Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Riobamba- Ecuador
2015
ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO
FACULTAD DE INFORMATICA Y ELECTRONICA
ESCUELA DE INGENIERIA EN SISTEMAS
DOCUMENTALISTA
SISBIB-ESPOCH . .........
NOTA DE LA TESIS .
Yo, Joffre Jilmar Vargas Garca soy responsables de las ideas, doctrinas y resultados expuestos
en este trabajo de investigacin cientfica realizado de la Tesis PROPUESTA TECNOLGICA
BASADA EN COBIT 5 APLICADA A LA GESTIN DE LA TI EN LA EIS; el patrimonio
intelectual de este trabajo de Grado pertenece a la ESCUELA SUPERIOR POLITCNICA E
CHIMBORAZO.
_________________________________________
Joffre Jilmar Vargas Garca
AGRADECIMIENTO
Agradezco a Dios por haberme permitido llegar a culminar con xito una etapa importante en
esta vida profesional. A la Escuela Superior Politcnica de Chimborazo, como tambin a sus
distinguidos catedrticos quienes durante mis estudios me guiaron en la preparacin acadmica
y a la Escuela de Ingeniera en Sistemas. Al Ing. Patricio Moreno Director de Tesis y al Ing.
Eduardo Villa Asesor de Tesis. Por su colaboracin para el desarrollo de este trabajo.
Joffre
i
DEDICATORIA
Dedico este trabajo y toda mi carrera politcnica, a Dios por ser quien ha estado a mi lado en
todo momento dndome las fuerzas necesarias para continuar luchando da tras da y seguir
adelante rompiendo todas las barreras que se me presenten.
A mis padres por haberme educado y dado ese apoyo incondicional. Gracias a sus consejos, por
el amor que siempre me han brindado, por cultivar e inculcar ese sabio don de la
responsabilidad con valores, principios, perseverancia y empeo.
Joffre
ii
INDICE GENERAL
RESUMEN................................................................................................................................. xiii
SUMARY................................................................................................................................... xiv
INTRODUCCIN ........................................................................................................................ 1
................................................................................................................................. 6
1. MARCO TERICO ...................................................................................................... 6
1.1. Metodologa de COBIT 5 .............................................................................................. 6
1.2. Buenas prcticas en la gestin (Management Best Practices) ..................................... 20
1.3. Implementacin de COBIT 5....................................................................................... 25
1.4. Principios de COBIT 5 ................................................................................................ 27
............................................................................................................................. 49
2. MARCO METODOLGICO ..................................................................................... 49
2.1. Diseo de la investigacin ........................................................................................... 49
2.2. Mtodos ....................................................................................................................... 49
2.3. Planteamiento de la Hiptesis ...................................................................................... 50
2.4. Variables ...................................................................................................................... 50
2.5. Instrumentos de Recoleccin de datos ......................................................................... 64
2.6. Poblacin y Muestra .................................................................................................... 64
2.7. Ambiente de investigacin .......................................................................................... 64
............................................................................................................................ 65
3. MARCO DE DISCUSIN Y ANLISIS DE RESULTADOS .................................. 65
3.1. Escala de valoracin .................................................................................................... 65
3.2. Seguridad de la informacin en la EIS ........................................................................ 65
3.3. Estndares y Marcos de la Industria TI en la EIS ........................................................ 76
3.4. Nivel de Calidad de las Tecnologas de la Informacin .............................................. 77
3.5. Actividades de Aseguramiento TI ............................................................................... 79
3.6. Procesos que desempean el Tcnico de la EIS .......................................................... 83
3.7. Actividades para la Administracin de las TI en la EIS .............................................. 86
3.8. Aspectos en la Gestin Abierta y Comunicativa de la Administracin TI de la EIS .. 92
3.9. Gestin de las TI de la EIS como una Organizacin o Empresa ................................. 97
3.10. Nivel de Planeamiento para la Gestin de los procesos TI de la EIS ........................ 102
3.11. Nivel de Avances Tecnolgicos Industriales e Internacionales para el crecimiento
TI de la EIS ................................................................................................................ 104
3.12. Nivel de Organizacin para la Gestin de los Procesos TI de la EIS ........................ 107
3.13. Nivel de Inversin para la Gestin de los Procesos TI de la EIS .............................. 110
iii
3.14. Procesos que desempea el Director de la EIS en la Gestin TI ............................... 113
3.15. Resultados.................................................................................................................. 118
3.16. Comprobacin de Hipotesis....................................................................................... 126
3.17. Aplicacin de la Metodologa desarrolladA en las TI de la EIS................................ 127
.......................................................................................................................... 129
4. PROPUESTA TECNOLGICA BASADA EN COBIT 5 APLICADA A LA
GESTIN DE LA TI EN LA EIS ............................................................................. 129
4.1. Desarrollo Metodolgico ........................................................................................... 129
4.2. Fichas de apoyo a la metodologa .............................................................................. 136
CONCLUSIONES .................................................................................................................... 149
RECOMENDACIONES ........................................................................................................... 150
GLOSARIO DE TERMINOS
BIBLIOGRAFIA
ANEXOS
iv
INDICE DE ABREVIATURAS
v
RSC: Responsabilidad Social Corporativa
SI: Sistemas de Informacin
SGSI: Sistema de gestin de seguridad de la informacin
SRI: Servicio de Rentas Internas
RRHH: Recursos humanos
TI: Tecnologas de la Informacin
TIC: Tecnologas de la informacin y la comunicacin
TOGAF: Esquema de Arquitectura de Open Group
vi
INDICE DE CUADROS
vii
INDICE DE FIGURAS
viii
INDICE DE GRAFICOS
ix
Grfico 33-3. Informacin y tecnologas tratadas como activos en la EIS .......................... 100
Grfico 34-3. Existencia de roles, actividades en la EIS ...................................................... 101
Grfico 35-3. Planes realistas a largo plazo de las TI de la EIS ............................................ 102
Grfico 36-3. Evaluacin por comparacin de normas industriales TI de la EIS ................. 103
Grfico 37-3. Plan robusto de infraestructura TI de la EIS ................................................... 104
Grfico 38-3. Proceso de mejora del plan de infraestructura TI de la EIS ............................ 105
Grfico 39-3. Uso de las mejores prcticas de la industria tecnolgica TI de la EIS............ 106
Grfico 40-3. Desarrollo, documentacin, comunicacin y alineacin TI en la EIS ............ 107
Grfico 41-3. Definicin del ambiente de control interno TI de la EIS ................................ 108
Grfico 42-3. Formulacin de las relaciones con terceros, comits de direccin, auditoria
interna y administracin de proveedores TI de la EIS..................................... 109
Grfico 43 -3. Polticas, procesos para inversin y presupuestos TI de la EIS ..................... 111
Grfico 44 -3. Proceso de seleccin de inversin TI de la EIS ............................................. 112
Grfico 45 -3. Personal de ti cuenta con la experiencia y habilidades TI en la EIS .............. 113
Grfico 46-3. Aseguramiento del cumplimiento de objetivos empresariales TI en la EIS ... 114
Grfico 47-3. Evaluacin de las necesidades, condiciones y opciones de los interesados
en las TI en la EIS ........................................................................................... 115
Grfico 48-3. Dirige a travs de la priorizacin y toma de decisiones en las TI en la EIS ... 116
Grfico 49-3. Supervisin del desempeo, cumplimiento con la direccin y los objetivos
acordados para las TI en la EIS ....................................................................... 117
Grfico 50-3. Monitorizacin directa y evaluacin de las TI en la EIS ................................ 118
Grfico 51-3. Porcentajes totales de la gestin TI en la EIS ................................................. 122
Grfico 52-3. Aplicacin de Cobit 5 en la gestin TI de la EIS ............................................ 127
Grfico 53-3. Mejora de las TI en la EIS .............................................................................. 128
x
INDICE DE TABLAS
xi
Tabla 33-3. Nuevos entornos colaborativos ............................................................................. 97
Tabla 34-3. Requerimientos que ayudan a cumplir con la estrategia TI de la EIS ................. 98
Tabla 35-3. Requerimientos para la gestin de la operacin TI de la EIS ............................... 99
Tabla 36-3. Informacin y las tecnologas tratadas como activos ......................................... 100
Tabla 37-3. Existencia de los roles, actividades y relaciones entre el personal y los
departamentos de la EIS que gestin las TI ....................................................... 101
Tabla 38-3. Requerimientos que ayudan a cumplir con la estrategia TI de la EIS ................ 102
Tabla 39-3. Evaluacin por comparacin de normas industriales a las TI de la EIS ............. 103
Tabla 40-3. Plan robusto de infraestructura tecnolgica de la EIS ........................................ 104
Tabla 41-3. Proceso continuo para mejorar el plan de infraestructura TI de la EIS ........... 105
Tabla 42-3. Uso de las mejores prcticas de la industria tecnolgica en las TI de la EIS ..... 106
Tabla 43-3. Desarrollo, documentacin, comunicacin y alineacin TI en la EIS ................ 107
Tabla 44-3. Definicin del ambiente de control interno de las TI en la EIS .......................... 108
Tabla 45-3. Formulacin de comits de direccin, auditoria interna y administracin de
proveedores de las TI en la EIS ......................................................................... 109
Tabla 46-3. Polticas, procesos para inversin TI en la EIS ................................................... 110
Tabla 47-3. Procesos de seleccin de inversin en TI de la EIS ............................................ 111
Tabla 48-3. Polticas, procesos para inversin TI en la EIS ................................................... 112
Tabla 49-3. Aseguramiento del cumplimiento de objetivos empresariales TI en la EIS ....... 113
Tabla 50-3. Evaluacin de las necesidades, condiciones y opciones de los interesados en
las TI en la EIS ................................................................................................... 114
Tabla 51-3. Dirige a travs de la priorizacin y toma de decisiones en las TI en la EIS ... 115
Tabla 52-3. Supervisin del desempeo, cumplimiento con la direccin y los objetivos
acordados para las TI en la EIS .......................................................................... 116
Tabla 53-3. Monitorizacin directa y evaluacin de las TI en la EIS .................................... 117
Tabla 54-3. Anlisis total de los datos obtenidos de las TI de la EIS .................................... 118
Tabla 55-4. Registro de software ........................................................................................... 145
Tabla 56-4. Bitcora de soporte tcnico ................................................................................. 147
xii
RESUMEN
xiii
SUMARY
The (COBIT 5) control objectives methodology for related information and technologies was
carried out for computing School technologies, based on a broad theoretical frame to rule its
application, thus processes, activities, and present situation technology benefits were obtained.
The methodology was carried out in order to evaluate the information technology administration
at Computing School. This methodology was based on a previous analysis of (COBIT 5) control
objectives methodology for related information and technologies by means of surveys and
interviews for the Computing School Staff (technician and Chief). When applying (COBIT 5)
control objectives methodology for related information and technologies it was possible to get
the following results: 25% usage for (COBIT 5) control objectives methodology for related
information and technologies was carried out for computing School technologies and 75% is not
applied. The methodology helps to improve the weaknesses, vulnerabilities and needs by means
of an efficient management of technological activities at Computing School, this base don
standards, norms, and other quality methodologies for information Technology Services. It is
recommended to use this methodology only for the management of policies regulation
technologies, control, and hazard analysis based on norms and standards of (COBIT 5) control
objectives methodology for related information and technologies.
xiv
INTRODUCCIN
La presente investigacin se ha realizado por medio del estudio profundo de los principios,
facilitadores y trminos que se adaptaron a nuestro contorno para el anlisis de la gestin de las
tecnologas de la informacin, como base principal ha sido la metodologa COBIT 5, lder en la
gestin y administracin de las tecnologas a nivel de grandes, medianas, pequeas empresas en
el mundo, referenciada con estndares de calidad y certificaciones internacionales en conjunto
de otras metodologas como ITIL.
El trabajo desarrollado a continuacin, se lo realiz previo a la aplicacin de COBIT 5 a las
Tecnologas de la Informacin de la EIS, mediante el anlisis de los datos se obtuvieron
resultados de necesidades, vulnerabilidades, polticas, control, normas y estndares que es
necesario para una gestin eficiente de las TI, se desarroll y aplic la metodologa ayudado del
previo anlisis de la aplicabilidad de COBIT a la EIS, se obtuvieron resultados de mejora
eficiente de la administracin de los servicios de internet, infraestructura de redes, control de
accesos a la informacin, etc.
En el captulo II se describe el estudio y anlisis de la metodologa COBIT 5 antes de la
aplicacin a las tecnologas de la Escuela de Ingeniera en Sistemas, se hace una descripcin de
los trminos que fue posible adoptar a esta investigacin.
El captulo III se realiza el anlisis de los datos con su respectiva interpretacin de los
resultados, mediante una tabla de suma de puntos y una grfica que ilustran los resultados en
porcentajes.
En l captulo 5 se describen los pasos y actividades que componen a la metodologa propuesta
basada en COBIT 5, para mejor la gestin y la administracin de las Tecnologas de la
Informacin en la EIS.
Los antecedentes describen a la metodologa COBIT 5 en una breve definicin de los conceptos
que instruyen en una rpida comprensin de algunos trminos que son utilizados en este
documento como parte de la indagacin sobre COBIT, la justificacin enfoca a una fuente de
estudio y aplicacin de la metodologa a las Tecnologas de la Escuela de Ingeniera en
Sistemas. El objetivo general describe hasta donde se debe llegar con el estudio, los objetivos
especficos llevan a cumplir con lo concreto de la propuesta tecnolgica para la EIS y son
definidos en el transcurso del desarrollado de los otros captulos de esta investigacin. A ms de
esto se detalla la hiptesis que es probada por medio de la negacin de la negacin de la misma
-1-
mediante el criterio del investigador, apoyado en la recoleccin de los datos y su respectivo
anlisis.
Antecedentes
Admite el progreso de las polticas y buenas destrezas en el registro de las tecnologas de toda la
organizacin. Resalta el desempeo regulatorio, ayuda a varias organizaciones a aumentar su
valor por medio de las tecnologas.
Con los mtodos de invencin con relacin al manejo de Tecnologas de la Informacin (TI) en
la enseanza universitaria, en totalidad las ocasiones, de las existencias y salidas tecnolgicas.
A pesar de un equilibrado enfoque del problema correspondera conducirnos a la unificacin de
los descubrimientos tecnolgicos en el contenido de la prctica de nuestros establecimientos.
Si no se deja de lado la ndole de cada uno de los establecimientos al incorporar las Tecnologas
de la Informacin en las tcnicas de la instruccin avanzada, menos en los cambios constantes
de la colectividad logre dejarnos al lmite. Lo indispensable despus de un estudio del tema en
que la invencin se ha de unir, desee el punto de vista territorial, didctico, tecnolgico u
organizacional.
-2-
A ms de esto se debe explicar y tratndose del tema universitario que invencin no se debe
considerar en totalmente que se trata de hacer investigacin. Los Autores Seurat y Morn en
1998 precisan que invencin es el destreza de utilizar en situaciones diferentes, con un
contenido exacto y fijando un objetivo claro, las ciencias, los mtodos, etc., se ha tomado en
cuenta que hacer invencin no se trata solo del producto de la investigacin
(http://aula.virtual.ucv.cl/wordpress/importancia-tic-en-la-edu-sup/, 2013).
Asimismo la aceptacin de la parte de las sociedades a una prspera y futura tecnologa,
subyugada y utilizada casualmente en otras reas de ejecucin, lo que se pone en destreza en el
contenido asociativo, social, metdico o publicitario con lleva a un hallazgo nuevo.
Como la falta de la gestin de los procesos tecnolgicos basados en una metodologa que ayude
a una buena gestin de las TI en la de Escuela de Ingeniera en Sistema de la ESPOCH resultan
ser poco eficientes, impide un mejor aprovechamiento de los recursos tecnolgicos disponibles
y que estn a disposicin de los usuarios (profesores, estudiantes, empleados, administrativos y
tcnicos).
Justificacin
Justificacin Terica
-3-
COBIT est encaminado al negocio, enlazando las metas de negocio con las metas de TI,
suministrando mtricas y modelos de madurez para medir sus logros, e identificando las
responsabilidades asociadas de los propietarios de los procesos de negocio y de TI. Perspectiva
hacia procesos, mediante un modelo que subdivide TI en 34 mtodos conforme a cuatro reas
de responsabilidad (Planear, Construir, Ejecutar y Monitorizar) (Universidad Metropolitana, 2013).
Estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje comn que ha
permitido a los gestores, entender el valor estratgico de las TI y a los responsables de los
sistemas de la informacin, la importancia de conducir sus acciones hacia el aporte del valor al
negocio. Las empresas en todo el mundo han utilizado COBIT para mejorar y evaluar sus
procesos de TI.
Permitido nicamente para uso acadmico, interno y no comercial y para encargos de consulta y
asesoramiento. Con el proceso investigativo que se realizar se lograr conseguir un
conocimiento amplio sobre la metodologa COBIT 5 y su aplicacin para el mejoramiento
prctico del uso de la tecnologa y el aprovechamiento de los recursos tecnolgicos de la
actualidad en la EIS.
Justificacin Prctica
Mejorando la gestin de los proceso con calidad de servicio y gobierno que COBIT 5 establece
como base para el desarrollo de la metodologa a proponer. Es de gran importancia que las
necesidades que existe de gestionar las TI, con mecanismos que proliferen las deficiencias que
impiden el mejor desempeo de la planificacin, organizacin y gestin de gobierno de las
tecnologas que la Escuela de Ingeniera en Sistema tiene para su desempeo tecnolgico y as
poder alcanzar un alto estndar de calidad tecnolgica, que mediante la metodologa a realizar
-4-
se lograr conseguir al hacer aplicada y gestionada como los mejores interese para el beneficio
de la EIS.
Objetivos
Objetivo General
Objetivos Especficos
Analizar la metodologa COBIT 5 aplicada a las TI de la EIS para el desarrollo del marco
terico
Analizar la situacin actual de los procesos y beneficios de las TI actualmente empleadas
en la EIS utilizando la metodologa de COBIT 5
Proponer una metodologa para mejorar la gestin de las TI en la EIS, utilizando tcnicas y
procesos que la metodologa COBIT 5 establece
Aplicar la metodologa a desarrollar en la gestin de los procesos tecnolgicos que se
realizan en la EIS
Hiptesis
-5-
1. MARCO TERICO
COBIT 5 acopla los 5 principios que admiten a la Empresa desarrollar de forma segura el marco
de Gobierno y Administracin enfocado en una sucesin de 7 habilitadores que tienen relacin,
que perfeccionan el financiamiento en informacin como tambin en tecnologa mediante lo
cual la utilizacin va en beneficio de los interesados (Isaca, 2013).
COBIT 5 es adaptable a todas las dimensiones de organizaciones incluidas a las pequeas
empresas, al conglomerado de grupos de diversos vendedores, entornos de tecnologa,
manufacturas, tradiciones y campos colectivos. Se lo puede utilizar en:
Seguridad de la informacin
Gestin de riesgo
Gobierno y administracin de TI en la empresa
Actividades de aseguramiento
Cumplimiento legislativo y regulador
Procesamiento financiero o informe de Responsabilidad Social Corporativa (RSC)
Toma de decisiones sobre el manejo de tendencias actuales como cmputo en la nube
Las organizaciones podran ser inducidas por COBIT 5 en llevar acabo las decisiones
fundamentadas en los requerimientos generales de los conjuntos de utilidad, la propuesta de
-6-
valores utilizables, como tambin los precios y peligros implicados por la incorporacin de
tecnologa de este tipo en la organizacin. Un especfico modelo es COBIT 5 el que ayuda
inducir a todas las organizaciones a las decisiones necesarias por encima del gobierno global de
la informtica en la espacio atmosfrico (Decisin TIC, 2013).
2013).
-7-
de fallas parciales o totales, cuando la informacin es el activo que se encuentra en riesgo
(Seguridad para Todos, 2014).
Seguridad de la Informacin es la disciplina que nos habla de los riesgos, de las amenazas, de
los anlisis de escenarios, de las buenas prcticas y esquemas normativos, que nos exigen
niveles de aseguramiento de procesos y tecnologas para elevar el nivel de confianza en la
creacin, uso, almacenamiento, transmisin, recuperacin y disposicin final de la informacin
((Seguridad para Todos, 2014).
Information Security sera la disciplina que encargara de proporcionar evaluar los riesgos y las
amenazas, trazar el plan de accin y adecuacin para minimizar los riesgos, bajo normativa o
buenas prcticas con el objetivo de asegurar la confidencialidad, integridad y disponibilidad en
el manejo de la informacin (activos) (Seguridad para Todos, 2014).
-8-
Es habitual que la Seguridad de la Informacin se apoye en una Poltica de Seguridad que se
desarrolla mediante la elaboracin de un Plan Director de Seguridad. La Direccin (de la
Organizacin / Empresa) ser la encargada de marcar las lneas de actuacin (estrategia) en
materia de Seguridad, y mediante el Plan Director determinar las medidas tanto tcnicas como
procedimentales (Seguridad como Proceso) que garantice los objetivos marcados por la Poltica
de Seguridad (Seguridad para Todos, 2014).
a) Recursos humanos. Como las distintas entre los trabajadores o departamento de personas
esenciales para la empresa, entorno general en la corporacin y norma social, exhibicin al
peligro (riesgo) de problemas con las asociaciones o delegados de los trabajadores.
-9-
b) Regulacin: Las necesidades controlables presumen un peligro (riesgo) progresivo, es
importante conocer y tramitar los compromisos de desempeo regulatorio,
fundamentalmente en reas como el econmico, seguros hospitalarios. La ejecucin de las
operaciones acatar en gran manera la del estndar de oficio.
c) Clientes: Es importante conocer las reas de dificultad con el mercado, de los campos de la
corporacin que se encuentra ms expuestas al problema en el asistencia a los usuarios.
b) Prdidas globales por obstculos del ejercicio: Es importante conocer los mtodos
vulnerables a un obstculo del servicio, para los procedimientos que una obstruccin
repercute en una merma presupuestaria por el corte del servicio al usuario o inclusive
sanciones por infraccin de pagos o por infraccin de normas. Esto comnmente se realiza
en el marco continuo del negocio.
-10-
b) Poltica outsourcing/offshoring: El enfoque de llevar a lo exterior los elementos no
esenciales del oficio para ayudar de capitales de nivel que lleven a desconocidos riesgos
entre la exhibicin a la realizacin de fallas de los distribuidores de servicio.
Para desarrollar este patrn de unificacin, es necesario conocer como mnimo estos estndares:
-11-
Gestin: Procedimientos de vigilancia y mtodos necesarios para obtener los objetivos
principales especificados por el consejo de la organizacin. Debe sujetarse a la orientacin
y seguimiento determinado por medio del gobierno empresarial.
Los principios
-12-
Modelo
-13-
Aspectos claves de la alta direccin
Contina
Criticidad de los servicios y el conocimiento de Resulta vital evaluar la criticidad de los servicios que TI
TI para el negocio Frmula ptima de proporciona para el negocio y, especialmente, la relevancia
aprovisionamiento de servicios de TI del conocimiento del negocio incluido en los sistemas de
informacin y en las personas que los construyen y
mantienen. Este nivel de criticidad ser un input esencial
para decidir la frmula ptima de aprovisionamiento de
servicios de TI, que puede combinar en diferentes grados un
equipo puramente interno.
Nivel de inversin / gasto razonable en TI Es una de las decisiones ms difciles de adoptar por los
rganos de gobierno de las empresas. Siempre se encuentran
necesidades insatisfechas de las reas de negocio y
posibilidades tecnolgicas propuestas por la gente de TI. En
la mayor parte de las ocasiones es muy difcil hacer un
anlisis coste-beneficio riguroso, lo que obliga a establecer
un nivel de gasto e inversin considerada "razonable".
Informacin peridica y puntual desde el CIO a La alta direccin debe disponer de una informacin
la alta direccin. Mtricas de rendimiento peridica y consistente del rendimiento de los servicios, los
proyectos, los procesos y la financiera de la TI. Para ello se
deben establecer unas mtricas que resulten significativas y
estadsticamente rigurosas.
Participacin de las reas de negocio y otras En determinados procesos de la gestin de TI,
reas de soporte en la planificacin y la gestin especialmente en la planificacin y gestin de la demanda,
de la demanda deben participar las reas de negocio y otras reas de
soporte (por ejemplo: RRHH), manteniendo una
colaboracin armoniosa.
Imputacin de los costes de TI a las reas de La alta direccin debe decidir cuales han de ser los criterios
negocio y sus productos, procesos o clientes de imputacin de los costes de TI al resto de las reas. En
muchas ocasiones no es algo pacfico, puesto que puede
tratarse de costes que impacten de forma relevante en las
cuentas de resultados de las reas de negocio.
Requisitos de seguridad de la informacin y los El nivel de exigencia en cuanto a requisitos de seguridad
procesos tiene un fuerte impacto en los costes y la gestin diaria de la
TI. Por lo tanto, ser importante establecer el nivel ptimo
que equilibre los costes y los riesgos globales.
Cuadro 1-1. Aspectos claves de la alta direccin
Fuente: Unsa, 2014
Sin embargo no hay solo una e infinitamente acogido concepto de Gobierno Tecnolgico de la
Informacin si se encuentra un consentimiento total por encima de la necesidad de contar con
un marco universal de gua para la colocacin, orientacin, seguimiento de las bases
estructurales y servicios Tecnolgicos de la Informacin.
-14-
Varias veces ITIL es lo considera como un marco de Gobierno Tecnolgico de la Informacin
y metas ms mdicas que se restringen nicamente a situaciones de administracin. Se aclara
las discrepancias que posiblemente sean beneficioso enviar a un modelo que se asla del
ambiente de las Tecnologas de la Informacin y del que en general estamos sensibles
entendidos: gobierno contra gestin oficial (Itil, 2014).
La Direccin Tecnologas de la Informacin es parte total del Gobierno Organizacional que por
lo mismo se ajustar en las reclamaciones de los servicios e subestructura Tecnolgicas que
poseen para lo venidero y sustentable de la corporacin aseverando su formacin con las metas
estratgicas. La creciente clase de los servicios Tecnolgicos de la Informacin para las
corporaciones se hace creer que en general los aspectos relativos con la Gestin Tecnolgica de
la Informacin que sera un hot topic en los aos venideros (Itil, 2014).
Conjunto de pasos por medio de lo cual la visin es establecida, los valores y la misin de una
organizacin, se examina su contexto externa e interna, se instituyen sus metas a extenso plazo,
y se manifiestan las habilidades que admitan lograr estas metas. Se lo hace a nivel corporativo,
se toma en cuenta una orientacin global de la entidad, motivo por el cual se fundamenta en
metas y habilidades que se consideran sencillas y generales, pero que involucra a una extensa
diversidad de acciones con diligencia (Crece Negocios, 2015).
-15-
1.1.3.2. Diseo Organizacional
DESEO
ORGANIZACIONAL
Proyeccin de los objetivos y metas desde las unidades superiores a las unidades ms
operativas, identificando y explicitando en cada nivel los aportes especficos que cada una de las
-16-
partes debe realizar a los objetivos y metas generales, y las responsabilidades que asumen en
este sentido (Parner Consulting, 2015).
La actividad que se refiere a la toma de decisiones dentro del rea funcional que se
ocupa del proceso de transformacin de insumos en productos o servicios que sean de
valor para los clientes de la organizacin. Funcin clave en las compaas que lleven a
cabo procesos de transformacin, que genera los productos o servicios para sus clientes
(Universidad de Cantabria, 2015).
-17-
direccin de ISACA o del comit adecuado y, en ltima instancia, en sanciones
disciplinarias.
Estndares generales (serie 1000): Principios de gua segn los cuales trabajan los expertos
de auditora y aseguramiento de Sistemas de Informacin. Representan a todas las
asignaciones y se centran en la tica, independencia, objetividad, debido cuidado,
conocimiento, competencia y habilidad de los profesionales de auditora y aseguramiento
de SI.
-18-
Declaraciones Descripcin
1402.1 Los profesionales de auditora y aseguramiento de SI deben
monitorear informacin relevante para concluir si la direccin ha
planeado/tomado la accin oportuna y apropiada para abordar los
hallazgos y las recomendaciones de la auditora.
Aspectos clave La funcin interna de auditora de SI debe establecer un proceso de
seguimiento para monitorear y asegurar que las acciones de la
direccin han sido implementadas de manera efectiva o que la alta
direccin ha aceptado el riesgo.
Enlace a los Tipo: Lineamiento
lineamientos Ttulo: 2402 Actividades de seguimiento
Fecha de Vigencia Este estndar de ISACA entrar en vigencia para todas las
asignaciones de auditora y aseguramiento de SI a partir del 1 de
noviembre de 2013.
Cuadro I-1. Estndares de auditoria y actividades de aseguramiento de los si 1402
Fuente: Isaca, 2014
2015).
El libro blanco es un documento que describe un problema determinado y propone una solucin
especfica. Inicialmente, estos documentos se utilizaban en la poltica del gobierno y hoy en da
son muy habituales en los entornos corporativos. Un libro blanco podra incluir maneras de
satisfacer las necesidades de mercadeo de los clientes, puede sugerir el uso de un producto
definido en un proceso tcnico o puede identificar conveniencias de optimizar la comunicacin
interna (Joffre Vargas, 2015).
-19-
1.2. Buenas prcticas en la gestin (Management Best Practices)
Hay varias herramientas de negocio que se pueden emplear en estas buenas prcticas,
incluyendo:
Evaluacin comparativa
Previsin
Planificacin financiera
Planificacin estratgica
Supervisin del rendimiento
El uso de indicadores clave de rendimiento (en ingls key performance indicators-KPI) es una
forma efectiva del control de su negocio. Los indicadores del rendimiento pueden ser usados
para medir el progreso en el logro de los objetivos a travs de una serie de actividades y
permitir identificar las reas que necesitan atencin (muy importante). Tambin se puede
utilizar para medir las actividades, tales como el volumen de ventas, la rentabilidad, la calidad y
la rotacin de personal (BitCompany, 2013).
Los indicadores clave de rendimiento (KPI) que usted elija dependern de su negocio
especfico. Sin embargo, deben estar relacionados con sus objetivos generales, ser claramente
medibles y proporcionar una indicacin de las mejoras que deben hacerse (BitCompany, 2013).
-20-
COBIT destaca el seguimiento regulatorio que soporta a las organizaciones a aumentar su valor
por medio de las tecnologas, y consiente su alineacin con los objetivos del negocio.
Varias empresas desconocen que para lograr tener un nivel de competencia y llevar acabo los
desafos con xito al cambio que le incita inflexiblemente la demanda, hay que entusiasmar al
grupo humano de trabajo, quedarse con los excelentes, infundirles una efectiva tradicin
empresarial para que se estn cmodos y siendo infalibles a la institucin.
La razn de que exista una empresa, el impulso por el cual existe. De la mima forma es la
determinacin de las ocupaciones fundamentales que la empresa va a eximir en un entorno
propicio para lograr tal misin. En la misin se describe: toda necesidad a cumplir, los clientes a
-21-
alcanzar, productos y servicios a ofertar. Caractersticas que toda misin debe tener son: amplia,
concreta, motivadora y posible (ClubPlaneta, 2014).
Tipos de misin
a) Misiones muy amplias: Ocasiona dejar unos bordes de ejecucin muy flexibles a la
empresa, lo que hace que ocasione confusin, porque los integrantes de la empresa no tiene
muy identificada la visin de la organizacin.
Importancia de la misin
Definir una identidad corporativa clara y determinada, que ayuda a formar la personalidad
y el carcter de la organizacin, de tal manera que todos los miembros de la empresa la
emparejen y sigan en cada una de sus acciones.
Da la oportunidad de que la empresa conozca cules son sus clientes potenciales, ya que se
ha establecido la identificacin corporativa, los recursos y capacidades, as como otros
elementos de la empresa; es mucho ms fcil acercarse a aquellos clientes que fueron
desacertados en la formulacin de la estrategia.
-22-
La misin tambin nos indica el mbito en el que la empresa desarrolla su desempeo,
permitiendo tanto a clientes como a proveedores as como a agentes externos y a socios,
conocer el rea que abarca la empresa.
Define las oportunidades que se presentan ante una posible diversificacin de la empresa.
Corresponden a ser los instrumentos o las formas que permitan conseguir los objetivos; los
objetivos deben ser los fines y las estrategias los medios que permitan lograr.
Corresponden llevar al xito de las metas con el mnimo de los componentes y con en el
ms pequeo perodo viable.
Corresponden ser claras y comprensibles para todos.
Corresponden estar organizadas y estar vinculados con las normas, compendios y lo social
de la corporacin.
Corresponden considerar convenientemente la capacidad y los recursos de la empresa.
Corresponden representar un reto para la empresa.
Corresponden poder ejecutarse en un tiempo sensato.
-23-
Uso de estrategias:
Tipos de estrategias
Estrategias generales: Las estrategias generales son consideradas para la empresa como
un todo, utilizan para alcanzar los objetivos generales de la empresa. Algunas muestras de
estrategias generales: Diversificar los productos, diversificar los mercados, competir en
base a los costos, competir en base a la diferenciacin, enfocarse en un segmento de
mercado especfico, fusionarse con otra empresa.
Estrategias especficas: Las estrategias especficas son las que sirven de ayuda para poder
acarrear a cabo las estrategias generales; las estrategias especficas ms populares y
manejadas son las estrategias de marketing.
(Crece Negocios, 2014).
Empresa fluida y adaptable. En capacidad dar respuesta de forma original a los diferentes
cambios que se forman en el ambiente.
-24-
Procedimientos de administracin legibles. Que le apruebe la colaboracin de ms
elementos en el diseo y realizacin de planes.
ISACA se ha fortalecido el mdulo de COBIT 5 para enfocarse a las compaas a realizar unos
habilitadores de gobierno tiles. Por hecho la ejecucin de un buen GEIT (Gobierno
Corporativo de la Tecnologa de la Informacin) es un poco inadmisible sin la efectuacin de un
modelo exacto de direccin. A ms de esto se encuentra a disposicin las buenas experiencias y
las normas que cubre a COBIT 5 (Isaca, 2013).
-25-
Todo las normas de buenas prcticas y reglas son propicios solamente si son acogidos y
aplicados de forma clara. Se debe prevalecer a varios desafos y solucionar varias cuestiones
para poder realizar GEIT de forma triunfante.
-26-
1.4. Principios de COBIT 5
Para todas las empresas la Informacin es una tctica exacta, se lo utiliza, se construye, se
informa, se detiene y elimina. Las ciencias aplicadas forman un documento exacto en todas esas
acciones, penetra todo los mbitos de la existencia particular y los negocios. El marco de
COBIT 5 Favorece a crear valor ptimo de Tecnologas de la Informacin por mantener un
equilibrio entre la optimizacin de los niveles de riesgo, la obtencin de beneficios y el uso de
recursos (FrancaVilla, 2013).
2013).
-27-
COBIT 5 se encamina en la direccin de organizaciones de tecnologas de informacin, a
discrepancia de su antepuesto, orientado especialmente al gobierno de Tecnologas de la
Informacin. Se enumeran los puntos que muestran las diferencias primordiales, para luego
expresar en qu se basa cada uno de estos:
1. Cinco principios
2. Dominio Evaluar, dirigir y monitorear
3. Modelo de referencia de procesos
4. Modelo de madurez de procesos
Proceso de metas e indicadores clave, Key Goal Indicators (KGI) y Key Process Indicators
(KPI), que en si su significado se especifica en los requerimientos de los interesados, dentro y
fuera que se convierten en una habilidad corporativo denominada cascada de metas, que
empieza con las fines de la organizacin, sigue con las fines coherentes de Tecnologa
(Magazcitum, 2014).
El Principio 1. Satisface los requerimientos de los beneficiarios. La empresa existe para crear
valor para sus interesados.
-28-
Figura 5-1. Creando valor la empresa para sus interesados
Fuente: FrancaVilla, 2013
La Empresa: Una empresa puede llegar a tener muchos interesados que en si es Crear Valor
se lo puede interpretar de diferentes formas y a veces con apuros para cada uno de estos.
Gobierno: Se basa en la negociacin y disposicin. Para las necesidades diferentes que los
interesados tengan.
-29-
Figura 6-1. Impulsores de los Interesados
Fuente: FrancaVilla, 2013
-30-
1.4.2. Principio 2: Cubrir a la empresa de un extremo a otro extremo
A todas las funciones y procesos se los considera dentro de la organizacin. COBIT 5 no est
solamente centrado en el gobierno de las Tecnologas de la Informacin, la comunicacin de los
datos y las tecnologas afines son ahora consideradas como bienes que tiene que ser
considerados por igual ante los dems activos.
Cubre: Dentro de la empresa todos los procesos y funciones. COBIT5 no solo se est enfoca
en la <<funcin de las Tecnologas de la Informacin>> considera a la informacin y las
tecnologas relacionadas como activos que necesitan que se los trate como cualquier otro en la
empresa (FrancaVilla, 2013).
-31-
1.4.3. Principio 3: Aplicar un solo marco integrado
COBIT para desempear este principio agrega los estndares y marcos ms distinguidos de la
industria:
ISO/IEC 31000, norma de gestin de peligros (riesgos), compendios y reglas, como meta
primordial se enfoca en apoyar a las empresas de todos las clases y dimensiones a gestionar
los peligros (riesgos) organizacionales con solidez.
Todo anterior es con la tentativa de motivar que las organizaciones manejen COBIT como
un modelo completado de gobierno y gestin Tecnolgica de la Informacin.
(Magazcitum, 2014).
ISO 9001 es una de las muchas otras sucesiones de reglas de procedimientos de administracin
de la excelencia. Permitira dar apoyo a colocar de ostensible de lo bueno de una institucin que
-32-
se enfoque en entender los mtodos de encomiendas de paquetes y asistencia de servicios a los
usuarios. La cadena de reglas ISO 9001 se estructura de:
ISO 9000 Compendios y glosario de trminos: Expone al cliente los conceptos inferiores
a los procedimientos de administracin y explicita el conjunto de trminos manejada.
ISO 9001 Necesidades: Define los razonamientos que corresponden efectuar si se anhela
funcionar acorde a los estndares y conseguir la acreditacin certificada.
ISO 9004 Preceptos para optimizar la utilidad: fundamentada en los ocho compendios de
administracin de la eficacia, los preceptos se han pensado para que las manejen el
conjunto de dirigentes como modelo para llevar a las instituciones hacia la buena utilidad,
habiendo tomado en cuenta los requerimientos generales de los involucrados, no slo de los
usuarios.
1. Beneficios internos:
Mejor documentacin.
Mayor conocimiento de la calidad.
Cambio "cultural" positivo.
Incremento de la eficiencia y productividad operacional.
Mejoramiento de la comunicacin.
Reduccin de costos (desperdicio y reproceso)
-33-
2. Beneficios externos:
Una percepcin mayor de la calidad.
Se mejora la satisfaccin del cliente.
Es una ventaja competitiva.
Reduccin de auditoras de calidad por parte del cliente.
Aumento de la participacin en el mercado
1. Creacin de procedimientos.
2. Falta de compromiso de la Direccin.
3. No seguir los procedimientos establecidos.
4. Resistencia por parte de los empleados.
5. Interpretaciones conflictivas.
6. Requerimientos de entrenamiento.
7. Tiempo de implementacin exigido.
8. Polticas o procedimientos "heredados".
9. Implementacin de acciones correctivas.
10. Calibracin de instrumentos y/o equipos.
11. Falta de informacin
Las normas de la serie 9000 han venido adquiriendo una enorme importancia a nivel mundial,
debido, principalmente, a las ventajas que se derivan de su aplicacin. Entre ellas se destacan
las siguientes:
2. A partir del diagnstico, brindan las bases necesarias para estructurar programas de
mejoramiento de calidad y, consecuentemente, planes de auditoria- interna para el
aseguramiento de la calidad
-34-
4. Presentan modelos reconocidos universalmente de aseguramiento interno y externo de los
sistemas de calidad de las empresas manufactureras
6. Conforman una estrategia gerencial para consolidar las polticas de calidad total y de
productividad y consolida la imagen de prestigio que requieren las empresas para ampliar
sus mercados a nivel nacional e internacional.
(QuimiNet, 2014).
-35-
1.4.4.1. Habilitadores de COBIT 5
7. Personas, habilidades y competencias: Son muy importantes para culminar con triunfo
en general las diligencias. Por esto COBIT contiene una matriz RACI para los mtodos,
fundamentos de forma global una estructura de perfiles de sitios suficientemente total.
(Magazcitum, 2014).
Individualmente o colectivamente estos elementos influyen para que algo funcione. Inducidos
por la cascada de objetivos: Como muestra, los objetivos de alto nivel de Tecnologa de la
Informacin que precisan cuales son los diferentes facilitadores que corresponden efectuar.
-36-
necesitan informacin, estructura organizacional, habilidades y comportamiento. Entregan
salidas para el beneficio de otros facilitadores (FrancaVilla, 2013).
Lo que hace COBIT 5 es reconocer que estas dos mtodos contienen clases de diligencias y
bases organizacionales distintas, que se utilizan para intenciones diferentes, la direccin es
obligacin del consejo directiva, por otro lado que la gestin es compromiso del nivel alto de
gestin, dirigido por la tutora del CEO (Chief Executive Officer, Director Ejecutivo=Gerente
General) (Magazcitum, 2014).
-37-
Por esta razn se adherido un control propio orientado a gobierno y se renovaron los 4 que ya
posea para la gestin.
Se centra en cinco dominios el nuevo modelo de referencia, con uno orientado, como se ha
mencionado antes, nicamente a la gobernabilidad. Son los mismos de Cobit 4 los otros cuatro
que se orientan a la gestin; no obstante, el nmero es diferente y el comprendido de sus
tcnicas por lo que entonces asimismo el nmero de los objetivos de control de alto nivel es
diferente, quienes de ser 34 hoy se transforman en 37 (Magazcitum, 2014).
-38-
Une los principios de diferentes mdulos de gua que no es de ISACA
Consigue ser manejado como una referencia para concordar el estndar de tcnicas.
-39-
Figura 11-1. Modelo de referencia de procesos de Cobit 5
Fuente: Isaca, 2014
-40-
1.4.5.3. Modelo de madurez de procesos
Diferente idea muy significativo es que actualmente el estndar de criterio de los mtodos se
centra en el modelo ISO-15504, suministrando una categoria de valoracin ms conforme a los
mtodos de Tecnologas de la Informacin y acrecentando el nivel de requerimiento relacin a
lo que debe desempear cada mtodo para escalar de horizonte, por que el modelo ajustado
planea que se deben efectuar los 9 particularidades determinados para cada mtodo como
exigencia para ratificar dicho valor de razn (Magazcitum, 2014).
Es diferente y no se logra combinar la evaluacin realizada bajo este nuevo modelo de COBIT 5
que es mas exigente y se debera obtener resultados con menor nivel de madurez, que con las
evaluaciones de COBIT 4.1 por la razn de que se distorcionan los resultados por las diferentes
exigencias.
Mtodo parcial
Mtodo avanzado
Mtodo gobernado
Gestin del ejercicio
Gestin del producto de labor
Mtodo determinado
Especificacin del mtodo
Adelanto del mtodo
Mtodo imaginable
Gestin del mtodo
Inspeccin del mtodo
Mtodo mejorado
Mtodo de invencin
Mejoramiento del mtodo
(Magazcitum, 2014).
-41-
1 Inicial. Existe seguridad de que la institucin ha registrado que los inconvenientes estn y
que solicitan ser remediados. No existen mtodos normalizados pero en hay tcnicas ad hoc
que extienden a ser estudiosos en modo particular. Como procedimiento frecuente de la
gestin es desconcertado.
Para establecer metas para en el cual precisan estar confrontando las experiencias de inspeccin
de su corporacin con los modelos de la buena destreza es necesario de las escalas del Modelo
de Madurez que ayudarn a la gerencia guiar para la explicacin a los administradores donde
existen deficiencias en la Administracin TI. El horizonte adecuado de conocimiento ser
llevado por las metas de oficio y el ambiente operante de la organizacin. Individualmente, a
raz del criterio de inspeccin cumplir la dependencia de Tecnologa de la Informacin que
posea la empresa, de la sofisticacin de la tecnologa, siendo lo ms importante el valor de su
informacin (Network SEC, 2014).
-42-
Figura 12-1. Las tres dimensiones de la madurez segn Cobit
Fuente: Youblisher, 2014
-43-
1.4.5.3.3. Nivel de arquitectura de la informacin
La orientacin del plan de infraestructura tecnolgica se encuentra promovida por los normas y
adelantos tcnicos e universales, en vez de estar dirigida por los proveedores de tecnologa. Hay
una ocupacin de indagacin que examina las tecnologas salientes y progresivas, para valorar
la institucin por similitud frente a las reglas industriales (Youblisher, 2014).
-44-
las juntas de orientacin, audiencia interna y gestin de vendedores. La institucin de
Tecnologas de la Informacin est operacionalmente lista (Youblisher, 2014).
Hay especificaciones de las ocupaciones a ser construidas por parte de las personas de
Tecnologa de la Informacin y las que corresponden elaborar los clientes. Las necesidades
fundamentales de personal de Tecnologas de la Informacin, con experiencia deben estar
determinados y satisfechos. Se encuentra de definida de manera sensato los compromisos con
los usuarios y con intermediarios. La segmentacin de relaciones y compromisos se encuentra
muy bien definida e establecida.
Las normas, los mtodos para financiamiento y capitales se hallan establecidas, argumentadas,
informadas, abarcan argumentos exactos de ejercicio y de tecnologa. El financiamiento de
Tecnologas de la Informacin est orientado con los procedimientos importantes de
Tecnologas de la Informacin y con los planes del negocio (Youblisher, 2014).
-45-
pudo instituir un bosquejo de giro, trazado para difundir las destrezas de direccin y de
ejercicio.
El QMS (Sistemas de Gestin de Calidad) est unido y se usa a para todas las diligencias de
Tecnologas de Informacin. Todos los mtodos de QMS son elsticos y configurables a las
transformaciones en el entorno de Tecnologas de la Informacin. Mejoramiento del
fundamento de instrucciones para las mediciones de eficacia con las excelentes experiencias
exteriores. Se efecta benchmarking frente a esquemas exteriores frecuentemente (Youblisher, 2014).
1.4.5.3.9. Benchmarking
El sistema metdico y perpetuo para medir equivalentemente servicios, productos y/o mtodos
de responsabilidad en instituciones que demuestren las excelentes experiencias en los lugares de
importancia, con la intencin de trasladar el conocimiento de las buenas destrezas y su
ejecucin (Luis Maram, 2015).
Es una metodologa para evaluar los productos o servicios de competencia para mejorarlos con
respecto a otras empresas. Encontrar brechas para incluir en la planificacin para incorporar
nuevas prcticas a la gestin de las TI para mejorarlas (Joffre Vargas, 2015).
-46-
de Tecnologa de la Informacin, se halla bien aceptada, asimismo tiene a los usuarios de
servicios Tecnolgicos.
-47-
Ciclo PBRM (Process Build Execute Monitor)
(FrancaVilla, 2013).
-48-
2. MARCO METODOLGICO
2.2. Mtodos
-49-
2.3. Planteamiento de la Hiptesis
2.4. Variables
-50-
Tabla 2-2. Operacionalizacin Metodolgica
HIPTESIS VARIABLES INDICADORES INDICES SUBINDICES OBSERVACIONES
Otros
-51-
Operacionalizacin Metodolgica
Contina
Outpost Firewall
CFS
IPCop
APF
KISS Firewall
Otros
Deteccin de Intrusos, Snort Documento de Word
Anomalas y Correlacin de Ax3soft Sax2 pgina(20) y en las pginas
eventos Smartxac Web: Search Data Center
ArcSight en Espaol, Softpedia,
-52-
Operacionalizacin Metodolgica
Contina
Plan estratgico Pginas Web: Universidad
de Concepcin Chile y
Universidad Austral de
Chile
-53-
Operacionalizacin Metodolgica
Contina
Eventos de Auditoria Pginas Web: Impulso
Tecnolgico y Ub
Actividades para la Planificacin, diseo, Documento de Word
Administracin desarrollo, despliegue, pgina(29,30,31,32,33)
operacin, gestin y
aplicacin de las TI
Principios Responsabilidad
Estrategia
Adquisicin
Rendimiento
Conformidad
Modelo Evaluar
Dirigir
Monitorizar
Posicin de la Organizacin
de TI en el organigrama
general de la Empresa
Nivel de inversin / gasto en
TI son razonables
Continuar
-54-
Operacionalizacin Metodolgica
Contina
Recibe Informacin Consistencia del
Peridica y Puntual rendimiento de
los servicios
Proyectos
Procesos
Financiamiento
TI
Actividades de Estndares Auditora y Documento de Word
Aseguramiento aseguramiento pgina(35,36,37)
de Sistemas
Informticos
1402
Generales - serie
1000
Desempeo -
serie 1200
Reportes - serie
1400
Lineamientos Generales - serie
2000
Continuar
-55-
Operacionalizacin Metodolgica
Contina
Desempeo -
serie 2200
Reportes - serie
2400
Otros
Herramientas y tcnicas Libros blancos
Programas de
Auditoria/Asegu
ramiento
Familia de
Productos
COBIT 5
Otros
-56-
Operacionalizacin Metodolgica
Contina
La informacin fluye
multidireccional
Herramientas de gestin de
cdigo abierto
Nuevos entornos
colaborativos
P2. Gestionando TI Requerimientos para la Documento de Word
como si fuera una Estrategia pgina(53,54)
empresa Requerimientos para la
Operacin
Informacin y las tecnologas
tratadas como activos
Roles, Actividades y
Relaciones
Continuar
-57-
Operacionalizacin Metodolgica
Contina
P3. Estndares y COSO Ambiente de Documento de Word
Marcos ms Control pgina(55) y pgina Web:
Relevantes de la Asociacin Espaola para
Evaluacin de
Industria la Calidad
Riesgos
Actividades de
Control
-58-
Operacionalizacin Metodolgica
Contina
ISO/IEC 31000 ISO/IEC Documento de Word
31000:2009 pgina(55) y pgina Web:
Principios y ISOTools
Directrices
sobre la
Aplicacin
ISO / IEC
31010:2009
Gestin de
Riesgos
Tcnicas de
evaluacin de
riesgos
Gua ISO
73:2009 -
Gestin de
Riesgos
Vocabulario
Continuar
-59-
Operacionalizacin Metodolgica
Contina
ISO-38500 Responsabilidad Documento de Word
Estrategia pgina(55) y pgina Web:
Adquisicin OrciLatam
Rendimiento
Conformidad
Factor humano
ITIL Gestin de la Documento de Word
Infraestructuras pgina(55) y pgina Web:
TI ITIL
Planificacin
para
Implementacin
Gestin de
Aplicaciones
Gestin de
Servicios
(Provisin y
Soporte)
Perspectiva del
Negocio
Continuar
-60-
Operacionalizacin Metodolgica
Contina
The Open Group Mtodo para Documento de Word
Architecture Framework Desarrollar la pgina(55) y pgina Web:
(TOGAF) Arquitectura Milestone
(ADM)
Continuum
Empresarial
Recursos de The
Open Group
Architecture
Framework
(TOGAF)
Nivel de Planes realistas a largo plazo Documento de Word
Planeamiento de TI pgina(70,71)
Evaluaciones por
comparacin con normas
industriales
Nivel de Avances Plan fuerte de infraestructura Documento de Word
Tecnolgicos tecnolgica que manifiesta pgina(72)
los necesidades del negocio
Continuar
-61-
Operacionalizacin Metodolgica
Contina
Proceso permanente para
optimizar el plan de
infraestructura tecnolgica
Uso de las excelentes
prcticas de la industria de
manera extensa
Nivel de Despliega, documenta, Documento de Word
organizacin comunica y se ajusta con la pgina(72,73)
estrategia de TI
Especificacin del entorno de
inspeccin intrnseco
Formulacin de las acuerdos
con intermediarios, juntas de
orientacin, auditoria interna
y gestin de vendedores
Director TI Aseguramiento del Documento de Word
cumplimiento de objetivos pgina(75,76)
empresariales
Continuar
-62-
Operacionalizacin Metodolgica
Contina
Evala necesidades, condiciones y
opciones de los interesados
Dirige a travs de la importancia de
seleccin y toma de disposiciones
Supervisa el ejercicio y acatamiento
ante la directiva y las metas especficas
Ciclo EDM (Monitoreo Directo y
Evaluacin)
Tcnico TI Planear, Construir, Operar y Supervisar
Anlisis de Riesgos
-63-
2.5. Instrumentos de Recoleccin de datos
2.5.1. La Entrevista
2.5.2. La Encuesta
2.5.3. La Observacin
-64-
3. MARCO DE DISCUSIN Y ANLISIS DE RESULTADOS
La escala de medicin que se utiliza para esta investigacin que se realiza con la ayuda de la
observacin, entrevista y encuesta con la cual se representan los datos que han sido obtenidos
para su respectiva interpretacin y anlisis de la utilizacin de COBIT 5 en la EIS, la parte
cualitativa representada por los criterios: Siempre, A veces, Rara vez, Nunca, Bastante,
Medianamente, Poco y Nada. La cuantificacin est dada por los 4 valores equivalentes, como
se puede ver con ms detalle en la Tabla IV.1.
-65-
normativas, plan estratgico, configuraciones seguras y eventos de auditoria, se analizan de la
siguiente forma:
Divulgacin Controlada de la
Informacin
100,00%
75,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Divulgacin Controlada
-66-
autorizadas porque no existe un lector de huellas digitales y cmaras de vigilancia, para evitar
la prdida de los dispositivos.
Destruccin Autorizada de la
Informacin
100,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Destruccin Autorizada
-67-
3.2.3. Antivirus
Antivirus para la seguridad de la informacin de la EIS en los procesos de gestin TI, datos
representados por el criterio y el valor equivalente obtenidos en la encuesta realizada, tambin
con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 4.
Representacin grfica del uso de los antivirus, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 3.
-68-
3.2.4. Firewalls
Firewalls para la seguridad de la informacin de la EIS en los procesos de gestin TI, datos
representados por el criterio y el valor equivalente obtenidos en la encuesta realizada, tambin
con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 5.
Representacin grfica del uso de los firewalls, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 4.
Para el control del flujo de paquetes de informacin de las redes en los laboratorios y prohibir la
navegacin de contenido prohibido (pornografa) y daino (hackers) siempre se utiliza el
firewall FortiGate administrado por el Desitel para la gestin de las redes en la EIS, de la
empresa Fortinet en Ecuador que ofrece de forma conjunta con su equipamiento los servicios
profesionales que garantizan el soporte, la actualizacin y el correcto mantenimiento, las
caractersticas de esta tecnologa es una poderosa combinacin de software y hardware basada
en el uso de Circuitos Integrados de Aplicacin Especfica, a travs de la cual es capaz de
ofrecer el procesamiento y anlisis del contenido del trfico de la red sin que ello suponga
ningn impacto en el rendimiento de las comunicaciones, incluye el Procesador FortiASICTM y
-69-
el Sistema Operativo FortiOSTM los cuales forman el ncleo de los equipos y son la base del
alto rendimiento ofrecido.
Representacin grfica de la deteccin de intrusos, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 5.
El control y monitoreo de las redes y sistemas para la deteccin de anomalas, como la cada de
algn enlace (fibra ptica, cableado utp y coaxial), fallos de hardware (router y switch cisco,
servidor Windows o Linux) y software (Windows server, Linux Centos, Algoritmo de enlace
-70-
redundante - Spanning Tree) siempre es realizado por el Tcnico de la EIS el control de estos
eventos, por medio de la revisin en in-situ si hay algn inconveniente en la trasmisin de datos
o en el levantamiento de los servicios (internet, red, servidores), pero no utiliza algn sistema
(Snort, Ax3soft Sax2, Smartxac y ArcSight) que permita la deteccin previa de intrusos y
anomalas o eventos que envi alertas de seal de aviso de cualquier incidente que pueda
ocurrir.
Anlisis de riegos para la seguridad de la informacin de la EIS en los procesos de gestin TI,
datos representados por el criterio y el valor equivalente obtenidos en la encuesta realizada,
tambin con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 7.
Representacin grfica del anlisis de riegos, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 6.
Los Tcnicos y el Director de la EIS rara vez realizan el plan de mantenimiento de los equipos
de cmputo de los laboratorios, que consiste en tener una fecha peridica y un horario en el que
realizan el formateo de los sistemas operativos, limpieza, instalacin y actualizacin de los
-71-
antivirus y dems programas necesarios, conGrficociones de las redes y la reparacin o el
cambio de algn dispositivo (memoria RAM, disco duro, cable de red, etc.) daado, pero hay
tambin computadoras que se daan fuera de lo planificado, nunca mantienen una planificacin
en el caso de que ocurra este incidente en las horas de clases de los estudiantes y docentes para
que pueda ser remplazados por otros equipos, y en el caso de que se corte la luz
intempestivamente pueda ser remplazado por un generador de corriente que permita continuar
con el servicio TI dentro de la jornada de trabajo sin interrupcin, no existe un documento
donde este escrito todos los riegos (entre otros: erupcin volcnica, terremotos, huracanes,
heladas, etc.) que puedan afectar la estabilidad de las Tecnologas.
3.2.7. Normativas
Normativas para la seguridad de la informacin de la EIS en los procesos de gestin TI, datos
representados por el criterio y el valor equivalente obtenidos en la encuesta realizada, tambin
con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 8.
Representacin grfica de las normativas, en el eje de las (Y) est representado los porcentajes y
en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en la Grfico IV:
7.
-72-
El Tcnico de la EIS a veces cumple con las normas estipuladas, como es la puntualidad de
llegar a las 7 en punto de la maana y estn abiertos los laboratorios, que por lo general est
listo a las 7:05 a 7:10, como tambin realizar el mantenimiento de los laboratorios en la fecha y
hora que est dentro del plan, en su mayor parte es realizado un da despus o antes
dependiendo de la disponibilidad de la persona encargada, los antivirus a veces estn
actualizados para la proteccin de software daino, el Director de la EIS debera estar a las 8:00
am todos los das, como se pudo observar en algunas de las ocasiones est de las 8:05am a
8:10am.
Plan estratgico para la seguridad de la informacin de la EIS en los procesos de gestin TI,
datos representados por el criterio y el valor equivalente obtenidos en la encuesta realizada,
tambin con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 9.
Representacin grfica del plan estratgico, en el eje de las (Y) est representado los porcentajes
y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en la Grfico
IV: 8.
Las estrategias de la EIS son realizadas rara vez por el Tcnico y Director, como el
mantenimiento de los laboratorios, la actualizacin del software y el cuidado (Pintar, arreglar
-73-
algn mueble daado, imperfecciones en canaletas que cubren cables, toma corrientes en mal
estado, dispositivos electrnicos en mal funcionamiento) de la infraestructura, pero no existe
planes de mejoramiento continuo en el que se estipule la calidad de los servicios (internet,
equipos sin fallas de funcionamiento, software y hardware a la vanguardia de las tecnologas,
etc.), que permitan mejorar el aprendizaje e investigacin de los estudiantes y docentes. Rara
vez se utiliza la multimedia, la virtualizacin y el e-virtual en los laboratorios para la enseanza
como avances tecnolgicos que impulsan la creacin de nuevas capacidades de adquirir
conocimiento. No hay un documento donde este escrito todo el plan estratgico de mejora
continua para cumplir con metas u objetivos ayudados por la implementacin de nuevas
herramientas (pizarras interactivas, video conferencias Skype, etc.) de tecnologa para las TI de
la EIS.
Representacin grfica de las Configuraciones seguras, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 9.
-74-
Las configuraciones seguras son realizadas a veces por el departamento del Desitel y el Tcnico
de la EIS, como es la configuracin del protocolo https (navegacin segura en la web) y el tc/ip
(acceso a internet), vlans (subredes lgicas dentro de una red) para la mejor administracin por
segmentos dentro de una red local, la actualizacin de paquetes a la ltima versin de software
de los sistemas operativos (Windows Server y cliente 7, 8, Linux Centos y Ubuntu, etc.),
otras herramientas(vnc, TeamViewer, etc.) para las conexiones seguras. No se instalan y
actualizan paquetes de seguridad, como son los parches para eliminar alguna vulnerabilidad en
los S.O de los Servidores. Nunca utilizan configuraciones de VPN (Red privada Virtual) dentro
de las redes que los docentes utilizan para navegar en el sistema de notas y plataforma virtual
(oasis y e-virtual).
Representacin grfica de los eventos de auditoria, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 10.
-75-
El Tcnico de la EIS conjuntamente con el departamento de Control de bienes de la Espoch,
realizan a veces el inventario de los bienes (computadores, routers, switch, sillas, mesas,
escritorios, etc.), pero no se realiza la auditoria interna de los servicios (internet fijo e
inalmbrico, laboratorios, herramientas de software con licenciamiento y Open Source con las
ltimas versiones de actualizacin) en cuanto vulnerabilidades, rendimiento (ancho de banda del
internet y de los canales de transmisin de datos) y software (Aquad 7gratuito, Atalas.ti
gratuito, Ethnograph) adecuados para la investigacin que ayuden a las grandes
cuantificaciones de datos en la administracin de los proyectos, para mejor el aprovechamiento
de los recurso Tecnolgicos que la EIS dispone.
Representacin grfica de los Estndares y Marcos, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 11.
80,00%
60,00%
40,00%
20,00%
0,00%
0,00%
Estandares y Marcos
-76-
El Director ni el Tcnico de la EIS, nunca utilizan estndares para la gestin de las TI que la
metodologa de COBIT 5 recomienda, como son los siguientes: al utilizar el Comit de
Patrocinio de Organizaciones de la Treadway (COSO) ayudar a tener un mayor control interno
de la mejora en la comunicacin (entre: tcnico, director, docentes, estudiantes y empleados),
optimizacin de recursos (internet, red, equipos, accesibilidad y rendimiento), integracin de
sistemas de gestin (Sistema de Informacin de la EIS), promover la gestin de riesgos
(terremoto, erupcin volcnica, falta de energa, indisponibilidad de red, internet, servidores y
laboratorios). ISO/IEC 31000 ayuda a la administracin de riesgos, principios y directrices
(mantenimientos, inventarios, etc.), la cual tiene como objetivo gestionar los riesgos
empresariales con efectividad. ISO-27000, enfocada en el tema de seguridad (Deteccin de
intrusos, anomalas en la red, infecciones de virus, hackers, etc.) informtica con la
incorporacin de un sistema de gestin de seguridad de la informacin (SGSI). ISO/IEC 38500,
ayuda a entender y cumplir cabalmente las obligaciones legales (rendicin de cuentas,
inversiones, calidad de servicio, cumplimiento de las leyes de educacin superior, etc.),
regulatorias (reglamento de acreditacin, horarios laborales y gestin, etc.) y ticas (honestidad,
responsabilidad, transparencia, etc.) a Administrativos respecto al uso de TI. ITIL, mejores
prcticas para los servicios (velocidad de navegacin de internet, enlaces redundantes de red,
disponibilidad y rendimiento de los equipos de cmputo de los laboratorios, etc.) con un
enfoque de procesos TI.
-77-
Representacin grfica de los Sistemas de Calidad, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 12.
Grfico 12-3. Utilizacin de los sistemas de gestin de calidad en las ti de las eis
Fuente: Joffre Vargas, 2015
El Tcnico y el Director de la EIS a veces se organizan para gestionar el sistema de calidad que
prcticamente est basado en la realizacin de anlisis, reuniones y planificaciones para la
adquisicin de nuevos dispositivos informticos (equipos de cmputo, proyectores, pantallas
gigantes, racks, etc.) dependiendo de la previa planificacin y necesidad de mejor las
Tecnologas, tambin se realiza a veces la previa descripcin de las TI que ya existe para tener
un plan de control de inventarios con el objetivo de llevar un registro, para mejorar veces el
sistema de gestin realizando la auditoria interna por parte del departamento de control de
bienes de la Espoch, pero nunca llevan los registros de software con licenciamiento (Windows
7/8, visual estudio, slq, etc.) y sin licenciamiento (Centos, Ubuntu, OpenOffice, etc.).
-78-
Representacin grfica de la Metodologa Benchmarking, en el eje de las (Y) est representado
los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles
en la Grfico IV: 13.
El Tcnico y el Director de la EIS rara vez realizan planificaciones para adquirir nuevas
tecnologas (servidores de alto rendimiento para la investigacin, sper computadoras, equipos
con tecnologa a la vanguardia, etc.) para incorporarlos a las TI, dependiendo del presupuesto,
del nmero de dispositivos obsoletos y tambin del espacio fsico que disponga el edificio de la
Escuela de Sistemas, pero nunca identifican las brechas (la falta de horarios fijados para
investigacin en el uso de los laboratorios, saturacin del sistema oasis y del aula virtual en
tiempos de matrculas, bloqueo de pginas sin contenido daino, laboratorios con poca
capacidad de espacio y pocos equipos para muchos estudiantes) que existe en los servicios, para
incluirlas en la planificacin e incorporar nuevas prcticas a la gestin de las TI y mejorar estas
fallas. Falta de analizar nuevas tecnologas de otras universidades (Harvard, Massachusetts,
Stanford, Cambridge, etc.) para adaptarlas las que estn al alcance de la EIS, como tambin el
uso de la metodologa benchmarking (para la gestin de servicios y productos). No existe un
documento formal escrito de estos puntos importantes mencionados.
-79-
lineamientos, herramientas y tcnicas para las actividades de aseguramiento, se analizan de la
siguiente forma:
Estandares de Aseguramiento TI
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
0,00%
Estandar de Aseguramiento TI
El tcnico y el Director de la EIS nunca utilizan los estndares de: Auditoria y aseguramiento de
SI 1402, Generales de la serie 1000, Desempeo serie 1200, Reportes serie 1400. Para el
fortalecimiento TI en las actividades (Auditoria, reportes de informacin de los servicios e
inventarios, planificacin, orientacin al auditor en tica y objetividad) y procesos
(Mantenimiento, control de acceso no autorizado, monitoreo de los servicios, etc.) que se
realizan en la Gestin de las Tecnologas de la Escuela de Sistemas.
-80-
3.5.2. Lineamientos para las Actividades de Aseguramiento
Lineamientos de Aseguramiento TI
100,00%
80,00%
60,00%
40,00%
25,00%
20,00%
0,00%
Lineamientos de Asegurmiento TI
Los lineamientos de Aseguramiento TI de la EIS rara vez son utilizados los establecidos por el
Tcnico y el Director, estos lineamientos son: dar mantenimiento a los equipos de cmputo en
fecha y hora establecida, pero no utilizan los lineamientos (Generales serie 2000, desempeo
serie 2200, reportes serie 2400) que COBIT 5 establece para los principios (tica,
independencia, objetividad, diligencia, conocimiento, competencia y habilidades) de operacin
que los profesionales deben operar, realizar la planificacin y la emisin de reportes.
-81-
3.5.3. Herramientas y Tcnicas para las Actividades de Aseguramiento
Herramientas y Tecnicas de
Aseguramiento TI
100,00%
80,00%
60,00%
40,00%
15,00%
20,00%
0,00%
Herramientas y Tcnicas
El Tcnico de la EIS nunca utiliza la tcnica de los Libros blancos (Descripcin y solucin a
problemas: prdida de dispositivos, falta de sealizacin en el edificio, automatizar procesos
manuales de los inventarios internos, etc.), Programas de Auditoria y Aseguramiento (descritos
anteriormente en los Lineamientos), tampoco el uso de Familias de Productos COBIT 5 (Guas
Profesionales, Informacin de Habilitacin, Programa de Evaluacin COBIT). La herramienta
CloneZilla es utilizada para realizar la tcnica de clonacin de los discos duros para a hacer ms
rpido el formateo de los equipos de cmputo, ya que evita la instalacin de muchos programas
por cada computadora.
-82-
3.6. Procesos que desempean el Tcnico de la EIS
Los Procesos que desempea el Tcnico en la gestin TI de la EIS en planear, construir, operar,
supervisar, actividades fijadas y acordadas por el director de la EIS, proceso, construccin y
monitoreo de las TI, se analizan de la siguiente forma:
Planea, construye, opera y supervisa las TI el Tcnico de la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 18.
El Tcnico de la EIS a veces planea el control del ingreso a personas no autorizadas a los
laboratorios, construye el registro de ingreso en hojas de papel y el plan de mantenimiento,
-83-
tambin supervisan que los equipos estn en funcionamiento y que no se hayan sustrado o
perdido algn dispositivo. Pero no planea mejorar el acceso no permitido a los laboratorios y
tampoco construir una tcnica (Lector de Huellas Digitales, Sistema de Registro, etc.) para este
proceso. A veces controla de que los servicios estn en funcionamientos en horas de trabajo,
pero no realizan operaciones de control (rendimiento, flexibilidad, interferencias, etc.) de estos
servicios (internet, red, equipos, etc.).
Actividades fijadas y acordadas por el Director de la EIS para que el Tcnico lo realice, datos
representados por el criterio y el valor equivalente obtenidos en la encuesta realizada, tambin
con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 19.
Representacin grfica de las Actividades fijadas y acordadas por el Director de la EIS, en el eje
de las (Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se
puede ver con ms detalles en la Grfico IV: 18.
80,00% 70,00%
60,00%
40,00%
20,00%
0,00%
Actividades fijadas y acordadas
-84-
informticos, pero no se planifica el mejoramiento de los servicios tcnicos como la
configuracin de los sistemas operativos para que no se infecten con virus (desactivar la
reproduccin automtica de dispositivos extrables de almacenamiento, la configuracin de
polticas para la instalacin de software, etc.) y desactivar las actualizaciones de paquetes
dainos para el S.O1., que afectan (en lentitud, demora en apagar y encendido del equipo, etc.)
a las computadoras con Windows, a pesar de que el disco duro est congelado, estas
afectaciones son a nivel de operacin del computador, visibles para el usuario (Estudiantes,
Docentes, Empleados).
1
Sistema Operativo
-85-
El Tcnico a veces realiza la construccin de horarios conjuntamente con el Director, para las
horas clases manteniendo un orden determinado, monitorea los equipos de los laboratorios
(Redes, Multimedia, Programacin, Interoperabilidad) que estn en buenas condiciones para su
buen funcionamiento y servicio a los docentes, estudiantes de la EIS. Pero no hay un plan de
ejecucin de prevencin de Riesgos (Corte luz, Cada del enlace de red interno, Infeccin a gran
escala de virus en los equipos de Cmputo, Incendi, Ereccin Volcnica del Tungurahua,
Temblor, Plan de Evacuacin a las Personas en caso de Alguna de estas inseguridades, etc.). No
hay documentos formales escritos que describan estos puntos mencionados anteriormente.
Planificacin, diseo, desarrollo, despliegue, operacin, gestin y aplicacin de las TI para las
actividades de la Administracin en la EIS, datos representados por el criterio y el valor
equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la observacin y la
entrevista, para ms detalles ver en la Tabla IV: 21.
-86-
Planificacin, diseo, desarrollo,
despliegue, operacin, gestin y
aplicacin de las TI
100,00%
80,00% 60,00%
60,00%
40,00%
20,00%
0,00%
Planificacin, diseo, desarrollo, despliegue, operacin,
gestin y aplicacin de las TI
Definicin por principios Corporativos los procesos TI, datos representados por el criterio y el
valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la observacin y
la entrevista, para ms detalles ver en la Tabla IV: 22.
Representacin grfica de la Definicin por Principios Corporativos los Procesos TI, en el eje
de las (Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se
puede ver con ms detalles en la Grfico IV: 21.
-87-
Definicin por Principios
Corporatiovos los ProceosTI
100,00%
80,00%
60,00% 50,00%
40,00%
20,00%
0,00%
Defincin por Principios Corporativos los Procesos TI
Modelo basado en tareas corporativas TI, datos representados por el criterio y el valor
equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la observacin y la
entrevista, para ms detalles ver en la Tabla IV: 23.
-88-
Representacin grfica del Modelo basado en tareas Corporativas TI, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 22.
80,00% 75,00%
60,00%
40,00%
20,00%
0,00%
Modelo basado en Tareas Corporativas TI
El Director de la EIS medianamente evala y dirige que los proyectos de investigacin estn en
desarrollo, pero no evala que el servici de conectividad de internet cableado e inalmbrico
estn con el mejor rendimiento. No se realiza el monitoreo por medio de un sistema de registro
de eventos de control, no existe una bitcora con un documento formal escrito de todas estas
etapas (evaluar, dirigir, monitorizar) de control que se desarrollen.
-89-
Posicin de la Organizacin TI en el
Organigrama de la EIS
100,00%
80,00%
60,00%
40,00%
20,00% 10,00%
0,00%
Posicin de la Organizacin TI en el Organigrama de la EIS
La EIS est en el organigrama general de la Espoch bajo el nivel de Facultades, pero no tiene su
propio organigrama donde este especificado su Unidad de Tecnologa con sus respectivas
descripciones y funciones.
Niveles de Inversin o Gastos razonables en las TI de las EIS, datos representados por el criterio
y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 25.
-90-
Niveles de Inversin razonables de TI
en la EIS
100,00%
80,00% 70,00%
60,00%
40,00%
20,00%
0,00%
Niveles de Inversin TI en la EIS
-91-
Representacin grfica de la Informacin Peridica y Puntual que recibe el Director de la EIS,
en el eje de las (Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin,
como se puede ver con ms detalles en la Grfico IV: 25.
80,00% 75,00%
60,00%
40,00%
20,00%
0,00%
Informacin Peridica y Puntual que recibe el Director
La EIS como una Organizacin Fluida y Adaptable a los entornos TI, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 27.
-92-
Tabla 29-3. Organizacin fluida y adaptable la EIS en las TI
Siempre 3 A veces Rara vez Nunca
X
Fuente: Joffre Vargas, 2015
Representacin grfica de la Organizacin Fluida y Adaptable la EIS en las TI, en el eje de las
(Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede
ver con ms detalles en la Grfico IV: 26.
80,00% 70,00%
60,00%
40,00%
20,00%
0,00%
Organizacin Fluida y Adaptable
La EIS a veces est preparada para los cambios de nuevas polticas (acreditaciones, cambio de
mallas curriculares, nmero de aulas, nmero de docentes, etc.) y administrativos (cambio de
directivos, recorte de presupuestos, inversiones, etc.), pero no constantemente estn preparados
(con presupuesto, espacio fsico, etc.) para el avance de las nuevas tecnologas (nuevos equipos
de cmputo, nuevas herramientas para la enseanza, etc.), para cuando los servicios (internet,
luz, red, etc.) dejen de funcionar en el caso de catstrofes (erupcin del volcnica Tungurahua,
terremoto, huracn, etc.). No existe una planificacin en donde se mencione estos riesgos y se
tenga planes de contingencia, no hay un documento escrito formal al respecto.
Sistema de Gestin Transparente en los proceso TI de la EIS, datos representados por el criterio
y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 28.
-93-
Tabla 30-3. Sistemas de gestin transparente
Siempre 3 A veces Rara vez Nunca
X
Fuente: Joffre Vargas, 2015
Representacin grfica del Sistema de Gestin Transparente de las TI en la EIS, en el eje de las
(Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede
ver con ms detalles en la Grfico IV: 27.
80,00% 72,00%
60,00%
40,00%
20,00%
0,00%
Sistema de Gestin Transparente
El manejo de los cdigos en los dispositivos, equipos e implementos que la EIS dispone, son
manejados por la Unidad de Control de Bienes ayudados a veces con los inventarios realizados
por el Tcnico encargado en el departamento informtico de la Escuela de Sistemas, llevando un
registro de los archivos de inventarios impresos en carpetas (proceso manual), las inversiones
que se realizan son muy transparentes por que lleva un control de auditoras y documentos
formales sustentables. Pero no existe un registro de los sistemas informticos que las EIS utiliza
y desarrolla, tambin existe la necesidad de un registro automtico (Sistema Informtico de
Inventarios y mantenimiento para la EIS) que agilice este proceso con un buen soporte de
informacin y reportes.
-94-
Tabla 31-3. Informacin multidireccional entre director y tcnico
Siempre A veces 2 Rara vez Nunca
X
Fuente: Joffre Vargas, 2015
Infomormacin Multidireccional
entre Director y Tcnico de la EIS
100,00%
80,00%
60,00% 50,00%
40,00%
20,00%
0,00%
Informacin Multidireccional
-95-
3.8.4. Herramientas de Gestin de Cdigo Abierto
Herramientas para la Gestin de Cdigo Abierto, datos representados por el criterio y el valor
equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la observacin y la
entrevista, para ms detalles ver en la Tabla IV: 30.
Representacin grfica de las Herramientas de Gestin de Cdigo Abierto, en el eje de las (Y)
est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver
con ms detalles en la Grfico IV: 29.
En la gestin de las tecnologas de las EIS rara vez se utiliza las herramientas de cdigo abierto,
como son: Sistemas Operativos (Centos, Ubuntu), Software de Red (Baltrack) para la
proteccin de infiltraciones maliciosas y prevenir riesgos de ataques informticos, no existe la
motivacin de utilizar estos sistemas de cdigo abierto para la generacin de conocimiento en
los estudiantes, profesores, tcnicos y administrativos. Rara vez se utilizan las herramientas de
gestin para la administracin y control de la red (WireShark, Total Network Monitor, Deep
Freeze, etc.).
-96-
3.8.5. Nuevos entornos Colaborativos
Nuevos entornos colaborativos para la Gestin de las TI en la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 31.
Representacin grfica de los Nuevos Entornos Colaborativos, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 30.
La informacin que la EIS dispone como los procesos de mantenimiento, polticas de software e
inventarios, proyectos de nuevas infraestructuras, compra de equipos, ampliacin de espacios
fsicos, desarrollo de software y normas que beneficien a la Escuela de Sistemas, a veces se
utiliza para ser difundida entre el personal de trabajo (tcnicos, director) y usuarios (estudiantes,
empleados y docentes).
-97-
operacin TI, informacin y las tecnologas son tratadas como activos; roles, actividades,
relaciones entre el personal y los departamentos de la EIS que Gestin las TI, se analizan de la
siguiente forma:
Requerimientos que ayuden a cumplir con la Estrategia TI de la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 32.
El Director y el Tcnico de la EIS a veces se cumplen con las reglas para el mantenimiento y
uso de los laboratorios, como son: horarios (Lunes a Viernes de 7 am a 7 pm) de atencin
establecido para la disponibilidad del servicio, fechas (cada fin de semestre) para el soporte
general de los equipos de cmputo. Casi no disponen de documentos formales escritos que
-98-
respalden los procesos (dispositivos dados de baja, control de los servicios por medio de un
registro, etc.) que ayuden con la estrategia de una mejor administracin de la tecnologa.
El tcnico y el Director de la EIS a veces controlan que el servicio de los laboratorios para las
horas clases estn disponibles y tambin mantienen el registro de los inventarios en
documentos, a veces disponen de equipos de cmputo de contingencia en el caso de que se dae
una computadora en una hora clase, para que pueda ser remplazada de inmediato, y no haya
interrupciones en el aprendizaje del conocimiento de los estudiantes.
-99-
3.9.3. La Informacin y las Tecnologas son tratadas como Activos
Informacin y las Tecnologas tratadas como Activos en la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 34.
80,00%
60,00%
40,00%
20,00%
0,00%
Informacin y Tecnologia tratada com Activos
-100-
3.9.4. Existencia de los Roles, Actividades, Relaciones entre el personal y los departamentos
de la EIS que Gestin las TI
80,00% 70,00%
60,00%
40,00%
20,00%
0,00%
Existencia de Roes, Actividades en la EIS
La EIS a veces se describen con el Rol de Tcnico, Director, Docente, Estudiante, Pasante,
Conserje y Proveedor, pero no existe un documento formal escrito que sustente la existencia de
estos roles y actividades que se mencionan.
-101-
3.10. Nivel de Planeamiento para la Gestin de los procesos TI de la EIS
Nivel de Planeamiento para la Gestin de los Procesos TI de la EIS en planes realistas a largo
plazo de las TI, evaluacin por comparacin con normas Industriales de servicios y gestin de
Procesos de las TI, se analizan de la siguiente forma:
Requerimientos que ayuden a cumplir con la Estrategia TI de la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 36.
Representacin grfica de Planes realistas a Largo Plazo TI de la EIS, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 35.
80,00% 75,00%
60,00%
40,00%
20,00%
0,00%
Planes Realistas a Largo Plazo
La EIS a veces tiene planes a largo plazo en compra de nuevos equipos de cmputo,
dispositivos de red, nuevas infraestructuras de inmuebles en consecuencia a los avances de la
tecnologa y el tiempo de depreciacin, pero no tiene planes en usar nuevas metodologas
-102-
(metodologa propuesta en este documento, cobit5, itil, etc.) que ayuden a mejor la gestin de
los servicios y tecnologa que dispone.
Requerimientos que ayuden a cumplir con la Estrategia TI de la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 37.
80,00% 75,00%
60,00%
40,00%
20,00%
0,00%
Evaluacin por Comparacin de Normas Insdustriales
-103-
descritos en el tem 4.5 de este captulo. No existe un documento formal en que permita hacer
evaluaciones de la aplicacin correcta de estas normas antes mencionadas.
3.11.1. Plan robusto de Infraestructura Tecnolgica que refleja los requerimientos de la EIS
Plan robusto de Infraestructura Tecnolgica que refleja los requerimientos de las TI de la EIS,
datos representados por el criterio y el valor equivalente obtenidos en la encuesta realizada,
tambin con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 38.
Plan robusto de Infraestructura Tecnolgica que refleja los requerimientos de las TI de la EIS,
en el eje de las (Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin,
como se puede ver con ms detalles en la Grfico IV: 37.
-104-
El plan de infraestructura Tecnolgica de la EIS rara vez es considerado en mejorar la compra
de nuevos equipos de cmputo y dispositivos de red. No hay un plan robusto que permita
evaluar la eficiencia de los mecanismos, componentes de computacin, para ir mejorando de
forma amplia y determinada por la direccin tcnica en funcin de las nuevas tecnologas de
punta, tampoco existe un documento escrito formal que sustente estas disposiciones para el
mejoramiento de las TI.
Proceso Continuo para mejorar el plan de Infraestructura Tecnolgica de las TI de la EIS, datos
representados por el criterio y el valor equivalente obtenidos en la encuesta realizada, tambin
con la ayuda de la observacin y la entrevista, para ms detalles ver en la Tabla IV: 39.
Proceso Continuo para mejorar el Plan de Infraestructura TI de la EIS, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 38.
El proceso continuo de mejora del plan de infraestructura Tecnolgica de la EIS rara vez se
considera la mejora de los equipos de cmputo, dispositivos, etc. Como no hay un plan robusto
-105-
que permita evaluar la eficiencia de los mecanismos, componentes de computacin entonces no
se puede tener la continuidad de mejora.
Uso de las Mejores prcticas de la Industria Tecnolgica en las TI de la EIS, en el eje de las (Y)
est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver
con ms detalles en la Grfico IV: 39.
El Director y los Tcnicos de la EIS a veces utilizan estndares (ISO, IEE) para la gestin
(mantenimiento, inventarios, infraestructura de red, etc.) de las TI. Nunca se utilizan los
Estndares y Marcos que COBIT 5 recomienda para las documentaciones, inventarios,
auditores, tica, etc., descriptos en el tem 4.3 del captulo 4 de este documento, analizados
anteriormente.
-106-
3.12. Nivel de Organizacin para la Gestin de los Procesos TI de la EIS
Desarrollo, documentacin,
comunicacin y alineacin TI
100,00%
75,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Desarrollo, documentacin, comunicacin TI
-107-
software, etc.) de inversin Tecnolgica, pero no se alinea a ninguna estrategia de calidad en
base a normas internacionales porque no hay ninguna documentacin que sustente.
Definicin del Ambiente de Control Interno en las TI de la EIS, datos representados por el
criterio y el valor equivalente obtenidos en la encuesta realizada, tambin con la ayuda de la
observacin y la entrevista, para ms detalles ver en la Tabla IV: 42.
Definicin del Ambiente de Control Interno en las TI de la EIS, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 41.
En la EIS a veces se define el control interno del uso correcto, de los servicios (internet, red,
laboratorios, etc.) tecnolgicos en la investigacin y la generacin de conocimiento, pero no hay
un ambiente de control de auditoria interna del rendimiento de los servicios y accesos no
autorizados a las tecnologas, no hay un documento escrito formal que sustente.
-108-
3.12.3. Formulacin de las relaciones con terceros, comits de direccin, auditoria interna y
administracin de proveedores
El Director de la EIS a veces tiene relaciones con Terceros (SRI2, CNE3, etc.) para la
formulacin de proyectos (Pasantias, Empleabilidad, Voto Electrnico, etc.) que benefician a
ambas partes involucradas. Se debe gestionar siempre los proyectos por medio de la
2
SRI: Servicio de Rentas Internas
3
CNE: Consejo Nacional Electoral
-109-
planificacin, para tener un seguimiento y llevar acabo el desarrollo de los mismos. A veces
tiene relacion con algunas importadoras (entersystem, etc.) proveedora de haware de
tecnolgico en funcin a la proforma ganadora en presupuesto y calidad. Se debe tener siempre
una realcin continua con las importadoras (FDG Computer, MegaMicro, Solutions Tecnologa
y Sistemas, etc.) directas al por mayor certificadas en la importacin de equipos electrnicos
para tener mejores beneficios. Director de la EIS siempre debe mantener una estrecha relacin
con los comites de direccin (decano de la facultad y vicedecano, rector de la espoch,
comisiones de evaluaciones, auditoria interna, etc.).
Nivel de Inversin para la Gestin de los procesos TI de la EIS en polticas, procesos para
inversin y presupuestos TI; procesos de eleccin de presupuestos en Tecnolgicos de la
Informacin y de financiamiento; miembros de la Tecnologa de la Informacin tiene la
prctica, destrezas para desplegar la inversin y recomendarlas en Tecnologas de la
Informacin, se analizan de la siguiente forma:
Polticas, procesos para inversin y presupuestos TI de la EIS, en el eje de las (Y) est
representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con
ms detalles en la Grfico IV: 43.
-110-
Polticas, procesos para inversin y
presupuestos TI de la EIS
100,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Polticas, procesos para inversin y presupuestos
Las inversiones que el Director de la EIS realiza, siempre son conjuntamente con los directivos
de la facultad y dependiendo de la designacin del presupuesto por los altos (rector, comisiones
de carrera, departamento de proyectos e inversiones, etc.) directivos de la institucin (Espoch4).
Procesos de seleccin de inversin TI de la EIS, en el eje de las (Y) est representado los
porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles en
la Grfico IV: 44.
4
Escuela Superior Politcnica de Chimborazo
-111-
Procesos de seleccin de inversin TI
de la EIS
100,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Proceso de seleccin de inversin
La inversin que el Director de la EIS siempre realiza conjuntamente con los directivos
institucionales se hace en base a la prioridad (impacto) de satisfacer una necesidad (aumento de
laboratorios, de equipos, de infraestructura, etc.) que tenga la Escuela de Ingeniera en Sistemas.
-112-
Personal de TI tiene la experiencia y
habilidades para desarrollar el
presupuesto TI
100,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Personal con experiencia y habilidades
Los tcnicos y el Director de la EIS son ingenieros titulados que cuentan con el conocimiento
adecuado para la gestin y administracin de las tecnologias de la Escuela de Ingeniera en
Sistemas., estan capacitados en el area tcnica (mantenimiento de hadware, software, redes, etc.)
y amdinistrativa (planes, proyectos, innovaciones, etc.).
-113-
Aseguramiento del cumplimiento de objetivos empresariales TI de la EIS, en el eje de las (Y)
est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver
con ms detalles en la Grfico IV: 46.
80,00%
60,00%
40,00%
20,00%
0,00%
Aseguramiento del cumplimiento de objetivos
Uno de los Objetivos de la EIS es generar siempre investigaciones para lo cual se han
organizado y creado grupos (Software: AINTO, Multimedia, Tecnologa de
Telecomunicaciones) para proyectos (Observatorio de Graduados, Seguimiento del Slabo,
Seguimientos de Prcticas, etc.) de investigacin en el mejoramiento, la creacin de software
con tecnologa de calidad.
-114-
Evaluacin de las necesidades, condiciones y opciones de los interesados en las TI de la EIS, en
el eje de las (Y) est representado los porcentajes y en el eje de las (X) el tem de valoracin,
como se puede ver con ms detalles en la Grfico IV: 47.
El Director de la EIS conjuntamente con el Tcnico realiza a veces las evaluaciones de mejorar
o aumentar los equipos de cmputo en los laboratorios en relacin a las necesidades y avances
de las TI, pero no se realizan estos proyectos en el tiempo previsto por falta de presupuesto o
por cuestiones administrativas (Polticas) y no existe un documento escrito formal donde se
registre las necesidades y las opciones de satisfacer estas demandas de los usuarios (estudiantes,
profesores, empleados).
-115-
Dirige a travs de la priorizacin y toma de decisiones en las TI de la EIS, en el eje de las (Y)
est representado los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver
con ms detalles en la Grfico IV: 48.
Supervisin del desempeo, cumplimiento con la direccin y los objetivos acordados para el
desarrollo de las TI de la EIS, datos representados por el criterio y el valor equivalente
obtenidos en la encuesta realizada, tambin con la ayuda de la observacin y la entrevista, para
ms detalles ver en la Tabla IV: 50.
Supervisin del desempeo, cumplimiento con la direccin y los objetivos acordados para las TI
de la EIS, en el eje de las (Y) est representado los porcentajes y en el eje de las (X) el tem de
valoracin, como se puede ver con ms detalles en la Grfico IV: 49.
-116-
Supervisacin del desempeo,
cumplimiento con la direccin y los
objetivos acordados
100,00%
80,00% 65,00%
60,00%
40,00%
20,00%
0,00%
Supervisar el desempeo, cumplimiento, direccin y objetivos
El Director de la EIS a veces supervisa (el cumplimiento con de horario de atencin, que los
equipos estn en funcionamiento, etc.) la disponibilidad de los laboratorios que prestan el
servicio para las horas clases e investigacin, tambin el cumplimiento de las disposiciones
(Mantenimiento, informes, controles no autorizados a las TI, prestacin de las tecnologas, etc.)
que el Administrador facilita al Tcnico como parte de cumplir con el objetivo de la misin de
ser una Escuela lder en formar profesionales capaces y competitivos en el rea laboral
Tecnolgica. No se evala el desempeo de los dispositivos y servicios que se encuentren en un
rendimiento del 100%, mejorando la calidad de los mismos y el servicio a los usuarios
(estudiantes, docentes y empleados).
-117-
Monitorizacin Directa y Evaluacin de las TI de la EIS, en el eje de las (Y) est representado
los porcentajes y en el eje de las (X) el tem de valoracin, como se puede ver con ms detalles
en la Grfico IV: 50.
3.15. Resultados
El resultado final del anlisis de los datos obtenidos despus de haber aplicado COBIT 5 a los
procesos tecnolgicos de la EIS, se los representa en la siguiente Tabla IV.52.
-118-
Anlisis total de los datos obtenidos de las TI de la EIS
Contina
Deteccin de Intrusos 0 3 0 0
Anlisis de Riesgos 0 0 2 0
Normativas 0 3 0 0
Plan Estratgico 0 0 2 0
Configuraciones Seguras 0 3 0 0
Eventos de Auditoria 0 3 0 0
Estndares y Marcos de las Industria 0 0 0 1
de TI
Sistemas de Gestin de Calidad 0 3 0 0
Metodologa para la Gestin de los 0 0 2 0
Servicios y Productos
Estndares 0 0 0 1
Lineamientos 0 0 2 0
Herramientas y Tcnicas 0 0 0 1
Planear, Construir, Operar y 0 3 0 0
Supervisar las TI
Actividades fijadas y acordadas por el 0 3 0 0
Director de la EIS para procesos TI
Proceso, Construccin, Ejecucin y 0 3 0 0
Monitoreo de las TI
Director de la EIS
Existe la Planificacin, diseo, 0 3 0 0
desarrollo, despliegue, operacin,
gestin y aplicacin de las TI
Estn definidos por Principios 0 3 0 0
Corporativos los procesos TI
Existe un Modelo que est basado en 0 3 0 0
Tareas Corporativas
Posicin del Organizacin TI en el 0 0 0 1
Organigrama de la EIS
Niveles de Inversin Razonables en TI 0 3 0 0
Continuar
-119-
Anlisis total de los datos obtenidos de las TI de la EIS
Contina
Recibe informacin Peridica y 0 3 0 0
Puntual el Director de la EIS de las
Actividades y Procesos Tecnolgicos
desarrollados
Organizacin Fluida y Adaptable 0 3 0 0
Sistemas de Gestin Transparentes 0 3 0 0
Informacin Multidireccional entre 0 0 2 0
Director y Tcnicos
Herramientas de Gestin de Cdigo 0 0 2 0
Abierto
Nuevos Entornos Colaborativos 0 3 0 0
Existencia de Requerimientos que 0 3 0 0
Ayuden a cumplir con la Estrategia TI
Existencia de Requerimientos para la 0 3 0 0
Gestin de la Operacin TI
La Informacin y las Tecnologas son 4 0 0 0
Tratadas como Activos
Existencia de los Roles, Actividades y 0 3 0 0
Relaciones entre el Personal y los
Departamentos de las EIS que Gestin
las TI
Planes Realistas a largo Plazo de las 0 3 0 0
TI
Evaluacin por Comparacin con 0 3 0 0
Normas Industriales de Servicio y
Gestin de Procesos de las TI
Plan robusto de Infraestructura 0 0 2 0
Tecnolgica que refleja los
requerimientos de la EIS
Proceso Continuo para mejorar el Plan 0 0 2 0
de Infraestructura Tecnolgica de la
EIS
Continuar
-120-
Anlisis total de los datos obtenidos de las TI de la EIS
Contina
Uso de las Mejores Prcticas de la 0 3 0 0
Industria Tecnolgica de forma amplia
en la Gestin de las TI de la EIS
Desarrollo, documentacin, 0 3 0 0
comunicacin y alineacin con la
estratgica de las TI
Definicin del Ambiente de Control 0 3 0 0
Interno
Formulacin de las Relaciones con 0 3 0 0
Terceros, comits de direccin,
auditoria interna y administracin de
proveedores
Polticas, Procesos para inversin y 4 0 0 0
presupuestos TI
Procesos de Seleccin de Inversin y 4 0 0 0
presupuestos TI
Personal de TI tiene la experiencia y 4 0 0 0
habilidades para desarrollar el
presupuesto y recomendar inversiones
en TI
Aseguramiento del desempeo de 4 0 0 0
Objetivos empresariales
Evala necesidades, condiciones y 0 3 0 0
opciones de los interesados
Dirige a travs de la priorizacin y 4 0 0 0
toma de decisiones
Supervisa el desempeo, 0 3 0 0
cumplimiento con la direccin y
objetivos acordados
Monitorizacin directa y Evaluacin 0 3 0 0
SUBTOTALES 36 87 16 4
TOTAL 143
Fuente: Joffre Vargas, 2015
-121-
Los puntajes totales de la suma de los indicadores por cada tem de la escala de valoracin, se
los representa en porcentajes, mediante la regla de tres:
1. Porcentaje total de siempre
143 100%
36
100 36
= = 25.17 %
143
2. Porcentaje total de a veces
143 100%
87
100 87
= = 60,84 %
143
3. Porcentaje total de rara vez
143 100%
18
100 16
= = 11.19 %
143
4. Porcentaje total de nunca
143 100%
4
100 4
= = 2,80 %
143
20,00%
11,19%
10,00% 2,80%
0,00%
Siempre A veces Rara Vez Nunca
-122-
En un 60,84% a veces los tcnicos y director de la EIS realizan una divulgacin controlada del
software didctico, virtualizacin, multimedia y redes; la deteccin de intrusos y anomalas de
la seguridad de la informacin se realiza mediante una revisin en in-situ del lugar del dao sea
software o hardware; las normativas como son la puntualidad del administrador, mantenimiento
de los laboratorios, utilizacin del software se utilizan a veces; el plan estratgico se lo utiliza a
veces, como en el mantenimiento de los laboratorio, la actualizacin del software, el cuidado de
la infraestructura, mejoramiento de los servicios, el uso de la multimedia, y la falta de un
documento que describa el plan estratgico de mejora continua; configuraciones seguras se les
realizan a veces como protocolos https, tc/ip, vlans, actualizacin de paquetes de software de los
sistemas operativos Windows server y Linux, otras herramientas vnc y team viewer; los eventos
de auditoria se los realiza a veces como son los inventarios de bienes, los servicios; en los
sistemas de gestin de calidad a veces realizan anlisis, reuniones, planificaciones para adquirir
nuevos dispositivos informticos, inventarios de las TI que ya existen, la auditoria interna por
parte del departamento de control de bienes de la Espoch; en lo que se trata de planear,
construir, operar y supervisar a veces se planea el control a personas no autorizadas a los
laboratorios, se construye el registro de ingreso en hojas de papel incluido el plan de
mantenimiento, se supervisan los equipos en funcionamiento, se controla el funcionamiento de
los servicios de internet, red, equipos; en las actividades fijadas y acordadas por el director de la
EIS a veces son dadas al tcnico como son el mantenimiento de equipos, inventarios de los
dispositivos; en el proceso construccin, ejecucin y monitoreo a veces se realiza la
construccin de los horarios clases y el monitoreo de equipos por medio de la observacin; en la
definicin por principios corporativos los procesos TI medianamente cumplen porque a veces
utilizan la estrategia para remplazar un equipo de cmputo daado en horas clases, adquirir
proyectos para mejorar la infraestructura, servicios, procesos tecnolgicos con el uso normas de
la ISO y la IEE, los usuarios a veces estn a gusto con los productos que reciben como es el
internet, laboratorios; en el modelo basado en tareas corporativas el director de la EIS
medianamente evala y dirige que los proyectos de investigacin estn en desarrollo, no evala
la conectividad de internet cableado e inalmbrico en su mximo rendimiento, falta de
monitoreo por medio de un sistema de registro de eventos de control y una bitcora en un
documento formal escrito; en el nivel de inversin razonables TI, son medianamente razonables
en la compra de equipos como son computadoras, proyectores, etc., en la infraestructura
cableado, racks, switch, etc., en los servicios y mantenimiento de las Tecnologas no tienen una
red wifi que ayude a la investigacin de nuevos conocimientos, no siempre hay disponibilidad
de los laboratorios con internet fijo, el mantenimiento no es reflejado el costo beneficio porque
hay fallas de antivirus desactualizados, redes con cables deados y puntos de red, sistemas
operativos lentos por las actualizaciones inadecuadas, etc.; en la informacin peridica y
puntual que recibe el Director de la EIS de las actividades medianamente recibe de los servicios
-123-
de internet, red, servidores, laboratorios, etc., y el funcionamiento tecnolgico como es:
mantenimiento, pago de servicios ,etc.; en la organizacin fluida y adaptable, la EIS a veces est
preparada para los cambios de nuevas polticas como acreditaciones, cambios de mallas
curriculares, nmero de aulas, nmero de docentes, y en administrativos cambios de directivos,
recorte presupuestos, inversiones, etc.; en los sistemas de gestin de transparentes, en los
inventarios que son manejados por la Unidad de Control de Bienes a veces son ayudados por los
inventarios del Tcnico de la EIS que lleva registros en archivos impresos; en nuevos entornos
de colaborativos a veces se utiliza la informacin como polticas de software e inventarios,
proyectos, normas para ser difundida entre el personal de la EIS como tcnicos, director,
estudiantes, empleados y docentes; existencia de requerimientos que ayuden a cumplir con la
estrategia TI de la EIS a veces cumplen con las reglas de mantenimiento y uso de los
laboratorios que siempre este abierto de lunes a viernes de 7 am a 7 pm, las fechas de soporte
general de los equipos de cmputo; en la existencia de requerimientos para la gestin de la
operacin TI a veces controlan que el servicio de los laboratorios en las horas clases estn
disponibles y el registro de inventarios en documentos, a veces disponen de equipos de cmputo
de contingencia en el caso de que se dae una computadora en una hora clase; en los planes
realistas a largo plazo de las TI a veces se tiene planes a largo plazo en compra de nuevos
equipos de cmputo, dispositivos de red y nuevas infraestructuras de inmuebles; en las
evaluaciones por comparacin con normas industriales de servicios y gestin a veces se utilizan
normas ISO y de la IEEE internacionales para el cableado estructurado, adecuacin de muebles,
equipos; en el uso de las mejores prcticas de la industria tecnolgica de forma amplia en la
gestin TI a veces se utilizan estndares gestin en mantenimientos, inventarios, infraestructura
de red, etc.; en el desarrollo documentacin, comunicacin y alineacin con la estrategia de la
TI a veces se desarrolla y se comunica nuevos proyectos, como la readecuacin de nuevos
equipos, desarrollo de software, etc.; en la definicin del ambiente de control interno a veces se
define el control de los servicios de internet, red, laboratorios en la investigacin y la generacin
de conocimiento; en la formulacin de la relacin con terceros a veces la EIS tiene relacin con
terceros, como el SRI. CNE., para la formulacin de proyectos, como: pasantas, empleabilidad,
voto electrnico que ayuda al crecimiento tecnolgico; en la evaluacin de necesidades,
condiciones y opciones de los interesados el director de la EIS conjuntamente con el tcnico a
veces evalan la necesidad de aumentar equipos de cmputo en relacin a las necesidades y
avances de las TI; en la supervisin del desempeo, cumplimiento con la direccin y los
objetivos acordados a veces el director de la EIS supervisa el cumplimiento de los horarios de
atencin y funcionamiento de los equipos de cmputo de los laboratorios, el cumplimiento de
las disposiciones de mantenimiento, informes, controles no autorizados a las TI, prestaciones de
las tecnologas; en la monitorizacin directa y evaluacin, el director de la EIS a veces
-124-
monitoreo por medio de la observacin la entrega de informes de los grupos de investigacin de
los proyectos.
En un 25,17% los tcnicos de la EIS en la destruccin autorizada siempre son los autorizadas a
eliminar el software obsoleto y actualizar, tambin conjuntamente con el director de la EIS dan
de baja a dispositivos informticos que estn en mal funcionamiento; en los antivirus siempre
-125-
utiliza la EIS el av6; en los firewalls la EIS siempre utiliza el FortiGate administrado por el
Desitel; en la informacin es tratada como activos siempre los tcnicos y el director de la EIS
tratan como a activos a toda la informacin, como son: inventarios de equipos, antivirus,
infraestructura de red, espacio fsico de la EIS, software, acceso a las diferentes redes, etc.,
informacin que es manejada como activos y protegida de la divulgacin no autorizada y la
destruccin autorizada; en las polticas, procesos para inversin y presupuestos TI siempre el
Director de la EIS realiza conjuntamente con los directivos de la facultad y de la Espoch; dirige
a travs de la priorizacin y toma de decisiones el director de la EIS, siempre toma decisiones
en la gestin de los proyectos en base al impacto, indicadores que es el nmero de docente
involucrados e ndices que es en el nmero de estudiantes involucrados.
Despues de Anlizar los resultados de los datos respectivos de los indicadores y subindicadores,
se procesede con la compovacin de la hipotesis con la variable dependiente.
Para saber cunto usa la EIS COBIT 5, se calcula la mediana de los cuatro valores de
puntuacin totales de la Tabla IV.52:
=1
Frmula de la mediana estadstica: =
143
= = 35,75
4
-126-
100 35,75
= = 25 %
143
25%
75%
Si Usa No Usa
En un porcentaje del 25 % los tcnicos de la EIS cumplen con la metodologa COBIT; para
mejorar la gestin de las TI en la EIS fue necesario hacer un anlisis de los procesos
tecnolgicos de la EIS, y aplicar la propuesta tecnolgica basada en COBIT 5 a la gestin de la
TI en la EIS.
-127-
Mejora de las TI en la EIS
25% Mejora
Aplica
75%
Como se indica en el grfico el 25% se esta apliando COBIT 5 en las Tecnologas de la EIS y el
75% se mejora aplicando la metodologa desarrolalda basada en COBIT. Se logra un gran paso
en la superacin de las brechas de la administracin de las Tecnologas de la Informacin
basadandose en estandares y normas de calidad, con un buen aprovechamiento de las
tecnologas a disponibilidad de los usuarios TI en la EIS.
-128-
4. PROPUESTA TECNOLGICA BASADA EN COBIT 5 APLICADA A LA
GESTIN DE LA TI EN LA EIS
1. Seguridad de la Informacin:
b. Utilizar sistemas de deteccin previa de intrusos en las redes, como son: Snort, Ax3soft
Saxw, Smartxac o ArcSight.
-129-
d. Puntualidad en el horario de ingreso a las actividades y cumplimiento de las fechas
establecidas en el desarrollo de los procesos Tecnolgicos, por medio de motivaciones;
revisar fichas de apoyo a la metodologa literal I.
2. Estndares y Marcos:
-130-
de un sistema de gestin de seguridad de la informacin (SGSI); revisar fichas de apoyo a
la metodologa literal VII.
d. ISO/IEC 38500, para entender y cumplir cabalmente las obligaciones legales: rendicin de
cuentas, inversiones, calidad de servicio, cumplimiento de las leyes de educacin superior;
regulatorias: reglamento de acreditacin, horarios laborales y gestin; ticas: honestidad,
responsabilidad, transparencia. Dirigido a Administrativos que gestionan las TI; revisar
fichas de apoyo a la metodologa literal VIII.
a. Llevar los registros de software con licenciamiento y sin licenciamiento; revisar fichas de
apoyo a la metodologa literal X.
b. Identificar las brechas de la falta de horarios fijados para investigacin en el uso de los
laboratorios; saturacin del sistema oasis y del aula virtual en tiempos de matrculas y
notas; bloqueo de pginas sin contenido daino; laboratorios con poca capacidad de
espacio y pocos equipos para muchos estudiantes. Planificar e incorporar nuevas prcticas
a la gestin de las TI para mejorar estas fallas analizando nuevas tecnologas de otras
universidades como: Harvard, Massachusetts, Stanford, Cambridge, para adaptar las
Tecnologas de la Informacin que estn al alcance. Escribir un documento formal
detallando estas brechas y mejores prcticas; revisar fichas de apoyo a la metodologa
literal XI.
-131-
b. Utilizar los lineamientos generales de la serie 2000, desempeo de la serie 2200, reportes
de la serie 2400 que COBIT 5 establece para los principios de tica, independencia,
objetividad, diligencia, conocimiento, competencia y habilidades, para la planificacin y
emisin de reportes que desempeen los profesionales; revisar fichas de apoyo a la
metodologa literal XII.
c. Plan de ejecucin de prevencin de Riesgos de corte luz, cada del enlace de red interno,
infeccin a gran escala de virus en los equipos de cmputo, incendi, erupcin volcnica
del Tungurahua, temblor, planes de evacuacin a las Personas en caso de alguna de estas
inseguridades as lo requieran. Escribir un documento formal del plan de ejecucin para
minimizar los riesgos; revisar fichas de apoyo a la metodologa literal XIV.
-132-
diariamente, en tiempos en que los componentes estn en funcionamiento, para evitar
interrupciones en las horas clases. Realizar el despliegue de las metas, objetivos de la
misin y la visin a las unidades de operacin, entre estas: empleados, estudiantes y
docentes. Promover el desarrollo para alcanzar nuevos objetivos ms all de los que ya
estn establecidos, como las nuevas tecnologas para el aprendizaje, entre ellas: pizarra
digital interactiva y robtica educativa.
-133-
7. Aspectos en la Gestin Abierta y Comunicativa de la Administracin TI:
a. Estar preparados con presupuesto, espacio fsico, para el avance de las nuevas tecnologas,
en equipos de cmputo, nuevas herramientas para la enseanza, etc. Si los servicios de
internet, luz, red, etc. dejen de funcionar por catstrofes de erupcin volcnica del
Tungurahua, terremotos, huracanes, para esto tener una planificacin en donde se mencione
los riesgos y se tenga planes de contingencia. Tener un documento escrito formal al
respecto.
b. Tener un registro de los sistemas informticos que se utilizan y se desarrollan, sistema para
el registro automtico de inventarios para agilizar el proceso con un buen soporte de
informacin y reportes.
d. Utilizar software de cdigo abierto, como son: Sistemas Operativos (Centos, Ubuntu),
Software de Red (Baltrack) para la proteccin de infiltraciones maliciosas y prevenir
riesgos de ataques informticos. Motivar la utilizacin de estos sistemas de cdigo abierto
para la generacin de conocimiento en los estudiantes, profesores, tcnicos y
administrativos. Utilizar ms seguido las herramientas de gestin para la administracin y
control de la red (WireShark, Total Network Monitor, Dreep Freeze, etc.); revisar fichas de
apoyo a la metodologa literal XVIII.
a. Disponer documentos formales escritos que respalden las diferentes actividades de gestin,
como son: dispositivos dados de baja, control de los servicios por medio de un resgitro,
etc., para una mejor estrategia de administracin de la tecnologa.
-134-
9. Nivel de Planeamiento para la Gestin de los procesos TI:
b. Utilizar siempre las normas ISO, IEEE internacionales para el cableado estructurado, la
adecuacin de los muebles y equipos. Tener un documento formal escrito en que permita
hacer evaluaciones de la aplicacin correcta de estas normas antes mencionadas.
b. Seguir mejorando el plan robusto que se desarrolla en funcin de las necesidades TI.
-135-
de software, etc. Alinear a la estrategia de calidad en base a normas internacionales
sustentado con documentacin escrita.
c. Definir el control interno del uso correcto de los servicios (internet, red, laboratorios, etc.)
tecnolgico en la investigacin y la generacin de conocimiento. Ambiente de control de
auditoria interna del rendimiento de los servicios y accesos no autorizados a las
tecnologas. Sustentar en un documento escrito formal.
a. Realizar siempre en el tiempo previsto las evaluaciones de mejorar o aumentar los equipos
de cmputo en los laboratorios en relacin a las necesidades y avances de las TI, con una
gestin rpda, eficiente para la asignacin del presupuesto y evitar cuestiones
administrativas polticas.
Fichas de apoyo para el desarrollo de las actividades dentro de cada tem de la metodologa
desarrollada con el objetivo de facilitar al usuario lector el uso de estos pasos metodolgicos:
-136-
I. Incentivos para el personal de trabajo
INCENTIVO Cmo SE HACE?
Flexibilidad Una alternativa es disminuir el tiempo dedicado para la comida con el
en el horario propsito de poder avanzar la hora de salida o trabajar ms horas durante la
semana das para tener la opcin de cambio al viernes por la tarde libre. De
esta forma, se acrecienta la calidad de vida de los trabajadores y se provee
la conciliacin personal, laboral y familiar. Tambin, dentro del periodo
festival (julio-septiembre) es aconsejable definir la jornada intensiva para
que los empleados puedan disfrutar de mayor tiempo de ocio.
Eleccin de Esto puede resultar muy positivo para facilitar la armona familiar y laboral
das libres y al viabilizar por ejemplo que los empleados que tengan hijos puedan optar
vacaciones por das de vacaciones coincidiendo con las vacaciones escolares de
navidad, semana santa o verano. Definir una medida entre el trabajo y el
ocio es esencial para crear un entorno laboral positivo.
Reconocer los Mostrarse conforme cuando alguien hizo un buen trabajo no cuesta nada y
logros puede resultar muy significativo. Permitir que el trabajador sienta que su
entusiasmo merece la pena, que es parte significativo de la empresa y
servir para que continu trabajando para ayudar al xito de la compaa.
Buen Es necesario que se d un ambiente de colaboracin y compaerismo en el
ambiente trabajo. Por esto, se debe de cuidar el entorno y animar a la relajacin. Se
tiene que ser amable con todos. Si se debe de recriminar a un empleado se
lo hace en privado y, si se debe de reconocer su labor, hacerlo en pblico.
Parte de la Aumentar la emocin de perteneca a la compaa ayuda el buen ambiente
empresa laboral, incrementa la productividad y la obtencin de objetivos. Si los
empleados conocen todos los productos, facetas, etc. De la empresa
conlleva que sientan mayor vinculacin con la misma.
Expectativas En tiempo de escases, motivar a los trabajadores con planes a largo plazo
de futuro dentro de la compaa se ha convertido en una de los mayores incentivos.
Los entusiasmar saber que la empresa cuenta con ellos, su trabajo y que
pueden alcanzar posiciones dentro del organigrama. Es una forma ms
directa de reconocer el trabajo de los empleados.
Inters por su Es importante emplear tiempo para conocer qu especulan sus empleados,
vida su vida personal, etc. Los trabajadores aprecian mucho que los altos niveles
se interesen por su da a da. Tambin a cargo corporativo pueden dar ideas
que pueden beneficiar a la compaa.
Cuadro 2-4. Incentivos para el personal
Fuente: http://www.finanzas.com/noticias/empleo/20131017/siete-incentivos-para-motivar-2520396.html, 2015
-137-
II. Mejorar los Servicios
Soluciones Tecnolgicas que ayudan a mejor la calidad de los servicios de las empresas con
innovacin y calidad:
Revisar la Fuente:
http://www.bilib.es/fileadmin/templates/archivos_pdf/10%20soluciones_tecnol%c3%b3gicas.pd
f
Algunos parches que ayudan a proteger las vulnerabilidades de los Sistemas Operativos se
encuentarn en la siguiente pgina web:
Revisar la Fuente: http://unaaldia.hispasec.com/1999/03/ip-spoofing-trivial-en-los-kerne
l-linux.html
Continuar
-138-
Cuestionario de control c1
Contina
Continuar
-139-
Cuestionario de control c2
Contina
Continuar
-140-
Cuestionario de control c2
Contina
Continuar
-141-
Cuestionario de control c3
Contina
Continuar
-142-
Cuestionario de control c4
Contina
-143-
Cuadro 7-4. Cuestionario de control c5
Fuente: http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-para.html, 2015
Revisar la Fuente:
http://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&
sqi=2&ved=0CB8QFjAAahUKEwjOo-
ygn4bGAhUI4oAKHXWnAD4&url=http%3A%2F%2Fweb.utah.edu%2FInternal_Audit%2Fpp
ts%2FInternal%2520Control%2520Self%2520Assessment%2520Mar-
06.doc&ei=b8N4VY6wGojEgwT1zoLwAw&usg=AFQjCNEQVeVKVX0zaXBMcnXM07_sU
HIs5A&sig2=LL6d9t9iZE6pejq12ZPegQ&bvm=bv.95277229,d.b2w
-144-
VI. Documentacin de ISO/IEC 31000:
Revisar la Fuente:
http://www.inmetro.gov.br/download/wac/painel_1/7th_inter_conf_brazil_2012_may_2012_pre
sentation.pdf
Tipo de plantilla para Inventario Manual bajo estandares Unidad de Control de Bienes Espoch:
-145-
XI. Nuevas Tecnologas en las Universidades de mayor Prestigio en el mundo:
Revisar la Fuente:http://www.altonivel.com.mx/23547-harvard-berkeley-y-mit-ofrecen-cursos-
gratis-en-internet.html
Libros Blanos:
Revisar la Fuente: http://www.studygs.net/espanol/wrtstr11.htm
Productos Cobit 5:
Revisar la Fuente: http://www.isaca.org/Search/Pages/DefaultResults.aspx?k=Pr
oductos%20COBIT%205&s=Site%20Content&start1=0&ct=Site&cs=Search&scopes=People,
Site%20Content,Conversations
-146-
Tabla 56-4. Bitcora de soporte tcnico
BITACORA DE SOPORTE TECNICO
Servicio proporcionado por
.
Observaciones
Bictacora de Soporte:
Revisar la Fuente 1: http://mantpresencial.galeon.com/productos2725695.html
Revisar la Fuente 2: https://valeriapg.wordpress.com/2015/03/03/bitacora-de-control-de-
soporte-tecnico-presencial-2/
-147-
XVIII. Documentacion y Descargas
Revisar la Fuente:
http://www.edomexico.gob.mx/rete/PORTRAMITE/MEDIOAMBIENTE/DGPYCCA6.pdf
-148-
CONCLUSIONES
-149-
RECOMENDACIONES
1. Para un anlisis adecuado de una metodologa hacer aplicada y gestionada a los servicios de
una empresa, se debe tomar en cuenta el medio en el que se est gestionado, el tamao y el
mercado de servicio que abarca las TI de la empresa.
2. La metodologa desarrollada debe ser utilizada exclusivamente en la gestin de las
tecnologas de regulacin de polticas, control, anlisis de riegos, basada en normas y
estndares que COBIT 5 describe en su amplia planificacin para la regulacin de las TI de
las empresas.
3. Por el amplio marco de regulacin de las Tecnologas que COBIT 5 plantea a las pequeas
y grandes empresas, se podra hacer un anlisis profundo dedicado a las auditorias de la
Escuela de Ingeniera en Sistemas incluyendo a toda la facultad de informtica y electrnica
con sus respectivas escuelas.
-150-
GLOSARIO DE TERMINOS
3. Aula Virtual. La importancia tic en la educacin superior [en lnea]. Chile - Valparaso:
pucv, 2015. [Consulta: 05 mayo 2015]. Disponible en: http://aula.virtual.ucv.cl/wordpress/i
mportancia-tic-en-la-edu-sup/
5. BitCompany. Que hay de nuevo en Cobit 5 [en lnea]. [Consulta: 21 octubre 2013].
Disponible en: http://www.bitcompany.biz/que-hay-de-nuevo-en-cobit-5/#.UmUx_VCNl2t
7. ClubPlaneta. Trabajos por internet [en lnea]. [Consulta: 04 marzo 2014]. Disponible en:
http://www.trabajo.com.mx/index.htm
8. Conferencia para Ejecutivos. Nuevo enfoque integrador de alto nivel para el gobierno de
IT [en lnea]. [Consulta: 21 marzo 2014]. Disponible en:
http://conferenciasparaejecutivos.com/pdfs/AR2013/cobit5_hidalgo.pdf
11. DE FARILLA MELO. Desarrollo Organizacional [en lnea]. Mxico Mxico: Limusa,
2004. [Consulta: 23 abril 2015]. Disponible en: https://books.google.com.ec/books?id=Yle
bEiBx-swC&lpg=PA11&ots=aBTpytjjnj&dq=Mello%2C%20F.%20A.%20(2004).%20Des
arrollo%20Organizacional&lr&hl=es&pg=PA11#v=snippet&q=Consiste%20en%20ir%20
m%C3%A1s&f=false
12. Decisin TIC. Cobit 5 en espaol [en lnea]. Mxico: Decisin TIC, 2015. [Consulta: 04
octubre 2015]. Disponible en: http://www.dtic.com.mx/noticias/5033-isaca-tiene-anuncia-
disponibilidad-de-la-version-en-espanol-de-cobit-5
13. Definicin. Entrevista [en lnea]. [Consulta: 08 Mayo 2014]. Disponible en:
http://definicion.de/entrevista/
14. Directores Financieros. Definicin de gestin empresarial eficiente [en lnea]. Espaa
Madrid: ASFI, 2015. [Consulta: 23 abril 2015]. Disponible en:
http://www.asfi.es/definicion-de-gestion-empresarial
15. Emb Gerencia. Mejor estndar de administracin de riesgo para las TI [en lnea]. Chile:
Editora Microbyte Ltda, 2014. [Consulta: 08 febrero 2014]. Disponible en:
http://www.emb.cl/gerencia/articulo.mvc?xid=1301
16. Enciclopedia Financiera. Diseo de organizacin [en lnea]. Espaa Madrid: Alejandro
Bujan Prez, 2014. [Consulta: 23 abril 2015]. Disponible en:
http://www.enciclopediafinanciera.com/organizaciondeempresas/diseno-de-rganizacion.htm
17. Estudio guas Estratgicas. Como escribir un libro blanco [en lnea]. [Consulta: 18 abril
2015]. Disponible en: http://www.studygs.net/espanol/wrtstr11.htm
18. FrancaVilla. Informacin [en lnea]. [Consulta: 03 octubre 2013]. Disponible en:
http://cafrancavilla.com/
19. Isaca. Administracin de empresa de tecnologas de la informacin [en lnea]. [Consulta:
03 febrero 2013]. Disponible en: http://www.isaca.org/cobit/Documents/COBIT-5-
Introduction.pdf
20. Isaca. Gua de auditora y aseguramiento de si [en lnea]. [Consulta: 18 abril 2014].
Disponible en: http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-
Audit-and-Assurance/Documents/2202_gui_Spa_0415.pdf
21. Isaca. Introduccin a COBIT [en lnea]. Panam: Isaca, 2013. [Consulta: 04 octubre 2013].
Disponible en: http://www.isaca.org/COBIT/Documents/COBIT5-Introduction-Spanish.ppt
22. Isaca. Marco de negocio para el gobierno y la gestin de las TI de la empresa [en lnea].
[Consulta: 30 abril 2014]. Disponible en: http://www.isaca.org/COBIT/Documents/COBIT
5-Framework-Spanish.pdf
23. Isaca. Informacin Segura [en lnea]. Argentina Buenos Aires: segurinfo, 2013.
[Consulta: 12 diciembre 2013]. Disponible en: https://www.google.com.ec/url?sa=t&rct=j&
q=&esrc=s&source=web&cd=2&sqi=2&ved=0CEMQFjAB&url=http%3A%2F%2Fwww.i
saca.org%2FKnowledge-Center%2Fcobit%2FDocuments%2FCOBIT5-and-InfoSec-
Spanish.ppt&ei=PaZrU9KdNdbMsQSp14KQAg&usg=AFQjCNHwAr_kWK8qtKWSNOB
dySs8j11AeQ&
24. Itil. Gobierno TI [en lnea]. [Consulta: 17 febrero 2014]. Disponible en:
http://itilv3.osiatis.es/gobernanza_ti.php
25. Luis Maram. Benchmarking [en lnea]. [Consulta: 15 abril 2015]. Disponible en:
http://www.luismaram.com/2013/08/28/como-hacer-benchmarking-en-sustentabilidad/
26. Magazcitum. Cobit 5 [en lnea]. Mxico: Ricardo Javier, 2014. [Consulta: 31 enero 2014].
Disponible en: http://www.magazcitum.com.mx/?p=1893
27. Marketing XXI. La comunicacin interna [en lnea]. Espaa Madrid: udima, 2015.
[Consulta: 04 febrero 2015]. Disponible en: http://www.marketing-xxi.com/la-
comunicacion-interna-119.htm
30. ORCI. Organizacin internacional de normalizacin (ISO 38500) [en lnea]. [Consulta: 13
abril 2015]. Disponible en: http://orcilatam.com/services/iso-38500/
31. PartnerConsulting. Alineamiento y control estratgico [en lnea]. Lima: Centro Financiero
- San Isidro, 2013. [Consulta: 23 abril 2015]. Disponible en: http://www.partnerconsulting.c
om.pe/UserFiles/File/Articulos/Direccion/ALINEAMIENTO%20Y%20CONTROL%20ES
TRATEGICO%20-%20DESPLIEGUE%20Y%20TRADUCCION%20DE%20LA%20EST
RATEGIA.pdf
32. Ploy. Libros blancos [en lnea]. [Consulta: 18 abril 2015]. Disponible en:
http://ployall.com/los-libros-blancos-en-la-era-digital/
33. QuimiNet. La importancia de las normas ISO 9000 [en lnea]. Mxico: QuimiNet, 2014.
[Consulta: 24 febrero 2014]. Disponible en: http://www.quiminet.com/articulos/la-
importancia-de-las-normas-iso-9000-2560542.htm
34. Seguridad para Todos. Seguridad de la Informacin [en lnea]. [Consulta: 07 febrero
2014]. Disponible en: http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-
seguridad-de-la.html
35. Sintetia. Nuevos modos de gestin [en lnea]. [Consulta: 09 marzo 2014]. Disponible en:
http://www.sintetia.com/la-empresa-abierta-nuevos-modos-de-gestion/
36. Soft32. Avira Free Antivirus [en lnea]. Romania: Sibiu, 2015. [Consulta: 05 abril 2015].
Disponible en: http://avira-free-antivirus.soft32.es/
37. The British Standards Institution. Gestin de calidad ISO 9001 [en lnea]. [Consulta: 24
febrero 2014]. Disponible en: http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-
de-gestion/estandares-esquemas/Gestion-de-Calidad-ISO9001/
38. Tutores US. La observacin cientfica [en lnea]. EE.UU: Latinos US, 2014. [Consulta: 09
mayo 2014]. Disponible en: http://www.tutores.us/representantes/legales/la-observacion-
cientifica/
39. Unavarra. Tipos de encuestas [en lnea]. [Consulta: 09 mayo 2014]. Disponible en:
http://www.unavarra.es/personal/vidaldiaz/pdf/tipos_encuestas.PDF
41. Universidad Metropolitana. Cobit [en lnea]. Quito: Buenas Tareas, 2013. [Consulta: 25
abril 2013]. Disponible en: http://www.buenastareas.com/ensayos/Cobit/2504579.html
42. Unsa. Gobierno y procesos TI [en lnea]. [Consulta: 07 febrero 2014]. Disponible en:
http://www.unsa.edu.ar/sigeco/archivos/sig_material/
43. Youblisher. Modelo de madurez segn Cobit [en lnea]. [Consulta: 21 marzo 2014].
Disponible en: http://www.youblisher.com/p/151242-Modelo-de-madurez-COBIT/
ANEXOS
Anexo A:
El objetivo del cuestionario de preguntas que se le presenta a usted es para conocer cmo se
lleva el manejo de los procesos tecnolgicos de las Tecnologas de la Informacin en la Escuela
de Ingeniera en Sistemas, con lo cual ayudar a comprobar la hiptesis planteada en la tesis que
se est desarrollando, aplicando COBIT 5 en la EIS.
Nota: Por favor marque con una x los tems en los que est de acuerdo y de no estarlo no lo
marque.
Estrategia
Adquisicin
Rendimiento
Conformidad
Otros________________________
Dirige
Monitoriza
Otros________________________
Proyectos
Procesos
Financiamiento TI
Otros________________________
5. Se consideran los siguientes aspectos en la Gestin Abierta y Comunicativa de la
Administracin TI en la EIS?
Aspectos Siempre A veces Rara vez Nunca
Organizacin fluida y adaptable
Sistema de gestin transparente
Otros________________________
Otros________________________
7. Qu aspectos del Nivel de Planeamiento de las Tecnologas de la Informacin se
considera para la gestin de los procesos TI de la EIS?
Aspectos Siempre A veces Rara vez Nunca
Planes realistas a largo plazo de las TI
Evaluaciones por comparacin con
normas industriales de servicios y
gestin de procesos de las TI
Plan estratgico de las TI
El objetivo del cuestionario de preguntas que se le presenta a usted es para conocer cmo se
lleva el manejo de los procesos tecnolgicos de las Tecnologas de la Informacin en la Escuela
de Ingeniera en Sistemas, con lo cual ayudar a comprobar la hiptesis planteada en la tesis que
se est desarrollando, aplicando COBIT 5 en la EIS.
Nota: Por favor marque con una x los tems en los que est de acuerdo y de no estarlo no lo
marque.
Destruccin Autorizada
Antivirus
Firewalls
Anlisis de Riesgos
Normativas
Plan Estratgico
Configuraciones Seguras
Eventos de Auditoria
Otros__________________________
2. Qu tipos de antivirus se utiliza?
Antivirus Bastante Medianamente Poco Nada
Bitdefender
Kaspersky
Eset NOD32
G Data
Avira
Otros____________________________
Comodo Firewall
Outpost Firewall
CFS
IPCop
APF
KISS Firewall
Otros____________________________
Ax3soft Sax2
Smartxac
ArcSight
Otros____________________________
VPN
VLANS
Enlaces redundantes
Otros_____________________________
ISO/IEC 31000
ISO-38500
ITIL
Otros________________________
7. Si marc en la pregunta 6 el Estndar COSCO, entonces marque los aspectos que se
consideran para la gestin TI de la EIS?
Aspectos Siempre A veces Rara vez Nunca
Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y Comunicacin
Supervisin
Otros________________________
Otros________________________
Otros________________________
10. Si marc en la pregunta 6 el Estndar ISO-38500, entonces marque los aspectos que
se consideran en la gestin TI de la EIS?
Principios Siempre A veces Rara vez Nunca
Responsabilidad
Estrategia
Adquisicin
Rendimiento
Conformidad
Factor humano
Otros________________________
11. Si marc en la pregunta 6 el Estndar ITIL, entonces marque los aspectos que se
consideran en la gestin TI de la EIS?
Aspectos Siempre A veces Rara vez Nunca
Gestin de la Infraestructuras TI
Planificacin para Implementacin
Gestin de Aplicaciones
Gestin de Servicios(Provisin y
Soporte)
Perspectiva del Negocio
Otros________________________
Lineamientos
Herramientas y tcnicas
Otros________________________
16. Si marc en la pregunta 15 el uso de estndares, entonces marque los que se utilizan
para la gestin de las Actividades de Aseguramiento TI en la EIS?
Tipo de Estndares Siempre A veces Rara vez Nunca
Auditora y aseguramiento de Sistemas
Informticos 1402
Otros________________________
17. Si marc en la pregunta 15 el uso de Lineamientos, entonces marque los que se estn
utilizando para la gestin de las Actividades de Aseguramiento TI en la EIS?
Tipo de Estndares Siempre A veces Rara vez Nunca
Generales - serie 2000
Desempeo - serie 2200
Reportes - serie 2400
Otros________________________
Programas de Auditoria/Aseguramiento
Otros________________________
INFORMACIN REQUERIDA
Este cuestionario de preguntas tiene el objetivo de apoyarme a la sustanciacin de mi tema tesis
que estoy desarrollando:
1.- Proyectos que la EIS tiene.
4.- Controles que la EIS tiene en cuanto a la informacin y los bienes que posee.
5.- Quienes y cules son los que tienen relacin con la EIS (ajenos a la universidad), estos
seran: comits de direccin, auditoria interna y administracin de proveedores.
6.- Polticas de inversin (Compras de nuevos equipos, construccin de nuevos edificios, nueva
infraestructura de red o mejoras, nuevos laboratorios o mejoras, mejorar el servicio de internet).
7.- Si existen varios proyectos y presupuestos asignados en relacin a que se seleccionara uno
de los proyectos para ejecutarlo.
8.- Quienes son los que analizan estos proyectos de inversin y autorizan.
9.- Se realiza evaluaciones para identificar que necesidades tiene la EIS, en beneficio a todos los
estudiantes, docentes y empleados.
10. Como EIS que evaluaciones y controles se realiza as mismo o quienes realizan estos
controles: Seguridad (alarmas, personal que vigila, personal autorizado), Rendimiento de los
Servicios (Internet, red, servidores, aplicaciones, Laboratorios (computadoras, proyectores),
Luz), Infraestructura (Comodidad, adecuacin de los equipos es la correcta), Inventarios
(Computadoras, dispositivos, muebles, software, servicios).