Auditoría informática para mejorar la gestión de las tecnologías de la información en el Ministerio del Trabajo Regional Ambato

(1)

UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES

UNIANDES

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRIA EN INFORMATICA EMPRESARIAL

PROYECTO DE INVESTIGACION PREVIO LA OBTENCION DEL

GRADO ACADEMICO DE MAGISTER EN INFORMATICA

EMPRESARIAL

TEMA:

“

AUDITORIA INFORMATICA PARA MEJORAR LA GESTION DE

LAS TECNOLOGIAS DE LA INFORMACION EN EL MINISTERIO

DEL TRABAJO REGIONAL AMBATO.

_”

AUTOR: ING. LASCANO LAICA WILLIAM MIGUEL

ASESOR: ING. BAÑO NARANJO FREDDY PATRICIO, M.Sc.

AMBATO

_–

ECUADOR

(2)

(3)

(4)

(5)

(6)

DEDICATORIA

Primeramente gracias a Dios porque me diste la oportunidad de vivir y tener una familia maravillosa

(7)

AGRADECIMIENTO

Con estas cortas frases quiero conseguir el agradecimiento infinito a mi esposa, ya que con su apoyo se pudo realizar este proyecto.

A la Universidad UNIANDES la cual abrió sus puertas para realizar el presente postgrado

(8)

RESUMEN

El presente trabajo describe la auditoria informática de los sistemas de tecnologías de la información del Ministerio del Trabajo Regional Ambato, de lo cual nos presentara un modelo de mejora, basados en modelos de referencias internacionales.

Para el siguiente proyecto se utilizara la herramienta Cobit 5, que actualmente es utilizada brindando los mejores resultados ante la obtención de mejoras en los procesos, en beneficio, optimalización de riesgos y recursos, alineando las metas empresariales con las metas de tecnologías de la información, obteniendo los procesos de mayor relevancia a fin de establecer e implantarlos en el Ministerio del Trabajo Regional Ambato.

(9)

ABSTRACT

This research describes computer systems auditing of information technologies of the Ministry of Regional work Ambato, of which we present a model for improvement based on international reference models.

For the next project Cobit 5 tool, will be used to provide the best results before obtaining process improvements, benefit, optimalization of risks and resources, aligning business goals with the goals of information technology is used, getting the most relevant processes to establish and implement them in the ministry of regional work Ambato.

(10)

INDICE GENERAL

PORTADA

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

DECLARACIÓN DE AUTORÍA

DERECHOS DE AUTOR

DEDICATORIA

AGRADECIMIENTO

RESUMEN EJECUTIVO

ABSTRACT

INDICE GENERAL

INDICE DE FIGURAS

INDICE DE TABLAS

INDICE DE GRÁFICOS

INTRODUCCIÓN

Antecedentes de la investigación……... 1

Planteamiento del problema……... 2

Formulación del problema…….………... 3

Delimitación del problema……... 3

Objeto de Estudio………... 3

Campo de acción…………... 3

Línea de investigación…………... 3

Objetivos………... 4

Objetivo General……... 4

Objetivos Específicos... 4

Idea a defender……... 4

(11)

CAPITULO I

MARCO TEORICO

1.1.- Tecnologías de la Información y comunicación………...6

1.1.1 Historia……...6

1.1.2 Papel de las Tics en la Empresas...8

1.1.3 Redes…….……….………...12

1.1.4 Sistemas Operativos……...13

1.2.- Sistemas de Información...14

1.2.1 Generalidades……...14

1.2.2 Tipos de Sistemas de Información…...14

1.2.2.1 Introducción…...14

1.2.2.2 Sistemas para el procesamiento de transacciones…...15

1.2.2.3 Sistemas de información administrativa…...16

1.2.2.4 Resolución de problemas con dss………..……...…17

1.2.2.5 Posibilidades de los sistemas de apoyo a la decisión………..……….18

1.2.2.6 Sistemas de información para ejecutivos (eis)………..……...18

1.2.2.7 Evolución de los sistemas de información………...………19

1.2.3 Aplicaciones………...………..………20

1.2.3.1 Dirección ejecutiva………...………...…20

1.2.3.2 Gestión de operaciones………...………..…………20

1.2.3.3 Recursos humanos………..…………...21

1.3 Auditoria Informática………...……...………21

1.3.1 Antecedentes………...………21

1.3.2 Características……….………22

1.3.2.1 Auditoría de Sistemas de Información………..…...………22

1.3.2.2 Elementos de la Auditoría de Sistemas de Información………23

1.3.2.3 Proceso de Auditoría………...………24

1.3.3 Guía y Herramienta COBIT………...25

(12)

1.3.3.2 Misión de COBIT………...26

1.3.4 Áreas de COBIT 5………...27

1.3.4.1. Satisfacer las necesidades de las partes interesadas………...27

1.3.4.2 Cubrir la organización de forma integral………...28

1.3.4.3 Aplicar un solo marco integrado………...30

1.3.4.4 Hacer posible un enfoque holístico………...32

1.3.4.5 Separar el gobierno de la administración………...34

1.3.4.6 Modelo de Referencia de Procesos de COBIT 5………...35

1.3.4.7 Modelo de capacidad de los procesos de COBIT 5………...37

1.3.4.8 Procesos orientados del Cobit 5………...39

1.4.- Ministerio del Trabajo………...45

1.4.1 Misión y Visión………...45

1.4.2 Misión………...45

1.4.3 Visión………...46

1.4.4 Valores………...46

1.4.5 Servicios que brinda………...46

1.4.6 Objetivos………...48

1.4.6.1 Objetivos Estratégicos………...48

1.4.6.2 Objetivos Operativos……….…………...49

1.4.7 Ejes Estratégicos………...50

1.5 Conclusiones Parciales del Capitulo………...51

CAPITULO II MARCO METODOLOGICO 2.1 Caracterización del Sector………...52

2.2 Descripción del procedimiento metodológico………...53

2.2.1. Modalidad de la investigación………...53

(13)

2.2.3 Métodos y técnicas e Instrumentos………...53

2.2.3.1 Entrevista………...54

2.2.3.2 Encuesta………...54

2.2.4 Población y Muestra………...54

2.2.5 Guía de Entrevista………..……...55

2.3 Análisis e Implementación de datos………...55

2.4 Propuesta del investigador………...64

2.5 Conclusiones parciales de capitulo………...64 CAPITULO III MARCO PROPOSITIVO 3.1 Tema………...66

3.2 Objetivo………...66

3.2.1 Objetivo general………...66

3.2.2 Objetivos específicos………...66

3.3 Desarrollo de la propuesta………...66

3.3.1 Definición de la metodología………...66

3.3.2 Análisis………...67

CONCUSIONES………...81

RECOMENDACIONES………...82

INDICE DE FIGURAS Figura 1. Las TICS en la evolución………...7

Figura 2. Las TICS en la unión de procesos………...8

Figura 3. Papel de las TICS en los negocios………...9

Figura 4. Tipos de sistemas de información………...15

Figura 5. Relación entre mis y dirección de la empresa…….………...17

(14)

Figura 7. Principios Cobit 5……….………...27

Figura 8. Creación de Valor……….28

Figura 9. Gobierno y Gestión………..29

Figura 10. Roles, Actividades y Relaciones………...30

Figura 11. Marco de Referencia Único Integrado COBIT 5………...31

Figura 12. Catalizadores Corporativos COBIT 5………...32

Figura 13. Catalizadores-Dimensiones COBIT 5………...34

Figura 14. Áreas Clave de Gobierno y Gestión de COBIT 5………...35

Figura 15. Modelo de Referencia de Procesos de COBIT 5………...36

Figura 16. Siete Fases de la Implementación del Ciclo de Vida………...37

Figura 16. Modelo Capacidad de Procesos de COBIT 5………...38

Figura 17. Valores MDT………...46

Figura 18. Objetivos MDT………...49

Figura 19. Objetivo Operativo MDT………...50

INDICE DE TABLAS Tabla N 1. Población Ministerio del Trabajo Regional Ambato………...55

Tabla N 2. Tabulación Pregunta 1...56

Tabla N 12. Procesos Cobit 5………...66

(15)

Tabla N 14. Metas TI…………..……...68

Tabla N 15. Objetivos Estratégicos……...70

Tabla N 16. Matriz Preguntas de Gobierno vs Metas Corporativas……...71

Tabla N 17. Matriz Priorizar Metas Corporativas………...…………...73

Tabla N 18. Matriz Priorizar Metas Corporativas y Metas TI………...75

Tabla N 19. Matriz Metas TI priorizadas………...75

Tabla N 20. Matriz Priorizar Metas Corporativas y Metas TI……….….………...77

Tabla N 21. Matriz Priorizadas………...……...77

Tabla N 22. Tabla Procesos Cobit vs norma ISO/ICE 27004………….…………...80

ÍNDICE DE GRAFICOS Grafico N 1. Representación Pregunta 1………..56

Grafico N 2. Representación Pregunta 2……….……….57

(16)

1

INTRODUCCION

Antecedentes de la Investigación

La adquisición de tecnología promueven un buen servicio al usuario pero, sino son administradas de la mejor manera, podrían no ser un adelanto para la institución.

El objetivo de la Auditoria informática es la unión de procedimientos con otras disciplinas que conjuntamente ayudaran a realizar una toma de decisiones, teniendo en cuenta que es importante para el funcionamiento de la institución.

El impacto de la tecnología en las organizaciones ha obligado a tener en cuenta aspectos muy relevantes como políticas de seguridad, estrategias organizacionales, separación de funciones, impacto de los errores, ingresos no autorizados, sustracción y manipulación de información, desarrollo de sistemas informáticos, etc.; por ello ante la necesidad de contar con un adecuado marco de administración y control.

La meta a alcanzar por una organización que contrata la auditoria es asegurar que sus objetivos estratégicos y que los sistemas presten el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.

El MDT (Ministerio del Trabajo) al ser una institución pública y de prestigio, cuenta con un Centro de Informática que gestiona las actividades de TI (Tecnologías de la Información), administra la información, desarrolla sistemas requeridos por la Institución, brinda soporte técnico y ejecuta varios proyectos informáticos, debido a ello se ha considerado la necesidad de realizar una Evaluación Técnica Informática Externa a los controles establecidos por la dirección de TI para determinar falencias actuales, bajo el estándar internacional como es COBIT.

Luego de una investigación preliminar realizada en la biblioteca de la Universidad de las Fuerzas Armadas ESPE se ha encontrado un trabajo de grado previo a la obtención de título de Carrera de Ingeniería de Sistemas e Informática el desarrollo realizado por: Eveline Alina Estrella Zambrano Sara Natali Alvear Montesdeoca con el

(17)

2

en detectar e identificar debilidades y emitir recomendaciones que permita eliminar o minimizar los riesgos.

En la universidad de la escuela Politécnica de ejército se han realizado investigaciones sobre la Evaluación Técnica de Informática del Cuerpo de Ingenieros de Ejercito Utilizando el estándar internacional Cobit 4.0 , trabajo desarrollado por Edison Xavier Lombeida Ayala y Richard Stalin Orellana Atarihuana, 2011; quienes se enfocan a revisar la vulnerabilidades y fortalezas sobre la implementación de las TICs y el desarrollo de los sistemas de la información en las actividades que cumplen todas las entidades del Cuerpo de Ingenieros del Ejército.

Planteamiento del problema

Las empresas públicas prestan servicios a la colectividad, si estos servicios no se encuentran direccionados y optimizados produce un malestar ya que los mismos son un derecho que adquieren los usuario y por tal se deben garantizar y priorizar.

En consecuencia la institución pública siempre debe estar en constante revisión de los procesos que brinda acoplándose a las necesidades de los usuarios, no mantener un estándar que en momentos de congestión de servicios, la empresa pública cumpla con su objetivo y entregue adicionalmente su valor agregado.

El fin de la aplicación técnica de los sistemas de información es proyectar todos los insumos tecnológicos a un fin de servicio, sí que exista un no uso, mal y desperdiciado uso de los mismos, de igual manera a verificar las fortalezas que ayudaran a propagar un excelente servicio al usuario.

Los problemas que se evidencian en el Ministerio de Relaciones Laborales son los siguientes:

 No se registra una evaluación de los sistemas de información en los procesos que se realizan interiormente.

 No existe una verificación sobre los recursos informáticos asignados en relación al servicio que se brinda.

 Falta de un inventario actualizado de red interna y control de accesos.

(18)

3

Formulación del problema

¿Cómo brindar un marco de trabajo para la medición y auditoria del desempeño de las Tecnologías de la Información en el Ministerio del Trabajo Regional Ambato?

Delimitación del problema

El Ministerio del trabajo, es una institución pública por ende su misión es brindar servicios a la colectividad, para el estudio se delimita que se realizara en la sede de la ciudad de Ambato del Ministerio del Trabajo, la cual se encuentra ubicado en la Avenida Víctor Hugo y pasaje Cosme Renella.

En el Ministerio del Trabajo Regional Ambato se propone realizar la auditoria informática para mejorar la gestión de las Tecnologías de la Información, para este análisis se empleara el tiempo de 5 meses los cuales comprenderán todos los capítulos y presentación de informes que demostraran la investigación realizada.

Objeto de Estudio y Campo de Acción

Objeto de Estudio

Tecnologías de la Información y Comunicación.

Campo de Acción

Auditoria Informática

Línea de Investigación

(19)

4

Objetivos

Objetivo General

Realizar una Auditoria Informática para mejorar la Gestión de las Tecnologías Información del Ministerio del Trabajo Regional Ambato a fin de mejorar la satisfacción de los usuarios con respecto al área informática.

Objetivos Específicos

 Fundamentar científicamente la auditoria informática y los procedimientos de COBIT.

 Realizar una investigación de campo sobre la medición, el monitoreo de la Tecnologías de la Información en el Ministerio del Trabajo Regional Ambato.

 Desarrollar una auditoria informática que permita minimizar existencias de riesgos en el uso de Tecnología de la información en el Ministerio del Trabajo Regional Ambato.

 Proponer un Plan de mejoras para la gestión de Tecnologías de la Información en el Ministerio del Trabajo Regional Ambato.

Idea a Defender

La recopilación de información esencial para el excelente y apropiado proceso que se efectúan ante los sistemas de información mediante una estructurada auditoria informática basada en un marco de referencia COBIT, el cual proyectara un análisis de fortalezas y debilidades, presentando un informe con conclusiones y recomendaciones que en base a esta auditoria optimizara recursos y mejorar el empleo de la tecnología dentro de la institución.

Justificación del Tema

(20)

5

de brindar al usuario todos los requerimientos según procedimientos y estrategias las cuales ayudaran a que el servicio que brindan sea con calidad.

Anteriormente el servicio que brindaban a los usuarios las instituciones públicas dejaban mucho que desear ya que la gran mayoría no sabían o no conocían el trato que se debe dar a los individuos que se acercan a las instituciones públicas por un servicio, el mismos que están en su deber de ofrecer con agilidad y eficiencia.

Para que el la atención a los usuarios en las instituciones públicas llenen las expectativas se han tomado varias alternativas, ya sea capacitando a los empleados públicos pero en algunos casos no es suficiente para brindar el servicio.

El Ministerio del Trabajo Regional Ambato implementa unas estrategias de atención al cliente ya que es el ente regulador de regir las normas y leyes entre empleador y trabajado, en este caso se propone verificar sus procesos TI en bien de satisfacer las necesidades de los usuarios ya que es su origen de ser.

Al realizar una auditoria informática en el Ministerio del Trabajo Regional Ambato se verifican las prioridades y necesidades de TI las cuales se verán reflejadas en un excelente servicio y un mejor manejo de las Tecnologías de la Información, tomando en cuenta que se planificara un proceso estructurado que podrá ser implementado en la mayoría de Instituciones Públicas a nivel país, ya que se reflejaran las Metas-servir.

El tener un conocimiento claro de los procesos a seguir y la verdadera metodología a implementar en las instituciones públicas en este caso el Ministerio del Trabajo Regional Ambato, ayudara a que los proceso que se realizan sean orientados a mejorar en bien de la institución, obteniendo un informe de las necesidades que posee la institución y procedimientos poco o menos utilizados.

(21)

6

CAPITULO I

1. MARCO TEORICO

1.1.- Tecnologías de la Información y comunicación

1.1.1 Historia

Sus inicios se generan desde los años 70 con el principio de la era digital, teniendo una convergencia con la electrónica y la informática según progresaban los años.

Teniendo en cuenta la evolución de las tecnologías de la informática y comunicación se podría pensar que al momento de la aparición de la televisión era un equipo tecnológico casi insuperable pero se ha verificado que no es así ya que se presenta nuevas características de mejoramiento continuo. . A pesar de esto, en un concepto amplio, se puede considerar que el teléfono, la televisión y el ordenador forman parte de lo que se llama TIC en tanto que tecnologías que favorecen la comunicación y el intercambio de información en el mundo actual.

La asociación de la informática y las telecomunicaciones en la última década del siglo XX se ha beneficiado de la miniaturización de los componentes, permitiendo

producir aparatos “multifunciones” a precios accesibles desde el año 2000. (JORDAN, 2012)

El uso de las TIC no para de crecer y de extenderse, sobre todo en los países ricos, con el riesgo de acentuar localmente la brecha digital y social y la diferencia entre generaciones. Desde la agricultura de precisión y la gestión del bosque a la monitorización global del medio ambiente planetario o de la biodiversidad, a la democracia participativa (TIC al servicio del desarrollo sostenible) pasando por el comercio, la telemedicina, la información, la gestión de múltiples bases de datos, la bolsa, la robótica y los usos militares, sin olvidar la ayuda a los discapacitados (por ejemplo, ciegos que usan sintetizadores vocales avanzados),

(22)

7

Figura 1. Las TICS en la evolución

Fuente: https://www.emaze.com/@AIROORZW/Recursos-de-La-red

Hoy en día, las tecnologías de la información están presentes en todas las áreas de las organizaciones. Esta implantación generalizada de SI se ha realizado en muchos casos sin la necesaria planificación, en parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas abiertos, la interconexión global y el deseo por parte de los consumidores de independizarse de los fabricantes traen consigo la necesidad de un estudio más profundo de los SI antes de tomar decisiones.

Por lo tanto, se hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre sistemas y la organización del personal y de la empresa. (Roger, 2010)

En los últimos tiempos el ejercicio en las actividades de auditoría y control en tecnologías informáticas, ha auspiciado un desenvolvimiento más que acelerado de todas las demás actividades inmersas en la economía de un país.

(23)

8

Figura 2. Las TICS en la unión de procesos

Fuente: http://didacticasunad.blogspot.com/2010/06/que-llamamos-las-tic.html

En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnología, además de los costos derivados de la posible organización estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.

1.1.2 Papel de las Tics en la Empresa

La constante evolución de la tecnología, junto a la aparición de nuevas y más complejas formas de utilización de la misma y a la completa interconexión y globalización de la economía, y los sistemas, implican que, más que nunca, las Tecnologías de la Información (TIC) ofrecen extraordinarias oportunidades, a la vez que elevados costes e importantes riesgos.

(24)

9

(Pupo Francisco & Rojas, 2009)” Existe una corriente de pensamiento que considera las TIC como el principal impulsor de la economía en el siglo XXI. Aunque esto puede ser objeto de debate, existe un completo acuerdo en que las futuras necesidades de negocio y ventajas competitivas estarán soportadas por el uso intensivo de las TIC”.

Aquellas organizaciones que no presten a las TIC al menos el mismo grado de atención que tradicionalmente se ha prestado a otras funciones como la productiva o la financiera, perderán su ventaja competitiva y serán, finalmente, expulsadas del mercado.

Por el contrario, las organizaciones que concentren sus esfuerzos en el Gobierno de las TIC, verán cómo sus inversiones en TIC retornan valor a la compañía, potencian el negocio y conocen y mantienen controlados los riesgos inherentes a la utilización de la tecnología.

Figura 3. Papel de las TICS en los negocios Fuente: http://www.media-tics.com/noticia/2985

Toda organización debe considerar un plan TIC que considere actuaciones en cada uno de los siguientes aspectos:

Dirigir: Alineamiento con los objetivos del negocio para poder construir los mecanismos necesarios para entregar valor.

Crear: Retorno de valor de la inversión realizada en TIC.

Proteger: Gestión de riesgos para preservar el valor de los activos.

(25)

10

Monitorizar: Evaluación de la ejecución y desempeño del plan establecido para realinear el gobierno de las TIC con el del negocio si es necesario.

Según The Brookings Institute, sólo el 15% del valor de mercado de una empresa reside en sus activos tangibles, mientras que el 85% restante reside en sus activos intangibles la mayor parte de ellos en forma de Información. Si bien es cierto que lo que tradicionalmente se conoce como capital humano (y cuyo recurso más valioso es el "razonamiento") y la parte del conocimiento que denominamos "tácito" (el que reside en las personas) no pueden considerarse como un "activo", sí han de considerarse como "recursos" estratégicos de la organización y, sin duda la gestión de ambos, conocimiento y razonamiento, resultará fundamental para el éxito de las organizaciones del SXXI. El papel de las TIC para identificar, explotar, potenciar y desarrollar tanto conocimiento como razonamiento son cruciales. (Vilar, 2006)

Como se ha visto, las TIC presentan una doble cara: Por un lado exigen grandes inversiones y las acompañan riesgos que, potencialmente, pueden aniquilar el negocio; mientras que, al mismo tiempo, ofrecen excepcionales oportunidades de crecimiento y de evolución del negocio. La gerencia y los altos ejecutivos, han de ser conscientes del impacto de las TIC en la organización, ser capaces de conocer su rendimiento (retorno de valor/coste) y estar preparados para comprender y gestionar los riesgos inherentes a su utilización.

Aquellas organizaciones cuyos directivos no comprendan ni se preparen para los nuevos tiempos estarán poniendo en peligro su capacidad de adaptación y, por consiguiente, estarán corriendo un riesgo de extinción muy elevado.

Las empresas que constituyen la economía social o tercer sector tampoco están exentas de estas posibilidades. Sin embargo, los trabajos existentes al respecto para las organizaciones de la economía social son escasos. (Vilar, 2006)

Existe una relación bidireccional entre la organización y sus sistemas de información. La organización está abierta a los impactos de los sistemas de información y estos deben estar alineados con los objetivos de la organización.

Existen unos factores mediadores que influyen en la interacción entre las TIC y las organizaciones.

(26)

11

definiciones centradas en los comportamientos, que hablan de un conjunto de derechos, responsabilidades y obligaciones. A pesar de la diversidad de organizaciones que pueden existir, todas comparten unas características comunes: unos procedimientos operativos normalizados y una política organizacional.

Los patrones de actividades que los empleados asumen también están siendo afectados, en áreas tales como:

Procesos organizacionales

Habilidades y patrones de trabajo

Estructuras organizacionales

Las TIC pueden usarse simplemente para automatizar procesos preexistentes, pero lo más probable es que las actividades sean por lo menos racionalizadas, para aprovechar las ventajas de la nuevas posibilidades que la tecnología crea, y en algunos casos los procesos requieren ser re-diseñados sustancialmente. Por lo tanto, los impactos sobre los procesos organizacionales son notorios y pueden ser muy profundos.

Al implantar nuevas tecnologías de informática y comunicaciones, los patrones de trabajo y las habilidades que ellos requieren, podrán ser muy diferentes de los que se tenían antes. Son vitales las capacidades relacionadas con los computadores y las comunicaciones. Algunos procesos que se hacían por lotes, pueden orientarse a ser realizados inmediatamente, bajo pedido, para atender las necesidades de los clientes.

También la estructura organizacional se ve impactada por las TIC de manera creciente, el enfoque tiende a dar trascendencia a los procesos del negocio, y a considerar como menos importante la jerarquía de administradores y supervisores. (Universidad Peruana de los Andes, 2010)

(27)

12

negocio; mientras que, al mismo tiempo, ofrecen excepcionales oportunidades de crecimiento y de evolución del negocio.

El apego al uso de las TIC en las empresas ha propiciado una rutina cada vez más frecuente de las herramientas de aprendizaje electrónico.

En las empresas, las TIC:

o Aumentan la productividad de los trabajadores

o Optimizan la toma de decisiones

o Mejoran la colaboración en equipos

o Realizan tareas de riesgo.

o Entre otras.

Por ejemplo:

Los empleados pueden trabajar desde cualquier lugar (en un autobús o avión, en su hogar, en la oficina de los clientes) mediante computadoras portátiles.

Los ingenieros pueden mejorar su productividad mediante el diseño por computadora (CAD, Computer Aided Design), que les permite diseñar y probar productos nuevos o modificar otros.

1.1.3 Redes

Si nos salimos un poco del área de la Informática para comprender mejor el concepto de Red, llamamos en general Red, a un conjunto de elementos unidos, entre sí mediante algún medio. Ejemplo las Ciudades de un País se unen mediante las carreteras, o las vías del tren, que van uniendo unas ciudades con otras.

Pasemos pues al ámbito de la Informática, a que llamamos red aun conjunto de Computadoras o PC, más o menos potentes unidos por algún medio, en principio y más extendido el cable, o bien mediante ondas electromagnéticas. (Valladares, 2010)

(28)

13

Posteriormente comenzó a utilizarse el cable de par trenzado, en principio recubierto con una malla casi igual que la del anterior cable BNC, en este caso la malla solo tenía la finalidad de aislar de ruidos la señal que circulaba por los cables existentes en su interior. Este tipo de cable se ha ido sofisticando y adecuándose a las velocidades de transmisión necesaria, lo que dio paso a las llamadas categorías, categorías 3, 5, 5+ 6, 6A etc.,

Por todo lo expuesto hasta el momento, si una red de PC o computadoras está formada por diversos equipos unidos entre sí, la red más pequeña, posible de instalar, será la integrada por dos equipo, es decir dos PC unidos ente si y capaces de transferir información de uno a otro o de compartir parte de sus recursos, archivos, discos completos, unidades de CD o DVD, Impresoras etc.

1.1.4 Sistemas Operativos

Es difícil definir qué es un sistema operativo aparte de decir que es el software que se ejecuta en modo kernel (además de que esto no siempre es cierto). Parte del problema es que los sistemas operativos realizan dos funciones básicas que no están relacionadas: proporcionar a los programadores de aplicaciones (y a los programas de aplicaciones, naturalmente) un conjunto abstracto de recursos simples, en vez de los complejos conjuntos de hardware; y administrar estos recursos de hardware.

El rango y la extensión de los servicios proporcionados por un SO dependen de varios factores. Así, las funciones visibles al usuario están en gran medida determinadas por las necesidades y características del entorno objetivo que el SO está destinado a soportar. Por ejemplo, un SO destinado al desarrollo de programas en un entorno interactivo puede tener un conjunto bastante diferente de llamadas y ordenes que un sistema operativo diseñado para soporte en tiempo de ejecución a una aplicación de tiempo real dedicada, tal como el control del motor de un coche, el control del reactor de una central nuclear o el sistema de actualizaciones derivado de las operaciones de un cajero automático de una entidad bancaria.

Internamente, un SO actúa como gestor de los recursos del sistema informático tales como el procesador, la memoria, los archivos y los dispositivos de E/S. En esa función, el SO mantiene actualizada la información relativa al estado de sistemas que soportan

la ejecución concurrente de programas, el SO resuelve las peticiones conﬂictivas de

(29)

14

En general, el SO presenta al usuario el equivalente de una máquina virtual que sea más fácil de utilizar que la máquina subyacente y uno de sus objetivos primarios es incrementar la productividad de los recursos que ofrece al sistema mediante una

planiﬁcacion lo más óptima posible de ellos. (Carlos, 2012)

1.2.- Sistemas de Información

1.2.1 Generalidades

Todo sistema se puede dividir en subsistemas. Dado que la empresa se comporta como un sistema, es posible fragmentar sus partes en subsistemas. Según la literatura de teoría de la organización, se puede dividir la empresa en los siguientes sistemas: comercial, de operaciones, financiero, de personal, y de información. El sistema de información se relaciona con el resto de sistemas y con el entorno. Un sistema de información en la empresa debe servir para captar la información que esta necesite y ponerla, con las transformaciones necesarias, en poder de aquellos miembros de la empresa que la requieran, bien sea para la toma de decisiones, bien sea para el control estratégico, o para la puesta en práctica de las decisiones adoptadas (MENGUZZATO & RENAU, 1991). De ahí que el desempeño de un directivo dependa de su habilidad para explotar las capacidades de los sistemas de información para obtener unos positivos resultados empresariales.

Para el conocimiento de los sistemas operativos adoptaremos la definición de sistema de información que dan (MENGUZZATO & RENAU, 1991) Según estos autores, el sistema de información: «Es el conjunto formal de procesos que operando sobre una colección de datos estructurada de acuerdo con las necesidades de una empresa, recopila, elabora y distribuye la información necesaria para la operación de dicha empresa y para las actividades de dirección y control correspondientes, apoyando, al menos en parte, los procesos de toma de decisiones necesarios para desempeñar las funciones de negocio de la empresa de acuerdo con su estrategia».

1.2.2 Tipos de Sistemas de Información

1.2.2.1 Introducción

(30)

15

procesos, se hace necesaria la existencia de distintas categorías de si, capaces de abarcar la totalidad de la información que la organización precisa.

Para satisfacer las distintas necesidades de información en una empresa se deben desarrollar diferentes tipos de sistemas de información: sistemas para el procesamiento de transacciones, sistemas de información administrativa y sistemas de apoyo a la decisión (Arjonilla Domínguez Medina Garrido, 2007) .Las distintas categorías de sistemas de información mantienen su coherencia global a través de su integración en una arquitectura de datos común.

Figura 4. Tipos de sistemas de información

Fuente: http://joseluisafa.blogspot.com/2012/04/tipos-de-sistemas-de-informacion.html

1.2.2.2 Sistemas para el procesamiento de transacciones

(31)

16

1.2.2.3 Sistemas de información administrativa

Lo podemos definir como un sistema basado en ordenador que proporciona información a usuarios que tienen necesidades similares. El principal objetivo de los sistemas de información administrativa es proporcionar a los directivos la información necesaria para tomar decisiones y resolver problemas. Los sistemas de información administrativa se apoyan en las bases de datos corporativas, que incluyen datos que se van generando como consecuencia del procesamiento de transacciones.

En cualquier organización se deben tomar decisiones sobre muchos asuntos que se presentan con regularidad, ya sea a la semana, al mes o al trimestre, y para hacerlo se requiere de cierta información. Un ejemplo sería un análisis de ventas mensual por cliente. Dado que los procesos de decisión están claramente definidos, se puede identificar la información necesaria para formular las decisiones.

(32)

17

Figura 5. Relación entre mis y dirección de la empresa (Lapiedra, 2011)

En la parte superior de la figura aparece representado el entorno, el recuadro del centro representa la dirección de la empresa y los distintos subsistemas dentro de la misma, mientras que el recuadro inferior representa el mis. Información y datos fluyen desde el entorno hacia la dirección de la empresa y hacia el mis. Adicionalmente, el grupo de dirección envía también información y datos al mis (inputs del mis), los cuales son procesados por sistemas informáticos especialmente diseñados para proporcionar output en la forma de documentos e informes a los grupos de dirección de los niveles estratégico, táctico y operativo, así como al entorno.

1.2.2.4 Resolución de problemas con dss

(33)

18

Los dss personales deberían ser fáciles de desarrollar: Herramientas orientadas al usuario final disponibles para ese propósito. Por otra parte, un dss de una organización, utilizado ampliamente por diferentes miembros de una empresa, debería ser el resultado de proceso bien planificado. Todos los dss deberían ser fáciles de utilizar. Dentro de su área de aplicación un dss debería proporcionar al usuario la forma de utilizar modelos y bases de datos de forma interactiva que mejor le ayude de cara a afrontar el problema que se le presenta (Lapiedra, 2011).

1.2.2.5 Posibilidades de los sistemas de apoyo a la decisión

Un modelo es una representación de algo, desarrollado para un fin concreto. Generalmente, es una abstracción o una simplificación de un fenómeno. Un modelo representa las relaciones entre los aspectos resultantes del fenómeno. Un modelo se construye adoptando una serie de suposiciones o asumiendo una serie de premisas respecto a la dependencia entre variables. Luego, se pueden analizar varias alternativas haciendo cambios en algunas variables y viendo qué pasaría si modificamos las premisas y comparamos los resultados («¿Qué pasa si...?»). Ejemplo: ¿qué ocurriría si cambiáramos el precio de venta de un producto?, ¿qué valor necesitamos que tome una variable para alcanzar un determinado resultado?, ¿qué volumen de ventas necesitamos para obtener un determinado resultado neto?

A pesar de la amplia y extensiva utilización de este programa, consideramos que un bajo porcentaje de usuarios optimiza su utilización. Se puede aprovechar mejor esta herramienta aplicando la lógica en la construcción de los modelos que recogen diferentes escenarios. En muchas ocasiones, una mala utilización de la herramienta provoca considerables pérdidas de tiempo e incluso, en ocasiones, una imposibilidad de emplear el programa para realizar un determinado tipo de análisis (Lapiedra, 2011).

1.2.2.6 Sistemas de información para ejecutivos (eis)

(34)

19

1.2.2.7 Evolución de los sistemas de información

Es evidente que la informática, desde sus inicios, se ha concebido como una fuente de soluciones a la gestión de los negocios. Si nos fijamos en la evolución que esta ha seguido podemos observar las siguientes etapas:

(McLeod, 2000)Inicialmente aparecieron los sistemas de procesamiento de transacciones (tps), que sustituyen los procedimientos manuales, en la realización de tareas rutinarias muy bien estructuradas, por otros basados en ordenador, ofreciendo una mayor velocidad y exactitud en su ejecución. Algunas de las transacciones más comunes que se vieron afectadas con la introducción de los tps fueron: facturación, contabilidad y nóminas.

Figura 6. Evolución de los sistemas de información en la empresa Fuente: http://repositori.uji.es/xmlui/bitstream/handle/

(35)

20

1.2.3 Aplicaciones

Un sistema de información (SI) es el concepto de la integración de la tecnología informática en una empresa u organización. Un sistema de información puede ser pequeño o grande y por lo tanto estar diseñado para cualquier tipo de empresa u organización. Los sistemas de información son el eje principal de la automatización de un departamento, oficina o sucursal, que depende de la información para tomar decisiones, producir bienes o servicios, realizar funciones de logística y desarrollar software.

1.2.3.1 Dirección ejecutiva

A nivel de dirección ejecutiva, los sistemas de información de las empresas están diseñados para encontrar soluciones a los problemas de las empresas y proporcionar una base de apoyo a las decisiones sobre los diferentes escenarios de los proyectos. Un sistema de información puede ayudar a determinar escenarios, tales como fusiones y adquisiciones, y racionalizar el proceso de planificación estratégica. Los gerentes ejecutivos como un oficial en jefe de operaciones (COO) o como un director financiero, puedan tomar decisiones empresariales basadas en datos proporcionados por el SI. A nivel ejecutivo, el enfoque de los sistemas de información garantiza la calidad y el rendimiento de la inversión (ROI).

1.2.3.2 Gestión de operaciones

(36)

21

1.2.3.3 Recursos humanos

La gestión de recursos humanos se basa en los sistemas de información, ya que con éstos, es posible administrar los registros de los empleados, lo cual beneficia la información y los históricos relacionados con los funcionarios. Las aplicaciones de los sistemas de información en el área de recursos humanos pueden integrar datos de los empleados en varios procesos, utilizados por los administradores de este departamento o del personal en general, para procesar los datos importantes referentes a los empleados. Los sistemas de información por lo tanto, tienen aplicaciones para la realización de la investigación, las proyecciones de la fuerza laboral y los estatutos para el cumplimiento de las relaciones laborales.

1.3 Auditoria Informática

1.3.1 Antecedentes

La auditoría, nace antes del registro de libros a finales del siglo XV, para verificar las actividades de los administradores y evitar fraudes en las empresas. En un principio se consideró como una rama de la contabilidad pública que solo se dedicaba a examinar registros, pero posteriormente se extendió a otras áreas como la administración, ingeniería, medicina, sistemas, etc. Así la Auditoría Informática es la encargada de verificar que los sistemas y procesos informáticos cumplan adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos.

La auditoría es considerada como una actividad que consiste en la emisión de una opinión profesional que presenta adecuada y razonablemente el auditor. La auditoría fundamentalmente tiene cuatro elementos que son conclusión, justificación, objeto, finalidad. Con la opinión profesional que sustenta los determinados procedimientos para un correcto análisis.

(37)

22

El objetivo primordial de la auditoria consiste en evaluar el cumplimiento de planes, políticas, normas y lineamientos, así como las actividades que se desarrollan.

La auditoría informática es un proceso para ejecutar por especialistas del área de auditoria y de informática. La auditoría se clasifica en dos por el lugar de origen y por el área de aplicación, por el lugar tenemos interna y externa y por el origen son financiera, administrativa, e informática.

La auditoría informática sirve para indicarnos el estado real de una empresa por su tecnología en informática, las áreas a auditar serán; control interno, ciclo de desarrollo e implantación de sistemas de información entre otros.

Puedo concluir diciendo que el éxito o fracaso de una entidad depende principalmente de la eficiencia de sus sistemas de información.

1.3.2 Características

1.3.2.1 Auditoría de Sistemas de Información

Hoy en día la Auditoría informática obtiene más importancia, ya que actualmente los datos y la información se han convertido en un bien intangible de cada organización, dando así una ventaja estratégica, por lo que no se escatiman costos ni esfuerzos en la creación de sistemas de información para conseguir un nivel óptimo de productividad y calidad.

Con mayor frecuencia, un mayor número de organizaciones considera la información y la tecnología como uno de los activos más importantes. Entonces, todos los activos de la empresa requieren de procesos de calidad, controles, seguridad e información, es por ello que se debe establecer sistemas de control interno acorde a las necesidades de la misma y tal sistema debe soportar debidamente los procesos del negocio.

(38)

23

diseñada no solo para ser utilizada por usuarios y auditores, sino también como una extensa guía para gestionar los procesos de negocios.

1.3.2.2 Elementos de la Auditoría de Sistemas de Información

COBIT se materializa en una colección de referencias documentales, que tradicionalmente ha estado compuesta por los siguientes volúmenes:

• Resumen ejecutivo.

Ofrece una sinopsis de los conceptos COBIT.

• Marco de referencia.

Presenta la estructura COBIT de cuatro dominios de TIPO -Planificación y Organización-; AI

• Adquisición y Construcción/Implantación-;

DS -Entrega y Soporte-; y ME -Supervisión y Evaluación-), junto con sus treinta y cuatro procesos de TI normalizados, asociados.

• Objetivos de control.

Muestra los objetivos de controles detallados, correspondientes a cada uno de los procesos de TI u objetivos de control de alto nivel.

• Directrices de auditoría.

Constituyen una referencia empleada para la revisión de los anteriores controles.

• Directrices de gestión.

Desarrolladas para orientar a la Dirección en el Gobierno de TI, proporcionándole herramientas para evaluar y medir la capacidad de la entidad en cada uno de los procesos TI definidos por COBIT, dentro de un modelo de madurez de seis niveles.

• Herramientas de implantación.

(39)

24

Muchas organizaciones se están reestructurando a fin de modernizar sus operaciones y simultáneamente aprovechar los avances en tecnologías de información a fin de mejorar su posición competitiva. La reingeniería del negocio, el dimensionamiento correcto, la tercerización y el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones.

La alta velocidad con la cual se procesan las transacciones; los sistemas de administración de las bases de datos; las redes de telecomunicaciones globales; el procesamiento distribuido de datos; la comunicación sobre Internet, y muchos otros factores, han causado que en toda organización, sin excepción alguna, la información y los datos en los cuales se apoya se tornen cada día más y más importantes. Por lo que las estrategias de gerenciamiento; las políticas de seguridad; la segregación de las funciones; el impacto de las fallas computacionales; los accesos no autorizados; la revelación de la información; la continuidad del normal procesamiento de los datos; la adecuación de los sistemas de información, y otros aspectos que surgen de la aplicación de innovadoras tecnologías, han pasado a tener un impacto mucho mayor dentro de la organización que el de hace unos años; de ahí la necesidad de contar con un adecuado marco de control.

1.3.2.3 Proceso de Auditoría

La preparación previa al comienzo de una auditoría implica la recolección de información de fondo sobre la compañía y la evaluación de recursos y habilidades requeridas para la ejecución de la auditoría. Esto permitirá que el personal con las habilidades requeridas sea asignado al proyecto.

(40)

25

1.3.3 Guía y Herramienta COBIT

COBIT sus siglas significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology), el modelo es el resultado de una investigación con expertos de varios países desarrollado por ISACA (Information Systems Audit and Control Association). COBIT es un marco de referencia y herramientas de soporte, mismas que permiten a la gerencia tratar temas técnicos, requerimientos de control, riesgos de negocios para así comunicar el nivel de control a los Stakeholders (interesados), este marco de referencia permite desarrollar políticas claras y buenas prácticas para el control de TI. (ISACA, 2012)

COBIT 5 fue lanzado por ISACA el 10 de abril del 2012, esta es una herramienta de gobierno de TI que ayuda a la realización del trabajo que lo hacen los profesionales de tecnología.

La última versión, COBIT 5 es la edición del framework mundialmente aceptado, la misma que provee una visión empresarial para el gobierno de TI, beneficiando a la tecnología y a la información incrementando así valor para las empresas.

COBIT 5 está basado en COBIT 4.1, a su vez se encuentra ampliado por medio de la integración de marcos y normas Val IT y Risk IT y las normas ISO relacionadas. Cabe recalcar que esta versión no anula el trabajo que implican las versiones anteriores, sino que se la emplea para mejorar el trabajo según las necesidades de las empresas. (ISACA, 2012)

Además COBIT se aplica a todo sistema de información en las empresas, está basado en que los recursos TI deben ser administrados por un conjunto de procesos agrupados de tal manera que se pueda proveer la información pertinente y confiable que necesite una organización para poder alcanzar sus objetivos planteados.6

Dentro de los beneficios que brinda la implementación de COBIT 5 como un marco de referencia de gobierno de TI están los siguientes:

 Mejor alineación, con base a su enfoque de negocios

 Entender lo que hace TI

(41)

26

 Enfoque comprensible para la gerencia de las tareas que desempeña TI

 Responsabilidades claras orientadas a procesos.

1.3.3.1 Marco de trabajo COBIT 5

COBIT 5 sirve de apoyo a las Organizaciones, para así establecer un valor inmejorable a partir de la TI, para de esta manera alcanzar un equilibrio entre lo que se refiere a la realización de beneficios, la optimización de los niveles de riesgo y utilización de recursos.

Se debe tomar en cuenta que COBIT 5 permite que las tecnologías de la información y las que se encuentran relacionadas se puedan administrar y gobernar de una manera holística abarcando toda la Organización, es decir esto incluye el alcance de todas las áreas ya sea de negocio como de responsabilidades funcionales, abarcando los intereses que se encuentran ligados con las TI tanto de las partes internas como externas que se encuentren interesadas. (ISACA, 2012)

Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de diferentes dimensiones ya sean con o sin fines de lucro, e incluso para el sector público.

COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

1.3.3.2 Misión de COBIT

(42)

27

1.3.4 Áreas de COBIT 5

Figura 7. Principios Cobit 5

Fuente: www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

1.3.4.1. Satisfacer las necesidades de las partes interesadas

Lo primordial para una empresa desde sus inicios es crear valor esto quiere decir buscar la manera de alcanzar beneficios con un costo inmejorable mientras se va optimizando el riesgo. En la figura 8 podemos apreciar hacia donde conllevan las necesidades de las partes interesadas, es decir se debe tomar en cuenta el momento de decidir sobre los beneficios, optimización de riesgos y optimización de recursos; para cada una de las decisiones se deben plantear las siguientes preguntas: "¿para quién son los beneficios?

(43)

28

Figura 8. Creación de Valor

1.3.4.2 Cubrir la organización de forma integral

En este principio COBIT 5 lo que trata es cubrir la organización de extremo a extremo, lo que hace es integrar el gobierno de TI con el gobierno corporativo, es decir:

 Se alinea con las últimas visiones sobre gobierno.

 Contempla todos los procesos y funciones que sean necesarios para llevar a cabo la gestión de la información corporativa y las tecnologías donde sea que pueda ser procesada.

Lo que COBIT 5 pretende es proporcionar una visión integral y sistemática del gobierno y la gestión de la empresa TI, misma que se encuentra basado en los procesos catalizadores, estos procesos catalizadores son para cubrir la empresa de extremo a extremo, es decir cubrir la empresa tanto en el ámbito interno como externo.

Enfoque de Gobierno

(44)

29

Figura 9. Gobierno y Gestión

Existen otros elementos principales de este enfoque de gobierno mismos que incluyen catalizadores, alcance y roles, actividades y relaciones. A continuación se mencionan cada uno de estos.

Catalizadores de Gobierno

Son recursos organizativos para el gobierno, constituidos por marcos de referencia, principios, estructuras, procesos y prácticas por los cuales ayudan a alcanzar los objetivos.

(45)

30

Alcance de Gobierno

El alcance de COBIT 5 es la empresa, este gobierno puede ser utilizado en toda organización, se dice que se puede definir diferentes vistas de la empresa a la que se aplica el gobierno.

Roles, Actividades y Relaciones

Los roles, actividades y relaciones de gobierno sirven de ayuda para lograr definir quién está involucrado en el gobierno, cómo y qué hacen, dentro del alcance de un sistema de gobierno.

COBIT 5 enmarca la diferencia entre actividades de gobierno y gestión en los dominios de gobierno y gestión, también su interconexión entre ellos e implicados. En la figura 10 observamos más detalladamente lo que es roles, actividades y relaciones clave.

Figura 10. Roles, Actividades y Relaciones

1.3.4.3 Aplicar un solo marco integrado

Se dice que COBIT 5 es un marco de referencia único por las siguientes razones:

 Posee una alineación con otros estándares y marcos de referencia, es por eso que las empresas pueden emplear COBIT 5 como un marco integrador tanto de gestión como de gobierno.

(46)

31

 Constituye el conocimiento disperso en los marcos de ISACA. Dentro de los marcos investigados por ISACA están COBIT, ValIT, Risk IR, BMIS, mismo que los integra COBIT.

Marco integrador de COBIT 5

En la figura 10, podemos observar de una manera más clara y resumida como COBIT alcanza un marco integrado y alineado.

(47)

32

Lo que COBIT 5 pretende hacer es que los interesados tengan la guía completa y actualizada a cerca del gobierno y la gestión de la empresa TI por medio de:

 Investigación y uso de fuentes que han promovido el desarrollo, como por ejemplo las guías de ISACA(COBIT 4.1, Val IT 2.0, Risk IT, BMIS) en un solo marco.

 "Definiendo un conjunto de catalizadores de gobierno y gestión que proporcionan una estructura para todos los materiales de guía.

 Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.

1.3.4.4 Hacer posible un enfoque holístico

Catalizadores COBIT 5

Son factores que influyen si algo funcionará, aquí se puede dividir en el gobierno y la gestión de la empresa TI. Además son guiados por la cascada de metas u objetivos de alto nivel que estén relacionado con TI. (ISACA, Procesos Catalizadores, 2012)

COBIT 5 detalla siete categorías de catalizadores que se representan en la figura 12

(48)

33

 "Principios, políticas y marcos de referencia.- son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día.

 Procesos.- describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI.

 Estructuras organizativas.- son las entidades de toma de decisiones clave en una organización.

 Cultura, ética y comportamiento.- de los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión.

 Información.- impregna toda la organización e incluye toda la información producida y utilizada por la empresa. La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma.

 Servicios, infraestructuras y aplicaciones.- incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información.

 Personas, habilidades y competencias.- están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas. (ISACA, Un Marco de Negocio para el Gobierno y la Gestión , 2012)

Algunos de los catalizadores definidos previamente son también recursos corporativos que también necesitan ser gestionados y gobernados. Esto aplica a:

 La información, que necesita ser gestionada como un recurso. Alguna información, tal como informes de gestión y de inteligencia de negocio son importantes catalizadores para el gobierno y la gestión de la empresa.

 Servicios, infraestructura y aplicaciones.

 Personas, habilidades y competencias.

Dimensiones de los Catalizadores de COBIT 5

Cada uno de los catalizadores posee un conjunto de dimensiones, mismo que:

 Facilita una manera simple de tratar con los catalizadores.

(49)

34

 Proporciona resultados exitosos de los catalizadores.

Figura 13. Catalizadores-Dimensiones COBIT 5 Fuente: www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

1.3.4.5 Separar el gobierno de la administración

Gobierno y Gestión

Lo que COBIT 5 trata de enfatizar es la diferencia entre gobierno y gestión. Ya que cada una de ellas posee sus propias actividades para diferentes propósitos. COBIT 5 hace la siguiente distinción entre Gobierno y Gestión.

Gobierno

(50)

35

Gestión

La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. En la mayoría de las empresas, la gestión es responsabilidad de la dirección.

1.3.4.6 Modelo de Referencia de Procesos de COBIT 5

COBIT 5 defiende que las empresas implementen procesos de gobierno y de gestión de tal manera que todas las áreas estén cubiertas.

Figura 14. Áreas Clave de Gobierno y Gestión de COBIT 5 Fuente: www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

El modelo de referencia de procesos de COBIT 5 separa tanto los procesos de gobierno como los de gestión de la TI empresarial en dos dominios de procesos:

 Gobierno.- Este tiene cinco procesos de gobierno, en cada uno de los procesos se definen prácticas de evaluación, orientación y supervisión (EDM)

 Gestión.- Posee cuatro dominios, con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), misma que proporciona cobertura extremo a extremo de las TI.

(51)

36

se presenta a continuación podemos observar con claridad los 37 procesos que conforman COBIT 5. (Material Vanilla, 2012)

Figura 15.Modelo de Referencia de Procesos de COBIT 5

Un Enfoque de Ciclo de Vida

Lo que COBIT 5 pretende con la implementación del ciclo de vida, es brindar una solución para la complejidad y desafíos que suelen presentarse durante la implementación. Los componentes relacionados del ciclo de vida son:

1. "Ciclo de vida de Mejora continua – Este no es un proyecto único

(52)

37

3. Gestión del programa

Figura 16.Siete Fases de la Implementación del Ciclo de Vida

1.3.4.7 Modelo de capacidad de los procesos de COBIT 5

(53)

38

Modelo de Capacidad de los Procesos de COBIT 5

Figura 16.Modelo Capacidad de Procesos de COBIT 5

Existen seis niveles de capacidad que se puede conseguir por un proceso, en caso de no alcanzar la finalidad esperada se asigna como "proceso incompleto".

Proceso incompleto.- "El proceso no está implementado o no alcanza su propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático del propósito del proceso.

Proceso ejecutado (un atributo).- El proceso implementado alcanza su propósito.

Proceso gestionado (dos atributos).- El proceso ejecutado descrito anteriormente está ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.

(ISACA, Implementación, 2012)

(54)

39

Proceso predecible (dos atributos).- El proceso establecido descrito anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.

Proceso optimizado (dos atributos).- El proceso predecible descrito anteriormente es mejorado de forma continua para cumplir con los metas empresariales presentes y futuros.

1.3.4.8 Procesos orientados del Cobit 5

Dominio Evaluar, Orientar y Supervisar (EDM)

Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.

Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa. (Ramirez, 2014)

Asegurar la entrega de beneficios.

Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de TI resultado de la inversión hecha por TI a unos costes aceptables.

Asegurar la optimización del riesgo.

Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

Asegurar la optimización de recursos.

Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.

Asegurar la transparencia hacia las partes interesadas.

(55)

40

Dominio Alinear, Planificar y Organizar (APO)

Gestionar el marco de gestión de TI.

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. (Ramirez, 2014)

Gestionar la estrategia.

Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado.

Gestionar la arquitectura empresarial.

Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo

Gestionar la innovación.

Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio.

Gestionar el portafolio.

Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. (Ramirez, 2014)

Gestionar el presupuesto y los costos.

(56)

41

Gestionar los recursos humanos.

Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.

Gestionar las relaciones.

Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua.

Gestionar los acuerdos de servicio.

Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.

Gestionar los proveedores.

Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.

Gestionar la calidad.

Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.

Gestionar el riesgo.