 1.8.3 Proceso de Auditora Informtica - ___________________________ 9 1.8.4 Clasificacin de los controles TI ____________________________ 20 CAPTULO II ___________________________________________________ 42 MODELO COBIT ______________________________________________ 2.1 INTRODUCCIN __________________________________________ 2.2 CONTENIDO (PRODUCTOS COBIT) __________________________ 2.2.1 Resumen Ejecutivo______________________________________ 2.2.2 Marco Referencial ______________________________________ 2.2.3 Objetivos de Control _____________________________________ 2.2.4 Directrices de Auditora __________________________________ 2.2.5 Guas de Administracin O Directrices Gerenciales_____________ 2.2.6 Prcticas de Control _____________________________________ 2.2.7 Conjunto de Herramientas de Implementacin_________________ 2.3 DOMINIO DE PLANEACIN Y ORGANIZACIN _________________ 2.3.1 Definicin de un Plan Estratgico de Tecnologa de Informacin___ 2.3.2 Definicin de la Arquitectura de Informacin __________________ 2.3.3 Determinacin de la direccin tecnolgica ____________________ 2.3.4 Definicin de la Organizacin y de las Relaciones de TI _________ 2.3.5 Manejo de la Inversin en Tecnologa de Informacin ___________ 2.3.6 Comunicacin de la direccin y aspiraciones de la gerencia ______ 2.3.7 Administracin de Recursos Humanos_______________________ 2.3.8 Aseguramiento del Cumplimiento de Requerimientos Externos____ 2.3.9 Evaluacin de Riesgos ___________________________________ 2.3.10 Administracin de proyectos______________________________ 2.3.11 Administracin de Calidad _______________________________ 42 42 46 46 47 49 50 51 51 52 53 54 57 59 60 62 64 65 67 68 70 72

CAPTULO III ___________________________________________________ 75 AUDITORA INFORMTICA DEL SISTEMA DE INFORMACIN DE LA ESPE: DOMINIO PLANEACIN Y ORGANIZACIN. _________________ 75 PO1. DEFINICIN DE UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN ______________________________________________ 75

232

PO1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. __________________________________________ 75 PO1.2 Plan a largo plazo de Tecnologa de informacin. _____________ 78 PO1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura _________________________________________________ 81 PO1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin ____ 81 PO1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin _________________________________________________________ 83 PO1.6 Comunicacin de los planes de TI _________________________ 85 PO1.7 Evaluacin y Monitoreo de los planes de TI __________________ 87 PO1.8 Valoracin de los sistemas existentes ______________________ 88 PO2. DEFINICIN DE LA ARQUITECTURA DE INFORMACIN________ 90 PO2.1 Modelo de la Arquitectura de Informacin ___________________ 90 PO2.2 Diccionario de Datos y Reglas de sintaxis ___________________ 92 PO2.3 Esquema de Clasificacin de Datos________________________ 94 PO2.4 Niveles de Seguridad. __________________________________ 96 PO3. DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI ___________________________________________________________ 98 PO3.1 Planeacin de la Infraestructura Tecnolgica_________________ 98 PO3.2 Monitoreo de Tendencias y Regulaciones Futuras ___________ 100 PO3.3 Contingencias en la Infraestructura Tecnolgica _____________ 101 PO3.4 Planes de Adquisicin de Hardware y Software______________ 103 PO3.5 Estndares de Tecnologa ______________________________ 105 PO4. DETERMINACIN DE LA DIRECCIN TECNOLGICA _________ 106 PO4.1 Planeacin de TI o Comit de planeacin/ direccin de la funcin de servicios de informacin _____________________________________ 106 PO4.2 Ubicacin de los servicios de informacin en la organizacin ___ 108 PO4.3 Revisin de Logros Organizacionales _____________________ 110 PO4.4 Funciones y Responsabilidades__________________________ 112 PO4.5 Responsabilidad del aseguramiento de calidad ______________ 114 PO4.6 Responsabilidad por la seguridad lgica y fsica _____________ 116 PO4.7 Propiedad y Custodia __________________________________ 118 PO4.8 Propiedad de Datos y Sistemas __________________________ 120 PO4.9 Supervisin__________________________________________ 121 PO4.10 Segregacin de Funciones_____________________________ 123 PO4.11 Asignacin de Personal para Tecnologa de Informacin _____ 125 PO4.12 Descripcin de Puestos para el Personal de la Funcin de TI. _ 127 PO4.13 Personal clave de TI__________________________________ 129 PO4.14 Procedimientos y polticas para el personal contratado _______ 131 PO4.15 Relaciones _________________________________________ 132 PO5. MANEJO DE LA INVERSIN EN TECNOLOGA DE LA INFORMACIN __________________________________________________________ 134 PO5.1 Presupuesto Operativo Anual para la Funcin de Servicios de informacin.- ______________________________________________ 134 PO5.2 Monitoreo de Costo Beneficio __________________________ 136 PO5.3 Justificacin de Costo Beneficio ________________________ 139 PO6. COMUNICACIN DE LOS OBJETIVOS Y ASPIRACIONES DE LA GERENCIA_________________________________________________ 142 PO6.1 Ambiente Positivo de Control de la Informacin______________ 142 PO6.2 Responsabilidad de la Gerencia sobre las Polticas___________ 143

233

PO6.3 Comunicacin de las Polticas de la Organizacin____________ 145 PO6.4 Recursos para la implementacin de Polticas. ______________ 147 PO6.5 Mantenimiento de Polticas _____________________________ 148 PO6.6 Cumplimiento de Polticas, Procedimientos y Estndares ______ 149 PO6.7 Compromiso con la Calidad _____________________________ 151 PO6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno. __________________________________________________ 152 PO6.9 Derechos de propiedad intelectual ________________________ 153 PO6.10 Polticas para Situaciones Especficas____________________ 155 PO6.11 Comunicacin para educar y concienciar (crear conciencia) sobre Seguridad de TI. ___________________________________________ 156 PO7. ADMINISTRACIN DE RECURSOS HUMANOS_______________ 157 PO7.1 Reclutamiento y Promocin de Personal ___________________ 157 PO7.2 Personal Calificado ___________________________________ 159 PO7.3 Roles y Responsabilidades _____________________________ 161 PO7.4 Entrenamiento de Personal _____________________________ 163 PO7.5 Entrenamiento Cruzado o Respaldo de personal_____________ 164 PO7.6 Procedimientos de Acreditacin de Personal ________________ 165 PO7.7 Evaluacin de Desempeo de los Empleados _______________ 167 PO7.8 Cambio y Terminacin de Trabajo ________________________ 169 PO8. ASEGURAMIENTO DE CUMPLIMIENTO DE REQUERIMIENTOS EXTERNO _________________________________________________ 170 PO8.1 Revisin de Requerimientos Externos _____________________ 170 PO8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos _________________________________________________ 172 PO8.3 Cumplimiento de Seguridad y Ergonoma __________________ 173 PO8.4 Privacidad, propiedad intelectual y Flujo de Datos____________ 174 PO9. ANLISIS DE RIESGOS __________________________________ 176 PO9.1 Evaluacin de Riesgos del Negocio _______________________ 176 PO9.2 Enfoque de Evaluacin de Riesgos _______________________ 178 PO9.3 Identificacin de Riesgos _______________________________ 179 PO9.4 Medicin de Riesgos __________________________________ 181 PO9.5 Plan de Accin contra Riesgos___________________________ 183 PO10. DEFINIR LA ADMINISTRACIN DE LOS PROYECTOS ________ 184 PO10.1 Marco de Referencia para la Administracin de Proyectos ____ 184 PO10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos ________________________________________________ 187 PO10.3 Miembros y Responsabilidades del Equipo del Proyecto______ 188 PO10.4 Definicin del Proyecto________________________________ 191 PO10.5 Aprobacin del Proyecto ______________________________ 192 PO10.6 Aprobacin de las Fases del Proyecto. ___________________ 194 PO10.7 Plan Maestro del Proyecto _____________________________ 196 PO10.8 Plan de Aseguramiento de la Calidad del Sistema___________ 198 PO10.10 Administracin Formal de Riesgos de Proyectos ___________ 199 PO10.11 Plan de Prueba_____________________________________ 201 PO10.12 Plan de Entrenamiento _______________________________ 202 PO10.13 Plan de Revisin Post Implementacin _________________ 203 PO11. ADMINISTRACIN DE LA CALIDAD _______________________ 205 PO11.1 Plan General de Calidad ______________________________ 205 PO11. 2 Enfoque de Aseguramiento de Calidad___________________ 207

234

PO11.3 Planeacin del Aseguramiento de Calidad_________________ 209 PO11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI_____________________________ 210 PO11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas _____ 212 PO11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual. _______________________ 212 PO11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas._________________________________________________ 212 PO11.8 Coordinacin y Comunicacin __________________________ 214 PO11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa _________________________________ 215 PO11.10 Relaciones con Terceras Partes como Implementadores ____ 217 PO11.11 Estndares para la Documentacin de Programas _________ 218 PO11.12 Estndares para Pruebas de Programas _________________ 218 PO11.13 Estndares para Pruebas de Sistemas __________________ 218 PO11.14 Pruebas Piloto/En Paralelo____________________________ 219 PO11.15 Documentacin de las Pruebas del Sistema ______________ 219 PO11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo __________________________________ 220 PO11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI ____________________________________________ 220 PO11.19 Reportes de Revisiones de Aseguramiento de Calidad ______ 221 PO11.18 Mtricas de calidad _________________________________ 222 CAPTULO IV__________________________________________________ 224 RESUMEN EJECUTIVO ________________________________________ 224 CAPITULO V __________________________________________________ 227 CONCLUSIONES Y RECOMENDACIONES ________________________ 227 5.1 CONCLUSIONES_________________________________________ 227 5.2 RECOMENDACIONES ____________________________________ 228 BIBLIOGRAFA: _______________________________________________ 230

NDICE DE FIGURAS Fig.2. 1 Productos de la Familia COBIT _______________________________ Fig.2. 2 Resumen de Dominios de COBIT con objetivos de control__________ Fig.2. 3 Integracin de Requerimientos del Negocio Procesos y Dominios IT Recursos IT ____________________________________________________ Fig.2. 4 Objetivos de Control-Resumen _______________________________ Fig.2. 5 Actividades de TI __________________________________________ Fig.2. 6 Actividades de la Gerencia de la Empresa ______________________ 46 47 49 50 54 55

235