Caso de Estudio - Educacin Virtual

Instrucciones:
1. Identifique y priorice los riesgos de la organizacin
2. Mapear los objetivos del Negocio con CobIT 5.0
3. Mapear los objetivos del Negocio con los objetivos de TI con una de las perspectivas de
CMI (financiera, clientes, interna, aprendizaje y crecimiento)
4. Mapear los objetivos de TI con los procesos de CobIT 5.0
5. Mapear procesos de CobIT con riesgos identificados
6. Alinear procesos de CobIT con ITIL (en los casos que apliquen)
7. Conclusiones y recomendaciones
1. Descripcin de la institucin
La Universidad, elabor su Plan Estratgico Institucional con un horizonte a 4 aos el que
contempla entre otras metas, incrementar su oferta acadmica a carreras como agronoma,
zootecnia y pecuarias mismas que se encuentran en auge a nivel estatal.
Con base a este Plan Estratgico el Consejo Directivo asign recursos a la Direccin
Administrativa Financiera con la finalidad de contratar a una persona con perfil informtico
para que labore en el rea de sistemas en el diseo de propuestas contenidos para las
futuras carreras de la Universidad.
1.1 Organigrama:

1 de 13

1.2 Objetivos de la Institucin:

1.2.1 Garantizar una formacin profesional de alta calidad en las dos modalidades,
Presencial y Semipresencial.
1.2.2 Regular la formacin en los niveles tcnico superior y de pregrado en las dos
modalidades, Presencial y Semipresencial.
1.2.3 Propiciar la investigacin cientfica, tecnolgica y social y la vinculacin
permanente con la colectividad, en un marco de calidad y pertinencia.
1.3 Servicios:
La universidad de XYZ dentro de sus servicios ms importantes que brinda a la ciudadana
tiene implementada una solucin de educacin virtual la misma que se encuentra con una
oferta acadmica en la modalidad semipresencial como Ingeniera y Licenciatura, con
aproximadamente con 17.000 usuarios matriculados, 146 cursos creados y 68 cursos en
ejecucin con 90 participantes por curso, un modelador por cada 5 cursos o de acuerdo a la
demanda, todo esto autorizado por el decanato correspondiente.
2 Situacin Actual de TICs:
Existe un nivel de concurrencia de usuarios de aproximadamente 700 usuarios al da en
horas picos identificadas por el rea de administracin del aplicativo entre las 12h00
15h00 y 19h30 24h00 de lunes a viernes y los fines de semana con una concurrencia
aproximada de 921 usuarios. Los cuales cuentan con soporte telefnico y correo electrnico
de lunes a viernes en horario de oficinas y los requerimientos registrados en fines de
semana son atendidos el primer da laboral.
El rea de sistema soporta los siguientes servicios.

Existen 4 Motores de Bases de Datos funcionando en los diferentes desarrollos de los

mdulos del sistema de Gestin Acadmica de la Universidad, no existe una arquitectura de
software homologada.

2 de 13

La educacin Virtual la soporta un LMS (Learning Management System) de distribucin libre,

sin soporte inmediato para incidentes.
El Mdulo de RRHH administra la nmina de docentes y personal administrativo de la
Universidad.
El acceso al sistema de Gestin Acadmica se lo puede realizar directamente o desde el
portal web de la institucin.
Dentro de la estructura organizacional existe el rea de sistemas que se encuentra bajo la
Direccin Administrativa Financiera, el rea de sistemas est conformada por 6 personas,
un responsable y 5 personas bajo la modalidad de contrato que delimitan sus competencias
(desarrollo, pruebas, produccin, soporte e infraestructura). Por otra parte, el rea de
sistemas no cuenta con un Plan Estratgico de Tecnologas ya que esta rea reporta a la
Direccin Administrativa Financiera misma que no considera que deba existir dicho plan.
Por la naturaleza del servicio no existen horarios delimitados para el acceso a los cursos en
ejecucin los cuales se han producido saturacin y prdida eventuales del servicio (Acceso
a la plataforma virtual de aprendizaje) aproximadamente 2 veces al mes los cuales no estn
debidamente documentados.
2.1 Problemas e incidentes:
Se ha identificado que por la falta de personal en horarios pico entre semana el personal
encargado de desarrollo del aplicativo colabora en la administracin y creacin de usuarios
en el aplicativo segn el nmero de peticiones e incidentes registrados
En el ltimo semestre de diferentes grupos de estudiantes se registraron reclamos de
diferentes grupos de estudiantes que reportaron inconsistencias entre las notas fsicas
obtenidas y las notas reportadas en el sistema de calificaciones de la Universidad. El
encargado de base de datos acudi a uno de sus ltimos respaldos almacenado en el
servidor de produccin para verificar este incidente, el mismo que gener un informe donde
concluye que ha existido una manipulacin no autorizada de los datos dentro de la base en
cierta fecha y hora, sin poder identificar el responsable y para apoyar a la solucin sugiri
realizar la verificacin y actualizacin de notas de forma manual.
La institucin cuenta con un solo proveedor que brinda los servicios de internet, que se
renueva de manera peridica con las mismas condiciones y consideraciones cada ao, el
contrato contempla los productos y servicios a recibir por parte de la entidad contratada y las
multas correspondientes por incumplimiento de contrato, no se considera tiempos de
respuesta en el caso de incidentes de prestacin del servicio contratado.
Por otra parte se cuenta con servidores de produccin y desarrollo adquiridos hace seis
aos en un rack de piso ubicado en rea de sistemas con acceso a todo el personal que
ingrese al el rea de sistemas, que es administrado por el encargado de infraestructura el
cual cuando toma sus vacaciones el jefe del rea delega las funciones al personal disponible
en ese momento.
2.2 Controles con los que cuenta la institucin:
La institucin, dentro del proceso del Sistema de Gestin Acadmica tiene implementado los
siguientes controles:

Se verifican y autorizan las matrculas de los participantes que han realizado

inscripciones en lnea siempre que cumplan con los requisitos mnimos tanto para
alumnos nuevos como para alumnos que son promovidos de nivel.

3 de 13

Se controla la disponibilidad de cupos por carrera.

Se controla el proceso de notas mismas que las genera el docente.

Se controla el asentamiento y publicacin de notas la realice la secretara

acadmica.

Se cuenta con controles de accesos lgicos al Aula Virtual con un usuario y

contrasea sin otros tipos de verificacin adicionales para su acceso.

Se controla el acceso de nuevo personal a la Institucin, no obstante muchas veces

no se controla la supresin de cuentas de correo electrnico cuando una persona se
desvincula de la institucin por la informacin que haya generado.

2.3 Procesos y Procedimientos relacionados:

Los procesos de Educacin Virtual son:

Planificacin, Comunicacin y Control

Gestin de Cursos Virtuales
Gestin de Matrculas
Gestin de Mantenimiento y Soporte

2.4 Objetivos de TICs alineados a la Institucin:

Los Objetivos de TICs que se alinean a la institucin son:
2.4.1 Garantizar una formacin profesional de alta calidad en las dos
modalidades, Presencial y Semipresencial: Se alinea con el Proceso Tecnolgico
Gestin de Cursos que pertenece al Procedimiento de Aula Virtual.
Objetivo: Gestionar la creacin, administracin y publicacin de los cursos en el
Aula Virtual por carrera y modalidad.
2.4.2 Regular la formacin en los niveles tcnico superior y de pregrado en las
dos modalidades, Presencial y Semipresencial: Se alinea con el Proceso Gestin
de Matrculas que pertenece al procedimiento Carreras.

4 de 13

Objetivo: Gestionar las altas, administracin y bajas de los estudiantes nuevos y

promovidos en las diferentes carreras y las modalidades presencial y semipresencial,
de esta .

5 de 13

Solucin:
1. Identifique y priorice los riesgos de la organizacin (Matriz de Riesgos)
TIPIFICACIN
RIESGO

RT1
RT1
0
RT2
RT2
0

RT3
RT3

RIESGO

Consejo Directivo asign recursos a

la Direccin Administrativa
inadecuado o inexistente gestin Insuficiente personal para dar soporte en horario
Financiera con la finalidad de
de capacidades
no laboral y en fines de semana.
contratar a una persona con perfil
informtico
Existen 4 Motores de Bases de Datos
Inexistente o inadecuada
funcionando en los diferentes desarrollos de los
homologacin y estandarizacin mdulos del sistema de Gestin Acadmica de
de Base de Datos de la Gestin la Universidad, no existe una arquitectura de
de Configuracin),
software homologada y no existe soporte para
aplicaciones libres.
No se cuenta con alineamiento
estratgico con el negocio

0
RT4
RT4
0

RT5
RT5

Controles existentes
identificados

Incidente/ problema identificado

N/A

El rea de sistemas no cuenta con un Plan

Estratgico de Tecnologas

Inadecuada o inexistente
Segregacin de Funciones y
capacidades

Inadecuada gesti de seguridad

de la informacin

RT7

RT7
0

RT8

RT8

Calificacin Funcionario
Nro. 1 (Gerencia)

Calificacin Funcionario
Nro. 2 (Gestin)

Calificacin Funcionario
Nro. 3 (Operativo)

2,5

3,1

VOTO IMPACTO

2,9

3,4

3,0

VOTO PROBABILIDAD

3,4

2,0

2,0

VOTO IMPACTO

1,5

3,0

2,8

VOTO PROBABILIDAD

2,4

2,5

2,9

VOTO IMPACTO

3,3

3,0

1,0

VOTO PROBABILIDAD

3,8

3,5

2,0

VOTO IMPACTO

4,1

4,3

3,9

VOTO PROBABILIDAD

4,3

3,9

3,5

VOTO IMPACTO

4,0

3,5

3,5

VOTO PROBABILIDAD

3,0

3,5

3,0

VOTO IMPACTO

4,5

4,3

4,2

VOTO PROBABILIDAD

4,5

4,3

4,2

VOTO IMPACTO

3,0

2,3

2,0

VOTO PROBABILIDAD

2,5

3,0

2,9

VOTO IMPACTO

3,3

3,2

2,3

VOTO PROBABILIDAD

3,2

3,5

2,8

2,6

2,4

3,1

2,4

3,9
N/A

4,1

Alto

3,2

3,7

4,3

4,3

Medio

Se controla el proceso de notas

mismas que las genera el docente.
Se controla el asentamiento y
publicacin de notas la realice la
secretara acadmica.

Alto

Se cuenta con controles de

accesos lgicos al Aula Virtual con
un usuario y contrasea sin otros
tipos de verificacin adicionales
para su acceso.

2,8

Inadecuada gestin de
proveedores y niveles de
acuerdos de servicio

La institucin cuenta con un solo proveedor que

brinda los servicios de internet, que se renueva
de manera peridica con las mismas
condiciones y consideraciones cada ao, el
contrato contempla los productos y servicios a
recibir por parte de la entidad contratada y las
multas correspondientes por incumplimiento de
contrato, no se considera tiempos de respuesta
en el caso de incidentes de prestacin del
servicio contratado.

Inexistente control de
accesos y gestin de
activos

Por otra parte se cuenta con servidores

de produccin y desarrollo adquiridos
hace seis aos en un rack de piso
ubicado en rea de sistemas con
acceso a todo el personal que ingrese al
N/A
el rea de sistemas, que es
administrado por el encargado de
infraestructura el cual cuando toma sus
vacaciones el jefe del rea delega las
funciones al personal disponible en ese
momento.

Existen contratos en los cuales

contempla multas por la prdida del
servicio

2,4

Medio

Medio

3,2

2,9

Matriz grfica de riesgo

Regresar

MATRIZ DE RIESGOS

Regresar

5,0

RT4 RT6

4,0
RT5

RT1

3,0

RT8

Impacto

RT6

VOTO / CARGOS

Medio

RT6

IMPACTO

Medio

La falta de personal en horarios pico entre

semana el personal encargado de desarrollo del Las competencias y
aplicativo colabora en la administracin y responsabilidades estn
creacin de usuarios en el aplicativo segn el estipuladas en un contrato
nmero de peticiones e incidentes registrados.

En el ltimo semestre de diferentes grupos de

estudiantes se registraron reclamos de diferentes
grupos
de
estudiantes
que
reportaron
inconsistencias entre las notas fsicas obtenidas
y las notas reportadas en el sistema de
calificaciones de la Universidad. El encargado de
base de datos acudi a uno de sus ltimos
respaldos almacenado en el servidor de
produccin para verificar este incidente, el mismo
que gener un informe donde concluye que ha
existido una manipulacin no autorizada de los
datos dentro de la base en cierta fecha y hora,
sin poder identificar el responsable y para apoyar
a la solucin sugiri realizar la verificacin y
actualizacin de notas de forma manual.

PROBABILIDAD

Medio

N/A

Se han producido saturacin y prdida

eventuales del servicio (Acceso a la plataforma
Inexistente o inadecuada gestin
virtual de aprendizaje) aproximadamente 2 veces
de incidentes y de problemas
al mes los cuales no estn debidamente
documentados.

CRITICIDAD

RT7

RT3
RT2

2,0

1,0

025

0,0

105
18
17
16
24
23
22
21
20
39
38
37
36
35
34
33
32
31
30
29
28
27
26
50
49
48
47
46
45
44
43
42
41
0
19
40
0,00

1,0

2,0

3,0

4,0

5,0

Probabilidad

6 de 13

2. Mapear los objetivos del Negocio con CobIT 5.0:

a. Objetivos del Negocio:
Objetivos de la Empresa de COBIT 5

Dimensin
del CMI

Financiera

Garantizar una
formacin
profesional de alta
calidad en las dos
modalidades,
Presencial y
Semipresencial.

Objetivo de la Empresa

1. Valor para las Partes Interesadas de las Inversiones

de Negocio

2. Cartera de productos y servicios competitivos

3. Riesgos de negocio gestionados (salvaguarda de

activos)

4. Cumplimiento de leyes y regulaciones externas

Propiciar la
investigacin
cientfica, tecnolgica
y social y la
vinculacin
permanente con la
colectividad, en un
marco de calidad y
pertinencia.

5. Transparencia financiera
6. Cultura de servicio orientada al cliente

Cliente

7. Continuidad y disponibilidad del servicio de negocio

8. Respuestas giles a un entorno de negocio

cambiante

9. Toma estratgica
Informacin

de

Decisiones

basada

en

10. Optimizacin de costes de entrega del servicio

Interna

11. Optimizacin de la funcionalidad de los procesos de

negocio

12. Optimizacin de los costes de los procesos de

negocio

13. Programas gestionados de cambio en el negocio

14. Productividad operacional y de los empleados

S
S

15. Cumplimiento con las polticas internas

Aprendizaje y 16. Personas preparadas y motivadas
Crecimiento
17. Cultura de innovacin de producto y negocio

P
S

7 de 13

3. Mapear los objetivos del Negocio con los objetivos de TI con una de las
perspectivas de CMI (financiera, clientes, interna, aprendizaje y crecimiento)
Objetivos de las TI
Dimensin del CMI TI
1
2
3
Financiera

4
5

Cliente

Transparencia de los costes, beneficios y riesgos de las TI

7
8
9

14
15

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Uso adecuado de aplicaciones, informacin y soluciones tecnolgicas
Agilidad de las TI
Seguridad de la informacin, infraestructura de procesamiento y
aplicaciones
Optimizacin de activos, recursos y capacidades de las TI
Capacitacin y soporte de procesos de negocio integrando aplicaciones
y tecnologa en procesos de negocio
Entrega de Programas que proporcionen beneficios a tiempo, dentro del
presupuesto y satisfaciendo los requisitos y normas de calidad.
Disponibilidad de informacin til y relevante para la toma de decisiones
Cumplimiento de las polticas internas por parte de las TI

16

Personal del negocio y de las TI competente y motivado

17

Conocimiento, experiencia e iniciativas para la innovacin de negocio

11
12
13

Aprendizaje y
Crecimiento

Objetivos de TIC's
Universidad

Alineamiento de TI y estrategia de negocio

Cumplimiento y soporte de la TI al cumplimiento del negocio de las
leyes y regulaciones externas
Compromiso de la direccin ejecutiva para tomar decisiones
relacionadas con TI
Riesgos de negocio relacionados con las TI gestionados
Realizacin de beneficios del portafolio de Inversiones y Servicios
relacionados con las TI

10

Interna

Objetivo de Informacin y Tecnologa relacionada

X
X

8 de 13

4. Mapear los objetivos de TI con los procesos de CobIT 5.0 (Anexo C)

Objetivos de TICs:
Mapeo entre Objetivos relacionados con TI en COBIT 5 con procesos

Procesos de COBIT 5

Entrega de
servicios de TI de
acuerdo a los
requisitos del
negocio

Uso adecuado de
aplicaciones,
informacin y
soluciones tecnolgicas

07

08

Evaluar,
Orientar y
Monitorizar

APO02

Asegurar el Establecimiento y Mantenimiento

del Marco de Gobierno
Asegurar la Entrega de Beneficios
Asegurar la Transparencia hacia las partes
interesadas
Gestionar la Estrategia

APO04

Gestionar la Innovacin

APO08

Gestionar las Relaciones

APO09

Gestionar los Acuerdos de Servicio

APO10

Gestionar los Proveedores

Construccin,
Adquisicin e
Implementacin

EDM01

Alinear, Planificar
y Organizar

Cliente

EDM02
EDM05

P
P
P
P

APO11 Gestionar la Calidad

BAI02

Gestionar la Definicin de Requisitos

Gestionar la Identificacin y la Construccin
de Soluciones

Gestionar la Disponibilidad y la Capacidad

Gestionar la introduccin de Cambios
Organizativos
Gestionar los Cambios
Gestionar la Aceptacin del Cambio y de la
Transicin
Gestionar las Operaciones
Gestionar las Peticiones y los Incidentes del
Servicio
Gestionar los Problemas

Gestionar la Continuidad
Gestionar los Controles de los Procesos del
Negocio

BAI03
BAI04
BAI05
BAI06
BAI07

Entregar, dar
Servicio y Soporte

DSS01
DSS02
DSS03
DSS04
DSS06

P
P
P
P
P
P

9 de 13

5. Mapear procesos de CobIT con riesgos identificados

Nro.

Riesgo

Incidente/ problema identificado

Proceso relacionado
COBIT 5.0

RT1

Inadecuado o
inexistente gestin de
capacidades

Insuficiente personal para dar soporte en horario no

laboral y en fines de semana.

APO07 Administracin
de Recurso humano

RT2

Inexistente o
inadecuada
homologacin y
estandarizacin de
Base de Datos de la
Gestin de
Configuracin),

Existen 4 Motores de Bases de Datos funcionando en los

diferentes desarrollos de los mdulos del sistema de
Gestin Acadmica de la Universidad, no existe una
arquitectura de software homologada y no existe soporte
para aplicaciones libres.

BAI 06 Administracin
de Cambio

RT3

No se cuenta con
alineamiento
estratgico con el
negocio

El rea de sistemas no cuenta con un Plan Estratgico de

Tecnologas

EDM 01
de Gobierno

RT4

Inexistente o
inadecuada gestin de
incidentes y de
problemas

Se han producido saturacin y prdida eventuales del

servicio (Acceso a la plataforma virtual de aprendizaje)
aproximadamente 2 veces al mes los cuales no estn
debidamente documentados.

DSS02
Administrar las
soluciones de servicios y
los incidentes

RT5

Inadecuada o
inexistente
Segregacin de
Funciones y
capacidades

La falta de personal en horarios pico entre semana el

personal encargado de desarrollo del aplicativo colabora
en la administracin y creacin de usuarios en el aplicativo
segn el nmero de peticiones e incidentes registrados.

APO07
Administrar el recurso
humano

RT6

Inadecuado gestin de
seguridad de la
informacin

En el ltimo semestre de diferentes grupos de estudiantes

se registraron reclamos de diferentes grupos de
estudiantes que reportaron inconsistencias entre las notas
fsicas obtenidas y las notas reportadas en el sistema de
calificaciones de la Universidad. El encargado de base de
datos acudi a uno de sus ltimos respaldos almacenado
en el servidor de produccin para verificar este incidente,
el mismo que gener un informe donde concluye que ha
existido una manipulacin no autorizada de los datos
dentro de la base en cierta fecha y hora, sin poder
identificar el responsable y para apoyar a la solucin
sugiri realizar la verificacin y actualizacin de notas de
forma manual.

DSS05
Administrar los servicios
de seguridad

RT7

Inadecuada gestin de
proveedores y niveles
de acuerdos de servicio

La institucin cuenta con un solo proveedor que brinda los

servicios de internet, que se renueva de manera peridica
con las mismas condiciones y consideraciones cada ao,
el contrato contempla los productos y servicios a recibir
por parte de la entidad contratada y las multas
correspondientes por incumplimiento de contrato, no se
considera tiempos de respuesta en el caso de incidentes
de prestacin del servicio contratado.

APO09
Gestin de Proveedores

RT8

Inexistente control de
accesos y gestin de
activos

Por otra parte se cuenta con servidores de produccin y

desarrollo adquiridos hace seis aos en un rack de piso
ubicado en rea de sistemas con acceso a todo el
personal que ingrese al el rea de sistemas, que es
administrado por el encargado de infraestructura el cual
cuando toma sus vacaciones el jefe del rea delega las
funciones al personal disponible en ese momento.

BAI09
Gestin de activos

Marco

6. Alinear procesos de CobIT con ITIL

10 de 13

ED M

The seven-step improvement process

Service Reporting

M ejo r a

Access management

Problem management

Request fulfilment

Incident management

Event management

Knowledge management

Op er aci n

Change evaluation

Service validation and testing

Release and deployment management

management

Change management
Service asset and configuration

Transition planning and support

Supplier management

Information security management

T r ansici n

IT service continuity management

Capacity management

Availability management

Service Level Mgmt

Service catalogue management

Design coordination

D iseo

Business relationship management

Demand management

Financial management for IT services

Service portfolio management

ITIL Edition 2011 - COBIT 5

Mapping Governance of Enterprise IT
(APO) (BAI) (DSS) (MEA)

Strategy management for IT services

Est r at eg ia

E v a lua r, O rie nt a r y S upe rv is a r

E D M 0 1 A segurar el Establecimiento y M antenimiento del M arco

de Go bierno
E D M 0 2 A segurar la Entrega de B eneficio s

E D M 0 3 A segurar la Optimizaci n del Riesgo

E D M 0 4 A segurar la Optimizaci n de lo s Recurso s

E D M 0 5 A segurar la Transparencia hacia las P artes Interesadas

AP O

A line a r, P la nif ic a r y O rga niza r

A P O 0 1 Gestio nar el M arco de Gesti n de TI

A P O 0 2 Gestio nar la Estrategia

x
x

A P O 0 3 A dministrar la A rquitectura Empresarial

A P O 0 4 Gestio nar la Inno vaci n
A P O 0 5 Gestio nar la Cartera

A P O 0 6 Gestio nar el P resupuesto y lo s Co stes

x
x

A P O 0 7 Gestio nar lo s Recurso s Humano s

A P O 0 8 Gestio nar las Relacio nes

A P O 0 9 Gestio nar lo s A cuerdo s de Servicio

x
x

x
x

A P O 10 Gestio nar lo s P ro veedo res

A P O 11 Gestio nar la Calidad

A P O 12 Gestio nar el Riesgo

x
x

A P O 13 Gestio nar la Seguridad

BAI

C o ns t ruir, A dquirir e Im ple m e nt a r

B A I0 1 Gestio nar lo s P ro gramas y P ro yecto s

B A I0 2 Gestio nar la Definici n de Requisito s

B A I0 3 Gestio nar la Identificaci n y la Co nstrucci n de So lucio nes

B A I0 4 Gestio nar la Dispo nibilidad y la Capacidad

B A I0 5 Gestio nar la Hbilitaci n del Cambio Organizativo

B A I0 6 Gestio nar lo s Cambio s
B A I0 7 Gestio nar la A ceptaci n del Cambio y de la Transici n

x
x

B A I0 8 Gestio nar el Co no cimiento

x
x

B A I0 10 Gestio nar la Co nfiguraci n

E nt re ga r, da r S e rv ic io y S o po rt e

D S S 0 1 Gestio nar las Operacio nes

D S S 0 2 Gestio nar las P eticio nes y lo s Incidentes del Servicio

D S S 0 3 Gestio nar lo s P ro blemas

D S S 0 4 Gestio nar la Co ntinuidad
D S S 0 5 Gestio nar lo s Servicio s de Seguridad
D S S 0 6 Gestio nar lo s Co ntro les de lo s P ro ceso s de la Empresa

M EA

x
x

B A I0 9 Gestio nar lo s A ctivo s

D SS

x
x

x
x
x

S upe rv is a r, E v a lua r y V a lo ra r

M E A 0 1 Supervisar,Evaluar y Valo rar Rendimiento y Co nfo rmidad

M E A 0 2 Supervisar, Evaluar y Valo rar el Sistema de Co ntro l Interno
M E A 0 3 Supervisar, Evaluar y Valo rar la Co nfo rmidad co n lo s Requerimiento s Externo s

x
x
x

11 de 13

7. Conclusiones y recomendaciones
Con base en el anlisis de riesgos realizado y la alineacin de los procesos de la institucin
con TICs, se ha detectado que a pesar de poseer procesos definidos y controles
implementados, stos cuentan con oportunidades de mejora de acuerdo a las siguientes
recomendaciones:
7.1 Al Consejo Directivo:

Disponer al Rector la respectiva coordinacin con Talento Humano y TICs la evaluacin

del personal responsable de la seguridad de la informacin, y de ser el caso, la
contratacin de nuevo personal mnimo para realizar una adecuada segregacin de
funciones y de esta manera proporcionar un enfoque estructurado para garantizar una
ptima estructuracin, ubicacin, capacidades de decisin y habilidades de los recursos
humanos. Esto incluye la comunicacin de las funciones y responsabilidades definidas,
la formacin y planes de desarrollo personal y las expectativas de desempeo, con el
apoyo de gente competente y motivada. (APO07)

Proponer una nueva estructura de la institucin donde exista Una Direccin de

Tecnologas de la Informacin alineada a los objetivos de la institucin.

7.2 Al Jefe de la Unidad de Sistemas:

Coordinar con el personal de Infraestructura y con el personal de Desarrollo la
Implementacin de controles para proteger la informacin de la empresa para mantener
aceptable el nivel de riesgo de seguridad de la informacin de acuerdo con una poltica de
seguridad.
Establecer y mantener los roles de seguridad y privilegios de acceso de la informacin y
realizar la supervisin de la seguridad.
Controles recomendados:
DSS05.01 Proteger contra software malicioso (malware): Implementar y mantener
efectivas medidas, preventivas, de deteccin y correctivas (especialmente parches de
seguridad actualizados y control de virus) a lo largo de la empresa para proteger los
sistemas de informacin y tecnologa del software malicioso (por ejemplo, virus, gusanos,
software espa spyware- y correo basura).
DSS05.02 Gestionar la seguridad de la red y las conexiones: Utilizar medidas de
seguridad y procedimientos de gestin relacionados para proteger la informacin en todos
los modos de conexin.
DSS05.04 Gestionar la identidad del usuario y el acceso lgico: Asegurar que todos los
usuarios tengan derechos de acceso a la informacin de acuerdo con los requerimientos de
negocio y coordinar con las unidades de negocio que gestionan sus propios derechos de
acceso con los procesos de negocio.
DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la
seguridad: Usando herramientas de deteccin de intrusiones, supervisar la infraestructura
para detectar accesos no autorizados y asegurar que cualquier evento est integrado con la
supervisin general de eventos y la gestin de incidentes.
7.3 Al Jefe de la Unidad de Sistemas coordinar con el Personal de Soporte la
implementacin de controles para proveer una respuesta oportuna y efectiva a las peticiones
de usuario y la resolucin de todo tipo de incidentes. Recuperar el servicio normal; registrar
12 de 13

y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver

incidentes.
Controles recomendados:
DSS02.01 Definir esquemas de clasificacin de incidentes y peticiones de servicio.
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.
DSS02.04 Investigar, diagnosticar y localizar incidentes.

13 de 13