En este subcapítulo se procederá a interpretar los resultados obtenidos por medio de la herramienta de evaluación, es decir, el nivel de madurez obtenido de cada proceso, tomando en cuenta que el propósito de ésta evaluación es de identificar donde se encuentran los problemas y fijar prioridades para las mejoras; la evaluación de la madurez de COBIT resultará en un perfil en el que aspectos relevantes a diferentes niveles de madurez se han cumplido, siendo ésta una ventaja para mejorar la madurez. En el siguiente análisis, por cada proceso, se detallarán los aspectos relevantes que ubican en los niveles de madurez mostrados en el subcapítulo anterior a su respectivo proceso, así como también los aspectos relevantes que no permiten que un proceso se ubique en un nivel de madurez superior al que se indicó en la evaluación.
PO1.- Definir un Plan Estratégico de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que la empresa no cuenta con un plan estratégico de TI bien definido y documentado y se deja la responsabilidad a una sola persona de TI para llevar a cabo este proceso, es decir, es evidente una falta de comunicación entre las partes.
PO2.- Definir la Arquitectura de la Información
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; puesto que la empresa está completamente consiente de la importancia de organizar, disponer y estructurar la información que es de vital importancia para el funcionamiento de la empresa, para esto la empresa cuenta con un sistema que gestiona la información del negocio en todos sus procesos, más no se da soporte al mismo a través de herramientas automatizadas y tampoco se mantiene una mejora continua reforzando la consistencia de la arquitectura de la información.
PO3.- Determinar la Dirección Tecnológica
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; puesto que el análisis de cambios tecnológicos se delega al analista de sistemas de la empresa y él lo realiza a través de procesos intuitivos, aunque carece de un plan de infraestructura tecnológica bien definido y documentado y una función de investigación de nuevas tecnologías.
PO4.- Definir los Procesos, Organización y Relaciones de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que la organización de TI se encuentra casi en su totalidad de forma completa, pero no existe un apoyo constante en cuanto al desarrollo profesional del personal y existe un leve proceso de mejora continua en los procesos del negocio.
PO5.- Administrar la Inversión en TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que existe una planificación estratégica respecto del presupuesto con los planes de TI y del negocio, favoreciendo en una mejor gobernanza de TI, pero esta planificación no es estándar, al contrario, es reactiva dependiendo de los objetivos.
PO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que la empresa cuenta con estándares y políticas de control, pero el monitoreo de las mismas no se aplica de forma consistente, lo cual indica que no existe una comunicación continua con la gerencia que permita garantizar el logro de objetivos de manera efectiva y el cumplimiento de leyes y políticas.
PO7.- Administrar Recursos Humanos de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que el proceso de administración de recursos humanos es reactivo e informal, lo que indica que en la empresa no se siguen prácticas definidas para apoyar el reclutamiento, entrenamiento, motivación y evaluación de desempeño del personal de TI que son importantes para la creación y entrega de servicios de TI dentro de la empresa.
PO8.- Administrar la Calidad
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de cero (nivel de madurez 0 o No Existente), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que la empresa no cuenta con un proceso de administración de la calidad entre sus funciones, sin embargo, a nivel de gerencia se considera un proceso secundario puesto que ésta labor la realiza la empresa proveedor lo cual garantiza un producto software confiable.
PO9.- Evaluar y Administrar los Riesgos de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que existe un proceso de mitigación de riesgos, pero éste se aplica reactivamente conforme se presentan riesgos, lo cual
indica que no hay un análisis y evaluación de riesgos que permita alinearlos a un nivel aceptable de tolerancia.
PO10.- Administrar Proyectos
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que en un proyecto, las directrices administrativas se dejan a criterio del gerente de proyecto, pero el proceso de administración de proyectos no ha sido establecido ni comunicado, tampoco las responsabilidades iniciales, lo cual no es un impedimento para lograr los objetivos del proyecto pero obstaculizan de manera inicial su organización.
AI1.- Identificar soluciones automatizadas
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que el éxito de un proyecto depende de unos cuantos individuos clave, y de su experticia depende la identificación de soluciones de TI efectivas con respecto a los objetivos del negocio, esto permite minimizar y el costo para adquirir e implementar soluciones.
AI2.- Adquirir y mantener software aplicativo
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que no se tiene mucha consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición del software aplicativo, lo cual, si bien es importante la funcionalidad del aplicativo con respecto a los objetivos del negocio, también es importante tomar en cuenta otros criterios de información que permiten asegurar y hacer uso de la información gestionada por el aplicativo, como son la seguridad y la disponibilidad.
AI3.- Adquirir y mantener infraestructura tecnológica
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que en la empresa existe una planificación, coordinación del mantenimiento de la infraestructura de TI, lo cual es importante puesto que se garantiza la existencia de un soporte tecnológico continuo para las aplicaciones y servicios de TI en la empresa.
AI4.- Facilitar la operación y el uso
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que el entrenamiento de personal se da a través de materiales realizados por individuos clave de la empresa, y la calidad de estos materiales depende de los individuos involucrados, más no a través de un proceso definido, con documentación de usuario y manuales de operación.
AI5.- Adquirir recursos de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que en la empresa existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI, sin embargo, la administración de proveedores se realiza por iniciativa individual y no en base a un procedimiento o política; seguir normas y políticas para la adquisición de recursos de TI, garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.
AI6.- Administrar cambios
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que no se realiza una planificación exhaustiva para llevar a cabo la implantación del cambio y la evaluación del impacto se realiza previo al cambio, lo cual puede generar errores al momento de proceder en la implantación de nuevos requerimientos en el ambiente de producción.
AI7.- Instalar y acreditar soluciones y cambios
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; debido a que el procedimiento para pruebas de nuevos cambios es informal y no se planifica la transición al ambiente de producción, lo cual es importante para garantizar que las aplicaciones estén en línea con las expectativas convenidas y con los resultados esperados.
DS1.- Definir y administrar los niveles de servicio
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; puesto que la responsabilidad queda en el individuo y la falta de comunicación hace que los procesos no sean estandarizados en las diferentes áreas dando como resultado en una ineficiente definición de los acuerdos de servicio por cada proceso crítico del negocio.
DS2.- Administrar los servicios de terceros
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Existe documentación de todos los servicios de terceros pero la falta de establecer métricas para medir el nivel de satisfacción hace que la calidad de los servicios se vea comprometida por la mala administración de contratos provocando posibles pérdidas para el negocio.
DS3.- Administrar el desempeño y la capacidad
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Tanto el desempeño como la capacidad son dos
factores que no han sido medidos periódicamente, desde inicios de la empresa solo se ha hecho una medición de desempeño del sistema (servidor de Aplicación y Bases de Datos). Pero a nivel general no se ha logrado establecer la capacidad tecnológica de TI la misma que podría impactar directamente en la continuidad del negocio.
DS4.- Garantizar la continuidad del servicio
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Existen planes de contingencia similares entre la infraestructura, aplicaciones e información de entre los cuales la infraestructura es la que mejor se encuentra definida, y a nivel del personal de FiduEcuador S.A. solo existe un plan de contingencia informal. Por lo tanto se necesita definir las responsabilidades a nivel organizacional para que todos los servicios de TI no se vean interrumpidos reduciendo así el tiempo de recuperación para garantizar la disponibilidad de los mismos.
DS5.- Garantizar la seguridad de los sistemas
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; A pesar que en las aplicaciones existen niveles de seguridad al igual que en los usuarios no se ha logrado detectar ningún incidente de seguridad lo cual nos indica que no existen monitoreos que permitan tomar acciones correctivas.
DS6.- Identificar y asignar costos
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; No existe una asignación justa en TI o se dan inversiones reactivas dando como resultado una baja administración financiera del área de TI.
DS7.- Educar y entrenar a los usuarios
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Se da mucha confianza en el conocimiento de los individuos ya que no existe un plan de entrenamiento en donde se puedan medir los resultados con los cuales puedan de cierta forma mejorar los procesos en las diferentes áreas del negocio y reducir los errores. El conocimiento es impartido individualmente de forma informal con diferentes puntos de vista.
DS8.- Administrar la mesa de servicio y los incidentes
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Si bien FiduEcuador S.A. es una pyme en donde aún no surge la necesidad de crear una mesa de servicio, pero si es importante dentro del área de TI definir un registro de incidentes que puedan ser analizados y
que permitan responder de manera oportuna ante los usuarios de TI, ya que al momento toda ésta responsabilidad se le deja a la un solo individuo.
DS9.- Administrar la configuración
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; No se encuentra definido las configuraciones de hardware y software ya que a lo largo del tiempo los individuos a cargo del área de TI no han venido documentando dichas configuraciones que ayudarían al negocio ante cualquier tipo de cambio incluso para garantizar la continuidad del mismo.
DS10.- Administrar los problemas
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; La mayoría de las veces se ha podido identificar las causas de los problemas pero las acciones correctivas han consumido el tiempo deseado de solución, una de las causas se debería a la mala administración de los niveles de servicios de terceros.
DS11.- Administrar los datos
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Se tiene un plan de contingencia periódico en cuanto a la base de datos se refiere garantizando de cierta forma la disponibilidad de la información pero no se tiene una adecuada administración en cuanto a la integridad y calidad de los datos.
DS12.- Administrar el ambiente físico
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Actualmente los activos de TI se encuentran asegurados y el área del centro de cómputo dispone de aire acondicionado, ups, cableado estructurado, entre otros, creando así un ambiente seguro que de cierta forma garantiza la disponibilidad de los servicios del negocio; en cuanto a la seguridad y acceso a las instalaciones del centro de cómputo aún no se lleva un control ni un registro de las actividades que hacen los proveedores ni tampoco se cuenta con un diseño adecuado del área de computo.
DS13.- Administrar las operaciones
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Ya que no se dispone de un programa de monitoreo de infraestructura ni de políticas y procedimientos de operación, creando una pequeña brecha en cuanto al tiempo de recuperación de errores y fallas se refiere, y por otro lado la gerencia pierde el control del uso de los recursos de cómputo puesto que las tareas de la persona de TI aún son informales.
ME1.- Monitorear y Evaluar el Desempeño de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Ya que no existe la presencia de un monitoreo programado (solo de forma reactiva), no se han definido indicadores de desempeño relevantes al negocio, por lo tanto no existen acciones correctivas que nos permitan identificar el mejoramiento de los objetivos de TI como los del negocio.
ME2.- Monitorear y Evaluar el Control Interno
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de uno (nivel de madurez 1 o Inicial), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; A pesar de que se da cumplimiento de las leyes y regulaciones aplicables al negocio, no se ha definido un control interno que permita identificar que las operaciones son llevadas a cabo de forma eficiente. Es así que las evaluaciones del control interno de TI se realizan como parte de las auditorías financieras del negocio creando una desviación en cuando a las necesidades del área se refiere.
ME3.- Garantizar el Cumplimiento Regulatorio
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de tres (nivel de madurez 3 o Definido), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Se tiene un control y actualización en cuanto a las leyes y regulaciones de TI y de negocio, por medio de reportes de cumplimiento con la finalidad de evitar sanciones o multas, garantizando las obligaciones contractuales que demanda el negocio, a pesar que éste control en algunos casos se presenta de forma informal.
ME4.- Proporcionar Gobierno de TI
El nivel de madurez para este proceso calculado por la herramienta de evaluación es de dos (nivel de madurez 2 o Repetible), el mismo que fue confirmado con la dirección de FiduEcuador S.A.; Ya que las responsabilidades de gobierno se deja al individuo confiando en sus capacidades. Los procesos, las herramientas y métricas para medir el Gobierno de TI no se encuentran bien definidas y son comunicadas de manera informal por parte de la gerencia, perdiendo el control sobre las mismas.
En la figura 6, se muestra un gráfico provisto por la herramienta Maturity Assessment Tool basada en COBIT 4.1, en donde se detallan el nivel de madurez de todos los procesos de cada dominio. Como resultado, actualmente no existe uniformidad en los niveles de madures por lo cual debemos lograr que todos los procesos alcancen el mismo nivel de madurez con el fin de que exista una mejor alineación entre el gobierno de TI y los objetivos del negocio. En el siguiente capítulo definiremos el grado de madurez a alcanzar en cuanto a los procesos primarios y secundarios a corto y largo plazo respectivamente.
Figura 6 Nivel de madurez actual por proceso28
En la figura 7 se muestra un gráfico que indica el nivel de madurez actual por proceso junto con sus proyecciones a corto y largo plazo por proceso, de esta