Está en la página 1de 102

UNIVERSIDAD CATÓLICA LOS ÁNGELES DE

CHIMBOTE

FACULTAD DE INGENIERIA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
DEPARTAMENTO DE METODOLOGÍA DE LA INVESTIGACIÓN

TESIS PARA OPTAR EL TÍTULO PROFESIONAL DE


INGENIERO DE SISTEMAS

“Perfil de gestión de las tecnologías de información y


comunicaciones: garantizar la continuidad del servicio,
garantizar la seguridad de los sistemas, educar y entrenar a
los usuarios, administrar la configuración y administrar el
ambiente físico en el hospital Víctor Ramos Guardia de la
ciudad de Huaraz en el año 2011”

Presentado por: Bach. Carlos Ernesto GONZALES HENOSTROZA.

Asesor: Mg. Ing. José PLASENCIA LATOUR.

HUARAZ – 2011

17
Dedicatoria

Esta tesis es una parte de mi vida y el comienzo

de otras etapas, por esto y más, la dedico a Dios por darme la oportunidad

de estar aquí,

a mi Madre, quien a lo largo de mi vida ha velado por mi bienestar y

educación, siendo mi apoyo en todo momento, depositando su entera

confianza en cada reto que se me presentaba y sin dudar ni un solo

momento en mí, y a mi Padre que está en el cielo, que desde ahí, derramó

sus bendiciones cada vez que elevaba mis plegarias y así no lo hiciera.

Sacrifica tu sueño,… mas no, tus sueños.

Carlos Ernesto GONZALES HENOSTROZA.

18
Agradecimientos

La presente tesis es un esfuerzo en el cual, directa o indirectamente,


participaron varias personas leyendo, opinando, corrigiendo, teniéndome
paciencia, dándome ánimo, acompañándome en los momentos de crisis y
en los momentos de felicidad.

A mi Madre quien me acompañó en esta aventura que significó la Tesis y


que, de forma incondicional, entendió mis ausencias y mis malos
momentos.

A mis Padrinos Camuchita y Marcelino y a mis primos Hermanos Antonio,


Raúl, Ricardo y José Luís que ya no está con nosotros, pero que desde
un principio hasta el día hoy siguen dándome ánimo para terminar este
proceso. Más que un agradecimiento… una dedicatoria.

Gracias también a mis queridos compañeros, hoy en día Amigos, que


depositaron su confianza en mí, y me permitieron entrar en su vida,
durante estos casi seis años de convivir dentro y fuera del salón de clase:
Luís, Joseph, Ángel, Lidia, Diana, Milagros, Rodrigo, Kramer… Gracias.

A mis Profesores y asesores, por la gran cantidad de tiempo, experiencia


y consejos entregados.

A mis compañeros de tesis, porque estando en esta armonía grupal lo


hemos logrado.

Carlos Ernesto GONZALES HENOSTROZA.

19
Índice general

Pág.

Dedicatoria ……………. ii

Agradecimiento ……………. iii

Índice general ……………. iv

Índice de tablas ……………. vii

Índice de gráficos ……………. viii

Índice de anexos ……………. ix

Resumen ……………. x

Abstract ……………. xii

Introducción ……………. xiii

1. Marco referencial ……………. 17


1.1. Planteamiento del problema …………….
17
1.2. Antecedentes …………….
20
1.2.1. A nivel internacional …………….
20
1.2.2. A nivel nacional …………….
22

20
1.3. Bases teóricas …………….
23
1.3.1. Hospital …………….
23
1.3.2. Clasificación de los hospitales …………….
25
1.3.3. Hospital Víctor Ramos Guardia …………….
26
1.3.4. Las tecnologías de información y comunicaciones: …………….
27
1.3.4.1. Definición …………….
27
1.3.4.2. Áreas de aplicación de las TICS …………….
28
1.3.4.3. Beneficios que aportan las TICS …………….
28
1.3.4.4. Principales TIC’s utilizadas en las empresas …………….
29
1.3.4.5. Las TIC’s en el sector salud …………….
29
1.3.4.6. Principales TIC’s utilizados en el
hospital Víctor Ramos Guardia …………….
30
1.3.5. COBIT …………….
36
1.3.5.1. Definición …………….
36
1.3.5.2. Dominios COBIT …………….
37
1.3.5.3. Entrega y soporte …………….
38

21
1.3.5.4. Garantizar la continuidad del servicio …………….
39
1.3.5.5. Garantizar la seguridad de los sistemas …………….
39
1.3.5.6. Educar y entrenar a los usuarios …………….
39
1.3.5.7. Administrar la configuración …………….
40
1.3.5.8. Administrar el ambiente físico …………….
40
1.4. Justificación de la investigación …………….
41
1.5. Formulación de objetivos …………….
43
1.5.1. Objetivo general …………….
43
1.5.2. Objetivos específicos …………….
43
1.6. Sistema de hipótesis …………….
44
1.6.1. Hipótesis general …………….
44
1.6.2 Hipótesis específicas …………….
44

2. Metodología …………….
45
2.1. Diseño de la investigación …………….
45
2.2. Población y muestra …………….
45

22
2.2.1. Población …………….
45
2.2.2. Muestra …………….
45
2.3. Definición y operacionalización de las variables …………….
46

2.4. Técnicas e instrumentos …………….


51
2.4.1. Técnicas …………….
51
2.4.2. Instrumentos …………….
52
2.5. Procedimientos de recolección de datos …………….
58
2.6. Plan de análisis de los datos …………….
59

3. Resultados …………….
60

4. Discusión …………….
68

Conclusiones y recomendaciones …………….


71

Conclusiones …………….
71

23
Recomendaciones …………….
73

Referencias bibliográficas …………….


77

Índice de tablas

Pág.

Definición y operacionalización de la variable “Garantizar la continuidad de


los servicios” …………….
46

Definición y operacionalización de la variable “Garantizar la seguridad de


los sistemas” …………….
47

24
Definición y operacionalización de la variable “Educar y entrenar a los
usuarios” …………….
48

Definición y operacionalización de la variable” Administrar_la


configuración”

……………. 49

Definición y operacionalización de la variable “Administrar el ambiente


físico” …………….
50

Tabla Nº 1 – Garantizar la continuidad de los servicios …………….


60
Tabla Nº 2 – Garantizar la seguridad de los sistemas …………….
62
Tabla Nº 3 – Educar y entrenar a los usuarios …………….
63
Tabla Nº 4 – Administrar la configuración …………….
65
Tabla Nº 5 – Administrar el ambiente físico …………….
66

Índice de gráficos

Pág.

25
Gráfico Nº 1 – Garantizar la continuidad de los servicios …………….
61
Gráfico Nº 2 – Garantizar la seguridad de los sistemas …………….
63
Gráfico Nº 3 – Educar y entrenar a los usuarios …………….
64
Gráfico Nº 4 – Administrar la configuración …………….
66
Gráfico Nº 5 – Administrar el ambiente físico …………….
67

26
Índice de anexos

Pág.

Anexo nº 01 – Cronograma de actividades …………….


83

Anexo nº 02 – Presupuesto …………….


84

Anexo nº 03 – Financiamiento …………….


85

Anexo nº 04 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “garantizar la continuidad de
los
servicios” …………….
86

Anexo nº 05 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “garantizar la seguridad de
los
sistemas” …………….
89

Anexo nº 06 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “educar y entrenar a los
usuarios” …………….
92

27
Anexo nº 07 – Cuestionario para medir el perfil de gestión de las
tecnologías de información según la variable “administrar la configuración”

……………. 95

Anexo nº 08 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “administrar el ambiente
físico”
……………. 98

Resumen

El presente trabajo de investigación pertenece a la línea de investigación


en tecnologías de la información y comunicaciones de la escuela
profesional de Ingeniería de Sistemas de la Universidad Católica los
Ángeles de Chimbote, y busca determinar el nivel de Madurez en los
siguientes Procesos: Garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios, administrar la
configuración y administrar el ambiente físico en el hospital Víctor Ramos
Guardia de la ciudad de Huaraz en el año 2011.

El estudio es de tipo no experimental, de nivel descriptivo, cuantitativo, y


de corte transversal, y en él se analiza la medición de cinco variables:
garantizar la continuidad del servicio, garantizar la seguridad de los
sistemas, educar y entrenar a los usuarios, administrar la configuración y
administrar el ambiente físico. Para la medición y control de las variables
de estudio se utilizaron encuestas, las cuales fueron remitidas a través de
documentos físicos a las diferentes áreas, oficinas, unidades, y
departamentos; entrevistando a los jefes, asistentes y todo el personal que
tenía que ver con las tecnologías de Información y comunicaciones.

28
Los resultados del estudio indican que el 66.42% de los trabajadores
consideran que la variable garantizar la continuidad del servicio se
encuentra en un nivel de madurez inicial con respecto a los niveles de
madurez de COBIT, en la variable garantizar la seguridad de los sistemas
tiene un 92,54% ubicándola también en un nivel de madurez inicial con
respecto a los niveles de madurez de COBIT, en la variable educar y
entrenar a los usuarios tiene un 79,85% ubicándola en un nivel cero o
inexistente con respecto a los niveles de madurez de COBIT; en la
variable administrar la configuración tiene un 82,09% ubicándola en un
nivel de madurez cero o inexistente con respecto a los niveles de madurez
de COBIT, finalmente en la variable administrar el ambiente físico posee
un 100.00% ubicándola en un nivel de madurez cero o inexistente con
respecto a los niveles de madurez de COBIT.

Palabras claves: Gestión de TIC’s, nivel de madurez, procesos, garantizar


la continuidad del servicio, garantizar la seguridad de los sistemas educar
y entrenar a los usuarios, administrar la configuración, administrar el
ambiente físico, no experimental, descriptivo, cuantitativo, corte
transversal, COBIT.

29
Abstract

This research is part of the research in information technologies and


communications of the professional school of Systems Engineering at the
Catholic University los Angeles de Chimbote, and seeks to determine the
level of maturity in the following processes: ensure continuity service,
ensure the security of systems, educate and train users, manage the
configuration and manage the physical environment in the Victor Ramos
Guardia hospital in the city of Huaraz in the first half of 2011.
The study is in non-experimental, descriptive level, quantitative and cross-
sectional, and he discusses the measurement of five variables: To ensure
continuity of service, ensure the security of systems, educate and train
users, Manage he configuration and the physical environment. To measure
and control the variables of study used surveys, which were transmitted
through physical documents to different areas, offices, units and
departments, interviewing managers, assistants and all staff had to do
with information_technology_and_communications.

The study results indicate that 66.42% of workers consider the variable to
ensure continuity of service is an initial level of maturity with respect to the
COBIT maturity levels, the variable ensure systems security have

30
a 92.54% also located in an initial level of maturity with respect to the
COBIT maturity levels, the variable educate and train users have a 79.85%
placing it at zero or non-existent compared to the levels of COBIT maturity,
in the manage configuration variable has a 82.09% placing it at a level of
maturity zero or nonexistent regarding COBIT maturity levels, finally in the
manage the physical environment variable has a 100.00% placing it in
a maturity level of zero or no regarding COBIT maturity levels.

Keywords: Management of TIC’s, level of maturity, processes, ensure


continuity of service, guarantee the security of systems educate and train
users, manage settings, manage the physical environment, non-
experimental, descriptive, quantitative, cross-sectional , COBIT.
Introducción

El sector salud tiene ciertas características que lo diferencian de otros


sectores y que es necesario tener en cuenta a la hora de desarrollar
estrategias para promover y fomentar la introducción a las TIC’s (1).

Los sistemas de información enfocados en el área de salud, han venido


desarrollándose de forma autónoma, no comparten criterios homogéneos
y disponen enormes volúmenes de datos que suponen flujos de
información extremadamente complejos. Con este escenario estamos
convencidos de que la aportación de las tecnologías de la información y
comunicaciones (TIC’s) es absolutamente necesaria para la sociedad (1).

Hoy en día la incorporación de las tecnologías de la Información y


comunicaciones (TIC’s) al mundo de la Salud, supone otro de los pilares
de la sociedad informática.

La investigación en cierne, denominada “Perfil de gestión de las


tecnologías de información y comunicaciones: garantizar la continuidad
del servicio, garantizar la seguridad de los sistemas, educar y entrenar a

31
los usuarios, administrar la configuración y administrar el ambiente físico
en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011” logró cumplir con el objetivo trazado, cuyo propósito era dar a
conocer a la Institución de salud, el nivel en el cual se encuentran sus
procesos.

Haciendo referencia a los recursos de TI según el modelo COBIT, como


son: las aplicaciones, la información, la infraestructura y las personas, se
identificó la situación crítica de cada uno de ellos, resultando la siguiente
interrogante de investigación:

¿Cuál es el perfil de gestión de las tecnologías de información y


comunicaciones: garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios, administrar la
configuración y administrar el ambiente físico en el hospital Víctor Ramos
Guardia de la ciudad de Huaraz en el año 2011?

Entre los antecedentes más importantes contenidos en el presente estudio


de investigación, el que tiene mayor trascendencia se refiere al estudio
realizado en el año 2010 denominado “Auditoria de la gestión de las
tecnologías de la información en el gobierno municipal de San Miguel de
Urcuquí, utilizando como modelo de referencia COBIT 4.0”, estudio que a
pesar de estar en un rubro diferente y estando en un ámbito Internacional,
se puede comparar en su totalidad las cinco variables en estudio, y de
esta manera analizar los resultados obtenidos con la discusión, para
luego determinar las conclusiones y recomendaciones.

A la fecha no existen estudios sobre el nivel de gestión de las TIC’s en el


hospital Víctor Ramos Guardia, por lo que éste proyecto de investigación
permitió actualizar dichas estadísticas y tener una idea clara de la

32
situación actual del hospital en cuanto al perfil de gestión de TIC’s se
refiere.

Se consideró el modelo COBIT para esta investigación porque su misión


es precisamente “Investigar, desarrollar, hacer público y promover un
marco de control de gobierno de TI autorizado, actualizado, aceptado
internacionalmente para la adopción por parte del hospital y el uso diario
por parte de gerentes de negocio, profesionales de TI y profesionales de
aseguramiento.

Asimismo, en las distintas fuentes de información se encontró abundante


información sobre el tema, lo que permitió estructurar las bases teóricas
del estudio y los antecedentes. Se contó con el apoyo del personal
involucrado para facilitar el proceso de recolección de información.
La formulación de la hipótesis General propuesta “El perfil de gestión de
las tecnologías de información y comunicaciones: garantizar la continuidad
del servicio, garantizar la seguridad de los sistemas, educar y entrenar a
los usuarios, administrar la configuración y administrar el ambiente físico
en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011, es ad-hoc de acuerdo al modelo COBIT”, se determinó de acuerdo a
la pregunta planteada como consecuencia de la problemática descrita en
la primera parte del presente informe, y se disgregó en hipótesis
específicas en base a la experiencia y observaciones de ocurrencias y
eventos que se tomaron en cuenta durante las labores de trabajo
realizadas actualmente, en el hospital Víctor Ramos Guardia – Huaraz.

Se utilizó un diseño de investigación de una sola casilla y el instrumento


metodológico para medir el nivel de estas variables fue el cuestionario
estructurado, aplicado sobre una población total de 134 empleados para
determinar el nivel de madurez de los procesos mencionados
anteriormente.

33
En la primera parte del trabajo se caracteriza la situación problemática y
se plantea la pregunta de investigación. Asimismo se mencionan las
investigaciones anteriores que se realizaron sobre el tema en cierne; y se
describen las bases teóricas que sustentan el presente estudio de
investigación. Posteriormente se justifica la investigación, formulando los
objetivos generales y específicos de la misma y definiendo el sistema de
hipótesis de investigación.

En la segunda parte se explica la metodología que se siguió en la


investigación, describiendo el tipo, nivel y diseño de la misma. Se define la
población y muestra, realizando la operacionalización de las variables y
definiendo las técnicas e instrumentos de recolección de datos, para
finalmente describir el procedimiento de recolección y análisis de datos
utilizado.

En la tercera parte, se presentan los resultados de la investigación,


mediante cuadros estadísticos y en forma de gráficos.

En la cuarta parte, se realiza la discusión de los resultados obtenidos en la


etapa anterior, comparándolos con los antecedentes y las bases teóricas
de la investigación.

En la cuarta parte, se presentan las conclusiones a las que se llegó luego


del estudio y se manifiestan las recomendaciones generadas como
resultado de la investigación y que deberían implementarse para mejorar
la Institución en estudio.

Por último, se citan las referencias bibliográficas utilizadas en el estudio,


siguiendo las normas de Vancouver, y concluyendo de esta manera el
informe con los anexos que sirven de complemento.

34
1. Marco referencial:

1.1. Planteamiento del problema:


El uso de las tecnologías de la información por parte de las diversas
organizaciones públicas y privadas del extranjero y del Perú crece
progresivamente; también se refleja en nuestro medio, donde cada
vez son más las oficinas, organizaciones y entidades
sistematizadas o en proceso de sistematización; el sector salud
entre ellas, supone que las TIC’s (Tecnologías de Información y
Comunicaciones) son un motor de cambio para mejorar la calidad y
rapidez en la atención de los ciudadanos, con la demanda de
herramientas dirigidas en dar respuesta en áreas como la
planificación, la información, la investigación, la gestión, prevención,
promoción o en el diagnóstico o tratamiento.

Las empresas buscan automatizar los servicios de atención al


cliente, tal es el caso del hospital Víctor Ramos Guardia, que
actualmente cuenta con varios y diversos sistemas de información
para desarrollar sus actividades de gestión administrativa y
hospitalaria, los cuales lamentablemente están cimentados sobre
una infraestructura física deficientemente implementada, por otro
lado, la capacidad del hardware no está acorde con las exigencias
de los usuarios para un óptimo desarrollo de sus funciones, los
directivos desconocen o le dan poco o ningún valor al
mantenimiento y abastecimiento de los recursos TI, donde la
continuidad del servicio y la seguridad de los sistemas se pone en
riesgo frente a los desastres naturales y generados por el hombre;
en tanto la documentación referente a las políticas de manejo,
seguridad y planes de contingencia son nulas y en algunas
situaciones son improvistas; ésta situación se agrava más cuando
se da la confusión y apatía entre los usuarios por la falta de

35
documentación y capacitación constante, ya que deben
acomodarse a los nuevos entornos.

La auditoria de sistemas es la encargada de liderar el montaje y


desarrollo de la función de control en los ambientes
computarizados, integrar la auditoria de Sistemas con las demás
áreas contribuye a la modernización y eficiencia para realizar
evaluaciones de riesgos en ambientes de sistemas y diseñar los
controles apropiados para disminuir esos riesgos, además de
participar en el desarrollo de los sistemas de información, aportando
el elemento de control y evaluar la administración de los recursos
de información en cualquier organización (2); el problema de que el
hospital Víctor Ramos Guardia no tenga un control sobre los
procesos de garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios,
administrar la configuración y administrar el ambiente físico, radica
en la falta de conciencia de los directivos de las instituciones
públicas, quienes desconocen o le dan poco o ningún valor a la
trascendencia de las TIC’s dentro del hospital Víctor Ramos
Guardia – Huaraz.

Toda esta problemática evidencian que las TIC’s implementadas no


están produciendo los resultados esperados, existen deficiencias en
los diferentes procesos que se realizan, lo cual origina un desvió
significativo de la visión trazada por la Institución.

La empresa social del estado, el hospital Víctor Ramos Guardia de


Huaraz, se encuentra localizado en la Av. Toribio Luzuriaga S/N –
cuadra Nº 12; es un establecimiento de salud del sector público,
cuyo fin es brindar atención integral de salud a la población de la
provincia de Huaraz y de las demás provincias del departamento
de Ancash, en particular de la zona sierra, es decir de los

36
corredores económicos Huaylas y Chonchucos y la zona de las
vertientes (3).

La infraestructura de TIC’s del hospital Víctor Ramos Guardia está


cimentada sobre un área construida de 8,439.35 m2 distribuida en
oficinas, unidades, departamentos, etc. dentro de un área total de
26,435.21 m2; dispone de energía eléctrica y un generador de
mayor capacidad que así lo demanda, cuenta con una estación de
radio frecuencia, una central telefónica moderna y un reloj marcador
biométrico como última adquisición; así mismo el soporte de las
aplicaciones, información y transmisión se basa en una red de
datos LAN al margen de la normalización y estándares
establecidos, con un ancho de banda de 3 Mbps y un portal Web
denominado “www.hospitalvrg.gob.pe”; cuenta con 114 estaciones
de trabajo, cuya capacidad de rendimiento varía en desacuerdo a
las funciones del personal, así mismo los servidores remotos
actualmente implementados alojan al sistema integrado de gestión
administrativa (SIGA), sistema integrado de administración
financiera (SIAF), sistema de vigilancia digital, al sistema de control
de asistencia y al sistema de gestión hospitalaria; por otro lado,
algunas estaciones de trabajo que se desempeñan como servidores
locales, alojan al sistema integrado de telefonía y a las aplicaciones
del Ministerio de Salud (MINSA) respectivamente; mientras tanto
toda la data que se genera, se encuentra descentralizada, por el
mismo hecho que existen estaciones de trabajo haciendo de
servidores locales; los servidores remotos y los mencionados
anteriormente, no se encuentran en un mismo lugar.

El software utilizado se considera mixto, ya que el sistema


operativo, utilitarios y algunos programas básicos son ilegales, a
excepción del SIGA, el SIAF, el sistema de vigilancia digital, el
sistema integrado de telefonía, el sistema de control de asistencia,

37
el sistema de gestión hospitalaria, los sistemas del MINSA y un
antivirus que cuenta con licencias sólo para los servidores remotos
y locales.

Finalmente, se tiene a 134 usuarios dentro del personal autorizado


para operar los sistemas de información antes mencionados.

De acuerdo a la problemática descrita, se plantea:

¿Cuál es el perfil de gestión de las tecnologías de información y


comunicaciones: garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios,
administrar la configuración y administrar el ambiente físico en el
hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011?

1.2. Antecedentes:

1.2.1. A nivel internacional:


Llumihuasi J, en el año 2010, en su proyecto de tesis “Auditoria de
la gestión de las tecnologías de la información en el gobierno
municipal de San Miguel de Urcuquí, utilizando como modelo de
referencia COBIT 4.0”. Según las siguientes variables, concluye
que: El proceso de garantizar la continuidad del servicio se
encuentra en el nivel de madurez 1, por cuanto no se cuenta con un
plan de continuidad de servicios, el proceso de garantizar la
seguridad de los sistemas se encuentra en el nivel de madurez 1 ya
que la seguridad de los sistemas se encuentra a cargo de un solo
individuo el cual es el jefe del departamento informático, no existen
responsabilidades claras, el proceso de educar y entrenar a los
usuarios se encuentra en el nivel de madurez 0, por cuanto hay una

38
falta de entrenamiento a los usuarios de los sistemas, no existe un
plan de capacitación a los usuarios, el proceso de administrar la
configuración se encuentra en el nivel de madurez 1 puesto que,
solo se realizan tareas básicas como realizar inventarios de
hardware (cada año), no se tienen definidas prácticas
estandarizadas, el proceso de administrar el ambiente físico se
encuentra en el nivel de madurez 2 por cuanto, las operaciones de
seguridad son monitoreadas por parte del jefe del departamento
informático pero no eficientemente, no existe una buena
documentación de los procedimientos de mantenimiento de las
instalaciones, la gerencia no toma en cuenta los objetivos de
seguridad (4).

Castillo P, Flores V, en el año 2006, en su trabajo de graduación


“Propuesta de auditoria a los sistemas de información para evaluar
la calidad del software. Caso de estudio: Departamento médico del
hospital militar regional de San Miguel” tiene como objetivo
“Desarrollar una auditoria a los sistemas de información que
contribuya a evaluar la calidad del software en el departamento
médico del hospital militar regional de San Miguel”, concluyen que
el 57,10% de los empleados encuestados consideran que el
departamento médico del hospital militar regional de San Miguel se
encuentra en un nivel Inicial – 1 de madurez según la norma
COBIT, pues el Recurso Humano carece de conocimientos básicos
en informática y del uso de los sistemas Institucionales; por tal
razón cada vez que el equipo ó los sistemas no realizan los
procesos que los usuarios solicitan, se comunican con los técnicos
del área de Informática para que le solucionen los problemas (5).

39
1.2.2. A nivel nacional:
Villena M, en el año 2006, en su tesis denominada “Sistema de
gestión de seguridad de información para una institución financiera”
tiene como objetivo es “Establecer los principales lineamientos para
poder implementar de manera exitosa, un adecuado modelo de
sistema de gestión de seguridad de información (SGSI) en una
institución financiera en el Perú, el cual apunte a asegurar que la
tecnología de información usada esté alineada con la estrategia de
negocio y que los activos de información tengan el nivel de
protección acorde con el valor y riesgo que represente para la
organización”, concluye que para implantar una adecuada gestión
de seguridad de información en una institución financiera, el primer
paso es obtener el apoyo y soporte de la alta gerencia, haciéndolos
participes activos de lo que significa mantener adecuadamente
protegida la información de la institución financiera. Al demostrarles
lo importante que es la protección de la información para los
procesos de negocio, se debe esperar de la alta gerencia su
participación continua.

Contando con el apoyo de la alta gerencia se ha dado el primer


gran paso. Este apoyo luego se debe transmitir a los dueños de
procesos de negocio más importantes de la institución financiera,
que generalmente son jefes de áreas. Dándoles a conocer la
importancia de la seguridad de información en los procesos que
manejan, se espera el apoyo de todo el personal a su cargo. Es
recién en este punto donde entran a tallar todos los lineamientos del
modelo de gestión expuesto, el cual se reflejará en las políticas,
normas, estándares y procedimientos de seguridad, soportados por
la tecnología de información de la institución. No necesariamente la
tecnología de información por sí sola garantiza la seguridad de
información. Se vuelve imperativo gestionarla de acuerdo siempre a
los objetivos de negocio. De nada sirve contar con los últimos

40
adelantos tecnológicos, si no se da la importancia debida a la
protección de la información, la cual se verá reflejada en el
cumplimiento de todas las políticas de seguridad de información,
siempre actualizadas de acuerdo a los cambios constantes en los
negocios propios de una institución financiera (6).

1.3. Bases teóricas:


1.3.1. Hospital:
Un hospital es un lugar físico en donde se atiende a los enfermos,
para proporcionar el diagnóstico y tratamiento que necesitan.
Existen diferentes tipos de hospitales, según el tipo de patologías
que atienden: hospitales generales, hospitales de agudos,
hospitales de crónicos, hospitales psiquiátricos, geriátricos,
materno-infantiles, etc.

Dentro de los hospitales también existen las diferentes


especialidades de la medicina como son; la anatomía, la
oftalmología, la cardiología, la odontología, la hematología, la
farmacología, la neurología, la geriatría, etc. que pertenecen a los
hospitales generales.

Si consideramos a un hospital en su conjunto, como un sistema,


éste está compuesto por varios subsistemas que interactúan entre
sí en forma dinámica. Para nombrar los más importantes:

• Sistema asistencial.
• Sistema administrativo contable.
• Sistema gerencial.
• Sistema de información.
• Sistema técnico.
• Sistema de docencia e investigación.

41
Sistema asistencial:
Engloba a todas las áreas del hospital que tienen una función
asistencial, es decir atención directa del paciente por parte de
profesionales del equipo de salud. Hay dos áreas primordiales en la
asistencia directa del paciente: los consultorios externos para
atender pacientes con problemas ambulatorios (que no requieren
internamiento) y las áreas de internamiento, para cuidado de
problemas que sí requieren hospitalización.

Sistema administrativo contable:


Este sistema tiene que ver con las tareas administrativas de un
hospital. En él se encuentran áreas como admisión y egreso de
pacientes, otorgamiento de turnos para consultorios externos,
departamento de recursos humanos, oficinas de auditoria, farmacia,
entre otras. En sí toda oficina que trabaja con el público en algún
proceso o trámite con documentación, es una oficina administrativa.
El área contable del hospital se encarga primariamente de la
facturación de las prestaciones dadas a las entidades de cobertura
correspondientes.

Sistema gerencial:
Está compuesto según los hospitales por gerencias o direcciones.
La más destacada es la gerencia médica, que organiza o dirige el
funcionamiento global del hospital, sus políticas de prevención,
diagnóstico y tratamiento, y el presupuesto, entre otros temas.

Sistemas de información:
Se refiere al sistema informático que tiene el hospital y que soporta
su funcionamiento en redes de computadoras y programas
diseñados especialmente para el correcto funcionamiento de todas
las áreas. Es manejada generalmente por un departamento o
gerencia de sistemas de información.

42
Sistema técnico:
Engloba a todas las dependencias que proveen soporte,
mantenimiento preventivo y bioingeniería en una institución.

Sistema de docencia e investigación:


La docencia en un hospital es un punto clave en la formación de
profesionales. La docencia y la investigación están ligadas en varios
aspectos. Muchos hospitales poseen sistemas de capacitación y
formación de nuevos profesionales como visitancias, concurrencias,
residencias y fellowships, con programas bien organizados para
que el nuevo profesional del equipo de salud obtenga la mejor
formación posible (7).

1.3.2. Clasificación de los hospitales:

En algunos países, como en España y México, se diferencian


grados de calificación entre hospitales:

• Hospital de primer nivel.


• Hospital de segundo nivel.
• Hospital de tercer nivel.

Estos hospitales se caracterizan por la presencia de médicos


generales, especialistas básicos y especialistas mayores
(cardiólogos, neurólogos, nefrólogos, gastroenterólogos, y otros de
acuerdo a la necesidad).

En otros países se dividen a los hospitales según su complejidad en


baja y alta complejidad. Algunos países pueden aplicar sistemas de
calificación más rigurosos y extensos, divididos en varios niveles de
complejidad (8).

43
1.3.3. Hospital Víctor Ramos Guardia:
La empresa social del estado hospital "Víctor Ramos Guardia” de
Huaraz, se encuentra localizado en la Av. Toribio Luzuriaga S/N –
cuadra Nº 12; es un establecimiento de salud del sector público,
cuyo fin es brindar atención integral de salud a la población de la
provincia de Huaraz y de las demás provincias del departamento
de Ancash, en particular de la zona sierra, es decir de los
corredores económicos Huaylas y Chonchucos y la zona de las
vertientes (3).

• Misión:
Somos un hospital referencial del Ministerio de Salud de mediana
complejidad, contribuimos a mejorar la salud de la población
mediante la atención integral especializada, priorizando a la
población pobre y de extrema pobreza en el ámbito de la provincia
de Huaraz y atención referencial del Callejón de Huaylas y
Conchucos; brindando atención con calidad, eficiencia, equidad y
con el compromiso e identificación institucional (3).

• Visión:
Ser en el 2015 un hospital referencial de nivel III-1, que brinde
servicios de calidad, acreditados, altamente especializados, para
satisfacer necesidades de salud, de manera integral ambulatoria y
hospitalaria, que demanden intervenciones complejas de acuerdo al
perfil epidemiológico de la población, articulado con personal
motivado, identificado y capacitado, que desarrolle la investigación
y docencia, garantizando una atención con respeto a los derechos
humanos, con eficiencia y equidad, entre ellos el enfoque de genero
y la diversidad cultural, para la satisfacción del usuario (3).

44
1.3.4. Las tecnologías de información y comunicaciones:

1.3.4.1. Definición:
Las tecnologías de información y comunicaciones o la información y
la comunicación, generalmente se llama las TIC, a menudo se
utiliza como sinónimo de tecnología de la información (TI, incluidos
los informáticos y hardware de red, así como el software necesario
), pero suele ser un término más general que hace hincapié en el
papel de las telecomunicaciones (líneas telefónicas y las señales de
cable) en tecnología de la información moderna. Las TIC se
compone de todos los medios técnicos utilizados para manejar la
información y la comunicación de la ayuda o el software necesario.
En otras palabras, las TIC se compone de TI, así como la telefonía,
los medios de radiodifusión, y todo tipo de procesamiento de audio
y video y transmisión. La expresión fue utilizada por primera vez en
1997 en un informe de Dennis Stevenson con el gobierno del Reino
Unido, y promovida por los nuevos documentos del currículo
nacional para el Reino Unido en el 2000.

Las TIC agrupan un conjunto de sistemas necesarios para


administrar la información, y especialmente los ordenadores y
programas necesarios para convertirla, almacenarla, administrarla,
transmitirla y encontrarla. Los primeros pasos hacia una sociedad
de la información se remontan a la invención del telégrafo eléctrico,
pasando posteriormente por el teléfono fijo, la radiotelefonía y, por
último, la televisión. Internet, la telecomunicación móvil y el GPS
pueden considerarse como nuevas tecnologías de la información y
la comunicación (9).

45
1.3.4.2. Áreas de aplicación de las TIC’s:
• Servicio de la administración pública, la sociedad civil y el
mundo empresarial.
• Administrativa: Contables, financiera, RR.HH, procedimientos,
ofimática.
• Gestión del negocio: aplicativos Core, email, colaborativos.
• Control y Evaluación Gerencial: Sistemas de información y MIS,
inteligencia de negocios.
• Administrativa, procesos productivos, relaciones externas,
control y evaluación gerencial (10).

1.3.4.3. Beneficios que aportan las TICS:


Entre los principales beneficios podemos mencionar los siguientes:

• Convencer a las personas de que el uso de las TIC’s no sólo


será inevitable, sino también beneficioso.
• Desarrollar diversos servicios de información dirigidos a
fortalecer de manera general a las organizaciones.
• Aumentar la competitividad.
• Apoyar a empresas o grupos de empresas de cierto sector en la
promoción y posicionamiento mundial de sus productos o
servicios.
• Tener una personalización masiva.
• Formar cadenas productivas cuyo eje central de comunicación e
interacción sean las tecnologías relacionadas con Internet.
• Mayor productividad.
• Llegar a más clientes con una diversidad de canales mediante el
uso de la Internet, cuyo eje central es la comunicación.
• Generación de nuevas oportunidades de negocio.
• Minimizar costos (11).

46
1.3.4.4. Principales TIC’s utilizadas en las empresas:
• Internet.
• Comercio electrónico.
• Telecomunicaciones básicas.
• Gestión de la innovación.
• Redes y conectividad.
• Aplicaciones de las TIC’s en la industria (12).

1.3.4.5. Las TIC’s en el sector salud:


La salud es uno de los sectores más intensivos en el uso de
información, de forma que podría presentarse como un sector
prototipo “basado en el conocimiento”. Otros factores a tener en
cuenta en este sentido son que:

• Es un sector con un alto grado de regulación.


• De gestión fundamentalmente publica.
• Altamente fragmentado.
• Y esta muy influido por la información.

La visión del impacto de las TIC’s va mucho más allá que la


implementación en la red de portales de salud dirigidos a
consumidores o profesionales. Una de las líneas de mayor empuje
general a la introducción de las TIC’s corresponde a las grandes
iniciativas políticas.

La incorporación de las TIC’s al mundo sanitario esta suponiendo


un motor de cambio para mejora de calidad de vida de los
ciudadanos, favoreciendo el desarrollo de herramientas dirigidas a
dar respuesta en áreas como la planificación, la información, la
investigación, la gestión, prevención, promoción o en el diagnostico
o tratamiento. El reto lo constituyen las TIC’s como la base sobre la

47
que se implantan aplicaciones verdaderamente útiles, En este
sentido cobran una gran relevancia las actividades de investigación
y de transferencia al sistema de salud en entornos de colaboración
entre todos los agentes implicados y centrado en el paciente (13).

1.3.4.6. Principales TIC’s utilizados en el hospital Víctor


Ramos Guardia:

• Internet:
Internet es un conjunto descentralizado de redes de
comunicación interconectadas que utilizan la familia
de protocolos TCP/IP, garantizando que las redes
físicas heterogéneas que la componen funcionen como una red
lógica única, de alcance mundial (14).

El hospital Víctor Ramos Guardia de Huaraz, cuenta con un ancho


de banda de 3 Mbps Speedy residencial, con una tasa de
transferencia al 10%. El acceso al servicio de Internet es total, no
existiendo restricciones.

• Arquitectura cliente /servidor:


Desde el punto de vista funcional, se puede definir la computación
cliente/servidor como una arquitectura distribuida que permite a los
usuarios finales obtener acceso a la información en forma
transparente aún en entornos multiplataforma (15).

Dentro de la arquitectura cliente/servidor del hospital Víctor Ramos


Guardia de Huaraz, se manejan los siguientes sistemas de
información:

48
o Sistema de gestión hospitalaria:
El sistema de gestión hospitalaria proporciona nuevas
oportunidades de mejora en los procesos asistenciales mediante la
integración de tecnologías de información y médicas, más allá de
equipamiento clínico avanzado, las estrategias paperfree, o la
centralización/compartición de la información (16).

EL sistema de gestión hospitalaria está hecho a medida de las


necesidades del hospital Víctor Ramos Guardia de Huaraz, si bien
es cierto, dicho sistema no se puede catalogar como un ERP por
que sólo está dedicado al trámite rutinario del paciente y al control
de stock de medicamentos, se compone de 4 módulos, como son:
caja, admisión, laboratorio y farmacia; los cuales son actualizados
cada cierto tiempo, cada vez que se necesita modificar un proceso.

o Sistema integrado de gestión administrativa:


El SIGA es un sistema informático que integra a los procesos
administrativos de contabilidad (financiera y presupuestal),
abastecimiento y personal.

El Ministerio de economía y finanzas ha desarrollado del SIGA


módulo de logística y módulo patrimonial que ha sido implementado
como piloto el programa de administración de acuerdos de gestión -
PAAG desde el año 2003.

El Ministerio de salud y el Ministerio de economía y finanzas en el


marco de una alianza estratégica vienen trabajando un primer
producto como parte del SIGA que es la implementación del módulo
de logística y del módulo de patrimonio en las unidades ejecutores
del ámbito del MINSA.

49
Esta implementación conjunta permitirá ahorros por cerca de 3
millones de soles en desarrollos y mantenimiento de aplicativos
logísticos y patrimoniales (17).

o Sistema integrado de administración financiera:


“SIAF” son las siglas con las que buena parte de la administración
pública nacional y regional se refiere al “Sistema integrado de
administración financiera del Estado”. El SIAF se ha convertido en
un instrumento central en la administración del día a día del Estado
y tiene mucho que ver con las preocupaciones cotidianas de la
población y por cierto también de los gobiernos locales (18).

o Sistema de vigilancia digital:


En un sistema de vigilancia IP digital completo, las imágenes de
una cámara de red se digitalizan una vez y se mantienen en
formato digital sin conversiones innecesarias y sin degradación de
las imágenes debido a la distancia que recorren por una red.
Además, las imágenes digitales se pueden almacenar y recuperar
más fácilmente que en los casos en los que se utilizan cintas de
vídeo analógicas (19).

El sistema de vigilancia digital del hospital Víctor Ramos Guardia de


Huaraz consta de 4 cámaras situadas en zonas estratégicas, dicho
sistema se basa en un servidor y está diseñado para procesar
video, audio y datos tanto de forma local como en ambientes de
vigilancia lejanos.

Dicho sistema se encuentra dentro de la red y cuenta con acceso


LAN y WAN para su debida administración.

50
o Sistema de control de asistencia:
Los sistemas de control de asistencia modernos se basan
en tecnologías de identificación automática con códigos de barras,
banda magnética, tarjetas de proximidad por radio frecuencia
(RFID) e incluso sistemas biométricos de huella digital. Siendo
todos estos no más que una parte de la solución debido a que el
componente principal es, fundamentalmente, el software de control
de asistencia debido a que los datos capturados con los distintos
modelos de lectores necesitan ser procesados para recién entonces
llegar a convertirse en información (tardanzas, inasistencias, horas
extras, etc) (20).

El sistema de control de asistencia es la integración de un reloj


marcador biométrico con un software de administración, la
implementación de este sistema se hizo con el propósito de llevar
un control más riguroso y robusto de las entradas y salidas
regulares, tardanzas, faltas, horas extras, refrigerios, permisos, etc.

Una vez registradas las huellas dactilares de los trabajadores se


inicia el control de asistencia.

o Sistema integrado de telefonía:


La definición de call center, por lo general, está dirigida al ámbito
tecnológico, es decir, estructura, diseño de hardware y software así
como la funcionalidad que se brinda a través de los sistemas.
Precisar qué es un call center va más allá de un sistema informático
o tecnología de vanguardia; que si bien es cierto es importante para
facilitar el trabajo humano, no es preponderante. El ser humano es
el elemento importante en la definición que proponemos.

51
Para la consultora de call center One to One4 define el término
como un “Centro de llamadas que es un sistema integrado de
telefonía y computación orientado a potenciar las 3 labores más
importantes de una empresa, por medio de una comunicación
telefónica: Adquisición de clientes, mantención de clientes,
cobranzas” (21).

El sistema integrado de telefonía del hospital Víctor Ramos Guardia


está compuesto por una central telefónica, integrado a un software
para administrar los anexos, llamadas entrantes y salientes,
mensajes de voz, operadoras nocturnas y diurnas, etc.

o Sistemas del MINSA:


El objetivo de la oficina general de Estadística e Informática del
Ministerio de Salud es formular, planificar y ejecutar las políticas y
estrategias de salud en el área de informática y
telecomunicaciones, dirigiendo la implantación de las tecnologías
de la información y comunicaciones, para mantener una plataforma
de sistemas y aplicaciones confiables y estables, para los fines de
la gestión del MINSA (22).

Los sistemas del MINSA son enviados a los centros de salud con el
propósito de recopilar información de la población, a cerca de las
enfermedades, nacimientos o muertes, por mes, trimestre, semestre
o anual, para luego ser procesados y analizados a través de las
estadísticas.

• Redes y conectividad.
Las redes en general, consisten en "compartir recursos", y uno de
sus objetivos es hacer que todos los programas, datos y equipos
estén disponibles para cualquiera de la red que así lo solicite, sin
importar la localización física del recurso y del usuario (23).

52
Actualmente el hospital Víctor Ramos Guardia de Huaraz, cuenta
con una red de área local con tecnología ethernet de 10/100 Mbps,
ramificada en forma de cascada con un promedio de 4
ramificaciones, esta red de datos está conformada por los
siguientes nodos:

o 1 switch de 48 puertos Fast ethernet.


o 1 switch de 24 puertos Fast ethernet.
o 9 switch de 16 puertos Fast ethernet.
o 8 switch de 8 puertos Fast ethernet.
o 2 hub’s de 8 Puertos.
o 1 hub de 4 Puertos.
o 114 estaciones de trabajo.
- convencionales.
- sistemas del MINSA (servidores locales) .
- sistema integrado de telefonía (servidor local).
- 4 laptops.
o 3 servidores:
- SIAF – SIGA.
- Sistema de vigilancia digital.
- Sistema de gestión hospitalaria – sistema de control de
asistencia.

• Herramientas de Ofimática:
Las más utilizadas son los procesadores de texto, las planillas de
cálculo, y las presentaciones en diapositiva (Microsoft Word, Excel y
Power Point) en sus versiones 2003 y 2007 (24).

• Portal WEB:
Denominado “www.hospitalvrg.gob.pe”

53
• Equipos médicos computarizados:
Entre ellos se tiene:
o Monitores multiparámetros.
o Ventiladores mecánicos.
o Tomógrafo computarizado.
o Lector de gases arteriales y electrolitos séricos.
o Equipo de bioquímica.
o Contador hematológico.
o Lector de tiempo de Protombina.
o Lector de tiempo de Tromboplastina.

• TIC’s de apoyo
o Estación de radio.
o Sistema de vigilancia digital.
o Sistema integrado de telefonía.
o Sistema de control de asistencia.

1.3.5. COBIT:

1.3.5.1 Definición:
Los Objetivos de control para la información y la tecnología
relacionada (COBIT®) brindan buenas prácticas a través de un
marco de trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y lógica. Las buenas
prácticas de COBIT representan el consenso de los expertos. Están
enfocadas fuertemente en el control y menos en la ejecución. Estas
prácticas ayudarán a optimizar las inversiones facilitadas por la TI,
asegurarán la entrega del servicio y brindarán una medida contra la
cual juzgar cuando las cosas no vayan bien.

54
La orientación al negocio que enfoca COBIT consiste en vincular las
metas de negocio con las metas de TI, brindando métricas y
modelos de madurez para medir sus logros, e identificando las
responsabilidades asociadas de los propietarios de los procesos de
negocio y de TI (25).

1.3.5.2. Dominios COBIT:


COBIT define las actividades de TI en un modelo genérico de
procesos organizado en cuatro dominios. Estos dominios son:
Planear y organizar, adquirir e implementar, entregar y dar soporte
y, monitorear y evaluar. Los dominios se equiparan a las áreas
tradicionales de TI de planear, construir, ejecutar y monitorear.

El marco de trabajo de COBIT proporciona un modelo de procesos


de referencia y un lenguaje común para que todos en la empresa
visualicen y administren las actividades de TI. La incorporación de
un modelo operativo y un lenguaje común para todas las partes de
un negocio involucradas en TI es uno de los pasos iniciales más
importantes hacia un buen gobierno. También brinda un marco de
trabajo para la medición y monitoreo del desempeño de TI,
comunicándose con los proveedores de servicios e integrando las
mejores prácticas de administración. Un modelo de procesos
fomenta la propiedad de los procesos, permitiendo que se definan
las responsabilidades.

Para gobernar efectivamente TI, es importante determinar las


actividades y los riesgos que requieren ser administrados.
Normalmente se ordenan dentro de dominios de responsabilidad de
plan, construir, ejecutar y monitorear. Dentro del marco de COBIT,
estos dominios se llaman (25):

55
• Planear y organizar (PO):
Proporciona dirección para la entrega de soluciones (AI) y la
entrega de servicio (DS).

• Adquirir e implementar (AI):


Proporciona las soluciones y las pasa para convertirlas en servicios.

• Entregar y dar soporte (DS):


Recibe las soluciones y las hace utilizables por los usuarios finales.

• Monitorear y evaluar (ME):


Monitorear todos los procesos para asegurar que se sigue la
dirección provista.

1.3.5.3. Entrega y soporte:


Este dominio cubre la entrega en sí de los servicios requeridos, lo
que incluye la prestación del servicio, la administración de la
seguridad y de la continuidad, el soporte del servicio a los usuarios,
la administración de los datos y de las instalaciones operativas (25).

Por lo general cubre las siguientes preguntas de la gerencia:

• ¿Se están entregando los servicios de TI de acuerdo con las


prioridades del negocio?
• ¿Están optimizados los costos de TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de
manera productiva y segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?

56
1.3.5.4. Garantizar la continuidad del servicio:
La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI,
almacenar respaldos fuera de las instalaciones y entrenar de forma
periódica sobre los planes de continuidad. Un proceso efectivo de
continuidad de servicios, minimiza la probabilidad y el impacto de
interrupciones mayores en los servicios de TI, sobre funciones y
procesos claves del negocio (25).

1.3.5.5. Garantizar la seguridad de los sistemas:


La necesidad de mantener la integridad de la información y de
proteger los activos de TI, requiere de un proceso de administración
de la seguridad. Este proceso incluye el establecimiento y
mantenimiento de roles y responsabilidades de seguridad, políticas,
estándares y procedimientos de TI. La administración de la
seguridad también incluye realizar monitoreos de seguridad y
pruebas periódicas así como realizar acciones correctivas sobre las
debilidades o incidentes de seguridad identificados. Una efectiva
administración de la seguridad protege todos los activos de TI para
minimizar el impacto en el negocio causado por vulnerabilidades o
incidentes de seguridad (25).

1.3.5.6. Educar y entrenar a los usuarios:


Para una educación efectiva de todos los usuarios de sistemas de
TI, incluyendo aquellos dentro de TI, se requieren identificar las
necesidades de entrenamiento de cada grupo de usuarios. Además
de identificar las necesidades, este proceso incluye la definición y
ejecución de una estrategia para llevar a cabo un entrenamiento
efectivo y para medir los resultados. Un programa efectivo de
entrenamiento incrementa el uso efectivo de la tecnología al

57
disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de
seguridad de los usuarios (25).

1.3.5.7. Administrar la configuración:


Garantizar la integridad de las configuraciones de hardware y
software requiere establecer y mantener un repositorio de
configuraciones completo y preciso. Este proceso incluye la
recolección de información de la configuración inicial, el
establecimiento de normas, la verificación y auditoria de la
información de la configuración y la actualización del repositorio de
configuración conforme se necesite. Una efectiva administración de
la configuración facilita una mayor disponibilidad, minimiza los
problemas de producción y resuelve los problemas más rápido (25).

1.3.5.8. Administrar el ambiente físico:


La protección del equipo de cómputo y del personal, requiere de
instalaciones bien diseñadas y bien administradas. El proceso de
administrar el ambiente físico incluye la definición de los
requerimientos físicos del centro de datos (site), la selección de
instalaciones apropiadas y el diseño de procesos efectivos para
monitorear factores ambientales y administrar el acceso físico. La
administración efectiva del ambiente físico reduce las interrupciones
del negocio ocasionadas por daños al equipo de cómputo y al
personal (25).

1.4. Justificación de la investigación:


En toda investigación es necesario saber qué se pretende conocer,
y esto se basa en el planteamiento de un proyecto para definir
claramente el enfoque de la problemática, y así de esta manera los

58
hallazgos científicos nos servirán ahora o más adelante para la
adecuada solución de casos problemáticos en nuestra vida laboral,
de la misma manera para la comunidad académica de la
Universidad Católica los Ángeles de Chimbote, a más de llenar un
vació en el sistema de conocimientos teóricos, también servirá de
fuente de información a los futuros investigadores de la
especialidad de Ingeniería de Sistemas.

A la fecha no existen estudios sobre el nivel de gestión de las TIC’s


en el hospital Víctor Ramos Guardia, por lo que éste proyecto de
investigación permitió actualizar dichas estadísticas y tener una
idea clara de la situación actual del hospital en cuanto al perfil de
gestión de TIC’s se refiere.

El presente estudio cobra importancia toda vez que se pretende


identificar y describir los niveles en que se encuentran la entrega y
soporte del servicio informático en el hospital Víctor Ramos
Guardia, con el objetivo de contribuir al direccionamiento del uso de
las TIC’s y de las buenas prácticas.

Se consideró el modelo COBIT para esta investigación porque su


misión es precisamente “Investigar, desarrollar, hacer público y
promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopción por
parte del hospital y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (26).

La alta dirección se está dando cuenta del impacto significativo que


tiene la información en el éxito de la empresa, por lo tanto se
espera que las TIC’s generen un valor agregado y sea aprovechada

59
como ventaja competitiva, en este sentido COBIT como marco
referencial basado en las buenas prácticas, permite (27):

• Asegurar el logro de objetivos tecnológicos y empresariales.


• Flexibilidad para aprender y adaptarse a los cambios
tecnológicos y empresariales.
• Manejo juicioso de mitigación de los riesgos tecnológicos.
• Reconocer las oportunidades y actuar de acuerdo a ellas.
• Alinear las estrategias de TI con la estrategia del negocio.
• Estructuras organizacionales que faciliten la implementación de
estrategias y el logro de las metas.
• Crear relaciones beneficiosas entre el negocio, las TI y los
socios externos.
• Organizar las actividades empresariales en un modelo de
procesos generalmente aceptado.
• Valorar el desempeño de la TI en comparación con la
competencia (Benchmarking).

Asimismo, en las distintas fuentes de información se encontró


abundante información sobre el tema, lo que permitió estructurar las
bases teóricas del estudio y los antecedentes. Se contó con el
apoyo del personal involucrado para facilitar el proceso de
recolección de información.

60
1.5. Formulación de objetivos:

1.5.1. Objetivo general:


Determinar el perfil de gestión de las tecnologías de información y
Comunicaciones: garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios,
administrar la configuración y administrar el ambiente físico en el
hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011.

1.5.2. Objetivos específicos:


• Describir el perfil del proceso de garantizar la continuidad del
servicio en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.

• Describir el perfil del proceso de garantizar la seguridad de los


sistemas en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.

• Describir el perfil del proceso de educar y entrenar a los


usuarios en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.

• Describir el perfil del proceso de administrar la configuración en


el hospital Víctor Ramos Guardia de la ciudad de Huaraz en el
año 2011.

• Describir el perfil del proceso de administrar el ambiente físico


en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en
el año 2011.

61
1.6. Sistema de hipótesis:

1.6.1. Hipótesis general:


El perfil de gestión de las tecnologías de información y
Comunicaciones: garantizar la continuidad del servicio, garantizar la
seguridad de los sistemas, educar y entrenar a los usuarios,
administrar la configuración y administrar el ambiente físico en el
hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011, es inexistente de acuerdo al modelo COBIT.

1.6.2. Hipótesis específicas:


• El perfil del proceso de garantizar la continuidad del servicio en
el hospital Víctor Ramos Guardia de la ciudad de Huaraz en el
año 2011, es ad-hoc de acuerdo al modelo COBIT.

• El perfil del proceso de garantizar la seguridad de los sistemas


en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en
el año 2011, es ad-hoc de acuerdo al modelo COBIT.

• El perfil del proceso de educar y entrenar a los usuarios en el


hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011, es inexistente de acuerdo al modelo COBIT.

• El perfil de gestión del proceso de administrar la configuración


en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en
el año 2011, es inexistente de acuerdo al modelo COBIT.

• El perfil del proceso de administrar el ambiente físico en el


hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011, es inexistente de acuerdo al modelo COBIT.

62
2. Metodología:

2.1. Diseño de la investigación:


El diseño de la investigación reúne las siguientes características:
descriptivo, cuantitativo, no experimental y de corte transversal.

M O

Donde:
M = Muestra.
O = Observación.

2.2. Población y muestra:

2.2.1. Población:
Fueron todos los empleados que manejaban los recursos informáticos de
forma directa. La población estuvo formada por un total de 134 usuarios.

2.2.2. Muestra:
No se tomó en cuenta el muestreo, ya que la población fue pequeña.

63
2.3. Definición_y_operacionalización_de_las_variables:
Variables Definición conceptual Dimensiones Definición operacional Indicadores

Definición
Variables Definición conceptual Dimensiones Indicadores
operacional

La necesidad de brindar  Marco de trabajo de 0 > Inexistente.  Número de horas perdidas


continuidad en los servicios Continuidad de TI. por usuario por mes,
de TI requiere desarrollar, 1 >Inicial. debidas a interrupciones no
mantener y probar planes planeadas.
 Planes de continuidad
de continuidad de TI, 2 > Intuitivo.
Garantizar la continuidad del servicio

de TI.
almacenar respaldos fuera  Número de procesos
de las instalaciones y 3 > Definido. críticos de negocio que
entrenar de forma  Recursos críticos de TI. dependen de TI, que no
periódica sobre los planes 4 > Administrado. están cubiertos por un
de continuidad. Un proceso  Mantenimiento del plan plan de continuidad.
efectivo de continuidad de de continuidad de TI. 5 > Optimizado.
servicios, minimiza la
probabilidad y el impacto  Pruebas del plan de
de interrupciones mayores continuidad de TI.
en los servicios de TI,
sobre funciones y procesos  Entrenamiento del plan
claves del negocio de continuidad de TI.

 Distribución del plan de


continuidad de TI.

 Recuperación y
reanudación de los
servicios de TI.

 Almacenamiento de
respaldos fuera de las
instalaciones.

 Revisión post
reanudación.

64
La necesidad de mantener  Administración de la 0 > Inexistente.  El número de incidentes
la integridad de la Seguridad de TI. que dañan la reputación
información y de proteger 1 >Inicial. con el público.

Garantizar la seguridad de los sistemas


los activos de TI, requiere  Plan de Seguridad de TI.
de un proceso de 2 > Intuitivo.  El número de sistemas
administración de la  Administración de
Identidad. donde no se cumplen los
seguridad. Este proceso 3 > Definido. requerimientos de
incluye el establecimiento y seguridad.
mantenimiento de roles y  Administración de cuentas 4 > Administrado.
del Usuario.
responsabilidades de  El número de de
seguridad, políticas, 5 > Optimizado. violaciones en la
estándares y  Pruebas, vigilancia y
monitoreo de la seguridad. segregación de tareas.
procedimientos de TI. La
administración de la
seguridad también incluye  Definición de incidente de
seguridad.
realizar monitoreos de
seguridad y pruebas
periódicas así como realizar  Protección de la
tecnología de seguridad.
acciones correctivas sobre
las debilidades o incidentes
de seguridad identificados.  Administración de llaves
criptográficas.
Una efectiva administración
de la seguridad protege
todos los activos de TI para  Prevención, detección y
corrección de software
minimizar el impacto en el malicioso.
negocio causado por
vulnerabilidades o
 Seguridad de la red.
incidentes de seguridad.
 Intercambio de datos
sensitivos.

65
Variables Definición conceptual Dimensiones Definición operacional Indicadores

Para una educación  Identificación de 0 > Inexistente.  Número de llamadas de


efectiva de todos los necesidades de soporte debido a
usuarios de sistemas de TI, entrenamiento y 1 >Inicial. problemas de
Educar y entrenar a los usuarios
incluyendo aquellos dentro educación. entrenamiento.
de TI, se requieren 2 > Intuitivo.
identificar las necesidades  Impartición de  Porcentaje de satisfacción
de entrenamiento de cada entrenamiento y 3 > Definido. de los Interesados con el
grupo de usuarios. Además educación. entrenamiento recibido.
de identificar las 4 > Administrado.
necesidades, este proceso  Lapso de tiempo entre la
incluye la definición y  Evaluación del 5 > Optimizado.
entrenamiento recibido. identificación de la
ejecución de una estrategia necesidad de
para llevar a cabo un entrenamiento y la
entrenamiento efectivo y impartición del mismo.
para medir los resultados.
Un programa efectivo de
entrenamiento incrementa
el uso efectivo de la
tecnología al disminuir los
errores, incrementando la
productividad y el
cumplimiento de los
controles clave tales como
las medidas de seguridad
de los usuarios.

66
Variables Definición conceptual Dimensiones Definición operacional Indicadores

Garantizar la integridad de  Repositorio y línea 0 > Inexistente.  El número de problemas de


las configuraciones de base de configuración. cumplimiento del negocio
hardware y software 1 >Inicial. debido a inadecuada
requiere establecer y  Identificación y configuración de los activos.
mantener un repositorio de 2 > Intuitivo.
Administrar la configuración

mantenimiento de
configuraciones completo y elementos de  El número de desviaciones
preciso. Este proceso configuración. 3 > Definido. identificadas entre el
incluye la recolección de repositorio de configuración
información de la 4 > Administrado. y la configuración actual de
configuración inicial, el  Revisión de integridad
de la configuración. los activos.
establecimiento de normas, 5 > Optimizado.
la verificación y auditoria de  Porcentaje de licencias
la información de la compradas y no registradas
configuración y la en el repositorio.
actualización del repositorio
de configuración conforme
se necesite. Una efectiva
administración de la
configuración facilita una
mayor disponibilidad,
minimiza los problemas de
producción y resuelve los
problemas más rápido.

67
68
Definición Definición
Variables Dimensiones Indicadores
conceptual operacional

La protección del  Selección y 0 > Inexistente.  Tiempo sin


equipo de cómputo y diseño del servicio ocasionado
del personal, centro de datos. 1 >Inicial. por incidentes
requiere de relacionados con el
instalaciones bien  Medidas de 2 > Intuitivo. ambiente físico.
diseñadas y bien seguridad física.
administradas. El 3 > Definido.
Administrar el ambiente físico

 Número de
proceso de incidentes
administrar el  Acceso físico. 4 > Administrado. ocasionados por
ambiente físico fallas o brechas de
incluye la definición  Protección 5 > Optimizado. seguridad física.
de los contra factores
requerimientos ambientales.
 Frecuencia de
físicos del centro de revisión y evaluación
datos (site), la  Administració de riesgos físicos.
selección de n de
instalaciones instalaciones
apropiadas y el físicas.
diseño de procesos
efectivos para
monitorear factores
ambientales y
administrar el acceso
físico. La
administración
efectiva del ambiente
físico reduce las
interrupciones del
negocio ocasionadas
por daños al equipo
de cómputo y al
personal.
2.4. Técnicas e instrumentos:

2.4.1. Técnicas:
La técnica es un conjunto de saberes prácticos o procedimientos
para obtener el resultado deseado. Se aplicaron las siguientes
técnicas:

• Encuesta:
Una encuesta es un estudio observacional en el cual el
investigador no modifica el entorno ni controla el proceso que está
en observación (como sí lo hace en un experimento). Los datos se
obtienen a partir de realizar un conjunto de preguntas normalizadas

69
dirigidas a una muestra representativa o al conjunto total de
la población estadística en estudio, formada a menudo por
personas, empresas o entes institucionales, con el fin de conocer
estados de opinión, características o hechos específicos. El
investigador debe seleccionar las preguntas más convenientes, de
acuerdo con la naturaleza de la investigación (28).

La encuesta estuvo dada como un conjunto de ítems o preguntas


estructuradas de acuerdo a las variables: garantizar la continuidad
del servicio, garantizar la seguridad de los sistemas, educar y
entrenar a los usuarios, administrar la configuración y administrar el
ambiente físico en el hospital Víctor Ramos Guardia de la ciudad
de Huaraz en el año 2011, con preguntas cerradas y alternativas
de respuesta de los aspectos que se deseó medir, con base al
problema a responder, los objetivos a lograr e hipótesis a
demostrar.

• Observación:
El término se refiere a cualquier dato recogido durante esta
actividad (29).

Esta técnica nos permitió registrar los datos más significativos de


las unidades de observación mediante la aprehensión de las
características o variables del hecho o fenómeno de estudio.

2.4.2. Instrumentos:

• Cuestionario estructurado:

70
Es un tipo de cuestionario para realizar encuestas que incluyen
preguntas y respuestas cerradas permitiendo un rápido
procesamiento, tabulación y análisis (30).

Se contempló un formato que contuvo los ítems o preguntas; de


acuerdo a la siguiente estructura:

• Título.
• Objetivo.
• Instrucciones.
• Ítems o proposiciones de las variables a medir.
• Responsables.

La cantidad de preguntas del cuestionario estructurado varío según


las variables mencionadas al principio de éste Documento, cada
pregunta tuvo 6 alternativas según la escala de valores: 0: No
existe | 1: Inicial | 2: Repetible | 3: Definido | 4: Administrado | 5:
Optimizado.

Se aplicaron los cuestionarios a los trabajadores que laboran en el


hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año
2011.
Los cuestionarios obtenidos en el Modelo COBIT, no requirieron
ser validados, por cuanto COBIT constituye una buena práctica de
reconocimiento mundial. Los perfiles de gestión de TIC’s se
establecieron tomando como referencia el modelo de madurez
propuesto por COBIT que considera de manera general los
siguientes niveles:

0. Inexistente, no se aplican procesos administrativos en lo


absoluto para gestionar las TIC’s.

71
1. Inicial/Ad-hoc, los procesos de TIC’s son Ad-hoc,
desorganizados e informales.
2. Repetible pero intuitivo, Los procesos de las TIC’s siguen un
patrón regular. Siguen técnicas tradicionales no documentadas.
3. Definido, los procesos de las TIC’s se documentan y
comunican.
4. Administrado y medible, los procesos de las TIC’s se
monitorean y miden.
5. Optimizado, las buenas prácticas se siguen y automatizan.

En lo siguiente, se explican los cuestionarios en función a cada


variable usada en el presente estudio de investigación:

A. Cuestionario de la variable: Garantizar la continuidad del


servicio, en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.
La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI,
almacenar respaldos fuera de las instalaciones y entrenar de forma
periódica sobre los planes de continuidad. Un proceso efectivo de
continuidad de servicios, minimiza la probabilidad y el impacto de
interrupciones mayores en los servicios de TI, sobre funciones y
procesos claves del negocio.

Para determinar el Perfil del proceso: garantizar la continuidad del


servicio, se utilizó la técnica de la encuesta y se aplicó como
instrumento de medición el cuestionario estructurado, en el cual se
contempló un total de 10 preguntas y que tuvo como alternativas
los siguientes niveles de madurez:

• Nivel 0 – Inexistente.
• Nivel 1 – Inicial/Ad-hoc.

72
• Nivel 2 – Repetible pero intuitivo.
• Nivel 3 – Definido.
• Nivel 4 – Administrado y medible.
• Nivel 5 – Optimizado.

B. Cuestionario de la variable: Garantizar la seguridad de los


sistemas, en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.
La necesidad de mantener la integridad de la información y de
proteger los activos de TI, requiere de un proceso de
administración de la seguridad. Este proceso incluye el
establecimiento y mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos de TI. La
administración de la seguridad también incluye realizar monitoreos
de seguridad y pruebas periódicas así como realizar acciones
correctivas sobre las debilidades o incidentes de seguridad
identificados. Una efectiva administración de la seguridad protege
todos los activos de TI para minimizar el impacto en el negocio
causado por vulnerabilidades o incidentes de seguridad.
Para determinar el Perfil del proceso: Garantizar la seguridad de
los sistemas, se utilizó la técnica de la encuesta y se aplicó como
instrumento de medición el cuestionario estructurado, en el cual se
contempló un total de 10 preguntas y que tuvo como alternativas
los siguientes niveles de madurez:

• Nivel 0 – Inexistente.
• Nivel 1 – Inicial/Ad-hoc.
• Nivel 2 – Repetible pero intuitivo.
• Nivel 3 – Definido.
• Nivel 4 – Administrado y medible.
• Nivel 5 – Optimizado.

73
C. Cuestionario de la variable: Educar y entrenar a los
usuarios, en el hospital Víctor Ramos Guardia de la ciudad de
Huaraz en el año 2011.
Para una educación efectiva de todos los usuarios de sistemas de
TI, incluyendo aquellos dentro de TI, se requieren identificar las
necesidades de entrenamiento de cada grupo de usuarios. Además
de identificar las necesidades, este proceso incluye la definición y
ejecución de una estrategia para llevar a cabo un entrenamiento
efectivo y para medir los resultados. Un programa efectivo de
entrenamiento incrementa el uso efectivo de la tecnología al
disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de
seguridad de los usuarios.

Para determinar el Perfil del proceso: Educar y entrenar a los


usuarios, se utilizó la técnica de la encuesta y se aplicó como
instrumento de medición el cuestionario estructurado, en el cual se
contempló un total de 10 preguntas y que tuvo como alternativas
los siguientes niveles de madurez:

• Nivel 0 – Inexistente.
• Nivel 1 – Inicial/Ad-hoc.
• Nivel 2 – Repetible pero intuitivo.
• Nivel 3 – Definido.
• Nivel 4 – Administrado y medible.
• Nivel 5 – Optimizado.

74
D. Cuestionario de la variable: Administrar la configuración en
el hospital Víctor Ramos Guardia de la ciudad de Huaraz en el
año 2011.
Garantizar la integridad de las configuraciones de hardware y
software requiere establecer y mantener un repositorio de
configuraciones completo y preciso. Este proceso incluye la
recolección de información de la configuración inicial, el
establecimiento de normas, la verificación y auditoria de la
información de la configuración y la actualización del repositorio de
configuración conforme se necesite. Una efectiva administración de
la configuración facilita una mayor disponibilidad, minimiza los
problemas de producción y resuelve los problemas más rápido.

Para determinar el Perfil del proceso: Administrar la configuración,


se utilizó la técnica de la encuesta y se aplicó como instrumento de
medición el cuestionario estructurado, en el cual se contempló un
total de 10 preguntas y que tuvo como alternativas los siguientes
niveles de madurez:
• Nivel 0 – Inexistente.
• Nivel 1 – Inicial/Ad-hoc.
• Nivel 2 – Repetible pero intuitivo.
• Nivel 3 – Definido.
• Nivel 4 – Administrado y medible.
• Nivel 5 – Optimizado.

E. Cuestionario de la variable: Administrar el ambiente físico


en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en
el año 2011.
La protección del equipo de cómputo y del personal, requiere de
instalaciones bien diseñadas y bien administradas. El proceso de
administrar el ambiente físico incluye la definición de los

75
requerimientos físicos del centro de datos (site), la selección de
instalaciones apropiadas y el diseño de procesos efectivos para
monitorear factores ambientales y administrar el acceso físico. La
administración efectiva del ambiente físico reduce las
interrupciones del negocio ocasionadas por daños al equipo de
cómputo y al Personal.

Para determinar el Perfil del proceso: Administrar el ambiente


físico, se utilizó la técnica de la encuesta y se aplicó como
instrumento de medición el cuestionario estructurado, en el cual se
contempló un total de 5 preguntas y que tuvo como alternativas los
siguientes niveles de madurez:

• Nivel 0 – Inexistente.
• Nivel 1 – Inicial/Ad-hoc.
• Nivel 2 – Repetible pero intuitivo.
• Nivel 3 – Definido.
• Nivel 4 – Administrado y medible.
• Nivel 5 – Optimizado.
2.5. Procedimientos de recolección de datos:
Se procedió de acuerdo a los siguientes puntos:

• Se coordinó en forma oficial entre el Coordinador del centro


académico de la Universidad Católica los Ángeles de Chimbote
– Huaraz y el Director del hospital Víctor Ramos Guardia,
solicitando autorización para efectuar la recolección de datos de
la realidad empírica.

• Se coordinó con el Director del hospital Víctor Ramos Guardia,


para fijar la fecha, día y hora disponible para la recolección de
datos, sin interferir las actividades laborales de los trabajadores.

76
• Se aplicó los instrumentos de medición, según la disponibilidad
de tiempo de los trabajadores, sin interrumpir su horario de
trabajo.

• Para la aplicación del cuestionario estructurado se contó con el


apoyo del personal Informático de planta, distribuidos en 4
zonas y junto al Tesista se realizaron las encuestas mediante el
procedimiento individual o cuestionario entrevistado.

• Una vez finalizada la aplicación de los instrumentos de


medición se cursó un oficio de agradecimiento al Director del
hospital Víctor Ramos Guardia de Huaraz, adjuntando un
informe de la situación actual del perfil de gestión de
tecnologías de información y comunicaciones según las
variables mencionadas al principio del Proyecto.

2.6. Plan de análisis de los datos:


La validación de los instrumentos ya se encontraba respaldado por
el modelo de procesos COBIT, el cual se utilizó como marco de
referencia para aplicar los mismos en esta investigación.

En esta fase se procedió al procesamiento de los datos obtenidos,


y para ello se aplicó el programa de cálculo estadístico Open office
calc versión 3.3.0, se procedió a la tabulación de los mismos en
base al promedio obtenido de las respuestas de los usuarios por
cada ítem y por cada variable propuesta al principio de este
documento; así mismo se establecieron las frecuencias y se
realizó la distribución de las mencionadas, por medio de cuadros
estadísticos y gráficos que nos permitieron analizar e interpretar

77
los datos para luego someter los resultados a una discusión
confrontada con el marco teórico.

3. Resultados:

3.1. Garantizar la continuidad de los servicios:

Tabla Nº 1
Distribución de frecuencias del nivel del proceso de garantizar la
continuidad de los servicios en el hospital Víctor Ramos Guardia -
Huaraz, según la opinión de los usuarios

78
Nivel Frecuencia %
0 - No existe 42 31,34
1 - Inicial 89 66,42
2 - Repetible 3 2,24
3 - Definido 0 0,00
4 - Administrado 0 0,00
5 - optimizado 0 0,00
Total 134 100,00

Fuente: Encuesta realizada en el mes de Marzo del 2011.


Aplicado por: Gonzales, C; 2011.

En la Tabla Nº 1 podemos apreciar que el 66,42% de los usuarios,


consideran que el proceso de garantizar la continuidad de los
servicios se encuentra en un nivel 1 – Inicial.

Estos resultados coinciden con la hipótesis, por lo que ésta queda


aceptada.

Gráfico Nº 1
Porcentaje del nivel del proceso de
garantizar la continuidad de los servicios

79
70,00 66,42

60,00 0 - No existe
50,00 1 - Inicial
40,00 31,34 2 - Repetible
30,00 3 - Definido
20,00 4 - Administrado

10,00 5 - optimizado
2,24 0,00 0,00 0,00
0,00
1

3.2. Garantizar la seguridad de los sistemas:

80
Tabla Nº 2
Distribución de frecuencias del nivel del proceso de garantizar la
seguridad de los sistemas en el hospital Víctor Ramos Guardia -
Huaraz, según la opinión de los usuarios

Nivel Frecuencia %
0 – No existe 10 7,46
1 - Inicial 124 92,54
2 - Repetible 0 0,00
3 - Definido 0 0,00
4 - Administrado 0 0,00

5 - optimizado 0 0,00

Total 134 100,00

Fuente: Encuesta realizada en el mes de Marzo del 2011.


Aplicado por: Gonzales, C; 2011.

En la Tabla Nº 1 podemos apreciar que el 92,54% de los usuarios,


consideran que el proceso de garantizar la seguridad de los
sistemas se encuentra en un nivel 1 – Inicial.

Estos resultados coinciden con la hipótesis, por lo que ésta queda


aceptada.

Gráfico Nº 2
Porcentaje del nivel del proceso de

81
garantizar la seguridad de los sistemas

92,54
100,00
90,00
80,00 0 - No existe
70,00 1 - Inicial
60,00
2 - Repetible
50,00
3 - Definido
40,00
30,00 4 - Administrado
20,00 5 - optimizado
7,46
10,00 0,00 0,00 0,00 0,00
0,00

3.3. Educar y entrenar a los usuarios:

Tabla Nº 3
Distribución de frecuencias del nivel del proceso de educar y
entrenar a los usuarios en el hospital Víctor Ramos Guardia - Huaraz,
según la opinión de los usuarios

Nivel Frecuencia %
0 - No existe 107 79,85
1 - Inicial 27 20,15
2 - Repetible 0 0,00
3 - Definido 0 0,00
4-
Administrado 0 0,00
5 - optimizado 0 0,00
Total 134 100,00

82
Fuente: Encuesta realizada en el mes de Marzo del 2011.
Aplicado por: Gonzales, C; 2011.

En la Tabla Nº 3 podemos apreciar que el 79,85% de los usuarios,


consideran que el proceso de educar y entrenar a los usuarios se
encuentra en un nivel 0 – No existe.

Estos resultados coinciden con la hipótesis, por lo que ésta queda


aceptada.

Gráfico Nº 3
Porcentaje del nivel del proceso de
educar y entrenar a los usuarios

90,00
79,85
80,00
70,00 0 - No existe
60,00 1 - Inicial
50,00 2 - Repetible
40,00 3 - Definido
30,00 4 - Administrado
20,15
20,00 5 - optimizado

10,00
0,00 0,00 0,00 0,00
0,00

83
3.4. Administrar la configuración:

Tabla Nº 4
Distribución de frecuencias del nivel del proceso de administrar la
configuración en el hospital Víctor Ramos Guardia - Huaraz, según la
opinión de los usuarios

Nivel Frecuencia %
0 - No existe 110 82,09
1 - Inicial 24 17,91
2 - Repetible 0 0,00
3 - Definido 0 0,00
4 - Administrado 0 0,00
5 - optimizado 0 0,00
Total 134 100,00

Fuente: Encuesta realizada en el mes de Marzo del 2011.


Aplicado por: Gonzales, C; 2011.

84
En la Tabla Nº 4 podemos apreciar que el 82,09% de los usuarios,
consideran que el proceso de administrar la configuración se
encuentra en un nivel 0 – No existe.

Estos resultados coinciden con la hipótesis, por lo que ésta queda


aceptada.

Gráfico Nº 4
Porcentaje del nivel del proceso de
administrar la configuración

90,00 82,09

80,00
70,00 0 - No existe
60,00 1 - Inicial
50,00 2 - Repetible
40,00 3 - Definido
30,00 4 - Administrado
17,91
20,00 5 - optimizado
10,00 0,00 0,00 0,00 0,00
0,00

3.5. Administrar el ambiente físico:

Tabla Nº 5

85
Distribución de frecuencias del nivel del proceso de administrar el
ambiente físico en el hospital Víctor Ramos Guardia - Huaraz, según
la opinión de los usuarios

Nivel Frecuencia %
0 - No existe 134 100,00
1 - Inicial 0 0,00
2 - Repetible 0 0,00
3 - Definido 0 0,00
4 - Administrado 0 0,00
5 - optimizado 0 0,00
Total 134 100,00
Fuente: Encuesta realizada en el mes de Marzo del 2011.
Aplicado por: Gonzales, C; 2011.

En la Tabla Nº 5 podemos apreciar que el 100.00% de los usuarios,


consideran que el proceso de administrar el ambiente físico se
encuentra en un nivel 0 – No existe.

Estos resultados coinciden con la hipótesis, por lo que ésta queda


aceptada.

Gráfico Nº 5
Porcentaje del nivel del proceso de
administrar el ambiente físico:

120,00
100,00
100,00 0 - No existe
80,00 1 - Inicial
2 - Repetible
60,00
3 - Definido
40,00 4 - Administrado
5 - optimizado
20,00
0,00 0,00 0,00 0,00 0,00
0,00

86
Discusión:
• En cuanto a la gestión del proceso de garantizar la continuidad del
servicio, los resultados de esta Investigación indican que el 66,42%
de los empleados del hospital “Víctor Ramos Guardia” de Huaraz
consideran que ésta se encuentra en un nivel inicial – 1 (Tabla Nº 1).
Estos resultados coinciden con el estudio denominado “Auditoria de la
gestión de las tecnologías de la información en el gobierno municipal
de San Miguel de Urcuquí, utilizando como modelo de referencia
COBIT 4.0” concluyendo que este proceso se encuentra en el nivel de
madurez inicial – 1 (4), por cuanto no se cuenta con un plan de
continuidad de servicios.

• Frente a la gestión del proceso de garantizar la seguridad de los


sistemas, los resultados de esta Investigación indican que el 92,54%
de los empleados del hospital “Víctor Ramos Guardia” de Huaraz
consideran que ésta se encuentra en un nivel inicial – 1 (Tabla Nº 2).
Estos resultados coinciden con el estudio denominado “Auditoria de la

87
gestión de las tecnologías de la información en el gobierno municipal
de San Miguel de Urcuquí, utilizando como modelo de referencia
COBIT 4.0” concluyendo que éste proceso se encuentra en el nivel de
madurez inicial – 1 (4), ya que la seguridad de los sistemas se
encuentra a cargo de un solo individuo el cual es el Jefe del
departamento Informático, no existen responsabilidades claras. Al
igual que otras investigaciones, estos resultados también coinciden
con los obtenidos en la investigación denominada “Sistema de Gestión
de seguridad de información para una institución financiera”, el cual
concluyó que este Proceso se encuentra en el nivel de madurez
inicial – 1 de madurez según la norma COBIT, puesto que, para
implantar una adecuada gestión de seguridad de información en una
institución financiera, el primer paso es obtener el apoyo y soporte de
la alta gerencia, haciéndolos participes activos de lo que significa
mantener adecuadamente protegida la información de la institución
financiera. Al demostrarles lo importante que es la protección de la
información para los procesos de negocio; se debe esperar de la alta
gerencia su participación continua (6).

• Sobre la gestión del proceso de educar y entrenar a los usuarios,


los resultados de esta Investigación indican que el 79,85% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que ésta se encuentra en un nivel de madurez inexistente – 0 (Tabla
Nº 3). Estos resultados coinciden con el estudio denominado
“Auditoria de la gestión de las tecnologías de la información en el
gobierno municipal de San Miguel de Urcuquí, utilizando como modelo
de referencia COBIT 4.0” concluyendo que éste proceso se encuentra
en el nivel de madurez inexistente – 0 (4), por cuanto hay una falta de
entrenamiento a los usuarios de los sistemas y no existe un plan de
capacitación a los usuarios. A diferencia de otras investigaciones,
estos resultados discrepan con los obtenidos en el estudio “Propuesta
de auditoria a los sistemas de información para evaluar la calidad del

88
software. Caso de estudio: Departamento médico del hospital militar
regional de San Miguel” el cual concluyó que el 57,10% de los
empleados encuestados consideran que el Departamento médico del
hospital militar regional de San Miguel se encuentra en un nivel inicial
– 1 (5) de madurez según el modelo COBIT.

• Con respecto a la gestión del proceso de administrar la


configuración, los resultados de esta Investigación indican que el
82,09% de los empleados del hospital “Víctor Ramos Guardia” de
Huaraz consideran que ésta se encuentra en un nivel de madurez
inexistente – 0 (Tabla Nº 4). Estos resultados discrepan con los
obtenidos en el estudio “Auditoria de la gestión de las Tecnologías de
la Información en el gobierno municipal de San Miguel de Urcuquí,
utilizando como modelo de referencia COBIT 4.0” concluyendo que
éste proceso se encuentra en el nivel de madurez inicial – 1 (4)
puesto que, solo se realizan tareas básicas como realizar inventarios
de hardware (cada año), no se tienen definidas prácticas
estandarizadas. Esto se debería a la diferencia existente entre una
institución de salud y un gobierno municipal, dado a que a éstas
últimas se les exige un mayor control y gestión de TI.

• Frente a la gestión del proceso de administrar el ambiente físico, los


resultados de esta investigación indican que el 100% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que ésta se encuentra en un nivel de madurez inexistente – 0 (Tabla
Nº 5). Estos resultados discrepan con los obtenidos en el estudio
“Auditoria de la gestión de las tecnologías de la información en el
gobierno municipal de San Miguel de Urcuquí, utilizando como modelo
de referencia COBIT 4.0” concluyendo que éste proceso se encuentra
en el nivel de madurez repetible – 2 (4) por cuanto, las operaciones
de seguridad son monitoreadas por parte del jefe del departamento
informático pero no eficientemente, no existe una buena

89
documentación de los procedimientos de mantenimiento de las
instalaciones, la gerencia no toma en cuenta los objetivos de
seguridad. Esto se debería a la diferencia existente entre una
institución de salud y un gobierno municipal, dado a que a éstas
últimas se les exige un mayor control y gestión de TI.

Conclusiones y recomendaciones

Conclusiones:
• Los resultados de esta investigación frente a la gestión del proceso de
garantizar la continuidad del servicio, indican que el 66,42% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que éste se encuentra en un nivel inicial – 1, tal y como se ve
reflejado en la Tabla Nº 1, según el modelo de madurez de COBIT, el
cual se origina cuando las responsabilidades sobre la continuidad de
los servicios son informales y la autoridad para ejecutar
responsabilidades es limitada. La gerencia comienza a darse cuenta
de los riesgos relacionados y de la necesidad de mantener continuidad
en los servicios. El enfoque de la gerencia sobre la continuidad del
servicio radica en los recursos de infraestructura, en vez de radicar en
los servicios de TI. Los usuarios utilizan soluciones alternas como
respuesta a la interrupción de los servicios. La respuesta de TI a las

90
interrupciones mayores es reactiva y sin preparación. Las pérdidas de
energía planeadas están programadas para cumplir con las
necesidades de TI pero no consideran los requerimientos del negocio

• Los resultados de esta investigación frente a la gestión del proceso de


garantizar la seguridad de los sistemas, indican que el 92,54% de
los empleados del hospital “Víctor Ramos Guardia” de Huaraz
consideran que ésta se encuentra en un nivel inicial – 1, tal y como se
ve reflejado en la Tabla Nº 2, según el modelo de madurez de COBIT,
y se da cuando la organización reconoce la necesidad de seguridad
para TI. La conciencia de la necesidad de seguridad depende
principalmente del individuo. La seguridad de TI se lleva a cabo de
forma reactiva. No se mide la seguridad de TI. Las brechas de
seguridad de TI ocasionan respuestas con acusaciones personales,
debido a que las responsabilidades no son claras. Las respuestas a
las brechas de seguridad de TI son impredecibles.

• Los resultados de esta investigación frente a la gestión del proceso de


educar y entrenar a los usuarios, indican que el 79,85% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que éste se encuentra en un nivel inexistente – 0, tal y como se ve
reflejado en la Tabla Nº 3, según el modelo de madurez de COBIT, y
se da cuando hay una total falta de programas de entrenamiento y
educación. La organización no reconoce que hay un problema a ser
atendido respecto al entrenamiento y no hay comunicación sobre el
problema.

• Los resultados de esta Investigación frente a la gestión del proceso de


administrar la configuración, indican que el 82,09% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que éste se encuentra en un nivel inexistente – 0, tal y como se ve
reflejado en la Tabla Nº 4, según el modelo de madurez de COBIT, el

91
cual ocurre cuando la gerencia no valora los beneficios de tener un
proceso implementado que sea capaz de reportar y administrar las
configuraciones de la infraestructura de TI, tanto para configuraciones
de hardware como de software.

• Los resultados de esta investigación frente a la gestión del proceso de


administrar el ambiente físico, indican que el 100,00% de los
empleados del hospital “Víctor Ramos Guardia” de Huaraz consideran
que éste se encuentra en un nivel inexistente – 0, tal y como se ve
reflejado en la Tabla Nº 5, según el modelo de madurez de COBIT, el
cual se da cuando no hay conciencia sobre la necesidad de proteger
las instalaciones o la inversión en recursos de cómputo. Los factores
ambientales tales como protección contra fuego, polvo, tierra y exceso
de calor y humedad no se controlan ni se monitorean.
Recomendaciones:

• Tomar en cuenta los procesos que se encuentran en el nivel de


madurez 0 y 1, son de factor crítico, por eso mismo los recursos de
TI se encuentran casi al margen de los criterios de información del
modelo COBIT.

• En cuanto al nivel de madurez resultante de la gestión del proceso de


garantizar la continuidad del servicio, se debe desarrollar un marco
de trabajo de continuidad, para identificar los recursos críticos de TI
que afectan el desempeño del hospital Víctor Ramos Guardia de
Huaraz con el propósito de reaccionar a tiempo frente a las
contingencias que se puedan presentar; además de mantener
actualizado el plan de continuidad se deben realizar pruebas
regulares, de esta manera se asegura que los sistemas de TI sean
recuperados de forma efectiva; una vez realizada la reanudación
exitosa de las funciones de TI, determinar la efectividad del plan de
continuidad y realizar las actualizaciones correspondientes según lo
amerite.

92
Distribuir y realizar un entrenamiento del plan de continuidad a todas
las personas involucradas en llevar a cabo este plan, así mismo
realizar copias de seguridad de la información vital u otros recursos
críticos fuera de las instalaciones.

• Frente al nivel de madurez resultante de la gestión del proceso de


garantizar la seguridad de los sistemas, se debe realizar un plan de
seguridad de TI, donde todos los usuarios del sistema sean
identificados de manera única.

Implementar llaves criptográficas a la información vital que se maneja


dentro de la institución, tomando en cuenta los criterios de longitud,
complejidad y periodo de uso, a fin de resguardar la integridad física y
lógica de la misma

Garantizar que las características de posibles incidentes de seguridad


sean definidas y comunicadas de forma clara y oportuna.

Realizar la prevención, detección y eliminación de software malicioso


y/o no autorizado.

Implementar políticas de seguridad en la red de datos mediante los


Firewalls para respaldar el intercambio de información sensible y
prevenir el ingreso de intrusos a la red.

Implementar un estatuto donde se rijan políticas de seguridad con


respecto al manejo y cuidado de los equipos de cómputo.

93
• Sobre el nivel de madurez resultante en la gestión del proceso de
educar y entrenar a los usuarios, es recomendable Identificar las
necesidades de entrenamiento y educación del personal acerca de las
TI, para luego impartir capacitaciones continuas y dar a conocer a los
usuarios los valores corporativos; finalmente realizar una evaluación
después del entrenamiento realizado.

• Con respecto al nivel de madurez resultante en la gestión del proceso


de administrar la configuración, es aconsejable crear un repositorio
central, que cuente con la información de los elementos de
configuración, contemplando los sistemas operativos, aplicaciones,
Firmwares de hardware, sistemas corporativos, etc., así mismo
realizar el registro de activos apenas se adquieran.

• Frente al nivel de madurez resultante en la gestión del proceso de


administrar el ambiente físico, básicamente se debe reformar la
estructura del cableado de la red de datos LAN, debido a los
materiales y técnicas de implementación inadecuados; e implementar
políticas de seguridad para evitar el crecimiento clandestino y
segmentación irregular de la red de datos.

Se debe adaptar completamente las instalaciones del área de


informática a un centro de cómputo y a un cuarto de equipos, puesto
que el espacio de trabajo de éste es muy limitado, y mal distribuido,
sin las seguridades físicas pertinentes.

Tomar conciencia sobre la inversión que se realiza en la adquisición


de equipos de cómputo, de tal manera que éstos se ubiquen en
lugares adecuados y protegidos ante la alteración de los factores
climáticos.

94
• Finalmente se recomienda:
Hacer el uso del presente trabajo de investigación, con el fin de
tomarlo como guía para futuras mejoras en TI.

Capacitar al personal informático sobre el marco de referencia COBIT,


para el mejor entendimiento de este trabajo de investigación.

Realizar evaluaciones periódicas con el fin de medir el avance de cada


uno de los procesos estudiados en este trabajo de investigación.

Tener disponible toda la información necesaria para un proceso de


auditoria o que no se oculte nada de información vital para este
proceso, con lo cual se asegura un resultado óptimo de la auditoria.

Referencias bibliográficas

1. Becerra L, Gonzales F, Valenzuela J, Cedeño M. Impacto de las


TIC’s en la salud [Monografía en Internet] [Citada 2011 Junio 28].
Disponible en: http://www.slideshare.net/Nanducci/las-tics-en-el-
sector-salud

2. Information security INC. Programa de especialización en auditoria


de sistemas [Monografía en Internet]. [Citada 2011 Febrero 18].
Disponible en:
http://www.isec-global.com/i
sec/mtagenda/Especializacion_en_auditoria_de_Sistemas_V1.pdf

3. Portal WEB del hospital Víctor Ramos Guardia de Huaraz [Internet].


[Citada 2011 Febrero 18]. Disponible en:
http://www.hospitalvrg.gob.pe/

95
4. Llumihuasi J. Auditoria de la gestión de las tecnologías de la
información en el gobierno municipal de San Miguel de Urcuquí,
utilizando como modelo de referencia COBIT 4.0. [Monografía en
Internet] Quito – Ecuador: Escuela politécnica nacional; 2010
[Citada 2011 Febrero 18] [Alrededor de 139 páginas]. Disponible
desde: http://bibdigital.epn.edu.ec/bitstream/15000/2408/1/CD-
3140.pdf

5. Castillo P, Flores V. Propuesta de auditoria a los sistemas de


información para evaluar la calidad del software. Caso de estudio:
Departamento médico del hospital regional de San Miguel.
[Monografía en Internet] El salvador: Universidad de Oriente; 2006
[Citada 2011 Febrero 18] [Alrededor de 156 páginas]. Disponible
desde: http://www.univo.edu.sv:8081/tesis/016139/

6. Villena m. Sistema de gestión de seguridad de información para


una institución financiera [Tesis de grado]. Lima: 2006.

7. Hospitales definición [Internet]. Perú; 2009 [Citada 2011 Febrero


18]. Disponible en: http://es.wikipedia.org/wiki/Hospital

8. Clasificación de los hospitales. [Internet]. Perú; 2008 [Citada 2011


junio 28]._Disponible_en:
http://www.hospitales.us/enfermos/ayuda/clasificacion-de-los-
hospitales/

9. Tecnologías de información y comunicación [Monografía en


Internet] [Citada 2011 Febrero 18]. Disponible en
http://www.prepafacil.com/cobach/Main/TecnologiasDeInformacion
YComunicacion

96
10. Instituto nacional de estadística e informática-INEI. Informe
nacional PERÚ: Situación de las tecnologías de información y
comunicaciones- TIC’s [Internet]. Perú: INEI; 2002 [citada 2011
Febrero 18]. Disponible desde:
http://www.ongei.gob.pe/estudios/publica/estudios/Lib5153/Libro.pd
f

11. Programa Eraberritu. Guía Básica para la aplicación de las


tecnologías de información y comunicaciones [Monografía en
Internet]. España: Bizcaiko Foru Aldundia; 2001 [citada 2011
Febrero 18]. Disponible en:
http://www.bizkaia.net/Home2/Archivos/DPTO8/Temas/Pdf/ca_GT_
INTROD

12. Ignacio J. Cómo maximizar el aprovechamiento e impacto de las


TICs en las PYMES [Monografía en Internet]. Costa Rica: CAATEC;
2006 [citada 2011 Febrero 18].Disponible desde:
http://www.iberpymeonline.org/TIC0306/JoseIgnacioAlfaroFUNDAC
IONCAATEC.pdf

13. Luís B, Fernando G, Joaquín V, Marcos C. Impacto de las TIC’s en


la salud [Monografía en Internet]. [Citada 2011 Febrero 18]
Disponible en:
http://www.slideshare.net/Nanducci/las-tics-en-el-sector-salud

14. Internet definición [Internet]. Perú; 2011 [Citada 2011 Junio 28].
Disponible en: http://es.wikipedia.org/wiki/Internet

15. Carnegie M. Software engineering institute. client/server software


architectures an overview. [Monografía en Internet]. [Citada 2011
Junio_28]._Disponible_desde:
http://www.sei.cmu.edu/str/descriptions/clientserver_body.html

97
16. Sistema de gestión hospitalaria [Internet]. [Citada 2011 Junio 28].
Disponible_en:
http://www.indracompany.com/sectores/sanidad/nuestra-
oferta/sanidad/sistema-de-gestion-hospitalaria

17. MINSA. Sistema integrado de gestión administrativa. [Monografía


en Internet]. Perú: Ministerio de salud; 2003 [Citada 2011 Febrero
18]. Disponible en: http://www.minsa.gob.pe/siga/

18. MEF. Sistema integrado de administración financiera [Monografía


en Internet]. Perú: Ministerio de economía y finanzas. [Citada 2011
Febrero 18]. Disponible en http://www.mef.gob.pe/

19. Sistema de vigilancia digital [Internet]. [Citada 2011 Junio 28].


Disponible_en:
http://www.axis.com/es/products/video/about_networkvideo/digital_
benefits.htm

20. Sistema de control de asistencia [Internet]. [Citada 2011 Junio 28].


Disponible_desde:
http://www.design-soft.com.pe/Control%20de%20asistencia.htm

21. Sistema integrado de telefonía [Internet]. [Citada 2011 Junio 28].


Disponible desde:

http://www.gestiopolis.com/canales/demarketing/articulos/61/callcenter.ht
m

22. MINSA. Oficina de informática y telecomunicaciones [Monografía


en Internet]. Perú: Ministerio de salud; 2007 [Citada 2011 Febrero
18]. Disponible en: http://www.minsa.gob.pe/ogei/inftel.asp

98
23. José E, Redes y conectividad [Monografía en Internet]. [Citada
2011 Junio 18] Disponible en:
http://www.monografias.com/trabajos/introredes/introredes.shtml

24. Herramientas de ofimática [Internet]. [Citada 2011 Junio 28].


Disponible_en: http://jorgeofi.galeon.com/

25. IT Governance institute. COBIT 4.0. Traducido del inglés al


español; Glanser Services, S.C. [Internet]. México, D.F. México;
Junio 2006 [Citada 2011 Febrero 18]; 207 p. Disponible en:
http://www.isaca.org/Content/NavigationMenu/Members_and_Lead
ers/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

26. Consultoría y soluciones para la gestión de servicios TI. Objetivos


de control para tecnología de información y tecnologías
relacionadas [Monografía en Internet]. [Citada 2011 Febrero 18]
[Alrededor de 3 Pantallas] Disponible en:
http://www.overti.es/procesos-itsm/cobit.aspx

27. Mario R. Perfil de la gestión de las tecnologías de la información y


las comunicaciones en las MYPES de la región de Ancash
[Proyecto de Investigación]. Chimbote: Universidad Católica los
Ángeles de Chimbote [Citada 2011 Febrero 18] 2010.

28. Encuesta definición [Internet]. Perú; 2008 [Citada 2011 Junio 28].
Disponible en: http://es.wikipedia.org/wiki/Encuesta

29. Observación definición [Internet] Perú; 2008 [Citada 2011 Junio 28]
Disponible en: http://es.wikipedia.org/wiki/Observaci%C3%B3n

99
30. Cuestionario estructurado definición [Internet] Perú: 2010 [Citada
2011 Junio 28] Disponible en: http://www.kanontower.com/cgi-
bin/glossary/guru_glossary.cgi?word=Cuestionario_estructurado

Anexos

100
101
Anexo nº 01 – Cronograma de actividades

102
Anexo nº 02 – Presupuesto

Nº Etapas Cronograma
Código Descripción Cantida Unidad Costo Unit. S/. Sub- Total S/.
Abril Mayo Junio Julio
d 3 4 1 2 3 4 1 Total
2 3 4 1 2 3 4
27 Remuneraciones S S S S S S S S S S S S S S
Asesoramiento 1 Curso 1500.00 1500.00
01 Presentación del proyecto de línea base. X
Personal de apoyo 4 RR/HH 35.00 140.00 1640.00
02 51 delBienes
Ajuste deobjetivos
problema, inversióny justificación al proyecto
X
específico.
Computadora 1 Unidad 1850.00 1850.00
03 Ajuste deImpresora 1
los antecedentes, marco teórico y metodología Unidad X 350.00 350.00
al proyecto específico.
Memoria USB 1 Unidad 65.00 65.00
04 Presentación del proyecto de investigación X 50.00
Mobiliario 2 Unidad 100.00 2365.00
05 48
Revisión Bienes dede
del proyecto consumo
investigación. X
Papel Bond Atlas A4 80 gr. ¼ Millar 25.00 6.30
06 Recolección de datos. X
Útiles de escritorio. 1 Kit 15.00 15.00
07 Tablero
Recolección de campo
de datos. 1 Unidad 10.00 X 10.00
CD's 2 Unidad 1.00 2.00 33.30
08 Recolección de datos. X
10 % de imprevistos 3.33 36.63
09 32 Servicios
Tabulación y procesamiento de datos. X
Impresión 297 Hojas 0.10 29.7
10 Presentación, análisis e interpretación de resultados. X
Anillado y empastado 3 3.00 9.00
11 DiscusiónTelefonía 5 y
de resultados y elaboración de conclusiones Recarga 3.00 15.00 X
recomendaciones.
Internet 2 Mes 35.00 70.00
12 RedacciónTransporte
del informelocal
final. 8 Pasaje 0.80 6.40 130.1
X
10 % de imprevistos 13.01 143.11
13 Revisión del informe final. X
Total 4184.74
14 Sustentación del informe final. X

Anexo nº 03 – Financiamiento

Documento: Tesis.

103
Título:
Perfil de gestión de las tecnologías de información y comunicaciones:
garantizar la continuidad del servicio, garantizar la seguridad de los sistemas,
educar y entrenar a los usuarios, administrar la configuración y administrar el
ambiente físico en el hospital Víctor Ramos Guardia de la ciudad de Huaraz en
el año 2011.

Localidad: Huaraz

Presupuesto: S/. 4184.74

Ejecutor: Carlos Ernesto GONZALES HENOSTROZA

Anexo Nº 04 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “Garantizar la continuidad
de los servicios”

Objetivo: Describir el perfil del proceso de garantizar la continuidad del servicio en el hospital
Víctor Ramos Guardia de la ciudad de Huaraz en el año 2011.

104
Instrucción: El presente Cuestionario forma parte de un trabajo de investigación de ingeniería
de sistemas, por esta razón se solicita se digne marcar con un aspa la letra que antecede a la
alternativa que Usted crea correcta, de las preguntas que a continuación se presentan.

Sus respuestas anónimas se guardarán con absoluta confidencialidad.

1. ¿Existe un marco de trabajo para establecer la continuidad de las tecnologías de


información?
a) No existe marco de trabajo.
b) La continuidad de las TI se establece de manera informal.
c) La continuidad de las TI no está documentada.
d) El marco de trabajo para establecer la continuidad de las tecnologías de información
tiene un proceso documentado.
e) El proceso del marco de trabajo para establecer la continuidad de las tecnologías de
información es monitoreado.
f) El proceso del marco de trabajo para establecer la continuidad de las tecnologías de
información está automatizado.

2. ¿Existen estrategias de planes de continuidad de las tecnologías de información?


a) No existen estrategias de planes de continuidad de las TI.
b) Los planes de continuidad de las TI se realizan de manera informal.
c) Los planes de continuidad de las TI no estás documentados.
d) Las estrategias de planes de continuidad de las TI tienen un proceso documentado.
e) El proceso de las estrategias de planes de continuidad de las TI se monitorean.
f) El proceso de las estrategias de planes de continuidad de las TI están automatizados.

3. ¿Existe identificación de los procesos críticos, con respecto a las TI?


a) No existen identificación de los procesos críticos de las TI.
b) La identificación de procesos críticos de las TI se realiza de manera informal.
c) La identificación de procesos críticos de las TI, no está documentada.
d) La identificación de procesos críticos de las TI tiene un proceso documentado.
e) El proceso de identificación de procesos críticos de las TI, se monitorea.
f) El proceso de identificación de procesos críticos de las TI, está automatizado.

4. ¿Se desarrollan servicios de pruebas y madurez de tecnología de información?


a) No existen servicios de prueba y madurez de TI.
b) El servicio de prueba y madurez de TI se realiza de manera informal.
c) El servicio de prueba y madurez, no está documentado.

105
d) El servicio de prueba y madurez, tiene un proceso documentado.
e) El proceso del servicio de prueba y madurez, es monitoreado.
f) El proceso del servicio de prueba y madurez, está automatizado.

5. ¿Se garantiza la confidencialidad e integridad de la información?


a) No existe confidencialidad e integridad de la información.
b) La confidencialidad e integridad de la información, se garantiza de manera informal.
c) La confidencialidad e integridad de la información, no está documentada.
d) La confidencialidad e integridad de la información, tiene un proceso documentado.
e) El proceso de confidencialidad e integridad de la información, es monitoreado.
f) El proceso de confidencialidad e integridad de la información, está automatizado.

6. ¿Existe capacidad de recuperación de las tecnologías de la información, en caso de


dificultades tecnológicas o propias del área?
a) No existe la capacidad de recuperación de las TI.
b) La capacidad de recuperación, es informal.
c) La capacidad de recuperación, no está documentada.
d) La capacidad de recuperación, tiene un proceso documentado.
e) El proceso de capacidad de recuperación, es monitoreado.
f) El proceso de capacidad de recuperación, está automatizado.

7. ¿Existe un plan de servicio de mantenimiento de centro de información y equipos de


TI, de respaldo?
a) No existe un plan de servicio de mantenimiento.
b) El plan de servicio de mantenimiento, se realiza de manera informal.
c) El plan de servicio de mantenimiento, no está documentado.
d) El plan de servicio de mantenimiento, tiene un proceso documentado.
e) El proceso del plan de servicio de mantenimiento, es monitoreado.
f) El proceso del plan de servicio de mantenimiento, está automatizado.

8. ¿Posee sitio externo de almacenamiento de respaldo de archivos?


a) No existe un sitio externo de almacenamiento de respaldo de archivos.
b) El almacenamiento externo de respaldo de archivos, se realiza de manera informal.
c) El almacenamiento externo de respaldo de archivos, no está documentado.
d) El almacenamiento externo de respaldo de archivos, tiene un proceso documentado.
e) El proceso de almacenamiento externo de respaldo de archivos, es monitoreado.
f) El proceso de almacenamiento externo de respaldo de archivos, está automatizado.

9. ¿Existen políticas de seguridad en el uso de la Red e Internet, para asegurar la


continuidad de estos?

106
a) No existe políticas de seguridad en el uso de la Red e Internet.
b) Las políticas de seguridad en el uso de la Red e Internet, son informales.
c) Las políticas de seguridad en el uso de la Red e Internet, no están documentadas.
d) Las políticas de seguridad en el uso de la Red e Internet, tienen un proceso
documentado.
e) El proceso de las políticas de seguridad en el uso de la Red e Internet, es monitoreada.
f) El proceso de las políticas de seguridad en el uso de la Red e Internet, está
automatizado.

10. ¿Existen plan de reanudación, de las TI, en caso de desastres naturales?


a) No existe plan de reanudación de las TI.
b) El plan de reanudación de las TI, se realiza de manera informal.
c) El plan de reanudación de las TI, no está documentado.
d) El plan de reanudación de las TI, tiene un proceso documentado.
e) El proceso de reanudación de las TI, es monitoreado.
f) El proceso de reanudación de las TI, está automatizado.

Responsable: CEGH

Anexo Nº 05 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “Garantizar la seguridad de
los sistemas”

Objetivo: Describir el perfil del proceso de garantizar la seguridad de los sistemas en el


hospital Víctor Ramos Guardia de la ciudad de Huaraz en el año 2011.

107
Instrucción: El presente Cuestionario forma parte de un trabajo de investigación de ingeniería
de sistemas, por esta razón se solicita se digne marcar con un aspa la letra que antecede a la
alternativa que Usted crea correcta, de las preguntas que a continuación se presentan.

Sus respuestas anónimas se guardarán con absoluta confidencialidad.

1. ¿Se gestionan medidas de seguridad de los sistemas de información?


a) No existe gestión de seguridad de los SI.
b) La gestión de seguridad de los SI, se realiza de manera informal.
c) La gestión de seguridad de los SI, no está documentada.
d) La gestión de seguridad de los SI, tiene un proceso documentado.
e) El proceso de la gestión de seguridad de los SI, es monitoreado.
f) El proceso de la gestión de seguridad de los SI, está automatizado.

2. ¿La seguridad de los sistemas de información, están alineadas a los requerimientos


y procesos de negocios?
a) No existe alineación en la seguridad de SI, requerimientos y procesos del negocio.
b) La alineación de la seguridad de SI, requerimientos y procesos del negocio, es
informal.
c) La alineación de la seguridad de SI, requerimientos y procesos del negocio, no está
documentada.
d) La alineación de la seguridad de SI, requerimientos y procesos del negocio, tiene un
proceso documentado.
e) El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio,
es monitoreado.
f) El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio,
está automatizado.

3. ¿Existen políticas de seguridad en cuanto a los sistemas de información?


a) No existen políticas de seguridad con respecto a los SI.
b) Las políticas de seguridad con respecto a los SI, son informales.
c) Las políticas de seguridad con respecto a los SI, no están documentadas.
d) Las políticas de seguridad con respecto a los SI, tienen un proceso documentado.
e) El proceso de las políticas de seguridad con respecto a los SI, es monitoreado.
f) El proceso de las políticas de seguridad con respecto a los SI, está automatizado.

4. ¿Se administran la identidad de acceso a los sistemas de información?


a) No se administra el acceso a los SI.
b) La administración de acceso a los SI, se realiza de manera informal.
c) La administración de acceso a los SI, no está documentada.

108
d) La administración de acceso a los SI, tiene un proceso documentado.
e) El proceso de identificación de acceso a los SI, es monitoreado.
f) El proceso de identificación de acceso a los SI, está automatizado.

5. ¿Existe privilegios de los usuarios, respecto al uso de los sistemas de información?


a) No existe privilegios de los usuarios para el uso de los SI.
b) Los privilegios para el uso de los SI se administran de manera informal.
c) Los privilegios para el uso de los SI, no están documentados.
d) Los privilegios para el uso de los SI, tienen un proceso documentado.
e) El proceso de los privilegios para el uso de los SI, es monitoreado.
f) El proceso de los privilegios para el uso de los SI, está automatizado.

6. ¿Existen identificación de incidentes de seguridad, respecto a los sistemas de


información?
a) No existe identificación de incidentes de seguridad de los SI.
b) La identificación de incidentes de seguridad de los SI, se realiza de manera informal.
c) La identificación de incidentes de seguridad de los SI, no está documentada.
d) La identificación de incidentes de seguridad de los SI, tiene un proceso documentado.
e) El proceso de identificación de incidentes de seguridad de los SI, es monitoreado.
f) El proceso de identificación de incidentes de seguridad de los SI, está automatizado.

7. ¿Existen Llaves Criptográficas, que permitan la seguridad de los sistemas de


información?
a) No existen llaves Criptográficas.
b) Las llaves Criptográficas, son informales.
c) Las llaves Criptográficas, no están documentadas.
d) Las llaves Criptográficas, tienen un proceso documentado.
e) El proceso de llaves Criptográficas, es monitoreado.
f) El proceso de llaves Criptográficas, está automatizado.

8. ¿Existe prevención, detección y corrección de Software malicioso, con respecto a la


seguridad de los sistemas de información?
a) No existe.
b) Se realiza de manera informal.
c) No se documenta.
d) Tiene un proceso documentado.
e) El proceso es monitoreado.
f) El proceso está automatizado.

9. ¿Existen planes de seguridad con respecto al sabotaje del uso de la información?

109
a) No existen planes de seguridad respecto al sabotaje del uso de la información.
b) La seguridad respecto al sabotaje del uso de la información, se realiza de manera
informal.
c) La seguridad respecto al sabotaje del uso de la información, no se documenta.
d) La seguridad respecto al sabotaje del uso de la información, tiene un proceso
documentado.
e) El proceso de seguridad respecto al sabotaje del uso de la información, es
monitoreado.
f) El proceso de seguridad respecto al sabotaje del uso de la información, está
automatizado.

10. ¿Existen autenticación en el intercambio de la información, que se realizan mediante


los sistemas?
a) No existe autenticación en el intercambio de la información.
b) La autenticación en el intercambio de la información, se realiza de manera informal.
c) La autenticación en el intercambio de la información, no está documentada.
d) La autenticación en el intercambio de la información, tiene un proceso documentado.
e) El proceso de autenticación en el intercambio de la información, es monitoreado.
f) El proceso de autenticación en el intercambio de la información, está automatizado.

Responsable: CEGH

Anexo Nº 06 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “Educar y entrenar a los
usuarios”

Objetivo: Describir el perfil del proceso de educar y entrenar a los usuarios en el hospital Víctor
Ramos Guardia de la ciudad de Huaraz en el año 2011.

110
Instrucción: El presente Cuestionario forma parte de un trabajo de investigación de ingeniería
de sistemas, por esta razón se solicita se digne marcar con un aspa la letra que antecede a la
alternativa que Usted crea correcta, de las preguntas que a continuación se presentan.

Sus respuestas anónimas se guardarán con absoluta confidencialidad.

1. ¿Existen estrategias para entrenar y educar a los usuarios?


a) No existen estrategias de entrenamiento y educación a los usuarios.
b) Las estrategias de entrenamiento y educación, se realiza de manera informal
c) Las estrategias de entrenamiento y educación, no está documentada.
d) Las estrategias de entrenamiento y educación, tiene un proceso documentado.
e) El proceso de estrategias de entrenamiento y educación, son monitoreadas.
f) El proceso de estrategias de entrenamiento y educación, son automatizados.

2. ¿Se identifican las necesidades de entrenamiento y educación?


a) No existen identificación de necesidades.
b) La identificación de necesidades, se realiza de manera informal.
c) La identificación de necesidades, no está documentada.
d) La identificación de necesidades, tiene un proceso documentado.
e) El proceso de identificación de necesidades, son monitoreadas.
f) El proceso de identificación de necesidades, son automatizados.

3. ¿Existen programas de entrenamientos determinados para cada grupo?


a) No existen programas de entrenamiento determinados.
b) Los programas de entrenamiento determinados, se realiza de manera informal.
c) Los programas de entrenamiento determinados, no está documentada.
d) Los programas de entrenamiento determinados, tiene un proceso documentado
e) El proceso de programas de entrenamientos, son monitoreadas.
f) El proceso de programas de entrenamientos, son automatizados.

4. ¿Existen programas de valores éticos, respecto a la seguridad de las tecnologías de


información?
a) No existen programas de valores éticos de seguridad de TI.
b) Los programas de valores éticos de seguridad de TI, se realiza de manera informal.
c) Los programas de valores éticos de seguridad de TI, no está documentada.
d) Los programas de valores éticos de seguridad de TI, tiene un proceso documentado.
e) El proceso de programas de valores éticos de seguridad de TI, son monitoreadas.
f) El proceso de programas de valores éticos de seguridad de TI, son automatizados.

111
5. ¿Existen programas certificados, respecto al entrenamiento y educación de las
tecnologías de información?
a) No existen programas certificados.
b) Los programas certificados, se realiza de manera informal.
c) Los programas certificados, no está documentada.
d) Los programas certificados, tiene un proceso documentado.
e) El proceso de los programas certificados, son monitoreadas.
f) El proceso de los programas certificados, automatizados.

6. ¿Se implementan capacitaciones, respecto a los cambios del Software e


infraestructura tecnológica, que utiliza la institución?
a) No se implementan capacitaciones respecto a los cambios.
b) Las capacitaciones respecto a los cambios, se realiza de manera informal.
c) Las capacitaciones respecto a los cambios, no está documentada.
d) Las capacitaciones respecto a los cambios, tiene un proceso documentado.
e) El proceso de capacitaciones respecto a los cambios, son monitoreadas.
f) El proceso de las capacitaciones respecto a los cambios, son automatizados.

7. ¿Existe área encargada del entrenamiento de los usuarios?


a) No existe área encargada para el entrenamiento de los usuarios.
b) El entrenamiento de los usuarios, se realiza de manera informal.
c) El entrenamiento de los usuarios, no está documentada.
d) El entrenamiento de los usuarios, tiene un proceso documentado.
e) El proceso de entrenamiento de los usuarios, es monitoreado.
f) El proceso de entrenamiento de los usuarios, es automatizados.

8. ¿Los manuales que utilizan el personal designado, para las capacitaciones son
estructurados y didácticos?
a) No existen manuales en las capacitaciones.
b) La utilización de manuales en las capacitaciones, se realiza de manera informal.
c) La utilización de manuales en las capacitaciones, no está documentada.
d) La utilización de manuales en las capacitaciones, tiene un proceso documentado.
e) El proceso de utilización de manuales en las capacitaciones, es monitoreado.
f) El proceso de utilización de manuales en las capacitaciones, es automatizados.

9. ¿Existe planificación de los eventos de entrenamiento?


a) No existen planificación de los eventos de entrenamiento.
b) La planificación de los eventos de entrenamiento, se realiza de manera informal.
c) La planificación de los eventos de entrenamiento, no está documentada.
d) La planificación de los eventos de entrenamiento, tiene un proceso documentado.

112
e) El proceso de la planificación de los eventos de entrenamiento, son monitoreadas.
f) El proceso de la planificación de los eventos de entrenamiento, son automatizados.

10. ¿Existe evaluación del entrenamiento y educación impartida?


a) No existen evaluación del entrenamiento y educación.
b) La evaluación del entrenamiento y educación, se realiza de manera informal.
c) La evaluación del entrenamiento y educación, no está documentada.
d) La evaluación del entrenamiento y educación, tiene un proceso documentado.
e) Los procesos de la evaluación del entrenamiento y educación, son monitoreada.
f) Los procesos de la evaluación del entrenamiento y educación, son automatizados.

Responsable: CEGH

Anexo Nº 07 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “Administrar la
configuración”

Objetivo: Describir el perfil del proceso de administrar la configuración en el hospital Víctor


Ramos Guardia de la ciudad de Huaraz en el año 2011.

113
Instrucción: El presente Cuestionario forma parte de un trabajo de investigación de ingeniería
de sistemas, por esta razón se solicita se digne marcar con un aspa la letra que antecede a la
alternativa que Usted crea correcta, de las preguntas que a continuación se presentan.

Sus respuestas anónimas se guardarán con absoluta confidencialidad.

1. ¿Existen estandarización de las herramientas de configuración?


a) No existe estandarización de herramientas.
b) La estandarización de herramientas, se establece de manera informal.
c) La estandarización de herramientas, no son documentados.
d) La estandarización de herramientas, tiene un proceso documentado.
e) El proceso de estandarización de herramientas, son monitoreados.
f) El proceso de estandarización de herramientas, son automatizados.

2. ¿Existen repositorios de datos, para la configuración de la información?


a) No existen repositorios de datos.
b) El repositorios de datos, se establece de manera informal.
c) El repositorio de datos, no son documentados.
d) El repositorio de datos, tiene un proceso documentado.
e) El proceso de repositorio de datos, es monitoreado.
f) El proceso de repositorio de datos, es automatizado.

3. ¿Existe una línea base de configuración?


a) No existe una línea base de configuración.
b) La línea base de configuración, se establece de manera informal.
c) La línea base de configuración, no es documentado.
d) La línea base de configuración, tiene un proceso documentado.
e) Los procesos de línea base de configuración, es monitoreado.
f) Los procesos de línea base de configuración, es automatizado.

4. ¿Existe identificación de elementos de configuración?


a) No existe identificación de elementos de configuración.
b) La identificación de elementos de configuración, se realiza de manera informal.
c) La identificación de elementos de configuración, no son documentados.
d) La identificación de elementos de configuración, tiene un proceso documentado.
e) Los procesos de la identificación de elementos de configuración, son monitoreados.
f) Los procesos de la identificación de elementos de configuración, son automatizado.

114
5. ¿Existe supervisión del mantenimiento de configuración?
a) No existe supervisión del mantenimiento.
b) La supervisión de mantenimiento, se realiza de manera informal.
c) La supervisión de mantenimiento, no es documentado.
d) La supervisión de mantenimiento, tiene un proceso documentado.
e) Los procesos de supervisión de mantenimiento, son monitoreados.
f) Los procesos de supervisión de mantenimiento, son automatizados.

6. ¿Se registran los procesos de configuración?


a) No se registran los procesos de configuración.
b) El registro de procesos de configuración, se realiza de manera informal.
c) El registro de procesos de configuración, no son documentados.
d) El registro de procesos de configuración, tiene un proceso documentado.
e) Los procesos de registro de configuración, es monitoreado.
f) Los procesos de registro de configuración, es automatizado.

7. ¿Existe gestión de configuración en los cambios de procedimientos?


a) No existe gestión de configuración en los procedimientos.
b) La gestión de configuración en los procedimientos, se realiza de manera informal.
c) La gestión de configuración en los procedimientos, no es documentado.
d) La gestión de configuración en los procedimientos, tiene un proceso documentado.
e) Los procesos de gestión de configuración en los procedimientos, son monitoreados.
f) Los procesos de gestión de configuración en los procedimientos, son automatizado.

8. ¿Existe evaluación periódica de la gestión de configuración?


a) No existe evaluación periódica de la configuración.
b) La evaluación periódica de la configuración, se realiza de manera informal.
c) La evaluación periódica de la configuración, no es documentado.
d) La evaluación periódica de la configuración, tiene un proceso documentado.
e) Los procesos de evaluación periódica de la configuración, son monitoreados
f) Los procesos de evaluación periódica de la configuración, son automatizados.
9. ¿Existe supervisión del Software que se utiliza?
a) No existe supervisión del Software.
b) La supervisión del Software, se realiza de manera informal.
c) La supervisión del Software, no es documentado.
d) La supervisión del Software, tiene un proceso documentado.
e) Los procesos de supervisión del Software, es monitoreado.
f) Los procesos de supervisión del Software, es automatizado.

115
10. ¿Existe proyección estadística, de los errores de configuración?
a) No existe proyección estadística de los errores.
b) La proyección estadística de los errores, se realiza de manera informal.
c) La proyección estadística de los errores, no es documentado.
d) La proyección estadística de los errores, tiene un proceso documentado.
e) Los procesos de proyección estadística de los errores, son monitoreados.
f) Los procesos de proyección estadística de los errores, son automatizados.

Responsable: CEGH

Anexo Nº 08 – Cuestionario para medir el perfil de gestión de las


tecnologías de información según la variable “Administrar el ambiente
físico”

Objetivo: Describir el perfil del proceso de administrar el ambiente físico en el hospital Víctor
Ramos Guardia de la ciudad de Huaraz en el año 2011.

116
Instrucción: El presente Cuestionario forma parte de un trabajo de investigación de ingeniería
de sistemas, por esta razón se solicita se digne marcar con un aspa la letra que antecede a la
alternativa que Usted crea correcta, de las preguntas que a continuación se presentan.

Sus respuestas anónimas se guardarán con absoluta confidencialidad.

1. ¿El centro de datos toma en cuenta el riesgo asociado con desastres naturales
causados y causados por el hombre?
a) No toman en cuenta los riesgos asociados a los ambientes.
b) Los riesgos asociados a los ambientes, se establecen de manera informal.
c) Los riesgos asociados a los ambientes, no son documentados.
d) Los riesgos asociados a los ambientes, tienen un proceso documentado.
e) Los procesos de riesgos asociados a los ambientes, son monitoreados.
f) Los procesos de riesgos asociados a los ambientes, son automatizados.

2. ¿Existe políticas implementadas con respecto a la seguridad física alineadas con los
requerimientos del negocio?
a) No existen políticas de seguridad física del negocio.
b) Las políticas de seguridad física del negocio, se establecen de manera informal.
c) Las políticas de seguridad física del negocio, no son documentadas.
d) Las políticas de seguridad física del negocio, tienen un proceso documentado.
e) Los procedimientos de políticas de seguridad física del negocio, son monitoreadas.
f) Los procedimientos de políticas de seguridad física del negocio, son automatizados.

3. ¿Existe procedimientos para otorgar, limitar y revocar el acceso a los centros de


información (centros de TI)?
a) No existen limitación de acceso a los centros de TI.
b) La limitación de acceso a los centros de TI, se realizan de manera informal.
c) La limitación de acceso a los centros de TI, no son documentados.
d) La limitación de acceso a los centros de TI, tienen un proceso documentado
e) Los procedimientos de limitación a los centros de TI, son monitoreados.
f) Los procedimientos de limitación a los centros de TI, son automatizados.
4. ¿Existe políticas de protección contra factores ambientales (equipos especializados
para monitorear y controlar el ambiente)?
a) No existen políticas para proteger el medio ambiente.
b) Las políticas de protección del medio ambiente, se establecen de manera informal.
c) Las políticas de protección del medio ambiente, no son documentados.
d) Las políticas de protección del medio ambiente, tienen un proceso documentado.
e) Los procesos de políticas de protección del medio ambiente, son monitoreados.
f) Los procesos de políticas de protección del medio ambiente, son automatizados.

117
5. ¿Existe administración periódica de las instalaciones, incluyendo el equipo de
comunicaciones y de suministro de energía?
a) No existen administración periódica en la instalación de los equipos.
b) La administración periódica en la instalación de los equipos, se realiza de manera
informal.
c) La administración periódica en la instalación de los equipos, no son documentadas
d) La administración periódica en la instalación de los equipos, tienen un proceso
documentado.
e) Los procesos de administración periódica en la instalación de los equipos, son
monitoreados.
f) Los procesos de administración periódica en la instalación de los equipos, son
automatizados.

Responsable: CEGH

118

También podría gustarte