Trabajo Final (Grupo 2)

UNIVERSIDAD CATOLICA

SANTO TORIBIO DE MOGROVEJO

PROGRAMA DE ESPECIALIZACIN

PROYECTO FINAL DEL DIPLOMADO DE AUDITORIA DE

TECNOLOGAS DE LA INFORMACIN Y SEGURIDAD

INFORMTICA.

TITULO:

IMPLEMENTACIN DEL MODELO DE REFERENCIA COBIT

5.0 EN LA UNIVERSIDAD CSAR VALLEJO PARA LA

GESTIN DE CONTROL INTERNO TI EN EL REA DE

REGISTROS ACADMICOS.

INTEGRANTES: (Grupo de investigacin y desarrollo - GRUPO 2).

CSAR A. CRDOVA.

DOCENTE: Ing. OMAR NEYRA CRDOVA

Chiclayo, 17 de Agosto de 2013.

DEDICATORIA

A nuestras familias y amigos por las ausencias los fines de

semana, durante el desarrollo de estudio de este

Diplomado.

Para nuestros compaeros que compartieron el aula y

ayudaron al desarrollo del curso.

A los organizadores, y a los Docentes que dejaron y

compartieron con nosotros sus conocimientos y

experiencias.

Integrantes de Grupo 2

CONTENIDO

DEDICATORIA ................................................................................................................ 1

RESUMEN ...................................................................................................................... 5

INTRODUCCION ............................................................................................................. 6

CAPITULO 1: DIAGNOSTICO ........................................................................................... 8

1.1 DIAGNOSTICO FUNCIONAL .............................................................................................. 8

1.1.1 BREVE RESEA DE LA ORGANIZACIN ........................................................................................... 10

1.1.2 LNEA DE PRODUCTOS ................................................................................................................... 11

1.1.3 CLIENTES ........................................................................................................................................ 11

1.1.4 PROVEEDORES ............................................................................................................................... 11

1.1.5 PROCESOS ...................................................................................................................................... 11

1.1.6 ORGANIZACIN ............................................................................................................................. 12

CAPITULO 2: PROBLEMA, OBJETIVOS Y JUSTIFICACION DEL PROYECTO ACADMICO ..... 15

2.1 DEFINICION DEL PROBLEMA .......................................................................................... 15

2.2.1 OBJETIVO GENERAL DEL PROYECTO .............................................................................................. 15

2.2.2 OBJETIVOS ESPECFICOS................................................................................................................. 16

2.3 JUSTIFICACION Y DELIMITACION DEL INFORME FINAL DEL PROYECTO ............................ 17

2.3.1 JUSTIFICACIN (ANALISIS COSTO BENEFICIO) ............................................................................... 17

2.3.2 DELIMITACIN ............................................................................................................................... 17

CAPITULO 3: MARCO TEORICO ..................................................................................... 19

3.1 MARCO TEORICO .......................................................................................................... 19

Auditora Informtica .............................................................................................................................. 19

Estndares de Auditora Informtica ...................................................................................................... 19

Relacin entre COSO y COBIT ................................................................................................................. 21

Gobernabilidad Empresarial ................................................................................................................... 22

La Gobernabilidad de la TI ...................................................................................................................... 22

COBIT ...................................................................................................................................................... 22

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT) ....................................... 22

3.2 DESARROLLO DEL PROYECTO. ........................................................................................ 28

DIAGNOSTICO DE LOS SI DE LA UCV ....................................................................................................... 28

Consideraciones generales ................................................................................................................. 28

Polticas y procedimientos ................................................................................................................. 28

Funciones y roles ................................................................................................................................ 28

Aplicaciones desarrolladas ................................................................................................................. 28

Alineamiento de los Objetivos de TI con el Objetivos Negocio .............................................................. 30

Identificacin y Evaluacin de Riesgos de TI: rea Registros Acadmicos ......................................... 31

Aplicacin de los Procesos de Dominio (COBIT 5.0) ............................................................................... 31

Diagnstico de la Gestin de Conocimiento ........................................................................................... 31

CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES .................................................... 32

4.1 CONCLUSIONES ............................................................................................................. 32

REFERENCIA BIBLIOGRFICA ........................................................................................ 33

GLOSARIO DE TERMINOS ............................................................................................. 34

ANEXOS ....................................................................................................................... 35

rea de Registros Acadmicos ..................................................................................... 36

Diagnstico de la gestin de Conocimiento. ................................................................. 37

Evidencias: .................................................................................................................. 45

RESUMEN

Las organizaciones para poder coexistir en el mercado tan competitivo como el

actual y en este entorno globalizado, y con un avance desmesurado de la tecnologa,

es una buena medida la gestin de su SI (Sistemas de Informacin) y TI (Tecnologas

de Informacin).

La UCV (Universidad Cesar Vallejo) no est exenta de este tema y es por ello que en el

presente trabajo titulado Implementacin del modelo de referencia COBIT 5.0 en la

Universidad Csar Vallejo para la Gestin de Control Interno TI en el rea de

Registros Acadmicos, se aborda para la propuesta de su implementacin, en el

presente proyecto se consideran cuatro captulos (I Diagnstico, II Problema,

Objetivos y Justificacin del Proyecto Acadmico, III Marco Terico, IV Conclusiones

y Recomendaciones), cada uno de los cuales nos darn el alcance a desarrollar.

En el captulo I, trata del Diagnstico, este incluye los principales componentes de la

organizacin, definiendo la manera como estos componentes trabajan juntos con

miras de alcanzar los objetivos del negocio. Se utiliza una metodologa descriptiva y

evaluativa, que nos permite realizar actividades como la recopilacin de la

documentacin requerida, y analizar el modelado del negocio, entre otros,

estableciendo el marco de referencia para estudiar el contexto tecnolgico dentro de

la universidad.

Se hace uso de COBIT 5.0 como estndar de gobernabilidad para este proyecto, se

analiza algunos procesos, as como algunas actividades de este framework, con la

finalidad de evaluar el modelo de madurez en que se encuentra la organizacin.

Para finalizar, se sugieren algunos lineamientos para que la institucin pudiera seguir

en el ajuste de niveles de gobernabilidad para su mejora continua.

INTRODUCCION

Actualmente las Tecnologas de Informacin (TI) son muy importantes dentro de

una organizacin y su avance es desmesuradamente, las empresas se ven obligadas a

mejorar sus procesos en adquisicin, mantenimiento y control de sus equipos de

cmputo, a su vez el personal que la gestiona debe estar en constante preparacin

para la atencin de esta, en este tema como se denota, lo nico constante es el

cambio.

Al disear procedimientos de implementacin tecnolgica para adquirir equipos de

cmputo, es fundamental el desarrollo de una estrategia para hacer frente a su

obsolescencia, en el avance de la tecnologa, sabido es que, un equipo puede ser

catalogado como "obsoleto" (teniendo en cuenta los progresos vigentes) al trmino

de uno o dos aos de su compra, tambin hay que considerar que estas implican

altos costos para su desarrollo y soporte, adicionalmente se asocian enormes riesgos,

esto se debe considerar cuando se adquiere nueva tecnologa, una decisin que hay

que tomar de seguir usando o no la tecnologa que se ha considerado obsoleta, tal

vez valdra el cambio, pero uno de los limitantes a considerar es el presupuesto de la

organizacin.

Si bien es cierto que una de las reas que genera un gran esfuerzo para una

institucin educativa como una universidad es Registros Acadmicos, tambin

podemos mencionar que a la par se denota un esfuerzo por el uso de aprovechar la

tecnologa para poder aliviar el trabajo en esta rea, claro y la gestin de su SI, y

como es afectado por TI. Las tecnologas deben estar alineadas a los objetivos del

negocio, pero muchas organizaciones muestran carencias en el gobierno de TI y no

existen polticas dentro de la organizacin que lideren los procesos tecnolgicos.

Aun cuando existen una serie de crticas a los procesos formales de

planeamiento estratgico que suelen llevar a cabo las organizaciones; nuestra

experiencia, en el terreno de la administracin de los negocios pblicos y

privados, nos ha hecho ver que, en determinado momento del ciclo de vida de

una organizacin, sobre todo, en su etapa de madurez, como es el caso de la

Universidad Csar Vallejo, es imprescindible pensar y actuar de manera

estratgica, con la finalidad de orientar el desarrollo futuro de la organizacin a

mediano y largo plazo.

El sector de la educacin universitaria en el Per se ha vuelto cada vez ms

competitivo y ha crecido de manera explosiva en las ltimas dcadas. Un solo

indicador nos puede dar una idea aproximada de lo que estamos afirmando:

hacia 1991, existan en el pas un total de 53 Universidades (28, pblicas; y, 25,

privadas); al 2011, tenemos 133 Universidades (51, pblicas; y, 82, privadas). Un

crecimiento, en solo 2 dcadas, del orden del 150%.

Estamos convencidos que el trabajo laborioso y participativo que ha significado

el presente plan, rendir finalmente los frutos que los diversos grupos de inters

esperan de una Universidad que, adems de autodefinirse como cientfica,

tecnolgica y humanista, ha nacido para contribuir al desarrollo sostenible de la

regin y del pas.1

El objetivo de este trabajo es puntualizar el contexto tecnolgico actual de la

organizacin UCV y la correlacin a la gobernabilidad de TI y su alineamiento

estratgico a los objetivos del negocio, especficamente en el rea de Registros

Acadmicos, para lo cual se hace uso de una metodologa descriptiva y evaluativa,

que nos permite realizar actividades como la recopilacin de la documentacin

requerida, y analizar el modelado del negocio, entre otros, estableciendo el marco

de referencia para estudiar el contexto tecnolgico dentro de la universidad.

Finalmente, se incluye un captulo de conclusiones y recomendaciones as como un

glosario de trminos el cual permite identificar con claridad los conceptos

presentados en el trabajo.

1

Dr. Csar Acua Peralta (Fundador Universidad Csar Vallejo), Plan Estratgico UCV 2013-2015.

CAPITULO 1: DIAGNOSTICO

Se realiza y aplica un esquema holista a la organizacin, para su anlisis y posterior

estudio y juicios a recalcar en el presente proyecto.

1.1 DIAGNOSTICO FUNCIONAL

La Universidad Cesar Vallejo no solo ofrece los servicios de enseanza

universitaria sino tambin esta los servicios de bolsa de trabajo, consultoras.

La Universidad ha generado un estado de ganancias y prdidas en los ltimos

tres aos, como se muestra en el siguiente cuadro.

DESCRIPCIN

Acumulado

2010

Acumulado

2011

Acumulado

2012

Ventas Netas 4,551,007.42 9,920,649.89 21,922,824.35

Otros Ingresos 73,946.17 53,288.18 161,694.07

Egresos

-

4,698,382.27

-

7,836,548.98

-

17,525,592.26

RESULTADO

ANTES DE

IMP RENTA

-73,428.68 2,137,389.09 4,558,926.16

% -2% 22% 21%

La Universidad Cesar Vallejo en los ltimos tres aos ha ido incrementado el

nmero de estudiantes en los diferentes programas, tal y como se muestra en el

siguiente cuadro.

PROGRAMA

POBLACIN AL

2010

POBLACIN AL

2011

POBLACIN AL

2012

PREGRADO 748 892 1187

POSGRADO 876 4051 5296

PFA 641 1059 2157

TOTAL 2265 6002 8640

Fuente: Oficina de Registros Acadmicos

La Universidad Cesar Vallejo tiene como objetivo incrementar la poblacin

estudiantil en los 3 programas como se indica en el siguiente cuadro:

PROGRAMA META AVANCE AL

16 MARZO %

PREGRADO 900 805 89%

POSGRADO 2190 1801 82%

PFA (SUBE) 880 1043 119%

TOTAL 3970 3649 92%

Se tiene establecido un presupuesto para la publicidad de la institucin,

apoyndose los medios de comunicacin en los diferentes programas de la

institucin:

PLAN DE MEDIOS: PRESUPUESTADO Y EJECUTADO MARZO

PROGRAMA MEDIO PRESUPUESTO

MARZO

EJECUTADO

MARZO %

% POR

PROGRAMA

PREGRADO

RADIO 101,478.0 63,029.6 62%

65%

TV 64,321.3 29,246.5 45%

DIARIOS 64,705.1 58,246.7 90%

POSGRADO

RADIO 80,988.0 22,200.0 27%

27%

TV 46,076.0 8,040.0 17%

DIARIOS 39,128.7 15,299.6 39%

SUBE

RADIO 62,481.0 15,560.0 25%

16%

TV 55,826.0 5,250.0 9%

DIARIOS 62,664.6 8,639.1 14%

TOTAL 577,668.6 225,511.4 39% 39%

1.1.1 BREVE RESEA DE LA ORGANIZACIN2

En 1991, el Ingeniero Csar Acua Peralta tuvo la vocacin y la visin de

mejorar la educacin que hasta ese momento se ofreca en todo el Per.

Fue as que, en noviembre de ese ao, decidi fundar la Universidad Csar

Vallejo en la ciudad de Trujillo. Apenas contaba con 58 alumnos, pero sus

ganas de salir adelante nos impulsaron a seguir con este sueo y hacer que

valga la pena.

Han pasado 18 aos desde aquel da y, aunque ahora contamos con 7 sedes

distribuidas en Lima, Trujillo, Tarapoto, Chiclayo, Piura y Chimbote, y ms

de cien mil estudiantes a nivel nacional, hemos mantenido el mismo

espritu emprendedor que nos hizo enfrentar los problemas del pasado y

superarlos con xito.

Gracias al esfuerzo de cada uno de nuestros trabajadores y a los jvenes

talentosos que confiaron en nosotros, nos hemos consolidado hoy como

una de las mejores universidades a nivel nacional, ya que, adems de

nuestras metodologas innovadoras y la calidad de nuestros egresados,

formamos parte del Consorcio Universitario ms grande del Per, junto

con las universidades Seor de Sipn y Autnoma del Per, importante

respaldo que nos diferencia del resto de instituciones de educacin

superior.

Visin

La UCV ser reconocida como una de las mejores universidades a nivel

nacional, por la calidad de sus graduados, su produccin acadmica y su

contribucin al desarrollo sostenible de la sociedad.

Misin

La UCV forma profesionales idneos, productivos, competitivos, creativos,

con sentido humanista y cientfico; comprometidos con el desarrollo

sostenible del pas; constituyndose en un referente innovador y de

conservacin del ambiente.

2

http://www.ucv.edu.pe/acercade_ucv.aspx?nUniOrgCodigo=70000

1.1.2 LNEA DE PRODUCTOS

La universidad Csar Vallejo est dedicada al rubro de la educacin dentro

de sus principales productos que ofrece al mercado son:

Carreras Universitaria de Pre Grado

Post Grado

Maestras

Doctorados

Diplomados

Formacin para adultos.

1.1.3 CLIENTES

Son los alumnos y organizaciones o instituciones locales, Pblicas y

Privadas, con las cuales se tiene convenios para la capacitacin de su

personal. Dentro de sus principales cliente corporativos se tiene:

- Electronorte.

- Gobierno Regional.

- EPSEL.

- Ministerio de Educacin, etc.

- Rama Magisterial

- Ministerio Pblico, etc.

1.1.4 PROVEEDORES

La UCV cuenta con muchos proveedores ya que se encuentra en distintos

puntos del pas. A nivel corporativo sus proveedores son

- HP

- CISCO

- PANDUIT

- TELEFONICA

- PAPELERA DEL PERU

1.1.5 PROCESOS

La UCV cuenta con muchos procesos para atender a sus clientes, entre los

principales tenemos:

Proceso de admisin Proceso de matrcula Proceso gestin y administracin de la infraestructura Proceso de gestin y administracin de TI Proceso de gestin acadmica

1.1.6 ORGANIZACIN 3

La Junta General de Accionistas es el rgano supremo de la sociedad. Los

accionistas constituidos en junta general debidamente convocada, y con el

qurum correspondiente, deciden por la mayora que establece la ley

general de sociedades los asuntos propios de su competencia. Todos los

accionistas, incluso los disidentes y los que no hubieran participado en la

reunin, estn sometidos a los acuerdos adoptados por la Junta General. La

Junta General podr reunirse adems del lugar de la sede social, en la

ciudad de Trujillo o en la ciudad de Lima.

El Directorio es elegido por la Junta General de Accionistas y ejerce la

administracin de la UCV S.A.C.

La universidad funciona de conformidad con la estructura orgnica

siguiente.

1. RGANOS DE ALTA DIRECCIN.

a. JUNTA GENERAL DE ACCIONISTAS

b. DIRECTORIO.

c. CONSEJO UNIVERSITARIO.

d. RECTORADO.

e. VICERRECTORADOS.

f. GERENCIA DE ADMINISTRACIN Y FINANZAS

g. DIRECCIN GENERAL DE ADMINISTRACIN Y FINANZAS

2. RGANOS DE APOYO.

a. SECRETARA GENERAL.

i. DIRECCIN DE REGISTROS ACADMICOS

ii. DIRECCIN DE GRADOS Y TTULOS.

b. DIRECCIN DE COOPERACIN INTERNACIONAL.

c. DIRECCIN DE IMAGEN INSTITUCIONAL

d. DIRECCIN DE INVESTIGACIN.

e. DIRECCIN DE DESARROLLO ACADMICO

f. DIRECCIN DE BIBLIOTECA.

3. RGANOS DE ASESORA.

a. DIRECCIN DE PLANIFICACIN Y DESARROLLO INSTITUCIONAL

b. ASESORA LEGAL.

c. DIRECCIN DE EVALUACIN, ACREDITACIN Y CERTIFICACIN.

4. RGANO DE CONTROL.

a. AUDITORA INTERNA

5. RGANOS DE LNEA DEL VICERRECTORADO ACADMICO.

a. FACULTADES

3

http://limaeste.ucv.edu.pe/modulosinformativos/documentos/REGLAMENTO%20GENERAL%202008.pdf

b. ESCUELAS ACADMICO PROFESIONALES

c. ESCUELA DE POSTGRADO.

d. PROGRAMA ACADMICO DE FORMACIN GENERAL.

e. PROGRAMA ACADMICO DE SEGUNDA TITULACIN.

PROGRAMA ACADMICO DE EDUCACIN SUPERIOR A DISTANCIA.

6. RGANOS DE LNEA DEL VICERRECTORADO DE ASUNTOS

ESTUDIANTILES.

a. DIRECCIN DE EXTENSIN Y PROYECCIN UNIVERSITARIA.

b. DIRECCIN DE BIENESTAR Y ASUNTOS ESTUDIANTILES.

c. CEPRE

7. RGANOS DE LNEA DE LA GERENCIA GENERAL

a. DIRECCIN DE CONTABILIDAD Y FINANZAS

b. DIRECCIN DE LOGSTICA.

c. DIRECCIN DE TECNOLOGAS DE LA INFORMACIN.

d. DIRECCIN DE RECURSOS HUMANOS.

e. DIRECCIN DE MARKETING Y PROMOCIN.

f. DIRECCIN DE CENTROS EMPRESARIALES.

g. DIRECCIN DE INFRAESTRUCTURA Y SERVICIOS GENERALES

8. RGANOS DESCONCENTRADOS

a. FILIALES

CAPITULO 2: PROBLEMA, OBJETIVOS Y JUSTIFICACION DEL

PROYECTO ACADMICO

2.1 DEFINICION DEL PROBLEMA

En este proyecto se identifica la situacin problemtica de la Universidad Cesar

Vallejo (UCV), ubicada al noroeste de la ciudad de Chiclayo, provincia del

Departamento de Lambayeque, la UCV es una entidad educativa privada.

Por el antecedente histrico de la UCV, se puede observar que el crecimiento de

sus servicios que ha llevado a la universidad a contar con una infraestructura

tecnolgica moderna, con la cual brinda servicios de educacin tanto a la

poblacin estudiantil como a la administrativa.

Dentro de las organizaciones las tecnologas deben estar alineadas a los objetivos

del negocio, pero su principal problemtica es la carencia en el gobierno de TI y

no existen polticas dentro de la organizacin que lideren los procesos

tecnolgicos. As mismo, el crecimiento de la organizacin conlleva a una

inversin econmica en infraestructura y tecnologa, y esta debe ser gestionada

con procedimientos que garanticen el buen uso de estas.

Por lo que se plantea la siguiente hiptesis: De qu manera la implementacin

del Modelo de Referencia COBIT 5.0 en la Universidad Csar Vallejo mejora la

Gestin del Control Interno TI en el rea de Registros Acadmicos.

2.2.1 OBJETIVO GENERAL DEL PROYECTO

El objetivo de este trabajo es definir el contexto tecnolgico actual de la

UCV en relacin a los conceptos de Gobernabilidad de TI y Alineamiento

Estratgico con el fin de establecer criterios de Gobernabilidad de TI.

Se establece como objetivo general: Mejorar la Gestin de Control Interno

TI en el rea de Registros Acadmicos con la implementacin del modelo

de referencia COBIT 5.0 en la Universidad Csar Vallejo.

2.2.2 OBJETIVOS ESPECFICOS

Se determina los siguientes objetivos especficos para proporcionar las

actividades e indicadores claves de servicio.

Asegurar que los recursos de TI sean utilizados responsablemente

Asegurar que los riesgos asociados a las TI sean administrados

apropiadamente

Asegurar que las TI son aplicadas de tal forma que se contribuyan a

cumplir con los objetivos del negocio

Revisar peridicamente la evolucin de los proyectos aprobados y

tomar decisiones de cancelacin o de continuacin

2.3 JUSTIFICACION Y DELIMITACION DEL INFORME FINAL DEL PROYECTO

2.3.1 JUSTIFICACIN (ANALISIS COSTO BENEFICIO)

Estamos seguros que muchos han escuchado la frase: nada se puede

controlar, si este no es medido, pues bien en este proyecto se usa el marco

de trabajo COBIT 5.0 que nos da las herramientas suficientes para poder

medir y aplicar polticas, procedimientos, prcticas y estructuras

organizacionales diseadas para garantizar razonablemente que los

objetivos del negocio sern alcanzados, y que eventos no deseables sern

prevenidos o detectados y corregidos.

Por lo antes expuesto se considera que la justificacin de un proyecto de

esta naturaleza asegura una continuidad del negocio, controlando sus

bases y cimientos de cualquier organizacin.

2.3.2 DELIMITACIN

El presente proyecto est demarcado por la aplicacin de los siguientes

procesos del modelo de referencia COBIT 5.0:

Cuadro N1: Procesos del COBIT 5.0

Procesos COBIT elegidos para el Proyecto

Procesos COBIT 5.0 Declaracin del Propsito del Proceso DSS01 Gestionar operaciones.

Entregar los resultados del servicio operativo de TI, segn lo planificado.

DSS02 Gestionar peticiones e incidentes de servicio.

Lograr una mayor productividad y minimizar las interrupciones mediante la rpida resolucin de consultas de usuario e incidentes.

DSS03 Gestionar problemas.

Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la comodidad y satisfaccin del cliente reduciendo el nmero de problemas operativos.

DSS04 Gestionar la continuidad.

Continuar las operaciones crticas para el negocio y mantener la disponibilidad de la informacin a un nivel aceptable para la empresa ante el evento de una interrupcin significativa.

APO03 Gestionar la arquitectura empresarial

Representar a los diferentes mdulos que componen la empresa y sus interrelaciones, as como los principios rectores de su diseo y evolucin en el tiempo, permitiendo una entrega estndar, sensible y eficiente de los objetivos operativos y estratgicos

APO09 Gestionar los acuerdos de servicio.

Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.

BAI06 Gestionar los cambios.

Posibilitar una entrega de los cambios rpida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se aplica el cambio.

BAI10 Gestionar la configuracin.

Proporcionar suficiente informacin sobre los activos del servicio para que el servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes del servicio.

Con la finalidad de identificar y evaluar los riesgos que de alguna manera

pueden perjudicar en la organizacin debido al uso y demanda de las TI.

Con respecto a la Implementacin del Control Interno de TI, se espera

como resultado identificar los riesgos e incorporar los controles necesarios

y seguridad adecuada para obtener una mejora significativa en las reas

que se aplique,

As mismo, se evaluarn los sistemas de informacin con la finalidad de

evidenciar si estos cubren las necesidades actuales de la institucin en los

proceso de matrcula, registro de alumnado, proceso de notas etc.

Para lograr este objetivo se requiere el apoyo de la autoridad mxima de la

institucin para que se autorice y disponga la documentacin requerida

para su respectiva evaluacin y revise el informe final emitido.

CAPITULO 3: MARCO TEORICO

3.1 MARCO TEORICO

Auditora Informtica

1.- Definicin:

J.J. Acha, define auditora informtica como un conjunto de procedimientos

y tcnicas para evaluar y controlar total o parcialmente un sistema

informtico, con el fin de proteger sus activos y recursos, verificar si sus

actividades se desarrollan eficientemente y de acuerdo con la normativa

informtica y general existente en cada empresa y para conseguir la eficacia

exigida en el marco de la organizacin correspondiente.

2.- Alcance:

El alcance de la auditora define con precisin el entorno y los lmites en que

va a desarrollarse la auditora informtica y se complementa con los objetivos

de sta. El alcance se concretar expresamente en el informe final, de modo

que quede perfectamente determinado no solamente hasta que puntos se ha

llegado, sino cuales materias fronterizas han sido omitidas.4

Estndares de Auditora Informtica

El auditor de procesos TI tiene una variada gama de herramientas y/o marcos de

trabajo que pueden asistirle al momento de aplicar la auditora que corresponda,

dando una visin objetiva para que el auditor decida qu marco es el mejor para

usarse en base al medio donde realice su trabajo y dependiendo de la funcin

que cumple la organizacin:5

A continuacin en el Cuadro 02, se resumen en un cuadro comparativo los

marcos de trabajo que se han considerado ms importantes, cuya principal

diferencia entre ellos es el enfoque que manejan para atender y desarrollar las

reas de TI y su cobertura:

4

Vandama N.; Lescay M.; Castillo G. y Garca F. Auditora Informtica en ETECSA. [En Lnea]. Cuba. Disponible en:

http://espejos.unesco.org.uy/simplac2002/Ponencias/Segurm%E1tica/VIR024.doc

5

Einnova, Estndares TI. Disponible en: http://auditorasistemas.com/estandaresti/

Cuadro 02: Cuadro Comparativo de Marcos de Trabajo

Cuadro 01.

Cuadro

comparativo

entre COBIT,

ITIL y la ISO

27000 REA

COBIT 5.0

(Gestin de la

Seguridad de la

Informacin)

ITIL (Gestin de la

Seguridad de la

Informacin)

ISO 27000 (Gestin

de la Seguridad de la

Informacin)

Alcance Abarca todo el

espectro de las

actividades de IT

(seguridad, control,

servicios y riesgo )

Muy centrado en la

administracin de

servicios

Cubre todo lo

referente a la entrega

de servicios de TI

Objetivo

principal

Establece controles

internos para

asegurar buenas

prcticas de

gestin de IT y un

gobierno de IT

exitoso.

Dar soporte a los

procesos del

negocio desde una

perspectiva de

gestin de

servicios.

Definir los

requerimientos

necesarios para

realizar una entrega

de servicios de TI

alineados con las

necesidades del

negocio.

Funciones Mapeo de procesos

IT

Mapeo de la

Gestin de Niveles

de Servicio de IT

Marco de referencia

de seguridad de la

informacin

reas 5 Dominios, 37

Procesos y 1112

actividades

9 Procesos 10 Dominios

Creador ISACA OGC ISO International

Organization for

Standardization

Para qu se

implementa?

Auditora de

Sistemas de

Informacin

Gestin de Niveles

de Servicio

Cumplimiento del

estndar de seguridad

Quines lo

evalan?

Compaas de

contabilidad,

Compaas de

consultora en TI

Compaas de

consultora en TI

Compaas de

consultora en TI,

Empresas de

seguridad,

Consultores de

seguridad en redes.

Fuentes: http://bibdigital.epn.edu.ec/bitstream/15000/2222/1/CD3019.pdf.

Relacin entre COSO y COBIT

Gobernabilidad Empresarial

Conjunto de responsabilidades y prcticas del ejercicio de la Direccin y la

Gerencia Ejecutiva con el propsito de brindar Direccin Estratgica, asegurar el

logro de los objetivos de la empresa, asegurar la apropiada administracin de los

riesgos y verificar que los recursos de la empresa son usados de forma

responsable. (ITGI)

La Gobernabilidad de la TI

Parte integral de la Gobernabilidad Empresarial que debe asegurar que las

estrategias y objetivos de la organizacin, se sustentan y extienden

adecuadamente en el mbito de la Tecnologa de la Informacin.

COBIT

Es una gua de mejores prcticas presentado como framework, dirigida a la

gestin de tecnologa de la informacin (TI). Mantenido por ISACA (en ingls:

Information Systems Audit and Control Association) y el IT Governance Institute

(ITGI, en ingls: IT Governance Institute), tiene una serie de recursos que pueden

servir de modelo de referencia para la gestin de TI, incluyendo un resumen

ejecutivo, un framework, objetivos de control, mapas de auditora, herramientas

para su implementacin y principalmente, una gua de tcnicas de gestin.

Objetivos de Control para Informacin y Tecnologa Relacionada (COBIT)

1. Antecedentes6

El modelo de los Objetivos de Control para Informacin y Tecnologa

Relacionada, de aqu en adelante COBIT, por sus siglas en ingls, es una

iniciativa desarrollada por la Asociacin de Auditora y Control de Sistemas de

Informacin (ISACA, por sus siglas en ingls) y el Instituto de Gobierno de

Tecnologa de Informacin (ITGI, por sus siglas en ingls).

La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), fue

fundada en 1969 en los Estados Unidos de Amrica y es una organizacin lder

en Gobernabilidad, Control, Aseguramiento y Auditora de Tecnologa de

Informacin, con sede en Chicago, Illinois, Estados Unidos de Amrica, cuenta

con ms de sesenta mil miembros en ms de 100 pases. Realiza eventos,

conferencias, desarrolla estndares de gobierno de tecnologa de informacin,

aseguramiento, auditora y seguridad.

6

Dionicio, L. (2011). Evaluacin de controles segn el Modelo COBIT, para la Adquisicin y mantenimiento de

Aplicaciones Informticas en el Departamento de Informtica de una Empresa Distribuidora de Vehculos Automotores.

Universidad de San Carlos de Guatemala. Guatemala.

El Instituto de Gobierno de Tecnologa de Informacin se estableci en 1998

en los Estados Unidos de Amrica, buscando evolucionar el pensamiento y los

estndares internacionales respecto a la direccin y control de la tecnologa

de informacin de una empresa. Un gobierno de tecnologa de informacin

efectivo, ayuda a garantizar que esa tecnologa de informacin brinde soporte

al logro de las metas del negocio, optimice el retorno de la inversin en

tecnologa de informacin, y administre de forma adecuada los riesgos y

oportunidades asociados a la tecnologa de informacin.

COBIT fue desarrollado como un estndar generalmente aplicable y aceptado

para las buenas prcticas de seguridad y control en Tecnologa de

Informacin, partiendo de la premisa de que los recursos de Tecnologa de

Informacin se deben gestionar mediante un conjunto de procesos agrupados

de forma natural para que proporcionen la informacin que la empresa

necesita para alcanzar sus objetivos.

A continuacin una resea de la evolucin del modelo COBIT:

1992 Comienza la actualizacin de los objetivos de control de ISACA

1996 ISACA proporciona a los profesionales de tecnologas de informacin

un marco de mejores prcticas de control generalmente aplicables y

aceptadas.

1998 Se actualiza y se publica una segunda versin a la que se le

incorporan las Herramientas de implantacin y un CD

2000 Se publica la 3 Edicin

2004 Ante las regulaciones internacionales, ISACA publica COBIT para el

cumplimiento con la ley Sarbanes-Oxley de los Estados Unidos de Amrica.

2005 Se publica COBIT 4.0, fortaleciendo el enfoque de Marco de

Gobernabilidad de Tecnologa de Informacin.

2007 Se publica COBIT 4.1, incluyendo mejoras en cuadros y guas para la

medicin del desempeo, los objetivos de control y mejoras en la

alineacin de objetivos de negocio y de TI.

Esta evolucin hasta COBIT 4 responde a las necesidades actuales, con lo cual

ha pasado de ser una herramienta para auditora, a un marco de

gobernabilidad de tecnologas de informacin.

COBIT 5.0:

COBIT 5 una nueva versin del ya conocido estndar para el cumplimiento de

objetivos de control para el CIO y su rea. Esta versin, profundamente revisada

y mejorada, provee un marco de referencia integral que contribuye en la

organizacin al logro de los objetivos y entrega de valor a travs de un efectivo

gobierno y gestin de la TI empresarial. A partir de su participacin en la crtica

objetiva en los borradores preliminares del modelo, en este artculo, Sergio

Sperat, socio de Estratega y profesional certificado en el gobierno de TI

empresarial (CGEIT), responde las preguntas que el CIO se hace al acercarse a

este nuevo estndar para ayudarle a descubrir cmo le puede ayudar a mejorar

su gestin.

Cul ES EL PROPOSITO DE COBIT?

COBIT fue creado para ayudar a las organizaciones a obtener el valor ptimo de

TI manteniendo un balance entre la realizacin de beneficios, la utilizacin de

recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea

gobernada y gestionada en forma holstica para toda la organizacin, tomando

en consideracin el negocio y reas funcionales de punta a punta as como los

interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de

todos los tamaos, tanto en el sector privado, pblico o entidades sin fines de

lucro.

Quin UTILIZA COBIT?

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad

primaria los procesos de negocio y la tecnologa, aquellos de quien depende la

tecnologa y la informacin confiable, y los que proveen calidad, confiabilidad y

control de TI.

Qu OCURRIO CON LOS OBJETIVOS DE CONTROL EN COBIT 5?

Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prcticas de gobierno

y gestin para describir las acciones que son ejemplo de mejores prcticas de su

aplicacin. COBIT 5 ha cambiado su enfoque de objetivos de control a una

visin por proceso, descripta en detalle por uno de los principales redactores del

nuevo estndar, Erik Guidentops, en su artculo Where Have All The Control

Objectives Gone?

Cules SON LOS 5 PRINCIPIOS DE COBIT 5.0?

Satisfacer las necesidades del accionista

1. Considerar la empresa de punta a punta

2. Aplicar un nico modelo de referencia integrado

3. Posibilitar un enfoque holstico

4. Separar gobierno de la gestin.

Cules SON LOS 7 HABILITADORES DE COBIT 5?

1. Principios, polticas y modelos de referencia

2. Procesos

3. Estructuras organizacionales

4. Cultura, tica y comportamiento

5. Informacin

6. Servicios, infraestructura y aplicaciones

7. Gente, habilidades y competencias.

Qu HAY DE LA SEPARACION ENTRE GOBIERNO Y GESTION?

El gobierno asegura que los objetivos empresariales se logran evaluando las

necesidades de los accionistas, las condiciones y opciones; establecer la

direccin a travs de la priorizacin y la toma de decisiones; y monitorear el

desempeo, el cumplimiento y el progreso versus la direccin y objetivos

acordados (EDM, por Evaluar, Dirigir, Monitorear).

Por su parte la gestin se ocupa de planificar, construir, ejecutar y monitorear las

actividades alineadas con la direccin establecida por el organismo de gobierno

para el logro de los objetivos empresariales (PBRM o Planificar, Construir,

Ejecutar y Monitorear, por su sigla en ingls).

La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces

confundidos:

ES COBIT 5 UN MODELO SUPERIOR A OTROS MODELOS DE CONTROL

ACEPTADOS?

La mayora de los ejecutivos conocen la importancia de los marcos generales de

control en relacin con la responsabilidad fiduciaria, tales como COSO,

Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente son

conscientes del nivel de detalle de cada uno. Por otro lado, los ejecutivos cada

vez ms conocen la importancia de guas tcnicas como ITIL (para la gestin de

servicios de TI) e ISO 27001 (para seguridad de informacin).

Si bien estos estndares y modelos enfatizan el control del negocio y la seguridad

y servicio de TI, COBIT es el nico que se ocupa de los controles especficos de TI

desde la perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e

ITIL. No se pretende que COBIT reemplace estos modelos de control, sino lo que

se destacan son los elementos de gobierno y gestin y las prcticas necesarias

para crear valor para la compaa.

Cul ES LA FORMA MAS RAPIDA Y EFECTIVA DE PRESENTAR COBIT A LOS

EJECUTIVOS?

La cultura empresarial es de vital importancia. Una cultura proactiva ser ms

receptiva que una que no lo es. Sin embargo, hay que considerar el nfasis que

COBIT hace en la creacin de valor para el accionista por estar guiado por los

objetivos del negocio, la alineacin con estndares internacionales reconocidos

y su simplicidad. Las reas de gobierno y gestin emanan de tan slo 5

principios y 7 habilitadores.

Conclusiones

Ya entrada la segunda dcada del siglo XXI, la relevancia de TI en el

funcionamiento de cualquier organizacin, sin importar su tamao, es

absolutamente incuestionable e indiscutida. Sin embargo, y en nuestra extensa

experiencia como consultores y asesores de reas de sistemas, no son pocos los

responsables de reas de TI que manifiestan su dificultad al momento de

mostrarle al negocio su aporte de valor.

Ya hace unos aos hicimos un aporte ampliamente reconocido en esta rea a

travs de nuestro modelo de medicin de la contribucin del valor de TI al

negocio (ver nuestros artculos parte 1 y parte 2 donde presentamos esta

temtica).

Complementariamente, tambin hemos venido promocionando desde 2007 el

re-posicionamiento del CIO, Gerente de Sistemas o Gerente de TI como mximo

responsable de la nueva Oficina de Procesos de Negocio (BPMO, por su sigla en

ingls).

Cinco aos despus, y en total sintona con nuestra visin de la evolucin del

CIO, ISACA publica la nueva versin de COBIT ntegramente enfocada a

procesos, como Estratega sabe que es la mejor manera de abordar esta temtica.

As que estamos absolutamente convencidos que este enfoque est ms cerca del

negocio que el resto de los estndares y modelos que recomiendan mejores

prcticas para la gestin interna de las reas de Sistemas.

Estratega, con slida y probada experiencia como asesor lder del CIO, puede

ayudarlo con una nutrida cartera de servicios que contribuyan al logro de sus

objetivos:

Estrategia de gobierno de TI (ISO 38500, COBIT).

Diseo de Tablero de Control de TI (Balanced Scorecard).

Oficina de Calidad de Servicio de TI.

Mejora de Procesos de Negocio.

Plan de Continuidad del Negocio (BCP, BS 25999).

Conclusiones:

Es un estndar cada vez ms aceptado al ser de acceso libre en muchos de sus

componentes.

Est en evolucin permanente.

Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estndares

relacionados.

COBIT es un marco de gobierno de las tecnologas de informacin que

proporciona una serie de herramientas para que la gerencia pueda conectar

los requerimientos de control con los aspectos tcnicos y los riesgos del

negocio

COBIT permite el desarrollo de las polticas y buenas prcticas para el control

de las tecnologas en toda la organizacin

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

incrementar su valor a travs de las tecnologas, y permite su alineamiento

con los objetivos del negocio

3.2 DESARROLLO DEL PROYECTO.

DIAGNOSTICO DE LOS SI DE LA UCV

Consideraciones generales

El rea encargada de los Sistemas de Informacin de la Universidad est denominada como Desarrollo de Sistemas a cargo del Ing. Alan Saavedra Arroyo.

El personal que labora en Desarrollo de Sistemas est conformado por 4 personas: 2 Bachilleres en Ingenieros encargados del desarrollo y mantenimiento de los sistemas, 1 Ingeniero encargado del rea y 1 Ingeniero encargado de la documentacin y reestructuracin de los procesos de desarrollo.

El rea fue creada el 2010 con el fin de automatizar los procesos acadmicos y administrativos de la UCV (cabe recalcar que la central se encuentra en Trujillo, de donde se recibe o se da el servicio de Sistemas Web para la Institucin).

Con respecto a la ubicacin en el organigrama institucional se encuentra como un rea dependiente de la Facultad de Ingeniera.

La oficina se encuentra ubicada a una altura del piso de un metro y medio, y es un rea concurrida por estudiantes y profesores que requieren de soporte para alguna aplicacin y no se cuenta con un registro de accesos.

Polticas y procedimientos

Actualmente no se tiene definido polticas ni procedimientos documentados para la atencin de requerimientos de sistemas, solamente se ha tenido como criterio atender lo urgente.

Funciones y roles

En el rea de Desarrollo se tienen definido las siguientes funciones:

Analistas programadores.- realiza labores de desarrollo, mantenimiento y soporte.

Documentador. Aplicaciones desarrolladas

El rea de Desarrollo de Sistemas elabora software web de tipo administrativo que se detallan a continuacin:

Sistemas Web de Trmite Documentario.

Utilizan como herramientas de desarrollo Software PHP con MySql.

Las aplicaciones se desarrollan en un servidor de pruebas.

Se sacan backups diarios de respaldo de la base de datos.

Cuadro N 3: Organigrama de TI

Informacin del Parque Informtico de la UCV Chiclayo.

Jefe OTI

Jefe Soporte Tcnico

Asistente Soporte Tcnico

Jefe Desarrollo

Asistentes de Desarrollo

Asistente OTI

TIPO CPU MONITORES PROYECTOR IMPRESORAS

Administrativos 140 152 0 45

Aulas 52 52 52 0

Laboratorios 170 170 4 0

TOTAL 362 374 56 45

Piso Switch Anexo Anexo Virtual

Piso 1 4 10 0

Piso 2 2 13 2

Piso 3 5 15 2

Piso 4 2 6 10

Piso 5 1 5 5

Piso 6 1 1 3

EQUIPAMIENTO INFORMTICO

COMUNICACIONES

Alineamiento de los Objetivos de TI con el Objetivos Negocio

Se tiene presente este punto para que los adjetivos de ambos se armonicen y den una

continuidad al negocio.

N Objetivos del Negocio Objetivos de rea de Tecnologas de Informacin

1

Lograr un adecuado equilibrio en la satisfaccin de las legtimas

aspiraciones de los diversos grupos de inters de la universidad,

generando un crculo virtuoso de crecimiento y desarrollo

sostenibles.

6. Asegurar la disponibilidad y uso de los equipos y usuarios, de

acuerdo con los estndares establecidos por la Direccin y

nacionales e internacionales.

2Implantar la calidad como eje de la cultura organizacional de la

universidad para garantizar la satisfaccin de nuestros usuarios.

5. Mantener alerta la atencin al cliente y al cambio cultural, para el

manejo y el uso eficiencia y eficacia de los recursos de tecnologas

de informacin en el campo universitario.

3

Mejorar el desarrollo del proceso de enseanza-aprendizaje que

responda al perfil del egresado de las carreras profesionales y

programas de posgrado.

1. Entregar soporte tecnolgico con eficiencia y eficacia a las

actividades fundamentales de la Institucin: Enseanza e

Investigacin, con los servicios soportados en el principio de

Calidad.

4 Fortalecer el programa de internacionalizacin.




5

Promover la investigacin a nivel de pregrado y posgrado

motivando la creatividad de los estudiantes y docentes,

comprometidos con el desarrollo socioeconmico del pas.

1. Entregar soporte tecnolgico con eficiencia y eficacia a las

actividades fundamentales de la Institucin: Enseanza e

Investigacin, con los servicios soportados en el principio de

Calidad.

6

Desarrollar la proyeccin y extensin universitaria integrada al

proceso de formacin profesional, orientada al desarrollo

sostenible de la comunidad.

8. Asegurar la formacin y capacitacin para los usuarios, en el uso y

manejo de las tecnologas de informacin.

7Contribuir al mejoramiento de la calidad de vida y desarrollo

humano de los miembros de la comunidad universitaria.




8 Mejorar la eficiencia de gestin administrativa de la universidad.10. Coordinar la asistencia tcnica, con eficiencia y eficacia para

mantener la continuidad del negocio.

9Modernizar la infraestructura y equipamiento que requieren los

usuarios acadmicos y administrativos.

2. Implementar procedimientos y normas para el uso, mejora y

adquisicin de los recursos y servicios de Tecnologas de

Informacin.

10Asegurar que el personal docente y administrativo cumpla con las

competencias necesarias para su ptimo desempeo.

12. Mantener la motivacin y formacin necesaria para contar con el

equipo idneo en el desarrollo de nuestras funciones en el rea de

TI.

Alineamiento de Objetivos de Negocio con los Objetivos de TI

Identificacin y Evaluacin de Riesgos de TI: rea Registros Acadmicos

Se evala los riesgos en el rea de Registros Acadmicos (ver Anexo N 1), y se mide

la probabilidad y el impacto de estos, con cada una de sus niveles de severidad, para

tomar las medidas preventivas, para minimizar el impacto de estos.

Probabilidad: 1=Imposible, 2=Raro, 3= Probable, 4=Muy Probable, 5=Casi Cierto

Impacto= 1= Muy Bajo, 2=Bajo, 3=Medio, 4=Alto, 5= Muy Alto

Aplicacin de los Procesos de Dominio (COBIT 5.0)

Se ha determinado 8 procesos de tres dominios diferentes de los cuales se fijara ms

adelante las actividades que correspondan, para dar soporte al rea donde se aplica

el proyecto.

Diagnstico de la Gestin de Conocimiento

Se aplic este diagnstico de los procesos elegidos para determinar el grado de

riesgo al que est expuesta la organizacin y determinar los posibles procesos y

actividades para lidiar con estos procesos (ver Anexos de 2 a 9).

Objetivos de rea de Tecnologas de

InformacinRiesgo Probabilidad Impacto

Nivel de

Severidad

Equipos defectuosos, que presentan fallas no

permiento el correcto desempeo de las labores2 4 8

Caida de los servicios brindados por el rea

(Correo, sistema, comunicaciones)1 5 5

No disponibilidad de la informacion en cuanto se

necesite2 5 10

Cambios generados y no informados a los usuarios 4 2 8

Poca capacidad de los servicios sobrepasada por la

demanda de los usuarios1 5 5

6. Asegurar la disponibilidad y uso de los

equipos y usuarios, de acuerdo con los

estndares establecidos por la Direccin y

nacionales e internacionales.

5. Mantener alerta la atencin al cliente y al

cambio cultural, para el manejo y el uso

eficiencia y eficacia de los recursos de

tecnologas de informacin en el campo

universitario.

Identificacin y Evaluacion de Riesgos de TI

Objetivos de rea de Tecnologas de Informacin Procesos de (Dominio Evaluado) Responsables Indicadores de Medicin

Jefe Soporte Tcnico Nmero de incidentes atendidos

Jefe OTI Nivel de satisfaccion de los usuarios

DSS02 Gestionar peticiones e incidentes de servicio. Help Desk Numero de incidentes registradas

Help Desk Numero de incidentes derivados

Soporte Tcnico Numero de problemas resueltos

DSS04 Gestionar la continuidad. Jefe OTI Tiempo de disponibilidad de los serviciosJefe OTI Nivel de satisfaccion de los usuariosJefe DTI Nivel de madurez de la infraestructura implementadaGerencia Admin Costo de la arquitectura

APO09 Gestionar los acuerdos de servicio. Jefe OTI Numero de servicios brindados

BAI06 Gestionar los cambios. Jefe OTI Nivel de cambios registrados

BAI10 Gestionar la configuracin. Jefe OTI Numero de plantilas y configuraciones registradas

Definicion de Procesos del Dominio

6. Asegurar la disponibilidad y uso de los equipos y usuarios, de acuerdo con

los estndares establecidos por la Direccin y nacionales e internacionales.

5. Mantener alerta la atencin al cliente y al cambio cultural, para el manejo

y el uso eficiencia y eficacia de los recursos de tecnologas de informacin

en el campo universitario.

DSS01 Gestionar operaciones.

DSS03 Gestionar problemas.

APO03 Gestionar la arquitectura empresarial

CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES

4.1 CONCLUSIONES

El departamento de TI debe alinear sus objetivos estratgicos a los objetivos de la

organizacin con el fin de dar un mejor soporte a todos los procesos de la

organizacin, los cuales en el tiempo estarn en un nivel de madurez optimo, lo

que permitir entregar productos y servicios a la organizacin que cumplan

todas

REFERENCIA BIBLIOGRFICA

[1] Narvez Lizardo, Lavell Allan y Prez Gustavo. La Gestin del Riesgo de Desastres: un enfoque basado en Procesos. Secretara General de la Comunidad Andina, Proyecto PREDECAN. 2009.

[2] La versin original es: Estrategia Andina para la Prevencin y Atencin de Desastres. Decisin 591. Decimotercera Reunin Ordinaria del Consejo Andino de

Ministros de Relaciones Exteriores. 10 de julio de 2004. Quito Ecuador. Puede encontrarse en: www.caprade.org/caprade/doc_estrat/eapad.pdf. La versin

armonizada citada es la aprobada en la Decisin 713 del 19 de agosto de 2009.

[3] Information Systems and Disaster Risk Reduction. World Summit on the

Information Society. Ginebra 2003 Tnez 2005. www.unisdr.org/news/WSIS/WSIS.pdf

[4] The Global Disaster Information Network. Disaster Information. Task Force

Report. November 1997.

www.westerndisastercenter.org/DOCUMENTS/DITF_Report.pdf

[5] An Information Infrastructure for Disaster Management in Pacific Island

Countries. Ken Granger. Australian Geological Survey, 1999. Organisation. ISSN:

1039-0073. ISBN: 0 642 39796 1. www.crid.

or.cr/digitalizacion/pdf/eng/doc13818/doc13818.pdf

[6] Fred C. Cuny. Principles of Disaster Management: Information Management.

Journal of Prehospital and Disaster Medicine. Volume 14, 1999.

http://pdm.medicine.wisc.edu/Volume14/cuny.htm

[7] Recomendaciones sobre difusin de datos para apoyo a la gestin del riesgo.

Informe del Proyecto SIAPAD. PREDECAN/UE, 2009.

GLOSARIO DE TERMINOS

Accin correctiva: Actos o hechos empleados para remediar una situacin o

eliminar un error.

Activo de proceso: Cualquier cosa que la organizacin considere til para alcanzar

las metas de un rea de proceso.

Anlisis de requisitos: La determinacin de las caractersticas funcionales

especficas y atributos de calidad del producto o servicio, basndose en el anlisis de

las necesidades, expectativas y limitaciones del cliente; en el concepto operacional;

en los entornos de uso proyectados para las personas, los productos los servicios y

los procesos; y en las medidas de eficacia.

Anlisis de riesgos: La evaluacin, clasificacin y priorizacin de los riesgos.

Anlisis funcional: Examen de una funcin definida con el fin de identificar todas

las subfunciones necesarias para realizarla; identificacin de las relaciones

funcionales e interfaces (internas y externas) y captura de estas relaciones e

interfaces en una arquitectura funcional; y descomposicin de los requisitos de

mayor nivel y asignacin de estos requisitos a subfunciones de menor nivel.

Convergencia de servicios y redes: Es la factibilidad tecnolgica de ofrecer distintos

servicios de telecomunicaciones a travs de la misma infraestructura o de comunicar

redes diferentes para ofrecer el mismo servicio. El trmino se utiliza para referirse a

tres aspectos: (1) convergencia de servicios, que determina la capacidad de utilizar

una nica red para la prestacin de mltiples servicios; (2) convergencia de redes,

que permite que un mismo servicio pueda transitar y proveerse por y desde

cualquier red o combinacin de redes; (3) convergencia de proveedores,

determinando la unin o la colaboracin de agentes de diferentes servicios y

sectores.

Descripcin de proceso: Una especificacin documentada de un conjunto de

actividades realizadas para alcanzar un propsito determinado.

ANEXOS

Anexo 01:

rea de Registros Acadmicos

Gelen Alberca Guerrero (Jefe De Registros Acadmicos)

Funciones:

Controlar, monitorear y hacer cumplir los procesos acadmicos de acuerdo a

los reglamentos de ingreso, matrcula y evaluacin del estudiante, establecidos

por nuestra institucin.

Velar por el acervo documentario de nuestros estudiantes, tener actualizado y

en ptimas condiciones el archivo institucional.

Orientar las acciones necesarias para mejorar la calidad del servicio

LOS COLABORADORES

Ingrith Pulache Machado (Asistente De Registros Acadmicos)

Funciones Principales.

Registrar matrculas.

Registrar notas en el sistema.

Realizar seguimiento de los alumnos que no registran matrcula para que

regularicen este proceso.

Solicitar registros oficiales de los cursos dictados a los docentes responsables.

Mantener actualizadas las notas.

Dalila Silva Prez (Asistente De Registros Acadmicos)

Funciones Principales:

Recepcin, verificacin, y trmite de carpetas de Grado de Bachiller, Magister

y Doctorados, y de Ttulos.

Trmite y Emisin de Constancias de Estudio para los alumnos y egresados de

Pregrado y del Programa de Formacin para Adultos.

Trmites de Certificados de Estudios para los alumnos de las dos modalidades

de estudios.

Olga Chanam Quevedo (Asistente De Registros Acadmicos)

Funciones Principales

Recepcin y control de carpetas de admisin (Pregrado, PFA, Postgrado)

Organizacin de carpetas (clasificar, ordenar, describir).

Control de Ingreso de la Documentacin.

Control de documentos emitidos.

Seleccin, Traslado de la Documentacin.

Ingreso de documentacin extempornea de Postgrado, PFA y Pregrado de las

diferentes sedes.

Atencin al cliente.

Marita Rojas Muoz (Asistente De Registros Acadmicos)

Funciones Principales

Registro de matricula Registro de notas

Emisin de actas Verificacin de notas

Emisin de certificados Tramite de resoluciones

Atencin al cliente

Anexo N 2:

Diagnstico de la gestin de Conocimiento.

PROCESO: DSS01 Gestionar operaciones.

Ntems evaluados del

ProcesoEstado* 1 2 3 4 5

1

Es el proceso de TI

importante para el xi to de

la empresa?

1 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in

l s i es necesarioNo en todos

2

Est claro quin es

responsable en l tima

instancia del resultado

fina l?

4 Todo el mundo sabePersona que conoce

y aceptaPersona conoce Persona sospecha

No est claro en

todos

3El proceso se rea l i za de

una manera formal?3

Todos los aspectos

son documentados

Todos los aspectos

repetibles

Algunos aspectos

son documentados

Algunos aspectos

repetiblesNo en todos

4 El proceso se rea l i za

correctamente?3

Todos s iempre se se

rea l i za bien

Las partes s iempre

estn bien

rea l izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente a lgunos

aspectos

5Est claro quin es

responsable del proceso?3

Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas conocen y

aceptan la

responsabi l idad.

Algunos conoces y

aceptan parte de la

responsabi l idad

Algunos conocen;

sus

responsabi l idades ,

pero no aceptan

Nadie sabe

6El proceso tiene una

direccin y objetivos claros?4

Integrado en la

medicin del

desempeo

Comunicado pero no

vinculados a las

medidas

Documentado, pero

no comunicado

Conocido por la a l ta

di reccin, no

documentado

No en todos

7 El proceso es medido? 4

Integrados y

vinculados a los

objetivos de TI y los

del negocio

Eficiencia y eficacia ,

no vinculados a los

objetivos

Algunas medidas de

eficacia

Algunas medidas

financierasNo en todos

8 El proceso es auditado? 3

Basado en el riesgo y

los resultados

s iempre accionados

Parte del plan

basado en el riesgo

y los resultados

peridicamente

accionados

Regularmente y los

resultados en

ocas iones

accionados

Ad hoc No en todos

9Se conocen las debi l idades

de control del proceso?4

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto

No conoce s i

exis ten debi l idades

10La tecnologa uti l i zada

tiene vulnerabi l idades?2

Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y muchos

bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto

No conoce s i exis ten

vulnerabi l idades .

TOTAL 31

*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.

Diagnstico de la Gestin de Conocimiento

Anexo N 3:

Ntems evaluados del


1

Es el proceso de TI

importante para el xi to

de la empresa?



2

Est claro quin es



fina l?



No est claro en

todos


una manera formal?3

Todos los aspectos

son documentados

Todos los aspectos

repetibles

Algunos aspectos

son documentados

Algunos aspectos



correctamente?4


rea l i za bien

Las partes s iempre

estn bien

rea l izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente a lgunos

aspectos

5

Est claro quin es

responsable del

proceso?

3

Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas conocen y

aceptan la

responsabi l idad.

Algunos conoces y

aceptan parte de la

responsabi l idad

Algunos conocen;

sus


pero no aceptan

Nadie sabe

6

El proceso tiene una

direccin y objetivos

claros?

2

Integrado en la

medicin del

desempeo

Comunicado pero no

vinculados a las

medidas

Documentado, pero

no comunicado


di reccin, no

documentado

No en todos


Integrados y

vinculados a los


del negocio


no vinculados a los

objetivos

Algunas medidas de

eficacia

Algunas medidas



Basado en el riesgo

y los resultados

s iempre accionados

Parte del plan

basado en el riesgo

y los resultados

peridicamente

accionados

Regularmente y los

resultados en

ocas iones

accionados

Ad hoc No en todos

9

Se conocen las

debi l idades de control

del proceso?

4

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto

No conoce s i




Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y muchos

bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto



TOTAL 33

*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.

Diagnstico de la Gestin de ConocimientoPROCESO: DSS02 Gestionar peticiones e incidentes de servicio.

Anexo N 4:

N tems evaluados del Estado* 1 2 3 4 5

1

Es el proceso de TI

importante para el xi to de

la empresa?



2

Est claro quin es



fina l?



No est claro en

todos

3El proceso se rea l iza de una

manera formal?3

Todos los aspectos

son documentados

Todos los aspectos

repetibles

Algunos aspectos

son documentados

Algunos aspectos


4 El proceso se rea l iza

correctamente?3


rea l iza bien

Las partes s iempre

estn bien

real izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente a lgunos

aspectos

5Est claro quin es


Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas conocen y

aceptan la

responsabi l idad.

Algunos conoces y

aceptan parte de la

responsabi l idad

Algunos conocen;

sus


pero no aceptan

Nadie sabe

6El proceso tiene una

direccin y objetivos claros?4

Integrado en la

medicin del

desempeo

Comunicado pero no

vinculados a las

medidas

Documentado, pero

no comunicado


direccin, no

documentado

No en todos


Integrados y

vinculados a los


del negocio


no vinculados a los

objetivos

Algunas medidas de

eficacia

Algunas medidas



Basado en el riesgo

y los resultados

s iempre accionados

Parte del plan

basado en el riesgo

y los resultados

peridicamente

accionados

Regularmente y los

resultados en

ocas iones

accionados

Ad hoc No en todos

9Se conocen las debi l idades

de control del proceso?3

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto

No conoce s i


10La tecnologa uti l i zada tiene

vulnerabi l idades?3

Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y muchos

bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto



TOTAL 35*Anote en la columna de estado el nmero que mejor refleje su respuesta a la pregunta.

Diagnstico de la Gestin de ConocimientoPROCESO: DSS03 Gestionar problemas.

Anexo N 5:

Ntems evaluados del


1

Es el proceso de TI


de la empresa?

1 Crtica Muy importante Faci l i ta las cosasPuede sobrevivi r s in l

s i es necesarioNo en todos

2

Est claro quin es



fina l?

2 Todo el mundo sabePersona que conoce y

aceptaPersona conoce Persona sospecha No est claro en todos

3El proceso se rea l iza de

una manera formal?3

Todos los aspectos son

documentados

Todos los aspectos

repetibles

Algunos aspectos son

documentados

Algunos aspectos


4 El proceso se rea l iza

correctamente?3


rea l iza bien

Las partes s iempre

estn bien real izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente a lgunos

aspectos

5

Est claro quin es

responsable del

proceso?

3

Todo el mundo conoce y

acepta plenamente la

responsabi l idad

La mayora de las

personas conocen y

aceptan la

responsabi l idad.

Algunos conoces y

aceptan parte de la

responsabi l idad

Algunos conocen; sus

responsabi l idades , pero

no aceptan

Nadie sabe

6



claros?

3

Integrado en la

medicin del

desempeo

Comunicado pero no

vinculados a las

medidas

Documentado, pero no

comunicado


direccin, no

documentado

No en todos


Integrados y vinculados

a los objetivos de TI y

los del negocio

Eficiencia y eficacia , no

vinculados a los

objetivos

Algunas medidas de

eficacia

Algunas medidas



Basado en el riesgo y

los resultados s iempre

accionados

Parte del plan basado

en el riesgo y los

resultados

peridicamente

accionados

Regularmente y los

resultados en ocas iones

accionados

Ad hoc No en todos

9

Se conocen las


del proceso?

4Continuamente

monitoreado y mitigado

Regularmente

monitoreado y muchas

bajo control

Reconocidos , s in

embargo no han s ido

tratados

Consciente de a lgunas

neces idades pero no se

hace nada a l respecto


debi l idades



Continuamente

monitoreado y mitigado

Un seguimiento

peridico y muchos bajo

control

Reconocidos , s in

embargo no han s ido

tratados

Consciente de a lgunas

neces idades pero no se

hace nada a l respecto




Diagnstico de la Gestin de ConocimientoPROCESO: DSS04 Gestionar la continuidad.

Anexo N 6:

Ntems evaluados

del ProcesoEstado* 1 2 3 4 5

1

Es el proceso de TI

importante para el

xi to de la empresa?



2

Est claro quin es

responsable en

l tima instancia del

resultado fina l?



No est claro en

todos

3

El proceso se rea l iza

de una manera

formal?

3Todos los aspectos

son documentados

Todos los aspectos

repetibles

Algunos aspectos

son documentados

Algunos aspectos


4

El proceso se

rea l iza

correctamente?

4Todos s iempre se se

rea l iza bien

Las partes s iempre

estn bien

real izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente a lgunos

aspectos

5

Est claro quin es

responsable del

proceso?

4

Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas conocen y

aceptan la

responsabi l idad.

Algunos conoces y

aceptan parte de la

responsabi l idad

Algunos conocen;

sus


pero no aceptan

Nadie sabe

6



claros?

3

Integrado en la

medicin del

desempeo

Comunicado pero no

vinculados a las

medidas

Documentado, pero

no comunicado


direccin, no

documentado

No en todos

7El proceso es

medido?3

Integrados y

vinculados a los


del negocio


no vinculados a los

objetivos

Algunas medidas de

eficacia

Algunas medidas


8El proceso es

auditado?3

Basado en el riesgo

y los resultados

s iempre accionados

Parte del plan

basado en el riesgo

y los resultados

peridicamente

accionados

Regularmente y los

resultados en

ocas iones

accionados

Ad hoc No en todos

9

Se conocen las

debi l idades de

control del proceso?

4

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto

No conoce s i


10

La tecnologa

uti l i zada tiene

vulnerabi l idades?

4

Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y muchos

bajo control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada a l

respecto




Diagnstico de la Gestin de ConocimientoPROCESO: APO03 Gestionar la arquitectura empresarial

Anexo N 7:

Ntems evaluados del


1

Es el proceso de TI

importante para el


2 Crtica Muy importante Faci l i ta las cosas

Puede sobrevivi r

s in l s i es

necesario

No en todos

2

Est claro quin es


instancia del

resultado fina l?

3Todo el mundo

sabe

Persona que

conoce y aceptaPersona conoce

Persona

sospecha

No est claro en

todos

3

El proceso se rea l i za

de una manera

formal?

2

Todos los

aspectos son

documentados

Todos los

aspectos

repetibles

Algunos aspectos

son

documentados

Algunos aspectos



correctamente?4

Todos s iempre

se se rea l i za

bien

Las partes

s iempre estn

bien rea l izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente

a lgunos aspectos

5

Est claro quin es

responsable del

proceso?

3

Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas

conocen y

aceptan la

responsabi l idad.

Algunos conoces

y aceptan parte

de la

responsabi l idad

Algunos conocen;

sus

responsabi l idad

es , pero no

aceptan

Nadie sabe

6



claros?

4

Integrado en la

medicin del

desempeo

Comunicado pero

no vinculados a

las medidas

Documentado,

pero no

comunicado

Conocido por la

a l ta di reccin, no

documentado

No en todos

7El proceso es

medido?3

Integrados y

vinculados a los

objetivos de TI y

los del negocio

Eficiencia y

eficacia , no

vinculados a los

objetivos

Algunas medidas

de eficacia

Algunas medidas


8El proceso es

auditado?5

Basado en el

riesgo y los

resultados

s iempre

accionados

Parte del plan

basado en el

riesgo y los

resultados

peridicamente

accionados

Regularmente y

los resultados en

ocas iones

accionados

Ad hoc No en todos

9

Se conocen las


del proceso?

3

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo

control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades

pero no se hace

nada a l respecto

No conoce s i

exis ten

debi l idades

10

La tecnologa

uti l i zada tiene

vulnerabi l idades?

4

Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y

muchos bajo

control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades

pero no se hace

nada a l respecto

No conoce s i

exis ten

vulnerabi l idades

.


Diagnstico de la Gestin de ConocimientoPROCESO: APO09 Gestionar los acuerdos de servicio.

Anexo N 8

Ntems evaluados del


1

Es el proceso de TI

importante para el


1 Crtica Muy importanteFaci l i ta las

cosas

Puede sobrevivi r

s in l s i es

necesario

No en todos

2

Est claro quin es

responsable en

l tima instancia del

resultado fina l?

4Todo el mundo

sabe

Persona que


Persona

sospecha

No est claro en

todos

3

El proceso se rea l i za

de una manera

formal?

3

Todos los

aspectos son

documentados

Todos los

aspectos

repetibles

Algunos

aspectos son

documentados

Algunos

aspectos

repetibles

No en todos

4

El proceso se

rea l i za

correctamente?

3

Todos s iempre

se se rea l i za

bien

Las partes

s iempre estn

bien rea l izadas .

A veces todos

los aspectos

A veces a lgunos

aspectos

Raramente

a lgunos

aspectos

5

Est claro quin es

responsable del

proceso?

3

Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de

las personas

conocen y

aceptan la

responsabi l idad

.

Algunos conoces

y aceptan parte

de la

responsabi l idad

Algunos

conocen; sus

responsabi l idad

es , pero no

aceptan

Nadie sabe

6



claros?

4

Integrado en la

medicin del

desempeo

Comunicado

pero no

vinculados a las

medidas

Documentado,

pero no

comunicado

Conocido por la

a l ta di reccin,

no documentado

No en todos

7El proceso es

medido?5

Integrados y

vinculados a los

objetivos de TI y

los del negocio

Eficiencia y

eficacia , no

vinculados a los

objetivos

Algunas

medidas de

eficacia

Algunas

medidas

financieras

No en todos

8El proceso es

auditado?5

Basado en el

riesgo y los

resultados

s iempre

accionados

Parte del plan

basado en el

riesgo y los

resultados

peridicamente

accionados

Regularmente y

los resultados

en ocas iones

accionados

Ad hoc No en todos

9

Se conocen las

debi l idades de

control del proceso?

3

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo

control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades

pero no se hace

nada a l respecto

No conoce s i

exis ten

debi l idades

10

La tecnologa

uti l i zada tiene

vulnerabi l idades?

3

Continuamente

monitoreado y

mitigado

Un seguimiento

peridico y

muchos bajo

control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades

pero no se hace

nada a l respecto

No conoce s i

exis ten

vulnerabi l idade

s .


Diagnstico de la Gestin de ConocimientoPROCESO: BAI06 Gestionar los cambios.

Anexo N 9

Ntems evaluados del


1

Es el proceso de TI


de la empresa?

2 Crtica Muy importante Faci l i ta las cosas

Puede sobrevivi r

s in l s i es

necesario

No en todos

2

Est claro quin es



fina l?

2Todo el mundo

sabe

Persona que


Persona

sospecha

No est claro en

todos


una manera formal?2

Todos los

aspectos son

documentados

Todos los

aspectos

repetibles

Algunos aspectos

son

documentados

Algunos aspectos



correctamente?3

Todos s iempre se

se rea l i za bien

Las partes

s iempre estn

bien rea l izadas .

A veces todos los

aspectos

A veces a lgunos

aspectos

Raramente

a lgunos aspectos

5Est claro quin es


Todo el mundo

conoce y acepta

plenamente la

responsabi l idad

La mayora de las

personas

conocen y

aceptan la

responsabi l idad.

Algunos conoces

y aceptan parte

de la

responsabi l idad

Algunos conocen;

sus

responsabi l idade

s , pero no

aceptan

Nadie sabe

6



claros?

3

Integrado en la

medicin del

desempeo

Comunicado pero

no vinculados a

las medidas

Documentado,

pero no

comunicado

Conocido por la

a l ta di reccin, no

documentado

No en todos


Integrados y

vinculados a los

objetivos de TI y

los del negocio

Eficiencia y

eficacia , no

vinculados a los

objetivos

Algunas medidas

de eficacia

Algunas medidas



Basado en el

riesgo y los

resultados

s iempre

accionados

Parte del plan

basado en el

riesgo y los

resultados

peridicamente

accionados

Regularmente y

los resultados en

ocas iones

accionados

Ad hoc No en todos

9

Se conocen las


del proceso?

4

Continuamente

monitoreado y

mitigado

Regularmente

monitoreado y

muchas bajo

control

Reconocidos , s in

embargo no han

s ido tratados

Consciente de

a lgunas

neces idades pero

no se hace nada

a l respecto

No conoce s i

exis ten

debi l idades


tiene vuln

Documents

Trabajo Final (Grupo 2)