Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Certificacin:
En mi calidad de Director del Proyecto: Auditora de tecnologa a la Mesa de Ayuda
utilizando COBIT 4.1, en el Consejo de la Judicatura, DMQ, realizada por Ing. Mnica
Romero y Ing. Valeria Salao, para optar por el ttulo de Magister en Evaluacin y
Auditora en Sistemas Tecnolgicos, CERTIFICO, que dicho proyecto ha sido dirigido
y revisada peridicamente y cumple con las normas establecidas por la ESPE, en el
reglamento de estudiantes de posgrados y considero que rene los requisitos y los
mritos suficientes para ser sometida a la presentacin pblica y evaluacin por parte del
tribunal examinador que se designe .
Sangolqu, 04 de Abril del 2014.
ii
Declaramos que:
La tesis de grado titulada: Auditora de tecnologa a la Mesa de Ayuda utilizando
COBIT 4.1, en el Consejo de la Judicatura, DMQ
Ha sido desarrollada en base a una investigacin, respetando derechos intelectuales de
terceros, cuyas fuentes son citadas e incorporadas en la bibliografa, consecuentemente
este trabajo es de nuestra autora.
En virtud de esta declaracin, nos responsabilizamos del contenido, veracidad y alcance
cientfico de esta tesis
iii
Autorizacin:
iv
DEDICATORIA
Mnica
DEDICATORIA
A Dios, a mi familia y a todas las personas que con su apoyo da a da hicieron posible la
realizacin de este proyecto.
Valeria
vi
AGRADECIMIENTO
Sobre todo al Director de nuestra tesis el Ing. Nikolay Trujillo MBA, por su paciencia y
ayuda.
vii
NDICE GENERAL
CERTIFICACIN...i
DECLARACIN DE AUTORA DEL ESTUDIANTE.......ii
AUTORIZACIN.iii
DEDICATORIA.......iv
AGRADECIMIENTO..........vi
NDICE GENERAL....vii
NDICE DE TABLAS..........xi
NDICE DE ILUSTRACIONES..xii
RESUMEN..xiii
EXECUTIVE SUMMARY......xv
1.1 Introduccin....1
1.2 Justificacin e Importancia.....2
1.3 Planteamiento del Problema...3
1.4 Formulacin del Problema.....4
1.4.1 Problema General...4
1.4.2 Problemas Especficos4
1.5 Alcance..5
1.6 Objetivo General...6
viii
2 MARCO TERICO......7
2.1 Antecedentes del Estado del Arte.......7
2.2 Conceptos de Auditora y Auditora Informtica.......9
2.3 Justificacin Del Uso Del Modelo De Referencia COBIT 4.1....10
2.4 reas De Enfoque Del Gobierno De TI.......11
2.5 Criterios De Informacin De COBIT.......12
2.6 Recursos De TI.........13
2.7 Marco De Trabajo Completo De COBIT........14
2.8 Marco conceptual........17
2.9 Metodologa de la Investigacin......18
2.9.1 Ubicacin geogrfica del proyecto de Investigacin........18
2.9.2 Mtodo de investigacin......19
ix
4 RESULTADOS...44
4.1 Informe de Auditora44
4.1.1 Informacin Introductoria.45
4.1.2 Evaluacin de la Mesa Integral de Ayuda54
4.1.3 Conclusiones Generales64
4.2 Anlisis de la Mesa Integral de Ayuda67
4.2.1 Anlisis de Capacidad de la Mesa de Ayuda del Consejo de la Judicatura..67
4.2.2 Poblacin de clientes.68
4.2.3 Sistema de Servicio...69
4.2.4 Disposicin de las instalaciones del servicio69
4.2.5 Regla de Prioridad70
4.2.6 Actividades y tiempos para la Mesa de Servicios.72
4.2.7 Marco de Habilidades para la Era de Informacin (SFIA)75
4.2.7.1 Propsito75
4.2.7.2 La estructura del SFIA76
4.2.7.3 Los niveles del SFIA..77
4.2.8 Tercer nivel de soporte para incidentes.78
4.2.9 Grupos solucionadores para requerimientos.81
4.2.10 Especialistas grupo de trabajo para incidentes82
4.2.11 Analista de Mesa de Servicios83
4.3 Competencias Tcnicas que requiere el personal....85
4.4 Evaluacin al Personal y Reuniones del Personal...85
CONCLUSIONES Y RECOMENDACIONES87
5.1 Conclusiones.87
5.2 Recomendaciones.88
BIBLIOGRAFA.90
xi
NDICE DE TABLAS
Tabla 1: Actividad y riesgo inherente ........................................................................ 22
Tabla 2: Informacin y/o documentacin preliminar ................................................ 26
Tabla 3: Evaluacin de los Sistemas3.4 Desarrollo De La Estrategia De Auditora . 27
Tabla 4: Informes de resultado y fechas de compromisos ......................................... 28
Tabla 5: Actividades y fechas de mayor importancia ................................................ 29
Tabla 6: Personal de Auditora Externa .................................................................... 37
Tabla 7: Personal Direccin Nacional de TICs Consejo de la Judicatura ............. 37
Tabla 8: Programa de Auditora. ................................................................................ 38
Tabla 9: Lneas de Espera .......................................................................................... 70
Tabla 10: Rol Mesa de Servicio. ................................................................................ 71
Tabla 11: Actividades y Tiempos Mesa de Ayuda .................................................... 72
Tabla 12: Tercer Nivel de Soporte para Incidentes .................................................... 78
Tabla 13: Analista de Mesa de Servicio ..................................................................... 83
xii
NDICE DE ILUSTRACIONES
Ilustracin 1: Gobierno de TI ..................................................................................... 11
Ilustracin 2: Marco de trabajo completo COBIT. .................................................... 15
Ilustracin 3: Estructura Orgnico Funcional Consejo de la Judicatura .......... 32
Ilustracin 4: Orgnico Direccin Nacional de TICs. .............................................. 34
Ilustracin 5: Proceso de Soporte............................................................................... 36
Ilustracin 6: Cronograma ...................................................................................... 41
Ilustracin 7: Nmero de Filas ................................................................................... 68
Ilustracin 8: Cronograma de Auditora. .................. Error! Marcador no definido.
xiii
LISTADO DE ANEXOS
xiv
NOMENCLATURA UTILIZADA
xv
RESUMEN
xvi
ABSTRACT
The project conducted evaluated the proper performance of the Integral Helpdesk
Council of the Judiciary, and implement best practices to be established in the
management of this a Computer IT Audit was performed using the COBIT 4.1
framework, assessing the domain give Support through target control DS8, addressing
topics: service Desk Log, client consultation, incident escalation, Closing incidents and
trend analysis that allowed it to assess how the administration is developing the Help
Desk and Incidents.Critical processes that handles the Help Desk were determined,
which allowed us to determine the risks leading to the development of a field study to
demonstrate the weaknesses of the Help Desk. Through the COBIT Framework and
instruments used to assess the Help Desk and Incident Judicial Council,
recommendations based on the criterion of best practices proposed COBIT IT yet.
Reports detailing the critical findings affecting management Help desk and incidents,
and a final audit report with the main findings of the evaluation were presented on. This
review will allow better manage the Help Desk managed by the National ICT Council of
the Judiciary.
KEY WORDS: Audit, Informatics, COBIT, help desk.
CAPITULO I
Introduccin
El 24 de septiembre del 2012 el Consejo de la Judicatura y en particular la
Justificacin e Importancia
Justificacin Terica.- El uso de estndares de Tecnologas de Informacin para
evaluacin de los mismos; que se utilizarn para cumplir con los objetivos que se buscan
en este proyecto.
Justificacin Prctica.- Con este proyecto se buscar medir el grado de eficiencia o
madurez de los servicios ofertados por la Mesa Integral de Ayuda: que son las posibles
causas de los problemas actuales. Se espera lograr un mejor control de los procesos de
dar soporte para optimizar el uso de los recursos de TI. Con los resultados obtenidos se
emitir un informe de recomendacin para mejorar el grado de satisfaccin de los
clientes, a travs de mejores tiempos de entrega.
1.3
El Consejo de la Judicatura
Administracin de la
Judicatura?
1.5
Alcance
Objetivo General
Realizar una auditora de tecnologa basada en COBIT 4.1, aplicada al proceso DS8
para identificar debilidades y emitir recomendaciones que permitan mejorar la
administracin de la mesa de ayuda en la Direccin de Informtica del Consejo de la
Judicatura.
1.7
Objetivos Especficos
CAPITULO II
MARCO TERICO
2.1.1 Antecedentes del Estado del Arte
Hoy en da las empresas dependen de las Tecnologas de la Informacin para su
correcto funcionamiento y desempeo. Grandes sumas de dinero ha sido y seguirn
siendo invertidas en cuanto a tecnologa se refiere, con el nico objetivo de tener una
empresa ms eficiente, eficaz y segura. Debido a todo este crecimiento, se han creado
varias normas y estndares que permiten alinear los objetivos de la empresa con los
objetivos del rea de tecnologa. Estas normas y estndares son adems un marco
referencial para lograr que las diferentes reas de TI alcancen la eficiencia, eficacia y el
menor consumo de recursos que sea posible.
COBIT est diseado para ser utilizado por los propietarios de los procesos del
negocio de una manera fcil y entendible, con este antecedente COBIT espera que los
dueos de los procesos tengan una actitud responsable fundamentalmente para
proporcionar controles adecuados. (Arteaga, 2012)
Actualmente el Ecuador cuenta con un marco regulatorio y normativo reducido en
materia informtica, es por ello que las normas y organizaciones internacionales ms
relevantes en este mbito no han sido objeto de anlisis, sino que se ha tomado como
referencia para el estudio realizado. Las organizaciones ms importantes son: The
Institute of Internal Auditors (IIA), e Information System Audit and Control Association
(ISACA). (Quintua, 2012)
Estas instituciones han elaborado varios estndares y normas para que los
lineamientos y polticas dentro de las instituciones tengan un marco de referencia y
control. Dentro de estos tenemos: COBIT, ITIL, y la familia de ISO 27000.
Segn la Constitucin del Ecuador, la Contralora General del Estado (CGE) es el
organismo tcnico superior de control, con autonoma administrativa, presupuestaria y
financiera, tendr atribuciones para controlar ingresos, gastos, inversin, utilizacin de
recursos, administracin y custodia de bienes pblicos. Realizar auditoras de gestin a
las entidades y organismos del sector pblico y sus servidores, y se pronunciar sobre la
legalidad, transparencia y eficiencia de los resultados institucionales. (Ecuanex)
La Contralora General del Estado posee una serie de Normas de Control Interno en
las cuales se encuentran normados los procedimientos y controles para el rea de
Sistemas de Informacin Computarizados. Estas normas se deben cumplir a cabalidad
para poder dar cumplimiento a las funciones otorgadas en la ley.
La normativa que rige el desarrollo de la auditora gubernamental en el sector pblico
se encuentra dada por las Normas Ecuatoriana de Auditora Gubernamental (NEAG)
emitidas por la Contralora General del Estado, las mismas que se fundamentan en las
Normas Auditora Generalmente Aceptadas (NAGA) y las Normas Ecuatorianas de
Auditora (NEA), que son de aplicacin y cumplimiento obligatorio por parte de los
auditores de la Contralora General del Estado, los auditores internos de las entidades
pblicas y los profesionales de las firmas privadas contratadas de auditora, cuando sean
designados o contratados por el Organismo Tcnico Superior de Control para efectuar la
auditora gubernamental. (Estado)
10
11
COBIT 4.1, satisface las necesidades que tiene la organizacin en lo referente a las TI
de la siguiente manera:
Ilustracin 1: Gobierno de TI
Fuente: COBIT 4.1
2.1.4 reas De Enfoque Del Gobierno De TI
Alineacin Estratgica: Se enfoca en garantizar la alineacin entre los planes de
negocio y de Tl; en definir, mantener y validar la propuesta de valor de Tl; y en alinear
las operaciones de Tl con las operaciones de la empresa. (Institute)
Entrega de valor: Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo
de entrega, asegurando que Tl genere los beneficios prometidos en la estrategia,
concentrndose en optimizar los costos y en brindar el valor intrnseco de Tl. (Institute)
12
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos
criterios de control, los cuales son referidos en COBIT como requerimientos de
informacin del negocio. Con base en los requerimientos ms amplios de calidad,
fiduciarios y de seguridad, se definieron los siguientes siete criterios de informacin:
13
La efectividad tiene que ver con que la informacin sea relevante y pertinente a
los procesos del negocio, y se proporcione de una manera oportuna, correcta,
consistente y utilizable.
La eficiencia consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
La confidencialidad se refiere a la proteccin de informacin sensible contra
revelacin no autorizada. (Cevallos, 2003)
La integridad est relacionada con que la informacin sea precisa y exacta, as
como con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin concierne
a la proteccin de los recursos y las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales, a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como polticas internas.
La confiabilidad se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
2.1.6 Recursos De TI
14
15
16
ADQUIRIR E IMPLEMENTAR
17
MONITOREAR Y EVALUAR
18
19
a) Aplicativo
Permitir aplicar los conocimientos tericos, buscando evidenciar el
funcionamiento de la
20
Metodologa tcnica
Para la ejecucin de este trabajo se utiliza la metodologa ABR (Auditora en
base a riesgos), se fundamenta en el estndar internacional COBIT 4.1 y se
desarrolla en las siguientes etapas:
Planeacin de la Auditora.
Desarrollo de la Auditora.
21
CAPITULO III
22
CRITERIO
Mesa
de
Servicios
ACTIVIDAD
RIESGO INHERENTE
IMPACTO
Se ha establecido
la funcin de mesa
de servicio?
Existe una conexin
del usuario con TI,
para
registrar,
comunicar, atender y
analizar todas las
llamadas, incidentes
reportados,
requerimientos
de
servicio y solicitudes
de informacin?
MODERADO
Que TI no pueda
registrar, comunicar,
atender y analizar
todas las llamadas,
incidentes reportados,
requerimientos
y
solicitudes
de
informacin.
MODERADO
Falta de priorizacin
de los incidentes o
problemas.
EXTREMO
Que no se cumplan
con
los
SLAs
establecidos
EXTREMO
Que no se pueda
medir la satisfaccin
del usuario final.
ALTO
MODERADO
Existen
procedimientos de
monitoreo
y
escalamiento
basados
en
los
niveles de servicio
acordados en los
SLAs, que permitan
clasificar y priorizar
cualquier problema
reportado
como
incidente, solicitud
de
servicio
o
solicitud
de
informacin?
Se puede medir la
satisfaccin
del
usuario
final
respecto a la calidad
de la mesa de
servicios y de los
servicios de TI?
Continua
23
Se estableci una
funcin y sistema
que
permita
el
registro y rastreo de
llamadas, incidentes,
solicitudes
de
servicio
y
necesidades
de
informacin?
Registro
de
Consultas
de
Clientes
Se puede trabajar
estrechamente con
los procesos de
administracin
de
incidentes,
administracin
de
problemas,
administracin
de
cambios,
administracin
de
capacidad
y
administracin
de
disponibilidad?
Que no exista un
eficiente registro y
rastreo de solicitudes
de
servicio
y
necesidades
de
informacin.
ALTO
Que no exista un
eficiente registro y
rastreo de llamadas e
incidentes.
MODERADO
Que no se pueda
trabajar de manera
conjunta
con
los
procesos
de
administracin
de:
incidentes, problemas,
cambios, capacidad y
disponibilidad.
MODERADO
Falta de priorizacin
de los incidentes de
Los
incidentes acuerdo al negocio.
deben clasificarse de
acuerdo al negocio y Que los incidentes no
a la prioridad del sean direccionados al
servicio y enrutarse equipo
de
al
equipo
de administracin
administracin
de adecuado.
problemas apropiado
y se debe mantener Que no se tenga
informados a los informado
a
los
clientes sobre el clientes
sobre
el
estatus
de
sus estado
de
las
consultas?
consultas.
ALTO
EXTREMO
BAJO
24
Se han establecido
procedimientos de
mesa de servicios de
manera
que los
incidentes que no
puedan resolverse de
forma
inmediata
sean
escalados
apropiadamente de
acuerdo con los
lmites acordados en
el SLA y, si es
adecuado,
brindar
soluciones alternas?
Escalamiento Se puede garantizar
de Incidentes que la asignacin de
incidentes
y
el
monitoreo del ciclo
de vida permanecen
en la mesa de
servicios,
independientemente
de que grupo de TI
este trabajando en
las actividades de
resolucin?
Cierre
de Se han establecido
procedimientos para
Incidentes
el monitoreo puntual
de la resolucin de
consultas de los
clientes?
Cundo se resuelve
el incidente la mesa
de servicios debe
registrar la causa
raz, si la conoce, y
confirmar que la
accin tomada fue
acordada con el
cliente?
Falta de un apropiado
escalamiento
de
incidentes de acuerdo
a los SLA.
Que no
brindar
externas.
ALTO
se pueda
soluciones
BAJO
Que no se
garantizar
asignacin
incidentes.
pueda
la
de
MODERADO
Que no se pueda
monitorear el ciclo de
vida de los incidentes.
MODERADO
BAJO
Que no se monitoreen
adecuadamente
la
resolucin
de
incidentes hasta su
cierre definitivo.
ALTO
Que se resuelva el
problema pero que no
se confirme la causa
raz.
EXTREMO
Que
se
tomen
soluciones sin estar de
acuerdo con el cliente.
MODERADO
25
Anlisis
de Se han emitido
reportes
de
la
Tendencias
actividad de la mesa
de servicios para
permitir a la gerencia
medir el desempeo
del servicio y los
tiempos
de
respuesta, as como
para
identificar
tendencias
de
problemas
recurrentes de forma
que el servicio pueda
mejorarse de forma
continua?
Que la gerencia no
tengan reportes de la
actividad de la mesa
de servicios.
MODERADO
Que no se pueda
medir el desempeo
del servicio.
MODERADO
Que no se pueda
medir los tiempos de
respuesta.
BAJO
Que no se tenga un
reporte de problemas
recurrentes.
ALTO
Que el servicio no
tenga
mejora
continua.
EXTREMO
MODERADO
26
No
Nombre
11
12
13
14
Modelo de Operaciones TI
Estructura de la Mesa de ayuda
Diseo Funcional
Administracin de Requerimientos
Diseo Funcional Administracin
de Incidentes
Diseo Funcional Administracin
de Problemas
Diseo Funcional Catlogo de
Servicios
Diseo Tcnico Administracin de
Requerimientos
Diseo Tcnico Administracin de
Incidentes
Diseo Tcnico Administracin de
Problemas
Diseo Tcnico
Catlogo de
Servicios
Manual de Usuario
Memorias tcnicas
Matriz de Requerimientos
SLA
15
16
OLA
Polticas
1
2
3
4
5
6
7
8
9
10
Existe
Observacin
SI
NO
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Existen pero
no
estn
firmados
X
X
27
No
1
Nombre
rea
HP SM Hewlett Packard Soporte
Service Manager
Operaciones TI
Observacin
u Software
que
automatiza
las
funciones de la
Mesa Integral de
Ayuda.
28
PROGRAMA DE AUDITORA
EMPRESA:
Consejo de la Judicatura- Direccin Nacional de FECHA: 22 de mayo de 2013
Tecnologas de Comunicacin (TICs)
FASE
ACTIVIDAD
INFORMES
DAS
ESTIMADOS
Planeacin
No
existe
22
I
informe
Visita preliminar
Informe
de
1
II
hallazgos
Revisin detallada
No
existe
12
III
informe
Examen y evaluacin Informe
de
30
IV
de la informacin
documentacin
existente
y
observaciones
Pruebas
de Informe
de
5
V
cumplimiento
resultados
Pruebas sustantivas
Informe
de
7
VI
resultados
Evaluacin
del No
existe
12
VII
sistemas de acuerdo al informe
riesgo
Comunicacin
de Informe Final
7
VIII
resultados
Cronograma
de Informe
de
11
IX
cumplimiento
de Cumplimiento
recomendaciones
29
PROGRAMA DE AUDITORA
EMPRESA:
Consejo de la Judicatura- Direccin Nacional de Tecnologas
de Comunicacin (TICs)
FECHA:
22 de mayo de
2013
FASE
DAS
ESTIMADOS
1
15
ACTIVIDAD
Visita de planeacin
Iniciacin y terminacin de visitas para auditar los
sistemas
Iniciacin y terminacin de visitas para realizar
pruebas sustantivas
Presentacin de resultados
Visitas de seguimientos
Implementacin de recomendaciones
I
II
III
IV
V
VI
3.4
10
13
11
14
30
Misin
Visin
31
Principios Fundamentales
Idoneidad y probidad;
Imparcialidad e independencia;
Igualdad y equidad;
Vocacin de servicio;
Objetivos Estratgicos
Se han definido cinco objetivos estratgicos, sin orden jerrquico y/o de prelacin.
Los objetivos responden a favorecer y promover el acceso a la justicia y a desarrollar
una institucin moderna, tanto en su estructura, procesos y procedimientos:
32
SECRETARA GENERAL
AUDITORA INTERNA
PRESIDENCIA
ESCUELA DE LA FUNCIN
JUDICIAL
UNIDAD DE MONITOREO DE
COMPROMISOS
UNIDAD DE TRANSPARENCIA DE
GESTIN
DIRECCIN GENERAL
PROCESOS DE ADJETIVOS
Subdireccin Nacional de
Planificacin e Inversin
Subdireccin de Informacin y
Promocin Institucional
Subdireccin Nacional de
Asesora y Normativa
Subdireccin Nacional de
Gestin de Estadstica
Subdireccin De Comunicacin
Org anizacional e Identidad
Institucional
Subdireccin Nacional de
Patrocinio
Subdireccin Nacional de
Seg uimiento y Evaluacin
Direccin Nacional de
Control
Subdireccin Nacional de
Gestin y Modernizacin
Subdireccin Nacional de
Desarrollo de los Sistemas
Tcnicos de Talento Humano
Subdireccin Nacional de
Control de Gestin
Subdireccin Nacional de
Estudios y Diseos
Subdireccin Contabilidad
Subdireccin Nacional de
Servicios Generales
Subdireccin Nacional de
Derechos Humanos
Subdireccin Nacional de
Administracin de Talento
Humano
Subdireccin Nacional de
Control Disciplinario
Subdireccin Nacional de
Ejecucin de Obras
Subdireccin Presupuesto
Subdireccin Nacional de
Activos fijos y Almacn
Subdireccin Nacional de
Fiscalizacin
Subdireccin Tesorera
Subdireccin Nacional de
Gnero
Subdireccin Nacional de
Sistemas de Informacin
Subdireccin Nacional de
Infraestructuras Tecnolg icas
Subdireccin Nacional de
Operaciones, Mantenimiento y
Proveedura
Subdireccin Nacional de
Seg uridad de la Informacin
Subdireccin Nacional de
Acceso al Servicio Judicial
Subdireccin Nacional de
Gestin Procesal Penal
33
34
35
El Proceso de Soporte
Con relacin al proceso de Soporte, es importante centralizar el acceso de los
usuarios, as como usar los monitores propios de la infraestructura y escalar la solucin,
segn sea el caso, a un segundo o tercer nivel de acuerdo a las necesidades. Se muestra
un esquema a continuacin.
36
El Soporte de Tercer Nivel est dado por especialistas que atienden problemas
especiales escalados del Segundo Nivel, que se adscriben a las Jefaturas o Asistencias
correspondientes (Aplicaciones, Redes y Telecomunicaciones, Seguridades, Data
Center) a nivel nacional o local.
37
No
1
2
38
39
procesos
Verificar el reporte del escalamiento
de incidentes y las resoluciones y los
procedimientos
de
manejo
de
demanda para el progreso hacia la
resolucin o terminacin.
Verificar el estado de las consultas y
su aprobacin por parte del cliente
Verificar el registro de incidentes que
no
han
sido
solucionados
internamente.
Comprobar la existencia de un reporte
con las soluciones outsourcing.
3. Escalamiento de Incidentes:
verificar los tickets de asignacin de
incidentes
verificar los tickets del ciclo de vida
de incidente
Comprobar que los incidentes se
mantengan en la mesa de servicios
hasta su cierre definitivo.
4. Cierre de Incidentes:
Verificar con los usuarios afectados
que la solicitud de servicio se ha
cumplido satisfactoriamente o que el
incidente
ha
sido
resuelto
satisfactoriamente.
Verificar el % de resoluciones en
primera lnea de atencin con base en
el total de peticiones
Verificar el % de incidentes reabiertos
Comprobar el registro de soluciones
tomadas.
Verificar el cierre de las solicitudes de
servicio e incidentes y la aceptacin
de los clientes.
40
5. Anlisis de Tendencias:
Comprobar los reportes de la actividad
de la mesa de ayuda.
Identificar la frecuencia de los
reportes emitidos hacia la alta gerencia
Comprobar el registro de desempeo
del servicio
Verificar la velocidad promedio para
responder a las peticiones
Verificar el reporte de problemas
recurrentes
Comprobar si existe una correcta
definicin de modelos de incidentes de
errores conocidos que permitan la
resolucin eficiente y eficaz.
Comprobar el reporte de problemas
recurrentes con las soluciones dadas
Analizar la clasificacin de las
solicitudes de servicio e incidentes,
identificando tipo y categora.
Revisar el registro de identificacin de
tendencias
Indicar el manejo de criterios de
priorizacin para la inscripcin
problema, para asegurar enfoques
coherentes para la manipulacin,
informando a los usuarios sobre la
realizacin y anlisis de tendencias.
PREPARADO POR:
Ing. Mnica Romero Pazmio
Ing. Valeria Salao Gavilnez
REVISADO POR:
Ing. Nikolay Trujillo
41
3.8 Cronograma
ID
Task Name
Duration
86 days?
Planificacin Preliminar
3
4
Start
01 Sep '13
08 Sep '13
15 Sep '13
22 Sep '13
29 Sep '13
M T W T F S S M T W T F S S M T W T F S S M T W T F S S M T W T F S
Mon 02/09/13
Conocimiento Preliminar
Planificacin Especfica
6 days?
Fri 13/09/13
Fri 13/09/13
Memorando
2 days?
Plan de Auditoria
Ejecucin
Papeles de Trabajo
10
Informe
11
12
13
Seguimiento
14
Mon 23/09/13
Thu 21/11/13
10 days?
Thu 28/11/13
Ilustracin 6: Cronograma
Fuente: Elaborado por las autoras.
42
Anexo F
b) Cuestionarios
Cuestionario de Satisfaccin usuario final Mesa Integral de Ayuda. Consejo de la
Judicatura.
Anexo G
c) Lista de Verificacin
Se realiz una lista de verificacin a ciertos funcionarios
d) Matriz de Riesgo
El mtodo de muestreo para poder realizar la auditora fue establecida de acuerdo al
criterio del auditor.
Anexo D
43
CAPITULO IV
RESULTADOS
4.1 Informe de Auditora
Consejo de la Judicatura
Referencia: AU-EXT-01-2013
AUDITORA DE TECNOLOGA A LA MESA DE AYUDA DEL CONSEJO DE
LA JUDICATURA UTILIZANDO COBIT 4.1
Perodo de Revisin: Mayo/01/2013 Noviembre/30/2013
Distribucin del Informe de Auditora:
Para: Director Nacional de Tecnologa
Consejo de la Judicatura.
Cc:
Subgerente de Servicios TI
Gestor de Requerimientos
Gestor de Incidentes
Gestor de Problemas
44
Auditor Responsable:
Ing. Mnica Romero
Ing. Valeria Salao
CAPITULO I
4.1.1 Informacin Introductoria
1. OBJETIVOS
Evaluar el grado de cumplimiento en que los procesos informticos, polticas y
procedimientos de la Direccin Nacional de Tecnologa y Comunicacin (DNTICS)
han sido desarrollados y son aplicados utilizando las mejores prcticas establecidas en
ITIL para la gestin de Servicios, en especial a la Administracin de la Mesa de Ayuda e
Incidentes.
45
2. ALCANCE
La auditora de tecnologa a la Mesa de Ayuda de la Direccin de Informtica cubri
el perodo comprendido entre el 1 de mayo y el 30 de noviembre de 2013, y se enfoc
en la evaluacin del proceso DS8 que comprende los siguientes objetivos de control:
mesa de servicio, registro de consulta de clientes, escalamiento de incidentes, cierre de
incidentes y anlisis de tendencias. Tambin incluy la documentacin de los
procedimientos, polticas y prcticas informticas llevadas a cabo por la Direccin
Nacional de Tecnologa de la Informacin y Comunicaciones (TIC) del Consejo de la
Judicatura, para realizar la Auditora:
3. ESTRUCTURA ORGNICA
La estructura orgnica vigente en el Consejo de la Judicatura a la fecha de nuestra
revisin es como sigue:
46
SECRETARA GENERAL
AUDITORA INTERNA
PRESIDENCIA
ESCUELA DE LA FUNCIN
JUDICIAL
UNIDAD DE MONITOREO DE
COMPROMISOS
UNIDAD DE TRANSPARENCIA DE
GESTIN
DIRECCIN GENERAL
PROCESOS DE ADJETIVOS
Subdireccin Nacional de
Planificacin e Inversin
Subdireccin Nacional de
Asesora y Normativa
Subdireccin Nacional de
Gestin de Estadstica
Subdireccin De Comunicacin
Organizacional e Identidad
Institucional
Subdireccin Nacional de
Patrocinio
Subdireccin Nacional de
Seguimiento y Evaluacin
Direccin Nacional de
Contr ol
Subdireccin Nacional de
Gestin y Modernizacin
Subdireccin Nacional de
Desarrollo de los Sistemas
Tcnicos de Talento Humano
Subdireccin Nacional de
Derechos Humanos
Subdireccin Nacional de
Administracin de Talento
Humano
Subdireccin Nacional de
Control de Gestin
Subdireccin Nacional de
Estudios y Diseos
Subdireccin Nacional de
Servicios Generales
Subdireccin Nacional de
Control Disciplinario
Subdireccin Nacional de
Ejecucin de Obras
Subdireccin Presupuesto
Subdireccin Nacional de
Activos fijos y Almacn
Subdireccin Nacional de
Fiscalizacin
Subdireccin Tesorera
Subdireccin Nacional de
Operaciones, Mantenimiento y
Proveedura
Subdireccin Nacional de
Gnero
Subdireccin Nacional de
Sistemas de Informacin
Subdireccin Nacional de
Infr aestructuras Tecnolgicas
Subdireccin Nacional de
Seguridad de la Informacin
Subdireccin Nacional de
Acceso al Servicio Judicial
4. SERVIDORES RELACIONADOS
Subgerente de Servicios TI
Gestor de Requerimientos
Gestor de Incidentes
Gestor de Problemas
5. ANTECEDENTES
Uno de los objetivos fundamentales de la Direccin Nacional de Tecnologa es poner
a disposicin de los funcionarios los servicios y herramientas tecnolgicas, para as dar
un servicio eficaz y eficiente; para lo cual el sistema de Service Desk se convierte en la
herramienta til y necesaria para automatizar el soporte tcnico del rea de TI de manera
47
Judicatura, y en particular la
que consista en la
6. BASE LEGAL
La auditora se realiz basndose en la norma 410 - 13 de la Contralora General
del Estado, que menciona:
410-13 Monitoreo y evaluacin de los procesos y servicios Es necesario
establecer un marco de trabajo de monitoreo y definir el alcance, la
metodologa y el proceso a seguir para monitorear la contribucin y el
impacto de tecnologa de informacin en la entidad. La unidad de tecnologa
de informacin definir sobre la base de las operaciones de la entidad, indicadores
de desempeo y mtricas del proceso para monitorear la gestin y tomar los
correctivos que se requieran. La unidad de tecnologa de informacin definir y
48
7. DISPOSICIONES GENERALES
Se presentan las disposiciones generales con respecto a la Mesa de Ayuda para
el Consejo de la Judicatura a nivel nacional.
Modelo de Operaciones TI
49
Manual de Usuario
Memorias tcnicas
Matriz de Requerimientos
SLA
OLA
9. METODOLOGA
Para cumplir con los objetivos detallados anteriormente, se utiliz como marco de
referencia el modelo COBIT (Objetivos de Control para la Informacin y Tecnologas
relacionadas), que define los procesos informticos y las mejores prcticas de control
para garantizar los siguientes atributos o caractersticas que debe tener la informacin
que suministran los sistemas para el negocio: Eficiencia, efectividad, integridad,
confiabilidad, cumplimiento, disponibilidad y confidencialidad.
50
Fortalezas
Entre las principales fortalezas identificadas se puede anotar las siguientes:
51
Oportunidades.
Brindar una solucin sin que las personas salgan de su lugar de trabajo o de su
hogar.
Entregar una nueva opcin tecnolgica, eficiente y rpida para solventar los
constantes problemas tecnolgicos.
Debilidades
Poca Integracin a los funcionarios en la gestin del cambio de manera que sean
estos el soporte a los procesos y servicios TI que involucran a la institucin
52
continua de la
administrativos.
Amenazas
En la evaluacin a la mesa de servicios se detect las siguientes amenazas:
53
CAPTULO II
Objetivo Procesal: Haber firmado todos los contratos importantes tras completar la
Transicin del Servicio, y corroborar que se cumplan los Criterios de Aceptacin de
Servicio. Especficamente, en este proceso se trata de asegurar que todos los Acuerdos
de Nivel de Servicio (SLA) tenga la firma del cliente.
54
Recomendacin:
Judicatura para que una vez firmados y acordados los acuerdos de nivel de servicio sean
difundidos mediante una campaa informativa con las direcciones, departamentos y
funcionarios involucrados.
55
Responsables:
El Director nacional de TICs
Subgerente de Servicios TI
Direccin de Comunicacin Social.
Fecha tope:
06 de Junio de 2014
COBIT 4.1 plantea como uno de los objetivos de control de la Mesa de Servicios,
medir la satisfaccin del usuario final respecto a la calidad de la mesa de servicios y de
los servicios de TI.
56
Recomendacin:
Responsables:
Director nacional de TICs
Subgerente de Servicios TI
Direccin de Comunicacin Social.
Fecha tope:
05 de marzo del 2014
57
Actualmente el rea de TI, est gestionando solo dos procesos de la mesa integral de
ayuda que corresponden a Requerimientos e Incidentes, lo que ha ocasionado que los
procesos de: Administracin de problemas, administracin de cambios, capacidad y
disponibilidad estn siendo gestionados en un porcentaje mnimo o nulo.
Al no existir la debida relacin con estos procesos se tiene limitacin del trabajo
integral que debe tener la mesa de ayuda.
58
Recomendacin:
Responsables:
Director nacional de TICs
Subgerente de Servicios TI
Fecha tope:
15 de Enero del 2014
COBIT 4.1 enuncia que una mesa integral de ayuda debe contar con una correcta
gestin y administracin de problemas. Los incidentes deben clasificarse de acuerdo al
negocio y a la prioridad del servicio y enrutarse al equipo de administracin de
problemas apropiado y se debe mantener informados a los clientes sobre el estatus de
sus consultas.
59
Recomendacin:
60
Responsables:
Director nacional de TICs
Subgerente de Servicios TI
Fecha tope:
15 de Enero del 2014
Segn COBIT 4.1 se debe emitir reportes de la actividad de la mesa de servicios para
permitir a la gerencia medir el desempeo del servicio y los tiempos de respuesta, as
como para identificar tendencias de problemas recurrentes de forma que el servicio
pueda mejorarse de forma continua.
61
Recomendacin:
Responsables:
Director nacional de TICs
Subgerente de Servicios TI
Gestor de Requerimientos
Gestor de Incidentes
Fecha tope:
31 de Diciembre del 2014
62
Segn COBIT 4.1 se debe realizar el anlisis de tendencias con el objetivo de que el
servicio pueda mejorarse de forma continua.
En la realizacin de las pruebas se pudo detectar que desde que inici la operacin de
la mesa de servicio y se establecieron los SLAs, el tiempo aproximado de cada servicio
no ha sido mejorado.
El servicio que tiene establecido un SLA menor corresponde a 4 horas, lo cual hasta
el momento de nuestra Auditora no ha sido revisado.
A medida que pasa el tiempo no se nota que los servicios sean eficientes y eficaces
Recomendacin:
El
63
acuerdos relevantes, que no han tenido cambios significativos, puedan invalidar los
acuerdos o el servicio en s.
Responsables:
Director nacional de TICs
Subgerente de Servicios TI
Gestor del Catlogo de servicios
Fecha tope:
01 de Abril del 2014
CAPTULO III
4.1.3 Conclusiones Generales
Para el caso de mesa de ayuda: existe un alto riesgo al no tener la aprobacin de los
SLAs, OLA, y UC y que los mismos no sean difundidos con el usuario requirente. Los
SLAs, OLA y UC deben estar debidamente firmados y acordados para la aprobacin de
64
la mesa de ayuda. As como la difusin de los mismos por medio de una campaa de
informacin.
65
Se puede decir que el Marco de Referencia COBIT 4.1 fue una metodologa robusta
para evaluar a la Mesa Integrada de Ayuda, debido a que analiza: requerimientos,
cambios y problemas. Pudiendo as asegurar la eficiencia, eficacia, la efectividad de la
Auditora, la regularidad de la evaluacin y la amplia colaboracin del personal de la
Mesa de Servicios; logrando los objetivos propuestos durante esta investigacin.
66
67
Para realizar un anlisis de capacidad de la mesa de servicio por medio del uso de filas
de espera se debe considerar la estructura bsica de una fila de espera:
Poblacin de clientes
Sistema de servicio
Regla de prioridad
68
Se compone de:
Nmero de filas: El nmero de filas se puede plantear en una sola fila o
mltiples filas. Si se tienen Servidores mltiples y cada uno de ellos puede
manejar todas las transacciones, corresponde a una sola fila; pero si cada uno de
los servidores maneja un servicio especializado se est hablando de filas
mltiples.
Se refieren al personal y/o el equipo necesario para dar el servicio. Estas pueden ser:
de un solo canal y una sola fase, un solo canal y mltiples fases, mltiples canales y una
sola fase, finalmente mltiples canales y mltiples fases
69
Un solo canal y una sola fase: Todos los servicios solicitados por un cliente
se imparten por la instalacin de un servicio
Un solo canal y mltiples fases: Se tiene una sola fila y se avanza de manera
secuencial, de una instalacin a la siguiente en caso de ser necesario.
Mltiples canales y una sola fase: Los clientes forman una o varias filas. Si es
una fila los clientes son atendidos por el primer servidor, si son mltiples
filas los clientes esperan hasta que el servidor de la respectiva fila los atienda.
Mltiples canales y mltiples fases: Los clientes pueden ser atendidos por
una instalacin y tal vez se requiera el uso de diversas mquinas y diferentes
rutas.
Para poder realizar este anlisis se han definido los tipos de lneas de espera de la
Mesa de Ayuda del Consejo:
70
Poblacin de clientes
Sistema de servicio
Disposicin
de
Instalaciones
Reglas de prioridad
71
ROL
Mesa De Servicios
Segundo Nivel
Tercer nivel
Coordinador de la
mesa de Servicio
Administrador de
Incidentes
Administrador de
Requerimientos de
Servicio
Gestin
de casos
X
X
X
Gestin
administrativa
Gestin de
mejora
Para cada uno de los roles mencionados se definen sus cargas de acuerdo a las
actividades que realizan. Cada actividad demanda un tiempo de ocupacin a nivel
mensual que determina la carga laboral de cada uno de ellos. Si cruzamos los tiempos
obtenidos en cada una de las actividades y la multiplicamos por el nmero de casos
atendidos mensualmente (incidentes, requerimientos y Peticiones Quejas y Reclamos
PQR), podremos determinar la carga de cada rol y cuantas personas lo deben asumir.
4.2.6 Actividades y tiempos para la Mesa de Servicios:
En la siguiente tabla se muestran los parmetros recomendados para determinar la
carga de la mesa de servicios:
72
Tiempo
0.033
Total
esfuerzo
al mes
(horas/m
es)
330
0.25
2500
15 minutos por
requerimiento de
servicio
0.25
2500
3 Minutos por
incidente
escalado
2.5 minutos por
caso
3 minutos por
incidente
escalado
0.05
500
0.041
410
0.0833
833
2 minutos x
Llamada
15 minutos por
incidente
Esfuerzo
requerido
en horas
Los valores incluidos en la primera columna se refieren a las actividades que realiza
el personal de la mesa de servicios del Consejo de la Judicatura para la atencin de casos
(requerimientos, de servicio, incidentes y PQR). Basado en estos valores podremos
determinar el tiempo que tarda la mesa de servicios en resolver los casos que les son
reportados.
73
Das al mes: 30
Horas diarias: 8
74
que llegan a la Mesa de Ayuda, siendo esto bastante difcil de manejar ya que existe un
dficit de 9 personas, necesarias para mejorar la calidad de la Mesa de Servicios del CJ.
Es importante conocer cules deben ser las competencias que el personal de la Mesa
de Ayuda debe tener para poder formar parte de ella y dar un servicio que garantice
eficiencia, responsabilidad y capacidad. A continuacin se presenta un anlisis basado
en el SFIA.
4.2.7 Marco de Habilidades para la Era de Informacin (SFIA)
Es un modelo que fue creado para describir y administrar las competencias de los
profesionales que hacen parte del mundo de las Tecnologas de la Informacin y
Comunicaciones. Alinea las habilidades de las personas y grupos de trabajo con las
necesidades del negocio.
4.2.7.1 Propsito
Su objetivo general del SFIA es ayudar a las organizaciones que emplean a
profesionales de TI a:
Retener el personal.
Esto se lleva a cabo por medio del desarrollo de las habilidades correctas, y por
medio de su ejecucin para conseguir los mejores resultados y tambin proporcionando
vas de desarrollo apropiados para los profesionales de TI.
Su enfoque en las habilidades profesionales ms que en la informacin tecnolgica
significa que el marco es fcilmente comprensible por una amplia comunidad,
75
76
Estrategia y Arquitectura
Cambio en el Negocio
Administracin de Servicios
El otro eje define los diferentes niveles de competencia o logro alcanzado por los
profesionales de las TI. Cada uno de los siete niveles comenzando por un nuevo
participante hasta llegar al nivel de estratega - tiene su propia definicin genrica, sus
componentes en trminos de autonoma, influencia, complejidad y capacidades
empresariales.
1. Seguir
2. Ayudar
3. Aplicar
4. Capacitar
5. Garantizar/Asesorar
6. Iniciar/Influenciar
7. Establecer Estrategia/Inspirar
Las habilidades se describen en varios niveles.
77
78
Nombre
del
Rol:
Tercer
Nivel
de
Soporte
79
Nombre
del
Rol:
Tercer
Nivel
de
Soporte
Nombre
del
Rol:
Tercer
80
Perfil
Propuesto
81
82
83
Habilidades
84
Dentro de las competencias necesarias para poder formar parte del grupo de la Mesa
de ayuda podemos mencionar:
Experiencia: 5 aos
Nivel de preparacin: Certificacin ITIL Fundamentals como requerimiento
mnimo. El recomendado Certificacin ITIL OSA
Habilidades: Atencin al cliente, alto conocimiento tcnico, persuasin,
orientacin / asesoramiento, empata, pensamiento analtico y crtico y trabajo en
equipo.
85
86
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
Al culminar el proyecto de la evaluacin tcnica e informtica de la Mesa Integrada
de Ayuda, se exponen a continuacin las siguientes conclusiones y recomendaciones en
torno a la realizacin del proyecto.
5.1 Conclusiones
87
88
5.2 Recomendaciones
Se debe realizar una coordinacin adecuada entre el Grupo que forma parte de la
Mesa Integral de Ayuda y las dems unidades que conforman la Direccin
Nacional de TICs del Consejo de la Judicatura, para de esta manera concentrar
esfuerzos y llegar a alcanzar los objetivos eficazmente.
89
Bibliografa
Arteaga, H. (2012). Escuela Politcnica Nacional: Desarrollo de un Gobierno de TI
para la empresa fiduciaria Ecuador utilizando COBIT 4.1. Obtenido de
http://bibdigital.epn.edu.ec/bitstream/15000/4585/1/CD-4224.pdf
Berbia, P. (2008). Evaluacin Eficaz del Sistema de Control Interno. Madrid: Instituto
de Auditores Internos.
Cevallos, D. (2003). Aplicacin del Modelo Cobit (Control objectives for information
and related technology) en la auditora de sistemas. Caso prctico. Obtenido de
http://repositorio.ute.edu.ec/handle/123456789/10641
Ecuanex. (s.f.). De la Contralora General del
http://www.ecuanex.net.ec/constitucion/titulo10.html
Estado.
Obtenido
de
Obtenido
de
de
de