Modelo de gobierno de Ti para la gestión de la empresa Saitel matriz Ibarra

(1)

UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES

UNIANDES – IBARRA

FACULTAD DE SISTEMAS MERCANTILES

PROYECTO DE INVESTIGACIÓN

PREVIO A LA OBTENCIÓN DEL TÍTULO DE

INGENIERO EN SISTEMAS

TEMA:

“MODELO DE GOBIERNO DE TI PARA LA GESTION DE LA

EMPRESA SAITEL MATRIZ IBARRA”

AUTOR:

TLGO. NARVAEZ FIGUEROA HERALDO AZAEL

ASESOR:

ING. LOZADA TORREZ EDWIN FABRICIO

AMBATO – ECUADOR

(2)

CERTIFICACIÓN DEL ASESOR

ING. EDWIN FABRICIO LOZADA

ASESOR DE TESIS

CERTIFICO:

Que la presente investigación del tema " MODELO DE GOBIERNO DE TI PARA LA GESTION DE LA EMPRESA SAITEL MATRIZ IBARRA " ha sido desarrollada íntegramente por el Tlgo. Heraldo Azael Narváez Figueroa, el mismo que se ajusta a las normas vigentes en la Universidad Regional Autónoma de los Andes (UNIANDES); en consecuencia, autorizo su presentación para los fines legales pertinentes. Facultando hacer uso de la presente, en los trámites correspondientes para su graduación.

Atentamente,

(3)

DECLARACIÓN DE AUTORIA DEL PROYECTO

Yo, Heraldo Aza el Narváez Figueroa, portador de la cedula Nro. 1002852497, declaro bajo juramento, que el trabajo de investigación que presento, “MODELO DE GOBIERNO DE TI PARA LA GESTION DE LA EMPRESA SAITEL MATRIZ

IBARRA”, es de mi autoría y que he consultado las referencias bibliográficas que se

incluyen en este documento, respetando sus fuentes.

TGLO. HERALDO AZAEL NARVAEZ FIGUEROA

(4)

DEDICATORIA

La presente tesis la dedico a Dios,

a mis padres, Mis hermanos y mi

bello hijo Samael Aron, quienes me motivaron

e impulsaron siempre a continuar

(5)

AGRADECIMIENTO

A las Autoridades de la Universidad Regional Autónoma

de los Andes, “UNIANDES”, Por brindarme la oportunidad

de

crecer

profesionalmente

y

nutrirme

más

de

conocimientos.

Al Ing. Roberto López por tener el tiempo, para compartir

sus conocimientos y ser de valiosa ayuda para la

elaboración de mi tesis.

Al Ing. Edwin Fabricio Lozada por su constancia y valiosa

colaboración como Director de Tesis en la elaboración de

(6)

INDICE DE CONTENIDOS

CERTIFICACIÓN DEL ASESOR

DECLARACIÓN DE AUTORIA DEL PROYECTO DEDICATORIA

AGRADECIMIENTO

INDICE DE CONTENIDOS ÍNDICE DE GRAFICOS ÍNDICE DE TABLAS RESUMEN EJECUTIVO EXECUTIVE SUMMARY

INTRODUCCION ... 1

 Antecedentes de la investigación ... 1

 Planteamiento del problema ... 3

 Formulación ... 5

 Delimitación del problema... 5

 Objeto de investigación y campo de acción ... 5

 Identificación de la línea de investigación ... 5

 Objetivos ... 5

 Idea a defender ... 6

 Justificación ... 6

 Metodología a emplear ... 7

 Resumen de la estructura de la tesis ... 8

 Aporte teórco, significación práctica y novedad ... 8

(7)

MARCO TEORICO ... 10

1. ORIGEN Y EVOLUCION DEL OBJETO DE INVESTIGACION. ... 10

1.1.TIC ... 10

1.1.1. Función de tic ... 10

1.2.TECNOLOGÍA DE INFORMACIÓN (TI) ... 10

1.3.GOBIERNO DE TI ... 11

1.3.1. Áreas del Gobierno de TI ... 12

1.4.GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN ... 14

1.5.MARCOS DE REFERENCIA (FRAMEWORKS) ... 14

1.5.1. CMMI ... 15

1.5.2. Normas ISO ... 15

1.5.2.1. ISO/IEC 38500:2008 ... 15

1.5.2.2. ISO/IEC 27000 ... 16

1.5.3. TOGAF ... 17

1.5.4. COSO ... 18

1.5.5. ITIL ... 18

1.5.6. PMBOK ... 19

1.5.7. COBIT ... 21

1.5.7.1. Evolución de COBIT ... 21

1.5.7.2. Beneficios para las empresas. ... 21

1.5.7.3. Valor para las partes interesadas ... 22

1.5.7.4. El marco de COBIT 5 ... 22

1.5.7.5. Los principios de COBIT 5 ... 22

Principio 1: Satisfacer las necesidades de las partes interesadas ... 23

(8)

Principio 3: Aplicar un marco de referencia único integrado ... 25

Principio 4: Hacer posible un enfoque holístico ... 25

Principio 5. Separar el Gobierno de la Gestión: ... 26

1.5.7.6. Cascada de metas de COBIT 5 ... 27

1.5.7.7. Dimensiones de los catalizadores ... 31

1.5.7.8. Modelo de referencia procesos habilitadores de COBIT 5 ... 31

1.5.7.9. Dominios de COBIT 5 ... 32

1.6.EMPRESA DE SAITEL MATRIZ IBARRA ... 34

1.6.1. Misión ... 34

1.6.2. Visión ... 35

1.6.3. Objetivo General ... 35

1.6.3.1. Objetivos específicos ... 35

1.6.3.2. Objetivos operativos ... 35

1.6.4. Matriz Foda “SAITEL.EC” ... 37

1.6.5. Orgánico funcional de SAITEL.EC ... 38

1.7.CONCLUSIONES PARCIALES DEL CAPITULO ... 39

CAPITULO II. ... 40

MARCO METODOLOGICO ... 40

2.1.CARACTERIZACIÓN DEL SECTOR ... 40

2.2.DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO ... 40

2.2.1. Modalidad de investigación ... 40

2.2.2. Tipo de investigación ... 41

2.2.3. Métodos, Técnicas e Instrumentos ... 41

2.2.3.1. Métodos ... 41

(9)

2.2.3.1.2. Método Inductivo ... 41

2.2.3.2. Técnicas de recolección de datos ... 42

2.2.3.3. Instrumentos ... 42

2.2.3.4. Población y muestra de la investigación ... 42

2.2.3.4.1. Población ... 42

2.2.3.4.2. Muestra ... 43

2.2.4. Interpretación de resultados (gráficos y cuadros) ... 43

2.3.PROPUESTA DEL INVESTIGADOR. ... 52

2.4.CONCLUSIONES PARCIALES DEL CAPITULO ... 52

CAPITULO III. ... 53

MARCO PROPOSITIVO ... 53

3.1.TEMA ... 53

3.2.OBJETIVOS ... 53

3.2.1. Objetivo General ... 53

3.3.DESARROLLO DE LA PROPUESTA ... 53

3.3.1. Cascada de Metas de Cobit 5 ... 54

3.3.2. Estrategia de negocio ... 54

3.3.2.1. Metas de Gobierno de TI como está actualmente la matriz de Saitel. ... 55

3.3.2.2. Metas de TI como está actualmente la Matriz de Saitel ... 57

3.3.3. Hacia donde queremos llegar con el modelo que plantea Cobit ... 61

3.3.4. Priorización de Metas de TI vs Metas corporativas. ... 65

3.3.5. Aplicación del modelo de procesos de TI... 69

3.3.5.1. Mapear y priorizar Procesos de TI ... 69

3.3.6. Procesos propuestos para la Matriz de Saitel. ... 74

(10)

3.3.8. Gestión de TI ... 75

3.3.9. Descripción de procesos de TI ... 77

3.3.9.1. EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno ... 77

3.3.9.2. EDMO02 Asegurar la Entrega de Beneficios ... 79

3.3.9.3. EDMO03 Asegurar la Optimización del Riesgo ... 81

3.3.9.4. EDMO05 Asegurar la Transparencia hacia las Partes Interesadas ... 83

3.3.9.5. AP001 Gestionar el Marco de Gestión de TI ... 84

3.3.9.6. AP002 Gestionar la Estrategia ... 87

3.3.9.7. AP003 Gestionar la Arquitectura Empresarial ... 89

3.3.9.8. AP011 Gestionar la Calidad ... 91

3.3.9.9. AP012 Gestionar el Riesgo ... 93

3.3.9.10. BAI02 Gestionar la definición de requisitos ... 95

3.3.9.11. BAI04 Gestionar la Disponibilidad y la Capacidad ... 97

3.3.9.12. BAI08 Gestionar el Conocimiento... 99

3.3.9.13. BAI09 Gestionar los Activos ... 101

3.3.9.14. DSS01 Gestionar Operaciones ... 103

3.3.9.15. DSS02 Gestionar Peticiones e Incidentes de Servicio ... 105

3.3.9.16. DSS03 Gestionar Problemas ... 107

3.3.9.17. DSS04 Gestionar la Continuidad ... 109

3.3.9.18. MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad 112 3.4.CONCLUSIONES PARCIALES DEL CAPITULO ... 113

CONLUSIONES FINALES ... 115

(11)

BIBLIOGRAFIA ... 117 REFERENCIAS

(12)

ÍNDICE DE GRAFICOS

Figura 1, Evolución De Cobit... 21

Figura 2: Principios de Cobit ... 23

Figura 3: Principio 1 ... 24

Figura 4: Objetivo del Gobierno. ... 24

Figura 5: Roles, Actividades y relaciones. ... 24

Figura 6: Los 7 Habilitadores ... 25

Figura 7: Separar el Gobierno de la Gestión. ... 27

Figura 8: Cascada de metas de Cobit 5. ... 28

Figura 9: Metas Corporativas ... 30

Figura 10: Metas de TI. ... 31

Figura 11: Catalizadores. ... 31

Figura 12: Organigrama Funcional Saitel. ... 38

Figura 13: Pregunta 1. ... 43

(13)

(14)

ÍNDICE DE TABLAS

Tabla 1. Normas ISO /IEC 2700 ... 17

Tabla 2: Matriz Foda Saitel. ... 37

Tabla 3: Recolección de datos Personal Matriz Saitel. ... 42

Tabla 4: Población. ... 43

Tabla 5: Pregunta 1. ... 43

Tabla: 9 Pregunta 5. ... 46

Tabla 17: Objetivos de la empresa. ... 55

Tabla 18: Metas Corporativas – Objetivos. ... 55

Tabla 19: Objetivos de negocio que más aportan a los objetivos de gobierno. ... 56

Tabla 20: Metas de Gobierno priorizadas. ... 57

Tabla 21: Mapeo de las metas de TI. ... 60

Tabla 22. Priorización de metas de TI. ... 61

Tabla 23: Metas corporativas Cobit 5 vs. Preguntas de Gobierno y Gestión. ... 64

(15)

Tabla 25: Metas de Ti vs Metas de Gobierno... 68

Tabla 26: Metas de TI según Cobit ya priorizadas. ... 68

Tabla 27: Mapeo procesos de TI vs. Metas de TI. ... 73

Tabla 28: Procesos de TI mapeados. ... 74

Tabla 30: Procesos de Gobierno de TI. ... 75

Tabla 31: Procesos planteados Gestión de TI. ... 76

Tabla 32: Matriz RACI. ... 77

Tabla 33: EDMO01 ... 79

Tabla 34. EDMO02. ... 81

Tabla 35.EDMO03. ... 82

Tabla 36. EDMO05. ... 84

Tabla 37: APO01. ... 86

Tabla 38: APO02. ... 88

Tabla 39:APO03. ... 90

Tabla 40: APO011. ... 92

Tabla 41: APO012. ... 94

Tabla 42: BAI02. ... 96

Tabla 43: BAI04. ... 98

Tabla: 44: BAI08. ... 100

Tabla: 45 BAI09. ... 102

Tabla: 46 DSS01. ... 104

Tabla: 47 DSS02. ... 106

Tabla 48: DSS03. ... 108

Tabla 49: DSS04. ... 111

(16)

RESUMEN EJECUTIVO

El presente trabajo de titulación se realiza un modelo de gobierno para la mejora de procesos de Tecnología de Información (TI) para la empresa Saitel Matriz Ibarra basándose en el marco de referencia de procesos de los objetivos de control para la información y las tecnologías relacionadas COBIT 5, desarrollado por ISACA (Sistemas De Información de Auditoria y Asociación de Control).

Esta investigación permite identificar los procesos de mayor relevancia que se necesitan implementar, para alcanzar una eficiencia operativa.

Este modelo a fin de satisfacer las necesidades de las partes interesadas, de la empresa de Saitel, para obtener beneficios, optimizar riesgos y recursos, se alinea las metas empresariales con las metas de TI y se obtiene un listado de procesos para ser aplicados por parte de la empresa.

Se realiza un análisis de la situación actual de la empresa determinando las metas más sensibles que se tiene que trabajar para una mejor operatividad de TI.

(17)

EXECUTIVE SUMMARY

This study presents the development of a governance framework to improve the IT information technology process for the company Saitel Matriz Ibarra, which is based on framework of processes of the control objective for information and the technologies related to COBIT 5 developed by ISACA (Information Systems Audit and Control Association).

This research identifies the most important processes that need to be implemented to achieve operational efficiency.

In order to meet the needs of stakeholders of the company Saitel this model seeks benefits, risks optimization and optimize resources. This company aims are aligned with the IT aims and a list of processes to be applied by the company is obtained.

An analysis of the current situation of the company is made while determining the most sensitive targets that need to be improved to achieve a better IT operation.

(18)

1

INTRODUCCION

 Antecedentes de la investigación

A medida que la era de la tecnología avanza y con ella la información necesita mayor tratamiento, entendimiento y seguridad, surge que una empresa busque conocer y aprovechar conceptos relacionados con el Gobierno de Tecnologías de la Información (TI).

Es aquí que se utiliza el Gobierno de TI el cual es un conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Para que un Gobierno de Ti tenga una buena aceptación es necesario la utilización de Cobit que proviene del inglés (Control Objectives for Information and related Technology) Objetivos de Control para Información y Tecnologías Relacionadas es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

(19)

2

COBIT 5 se basa en la integración de importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma.

Se realizó una investigación previa en repositorios digitales sobre el marco de referencia de Cobit 5, determinando como puede ayudar a mejorar los procesos de negocios en el Gobierno y Administración de TI que hoy en día se aplican para todo tipo de empresas, sean estas públicas o privadas.

El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI:

 Gestión vs Gobierno

 Importancia del Gobierno de TI

Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

El desarrollo tecnológico va provocando que las empresas dedicadas a servicios de Internet tengan un rápido crecimiento tanto en infraestructura, como en personal, haciéndose vulnerables en su forma de trabajar pues se omiten factores importantes para una adecuada Gestión de TI.

Hoy en día se puede decir que la tecnología es preponderante y está expuesta a cambios naturales principalmente y cambios tecnológicos mismos que hacen que vaya cambiando los procesos para la realización de estos trabajos.

(20)

3

ingeniera Tatiana E. Cevallos, presentado en el 2013 con la denominación de “CREACIÓN E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN INTEGRAL DEL RIESGO LABORAL Y SEGURIDAD INDUSTRIAL PARA SOLUCIONES AVANZADAS INFORMÁTICAS Y TELECOMUNICACIONES SAITEL.EC.”. En esta tesis se realiza la creación de una gestión de riesgos laborales y seguridades industriales en dicha empresa, en donde se evidencia los procesos que realizan los trabajadores al momento de una instalación de infraestructura, instalación domiciliaria, revisión del servicio y cambio de domicilio en el cliente final.

 Planteamiento del problema

Saitel.ec es una empresa que se creó hace aproximadamente 6 años con el nombre de Solinfo, dedicada a la venta de computadores y a la prestación del servicio de internet satelital Posteriormente, en la ciudad de Ibarra, provincia de Imbabura el 20 de abril del 2009 los señores Freddy Marlon Rosero Cuaspa, Marco Tulio López Rosero y Lenin Geovanny López Rosero decidieron constituir una Sociedad Civil de Hecho que se rige por la estipulaciones del contrato de constitución y leyes del Ecuador, la misma que funciona bajo la razón social SOLUCIONES AVANZADAS INFORMÁTICAS Y TELECOMUNICACIONES “SAITEL.EC”. El tiempo de duración de la sociedad estipulado en el contrato social es de veinte y cinco años de funcionamiento desde la fecha antes establecida. La empresa se encuentra representada por el Ing. Freddy Marlon Rosero Cuaspa que se encuentra registrado como gerente general de la misma desde el inicio de su constitución hasta la actualidad.

SOLUCIONES AVANZADAS INFORMÁTICAS Y TELECOMUNICACIONES

“SAITEL.EC” comenzó con aproximadamente 100 clientes y con 5 personas que se dedicaban a la prestación del servicio de internet siendo los primeros en la provincia de Imbabura en ofertarlo. La calidad del servicio prestado por SAITEL permitió un rápido crecimiento y la captación de un mayor número de clientes.

(21)

4 1. Comercialización de servicio de internet,

2. Distribución de componentes y repuestos para computadoras, 3. Instalación de cableado estructurado.

La matriz se encuentra ubicada en la ciudad de Ibarra en las calles Olmedo 4-63 y Grijalva; además cuenta con cuatro sucursales. Las sucursales se encuentran ubicadas en:

 Cayambe, ubicado en las calles Franklin Rivadeneira Nro. L165 y altar Barrio San Ruperto;

 Joya de los Sachas, ubicado en la 10 de Agosto entre las calles 12 de Febrero y García Moreno diagonal al nuevo mercado Municipal.

 Tulcán, ubicado en las calles Maldonado y Carabobo junto a la iglesia La Inmaculada.

 Chone, ubicado Av. 7 de Agosto y Atahualpa esq. frente al Sindicato de Choferes

 Quito Norte, ubicado en las calles Ubicado en las calles Calle Carihuairazo Oe 12-232 Esq. y Galo Plaza Lasso.

 Quito Sur, Ubicado en la Av. Mariscal Sucre 0E6 y calle German Moiner edificio de recepciones Montecarlo planta baja.

 El Quinche, Ubicado en las calles Tulcán y Quito junto al Banco del Pichincha.

 Latacunga, Ubicado en las calles Calle Quito 14-56, Pasaje La Catedral.  Costa Norte Esmeraldas, Ubicado en las calles Sucre y Rocafuerte Esq.

Edificio Leverone 3er Piso

De acuerdo a un análisis realizado en la empresa se puede determinar qué:

A. La problemática respecto a la falta de toma de decisiones estratégicas corporativas y de TI, en donde hace falta lo siguiente:

(22)

5

o Dirigir a través de la priorización y toma de decisiones.

o Supervisar (Monitorear) el desempeño y cumplimiento contra la dirección y los objetivos acordados.

B. Hace falta de una gestión adecuada la cual permita:

o Planear, Construir, Ejecutar y Supervisar (Monitor) Las actividades fijadas y acordadas en las estrategias.

 Formulación

¿Cómo mejorar el Gobierno de TI para la gestión de la empresa Saitel matriz Ibarra?

 Delimitación del problema

Delimitación espacial: La investigación se llevó a cabo en la Empresa de Saitel matriz Ibarra, ubicada en la ciudad de Ibarra provincia de Imbabura.

 Objeto de investigación y campo de acción

Campo de acción: Modelo de Gobierno de TI para la gestión de la empresa Saitel matriz Ibarra.

Objeto de estudio: tecnologías de la Información.

 Identificación de la línea de investigación

El presente trabajo investigativo se enmarca en la línea denominada: Tecnologías de Información y Comunicaciones.

 Objetivos

General

 Diseñar un modelo de gobierno de TI para la gestión de la empresa Saitel

(23)

6

Específicos

 Fundamentar bibliográficamente los Modelos de Gobierno de TI y la

gestión de empresas.

 Investigar el marco de referencia COBIT 5 sobre el gobierno de TI.

 Identificar, definir y priorizar las necesidades actuales y futuras de la

empresa en relación a servicios de TI.

 Desarrollar un plan de alto nivel en base a un modelo de gobierno de TI

para la gestión de la empresa Saitel E.C. matriz Ibarra.

 Idea a defender

Establecer un modelo de Gobierno de TI para la gestión de la empresa Saitel matriz Ibarra.

 Justificación

Del planteamiento del problema se deduce que este incide directamente en una falta de toma de decisiones estratégicas corporativas y de TI.

Con el modelo de gobierno de Ti que se desarrolle permitirá a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística, que optimiza la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

Hoy en día se está haciendo evidente que grandes empresas públicas y privadas utilizan un marco de negocio para el gobierno y la gestión de las TI de la empresa para asumir grandes riesgos de Tecnología de Información los cuales pueden ser aceptables para la empresa en donde se necesite.

 Adquirir mejor control sobre soluciones de TI.

(24)

7

 Satisfacción del usuario de negocio con el nivel de compromiso y los servicios

de las TI

 Buscar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y

las políticas internas relevantes

 Relaciones mejoradas entre las necesidades de negocio y metas de TI

 Metodología a emplear

La investigación de campo será llevada a cabo utilizando los siguientes métodos:

Histórico – Lógico: La historicidad de los procesos de gobierno de TI en la empresa es muy importante para el diagnóstico de la problemática, es por ello que se aplicará este método investigativo que nos llevará a una deducción lógica de la problemática descrita anteriormente.

Analítico – Sintético: Este par dialectico será muy útil, el momento de elaborar el fundamento científico que sustenta la solución del problema, ya que se recopilará la información existentes en Trabajos de Investigación de Grado acerca del marco de referencia de Cobit 5, internet y se la sintetizará en el denominado marco teórico.

Inductivo – Deductivo: En el desarrollo del trabajo investigativo se pretende llegar a una solución particular para deducir una solución general a la problemática de la empresa.

Técnicas e instrumentos: Se utilizará la técnica investigativa denominada encuesta, esta permite recopilar información mediante un instrumento conocido como cuestionario que es elaborado previamente por el investigador y que se lo aplica a la población inmersa en la problemática en la empresa.

(25)

8

fundadores de la empresa lo cual se llevara a cabo con un instrumento denominado guía de entrevista.

 Resumen de la estructura de la tesis

La presente investigación considera como partes esenciales de su estructura tres capítulos, inicializando con el primero que es el marco teórico dividido en cuatro epígrafes: Tic, Marco de referencia Cobit 5.0, Gestión Ti, la empresa Saitel Matriz Ibarra, luego el capítulo II el marco metodológico y planteamiento de la propuesta según los resultados alcanzados, dando a conocer el desarrollo de la propuesta, en el capítulo III se hace un análisis de los resultados alcanzados en la investigación, finalizando con las conclusiones y recomendaciones generales así como anexos y bibliografía

 Aporte teórico, significación práctica y novedad

Aporte teórico: El presente trabajo de investigación se basa en el tema de “Modelo

de gobierno de TI para la gestión de la empresa Saitel Matriz Ibarra”, donde el objetivo primordial es el Diseñar un modelo de gobierno de ti para la gestión de la empresa, el trabajo se basa en una investigación profunda sobre estudios similares en la Biblioteca de la Universidad Técnica del Norte, y linkografías de temas como Auditorías realizadas con Cobit y modelos de gestión de seguridad de información que han servido como guías para la elaboración de este trabajo.

Novedad: Hoy en día el uso de información con el uso de la tecnología va en aumento es aquí que se debe tener una adecuada gestión de TI para que sean garantizados todos los procesos, además el Marco de referencia de Cobit 5.0 propone un mejor desempeño para la organización a través de un monitoreo constante de cada proceso ejecutado para la gobernanza de una empresa.

(26)

9

(27)

10

CAPITULO I.

MARCO TEORICO

1. ORIGEN Y EVOLUCION DEL OBJETO DE INVESTIGACION.

1.1. TIC

Tecnologías de la información y la comunicación (TIC). El término tecnologías de la información se usa a menudo para referirse a cualquier forma de hacer cómputo. Como nombre de un programa de licenciatura, se refiere a la preparación que tienen estudiantes para satisfacer las necesidades de tecnologías en cómputo y comunicación de gobiernos, seguridad social, escuelas y cualquier tipo de organización.

Planificar y gestionar la infraestructura de TIC de una organización es un trabajo difícil y complejo que requiere una base muy sólida de la aplicación de los conceptos fundamentales de áreas como las ciencias de la computación, así como de gestión y habilidades del personal. Se requieren habilidades especiales en la comprensión, por ejemplo de cómo se componen y se estructuran los sistemas en red, y cuáles son sus fortalezas y debilidades. (Wikipedia, Tecnologias_de_la_informacion).

1.1.1. Función de tic

 Entregar valor a la organización (alineación con el negocio) (Casallas)  Con calidad de servicio y oportunidad

 Con costos de servicio adecuados  Mitigando los riesgos

1.2. TECNOLOGÍA DE INFORMACIÓN (TI)

(28)

11

 Morton (1988) definió TI como un ente que comprende 5 componentes

básicos: computadoras, tecnología de comunicaciones, estaciones de trabajo, robótica y circuitos de computadoras.

 Huber (1990) definió TI como un dispositivo para transmitir, manipular,

analizar explotar información, en el cual una computadora digital procesa información integral a comunicaciones de usuarios y tareas de decisión.

 Lau et al. (2001) indicaron que desde inicios de los 1970s, las aplicaciones de

computadoras estuvieron orientadas a automatización de oficina y soporte a decisiones, tales como: procesamiento de palabras, hojas de cálculo, y sistemas de información gerencial. Ahora se ha cambiado el énfasis de computación mono usuario a colaboración y conexión (Chatterjee, 1991).

El término tecnología de información comprende tanto al hardware, redes y comunicaciones, así como al software de base (sistemas operativos, servidores proxy, manejadores de bases de datos, servidores web, etc.) y los sistemas de información (sistemas que soportan procesos relacionados al manejo de la información en las organizaciones), así como los servicios relacionados, que se usan en las organizaciones para el logro de sus objetivos.

1.3. GOBIERNO DE TI

Es el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio. Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos.

(29)

12

organizativas para alcanzarlas. (Wikipedia, Gobernanza de las tecnologías de la información)

Es debido a esta relación de dependencia entre TI y los con requerimientos de la empresa, que la Gobernabilidad de TI se ha tornado en un eje clave en el ámbito organizacional.

Por ello surge Cobit, como una herramienta efectiva basada en estándares técnicos internacionales de: Tecnologías de la Información, Control interno y Auditoría, y Negocios, que provee un marco para el control y la gobernabilidad de TI mediante una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos estratégicos empresariales y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos.

1.3.1. Áreas del Gobierno de TI

El gobierno de TI se agrupa en cinco áreas: Alineamiento estratégico (vinculando TI con los planes de negocio), Entrega de valor (ejecutando la propuesta de valor ofrecida), Gestión de Riesgos (aversión o propensión al riesgo), Gestión de Recursos (supervisión e inversiones), Mediciones de Performance (seguimiento y control).

 Alineación Estratégica: Se enfoca en garantizar la alineación estratégica entre

los planes de negocio y de TI y en alinear las operaciones de TI con las operaciones de la empresa. (Institute, 2007).

(30)

13

o La Estrategia TI nace de la Estrategia Empresarial y la soporta

o Las aplicaciones nacen de la estrategia TI y soportan los procesos

o Los procesos soportan la Estrategia Empresarial

 Entrega de Valor: Se refiere a ejecutar las propuestas de valor a todo lo largo

del ciclo de entrega, asegurando siempre que TI genere los beneficios prometidos en la estrategia, haciendo énfasis en optimizar los costos y en brindar el valor intrínseco de TI.

La función de TI se debe gestionar para cumplir con los requerimientos de soporte a las decisiones y a los procesos de la organización (estratégicos, misionales y de soporte).

 Administración de Recursos: Se trata de la inversión óptima así como la

administración adecuada de los recursos críticos de TI: Aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento e infraestructura.

La responsabilidad de TI va más allá de administrar los recursos que tiene bajo su manejo. Estos recursos deben ser usados para entregar de manera óptima los productos de información para lo cual fueron adquiridos.

 Administración de Riesgos. Requiere conciencia de los riesgos por parte de

los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo, que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para las empresas y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.

(31)

14

soportados por TI, por parte del funcionario de la organización a quien se haya asignado esta responsabilidad.

 Medición del desempeño: Rastrea y monitorear la estrategia de

implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso de herramientas como Balance Score Card que traducen la estrategia en acción para lograr las metas medibles más allá del registro convencional.

1.4. GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN

La gestión de servicios de tecnologías de la información (en inglés IT Service Management, ITSM) es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de las empresas, poniendo énfasis en los beneficios que puede percibir el cliente final. GSTI propone cambiar el paradigma de gestión de TI, por una colección de componentes enfocados en servicios de punta a cabo usando distintos marcos de trabajo con las "mejores prácticas", como por ejemplo la Information Technology Infrastructure Library (ITIL) o el Escm (Enabled Service Capability Model). (Wikipedia, ITIL)

1.5. MARCOS DE REFERENCIA (FRAMEWORKS)

(32)

15

1.5.1. CMMI

Capability Maturity Model Integration. El modelo CMMI-DEV proporciona una orientación para aplicar las buenas prácticas CMMI en una organización de desarrollo. Las buenas prácticas del modelo se centran en las actividades para desarrollar productos y servicios de calidad con el fin de cumplir las necesidades de clientes y usuarios finales.

El modelo CMMI-DEV V1.3 es una colección de buenas prácticas de desarrollo procedentes de la industria y del gobierno, que se ha generado a partir de la Arquitectura y Marco1 de CMMI V1.3. CMMIDEV está basado en el CMMI Model Foundation o CMF (es decir, componentes del modelo comunes a todos los modelos y constelaciones CMMI2) e incorpora el trabajo realizado por organizaciones de desarrollo para adaptar CMMI para su uso en el desarrollo de productos y servicios.

1.5.2. Normas ISO

1.5.2.1. ISO/IEC 38500:2008

El gobierno de Australia en el año 2005 publicó el estándar AS8015-2005 Corporate Governance of Information and Communication Technology donde define un modelo de referencia de gobierno de las TI. Este estándar fue conocido localmente como AS8015 (2005). Posteriormente ISO/IEC lo adoptó y publicó como 38500:2008. (Corporate Governance of Information )

Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI's).

Para hacerlo, promueve el uso eficiente, efectivo y aceptable de TI en toda la organización definiendo seis principios para asegurar el buen gobierno corporativo de TI:

(33)

16 2. Estrategia

3. Adquisición 4. Rendimiento 5. Conformidad 6. Conducta humana

Para estos principios para TI se aplican tres tareas principales:  Evaluar

 Dirigir  Monitorear

1.5.2.2. ISO/IEC 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares, entre ellos:

ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

ISO 27007 Consiste en una guía de auditoría de un SGSI

ISO 27011 Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

(34)

17

ISO 27032 Consiste en una guía relativa a la ciberseguridad.

ISO 27033 Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y remuneración de ISO 18028. ISO 27034 Consiste en una guía de seguridad en aplicaciones.

ISO 27799 Es un estándar de gestión de seguridad de la información en el sector de la salud aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799 :

2008

Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones de salud y otros custodios de la información de salud en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.

ISO

27799:2008

se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos e imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida Tabla 1. Normas ISO /IEC 2700

Elaborado Tglo. Heraldo Narváez, Fuente: Normas ISO /IEC 2700

1.5.3. TOGAF

(35)

18

"La clave de TOGAF es el método - Método de Desarrollo de la Arquitectura (ADM por sus siglas en inglés) - para desarrollar una Arquitectura Empresarial que aborda las necesidades del negocio". El ADM de TOGAF funciona de modo iterativo, es decir, por fases que avanzan progresivamente pero que a la vez permiten la revisión y ajuste de cada una de ellas durante el proceso. (Molano, 2015).

1.5.4. COSO

Committe of Sponsoring Org. of the Treadway Commission. Es La provisión de la estructura que permite determinar los objetivos de la Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos.

Este modelo de referencia presenta las siguientes aceptaciones:  Eficacia y eficiencia

 Confiabilidad de la información

 Cumplimiento con leyes y reglamentaciones

Este modelo se compone de cinco (5) elementos esenciales: 1. Ámbito del Control

2. Establecimiento de objetivos 3. Actividades de control

4. Información y comunicación 5. Supervisión y monitoreo

1.5.5. ITIL

(36)

19

procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI15. (itil.osiatis.es)

1.5.6. PMBOK

Project Management Body of Knowledge. El PMBOK es una colección de procesos y áreas de conocimiento generalmente aceptadas como las mejores prácticas dentro de la gestión de proyectos. El PMBOK es un estándar reconocido internacionalmente (IEEE Std 1490-2003) que provee los fundamentos de la gestión de proyectos que son aplicables a un amplio rango de proyectos (Institute, Project Management., 2004). (Institute P. M., 2013)

Los procesos se traslapan e interactúan a través de un proyecto o fase y son descritos en términos de:

 Entradas (documentos, planes, diseños, etc.).

 Herramientas y Técnicas (mecanismos aplicados a las entradas).  Salidas (documentos, productos, etc.).

Los 5 grupos básicos de procesos son:

1. Iniciación:

2. Planificación:

3. Ejecución:

4. Seguimiento y Control:

5. Cierre:

Las nueve áreas del conocimiento mencionadas en el PMBOK son:

(37)

20

2) Gestión del Alcance del Proyecto: Incluye los procesos necesarios para garantizar que el proyecto incluya todo el trabajo requerido para completarla con éxito.

3) Gestión del Tiempo del Proyecto: Incluye los procesos requeridos para administrar la finalización del proyecto a tiempo.

4) Gestión de los Costos del Proyecto: Incluye los procesos involucrados en estimar, presupuestar y controlar los costos de modo que se complete el proyecto dentro del presupuesto aprobado.

5) Gestión de la Calidad del Proyecto: Incluye los procesos y actividades de la organización ejecutante que determinan responsabilidades, objetivos y políticas de calidad a fin de que el proyecto satisfaga las necesidades por la cuales fue emprendido.

6) Gestión de los Recursos Humanos del Proyecto: Incluye los procesos que organizan, gestionan y conducen el equipo del proyecto.

7) Gestión de las Comunicaciones del Proyecto: Incluye los procesos requeridos para garantizar que la generación, la recopilación, la distribución, el almacenamiento, la recuperación y la disposición final de la información del proyecto sean adecuados, oportunos y entregada a quien corresponda (interesados del proyecto o stakeholders)

8) Gestión de los Riesgos del Proyecto: Incluye los procesos relacionados con llevar a cabo la planificación de la gestión, identificación, el análisis, la planificación de respuesta a los riesgos, así como su monitoreo y control en un proyecto.

(38)

21

1.5.7. COBIT

COBIT (Control Objetives for Information and related Technology) ha sido desarrollado por las ISACF (Information Systems Audit and Control Foundation) como un estándar para las buenas prácticas de seguridad y control en IT.

Es un estándar que busca responder a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas de IT. (COBIT, 2012).

1.5.7.1. Evolución de COBIT

Figura 1, Evolución De Cobit

Fuente, Cobit, www.isaca.org/cobit,

1.5.7.2. Beneficios para las empresas.

Las organizaciones y sus ejecutivos están haciendo esfuerzos para:  Mantener información de calidad para las decisiones del negocio.  Generar valor para el negocio desde las inversiones habilitadas por TI  Lograr excelencia operativa mediante la aplicación eficiente de la tecnología.  Mantener el riesgo de TI a niveles aceptables.

(39)

22

1.5.7.3. Valor para las partes interesadas

 Se requiere un buen gobierno y una buena administración de los activos de TI

y de la información.

 Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la

TI como cualquier otra parte importante del negocio.

 Cada día aumentan los requisitos externos, tanto legales como de

cumplimiento regulatorio y contractual, relacionados con el uso de la información y la tecnología en la Organización, amenazando el patrimonio si no se cumplen.

 Cobit 5 proporciona un marco global que ayuda a las empresas a alcanzar sus

metas y entregar valor a través de un Gobierno y gestión eficaz de TI.

1.5.7.4. El marco de COBIT 5

Ayuda a crear valor óptimo de TI por mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos.

Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa, abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas. (Francavilla).

1.5.7.5. Los principios de COBIT 5

(40)

23

Figura 2: Principios de Cobit

Fuente COBIT 5 Framework-Spanish.pdf, Figura 2.

Principio 1: Satisfacer las necesidades de las partes interesadas

Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. (COBIT, 2012)

Para cada decisión se puede, y se debe, hacer las siguientes preguntas: ¿Quién recibe los beneficios?

(41)

24

Figura 3: Principio 1

Fuente: COBIT 5 Framework-Spanish.pdf, Figura 3

Principio 2: Cubrir la empresa extremo-a-extremo

COBIT 5 permite cubrir la empresa de extremo a extremo, cubriendo todos los procesos de la empresa, incluyendo todas las áreas funcionales, de TI, personal interno y externo, todo lo que sea relevante para el gobierno y la gestión de las TI relacionadas. (COBIT, 2012)

La función de TI es considerada como un activo más de la empresa no se enfoca solo en la función que realiza.

Los Componentes Claves de un Sistema de Gobierno.

Figura 4: Objetivo del Gobierno.

Fuente: COBIT 5 Framework-Spanish.pdf, Figura 8.

Figura 5: Roles, Actividades y relaciones.

(42)

25

Principio 3: Aplicar un marco de referencia único integrado

El marco de referencia Cobit 5.0 aplica un marco de referencia único integrando estándares, marcos de trabajo y buenas prácticas relacionadas con TI y con la finalidad de ser un marco principal para el gobierno y gestión de las TI de la empresa. (COBIT, 2012)

Principio 4: Hacer posible un enfoque holístico

El marco de referencia Cobit 5 define 7 habilitadores para apoyar la implementación de un sistema de gobierno y gestión para las TI de la empresa, todo esto basado en principios.

Los 7 habilitadores:

Figura 6: Los 7 Habilitadores

Fuente. COBIT 5 Framework-Spanish.pdf, Figura 12

 Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día.  Los procesos describen un conjunto organizado de prácticas y actividades

para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI.

(43)

26

 La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión.

 La información impregna toda la organización e incluye toda la información producida y utilizada por la empresa.

La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma.

 Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información.

 Las personas, habilidades y competencias están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas.

Principio 5. Separar el Gobierno de la Gestión:

El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren estructuras organizativas diferentes y sirven para diferentes propósitos. (COBIT, 2012)

Gobierno: Asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.

(44)

27

Cobit 5 propone que las organizaciones implementen los procesos de gobierno y gestión de tal manera que las áreas claves queden cubiertas.

Figura 7: Separar el Gobierno de la Gestión.

1.5.7.6. Cascada de metas de COBIT 5

Cada empresa opera en un contexto diferente; este contexto está determinado por factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y gestión personalizado.

(45)

28

Figura 8: Cascada de metas de Cobit 5.

Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes Interesadas

Las necesidades de las partes interesadas están influenciadas por diferentes controladores, p. ej., cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías.

Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas Empresariales

Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas empresariales genéricas.

(46)

29

una lista de objetivos comúnmente usados que una empresa puede definir por sí misma.

COBIT 5 define 17 objetivos genéricos, que incluye la siguiente información:  La dimensión del CMI en la que encaja la meta corporativa

 Las metas corporativas

 La relación con los tres objetivos principales de gobierno -- realización de

beneficios, optimización de riesgos y optimización de recursos („P‟ indica una relación primaria y „S‟ una relación secundaria, es decir una relación menos fuerte).

Paso 3. Metas de corporativas en cascada hacia metas TI

El logro de metas empresariales requiere un número de resultados relacionados con las TI, que están representados por las metas relacionadas con la TI. Se entiende como relacionados con las TI a la información y tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17 metas relacionadas con las TI...

Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras Lograr las metas TI requiere la aplicación y uso exitoso de una serie de catalizadores. Estos catalizadores incluyen:

 Principios, políticas y marcos de referencia  Procesos

 Estructuras organizativas

 Cultura, ética, y comportamiento  Información

(47)

30

Para cada catalizador se puede definir un conjunto de metas específicas y relevantes en apoyo a las metas TI. En este documento, se proporcionan metas de proceso en las descripciones detalladas de proceso.

Figura 9: Metas Corporativas

(48)

31

Figura 10: Metas de TI.

1.5.7.7. Dimensiones de los catalizadores

Todos los catalizadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes:

 Proporciona una manera común, sencilla y estructurada para tratar los catalizadores

 Permite a una entidad manejar sus interacciones complejas  Facilita resultados exitosos de los catalizadores

.

Figura 11: Catalizadores.

1.5.7.8. Modelo de referencia procesos habilitadores de COBIT 5

(49)

32

 El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de

cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear (EDM).

 Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas

de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM por su sigla en inglés).

1.5.7.9. Dominios de COBIT 5

El marco de referencia Cobit 5 define varios procesos de gobierno y gestión todos con el objetivo de cubrir las metas tanto de empresas grandes en las que se maneja un considerable número de procesos o empresas pequeñas que manejan un número reducido de procesos.

Este modelo proporciona un marco integral para supervisar y medir el desempeño de TI en las organizaciones integrando buenas prácticas de gestión y representando todos los procesos que regularmente se encuentran en las mismas relacionados con las actividades de TI (COBIT5, 2012)

Existen dos dominios principales de procesos que divide Cobit 5 detallados a continuación:

 Gobierno: contiene un dominio con cinco procesos de gobierno, y dentro de

cada uno de ellos se establecen prácticas de evaluación, orientación y supervisión (EDM).

 Gestión: contiene cuatro dominios e igualmente dentro de cada uno de ellos

se establecen prácticas de planificación, implementación, soporte y evaluación de las TI.

o Alinear, Planificar y Organizar (Align, Plan and Organise, APO)

o Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)

o Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)

(50)

33

Los dos dominios principales de procesos que divide Cobit 5 detallados anteriormente se clasifican en un número de 37 procesos de gobierno y gestión, los cuales son una guía integra y referencial para evaluar y diagnosticar el estado actual de cómo se encuentra la gestión de las TI en las empresas. A continuación se detallan los 37 procesos contenidos en los cinco dominios principales de Cobit.

Evaluar, Orientar y Supervisar (EDM)

01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno. 02 Asegurar la entrega de beneficios.

03 Asegurar la optimización del riesgo. 04 Asegurar la optimización de recursos.

05 Asegurar la transparencia hacia las partes interesadas.

Alinear, Planificar y Organizar (APO)

01 Gestionar el marco de gestión de TI. 02 Gestionar la estrategia.

03 Gestionar la arquitectura empresarial. 04 Gestionar la innovación.

05 Gestionar el portafolio.

06 Gestionar el presupuesto y los costes. 07 Gestionar los recursos humanos. 08 Gestionar las relaciones.

09 Gestionar los acuerdos de servicio. 10 Gestionar los proveedores.

11 Gestionar la calidad. 12 Gestionar el riesgo. 13 Gestionar la seguridad.

Construir, Adquirir e Implementar (BAI)

(51)

34 02 Gestionar la definición de requisitos.

03 Gestionar la identificación y construcción de soluciones. 04 Gestionar la disponibilidad y la capacidad.

05 Gestionar la introducción del cambio organizativo. 06 Gestionar los cambios.

07 Gestionar la aceptación del cambio y la transición. 08 Gestionar el conocimiento.

09 Gestionar los activos. 10 Gestionar la configuración.

Entrega, Servicio y Soporte (DSS)

01 Gestionar operaciones.

02 Gestionar peticiones e incidentes de servicio. 03 Gestionar problemas.

04 Gestionar la continuidad.

05 Gestionar servicios de seguridad.

06 Gestionar controles de procesos de negocio.

Supervisar, Evaluar y Valorar (MEA)

01 Supervisar, evaluar y valorar el rendimiento y la conformidad. 02 Supervisar, evaluar y valorar el sistema de control interno.

03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos.

1.6. EMPRESA DE SAITEL MATRIZ IBARRA

1.6.1. Misión

(52)

35

1.6.2. Visión

SAITEL se consolida como una empresa líder en telecomunicaciones y es un referente por la calidad de sus productos y servicios que contribuyen al desarrollo del país.

1.6.3. Objetivo General

Incrementar en el año 2017 la cobertura de prestación de servicios, venta de productos y la implementación de la infraestructura de telecomunicaciones, mediante un continuo y adecuado desarrollo empresarial.

1.6.3.1. Objetivos específicos

 Implementar un Sistema de Gestión Técnica de crecimiento, escalabilidad y

tolerancia a fallos de la infraestructura.

 Incrementar la capacidad de captación de clientes, cobertura de mercado y

ventas.

 Mejorar el Sistema de Gestión Administrativo – Financiero

1.6.3.2. Objetivos operativos

 Reducir en un 50% el número de fallas en la red de acceso.

 Incrementar en un 30% el número de clientes y usuarios en la Matriz Ibarra.  Incrementar en un 100% el número de clientes y usuarios de la Regional

Amazónica.

 Incrementar en un 50% el número de clientes y usuarios en la Regional Centro

Norte.

 Incrementar en un 50% el número de clientes y usuarios en la Regional Norte.  Incrementar en un 4% la capacidad de atención al cliente en cobranzas,

soporte técnico y gestión de órdenes de servicio.

 Incrementar en un 80% la recaudación de cartera vencida.

(53)

36

 Alcanzar y mantener un 85% de cumplimiento en el Sistema de Gestión de

Seguridad Industrial y Salud Ocupacional.

 Desarrollar e implementar un nuevo plan de cuentas presupuestarias y

contables acorde a las NIFS.

 Implementar el sistema de control de inventarios de los bienes de control y

activos fijos, bienes de consumo, productos y materiales.

 Implementar en el Sistema Factura PYMES los módulos de nómina,

(54)

37

1.6.4. Matriz Foda “SAITEL.EC”

FORTALEZAS OPORTUNIDADES

1. Infraestructura propia. 2. Políticas de reinversión. 3. Recursos Económicos. 4. Recursos Materiales. 5. Consejo administrativo.

6. Seguridad Industrial y Salud ocupacional.

1. Bienestar laboral 2. Medicina preventiva 3. Aceptación del servicio

4. Avance constante de la tecnología.

DEBILIDADES AMENAZAS

1. Alta probabilidad de accidentes de trabajo y enfermedades ocupacionales.

2. Les falta el P.O.A. (Planificación, Organización y Administración) de los trabajos.

3. No están preparados para eventualidades en caso de desastres naturales.

4. Falta de seguimiento de trabajos realizados. 5. Brindar un buen servicio al cliente.

6. Capacitación constante al personal.

7. Tener una bitácora de cada nodo (punto de distribución del internet).

8. Definir un plan estratégico de TI

1. Riesgos. 2. Accidentes.

3. Enfermedades profesionales 4. Altos costo de siniestralidad. 5. Multas por incumplimiento de la

normativa.

6. Estabilidad laboral al trabajador.

Tabla 2: Matriz Foda Saitel. Elaborado: Tglo. Heraldo Narváez.

(55)

38

JUNTA GENERAL DE SOCIOS

PRESIDENCIA GERENCIA

ASESORIA JURIDICA

SECC. COBRANZAS

SECC. ASESORIA LEGAL

DPTO. ADMINISTRATIVO

SECC. SELECCION DE PERSONAL

SECC. CAPACITACION

SECC. SALUD SALUD OCUPACIONAL

DPTO. FINANCIERO

SECC. CONTABILIDAD

SECC. RECAUDACION

UNIDAD DE SALUD Y SEGURIDAD OCUPACIONAL

SERVICIO MEDICO

COMITE DE SEGURIDAD Y SALUD

OCUPACIONAL

DPTO. TECNICO

SECC. SOPORTE.

SECC. INSTALACIONES Y MANTENIMINTO

DPTO. COMERCIALIZACION

SECC. MARKETIN

DPTO. SISTEMAS

SECC. ANALISIS DE SISTEMAS

SUC. CAYAMBE SUC. TULCAN SUC. CHONE SUC. JOYA SACHAS

SUBGERENCIA 1.6.5. Orgánico funcional de SAITEL.EC

Figura 12: Organigrama Funcional Saitel.

(56)

39

1.7. CONCLUSIONES PARCIALES DEL CAPITULO

En base a la fundamentación teórica citada se puede concluir lo siguiente:

Se cita varios conceptos de modelos de marcos de trabajo que permiten un mejor Gobierno de TI.

Los marcos de trabajo se basan en, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva.

El modelo de gobierno de TI tiene varios factores que logran una mejor organización de la empresa a través de varios marcos de trabajo los cuales indican como separar el gobierno de la administración y dando a cada una de estas procesos eficientes para mejorar el TI en la empresa.

Hoy en día para una mejor gobernanza de TI se han implementado procesos Cobit los cuales contienen muchas herramientas eficientes y que son certificaciones internacionales para un mejor desempeño de la Gobernabilidad de una empresa.

(57)

40

CAPITULO II.

MARCO METODOLOGICO

2.1. CARACTERIZACIÓN DEL SECTOR

La presente investigación que va enfocada a un modelo de gobierno de TI para la gestión de la empresa, tomando en cuenta que la empresa de Saitel Matriz Ibarra actualmente cuenta con oficinas propias ubicadas en las calles olmedo 4-63 y Grijalva, además sus nodos de operaciones en telecomunicaciones cuentan con avances tecnológicos para la prestación del servicio de internet, haciendo de esta empresa una fuente de trabajo en la provincia de Imbabura.

2.2. DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO

2.2.1. Modalidad de investigación

La modalidad de investigación por ser la herramienta para desarrollar conocimiento es más bien estable, convencional con criterios estandarizados y transversales que permiten que el conocimiento sea comunicable en diferentes campos disciplinares, contextos y regiones del planeta.

Es el idioma universal de la ciencia que posibilita el avance en todos los campos, el intercambio y transferencia de tecnología, el consenso y el trabajo multidisciplinario como tal esencial para el avance del conocimiento.

(58)

41

Como metodología para el desarrollo de este proyecto integrador de carrera se utiliza la metodología cuantitativa.

2.2.2. Tipo de investigación

Los tipos de investigación aplicados son: de campo y bibliográfica.

Investigación de campo: Se desarrolla en la empresa Saitel E.C., Matriz Ibarra donde se evidencio la falta de un modelo de gobierno de ti para la mejor gestión de la empresa en donde se analizan los roles de los administración, control, ejecución y monitoreo.

Investigación bibliográfica: la información obtenida está basada en manuales, en guías de procesos, en tesis, internet y otros.

2.2.3. Métodos, Técnicas e Instrumentos

2.2.3.1. Métodos

2.2.3.1.1. Método Deductivo

Parte de las observaciones particulares realizadas y mediante la formulación de leyes y principios, permite generalizar un estudio detallado de los procesos para un modelo de gobierno de Ti en la gestión de la Empresa, sus causas y consecuencias con el fin de solucionar el problema plateado.

2.2.3.1.2. Método Inductivo

(59)

42

2.2.3.2. Técnicas de recolección de datos

 Entrevistas a las autoridades (3)  Encuestas a:

Función judicial 1 Personal Sistemas 2 Cobranzas y notificaciones 1 Contabilidad 2 Jefe de Seguridad 1

Cajas 2

Jefe área técnica 1 Soporte atención al cliente 4 Personal administrativo 3 Personal técnico 11 Personal márquetin 3 Tabla 3: Recolección de datos Personal Matriz Saitel. Elaboración Tglo. Heraldo Narváez

Fuente: Dto. Recursos Humanos Matriz Saitel.

2.2.3.3. Instrumentos

Los instrumentos para la presente investigación son: Guía de entrevistas

Libro de notas.

2.2.3.4. Población y muestra de la investigación

2.2.3.4.1. Población

Se cuenta con la siguiente población de la Matriz Saitel E.C.

Función No

Autoridades (Gerencia, Presidencia, Subgerencia) 3

Función judicial 1

Personal Sistemas 2

Cobranzas y notificaciones 1

Contabilidad 2

(60)

43

Cajas 2

Jefe área técnica 1

Soporte atención al cliente 4 Personal administrativo 3

Personal técnico 11

Personal márquetin 3

Total 34

Tabla 4: Población.

Elaboración: Tglo. Heraldo Narváez

Fuente: Dto. Recursos Humanos Matriz Saitel.

2.2.3.4.2. Muestra

En vista que la población es muy baja no se aplicara una muestra, ya que a todos se aplicaran las técnicas de recolección de datos.

2.2.4. Interpretación de resultados (gráficos y cuadros)

1. Conozco los procesos de TI para con el cliente.

SI 11

NO 23

TOTAL 34

Tabla 5: Pregunta 1.

Figura 13: Pregunta 1.

10

23

(61)

44

Un 11% de los encuestados conocen los procesos de TI, mientras que el 23% de encuestados afirman no conocer los procesos de TI con el cliente, esto muestra que hace falta un debido conocimiento acerca de estos procesos.

2. ¿Estoy realizando una operación de TI eficiente?

SI 16

NO 18

TOTAL 34

El 16% de los encuestados afirman realizar un trabajo eficiente de TI, en tanto que el 18 % no realizan una operación eficiente de TI.

15 18

(62)

45

3. ¿Están los usuarios finales satisfechos con la calidad del servicio de TI?

SI 14

NO 20

TOTAL 34

Se observa en la gráfica que 14% de los usuarios finales están conformes con la calidad de servicio mientras que el 20% no está satisfecho con la calidad del servicio de TI.

4. ¿Considero todos los riesgos relativos a TI?

SI 20

NO 14

TOTAL 34

14 20

(63)

46

Elaboración: Tglo. Heraldo Narváez.

Se muestra en la gráfica que el 20 % de los usuarios finales consideran los riesgos relativos a TI, mientras que el 14 % desconocen estos riesgos de TI.

5. ¿La oficina matriz de Saitel mantiene identificados y definidos los procesos que ejecuta a través de manuales?

SI 13

NO 21

TOTAL 34

Tabla: 9 Pregunta 5.

20

14 SI

NO

13

21