5. ¿Cuáles fueron los objetivos específicos de la tesis?

 Tener un marco de referencia para la administración de controles.

 Identificación de procesos de tecnología.
 Elevar el nivel de madurez de los controles basados en “Control Objectives for
Information and Related Technology” (COBIT).

6. ¿Cuáles fueron los roles de las personas participantes del proyecto?

Para esto se utilizara el documento de Roles y responsabilidades que servirá como referencia
para la identificación de conflictos entre los roles existentes a la fecha en las áreas de TI de la
organización.

Esta matriz se ha realizado en base criterios de alto nivel. Se usa como referencia el marco de
trabajo de COBIT 4.1.

Tabla de Consideraciones de Roles y Responsabilidades.

Pregunta "LLAVE" ¿El Rol A pueden ser asumido sin conflicto

de seguridad por el Rol B o viceversa?
(Donde "A" son las columnas y "B" son las
filas.)

Leyenda Definiciones
C= Sí hay Conflicto Cuando si guardan alguna relación pero no es
conveniente por temas de seguridad de la
información que un Rol realice actividades de
otro Rol.
NC= No hay Conflicto Cuando si guardan alguna relación y es
indistinto que por temas de seguridad de la
información que un Rol realice actividades
de otro Rol.
NA= No Aplica Cuando no guardan una relación. Por ejemplo
un rol de un área "A" comparado contra un
área "B".

Tabla de Descripción de los Niveles.

Descripción de los Niveles

Nivel Descripción
5 Rol de nivel gerencial con capacidad de toma de decisiones estratégicas.
4 Roles de nivel sub-gerencial.
3 Rol de nivel jefatura. Capacidad de tomas de decisiones tácticas. Con personal
a cargo.
Rol de nivel ejecutivo. Responsabilidades administrativas y con capacidad de
2 tomas de decisiones operativas.
 1 Rol de carácter operativo.
Ejecuta tareas de rutina e instrucciones.
Cross Son roles colectivos. Pueden estar dentro de este grupo varios niveles
jerárquicos.
Externo Se refiere a personas o entidades que no pertenecen a la organización.

Área Tipo de rol que abarca todas las personas de una unidad organizacional
denominada "área".
Grupo de Rol colectivo que puede estar conformado por diferentes niveles jerárquicos
trabajo según se requiera. Y esta funciona cuando este está constituido y activo. Un Rol
de Persona si bien puede formar parte de un Grupo de Trabajo, no puede
ejercer de manera individual una actividad que a éste le corresponde.

Tabla de Criterios

Criterios Tema Definición

1 Cruce de roles Un Rol de ÁREA no se pude comparar contra el Rol de una

Persona.

2 Cruce de roles Un Rol de GRUPO DE TRABAJO no se pude comparar contra el Rol

de una Persona.

3 Cruce de roles Si bien un Rol de Persona puede tener conflicto con un Rol de
Grupo de Trabajo no evita que éste forme parte del dicho Grupo
de Trabajo. Por ejemplo: Un Proveedor si puede pertenecer al
"Grupo de resolución N° 3" pero no puede asumir sus actividades
como tal.

4 Cruce de roles La actividad de un Rol Colectivo no cruzará con la actividad de un

Rol de Persona y viceversa.

5 Dueño del Se refiere sólo a los aplicativos del área usuaria.

aplicativo

6 Propietario Se refiere sólo a la información del área usuaria.

de la
información

7 Nivel del Rol El Rol de una persona solo puede ejecutar un nivel de rol superior
o inferior al nivel de su Rol por encargatura.

8 Responsabilid Un Rol de área no puede aceptar una responsabilidad.

ad

9 Responsabilid Un Rol de Grupo de Trabajo puede aceptar una responsabilidad,

ad Ej. Comité de Seguridad.
Tabla de Segregación de Funciones.

N° 1 2 3 4 5 6 7
Nivel 1 1 3 3 4 2 2

Ejecutivo senior
Operador de Gestor de Gestor de Sub gerente de
Analista de de Ejecutivo senior -
N° Nivel Roles Infraestructura proyectos de infraestructura servicios de
sistemas infraestructura - BD
tecnológica infraestructura tecnológica sistemas
servidores

Analista de sistemas
1 1 - C NA NA NA C C

Operador de
2 1 Infraestructura C - NA NA NA NC NC
tecnológica
Gestor de proyectos de
3 3 infraestructura NA NA - NC NC NC NC

Gestor de infraestructura
4 3 tecnológica NA NA NC - NC NC NC

Sub gerente de servicios

5 4 de sistemas NA NA NC NC - NA NA

Ejecutivo senior de
6 2 infraestructura - C NC NC NC NA - NC
servidores
7. ¿De qué manera se utilizó el COBIT en la tesis?

Se tomó el modelo de gobierno de COBIT y mediante uso de cuestionarios se realizó una

revisión del modelo de madurez actual en la que se encuentra la AFP, considerando los tres
principales pilares:

- Organización de TI.
- Ciclo de Vida del Software.
- Infraestructura Tecnológica.

De esta manera se identificó las brechas a trabajar utilizando el marco de gobierno de COBIT,
acompañado de las buenas prácticas de ITIL, ISO 27002 y el marco de riesgos de TI.

Valor de
Dominios COBIT Madurez Avance
Esperado
ORGANIZACIÓN DE TI
PO1 Definir un Plan Estratégico de TI 3 57.14%
PO4 Definir los Procesos, Organización y Relaciones de TI 3 44.44%
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia 3 66.67%
PO7 Administrar los Recursos Humanos de TI 2 25.00%
PO9 Evaluar y Administrar los Riesgos de TI 3 7.14%
AI6 Administrar los cambios 4 5.56%
ME1 Monitorear y Evaluar el Desempeño de TI 2 12.50%
ME2 Monitorear y Evaluar el Control Interno 3 42.86%
ME3 Garantizar el Cumplimiento con Requerimientos Externos 3 0.00%
ME4 Proporcionar Gobierno de TI 3 57.26%
CICLO DE VIDA DEL SOFTWARE
PO8 Administrar la Calidad 2 100.00%
INFRAESTRUCTURA TECNOLÓGICA
AI3 Adquirir y Mantener Infraestructura Tecnológica 3 0.00%
AI4 Facilitar la Operación y el Uso 2 0.00%
AI7 Instalar y Acreditar Soluciones y Cambios 3 0.00%
DS1 Definir y Administrar los Niveles de Servicio 3 50.00%
DS2 Administrar los servicios de terceros 3 8.33%
DS5 Garantizar la Seguridad de los Sistemas 4 16.67%
DS8 Administrar la Mesa de Servicio y los Incidentes 3 35.71%
DS9 Administrar la Configuración 3 60.00%
DS10 Administración de Problemas 3 25.00%
DS11 Administración de Datos 3 28.57%
DS12 Administración del Ambiente Físico 3 0.00%
DS13 Administración de Operaciones 3 12.50%
Tabla de Alineamiento de Estrategias

Objetivos Estratégicos del Negocio COBIT

Objetivo Objetivo Objetivo Objetivo
Giro del Objetivos para el Gobierno
Estratégico Estratégico Estratégico Estratégico
Negocio Empresarial de TI
1 2 3 4
Asegurar que se obtiene el
La El óptimo de las iniciativas,
diversificac desarrollo La servicios y activos de TI,
ión del de adquisición brindando soluciones
negocio a sinergias de nueva confiables para alcanzar las
El giro único
nivel de comerciale infraestruc necesidades del negocio.
del negocio de Eliminació
Latinoamér s, lo cual tura Garantizar que los con
AFP es la n de los
ica, implica tecnológic costos optimizados.
administración costos
consideran que los a que le Garantizar que las
de Fondos de redundant
do y clientes permita necesidades de recursos de
Pensiones es
respetando participen satisfacer TI se cubren en forma
individuales
los propios más de un estas eficiente, riesgos para el
"core" del servicio o nuevas negocio, relacionado con TI,
negocio en producto estrategias se gestionen y no exceden
cada país. brindado. el nivel aceptable
establecido por la dirección.
Integrar los
procesos de TI
de AFP Implementación de
adquirida a los Sistemas de Calidad y
X X X
actuales Seguridad de la Información
logrando un en TI.
estándar más
adecuado.
Gestionar los
procesos de
Objetivos negocio a
Estrategi
Estratégic través de TI de Enfoque intensivo en el
X X X X as de TI
os de TI manera Outsourcing
confiable y
medible con
orientación al
Usar las
mejores Adopción de soluciones
prácticas tecnológicas de AFP
logrando X X X X adquirida para optimizar y
mejoras diversificar los servicios al
sostenibles en cliente
el tiempo
Definir
información
Adquisición de un Sistema
simple,
X X X X Integral único, el ERP SAP
completa,
para empresa del Grupo.
oportuna y
transparente
Aplicar la
tecnología en Ir hacia una unidad
beneficio del X X X integrada de TI a nivel del
crecimiento grupo
del negocio.
Conseguir una
plataforma de Uso de infraestructura que
TI que soporte X X X se encuentre alineada al
esta negocio.
integración.
8. ¿Qué indicadores se utilizaron para plantear la tesis?

La elevada competencia que se origina en el sistema privado de pensiones luego de 20 años de

ser creadas hace que las AFPs busquen nuevas formas de invertir para alcanzar una mayor
rentabilidad. Una de estas opciones es invertir en la Bolsa de Valores de Nueva York (NYSE
New York Stock Exchange).

Para poder invertir en NYSE es necesario aplicar a la certificación SOX que no sólo hace
mención a temas financieros sino también a temas tecnológicos, para lo cual se necesita
alcanzar un grado de madurez adecuado en el gobierno de tecnologías de información.

Debido a la aplicación de la certificación SOX, los procesos actuales de tecnología no cubren el

nivel de madurez adecuado en el gobierno de tecnologías de información, motivo por el cual
es necesario la implementación de controles utilizando las buenas prácticas del ISO 27002,
COBIT e ITIL.

Relacionada con la creación de un modelo de la organización, inicia con un análisis del entorno
y establecimiento de las estrategias de negocio (el proceso de planeación se basa en una
transformación de dichas estrategias). Continua con el diseño en detalle de los modelos
operativos, que van a producir en parte los requerimientos de TI para mejorar la eficiencia y la
productividad de la empresa (esta aproximación es soportada por una re-ingeniería de
procesos o una automatización incremental, que se concentran en identificar deficiencias
operativas, con el propósito de rediseñarlas, modificarlas y automatizarlas).

Posteriormente se construye la estructura de la organización, que especifica puestos, perfiles,

habilidades, etc. Necesarios para administrar la empresa.

La fase termina con la construcción de una arquitectura de información, que identifica las
necesidades globales de información de la empresa. El modelo es descrito con términos y
conceptos de negocio y organización independientemente del soporte computacional.