Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asunción – Paraguay
2015
Análisis de factibilidad de implementación de un Modelo de TI… ii
Asunción – Paraguay
2015
Minerva Soledad Caballero Sosa
Código de Biblioteca:……..…
Análisis de factibilidad de implementación de un Modelo de TI… iv
Esta tesis fue evaluada y aprobada en fecha __/__/__ para la obtención del título de
Ingeniero en Informática por la Universidad Americana
Nombre Firma
Agradezco a:
Todos aquellos profesores que colaboraron en mi
formación, desde la gran C.T.N. institución que
marcó el rumbo que tomaría, hasta las diferentes
universidades en la cual hice carrera; gran parte
de quien soy, es debido a lo que absorbí de cada
uno de ellos.
Índice
Lista de Tablas ......................................................................................................... xviii
Introducción ................................................................................................................. 1
Objetivos................................................................................................................... 6
Objetivo General ................................................................................................... 6
Objetivos Específicos. ........................................................................................... 6
1. Antecedentes ...................................................................................................... 15
1.1. La Empresa................................................................................................... 15
1.1.1. El ambiente de Negocios ....................................................................... 16
1.1.2. Entorno de las Competencias ................................................................ 18
1.1.3. Los cambios y costos ............................................................................. 19
4. COBIT. ............................................................................................................ 52
4.1. Introducción. ................................................................................................ 52
4.2. Historia, y evolución. ................................................................................... 52
4.3. Cobit 4.1 y Cobit 5. ...................................................................................... 53
4.4. Las diferencias y similitudes entre las versiones anteriores. ....................... 55
4.4.1. Principios y Conceptos. ......................................................................... 55
4.4.2. Estructuras y marcos de trabajo............................................................. 63
Análisis de factibilidad de implementación de un Modelo de TI… xi
4.2. Administración de las TICS de una empresa del sector importaciones. . 119
4.2.1. Infraestructura física A.M. Reguera........................................................ 120
4.2.1.1. Entorno de red................................................................................ 121
4.2.1.2. Comunicaciones ............................................................................... 122
4.2.2. Software A.M. Reguera. .......................................................................... 123
4.2.2.1. Sistema operativo, software de base................................................. 123
4.2.2.2. Utilitarios y aplicaciones. ................................................................. 124
Conclusiones......................................................................................................... 166
Recomendaciones................................................................................................. 167
Anexo 4 – Metas del Negocio alineadas a las Metas TI en COBIT 5 .............. 189
Lista de Tablas
Tabla 1: Principales empresas del Holding ........................................................................ 4
Tabla 2: Identificación de Riesgos por Mega tendencias................................................. 46
Tabla 3: Ventajas e inconvenientes del riesgo cualitativo. .............................................. 47
Tabla 4: Interacciones: Gobierno y Gestión en COBIT 5. ............................................... 60
Tabla 5: Traspaso COBIT 4.1 al Dominio Evaluar/Dirigir & Monitorear (EDM) de
COBIT 5. .......................................................................................................................... 64
Tabla 6: Criterios de COBIT 4.1 a Modelo de Información de COBIT 5. ...................... 65
Tabla 7: Beneficios de COBIT5. ...................................................................................... 84
Tabla 8: Resumen del Presupuesto Ideal ....................................................................... 113
Tabla 9: Presupuesto Personal ....................................................................................... 113
Tabla 10: Presupuesto Equipamiento ............................................................................. 113
Tabla 11: Material Gastable ........................................................................................... 113
Tabla 12: Otros gastos directos ...................................................................................... 114
Tabla 13: Otros gastos indirectos ................................................................................... 114
Tabla 14: Cronograma de Actividades........................................................................... 115
Tabla 15: Metas del Negocio para la Empresa AM Reguera. ........................................ 164
Tabla 16: Metas De TI alineadas a las Metas del Negocio. Metas Catalizadoras para la
Empresa AM Reguera .................................................................................................... 164
Tabla 17: Procesos de COBIT 5 alineadas con las Metas catalizadoras para la Empresa
AM Reguera. .................................................................................................................. 165
Tabla 18: Lenguajes de Programación más utilizados 2014. ......................................... 184
Tabla 19: Aplicaciones estándar frente a Aplicaciones a medida .................................. 186
Tabla 20: Metas del Negocio COBIT 5 ......................................................................... 187
Tabla 21: Metas de TI COBIT 5 .................................................................................... 188
Tabla 22: Ejemplo de tabla RACI - COBIT 4.1 para Proceso DS2 ............................... 191
Tabla 23: Ejemplo de Matriz RACI - COBIT 5, procesos para centralizar TI .............. 192
Tabla 24: Cronograma de Mantenimiento Data Center ................................................. 194
Tabla 25: Inventario de Servidores ................................................................................ 198
Análisis de factibilidad de implementación de un Modelo de TI… xix
Lista de Diagramas
Diagrama 1. Diagrama de Infraestructura TI ................................................................. 195
Análisis de factibilidad de implementación de un Modelo de TI… xx
Lista de Figuras
Figura 1: Stakeholders (partes interesadas internas y externas)....................................... 35
Figura 2: Marco de Gobierno de TI. ................................................................................ 37
Figura 3: Procesos de Gobierno EDM COBIT 5 ............................................................. 48
Figura 4: Procesos de Gestión APO COBIT 5. ................................................................ 48
Figura 5: Proceso de Gestión BAI COBIT 5 ................................................................... 49
Figura 6: Procesos de Gestión DSS COBIT 5. ................................................................ 49
Figura 7: Procesos de Gestión MEA COBIT 5 ................................................................ 49
Figura 8: Evolución de COBIT. ....................................................................................... 53
Figura 9: Principio básico de COBIT .............................................................................. 56
Figura 10: Principios de COBIT 5. .................................................................................. 57
Figura 11: Catalizadores de COBIT 5. ............................................................................. 58
Figura 12: Dominios de COBIT 4.1 ................................................................................. 60
Figura 13: Áreas de Gobierno y Gestión de TI COBIT 5 ................................................ 61
Figura 14: Pentágono de COBIT 4.1 ............................................................................... 64
Figura 15: Metas de TI por perspectiva. COBIT 5. ......................................................... 66
Figura 16: Cascada de Metas de COBIT5........................................................................ 67
Figura 17: Modelo de Madurez de COBIT 4.1 ................................................................ 68
Figura 18: Modelo de Capacidad de Procesos de COBIT 5. ........................................... 69
Figura 19: Comparación entre ambos Modelos de Madurez. .......................................... 70
Figura 20: Cubo COSO 2013. .......................................................................................... 95
Figura 21: Ciclo de Vida del Servicio. ............................................................................. 96
Figura 22: Triangulo de ITIL. .......................................................................................... 96
Figura 23: Organización ISO 20000. ............................................................................... 99
Figura 24: Estructura ISO 27001. .................................................................................. 102
Figura 25: Organigrama Departamento de TI. ............................................................... 118
Figura 26: Organigrama Administración Del Negocio. ................................................. 119
Figura 27: Compromiso con la integridad y valores éticos del personal. ...................... 126
Figura 28: Independencia del Directorio y Seguimiento de los Controles. ................... 127
Figura 29: Asignación de la responsabilidad y autoridad por parte de la Gerencia. ...... 128
Análisis de factibilidad de implementación de un Modelo de TI… xxi
Figura 51: Se ejecutan actividades y procedimientos para la entrega de servicios TI ... 151
Figura 52: El área TI releva los requerimientos en tiempo y forma. ............................. 152
Figura 53: Seguridad TI mantiene aceptable el nivel de riesgo de acuerdo a sus políticas.
........................................................................................................................................ 153
Figura 54: Se cuenta con información para el buen funcionamiento del Control Interno.
........................................................................................................................................ 154
Figura 55: Se maneja información necesaria para el Control Interno ............................ 155
Figura 56: Se comunica mediante los canales establecidos, asuntos que afectan el
Control Interno. .............................................................................................................. 156
Figura 57: Se supervisan los procesos mediante informes planificados. ....................... 157
Figura 58: Evaluación continua tanto de revisiones internas como externas................. 158
Figura 59: Se evalúan y comunican las deficiencias del Control Interno ...................... 159
Figura 60: Los informes del área TI son transparentes para las partes interesadas. ...... 160
Figura 61: Son adecuadas las capacidades que afectan al área TI. ................................ 161
Figura 62: Metas de Negocio de COBIT 5 alineadas a las Metas TI............................. 189
Figura 63: Metas de TI de COBIT 5 alineadas a los procesos ....................................... 190
Figura 64: Guía de Procesos COBIT 4.1 y 5 ................................................................. 193
Figura 65: Matriz de Tabulación de Datos ..................................................................... 204
Figura 66: Matriz de Cuestionario realizado.................................................................. 209
Análisis de factibilidad de implementación de un Modelo de TI… xxiii
Lista de Abreviaturas
AIP Acrónimo de “Agencia de información Paraguaya”.
APO Acrónimo de “Align, Plan and Organise” (Alinear, Planificar y
Organizar).
BAI Acrónimo de “Build, Acquire and Implement”, Construir, adquirir e
implementar.
BID Acrónimo de “Banco Interamericano de Desarrollo”.
BCP Acrónimo de “Banco Central del Paraguay”.
BI Acrónimo de “Bussiness Intelligence” (Inteligencia de negocios).
BMIS Acrónimo de “Business Management Information System” (Sistema de
Información de Gestión Empresarial).
BSC Acrónimo de “Balance Score Card” (Cuadro de mando integral)
CAD Acrónimo de “Computer Aided Design” (Diseño asistido por
computadora).
CEPAL Acrónimo de “Comisión Económica de las Naciones Unidas para
América Latina y el Caribe”.
CMM Acrónimo de “Capability Maturity Model” (Modelo de Capacidad de
Madurez).
CMMI Acrónimo de “Capability Maturity Model for Integration” (Modelo de
Madurez de la Capacidad Integrado).
CMR-12 Acrónimo de “Conferencia Mundial de Radiocomunicaciones”. Fue
celebrada en enero y febrero de 2012.
CMSI Acrónimo de “Cumbre mundial sobre la Sociedad de la Información”.
(CMSI).
COBIT Acrónimo de “Control Objectives for Information and related
Technology” (Objetivos de Control para la información y Tecnologías
relacionadas).
CONATEL Acrónimo de “Comisión Nacional de Telecomunicaciones”
COSO Acrónimo de “Committee of Sponsoring Organizations de la Treadway
Commission” (Comité de Organizaciones Patrocinadoras de la Comisión
de normas).
CPU Acrónimo de “ Central Processing Unit ” (Unidad Central de Procesos)
DoD Acrónimo de “Department of Defense” (Departamento de Defensa de
EEUU).
DoDAF Acrónimo de “Department of Defense Architecture Framework” (Marco
de arquitectura empresarial utilizado por el Departamento de Defensa).
DGEEC Acrónimo de “Direccion General de Estadistica, Encuesta y Censos”.
DSS Acrónimo de “Deliver, Service and Support” (Entregar, dar Servicio y
Soporte).
Análisis de factibilidad de implementación de un Modelo de TI… xxiv
Resumen
Abstract
A large percentage of companies expect not to be victims of a cyber-attack; however,
more than a third of them cover the vacancies that will protect them from such attacks.
New technologies create greater efficiency, but also expose companies to new risks,
that's where suffering the same problem; by not taking into account the best practices in
security, you need to obtain a return on investment, as expected; as well as new products
/ services are created new processes are also executed, requiring technological investments
that are not always scalable and measurable; but particular to those products / services
offered.
All this will be achieved with the implementation of an IT Management Model
reflected in Computer Internal Control Manual as a tool for business improvement; thesis
project of descriptive exploratory type, where appropriate to the facts actually are exposed.
This manual is possible to align business goals and IT goals to COBIT 5 Design; as
theoretical support Computer Manual Internal Control, to ensure, in this way; the
efficiency of business management based on international certification of its processes
Introducción
En este proyecto se proponen soluciones desde una óptica de TI a la problemática del
desconocimiento que tienen diferentes empresas, respecto a cómo mejorar el rendimiento
y la utilización de las TICs con las que disponen actualmente, ya con una visión de
crecimiento a futuro, y la valorización monetaria de las inversiones en TI; para alcanzar
las metas propuestas a mediano y largo plazo.
La falta de implementación y seguimiento de métodos de control sobre los procesos, a
modo de evidenciar el estado actual y las condiciones reales de la productividad laboral
dentro de la empresa, es tan solo uno de los problemas a ser paliados.
Se plantea la necesidad de mejorar la gestión de las empresas en el ámbito de la
administración de las TI, teniendo en cuenta que las exigencias ya no son las mismas de
antes, y considerando el crecimiento en perspectiva internacional que deben tener las
mismas hoy día, cubriendo requerimientos de los estándares internacionales.
Es decir, las empresas deben de garantizar la eficiencia de su gestión aplicando métodos
de control sobre los procesos, ya sea construyendo esquemas y dando seguimiento a los
mismos, mediante la aplicación de las buenas practicas; marcos de trabajo o estándares
internacionales del área.
Para una mejor utilización y generación de valor mediante las TICS en las empresas se
procede a: “analizar la factibilidad de implementación de un Modelo de Administración
de TI, mediante un Manual de Control Interno Informático, basado a su vez en el Marco
de Referencia COBIT 5” primeramente, se explican los cambios realizados en COBIT 5
ante las del COBIT 4.1; se analizan procesos, políticas, técnicas de gobierno y gestión
empresarial que propone COBIT 5; a modo de analizar la factibilidad de aplicación de un
Modelo de Administración de TI basado en este marco.
Se investiga la estructura jerárquica, organización y la administración de la
infraestructura de TI de la empresa, como base para el desarrollo del Manual de Control
Interno Informático. Para, una vez aplicada en su totalidad la misma obtenga una
perspectiva clara del crecimiento empresarial que presentará la empresa, en forma gradual
hasta pasado un lustro de su implementación.
Análisis de factibilidad de implementación de un Modelo de TI… 2
Título de la investigación
Análisis de factibilidad de implementación de un Modelo de Administración de TI,
plasmado en un Manual de Control Interno Informático, basado en el marco de referencia
COBIT 5 como herramienta de mejoramiento de la gestión empresarial.
Para este proyecto se tomará como modelo a una de las empresas (A.M. Reguera
Importaciones) que componen el Holding, pudiendo ampliar su implementación
secuencialmente.
En Paraguay la gran mayoría de las empresas no tienen los recursos necesarios para
implementar mecanismos productivos que les permitan ser más competitivos en un
mercado globalizado, y aquellas que los tienen no disponen de estos recursos de manera
adecuada, permitiendo a los países de primer mundo incursionar en los mercados
nacionales con productos de buena calidad a precios competitivos.
Esto, ocurre principalmente en las empresas en donde los métodos de trabajo y los
procedimientos que aplican son empíricos (desarrollados a través de la experiencia), por
lo mismo es común que no se implementen métodos de control sobre los procesos, que
evidencien el estado actual y las condiciones reales de la productividad laboral dentro de
este tipo de organizaciones.
Se da el caso en que el departamento de TI posee el papel de proveedor de servicios y
crea una corresponsabilidad lógica con las diversas áreas propietarias de los sistemas,
ocasionando la necesidad de asegurar la continuidad del negocio con la protección tanto
de datos cómo de sistemas de aplicaciones críticas.
Aunque los procesos se manejen en forma ordenada, en muchos casos se trabaja en
forma intuitiva, pasando por alto procedimientos, políticas o normas, ya sea por la
ausencia de lineamientos o por la falta de aplicación de los mismos; dando como resultado
una fiabilidad de datos baja.
A esto se suman falencias en la entrega de servicios, tardanzas en la solución de
requerimientos con el personal de TI sobrecargado de trabajo, lo que dificulta tanto el
soporte de los servicios actuales como la ejecución de los nuevos proyectos.
Sin embargo, la visualización de los beneficios esperados por las partes interesadas, y
la dimensión del valor agregado de los proyectos implementados, son necesarias para
evitar que los niveles de satisfacción disminuyan; trayendo consigo contrataciones de
personal para la ejecución y soporte de proyectos, incrementando costos y gastos al área
de TI.
Análisis de factibilidad de implementación de un Modelo de TI… 6
Es imprescindible conocer hacia dónde van los cambios y se recomienda estar “bien
entrenados para que no se transforme la urgencia del cambio en úlceras sino en mentes
entrenadas y debidamente encauzadas hacia el manejo de los hechos, y por supuesto, cada
día más hábiles.
Sólo así podrán aportar al futuro. Las tres características (conocimiento, globalidad y
velocidad) se combinan con cuatro medios (TI, comunicaciones, multiculturalidad e
idioma extranjero) y dan base a la configuración de los escenarios futuros de los negocios
(Foro: La Gerencia en el Perú en el siglo XXI).
Por ende, ¿Cómo es posible mejorar los procesos y lineamientos vigentes en la empresa
en cuanto a una mejor administración de riesgos y beneficios de TI, proporcionando un
mejoramiento de la gestión empresarial basado en el COBIT 5?
Objetivos
Objetivo General
Analizar la factibilidad de implementación de un Modelo de Administración de TI,
mediante un Manual de Control Interno Informático, basado a su vez en el Marco de
Referencia COBIT 5, para la Administración de Riesgos y Beneficios de TI, asociados a
este; como herramienta de mejoramiento de la gestión empresarial.
Objetivos Específicos.
Explicar las diferencias entre las normas y/o estándares internacionales de COBIT 4.1
y COBIT 5, poniendo énfasis en los principios, alcances y habilitadores generales
orientados al Gobierno de TI.
Analizar los procesos, políticas, técnicas de gobierno y gestión empresarial en base al
COBIT 5 aplicadas al Modelo de Administración de TI de la empresa, a fin de
garantizar la confidencialidad, integridad y disponibilidad de datos de la misma.
Investigar la estructura jerárquica, organización y la administración de la
infraestructura de TI de la empresa, como base para el desarrollo de un Manual de
Control Interno Informático.
Análisis de factibilidad de implementación de un Modelo de TI… 7
Justificación de la investigación
(M. Bunge, 2011) expone que un problema puede considerarse planteado
científicamente si cumple con los principios del método científico, que se exponen a
continuación
Es explicativo, porque se conocen las situaciones, los hechos o procesos que abarcan
los problemas de la investigación, de tal manera que son comprobables y verificables
durante el desarrollo de dichos procesos.
Es objetivo, debido a que las observaciones relevadas durante el desarrollo de la Tesis,
son realizadas profesionalmente sin ningún tipo de influencia de opiniones o emociones
de tal manera a elaborar propuestas y soluciones certeras y objetivas con la realidad. Para
ello se trabaja bajo un esquema descripto en el área metodológica, que no permitirá
desviación alguna.
Conveniencia
En este proyecto se utilizarán las versiones 4.1 y 5 del COBIT haciendo énfasis en la
5ta. Versión como marco de gobierno de las TI, que proporciona una serie de herramientas
para que las gerencias puedan conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio. Esto con el desarrollo de políticas claras y enfatizando
el cumplimiento regulatorio, ayudando de esta manera a las empresas a incrementar su
valor a través de TI, y pudiendo nivelarse con la Administración del Negocio.
COBIT 5 está compuesto por principios, arquitectura y facilitadores; la misma es una
ampliación de la versión 4.1 con la integración de otros marcos referenciales cómo Val
IT, Risk IT, BMIS, ITAF.
El marco COBIT en su versión 4.1 fue utilizado por la Superintendencia de Bancos del
BCP en conjunto con otros cuerpos normativos considerados como los actos en la materia
(SAC, SAS 55, Integrated Framework), para la elaboración del MCIIEF (Manual de
Control Interno Informático para Entidades Financieras) en su versión 2002,
constituyendo una norma de cumplimiento obligatorio, en el cual se indican los requisitos
mínimos de Control Interno Informático a implementar en las Entidades Financieras.
Relevancia social
Un mejor esquema de seguridad y administración de TI puede revertir en una mejor
prestación de servicios a los clientes.
Facilitará a una mejora continua en el valor aportado, para mejorar la calidad del
producto y/o servicio ofrecido por TI.
Análisis de factibilidad de implementación de un Modelo de TI… 9
A nivel del usuario, sería visto como un facilitador clave en los procesos a su cargo,
incrementando su satisfacción debido al compromiso tomado por los servicios prestados,
mejorando la productividad del equipo de trabajo.
Desde el punto de vista de los objetivos del negocio, proporcionará beneficios
económicos y resolverá problemáticas relevantes en la organización.
Implicaciones prácticas
Se encuentra en la ayuda a las TI, manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los niveles de riesgo asumidos a través de la
adecuada administración de la seguridad.
Además, garantiza que los datos manejados al nivel de administración del negocio
puedan ser utilizados, operando con alto índice de fiabilidad; logrando que el día a día
organizacional fluya con la seguridad de activos como garantía.
Aporta en el mejoramiento operativo de las empresas pudiendo beneficiar finalmente
en una reducción de costos, que en una etapa ulterior benefician a los clientes de las
empresas.
Valor teórico
Con la profundización y enriquecimientos de los conocimientos adquiridos nos darán
la posibilidad y autoridad suficiente de poder emitir recomendaciones, pertinentes y
necesarias, para mejorar los procedimientos utilizados.
El manejo correcto de procesos dentro de una empresa debe ser prácticos, para que su
desempeño correcto se mida en base a la optimización del costo de los recursos, la
disminución de riesgos y la presencia de beneficios. Para esto es necesario aplicar una
metodología basada en procesos, con principios y facilitadores que logran esa practicidad
al aplicarlo.
Por lo mismo, a través de la aplicación de procesos claros y políticas prácticas que
conformarán el Manual de Control Interno Informático a ser desarrollado e implementado,
se estará contando en forma gradual con un mejor nivel de madurez de las empresas.
Análisis de factibilidad de implementación de un Modelo de TI… 10
Ambiente de Control
Etapa 1: “Revisión de Controles generales del área de Sistemas”
Evaluación de Riesgos
Etapa 2: “Evaluación de la “Seguridad de Base de Datos”.
Etapa 3: “Revisión de la Seguridad del Sistema Operativo”.
Análisis de factibilidad de implementación de un Modelo de TI… 11
Actividades de Control
Etapa 4: “Revisión del Flujo de Caja”
Etapa 5: “Revisión del Módulo de Clientes”
Información y Comunicación
Para este propósito las herramientas utilizadas fueron el Manual de Control Interno
Informático para las Entidades Financieras implementado por el Banco Central del
Paraguay que, mediante la Resolución SB.SG. Nº 00188/02, el COBIT 4.1 y el COBIT 5.
Reuniones. Suele haber reuniones de tres tipos:
De intercambio de información;
Tormenta de ideas, evaluación de opciones o diseño, o
De toma de decisiones (PMI, 2015)
Monitoreo
Mediante la documentación solicitada por la planificación del proyecto, pronósticos y
cambios validados con sus mediciones de desempeño mediante el:
Plan de auditoria informática autorizada por la Alta Gerencia.
Metodología aplicada
La empresa cuenta con un sistema de gestión, sobre el cual desarrolla sus operaciones.
Los procedimientos a aplicarse por el equipo de investigación tienen como objetivo
fundamental obtener evidencia razonable sobre la confiabilidad y efectividad del ambiente
de control tecnológico que permita expresar una opinión sobre la confiabilidad del mismo.
Los trabajos se enmarcan dentro de los estándares estudiados. En ellos se incluyen también
los controles generales a tener en cuenta para evaluar el Ambiente de Tecnología de la
Información de una organización.
Se hacen uso de estos métodos para utilizar controles que permitan la salvaguarda de
los activos, la prevención de errores y la valides de los estados financieros, control de
cambios y controles de normas y procedimientos sobre la gestión de documentos,
informes y sistemas de información. Supervisión y gestión de la empresa y efectos del
entorno externo (Muñiz, 2013).
Método Descriptivo
Consiste en la narración de los procedimientos relacionados con el control interno, los
cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y
cargos.
Origen de cada documento y registro en el sistema.
- Cómo se efectúa el procesamiento.
- Disposición de cada documento y registro en el sistema.
- Indicación de los procedimientos de control pertinentes a la evaluación de los riesgos
de control.
Análisis de factibilidad de implementación de un Modelo de TI… 13
Método Gráfico
Consiste en la preparación de diagramas de flujo de los procedimientos ejecutados en
cada uno de los departamentos involucrados en una operación. Un diagrama de flujo de
control interno consiste en una representación simbólica y por medio de flujo secuencial
de los documentos de la entidad auditada. El diagrama de flujo debe representar todas las
operaciones, movimientos, demoras y procedimientos de archivo concernientes al proceso
descrito.
Método de Cuestionarios
Básicamente consiste en un listado de preguntas a través de las cuales se evaluó las
debilidades y fortalezas del control interno. Estos cuestionarios se aplican a cada una de
las áreas en las cuales el investigador dividió los rubros a examinar. Al elaborar las
preguntas, se tuvo el conocimiento pleno de los puntos donde podían existir deficiencias
para así formular la pregunta clave que permita la evaluación en la empresa. Generalmente
el cuestionario se diseña para que las respuestas negativas indiquen una deficiencia de
control interno.
1. Antecedentes
Las empresas han empezado a reconocer que su principal fuente de diferenciación y
competitividad es su gente, y orientan todos sus esfuerzos a fortalecer su activo humano;
de ahí la importancia de generar ambientes propicios a la innovación y al aprendizaje
continuo, con estrategias que se soporten claros procesos de capacitación para el
desarrollo de las mismas.
1.1. La Empresa
Algunos conceptos de empresa por diferentes autores:
Son organizaciones que proveen bienes y servicios cuya finalidad es la obtención de
beneficios. Beneficios compuesto por al menos la compensación que obtienen los
propietarios de las empresas por arriesgar su capital y dedicarles su tiempo. Es justamente
el beneficio lo que distingue a una empresa de otra.
La empresa no realiza su actividad de forma autónoma, sino que las características
sociales, económicas y de otra naturaleza de su entorno inciden en los resultados de su
actividad.
La empresa debe gestionarse en beneficio de todos sus individuos y grupos que
participan en su desarrollo o pueden verse afectados por sus actividades, lo que obliga a
sus gestores a establecer un nuevo equilibrio entre las distintas necesidades, intereses y
expectativas que concurren en la empresa, tanto en el nivel interno como en sus relaciones
más amplias con la sociedad (Fernández).
Como un sistema técnico social abierto, cuya función básica es la de crear bienes y/o
prestar servicios que contribuyan a elevar el nivel de vida de la humanidad,
compatibilizando este hecho con un marcado respeto al medio ambiente, que posibilite la
idea del desarrollo sostenible (Fernández-Vítora, 1996).
Análisis de factibilidad de implementación de un Modelo de TI… 16
Finanzas: Las entidades financieras son el alma del entorno empresarial, ya que
si las empresas no pueden acceder al dinero, es muy poco lo que pueden hacer.
Aunque los problemas de flujo de efectivo se ven normalmente como un asunto
interno, la moderna estructura multinacional de las entidades financieras lo ha
convertido también en un asunto externo.
Reputación: El reconocimiento del nombre y la reputación de la empresa son
partes vitales del entorno micro externo. Sin ellos no puede tener éxito.
del recurso que se usa no cambia porque cambie el nivel del causante del costo, el recurso
es de costo fijo (sus costos son fijos).
necesidad de las distintas TIC de empresas que trabajan con más frecuencia bajo
base de datos centralizadas y en línea.
- La aparición de los macro datos y de su análisis como nuevos recursos para
comprender los procesos sociales y económicos; este describe la acumulación y el
análisis de recursos de información de tamaño considerable a la capacidad
analítica y de almacenamiento de recursos informáticos. Son de gran valor
comercial para los modelos del negocio de los servicios gratuitos.
- La adopción generalizada de la computación en la nube, este modelo no solo de
datos sino de aplicaciones se almacenan en centro de datos gestionados por
empresas de TI en lugar de en los propios dispositivos de usuarios, y se accede a
ella donde y cuando se requiera; un modelo semejante al Cliente/Servidor. Su
propagación afectará en los costos de las empresas y en su capacidad de innovación
dependiendo siempre del acompañamiento de la infraestructura necesaria
(UNCTAD, 2013).
La aparición de la Internet de las cosas; El IoT se expandirá a todos los servicios,
activos y productos más relevantes. Con el crecimiento exponencial del
IoT (50.000 millones de conexiones previstos para 2020), aumentará el número de
amenazas y vulnerabilidades. Actualmente el 25% de las empresas ya han
adoptado IoT según una encuesta de entre cerca de 600 firmas globales de
diferentes sectores; del 2012 (cerrando con 15%), hasta el 2015 el incremento de
implementaciones fue del 10%.
IoT dará lugar a un gran número de aplicaciones y servicios innovadores, que
mejorarán la calidad de vida y reducirán las desigualdades, al tiempo que ofrecen nuevas
oportunidades de ingresos para las empresas emprendedoras. (Publicación Naciones
Unidas, Ginebra 2014)
- Y el despliegue de los sistemas inteligentes para mejorar la eficiencia y la
productividad en las economías (CMSI, 2014). En cuanto a esto, para el 2020 la
era de las máquinas inteligentes estará en pleno auge. Éstas serán capaces de hacer
cosas que hasta ahora solo se creía que los seres humanos podían hacer. Serán
Análisis de factibilidad de implementación de un Modelo de TI… 24
1
GARTNER: Empresa consultora y de investigación de las Tics con sede en EEUU.
2
E-learning: Se denomina aprendizaje electrónico, consiste en el tipo de enseñanza caracterizado por la
separación física entre el profesor y el alumno que utiliza internet como canal de distribución del
conocimiento y como medio de comunicación.
Análisis de factibilidad de implementación de un Modelo de TI… 25
Entre las debilidades del país se encuentra la escasez de expertos en TI, limitación a la
especialización, infraestructura débil, bajo suscriptores a internet y disponibilidad de
equipos. Con el miedo de no llegar a cubrir lo necesario en políticas públicas y al cambio
tecnológico.
En el Paraguay, la SENATICS es la institución responsable de definir políticas y
estrategias transversales en materias de TIC y promover el desarrollo de productos del
área, para su aplicación a diferentes campos del sector, siempre apuntando a mejorar la
calidad de vida de los habitantes del país y a fortalecer el desarrollo del Estado e industrias
locales a través del uso apropiado de las TIC, siendo esta su misión institucional.
La SENATICS fue creada en abril de 2012, como secretaría de Tecnologías de la
Información y Comunicación (SETICs), a través de un decreto presidencial. Recién desde
agosto del 2013 se promulga la ley de creación de la SENATICS que consolida a esta
instancia pública y convierte a las TIC en políticas de estado, lo que permitirá el desarrollo
sostenible del país y de este modo transformar al Paraguay en un país más confiable y
transparente, proporcionando servicios digitales de calidad y creando así condiciones para
lograr un desarrollo económico sustentable y sostenible (Qué es SENATICS? 2013).
Por otro lado en Noviembre del 2011 la CONATEL lanzó el Plan Nacional de
Telecomunicaciones Paraguay 2011 – 2015 que contempla un conjunto de acciones y
políticas públicas interdependientes basadas en la información y encaminadas a contribuir
al desarrollo económico y social del país, generar equidad de oportunidades, contribuir a
la calidad de la educación, incrementar a la transparencia gubernativa, aumentar la
productividad y competitividad del país y mejorar los servicios del gobierno facilitando la
vida al ciudadano.
Sin embargo tanto la pobreza como la falta de trabajo son las causas principales de los
problemas que enfrenta el país para su desarrollo económico y social. Según informe de
la (STP) la pobreza total en Paraguay se redujo del 23,8% al 22,6% en el 2014. Mientras
que la pobreza extrema tiene un aumento de 0,4% siendo un 10,5% total país 2014 (AIP-
EPH 2014). Siendo la pobreza y el desempleo factores que influyen en la mala calidad de
educación que recibe gran parte de la población, convirtiéndose en un círculo que
retroalimenta la pobreza y el desempleo.
En Central, según la EPH-2014 la población económicamente activa según el sector
económico: muestra que el sector primario corresponde al 2,6%, donde el secundario
cuenta con un 23,8% y el terciario con el 73,5%. Donde el sector primario cubre la
agricultura, la ganadería, caza y pesca, el sector secundario cubre las industrias
manufactureras; construcción, minas y canteras, y el sector terciario cubriendo la mayoría
de la mano de obra ocupada presentando un porcentaje en la población económicamente
activa ocupada (69,7% y 99% respectivamente) (DGEEC, 2014).
La innovación, al elevar la productividad de los diferentes sectores que componen una
economía, permite reducir tanto la brecha externa como la interna (OECD, 2014).
No obstante, la tasa de adopción y éxito de las nuevas tecnologías sigue dependiendo
del desarrollo de las capacidades internas, y de una oferta endógena diversificada de
servicios y capacidades, que permitan a los productores por un lado, seleccionar,
implementar y utilizar correctamente tales tecnologías y, por el otro, interactuar y aprender
con ellas (Rodriguez, 2013).
La misma se utiliza en ocasiones, para señalar a grupos que tienen accesos a contenidos
digitales y los que no. El termino opuesto a Brecha Digital es el de Inclusión digital
genuina (Maggio, 2007)
el impulso de todas las demás áreas que conforman la economía del país, proporcionando
el crecimiento de la industria local.
Reducción de costes, movilidad, calidad, eficacia, eficiencia, posicionamiento,
detección temprana de nuevos nichos de mercado, visibilidad y versatilidad son algunas
ventajas al alcance de cualquier pyme que no se mantenga al margen de la evolución
tecnológica (Pereyra, 2013).
Pero también es importante destacar que hay empresas que no están preparados para
posicionarse en internet y, de hecho, esto no es siempre aconsejable. Cada una tiene sus
características propias como son: el sector de actividad al que pertenecen, la cultura
institucional, el nivel de competencia tecnológica de sus RR.HH., los productos/servicios
que comercializa, los mercados donde actúa, el tipo de clientes, los proveedores, etc.
La adopción de la Tecnología es un proceso complejo que requiere no solamente
inversión, sino también que la organización tenga la capacidad de realizar los cambios en
las diferentes funciones. El tiempo hasta una total integración con la empresa, puede
demandar años, especialmente en el caso de sistemas de planificación de recursos
empresariales (ERP) que impactan fuertemente en la operatividad de la empresa (Aral
Sinan, D.J., 2006)
El desarrollo de infraestructura es clave para alcanzar los demás objetivos que se
proponga un plan de desarrollo de las TIC. En ese sentido la CONATEL con su Plan
Nacional de Telecomunicaciones 2011-2015, contiene un diagnóstico de la situación
local, una serie de objetivos propuestos y las acciones a ser ejecutadas para alcanzarlas.
(Marco Legal-Plan Director TICs)
Es esencial que las TICs sean consideradas no tanto como un instrumento funcional,
sino más bien como una capacidad estratégica de la empresa que puede traducirse en una
ventaja competitiva (Lester, Donald L, Tran, 2008)
En el campo de la informática, la ventaja competitiva se refiere al uso de la información
para adquirir peso en el mercado. La idea es que la empresa no tiene que depender
únicamente de recursos físicos superiores para competir; también puede usar recursos
conceptuales superiores tales como datos e información.
Análisis de factibilidad de implementación de un Modelo de TI… 30
financiera los proyectos de TI siguen siendo las prioridades más importantes, sin embargo
las estadísticas indican que dos de cada tres proyectos no son exitosos (desde distintos
puntos de vista), ese bajo índice de éxito da como resultado una fuga importante en el
valor de las TI invertidas; es ahí donde una manera de paliar dicha fuga es con la
implementación de los controles de calidad para los proyectos importantes (E&Y 2012).
Ante estos conceptos y la creciente evolución de las TI, la presencia de un Marco
Referencial para la seguridad y el control de TI resultan más que necesario. Un elemento
crítico para las organizaciones es la administración efectiva de beneficios (outsourcing)3
y por lo tanto, existe la necesidad de evaluar cómo están respecto de estándares
generalmente aceptados y respecto a la competencia (COBIT 4.1).
Las organizaciones deben saber cómo están siendo gestionadas las TIs de manera que
esta sea:
Adecuada para alcanzar los objetivos del negocio
Suficientemente flexible para aprender y adaptarse
Juiciosa en la gestión de los riesgos que enfrenta
Apropiada reconociendo oportunidades.
Por lo tanto, toda herramienta que contribuya a la necesidad de controlar a la entrega
satisfactoria de los servicios de TI en función de los objetivos del negocio será más que
útil ante la creciente vulnerabilidad y un amplio espectro de amenazas. La escala y el costo
de las inversiones a corto y mediano plazo, en información y en TI; y el potencial que
tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de
negocio, crear nuevas oportunidades y reducir costos son algunos de los motivos por que
las organizaciones deben dar importancia al control en TI.
Otro punto a favor de la estandarización de los controles de TI es que los auditores han
tomado el liderazgo en estos esfuerzos internacionales de estandarización, debido a que
ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su
opinión acerca de los controles internos; de tal manera que aseguren la existencia de
3
Outsourcing: Movilizar recursos hacia una empresa externa a través de un contrato.
Análisis de factibilidad de implementación de un Modelo de TI… 33
4
Stakeholders: Aquellos grupos que pueden afectar o ser afectados por el logro de los propósitos de la
organización con influencia directa o indirecta sobre ella (Freeman, 2004).
Análisis de factibilidad de implementación de un Modelo de TI… 35
2.6.2. Gobierno de TI
El Gobierno de TI (IT Governance) es, cuando se establece una dirección que asegure
el cumplimiento de la visión estratégica, siendo visible y cuantificable el valor que
devuelven las TI a la organización. Entregando responsabilidades a personas dentro de
una estructura establecida dentro de la organización que permita decidir para incentivar el
comportamiento deseable de las TI así mismo una adecuada gestión de riesgo.
Al no tener definido todo lo que abarca el Gobierno de TI, no existe una definición
extendida y aceptada de la misma, más abajo algunas definiciones aceptadas en el
panorama global:
Weill & Ross: El Gobierno de TI es un marco para la toma de decisiones y la
asignación de responsabilidades para facilitar el resultado deseado respecto al
uso de la TI. Proceso por el cual las organizaciones vinculan las acciones de TI
con sus metas de desempeño y asignan responsables de esas acciones y de sus
resultados.
Forrester: El Gobierno de TI es el proceso por medio del cual se toman
decisiones acerca de las inversiones de TI. Con elementos sobre: cómo y quién
toma las decisiones, responsables, seguimiento: “El Gobierno de TI en su forma
más básica es el proceso de toma de decisiones sobre TI”.
Análisis de factibilidad de implementación de un Modelo de TI… 36
Con el propósito de integrar o relacionar todos los marcos e iniciativas de ISACA (Val
IT, Risk IT, BMIS, ITAF y Board Briefing), así como conectar con el resto de iniciativas
y estándares aceptados en la comunidad TI (ITIL, ISO, etc.), se cuenta con COBIT 5 que
es una integración de los diferentes marcos y metodologías.
2.6.3. Métricas
Los marcos de control están dirigidos por medidas. El negocio necesita conocer el
estado de sus recursos y procesos de TI, cómo aportan valor y cómo evolucionan, algunas
son: Key Performance Indicator, CMM, IT Governance (ITIL, COBIT, CMMI) y BSC.
El Key Performance Indicator analiza cómo se llega al grado de cumplimiento.
CMM es un modelo de capacidad de madurez, donde evalúa los procesos de una
organización. Cada proceso define un conjunto de buenas prácticas que habrán de ser
definidas en un procedimiento, provistas de los medios y formación necesaria, ejecutadas
de un modo sistemático, universal y uniforme, medidas y verificadas (CMM).
BSC (Balanced Scorecard), es un cuadro de mando integral; una herramienta para la
gestión del rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos
financieros, sino también en los clientes, y en los aspectos relativos al crecimiento y
aprendizaje. Ayuda a transformar los datos corporativos dispares en información y
conocimiento, y ayuda a comunicar la información de rendimiento (BSC).
Análisis de factibilidad de implementación de un Modelo de TI… 39
3.3. Riesgos
El riesgo se define como la combinación de la probabilidad de que se produzca un
evento y sus consecuencias negativas.
Análisis de factibilidad de implementación de un Modelo de TI… 41
Es un aspecto relacionado con la psicología del ser humano, con las matemáticas, la
estadística, y la experiencia adquirida a través de los años (De Lara, 2005).
El riesgo es la posibilidad de que se produzca un impacto determinado en un activo, en
un dominio (o conjunto de activos) o de una organización.
Se caracteriza por dos factores: La probabilidad de que ocurra un incidente y la
vulnerabilidad.
3.3.1. Concepto
Un concepto vinculado al riesgo es la amenaza, y se trata de un dicho o hecho que
anticipa un daño. Algo puede ser considerado como una amenaza cuando existe al menos
un incidente específico en el cual la amenaza se haya concretado.
surgirían del hecho que las personas se agrupen y vivan en sociedad. Subtipos
de riesgo: Riesgos tecnológicos, antrópicos, edificaciones y transporte, por
carga de trabajo.
Son aquellos que están presentes en el entorno ambiental de los trabajadores. Existen
varios tipos de contaminantes: Químicos, físicos y biológicos .
Algunas causas provocadas por agentes físicos son: el ruido, las vibraciones, las
radiaciones, la iluminación, el calor y el frío, la electricidad, los incendios y las
explosiones.
En cuanto a los agentes químicos: Son sustancias constituidas de materia inerte, que
están presentes en el aire en forma de gases, vapores, aerosoles o nieblas.
Los agentes biológicos, a diferencia de los contaminantes físicos y químicos, están
constituidos por seres vivos. Debido a que los organismos son microscópicos resulta
imposible ante la percepción humana. Se clasifican en: bacterias, protozoos, virus, hongos,
gusanos parásitos (Viñas, 2010).
3.3.3.3. De origen ergonómicas y psicosociológicas
Los riesgos profesionales consisten en evitar todo tipo de incidencias que puedan
suponer cualquier problema para la salud y bienestar del trabajador.
Debido a la frecuencia e incidencia con que se presentan; tienen importantes
repercusiones sobre el rendimiento y la calidad del trabajo, entre otros.
Las personas presentan diferentes características que le hacen responder de diferentes
maneras a las exigencias que les demandan su organización y su empresa, y cada empresa
realiza esa demanda de acuerdo a sus características como tal. Pero nada impide que a
determinadas exigencias, la respuesta de los individuos sea común.
Los riesgos provocados por las cargas de trabajo suelen identificarse con la cantidad
de este, pero existen otros factores que originan una carga de trabajo en las personas de
distintas maneras.
La actuación ergonómica está orientada al ajuste de entre las exigencias de las tareas y
las necesidades y posibilidades de las personas.
3.4. Riesgos de TI
La práctica ha demostrado que la función de TI y los riesgos de TI a menudo no son
bien comprendidos por las principales partes interesadas de una organización, entre ellos
los miembros de la junta y la dirección ejecutiva. Sin embargo, estas son las personas que
Análisis de factibilidad de implementación de un Modelo de TI… 44
3.4.1. Concepto
Un riesgo de TI es también un riesgo del negocio, es decir, riesgos del negocio
asociados con el uso, propiedad; operación, participación, la influencia y la adopción de
las TI en una organización.
Por otro lado, para alcanzar los objetivos de la empresa los cuatro dominios que
conforman los procesos de Gestión, se encuentran alineadas con las áreas de planificación,
construcción, ejecución y supervisión (PBRM) proporcionando cobertura de extremo a
extremo (COBIT 5).
Con COBIT 5 cada empresa puede organizar sus procesos como crea conveniente,
siempre y cuando tanto las metas de gestión como las relacionadas con TI queden
cubiertas; esto sin importar el tamaño de la empresa.
La manera en que están administradas los grupos de procesos mediante la composición
de los dominios para la administración de las TI mediante COBIT 5 son:
Procesos de Gobierno Empresarial
Evaluar, Orientar y Supervisar.
4. COBIT.
4.1. Introducción.
COBIT es un marco de Gobierno de TI que proporciona una serie de herramientas para
que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y
los riesgos del negocio.
Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas
internacionalmente, su implementación es una señal de buena gestión en una organizaci
ón. Ayuda a los profesionales de TI y a usuarios de empresas a demostrar su compet
encia profesional a la alta dirección. Como ocurre con muchos procesos de negocio
genéricos, existen estándares y mejores prácticas de la industria de TI que las empresas
deberían seguir cuando utilizan las TI. COBIT se nutre de estas normas y propo
rciona un marco para implementarlas y gestionarlas.
A fin de proveer la información que la organización requiere para lograr sus objetivos,
los recursos de TI deben de ser administrados por un conjunto de procesos, agrupados de
forma adecuada y normalmente aceptada.
implementación de COBIT. Esta versión no invalidó el trabajo efectuado con las versiones
anteriores de COBIT, sino que pudo ser utilizado para mejorar el trabajo previo.
Forman parte de los recursos de COBIT 4.1: La información, la infraestructura, las
aplicaciones (servicios) y las personas (personas, habilidades y competencias).
La cultura, ética y comportamiento son mencionados en pocos procesos de COBIT 4.1.
La estructura organizativa de COBIT 4.1 se encuentra implícita a través de las tablas
RACI, funciones de responsabilidad, rendición de cuentas, consultado o informado y sus
definiciones.
COBIT 4.1 no posee catalizadores (habilitadores), por más que estos se encuentran en
el marco explícitamente o implícitamente. Al igual que en COBIT 4.1, el COBIT 5 puede
ser utilizado como una guía para ajustar según sea necesario un propio modelo de proceso
de la empresa.
Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5
para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre
técnicas de gobierno y administración relacionadas con la TI.
COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima
generación de guías sobre el Gobierno y la Administración de la Información y los activos
tecnológicos de las organizaciones.
Basado en un modelo de referencia de procesos, con un nuevo dominio de gobierno y
varios procesos nuevos y modificados que cubren las actividades empresariales de
extremo a extremo.
La cascada de metas de COBIT 5 traduce a las partes interesadas, las necesidades
concretas, prácticas y personalizadas en el contexto de la empresa, los objetivos
relacionados con la TI y luego con el apoyo de los procesos críticos. La cascada de metas
no es nueva en COBIT 5, fue introducido en COBIT 4.0 en el 2005.
COBIT 5 consolida COBIT 4.1, Val IT y Risk IT en un marco, y ha sido actualizado
para alinearse con las mejores prácticas actuales (ITIL V3 2011, TOGAF).
COBIT 5 será apoyado por un nuevo enfoque de evaluación de la capacidad del proceso
basado en la norma ISO / IEC 15504, y el Programa de Evaluación de COBIT ya ha sido
establecido para COBIT 4.1 como alternativa al enfoque CMM.
Análisis de factibilidad de implementación de un Modelo de TI… 55
De COBIT 5:
Satisfacer las necesidades de las partes interesadas: Las empresas existen para
crear valor para sus partes interesadas manteniendo el equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de recursos.
Cubrir la empresa de extremo a extremo: COBIT 5 integra el gobierno y la
gestión de TI en el gobierno corporativo:
Cubre todas las funciones y procesos dentro de la empresa;
Considera que los catalizadores relacionados con TI para el gobierno y
la gestión deben ser a nivel de toda la empresa y de principio a fin, es
decir, los que sean relevantes para el gobierno y la gestión de la
información de la empresa y TI relacionadas.
Aplicar un marco de referencia único e integrado: COBIT 5 se alinea a alto
nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede
hacer la función de marco de trabajo principal para el gobierno y la gestión de
las TI de la empresa.
Hacer posible un enfoque holístico: COBIT 5 define un conjunto de
catalizadores para apoyar la implementación de un sistema de gobierno y
gestión global para las TI de la empresa.
Análisis de factibilidad de implementación de un Modelo de TI… 57
Principales Cambios
COBIT 4.1 COBIT 5
Criterios de Información
Efectividad Utilidad
Eficiencia Usabilidad
Integridad Libre de Error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad
Tabla 6: Criterios de COBIT 4.1 a Modelo de Información de COBIT 5.
Fuente: Extraído de: https://francoitgrc.wordpress.com/2014/11/26/15/.
COBIT 5 ofrece entradas y salidas para cada práctica de manejo, mientras que COBIT
4.1 sólo proporcionó estas a nivel de proceso. Este ofrece una orientación adicional
detallada para el diseño de procesos y ayuda con la integración entre los mismos.
COBIT 5 ofrece gráficos RACI que describen las funciones y responsabilidades de una
manera similar a COBIT 4.1, Val IT y de Risk IT. Pero ofreciendo una gama completa,
detallada y clara del negocio y de TI que COBIT 4.1, esto para cada práctica de gestión
de roles genéricos; lo que permite una mejor definición de las responsabilidades en el
diseño e implementación de procesos. (Anexo 6 y Anexo 7)
Con respecto a las metas de TI, COBIT 5 ha efectuado dos cambios importantes
comparativamente con COBIT 4.1:
Disminuyó la cantidad de 28 a 17 metas. (Anexo 3).
Para cada meta de TI se indica a cuál perspectivas del Balanced Scorecard
corresponde:
primeramente establecidas, las mismas deben ser nuevamente mapeadas pero por los
procesos que soportan a dichas metas TI. (Anexo 5).
Al obtener este grupo de procesos que afectan a las metas TI, filtradas a su vez según
las metas del negocio previamente seleccionadas y definiendo las metas específicas
correspondiente a los restantes catalizadores (metas catalizadoras), se puede proceder al
diseño y desarrollo de un manual de control interno basado en las necesidades de las partes
interesadas.
Análisis de factibilidad de implementación de un Modelo de TI… 68
Sin embargo, COBIT 5 introduce una nueva forma de medir la madurez de los procesos
a través del “Process Capability Model”, basado en el estándar internacionalmente
reconocido ISO/IEC 15504 diferente en su diseño y uso al modelo de madurez que incluía
COBIT 4.1.
Este modelo alcanzará los mismos objetivos generales de evaluación de procesos y
apoyo a la mejora de procesos, es decir, que proporcionará un medio para medir el
Análisis de factibilidad de implementación de un Modelo de TI… 69
Varios de los componentes del BMIS han sido integrados al COBIT 5, como
habilitadores que interactúan y respaldan la gestión en la organización para alcanzar sus
objetivos de negocio y crear valor.
Estos componentes son:
Organización, procesos, personas
Factores humanos, tecnología, cultura
Habilitación y soporte
Gobierno y arquitectura
El modelo de negocios para la Seguridad de la Información, ofrece una explicación en
profundidad a un modelo de negocio integral que examina cuestiones de seguridad desde
una perspectiva de sistemas.
4.5.2. ITAF.
ITAF constituye un marco de trabajo que establece normas de auditoria y seguridad de
roles profesionales y responsabilidades, conocimientos, habilidades y diligencia; conducta
y requisitos de información. Consiste en el cumplimiento y la buena orientación de las
configuraciones prácticas.
ITAF puede ser aplicada por las personas que actúan en calidad de profesionales de la
auditoría y seguridad de los Sistemas de Información, que se dedican a ofrecer garantías
sobre algunos componentes de los sistemas de TI, aplicaciones e infraestructura.
Sin embargo, estas normas, directrices y estos procedimientos de auditoría y seguridad
están diseñados de una manera que también puede ser útil, y que puede beneficiar a, un
público más amplio, incluidos los usuarios de los informes de auditoría y seguridad de los
Sistemas de Información.
Estandarizando procesos
Mejorando la comunicación de las áreas del negocio y TI para así lograr una
gestión predecible.
5.1. Procesos.
Los procesos en COBIT 5 tienen partes interesadas internas y externas cada una con
sus propios roles y niveles de responsabilidad registradas en las tablas RACI (Anexo 6 y
7). Las metas de los procesos se definen como “declaraciones que describen el resultado
deseado de un proceso”; pudiendo ser un dispositivo, un cambio significativo en el estado
de otros procesos o una mejora en la capacidades de los procesos.
Las metas de los procesos se pueden categorizar cómo intrínseca, contextual, de
seguridad y acceso. Cada una de los niveles de las cascadas de metas define métricas que
miden el grado de consecución de los mismos.
Cada proceso tiene un ciclo de vida. COBIT 5 contiene un modelo de referencia de
procesos en el que se describen buenas practicas internas sobre procesos en niveles de
detalle crecientes.
Los procesos en base a COBIT 5 son agrupados en 5 Dominios correspondientes a dos
áreas principales de actividad (Gobierno y Gestión):
Alinear, Planificar y Organizar (APO)
Construir, Adquirir e Implementar (BAI)
Entregar, dar Servicio y Soporte (DSS)
Supervisar, Evaluar y Valorar (MEA)
Evaluar, Orientar y Supervisar (EDM)
Cada Dominio está compuesta por un grupo de procesos que corresponden al área en
común.
BAI09 Gestionar los activos: Gestionar los activos de las TI a través de su ciclo
de vida para asegurar que su uso aporta valor a un coste óptimo, que se
mantendrán en funcionamiento, justificados y protegidos físicamente, y que los
activos que son fundamentales para apoyar la capacidad del servicio y que sean
fiables y estén disponibles.
BAI10 Gestionar la configuración: Incluyendo la recopilación de información
de configuración, el establecimiento de líneas de referencia, la verificación y
auditoría de la información de configuración y la actualización del repositorio
de configuración.
Los principios, políticas y marcos de referencia son los instrumentos para comunicar
las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
Las políticas proporcionan una directriz más detallada de cómo llevar a la práctica los
principios y su influencia respecto a cómo la toma de decisiones se alinea al mismo.
Los principios han de ser limitados en cantidad y redactados en un lenguaje sencillo y
claro. Las políticas deberán ser efectivas, eficientes y no intrusivas; es decir logran los
objetivos garantizando que los principios se implementen sin generar ningún tipo de
resistencia para quienes han de cumplir con ellas.
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI
empresariales:
1. Satisfacer las necesidades de las partes interesadas
2. Cubrir la empresa de extremo a extremo
3. Aplicar un marco de referencia único e integrado
4. Hacer posible un enfoque holístico
5. Separar el Gobierno de la Gestión
Estos cinco principios habilitan a la empresa a construir un marco de gestión de
gobierno y gestión efectivo que optimiza la inversión y el uso de información y tecnología
para el beneficio de las partes interesadas.
EMPRESA
ÁREA
DE TI
DE TI
Usuarios COBIT
Usuarios COBIT
Incremento en el acceso a
Los usuarios de COBIT 5 tienen la
las mejores prácticas para
Contribución oportunidad de hacer una gran
implementar un Marco de
de los Usuarios contribución a la empresa generando
5
Trabajo de Gobierno y
de COBIT 5. un incremento en el nivel de
Gestión de TI a nivel
satisfacción con el uso de COBIT 5.
empresa.
Tabla 7: Beneficios de COBIT5.
Fuente: Elaboración propia. Basado en COBIT 5. Fig. 6
Los cambios internos como externos deben coincidir con el Sistema de Control Interno
en el cual se tiene en cuenta el riesgo de fraude como parte de una administración de
riesgos eficaz.
6.6. Monitoreo.
Este componente debe conducir a la identificación de los controles débiles,
insuficientes o innecesarios, para promover con el apoyo decidido de la gerencia, su
robustecimiento e implantación.
La gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes
y elementos que forman parte de los sistemas de control. Esto, durante la realización de
las actividades diarias en los distintos niveles de la organización; de manera separada por
personal que no es el responsable directo de la ejecución de las actividades o mediante la
combinación de las dos formas anteriores.
Este componente incluye aspectos a tener en cuenta: como la prevención y monitoreo,
seguimiento de resultados y compromisos de mejoramiento.
Desde la década del 1990, ITIL ha dejado de ser sólo un marco teórico para convertirse
en una metodología y una filosofía compartida por todos los que las utilizan en la práctica.
Su estructura actual está compuesta por 5 volúmenes organizados por su ciclo de vida
de servicio. Además ITIL cuenta con guías complementarias varias.
A través de este modelo se ofrece un método probado para gestionar procesos, roles y
actividades, así como sus interrelaciones. Adaptado a cualquier tipo de organización que
ya cuente con sus propios métodos y actividades de gestión de servicios. Soporta a otros
marcos y estándares como lo son COBIT y la ISO/IEC 20000.
Los procesos ITIL están alineados con el estándar de calidad ISO 9000 y se encuentran
vinculados con el Modelo de Excelencia de la EFQM (European Foundation for Quality
Management), el cual es utilizado por más de 1.000 empresas en todo el mundo.
Áreas y dominios en COBIT 5 cubiertos por ITIL
Subconjuntos de procesos en el dominio DSS
Subconjuntos de procesos en el dominio BAI
Algunos procesos APO
ISO 9001 – Gestión de Calidad. Define los requerimientos para los sistemas de gestión
de calidad. Aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son
los mismos, por lo tanto si una empresa ha implementado ISO 9001 será más sencillo
implementar ISO 27001.
Áreas y dominios de COBIT 5 cubiertos por ISO 27000:
Procesos de seguridad y relativos al riesgo en los dominios EDM, APO, DSS.
Varias actividades relacionadas con la seguridad dentro de procesos en otros
dominios.
Actividades de Supervisión y evaluación del dominio MEA.
riesgo que provocan perdidas, cómo a las situaciones positivas de riesgo que constituyen
oportunidades.
Para la ISO/IEC 31000 su principal objetivo es integrar el proceso de gestión de riesgos
en el gobierno; estrategia y planificación, gestión, informe de los procesos, políticas,
valores y cultura de la organización.
De esta manera la norma ISO/IEC 31000, tiene un alcance que consiste en habilitar
todas las áreas estratégicas, de gestión y operacionales de una organización por medio de
proyectos, funciones y procesos alineados a un conjunto común de objetivos de gestión
de riesgo.
La ISO/IEC 31000 está estructurada en tres elementos claves para una gestión de
riesgos efectiva:
Los principios de la Gestión de Riesgo son 11 y son:
Crear y proteger el valor.
Estar integrada a todos los procesos de la organización.
Ser parte de la toma de decisiones.
Tratar explícitamente la incertidumbre.
Ser sistemática, estructurada y oportuna.
Basarse en la mejor información disponible.
Alinearse al contexto y al perfil de riesgos de la organización.
Tener en cuenta los factores humanos y culturales.
Ser transparente e inclusiva.
Ser dinámica, iterativa y sensible al cambio.
Facilitar la mejora continua.
El Marco de Trabajo es otro elemento de la estructura ISO/IEC 31000, su objetivo es
integrar el proceso de gestión de riesgos al gobierno corporativo. La ISO/IEC 31000
recomienda desarrollar, implementar y mejorar en forma continua un marco de referencia.
El tercer elemento clave para la norma es el Proceso de la Gestión de Riesgos que
cuenta con tres etapas: Establecimiento del contexto, valuación de riesgos y tratamiento
de los mismos.
Análisis de factibilidad de implementación de un Modelo de TI… 104
7.1.9. BS 25999
Este estándar de origen británico, aborda los lineamientos que deben contemplarse para
la administración de la continuidad del negocio. A través de 2 partes. La primera ofrece
un marco de referencia para procesos, principios y terminología asociado a la continuidad
del negocio. En la segunda, se encuentran los requerimientos para implementar, operar y
mejorar un sistema de administración de la continuidad del negocio.
Análisis de factibilidad de implementación de un Modelo de TI… 108
Metodología de Investigación
Tipo de Investigación
Para el desarrollo de la presente tesis de tipo no experimental exploratorio, se trabajara
en biblioteca a fin de obtener fuentes primarias de información para conformar todo el
marco teórico y metodológico que sustentará a la misma.
Profundizar en todo lo concerniente al mejoramiento de procesos, servicios y
productividad dentro del Gobierno de TI, será el tema central a investigar tanto en fuentes
primarias como secundarias.
La misma no busca demostrar nada, pero sí analizar la factibilidad de implementar un
Modelo de Administración de TI que sería inicialmente desarrollada mediante un Manual
de Control Interno Informático, de tal manera a aplicar las políticas, procesos y gestión
empresarial indicadas en el marco de referencia COBIT 5.
Diseño de Investigación
El diseño será No experimental transversal porque la presente tesis es de tipo
exploratoria descriptiva, en donde se expondrán los hechos relacionados al tema
adecuando a nuestra realidad la propuesta del marco regulador.
España., para el Programa ALFA III, Unión Europea; para su taller de Innovación e
Internacionalización de las Mi Pymes y Pymes.
Este instrumento es aplicado a los integrantes de la muestra.
Hipótesis
La Hipótesis indica lo que estamos buscando o tratando de probar y se
definen como explicaciones tentativas del fenómeno investigado,
formuladas a manera de proposiciones.
Sampieri, Roberto Hernández et alli
Metodología de la Investigación. Mc Graw Hill. 2003
Metodología de Análisis
No corresponde su elaboración, porque la investigación es bibliográfica.
gastos indirectos. Y se podrá optar por un costo ideal y mínimo que se detalla a
continuación.
Presupuesto Ideal
Costo del Proyecto
Descripción U. M. Costo U Cantidad Sub Total
Recursos Humanos - 11.000.000 1 124.000.000
Equipamiento - 4.100.000 1 9.950.000
Materiales - 153.000 1 403.000
Gastos Directos - 200.000 1 400.000
Gastos Indirectos - 12.000.000 1 12.000.000
Total 146.753.000
Tabla 8: Resumen del Presupuesto Ideal
Fuente: Elaboración Propia
Material Gastable
Descripción U. M. Costo U. Cantidad Sub Total
Papel Resma 50.000 4 200.000
Lápices Caja 8.000 6 48.000
CD-RW Caja 35.000 1 35.000
Tinta Cartuchos 60.000 2 120.000
Total 403.000
Tabla 11: Material Gastable
Fuente: Elaboración Propia
Análisis de factibilidad de implementación de un Modelo de TI… 114
Cronograma de Actividades
El entorno se refiere al espacio que nos rodea, y con el que interactuamos. Para
la informática, el entorno hace referencia a las condiciones extrínsecas que un sistema
informático requiere para su correcto funcionamiento (un tipo de programación, una
máquina específica, etc.).
En cuanto a la arquitectura informática es un término general que se aplica a la
estructura de un sistema informático o de una parte del mismo. El término se aplica así
mismo al diseño del software de sistema, por ejemplo el sistema operativo y también se
refiere a la combinación de hardware y software básico que comunica los aparatos de una
red informática.
5
Data Center: Centro de Datos.
Análisis de factibilidad de implementación de un Modelo de TI… 121
6
Red: Es un medio que permite a personas o grupos compartir información y servicios. Las redes
informáticas constituye el conjunto de las herramientas que permiten a los ordenadores compartir
información y recursos.
Análisis de factibilidad de implementación de un Modelo de TI… 122
4.2.1.2. Comunicaciones
Ante casos de contingencias de comunicaciones, la estrategia de recuperación
implementada por la empresa, consiste en la contratación de servicios del proveedor de
ruteadores, el cual incluye el reemplazo de equipos dañados o con desperfectos técnicos;
además de la implementación de enlaces de comunicación redundantes entre la casa
central (Data Center) y las sucursales, tendientes a minimizar los problemas de
comunicación ocurridos como consecuencia de fallas técnicas en los prestadores del
servicio.
A fin de recuperar los sistemas de comunicación e infraestructura de red de A.M.
Reguera, en la cual están soportados todos los sistemas aplicativos de producción de la
empresa, utilizando como dispositivos principales de red, equipos de la marca CISCO.
Como conexión principal a internet el proveedor es XXX y la salida es a través del
ruteador de Casa Central. Se cuenta con un enlace independiente para Internet. Ante fallas
de este servicio se cuenta con la siguiente opción:
Conexión alternativa vía TESACOM: el ruteador puede ser configurado
manualmente para que Casa Central pueda conectase para realizar
Análisis de factibilidad de implementación de un Modelo de TI… 123
transacciones por este enlace. Este debe ser utilizado cuando el proveedor XXX
no puede brindar el servicio de Internet.
Enlace redundante: Existen agencias que cuentan con enlace VPN redundante.
En todos los casos, se ha configurado el acceso con balanceo de carga, es decir
ante la falta de un proveedor se asume al otro enlace como única ruta para
acceder al sistema. En condiciones normales, se utilizan ambos enlaces en
forma indistinta.
Conexión Alternativa: La empresa adoptó la estrategia de enlazar los dos puntos
(agencia y centro de cómputos) vía llamada telefónica (Dial-Up).
Más información acerca del manejo de servidores ver Anexo 9 - Cronograma de
mantenimiento del Data Center
4.3.1. ¿La empresa promueve el compromiso con la integridad y valores éticos de sus
personales?
9;
15%
16;
28%
17;
29%
12;
21%
25;
43%
10; 17%
15;26%
4.3.4. ¿La empresa demuestra compromiso para identificar y retener a los más
competentes, posicionándolos en cargos estratégicos?
9; 12;
16% 21%
15;
26%
Grado de aplicación 1 Grado de aplicación 2 Grado de aplicación 3
Grado de aplicación 4 Grado de aplicación 5
4.3.5. ¿Se cuenta con manuales que proporcionen los lineamientos acerca de la
propiedad de datos y diccionario de datos del Sistema?
10;
17%
19
33%
Grado de aplicación 1 Grado de aplicación 2
Grado de aplicación 3 Grado de aplicación 4
Grado de aplicación 5
Figura 31: Lineamientos acerca de la propiedad de datos y diccionario de datos del Sistema
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
13; 14;
23% 24%
4.3.7. ¿La empresa cuenta con Organigramas generales y del área TI, manuales
de funciones de las áreas de TI y Seguridad respectivamente?
10;
17%
12;
21%
18;
31%
10;
17%
21;
36%
15;
26%
11;
19%
15;
26%
20;
34%
8;
14%
13;
11;
22%
19%
18;
32%
14;
25%
4.3.12. ¿Se cuenta con un registro de control de los contratos con proveedores de
Sistemas y Tecnología?
8;
14%
28;
48%
15;
26%
14;
24%
12;
21%
Figura 39: Garantía de beneficios en base a las inversiones por parte de TI.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
9;
16%
31;
53%
12;
21%
14; 9;
24% 15%
14; 25;
24% 43%
13;
23%
12;
21%
9;
15%
17;
29%
Grado de aplicación 1 Grado de aplicación 2 Grado de aplicación 3
Grado de aplicación 4 Grado de aplicación 5
4.3.18. ¿La empresa asegura que el riesgo relacionado al uso de las TI sean:
identificadas y gestionadas?
9;
16%
16;
28%
6;
10%
11;
19%
14;
24%
Grado de aplicación 1 Grado de aplicaición 2 Grado de aplicación 3
Grado de aplicación 4 Grado de aplicación 5
Figura 45: La empresa identifica y gestiona los cambios organizativos en base a procesos e infraestructura.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
24;
41%
9;
16%
4;
7%
32;
55%
10;
17%
9;
16%
42;
72%
Figura 48: La empresa posee un enfoque estructurado en cuanto a la asignación de funciones y responsabilidades
del personal.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
45;
78%
Figura 49: Actividades de control para la disminución del riesgo y logro de los objetivos.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
19; 18;
33% 31%
1;
2%
10; 10;
17% 17%
11;
23;
19%
40%
19;
33%
Figura 51: Se identifican los requisitos de control y opera para satisfacer los requerimientos.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
44;
76%
4.3.27. ¿El área de TI, gestiona y releva los requerimientos de usuarios para
identificar y clasificar los mismos a modo de dar una solución en tiempo y a
modo de evitar recurrencias?
14;
24;
24%
41%
16;
28%
Grado de aplicación 1 Grado de aplicación 2 Grado de aplicación 3
Grado de aplicación 4 Grado de aplicación 5
8; 23;
14% 39%
1;
2%
19;
33%
Figura 54: Seguridad TI mantiene aceptable el nivel de riesgo de acuerdo a sus políticas.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
18;
31%
19;
33%
1;
2%
Figura 55: Se cuenta con información para el buen funcionamiento del Control Interno.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
18;
31%
19;
33%
4;
7%
20;
34% 26;
45%
1;
2%
11;
19%
Grado de aplicación 1 Grado de aplicación 2 Grado de aplicación 3
Grado de aplicación 4 Grado de aplicación 5
Figura 57: Se comunica mediante los canales establecidos, asuntos que afectan el Control Interno.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
4.3.32. ¿Se supervisan los procesos que se están realizando según lo acordado,
conforme a los objetivos, proporcionando informes planificados?
10;
2%
18; 4;
37% 8%
4.3.33. ¿Se evalúan en forma continua tanto por revisiones internas como
externas, el entorno de control de la empresa?
24; 9;
41% 15%
13; 22%
30;
52%
1;
2%
8;
14%
19;
32%
36;
61%
Figura 61: Los informes del área TI son transparentes para las partes interesadas.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
18;
31%
19;
33%
14;
24%
Figura 62: Son adecuadas las capacidades que afectan al área TI.
Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
Fortalezas
Grupo de profesionales idóneos y motivados
Hardware suficiente para sostener el sistema por 2 años
Proveedores externos comprometidos con nuestra empresa
Buena imagen ante el Directorio y plana Gerencial
Flexibilidad de obtener desarrolladores y soporte a medida de la necesidad
Buen ambiente del grupo de trabajo de TI
Comunicación abierta con aliados internacionales estratégicos
Nuevo manual de funciones y políticas
Oportunidades
Migración de datos a nuevo sistema
Implementación del Directorio Activo (MS ACTIVE DIRECTORY)
Determinación del Directorio de invertir en Técnología
Disminución del costo de hardware
Incursión en el mercado local de proveedores de software
Disminución de costo de comunicaciones
Deseo del Directorio de invertir en capacitación
Debilidades
Etapa de transición de Gerencia
Dispersión del RRHH de TI ante implementación de un nuevo sistema
RRHH de desarrollo muy bueno. Aún en fase de aprendizaje
Dispersión física de las oficinas de TI
Falta de sistemas de gestión de gobernabilidad de TI
Falta de sistemas de gestión de gobernabilidad de TI
Alta demanda de cambios en el sistema y en el soporte
Amenazas
Cambios de sistema monetario
Cambio del IVA
Aumento sustancial del costo de profesionales especializados
Falta de automatización de actividades de áreas de soporte financiero
Falta de claras definiciones de los proyectos solicitados a TI
Falta de claras definiciones para la implementación del nuevo sistema
Plan de continuidad de negocios incompleto
Falta de compromiso alta de compromiso institucional para el cambio de sistema
Figura 63: Último análisis FODA. A.M. Reguera
Fuente: Elaboración propia. Basado en materiales proveídos por la empresa A.M. Reguera en relevamientos
realizados.
Análisis de factibilidad de implementación de un Modelo de TI… 163
Introducir la cultura de
captación de ahorro en toda la P P P
empresa
Lograr la eficiencia operativa
mediante procesos P P P
estandarizados y automatizados.
Fortalecer la comunicación
Interna
interna para contar con P P
colaboradores bien informados.
Adecuar la infraestructura para
P P S
los clientes internos y externos.
Lograr el compromiso y calidad
de desempeño de los
Aprendizaje colaboradores y que los mismos S P P
y puedan proyectarse en la
Crecimiento empresa.
Fortalecer los programas de
P
RSE.
Relación primaria P, secundaria o menos fuerte S.
Tabla 15: Metas del Negocio para la Empresa AM Reguera.
Fuente: Elaboración propia. Basada en datos relevados
Conclusiones
Atendiendo a que el presente proyecto de tesis se basa en la factibilidad de desarrollo
de un Modelo de Administración de TI mediante el diseño e implementación de un Manual
de Control Interno Informático en una empresa, y sumando este, el hecho de que para
medir el impacto real de dicho modelo tomará no menos de un lustro, conviene entonces
hablar de un supuesto a comprobar; que podría detallarse como “Con la implementación
del Manual de Control Interno Informático en la empresa, la misma aumentará su
rendimiento interno de forma gradual hasta pasado los cinco años (un lustro) de haberse
implementado; y los colaboradores se hayan interiorizado con las políticas del marco
Cobit 5, en el cual se basó el Manual de Control Interno Informático”.
Las TIC deben considerarse como sinónimo de innovación referente a la tecnología, el
comercio y las regulaciones; El éxito de las mismas depende de que se adopte un mismo
enfoque sistémico por parte de las partes interesadas y que garantice la incorporación
amplia y coordinada de todos los elementos interrelacionados: la oferta y la demanda, la
infraestructura, el acceso, los servicios, las políticas y las normas, la alfabetización digital
y los mecanismos de financiación.
En este proyecto se explican las diferencias entre la versión anterior COBIT 4.1 y
COBIT 5, sus principios y alcances orientados al Gobierno de TI.
También se analizan los procesos, técnicas de gobierno y gestión empresarial basadas
en el marco de referencia COBIT 5, aplicadas a fin de garantizar los datos de la empresa.
Se investiga la estructura jerárquica, la organización y la administración de la
infraestructura de TI de la empresa seleccionada, para el desarrollo del Manual de Control
Interno Informático según el modelo propuesto.
Entonces, con la implementación de un Modelo de Administración de TI colabora al
desarrollo del Gobierno de las TICS de la empresas que lo aplican, proporcionando un
Análisis de factibilidad de implementación de un Modelo de TI… 167
Recomendaciones.
Existe un espacio importante para las políticas y estrategias orientadas a incrementar
la infraestructura de la red y mejorar las condiciones de acceso y la calidad del servicio.
Mientras no se superen los problemas relacionados a las TICS, el uso de la banda ancha
en la región seguirá cubriendo a cantidades reducidas de la población, no siendo posible
concretar todos los beneficios de las TIC. Para esto es necesario hacer un adecuado análisis
de la organización en la que se implementarán y determinarán los objetivos.
Se recomienda mantener un monitoreo global de TI, tomando como punto de partida
el marco de trabajo descrito en este proyecto, para iniciar acciones correctivas en base a
la evaluación periódica del desempeño de los procesos contra los objetivos planteados, y
así mantener niveles óptimos de seguridad, calidad y eficiencia.
Siempre es recomendable para un mejor desempeño, realizar auditorías detalladas de
las áreas de desarrollo de software, administración de la base de datos y soporte técnico.
En caso de que la empresa decida realizar el desarrollo e implementación de los
procesos, políticas de gobierno y gestión empresarial en base a COBIT 5, deben tener en
cuenta que la misma es más amigable cuando se realizan dichos lineamientos inicialmente
en base a COBIT 5, y no así si ya se posee implementado una versión anterior a la misma.
También se recomienda que los personales encargados de la manipulación y
construcción del desarrollo del software de la empresa no sean personales tercerizados,
sino que corresponda al plantel de la misma.
Al alcanzar demostrar la factibilidad de utilización del marco de referencia COBIT 5
para alcanzar un mayor y mejor crecimiento de la gestión empresarial, es recomendable
el desarrollo del Modelo de Administración de TI basada en este marco.
Análisis de factibilidad de implementación de un Modelo de TI… 168
Bibliografía
Acha, Gerardo. Estándares de Seguridad en el Trabajo. Consultado en fecha:
10/10/2014. Extraído de http://eticaseguridadupc.blogspot.com/2011/04/los-
stakeholders.html.
Aguilera C., Diana R. Guía de Auditoria de Sistemas para la industria de los Medios de
Pago. Tesis de Grado. Ingeniería de Informática y/o Análisis de Sistemas.
Universidad Americana, Asunción, Paraguay. 2013.
Agencia de información Paraguaya. Pobreza total se redujo 1,2% en 2014. Consultado en
fecha: 30/10/15. Extraído de: http://www.ip.gov.py/ip/?p=12090.
Alles, Marta. Diccionario de las Competencias. La trilogía. Editorial: Granica. 2013.
Alegsa, Leandro. Diccionario de Informática y Tecnología. Consultado en fecha:
17/05/15. Extraído de:
http://www.alegsa.com.ar/Dic/arquitectura.php#sthash.h1lv1sQc.dpuf.
Albertini, F. Entrenamiento y Capacitación de Recursos Humanos en Paraguay ante los
Desafíos del Mercado Laboral, 2010 – 2013. Consultado en fecha: 30/10/15.
Extraído de: http:/www.investigación.ua.edu.py/entrenamiento-y-capacitación-de-
recursos-humanos-en-paraguay.
Alejandro, Cuesta. Cómo medir el alineamiento entre TI y negocio. Consultado en
fecha: 05/08/2014. Extraído de: http://www.ibermatica.com/sala-de-
prensa/opinion/como-medir-el -alineamiento-entre-ti-y-negocio-gobierno-ti-y-
cobit-5.
American Psychological Association. Manual de publicaciones de la American
Psychological Association. Edición 3era. 2010.
American Psychological Association. Publication manual of the American Psychological
Association. Edition 6th. Washington, D.C. 2010.
Aral, Sinan, Brynjolfsonn, WU. D.J. Which Came Fisrst, IT or productivity? The Virtous
Cycle of Investment and use in Enterprise Systems. P22. 2006. EEUU.
Areitio, Javier. Seguridad de la Información. Redes, informática y sistemas de
información. Editorial: Parainfo. 2008.
Atelin, Phillippe. Redes Informáticas. Editorial: ENI. 2006.
Análisis de factibilidad de implementación de un Modelo de TI… 169
ITGI. Alineando-COBIT-4-1-ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa.
Editorial: ITGI. 2008. USA
ITGI. Board Briefing on IT Governance. Editorial: ITGI. Edición: 2da. 2003. USA.
Informaticamoderna.com. Sistemas Operativos Populares. Consultado en fecha: 05/04/15.
Extraído de: http://www.informaticamoderna.com/Sist_Ope.htm.
Jan Van Bon. Fundamentos de ITIL V3. Editorial: Van Haren.
Kenneth, Laudon. Sistemas de información gerencial: Administración de la empresa
digital. Editorial: Pearson Educación.
Kotelnikov, V. Small and Medium Enterprises and ICT. E-primers for the Information
Economy, Society and Polity, 27 (N. Unidas, Ed.). 2007. Tailandia.
Lester, Donald L, Tran, Thuang T. Information Technology Capabilities: Suggestions for
SME Growth. 2008.
Levin R. I., Rubin D. S. Estadística para Administración y Economía. Editorial: Pearson
Prentice Hall. 2004. México.
López, Antoni. Diseño de sistemas software en UML. Editorial: UPC.
Lhija. Definición de Arquitectura Informática. Consultado en fecha: 20/05/15. Extraído
de: https://lhija.wordpress.com/2011/11/04/definicion-de-arquitectura-
informatica/.
M. Bunge. ¿Qué es un Problema Científico? 2011.
Maggio, M. Diálogos en Educación. Bs. As.: Educared. 2007. Argentina
Marín, Mihaela. Las 10 tendencias tecnológicas que marcarán el año 2015. Consultado
en fecha: 08/05/2015. Extraído de: http://www.ticbeat.com/tecnologias/10-
tendencias-tecnologicas-marcaran-2015/.
Master magazine. Definición de Entorno. Consultado en fecha: 01/05/15. Extraído de:
http://www.mastermagazine.info/termino/4898.php.
Mary Beth Chrissis, Mike Konrad. CMMI®. Guía para la integración de procesos y la
mejora de productos Segunda edición. 2012.
Microsoft. Recursos. Consultado en fecha: 10/05/15. Extraído de:
https://www.microsoft.com/spain/technet/recursos/articulos/spsec_1.mspx.
Análisis de factibilidad de implementación de un Modelo de TI… 174
Anexos
Anexo 1 - Varios.
1. Tipos de arquitecturas informáticas son:
Arquitectura de sistemas: Define la tecnología que será usada para construir el
sistema de información.
Arquitectura de la información: Es la forma particular en que la tecnología de
la información toma en una organización para alcanzar metas o funciones
seleccionadas. Es un diseño para los sistemas de aplicaciones de negocios
fundamentales de la empresa y de las formas específicas en que se utilizan en
cada organización.
Arquitectura de software: Es la descripción de los subsistemas y componentes
computacionales de un sistema software y las relaciones entre ellos.
Arquitectura de hardware: La arquitectura de hardware primero se concentra en
las interfaces eléctricas internas entre los componentes o subsistemas del
sistemas del sistema, y luego la interfaz entre el sistema y su entorno.
3. Sistema operativo
3.1. Conceptos
Definición académica de Sistema Operativo la unión de las definiciones de Sistemas y
de Operativo: Conjunto de programas que, ordenadamente relacionados entre sí,
contribuyen a que el ordenador lleve a efecto correctamente el trabajo encomendado.
Análisis de factibilidad de implementación de un Modelo de TI… 180
4. Lenguaje de Programación
La importancia del entorno informático se basa en que los ordenadores trabajan con
código binario casi imposible de usar por los seres humanos. Es por ello que es necesario
una herramienta que ayude al ser humano a dictar órdenes comprensibles para el
ordenador, los lenguajes de programación.
Como incluso el uso de esos lenguajes es excesivamente complicado para la mayoría
de los usuarios, los programadores han diseñado múltiples entornos que permiten la
interacción de personas y máquinas de un modo más sencillo.
Los lenguajes de programación nacieron en los 50’s con FORTRAN (Formula
Translation), LISP (List Procesor), COBOL (Common Business – Oriented Languaje).
Considerados los lenguajes más viejos utilizados hoy en día. Son lenguajes de alto
Análisis de factibilidad de implementación de un Modelo de TI… 183
nivel que fueron creados para su uso en aplicaciones para supercomputadoras, desarrollo
de Inteligencia Artificial, software empresarial.
En los 70 ’s aparece el lenguaje de programación PASCAL, es un lenguaje de alto nivel
utilizado para la enseñanza de la programación estructurada y la estructuración de datos,
fue un lenguaje de mucha utilización en los 80 ’s.
También en la misma época aparece el lenguaje C basado en un lenguaje anterior
llamado B, es un lenguaje de propósito general, de bajo nivel. Creado por Unix Systems.
Es el lenguaje más popular precedido por Java. De él derivan muchos lenguajes como C#,
Java, JavaScript, Perl, PHP y Python.
Su principal uso es la programación multiplataforma, programación de sistemas,
programación en Unix y desarrollo de videojuegos.
Ya en 1983 aparece C++, es decir formalmente el lenguaje C con clases, creado por
Bjarne Stroustrup de Laboratorios Bell. Es un lenguaje de nivel intermedio, orientado a
objetos con mejoras como clases, funciones virtuales y plantillas. La misma se aplica en
cuanto al desarrollo de aplicaciones comerciales, software embebido, aplicaciones cliente-
servidor en videojuegos.
En 1983 aparece Objective-C (Object-oriented extensión de “C”), un lenguaje de
propósito general, de alto nivel. Ampliado en C para su uso en programación Apple.
En 1987, el lenguaje Perl de propósito general, de alto nivel; creado para el
procesamiento de reportes en sistemas UNIX. Conocido por su alto poder y versatilidad.
En 1991, el lenguaje Python de propósito general, de alto nivel. Creado para apoyar
una gran variedad de estilos de programación de manera divertida. Creado por Guido Van
Rossum (CWI) para dar uso mediante: Aplicaciones Web, desarrollo de software,
seguridad informática.
En 1993, aparece el lenguaje Ruby; de propósito general y alto nivel. Un programa de
enseñanza, influenciado por Perl, Ada, Lisp, Smalltalk, entre otros. Diseñado para hacer
la programación más productiva y agradable. Sus Principales usos son el desarrollo de
aplicaciones Web, Ruby on Rails.
Y finalmente en 1995 surgen JAVA, JavaScript y PHP.
Análisis de factibilidad de implementación de un Modelo de TI… 184
5. Sistemas de Aplicación
En este apartado incluye lo concerniente al software de aplicación, es decir, todo lo
relativo a los aplicativos de gestión, sean producto de desarrollo interno de la empresa o
bien paquetes estándar adquiridos en el mercado.
Análisis de factibilidad de implementación de un Modelo de TI… 185
Las aplicaciones son programas diseñados para ejecutar trabajos o procesos de cálculo
específicos que precisa el usuario o la unidad empresarial. Aplicaciones más usuales:
contabilidad, gestión de inventarios etc., funcionan por separado, a medida que aumenta
el tamaño de la empresa y la complejidad de sus procesos de gestión se hace necesario
interrelacionar un cierto número de aplicaciones; llegando a los “sistemas integrados”.
5.1. Clasificación
Aplicaciones estándar: Son aplicaciones existentes en el mercado, que sólo requieren
la instalación del programa en un ordenador apropiado. Barato, fácil de instalar, orientados
a las pymes. Se clasifican en horizontales y verticales.
Las aplicaciones horizontales son aquellas organizaciones que siguen modelos
comunes, debido a que las leyes imponen sus normas o a que las buenas
prácticas ya son muy conocidas. Procesos de ventas, pedidos, logística,
facturación; contabilidad y control financiero, por citar algunos.
Las aplicaciones verticales intentan satisfacer las necesidades específicas de un
sector determinado. Ejemplos: ERPs para la distribución mayorista, gestión
para farmacias, supermercados, CAD para arquitectura y todo tipo de
sectoriales que podemos imaginar.
Aplicaciones a medida: Son las aplicaciones que responden a las necesidades
específicas que necesita cada empresa, orientada a las grandes empresas y elaboradas por
profesionales de informática.
Permiten implementar modelos de negocio particulares, con procesos únicos, lo que le
brinda a la organización la posibilidad de diferenciarse para cumplir mejor su misión,
generando información única, especialmente adaptada a la visión particular de la empresa
y su posicionamiento.
Sistemas de Aplicación
Aplicaciones Medida
Ventajas Desventajas
Estándar frente a
Aplicaciones a
Tabla 22: Ejemplo de tabla RACI - COBIT 4.1 para Proceso DS2
Fuente: Elaboración propia. Basada en: ISACA. COBIT 4.1
Análisis de factibilidad de implementación de un Modelo de TI… 192
Marca: IBM
Modelo: IBM,9133-55A
Número de Serie: 06176AH
Procesador: PowerPC_POWER5 - POWER 5
Sistema Operativo: AIX 5.3
Base de Datos: Sybase 15.0.2
Dirección IP: 10.19.19.XX
Descripción: servidor transaccional de respaldo del sistema financiero
Tabla 25: Inventario de Servidores
Fuente: Elaboración Propia. Basado en relevamientos.
Análisis de factibilidad de implementación de un Modelo de TI… 199
Resumen General
Encuestados Cantidad
Entidades
Σ 1 2 3 4 5 Encuestados
PyMES Entidades
Gobierno
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de
1
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
Análisis de factibilidad de implementación de un Modelo de TI… 200
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de 2
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
Análisis de factibilidad de implementación de un Modelo de TI… 201
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de
3
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
Análisis de factibilidad de implementación de un Modelo de TI… 202
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de 4
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
Análisis de factibilidad de implementación de un Modelo de TI… 203
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de 6
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
Introducción
Un mejor esquema de seguridad y administración de TI puede revertir en
una mejor prestación de servicios a los clientes.
A modo de lograr mejorar la gestión empresarial en el ámbito de la
administración de las TI; basado en estándares internacionales de tal
manera a aumentar la capacidad de respuesta y de anticipación de las
empresas ante las demandas y necesidades del entorno.
En el presente cuestionario, se busca relevar datos de la manera en que
en su empresa se realizan los controles de calidad dentro de la revisión
de CONTROLES GENERALES DEL AREA DE SISTEMAS.
Datos de la Empresa
Nombre: ____________________________________________________
Dirección: ___________________________________________________
__________________________________________________________
Cargo: _____________________________________________________
Como responder
1. En cada una de las preguntas se muestra una afirmación a la que
se debe dar respuesta marcando un valor entre 1 y 5; el cual
representa el grado de aplicación de dicha afirmación en la empresa.
2. Por favor pintar o tachar el valor escogido
Referencias:
Mantenimiento programado X
Mantenimiento realizado o
X
sin necesidad de ser ejecutado
Comentarios/Observaciones