• Author / Uploaded
• Liber Cerda

• Categories
• Planificación
• Recursos humanos
• Apoyo
• Software
• Calidad (comercial)

Citation preview

Universidad Nacional de Ingeniería Instituto de Estudios Superiores

Auditoría de Sistemas

Integrantes: Bayardo Aguilar Yeril Alemán Mijail Montenegro

Grupo:

5T1-S

Profesor: Ing. Líber Marcial Cerda Reyes

Managua, 27 de Junio del 2011.

Declaración

Nosotros, Bayardo Aguilar, Yeril Alemán y Mijaíl Montenegro declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentado para ningún grado o calificación profesional.

Introducción

El presente documento tiene por objetivo presentar los resultados obtenidos del análisis del nivel de madurez de los procesos de gestión de las Tecnologías de Comunicación e Información y presentar las recomendaciones para el cumplimiento de normas y estándares establecidos en la empresa “Librería Santa Martha” basándose en la metodología COBIT.

Librería Santa Martha es una empresa dedicada a la venta y distribución de productos para los artículos de oficina y librería entre otros. La empresa cuenta con un sencillo sistema de facturación, ventas e inventario, para el manejo, control y verificación de los procedimientos normalmente realizados en el quehacer diario de la empresa.

La empresa se encuentra ubicada en el barrio Loma Linda, del mercado de san judas 1km al sur. Managua, Nicaragua.

La empresa fue fundada como un negocio familiar en el mes de Mayo del año 2004.

El sistema de cómputo fue implementado en Agosto del 2008

Resumen

El presente documento consta de 3 capítulos:

- El capitulo uno es un análisis de los procesos de la Librería Santa Martha

- El capitulo dos contiene un informe ejecutivo y un técnico que da a conocer los resultados obtenidos con la aplicación de la metodología COBIT.

- El capitulo tres contiene las conclusiones y recomendaciones que la gerencia debe tomar en cuenta para obtener un mejor desempeño según la metodología COBIT.

Capítulo I

El capitulo está dividido en 4 secciones principales que contienen el análisis de cada uno de los dominios de COBIT.

El marco de trabajo de COBIT se basa en controles y mediciones, tiene 4 dominios que son los siguientes:

   

Planear y Organizar (PO) con 10 procesos de gestión de TI Adquirir e Implementar (AI) con 7 procesos de gestión de TI Entregar y Dar Soporte (DS) con 13 procesos de gestión de TI Monitorear y Evaluar (ME) con 4 procesos de gestión de TI.

La metodología COBIT brinda buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.

I: PLANEAR Y ORGANIZAR PO1 DEFINIR UN PLAN ESTRATÉGICO Mediante la entrevista realizada al gerente de Librería Santa Martha, determinamos que esta reconoce la necesidad de realizar inversiones en el área de TI, pero no tiene establecidos proyectos concretos y solo se basa en criterios propios y uso de recursos disponibles en el momento. Los ejecutivos debido al alto grado de desconfianza y desconocimiento sobre el uso de tecnologías, no prestan interés en las necesidades de actualización y mejora continua que requiere todo sistema para un óptimo funcionamiento, y utilizan herramientas no establecidas para la resolución de problemas y entrega de resultados. Por lo tanto se desconoce la dependencia e importancia para la empresa de las TI en el giro del negocio. El análisis FODA no toma en cuenta, el uso estratégico del SI y TI, proporcionando un punto de vista incompleto de las capacidades y potencial que la empresa podría brindar. En el momento de elaboración del plan estratégico de TI no se toma en cuenta personal especifico de la empresa, y solo se menciona de manera general las responsabilidades y metas necesarias a realizar, es basado únicamente en criterios, conocimiento y experiencia del gerente. Las tácticas son inexistentes, ya que la comunicación por niveles del plan estratégico, solo es brindada a funcionarios de alto nivel involucrados en el rol del cumplimiento del plan mismo, quienes deben de manera individual, establecer métodos y procesos adecuados para cumplir las estrategias propuestas. La administración del portafolio de TI no se observa relación entre los recursos destinados para inversión de TI y el desarrollo del negocio, por lo tanto los objetivos estratégicos, no son visualizados de manera estructurada. Y los resultados del negocio no son respaldados, para una rendición de cuentas claras, sobre alcances, deficiencias, presupuestos, cumplimientos, metas, delegaciones y responsabilidades. El proceso de definición del plan estratégico empresarial se localiza en el nivel de madurez 1 (Inicial / ad hoc) ya que se conoce la necesidad de una planeación estratégica de TI y la planeación de TI se realiza según se necesite como respuesta a un requerimiento de negocio específico. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia de TI.

PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN La empresa cuenta con una un estudio de la estructura organizativa, manual de funciones y procedimientos que permite establecer los roles y funciones, así como identificación de niveles de usuarios y comprensión de flujo de datos e información requeridos de manera general, lo que facilita el soporte y apoyo de los responsables de la información y los que la emplean en la institución. Cuenta con diccionario de datos a nivel básico, ya que solo se toma en cuenta los elementos que el Sistema de facturación venta e inventario maneja, mientras que para las demás áreas no se cuenta con documentación, ni conocimiento, sobre reglas de sintaxis de datos de la organización, por lo tanto se presentan a menudo inconsistencias en la entrada de los datos, de una aplicación a otra, siendo incompatibles unos con otros. Se protege de manera física la información, mediante controles de accesos a áreas de almacenamiento de la información y lógica de control como son contraseñas y logins y preventivas de intrusiones al sistema reducidas a un riesgo mínimo, pero no se cuenta con una clasificación para la totalidad de la información, ni un método de manejo o clasificación de información según su peso e importancia para la organización. Los datos no presentan ningún tipo de cifrado, tanto al momento de transferir la información como en su almacenamiento, adicional al brindado por los manejadores de BD. En cuanto a la administración de la integridad de la información, no existen métodos que garanticen la integridad y consistencia de los datos almacenados en el Sistema Computarizado. El proceso de definición de la arquitectura de la información se localiza en el nivel de madurez 3 (definido).

PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA

El análisis de nuevas propuestas tecnológicas emergentes, para su utilización en la institución es un proceso poco desarrollado en Librería Santa Martha ya que no existe una política que incentive al administrador del sistema, de realizar análisis de factibilidad operacional y actualizaciones necesarias del sistema para que la organización se adecue nuevas exigencias del negocio. Así como comunicación poco fluida entre el CIO y CEO impide que las propuestas elaboradas sean tomadas en cuenta por la alta gerencia, y la respuesta tecnológica sea adecuada al lineamiento gerencial existente. La mejora en la inter operatividad de las plataformas y aplicaciones de Librería Santa Martha, son limitadas a la disponibilidad de recursos (básico), y conocimientos sobre instalación e implantación de Sistemas Automatizados que el responsable de informática posee. La infraestructura tecnológica actual no presenta diseños para una futura ampliación o empleo de plan estratégico y táctico de TI, además de carecer de estos, no se contempla surgimiento de necesidades futuras por exigencias del mercado y la empresa. Los riesgos que constituye una inversión en TI, ante cambios repentinos en el comercio, tecnologías, legislación y normas no fueron tomados en cuenta y solo se contempla en el nivel de flexibilidad y adaptabilidad de diseño del sistema. Haciendo que una ampliación o mejora sea de costos elevados, ya que la existencia de un monitoreo de tendencias y regulaciones futuras es nula. En tanto a la proporción de soluciones tecnológicas consistentes, efectivas y seguras para toda la empresa es de carácter empírica, ya que no se generan reportes de los cambios realizados a la infraestructura de TI, y la capacitación sobre usos de las tecnologías existentes y las nuevas solo se brinda de manera personal a nivel de consultas de usuarios y dudas. No se consta con comités de arquitectura de TI que genere propuestas de mejoras de infraestructura de las TI que verifique y evalué el cumplimiento de los requerimientos y regulaciones que deben de ser cumplidas para un correcto y continuo desarrollo del negocio. El proceso para determinar la dirección tecnológica se localiza en el nivel de madurez 2 (Repetible pero intuitivo).

PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI

Sobre el marco de trabajo de procesos TI para la ejecución del plan estratégico se toma en cuenta mediante políticas de control interno y seguimiento de cumplimiento de estrategias que deben de ser realizadas por el personal, no existiendo procesos definidos precisamente, que garantice la integridad y confiabilidad de los resultados brindados a la gerencia. La mejora y medición de desempeño no se toma en cuenta, no estableciendo actividades equitativas al personal de TI y su respectivo manejo. Sobre el comité estratégico de TI, se puede decir que las decisiones son tomadas de manera individual por el responsable de informática con soporte o ayuda del personal técnico, no tomando en cuenta las relaciones que existen, y las necesidades que deben de ser suplidas al personal La determinación de las prioridades y portafolio de inversión, la correcta realización de proyectos y solución de problemas no previstos, no es realizada de manera íntegra ya que no existe un comité directivo de TI, integrado por alta gerencia y director informático. La estructura organizacional de la empresa fue basada en el flujo de información y niveles de responsabilidad del personal, respecto al sistema, pero no se cuenta con un proceso de revisión de la estructura organizacional de TI de forma periódica, y las responsabilidades del personal de TI, así como deberes no son conocidos por el personal, haciendo que los usuarios presenten consultas que no competen al personal de TI. No existen módulos de aseguramiento de la calidad tanto del servicio, como del sistema, y por ende tampoco personal destinado para este fin, la calidad del servicio solo es monitoreada con cumplimiento de metas y objetivos, las quejas para mejoramiento del mismo solo son presentadas de manera verbal por sugerencias de usuarios internos y externos a los responsables del área que generan informes a la alta gerencia pero no representan un punto crítico de control. No obstante la asignación de un equipo de soporte y apoyo al momento de desarrollo de sistemas es tomada en cuenta y orientada por la gerencia en estos casos, para asegurar un desarrollo correcto de aplicaciones y software, con el fin de evitar incurrir en costos elevados por reparar errores de diseño y disminuir tiempos.

La empresa tiene claras sus políticas, normas y procedimientos de seguridad, así como los responsables de la administración de amenazas y riesgos, que surgen dentro de la empresa, aunque no la clasificación y cálculo del impacto de los mismos en la institución. Además no se verifica o supervisa la respuesta o solución ejecutada, a los riesgos detectados y no se elaboran planes de prevención de acontecimientos futuros. Sobre el personal se verifica las capacidades de respuesta de los usuarios en el momento de contratación e inserción a su puesto de trabajo y se especifica que cumplan con políticas de protección de los activos de información de manera contractual, no están previstos planes de capacitación ante cambios en el entorno de trabajo, operativo, transaccional o de actualización de TI, no se realizan habitualmente estudios de cargas de trabajos y se depende especialmente de pocos individuos para la total administración, desempeñando una función de trabajo critica.

El proceso para definir procesos, organización y relaciones de TI, se localiza en el nivel de madurez 3 (definida).

PO5 ADMINISTRAR LA INVERSIÓN EN TI

No existe una administración de inversión para TI, las inversión ocurre cada vez que se requiere de una nueva adquisición, además la empresa cuenta con un marco de trabajo limitado a necesidades básicas de TI como son insumos y consumibles y la administración de costos, beneficios, prioridades solo se registra en términos contables no presupuestados. El detalle del uso de las TI y sus repercusiones e importancia en el giro del negocio no es conocido, siendo difícil detallar y presupuestar .El proceso de toma de decisiones para asignar prioridades a recursos de TI para operaciones, proyectos y mantenimiento, se realiza según criterios subjetivos. La administración de costos y beneficios de la inversión de TI en el desarrollo del proyecto donde fue empleada son tomados en cuenta con criterios de Retorno de la inversión, periodo de reintegro y valor presente neto.

El proceso para administrar la inversión en TI se localiza en el nivel de madurez 1 (inicial).

PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA

En base a las políticas de la empresa se elabora un marco de trabajo general que es informado al personal de la empresa, donde se presentan las metas, objetivos, misiones, políticas y procedimientos de la empresa, que fueron previamente aprobados por la alta directiva y ejecutivos, estos informes se presentan sin una periodicidad definida, y pretende establecer el compromiso de la empresa y los usuarios en el cumplimiento de objetivos y prevención de riesgos del negocio. Orientándose un completo cumplimiento de leyes y reglamentos establecidos. El ambiente de control y políticas es manejado por RRHH quien intenta establecer cultura de control y uso de TI (valor agregado) y expresa las expectativas y requerimientos de la gerencia, incentivando la inversión de TI y su repercusión en resultados, integridad, facilidad del trabajo y disminución de riesgos. El proceso para comunicar las aspiraciones y la dirección gerencial se localiza en el nivel de madurez 3 (definido).

PO7 ADMINISTRAR LOS RECURSOS HUMANOS DE TI

Se cuenta con personal destinado para la entrega de servicios de TI en toda la empresa los cuales brindan soporte a las áreas funcionales de TI, los métodos de reclutamiento (interno y externo), retención y motivación ocupacional se basan en cumplimiento de requisitos y pruebas generales para los puestos de trabajos, expectativas y correcta inserción a su área laboral, adquiriendo personal competente y entrenado. El estudio de trabajo y ocupacional es realizado pero no se adapta rápidamente a las exigencias de los cargos y del negocio, provocando que la contratación no sea eficiente, ya que el personal en ocasiones no posee las habilidades para cumplir roles con base a su educación, entrenamiento o experiencia. Se maneja de manera clara los roles y responsabilidades del personal así como las políticas y procedimiento administrativo, códigos de ética y prácticas profesionales, que apoyan en la asignación según la sensibilidad del puesto e importancia. En tanto a entrenamiento no se realiza de manera sistemática y solo se realiza un entrenamiento con asignación de personal para el entrenamiento personal y dirigir las funciones, y entrega de un manual de funciones con explicación teórica de las actividades a realizar. La dependencia de la organización a individuos estratégicos en la empresa es grande ya que no existen métodos de transferencia de conocimientos y documentación de procedimientos detallada, no se fomenta descentralización de la información y dificulta la planeación de la sucesión y sustitución de personal. Las evaluaciones de desempeño no se realizan periódicamente y solo en circunstancias que la empresa considera que lo amerita, se comparada contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto. Aunque los resultados no se apoyan a políticas de compensación salarias y motivación personal. Al momento de culminación del periodo laboral en el puesto de trabajo ya sea por despido a promoción, la actualización de registros de usuarios activos no es un proceso que se realice inmediatamente, y queda abierta por un periodo no mayor a una semana generando riesgos a nivel de acceso y privilegios. El proceso para administrar el recurso humano se localiza en el nivel de madurez 4 (administrado y medible).

PO8 ADMINISTRAR LA CALIDAD

Se cuenta con estándares de servicio de calidad, con un monitoreo constante sobre el cumplimiento de la atención a clientes, siendo el cliente el principal generador de información, criterios, requerimientos y datos para mejoras en la atención y procesos relacionados, aunque sin ninguna metodología establecida, se cuenta con proceso de reconocimiento del problemas, y un tratamiento inmediato, el análisis de soluciones permanentes y estandarización del problema no se encuentra y queda a criterio del gerente de calidad, no existiendo en si un ciclo de mejora continua establecido, y debido a la no clasificación de los procesos por su importancia o peso no se conoce cuál es el proceso que requiere la implementación de mayores estándares de calidad. El proceso de medición, monitoreo y revisión de calidad aunque existente, los mecanismos de medición no son establecidos claramente y están paramétricos.

El proceso para administrar la calidad se localiza en el nivel de madurez 3 (definido).

PO9 Evaluar y administrar el riesgo de TI

La empresa cuenta con un plan de respaldo y prevención ante fallos, que permite que los riesgos no previstos o acontecimientos fortuitos, sean mitigados de manera que el restablecimiento de los servicios principales de la empresa minimizando los riesgos residuales a un nivel aceptable, se conoce la cantidad necesaria de recursos para el desarrollo del plan de contingencia aunque no se mide en términos financieros, ni los beneficios que este podría brindar. Además se evalúan los riesgos según su peligrosidad, y las medidas de mitigación y solución pasan por un proceso establecido que permite, analizar las amenazas a las cuales la empresa está expuesta, y presentar propuestas que los prevenga a un futuro, aunque no se sigue un proceso exhaustivo del monitoreo y evaluación de la solución.

El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez 4 (administrado y medible).

II: ADQUIRIR E IMPLANTAR

AI1 Identificar soluciones automatizadas

En este proceso se identifican los requerimientos de negocio funcionales y técnicos de TI y se identifican los riesgos asociados con los requerimientos del negocio y diseño de soluciones para los mismos. Esta implica desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos.

La identificación de soluciones automatizadas es un proceso inexistente en la empresa, no se cuenta con una metodología para actualizar las operaciones del sistema actual ni existen las intenciones de actualizarlas. No consideran las alternativas de software

Basados en los datos recolectados en nuestras visitas y durante preguntas cortas al personal determinamos que hay un estudio de factibilidad desfasado. El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez 1 (inicial) ya que existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, pero la documentación disponible no es muy confiable ya q se realizo hace un par de años.

AI2 Adquirir y mantener software aplicativo

La adquisición y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librería Santa Martha. Se deberían tener aprobadas las especificaciones de diseño por gerencia para garantizar que el diseño responde a los requerimientos así como la seguridad de las aplicaciones para evitar inconsistencias y ataques de intrusos. Sólo unas pocas personas dentro de la organización cuentan con la capacidad de abordar la seguridad de las aplicaciones y los requerimientos para enfrentar los riesgos en los datos y la arquitectura de la información. El proceso para adquirir y mantener software aplicativo se localiza en el nivel de madurez 2 (dos) Es repetible pero intuitivo porque la gerencia no tiene conciencia de la importancia de este proceso, no se planean actualizaciones importantes en el Sistema existente, simplemente hay un mantenimiento correctivo de éste. No hay intenciones de implementar cambios importantes en el sistema existente.

AI3 Adquirir y mantener infraestructura tecnológica

Basados en los datos obtenidos la entrevista realizada al Gerente General, sabemos que hay un plan de mantenimiento pero no es muy detallado y es muy superficial, no cuentan con un enfoque planeado para adquirir infraestructura ni con medidas de control interno. La gerencia no presta interés en las necesidades de actualización y mejora continua que requiere todo sistema para un óptimo funcionamiento.

Cuentan con planes de respaldo de la información y un plan de contingencia, lo que garantiza que siempre se mantendrá en funcionalidad el sistema. También utiliza un mecanismo de respaldo externo para datos relevantes sobre los servicios de TI de la empresa Santa Martha. En la empresa hay un responsable informático que vela por el buen cumplimiento de estos planes.

El proceso para adquirir y mantener infraestructura tecnológica se localiza en el nivel de madurez 1 (uno-inicial) pues se cuenta con un proceso rudimentario de mantenimiento. La actividad de mantenimiento reacciona a necesidades de corto plazo ya que no hay un plan conjunto y se limita a ser mantenimiento correctivo ante errores en el sistema o eventos adversos.

AI4 Facilitar la operación y el uso

Existe un plan de contingencia y de seguridad para así como manuales efectivos de usuario y de operación están presentes, esto permite identificación de niveles de usuario y comprensión del flujo de datos.

El único manual no presente es el manual de entrenamiento. La capacitación fue administrada por los desarrolladores del software a los usuarios iniciales.

Este proceso está en el nivel de madurez 1 (uno), la empresa reconoce la necesidad de los manuales pero no tiene desarrollada ninguna estrategia al respecto ni ha definido una manera de crearlos. La transferencia de conocimientos al personal de operaciones y de soporte es de manera oral y solo representa una capacitación inicial pero no incluye capacitación continua.

AI5 Adquirir recursos de ti

Este proceso garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

Basándose en los datos proporcionados por la empresa concluimos que en la librería no están definidos los procedimientos para adquirir nuevas tecnologías, mucho menos seleccionar proveedores de las mismas, ni se guía con un proceso de contratación.

Este proceso se halla en nivel de madurez 0 (cero-inexistente) ya que la organización no reconoce la necesidad de procedimientos claros de adquisición para proteger los intereses de la organización.

Los requerimientos no están optimizados con las entradas de los proveedores potenciales, ya que no se lleva un registro confiable de los proveedores.

AI6 Administrar cambios

Todos los cambios relacionados con la infraestructura de las TI deben administrarse de manera controlada.

Basándose en los datos proporcionados por la empresa y la información recopilada durante la visita de campo, descubrimos que no existen procedimientos de administración de cambio formales ni un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio.

El proceso para administrar cambios, se localiza en el nivel de madurez 0 (cero) ya que ni siquiera está definido un proceso para realizar cambios durante emergencias.

AI7 Instalar y acreditar soluciones y cambios

Todo nuevo sistema requiere ser puesto a prueba en su ambiente final para garantizar su correcto funcionamiento una vez instalado e implementado.

Con los datos obtenidos en la visita de campo a la empresa determinamos que existe una metodología definida para migración y existen planes de prueba y migración los cuales cumplen con los estándares de la organización y tienen cierto grado de seguridad.

El proceso para instalar y acreditar soluciones y cambios, se localiza en el nivel de madurez 3 (tres) ya que la organización cuenta con una metodología en lo que respecta a la instalación, migración y conversión de datos, sin embargo al implementarse pueden presentar inconsistencias, por lo que necesita revisiones.

III: ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio. Según los datos obtenidos de la entrevista informal y la observación determinaron que la empresa librería Santa Martha no cuenta con un marco de trabajo referencial al servicio, dicha empresa conoce los procesos y requerimientos necesario para el área de servicio, de acuerdo a la estructura organizacional para el cumplimiento de los servicios, la administración de servicio no se encuentra definida por lo tanto su manera de operar e implementación es de manera implícita, ya que se conoce o se tiene en mente lo que se debe de realizar, pero no está debidamente documentado. Cabe destacar que la empresa cuenta con un responsable que pueda manejar y evaluar los niveles de servicio, pero el reporte y los aspectos del servicio que se realiza no es documentado adecuadamente, la veracidad de su informe no puede ser justificado, porque no realiza adecuadamente un informe correcto o pertinente hacia la gerencia. Con respecto al sistema de información con que cuenta librería, este si está debidamente documentado, cuenta con todos los manuales que son necesario para su uso y así brindar los servicios necesarios por medio de él, el monitoreo del sistema existe pero su análisis de resultados es de forma empírica por parte responsable de ventas, los resultados del mismo y los análisis se generan, todos los realiza de forma completa, pero el análisis por medio del responsable es muy débil. Este proceso está ubicado dentro del nivel (2) de madurez repetible pero intuitivo, ya que la empresa cuenta con un supervisor que vele por los servicios que se realizan tanto interna como externamente, pero los reportes efectuados por el son informales o basados muy empíricamente, estos a la vez depende de la pericia que tenga el responsable al generarlos causando que sean incompletos ya que no se toma completamente toda la información necesaria para generarlos.

DS2 Administrar los servicios de terceros. Los resultados arrojaron que las vías de comunicación, el manejo, así como los conocimientos completos de los servicios que asisten los proveedores no se controlan adecuadamente, no se basan en un método establecido ya que solo se maneja registro pero no un informe de las relaciones empresa – proveedor. La manera que la empresa toma el servicio de terceros es muy superficial o solo quieren suplir con la necesidad, se tiene un listado con los servicios que proveen los terceros, lo que ocasiona no se registre información más detallada de cada uno, resultados o productos, no se sabe si dichos proveedores cumplen con los requerimientos del negocio ya que no hay nadie a cargo de este factor que pueda controlar y brindar un análisis útil de estos servicios hacia la empresa. No se tiene a una persona o responsable que entable comunicación entre la empresa y dichos entes de servicio, lo que ocasiona inconsistencias en los registros, e información de cada uno, la empresa no puede conocer a fondo las características de los servicios que brindan, ni algunos aspectos como lo son la calidad, veracidad de entrega del servicio, y sobre todo resultados. A nivel de sistema de información se tienen registros sobre los servicios de terceros, pero el sistema no maneja ningún control sobre los datos ni genera ningún tipo de reporte acerca de los proveedores de servicios, el sistema no es capaz de brindar ningún tipo de información de los servicios y proveedores que se registran, lo que ocasiona que nadie pueda realizar un análisis con referencia a estos aspectos. Para el proceso de administrar los servicios de terceros su ubicación es en el nivel (0) de madurez o no existe, ya que ni tanto a nivel de sistema como administrativo se llevan control o cuenta de los resultados de los servicios a terceros, no se realizan mediciones de los servicios obtenidos, así como no hay una vía de comunicación fuerte hacia los proveedores que pueda generar algún tipo de reporte. Al no existir un control de estos servicios la empresa se expone a que sus costos puedan elevarse, ya que no se conoce la calidad de dichos servicios, lo que pueda ocasionar que en algún momento se presente una no conformidad de parte de la empresa hacia los proveedores, por no conocer su historia o se hayan medido sus resultados obtenidos.

DS3 Administrar el desempeño y la capacidad. En la empresa librería Santa Martha tiene conocimiento sobre las características y necesidades de los recursos de las TI. Según la entrevista informal que se realizo, solo se tiene en cuenta el uso de estos recursos, pero no se definen ningún tipo de políticas para su manejo o medición, se conoce lo actual y su mantenimiento, pero no existe un procedimiento de proyección para uso futuro de dichos recursos, no se establece una comparación entre los acontecimientos actuales como lo son ancho de banda, carga de trabajo tanto del sistema como de personal, limitantes de servicio, etc. Y las necesidades futuras que vienen ligadas a los aspectos anteriores. Si bien existe un plan de respaldo para los recursos de TI, no se realiza un seguimiento exhaustivo de dichos recursos de las TI, no se puede garantizar que siempre estarán disponibles para las actividades de la empresa o requerimientos del negocio, o que sigan con las actividades establecidas en el plan de contingencia en caso de usarlo. No se toman en cuenta los niveles de carga de trabajo que sufren, y otros aspectos de gran relevancia lo que provoca una degradación en los mismos y una carencia de mantenimiento. La administración del desempeño y capacidad se ubica en el nivel (2) de madurez repetible, ya que la administración de la empresa solo conoce la necesidad de los recursos de TI, no se toman ningún tipo de política concreta sobre la medición o proyección de los mismo, la evaluación del desempeño es de manera empírica lo que depende de la experiencia del que evalúa el recurso o espera algún resultado del mismo, no se observa una clara organización de los mismos destinados a cada área de la empresa.

DS4 Garantizar la continuidad del servicio. La empresa según la entrevista informal realizada, cuenta con los planes necesarios para algún acontecimiento que pueda suceder a nivel estructural, o de problemas a nivel de sistema, datos, almacenamiento u otro factor que pueda afectar de forma directa la funcionalidad de los procesos cotidianos de la empresa, el servicio de la TI está debidamente documentado y su funcionalidad ante cualquier acontecimiento que pueda dañar la integridad, la continuidad del negocio y las TI.

Cuentan con planes de respaldo de la información, lo que asegura que siempre se mantendrá en funcionalidad el sistema y que trabajara con datos actualizados. También se respalda de manera exterior aquellos datos relevantes sobre los servicios de TI de la empresa Santa Martha. Cuentan con responsable que vele por el buen cumplimiento de estos planes al momento que puedan ocurrir dichos acontecimientos, este genera los reportes pertinentes sobre el manejo y almacenamiento que tenga que ver con todo lo relacionado sobre las TI. El garantizar la continuidad del negocio se localiza en el nivel (4) de madurez administrado, ya que la empresa y la administración de la misma tienen muy bien definido los planes que se deben de llevar acabo ante cualquier eventualidad o acontecimientos que puedan amenazar los recursos de las TI, se localiza en este nivel ya que la documentación sobre los respaldos de TI está muy bien controlado, y es realizado por responsables capacitados en el área. A pesar de tener un muy buen control sobre las actividades que se llevan y deben con respecto a la continuidad del negocio, no se piensa en ningún tipo de actualización hacia los planes ya establecidos.

DS5 Garantizar la seguridad de los sistemas. De acuerdo a la entrevista informal que se realizo, se obtuvo que la empresa y los activos de las TI cuentan con el debido resguardo todo establecido en el plan de seguridad, se conoce los deberes que tiene el responsable por mantener los niveles de seguridad, así como la debida documentación que este genera hacia la gerencia. Se realizan monitoreo sobre los procesos que afecta de manera directa o indirecta a las TI. El plan de seguridad abarca puntos importantes como que se debe de realizar en caso de que alguna vulnerabilidad del sistema se convierta en riesgo, qué medidas se deben tomar, y como resguardar el sistema ante la misma. Se conocen los roles y accesos que tiene las personas que interactúan dentro del ambiente de las TI. También cuentan con puntos o controles de acceso, está muy bien definida las áreas restringidas y quiénes son los únicos que pueden ingresar a ellas. Este aspecto se ubica en el nivel (3) de madurez definido, ya que a pesar de que se maneje muy bien todas las actividades dentro del plan de seguridad, los reportes no tiene un enfoque meramente hacia los intereses de la empresa, solo se cumplen con lo que esta normado en el plan de seguridad. El plan de seguridad no se actualiza ante una nueva vulnerabilidad que pueda surgir de la empresa, lo que ocasiona que sea obsoleto ante un nuevo acontecimiento que no esté registrado dentro del plan, es un sistema abierto ante nuevos riesgos.

DS6 Identificar y asignar costos. Según la entrevista informal realizada, actualmente en librería Santa Martha no cuenta con políticas acerca de asignación o proyección de costos para las TI, no se identifican los costos que se incurren o que son necesarios para las operaciones cotidianas de las TI del negocio, lo que se realiza en cambio es solo suplir con las necesidades que surgen en el momento. De los datos obtenidos se puede identificar que la empresa registra los costos que se incurren en las TI del negocio, pero no se sigue un modelo establecido de costo, lo que provoca que no se pueda realizar un presupuesto muy bien proyectado hacia los requerimientos de las TI del negocio.

Los usuarios de las TI tienen conocimiento de los costos que incurren las tecnologías, pero como ellos no se rigen de un presupuesto dirigido y proyectado hacia esta área, provoca que no se optimice adecuadamente el uso de los recursos generando más costos de los necesarios. Si bien los usuarios de las TI reportan los costos que se incurren, no se hace uso optimo de los mismos, ya que al carecer de restricciones de costos o no se guían por un modelo de costos necesario para las TI, no se garantiza el uso optimo de dichos recursos. El nivel de madurez para identificar y asignar costos no existe (0), ya que la empresa no conoce la relación que existe entre los costos que incurren por parte de las TI y la eficiencia que estos pueden brindar por su uso adecuado. La administración no logra poner claro las restricciones económicas que pueden surgir, ya que no se realiza una proyección y no se refleja un presupuesto necesario para la operación de los recursos de TI para el negocio.

DS7 Educar y entrenar a los usuarios. En la empresa Santa Martha según la entrevista informal realizada, se realizo una capacitación de todo los aspectos generales que le competen a las TI del negocio, pero no se mantiene de forma proactiva, ni se actualiza ante cualquier cambio que pueda surgir. Los responsables de las TI del negocio están debidamente capacitados para llevar a cabo el cumplimiento de todas las responsabilidades. No se estableció ningún tipo de plan de capacitación, no existe ningún tipo de iniciativa o documento que valore este aspecto, o que le dé importancia a la actualización y la necesidad de mantener al personal capacitado sobre las TI del negocio. No se evalúa al personal de su estado actual con respecto a los TI, se realizo una capacitación al inicio de toda implantación de las TI del negocio, pero no se sigue capacitando cuando estas sufren algún tipo de actualización, y el usuario debe basarse en métodos empíricos y similares a la capacitación para aplicar y usar alguna tecnología. La administración de la empresa reconoce que es necesaria una capacitación periódica o regular para los usuarios de las TI, pero no se logra entablar o concluir en un plan de capacitación que pueda brindar a los recursos de las TI seguridad por parte de los usuarios, su manejo, uso y resultados sean los esperados. El nivel de en el que se ubica la empresa es (1) inicial ya que se encuentran indicios que la empresa ha realizado capacitaciones a los usuarios de las TI, pero no se ha realizado un plan concreto de capacitación, tampoco se ha tomado en cuenta las actualizaciones que pueden sufrir las TI, que esto provoca confusión sobre el uso de las mismas por parte de los usuarios. No se han establecido puntos críticos sobre la necesidad de entrenamiento y educación.

DS8 Administrar la mesa de servicios y los incidentes. Según la entrevista informal que se realizo, la empresa Santa Martha cuenta con una mesa de servicio, donde se provee información necesaria con respecto a las TI del negocio, pero dicha mesa no proporcional la suficiente información sobre acontecimientos o incidentes que puedan ocurrir a los usuarios de las TI. En la mesa de servicio se puede establecer información de requerimientos o solicitudes de información sobre las TI, pero como no hay políticas de actualización con respecto a las tecnología o planes de seguimiento, la mesa no puede proporcionar suficiente información a los usuarios, limitando al negocio y a sus usuarios con respecto a la solución de problemas o requerimientos de información con respecto a las TI. Dentro del sistema de información se puede observar que la mesa de servicio si recibe todos los informes que realiza el encargado sobre los incidentes o actividades que el sistema sufre directa e indirectamente, pero el proceso de solución es limitado, ya que no se realiza un seguimiento y las respuestas ante los incidentes no se basan en una metodología para tratarlos, simplemente registran, reportan y tratan de solucionar limitadamente. Este proceso se ubica en el nivel (1) de madurez inicial, ya que en la entrevista informal reconocen que existe la necesidad de actualizar los procesos que ocurren en la mesa de servicio, estar más al tanto de lo que ocurre con respecto a las TI, y mantener un seguimiento a dichos reportes o incidentes para que puedan dar seguimiento y esto ayude a la toma de decisión.

DS9 Administrar la configuración. De acuerdo a la entrevista informal y la visita de campo, se estableció que la empresa y sobretodo el área informática lleva a cabo este proceso, y se generan reportes o documentos sobre las actividades que se realizan con respecto a las configuraciones de software y hardware de las TI. Se sigue el plan de mantenimiento estipulado para el sistema de información. Las limitantes en este proceso son la actualización de los métodos de mantenimiento, además de la falta de capacitación que limita a los usuarios de las TI del negocio conocer la configuración optima para una eficiencia necesaria por parte de las tecnologías. El nivel de madurez para este proceso es el definido (3) ya que se realizan seguimientos de las configuraciones que se realizan a las TI del negocio, pero esto depende meramente de la pericia del individuo o sus conocimientos, está muy limitado ya que no se realizan capacitaciones para mantener actualizado al personal, a nivel administrativo ya que se realizan configuraciones al sistema ocupando en su mayoría metodología propia o del conocimiento del usuario no se puede determinar si las TI del negocio están en niveles óptimos o que su uso de acuerdo a la configuración que se establece pueda generar a la empresa el nivel de rentabilidad necesario.

DS10 Administración de problemas. La entrevista informal realizada hacia la administración de la empresa Santa Martha arrojo que actualmente se registran los problemas, pero las medidas a tomar no re rigen de ninguna política ni una metodología que conlleve a resolverlos o tratarlos. El área encargada de registrar los problemas presentados en la empresa y sobre todo con las TI del negocio, genera un reporte dirigido a la administración, pero no se analizan posibles soluciones o recomendaciones lo que carga al área administrativa. No se realiza un catalogo de los problemas encontrados y tampoco un historial del nivel de incidencia y ocurrencia de dichos problemas, lo que en cambio sucede es que registran, informan y almacenan dichos problemas, tomando acciones en el momento de ocurrir, sin hacer un previo análisis con respecto si antes ocurrió lo mismo y qué medidas se tomaron, es decir que la empresa soluciona problemas que puedan haberse repetido con distintos métodos de solución. Estos problemas que suceden no son documentados adecuadamente, lo que ocasiona que los planes preventivos sobre algunas vulnerabilidades de la empresa donde puedan atacar los problemas nunca estén bien definidos, o que no se tengan actividades que puedan contrarrestarlos al momento de presentarse, se desconoce si el problema una vez solucionado está cerrado parcial o totalmente y qué medidas se pueden tomar. El nivel de madurez para este proceso ubica a la empresa en (1) inicial, si bien la empresa registra los problemas y toma las medidas necesarias en su momento, no se puede garantizar que este no se presente de nuevo, así afectando de forma directa la productividad del negocio y de las TI correspondientes, el servicio que se brinda por medio de las tecnologías nunca se encontrara seguro, siempre estará vulnerable por qué no se toman medidas preventivas ni análisis correspondientes para tratar problemas que pudieron afectarla las tecnología en el pasado. La empresa al no llevar un catalogo de problemas, ni un historial de incidencia nunca podrá definir una metodología para tratar problemas y cerrarlos, cargando así el área administrativa y generando costos.

DS11 Administración de datos. La administración de datos llevada en librería Santa Martha según la entrevista informal y la visita de campo, arrojo que se está cumpliendo con lo establecido en los manuales y requerimientos del sistema, el personal a cargo de realizar el manejo, almacenamiento y respaldo de la información cumple con las políticas establecidas de la empresa y el sistema, hay un uso adecuado de los recursos de las TI para realizar la administración de datos correspondiente. Las políticas sobre la eliminación y manejo de los datos están implantadas y se cumplen adecuadamente, los reportes se generan y se documentan así como el almacenamiento de los mismos. El encargado reporta todo lo sucedido con el manejo y almacenamiento de datos, así como los niveles de disponibilidad que presenta el hardware para el manejo de datos y la capacidad de almacenamiento. Para el respaldo y restauración de datos la empresa y el sistema cuentan con el plan de backup para actividad que lo requiera. En él están bien definidos todas las actividades, tareas y controles que se deben de realizar para el manejo y restauración de los datos que afecta de manera directa o indirecta las TI del negocio. El nivel de madurez para este proceso es el optimizado (5) ya que la empresa conoce a totalidad la metodología para el manejo de datos, el personal cumple con los establecido las políticas y normas por las cuales se rige este proceso, y además de contar con el respaldo de un plan de manejo de la información y datos, lo que ayuda que los datos que procesan y almacenan las TI del negocio transcurran normar y optima por la vías correspondientes, además que las tecnologías para estos están siendo usada de manera correcta.

DS12 Administración del ambiente físico. Según la visita de campo y la entrevista informal realizada, la empresa cuenta con las instalaciones adecuadas para mantener un ambiente necesario y acorde para las TI del negocio. El personal realiza todo lo estipulado en las políticas de seguridad con respecto al ambiente físico para salvaguardar las TI del negocio. Cabe destacar que las instalaciones cumplen con lo establecido para lograr el ambiente requerido para las TI del negocio pero la seguridad de las instalaciones principales no se cumplen con lo estipulado en el plan de seguridad, el acceso a la mismas no está debidamente restringido y el personal autorizado y también el resto pueden accesar de forma fácil a las instalaciones. Los planes de contingencia y recuperación ante fallos sustentan y mantienen un ambiente adecuado y estable para las TI del negocio, ya que proporcionan seguridad ante cualquier suceso que pueda ocurrir y afecte de manera directa al ambiente físico de trabajo. De acuerdo al análisis que se realizo se establece que este proceso se encuentra en el nivel de madurez administrado (4) ya que la empresa tiene conocimiento suficiente para mantener un ambiente físico controlado y que pueda funcionar ante cualquier ocurrencia o actividad natural económica etc., que este estipulada dentro de los planes con que cuenta el negocio y las TI. A se ubica en este nivel porque a pesar de cumplir con las políticas no se cumple la seguridad de las instalaciones donde reside el sistema de información exponiéndolo demasiado ante cualquier amenaza, a pesar de esto se mantiene un ambiente físico ordenado garantizando que los recursos de las TI se utilicen y mantengan de manera optima.

DS13 Administración de operaciones.

En la empresa según la entrevista informal se conoce todas las operaciones necesarias para el manejo uso e implantación de cualquier TI según lo estipulado en los planes con que cuenta las TI de la empresa. Se rigen por las políticas establecidas y por el catalogo de operaciones que existe en la empresa. El personal a cargo de velar por el cumplimiento de las mismas reporta de manera explícita todo lo que ocurre con respecto a las operaciones que afecta de manera directa o indirecta a las TI del negocio.

El grado de madurez para este proceso es (4) administrado ya que la empresa conoce a fondo los procesos que se deben de cumplir para mantener un nivel optimo dentro de la empresa y que el uso de las TI se lleven a cabo según lo estipulado y con las correspondientes operaciones de cada una de ellas.

IV: MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de ti

Los datos fueron obtenidos durante la visita de campo realizada a la empresa, posteriormente se realizó una comparación del desempeño contra las metas de la Librería. El proceso para monitorear y la evaluar el desempeño de TI se localiza en el nivel de madurez 1 (uno-inicial) ya que la gerencia reconoce la necesidad de establecer políticas de monitoreo para verificar el correcto funcionamiento de las Tecnologías de la Información para el cumplimiento de las metas del negocio. A pesar de esto no se identificaron procesos precisos para la recolección de estos datos. El monitoreo por lo general se implanta de forma reactiva ante algún incidente negativo, sin embargo mientras no hayan ocurrido eventos negativos dentro de la organización todo el monitoreo es evitado ya que la gerencia considera que representa un gasto extra que causaría un desbalance en las cuentas. También se contempla evaluar la capacidad de aplicar medidas correctivas basadas en el monitoreo del desempeño y los reportes del sistema. En el proceso de monitorear y evaluar el desempeño de las Tecnologías de la Información se halla en el grado de madurez 2 (repetible pero intuitivo) ya que se han identificado mediciones básicas a ser monitoreadas pero solo en áreas especificas de la organización. Es necesario que la a gerencia defina un marco de trabajo para medir el desempeño y que este marco sea intuitivo para todos en la empresa.

ME2 Monitorear y evaluar el control interno

Este proceso incluye monitoreo y el reporte de excepciones de control interno, autoevaluaciones y otras revisiones hechas por terceros. Se enfoca en el monitoreo de los procesos de control interno. Luego de revisar los datos obtenidos de la entrevista al gerente general y de la visita de campo monitoreamos la eficiencia de los control interno, verificamos que los procesos de control interno existen pero no siguen un plan definido y no están implementados procedimientos para capacitar al personal en el uso de herramientas de control interno. La organización cuenta con herramientas de control interno pero su uso está limitado a ciertos usuarios con altos rango dentro de la organización. El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez 3 (definido) porque la gerencia apoya los procedimientos de monitoreo de control interno, además han desarrollado políticas de control interno herramientas, aunque no se integradas en todos los procesos. El personal de la empresa no tiene conciencia sobre la seguridad operativa.

ME3 Garantizar el cumplimiento con requerimientos externos

Este proceso incluye identificación de requerimientos de cumplimiento y asegurar el seguimiento de los mismos así como la identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento. El sistema en uso cumple con varias medidas establecidas por la DGI en cuanto a la facturación y aplicación de los impuestos correspondientes en los productos. El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez 3 (definido) pues en la librería se han desarrollado, documentado y comunicado políticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo. Existen contratos para minimizar los riesgos asociados con las obligaciones contractuales de los empleados, pero están ausentes en la contratación de proveedores.

ME4 Proporcionar gobierno de ti

Durante este proceso se definen estructuras, procesos, liderazgo, roles y responsabilidades que garanticen que las inversiones de TI estén alineadas con los objetivos del negocio. Además implica definir, establecer y alinear el marco de gobierno de TI con una visión de control. Luego de obtener los datos de la visita de campo se trabajó con el consejo directivo de la empresa para definir el nivel de riesgo de TI aceptable para poder determinar que el riesgo actual de las TI es aceptable. Luego se realizo una medición del desempeño. Además se realizó una revisión independiente para garantizar la conformidad de TI con la legislación relevante así como las políticas y procedimientos existentes dentro de la empresa. El proceso para proporcionar un gobierno de TI se localiza en el nivel de madurez 1 (inicial) ya que la gerencia de la empresa reconoce que existe un problema debido a la falta de TI y que este debe ser resuelto. Solamente existe una comunicación esporádica e inconsistente sobre los temas de TI y sus soluciones. La gerencia solo responde a los problemas que consideran “tangibles” pero no analizan la necesidad de prevenirlos.

Capítulo II ANALISIS DE RESULTADOS

INFORME EJECUTIVO

INFORME TÉCNICO

OBJETIVOS PROPUESTOS DE LA EVALUACIÓN Objetivo general:

 Realizar una Auditoría Informática en La Librería Santa Martha con el fin de Identificar los niveles de madurez de los diferentes procesos de gestión TIC´s y proponer medidas para mejorar los mismos así como definir los lineamientos para promover la implementación de un modelo de seguridad en toda la organización y determinar la calidad de los procedimientos efectuados en las actividades diarias de la empresa.

Objetivos específicos:

 Evaluar las instalaciones de cómputo de la librería Santa Martha.  Evaluar la estructura organizacional de la empresa.  Identificar y evaluar los equipos de cómputo.  Identificar las medidas y políticas de seguridad existentes.  Determinar el nivel de madurez de los procesos de gestión utilizando COBIT.  Verificar el cumplimiento de las medidas de seguridad.  Elaborar un informe técnico y ejecutivo sobre la organización.

DESARROLLO DE LA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC EN LIBRERÍA SANTA MARTHA

DOMINIO: PLANEAR Y ORGANIZAR. PO1: DEFINIR UN PLAN ESTRATÉGICO DE TI NIVEL DE MADUREZ ACTUAL: UNO

Se conoce la necesidad de una planeación estratégica de TI y la planeación de TI se realiza según se necesite como respuesta a un requerimiento de negocio específico. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia de TI.

RECOMENDADO: DOS

Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes se reconocen de forma intuitiva.

La importancia de desarrollar un plan estratégico de TI, es tener una guía clara y robusta de lo que se debe hacer para llegar a las metas del negocio. Pero el plan estratégico no debe desarrollarse y almacenarse, debe ser un medio de consulta para el personal de la empresa. Si la empresa no cuenta con un plan estratégico de TI corre el riesgo de adquirir tecnologías de información que no contemplen las necesidades de la empresa

PO2: DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN

NIVEL DE MADUREZ ACTUAL: TRES

Se protege de manera física la información, mediante controles de accesos a áreas de almacenamiento de la información y lógica de control como son contraseñas y logins y preventivas de intrusiones al sistema reducidas a un riesgo mínimo, pero no se cuenta con una clasificación para la totalidad de la información, ni un método de manejo o clasificación de información según su peso e importancia para la organización. Los datos no presentan ningún tipo de cifrado, tanto al momento de transferir la información como en su almacenamiento, adicional al brindado por los manejadores de BD.

RECOMENDADO: CUATRO

Se debe dar soporte completo al desarrollo por método de métodos y técnicas formales.

La importancia de definir la arquitectura de información es tener una arquitectura a medida; es decir que la arquitectura satisfaga los requerimientos empresariales y ayude a alcanzar las metas del negocio. El riesgo de no contar con una arquitectura de información aplicada a toda la empresa es tener errores de entendimiento e incompatibilidad al momento de compartir la información.

PO3: DETERMINAR LA DIRECCIÓN TECNOLÓGICA

NIVEL DE MADUREZ ACTUAL: DOS

La infraestructura tecnológica actual no presenta diseños para una futura ampliación o empleo de plan estratégico y táctico de TI, además de carecer de estos, no se contempla surgimiento de necesidades futuras por exigencias del mercado y la empresa.

RECOMENDADO: TRES

Planear la infraestructura tecnológica basada en los requerimientos de la empresa. Implementar técnicas y estándares comunes que sirvan como guía para el personal. Es importante que la empresa cuente con técnicas y estándares comunes que sirvan como guía para el personal porque este proceso obliga al personal a tener mayor responsabilidad sobre la integridad y seguridad de los datos, además el proceso mejora la efectividad y el control de la información que se comparte en las aplicaciones usadas en la empresa. Los proveedores clave se deben seleccionar con base en su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección de la organización.

PO4 Definir los procesos, organización y relaciones de TI

NIVEL DE MADUREZ ACTUAL: TRES

La empresa tiene claras sus políticas, normas y procedimientos de seguridad, así como los responsables de la administración de amenazas y riesgos, que surgen dentro de la empresa, aunque no la clasificación y cálculo del impacto de los mismos en la institución.

RECOMENDADO: CUATRO

La estructura organizacional de TI debe reflejar de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratégicos del negocio, en lugar de estar alineados con tecnologías aisladas. Se debe administrar las funciones de la organización de TI. Es importante administrar las funciones de la organización de TI porque este proceso garantiza que quienes van a desempeñar las funciones de TI tengan roles y responsabilidades debidamente asignados para que se ejerzan de forma apropiada, además la gerencia puede disponer de una guía para la toma de decisiones tecnológicas.

PO5: ADMINISTRAR LA INVERSIÓN EN TI NIVEL DE MADUREZ ACTUAL: UNO

No existe una administración de inversión para TI, las inversión ocurre cada vez que se requiere de una nueva adquisición, además la empresa cuenta con un marco de trabajo limitado a necesidades básicas de TI como son insumos y consumibles y la administración de costos, beneficios, prioridades solo se registra en términos contables no presupuestados.

RECOMENDADO: DOS

La gerencia necesita un entendimiento implícito de la necesidad de seleccionar y presupuestar. Es importante para la gerencia entender que el manejo de un presupuesto es necesario porque permite usar efectiva y eficientemente los recursos de TI y así obtener beneficios para la empresa. Si no se maneja un presupuesto detallado que contemple los imprevistos en el área de TI se puede correr con el riesgo de no poder solucionarlos. Asignar responsables del presupuesto para TI. Las personas asignadas deben administrar el presupuesto teniendo presente los gastos actuales, los imprevistos y los gastos futuros, además el responsable tiene la obligación de emitir una justificación de sus actividades para la toma de decisiones presupuestales a la gerencia.

PO6: ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA

NIVEL DE MADUREZ ACTUAL: TRES

El ambiente de control y políticas es manejado por RRHH quien intenta establecer cultura de control y uso de TI (valor agregado) y expresa las expectativas y requerimientos de la gerencia, incentivando la inversión de TI y su repercusión en resultados, integridad, facilidad del trabajo y disminución de riesgos.

RECOMENDADO: CUATRO

Se debe establecer un ambiente de control de información positivo y proactivo, así como un juego completo de políticas, procedimientos y estándares. Documentar las aspiraciones y la dirección de la gerencia. La librería cuenta con documentación que contempla simplemente con la misión, porque su visión, políticas, procedimientos y estándares aun no están definidos. Al no documentar se corre el riesgo de que cada persona que trabaja en la empresa entienda a su manera la información, y por ende la siga como crea conveniente. Comunicar las aspiraciones y la dirección de la gerencia Es importante dar a conocer el documento de aspiraciones y dirección de la gerencia por medio de una reunión para todo el personal, el expositor debe aclarar las dudas que se presenten, hasta estar seguro que el personal de la empresa entienda las aspiraciones y la dirección gerencial.

PO7: ADMINISTRAR RECURSOS HUMANOS DE TI

NIVEL DE MADUREZ ACTUAL: CUATRO

Las evaluaciones de desempeño no se realizan periódicamente y solo en circunstancias que la empresa considera que lo amerita, se comparada contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto.

RECOMENDADO: CINCO

Los componentes de la administración de recursos humanos de TI deben ser consistentes con las mejores prácticas de la industria, por ejemplo: compensación, revisiones de desempeño y entrenamiento.

PO8: ADMINISTRAR LA CALIDAD

NIVEL DE MADUREZ ACTUAL: TRES

Aunque sin ninguna metodología establecida, se cuenta con proceso de reconocimiento del problemas, y un tratamiento inmediato, el análisis de soluciones permanentes y estandarización del problema no se encuentra y queda a criterio del gerente de calidad.

RECOMENDADO: CUATRO

Se debe institucionalizar un programa de educación y entrenamiento para educar a los empleados. Se deben hacer encuestas de satisfacción de calidad y construir una base de datos para métricas de calidad.

PO9: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

NIVEL DE MADUREZ ACTUAL: CUATRO

La empresa cuenta con un plan de respaldo y prevención ante fallos. las medidas de mitigación y solución pasan por un proceso establecido que permite, analizar las amenazas a las cuales la empresa está expuesta, y presentar propuestas que los prevenga a un futuro, aunque no se sigue un proceso exhaustivo del monitoreo y evaluación de la solución.

RECOMENDADO: CINCO

Identificar los riesgos de TI. Si no se identifican los riesgos de TI la empresa no tendrá un procedimiento definido que analice los riesgos y defina las características generales de seguridad que regirán para toda la organización. El proceso de evaluación de riesgos proceso estructurado debe implantarse en toda la organización y ser bien administrado. La administración de riesgos debe integrarse en todo el negocio y en las operaciones de TI. La mitigación de riesgos debe hacerse de manera continua.

PO10: ADMINISTRAR PROYECTOS

NIVEL DE MADUREZ ACTUAL: UNO

Existe una carencia de compromiso por parte de la gerencia hacia la propiedad de proyectos y hacia la administración de proyectos. Las decisiones críticas sobre administración de proyectos se realizan sin la intervención de la gerencia usuaria ni del cliente.

RECOMENDADO: DOS

Administrar los proyectos de TI ejecutados. La gerencia debe reconocer la necesidad de usar técnicas de administración de proyectos, y el plan de administración de proyectos debe desarrollarlo un experto en conjunto con la gerencia y los usuarios.

Es importante administrar los proyectos de TI para reducir riesgos de costos inesperados y de cancelación de proyecto, así como para mejorar la comunicación y el involucramiento del negocio y de los usuarios finales y además asegurar la calidad de los entregables de los proyectos.

DOMINIO: ADQUIRIR E IMPLANTAR AI 1: Identificar soluciones administrativas NIVEL DE MADUREZ ACTUAL: UNO

La empresa reconoce la necesidad de definir requerimientos y de identificar soluciones tecnológicas, pero los requerimientos definidos son obsoletos.

RECOMENDADO: DOS

Es imperativo definir los requerimientos de información para desarrollar un estudio de factibilidad actualizado que sirva como guía para que la empresa conozca que puede hacer al momento de querer implementar soluciones automatizadas, sean éstas en software, hardware, servicios y habilidades, de esta forma los altos directivos con la ayuda de este estudio podrán implementar la mejor solución satisfaciendo las necesidades de la empresa. Si no se definen requerimientos de información las soluciones tecnológicas que se escojan no van a satisfacer los requerimientos y no van a ayudar a alcanzar las metas del negocio. Las soluciones tecnológicas disponibles deben encontrarse con la ayuda de un experto que guíe a los encargados del área informática de la empresa a solucionar los problemas existentes.

AI2: Adquirir y mantener software aplicativo

NIVEL DE MADUREZ ACTUAL: DOS La adquisición y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librería Santa Martha. Solo unas pocas personas dentro de la organización cuentan con la capacidad de abordar la seguridad de las aplicaciones y los requerimientos para enfrentar los riesgos en los datos y la arquitectura de la información.

RECOMENDADO: TRES La empresa cuenta actualmente con un software llamado SVIL-SM (Sistema de Venta e Inventario de Librería-Santa Martha) que fue desarrollado por una empresa externa hace 2 años y es ocupado actualmente para:

-

Registrar el inventario

-

Registrar compras a proveedores

-

Registrar ventas

-

Ingreso de pedidos de clientes

Es necesario contar con un plan que detalle los pasos a seguir para el proceso de adquisición y mantenimiento de software aplicativo, el plan debe realizarse en coordinación con el departamento de Contabilidad para que acepte o rechace el presupuesto indicado en el plan por el experto, y con la gerencia para que apruebe o repruebe el plan. Las actividades de mantenimiento se deben planear, programar y coordinar con las distintas áreas de la empresa.

AI3: Adquirir y mantener infraestructura tecnológica

NIVEL DE MADUREZ ACTUAL: DOS

La adquisición y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librería Santa Martha. Es repetible pero intuitivo porque la gerencia no tiene conciencia de la importancia de este proceso, no se planean actualizaciones importantes en el Sistema existente, simplemente hay un mantenimiento correctivo de éste.

RECOMENDADO: TRES

Es importante definir un plan de infraestructura tecnológica con enfoques tecnológicos consistentes considerando las necesidades de las aplicaciones del negocio, que permita tener un correcto seguimiento del desempeño de la infraestructura. Además se debe tener presente que elegir una infraestructura tecnológica adecuada es importante porque ayuda al personal a tener la información que necesita para trabajar en forma más productiva cada día. Se debe planear, programar y coordinar el mantenimiento, para así garantizar un soporte tecnológico continuo para las aplicaciones del negocio.

AI4: facilitar la operación y el uso

NIVEL DE MADUREZ ACTUAL: UNO La empresa reconoce la necesidad de los manuales pero no tiene desarrollada ninguna estrategia al respecto ni ha definido una manera de crearlos. La información de uso del software aplicativo se distribuye en forma irregular al personal de la empresa.

RECOMENDADO: TRES

Actualizar la documentación. Es importante proporcionar al personal la documentación necesaria para garantizar el uso correcto de las aplicaciones y de la infraestructura. Es necesario que la empresa cuente con un procedimiento de actualización porque la documentación debe reflejar los cambios que se realicen en procedimientos, sistema, y TI. Se debe planear y programar tanto el entrenamiento del negocio como de los usuario. Cada departamento de la empresa debe hacer su documentación y posteriormente compartirla con el resto de la organización, además la empresa debe contar con un experto (interno o contratado) para que guíe el proceso de desarrollo de los manuales, y de esta manera se pueda planear y programar un entrenamiento al personal de la empresa con respecto al uso de los recursos de TI.

AI5: Adquirir recursos de ti

NIVEL DE MADUREZ ACTUAL: CERO

No existe un proceso definido de adquisición de recursos de TI. No existe un proceso definido y la gerencia no reconoce que es necesario tener un plan para adquirir recursos de TI.

RECOMENDADO: DOS

Planear la adquisición de recursos de TI Buscar un experto que defina un plan para implementar políticas y procedimientos básicos que ayuden a la adquisición de recursos de TI para la empresa, el plan debe especificar las responsabilidades de los involucrados y monitorear el desempeño de lo adquirido. Es importante planear la adquisición de recursos de TI porque de esta forma la empresa tiene un apoyo en la toma de decisiones en el proceso de adquisición y además la planeación de la adquisición garantiza que la organización disponga de todos los recursos de TI que requiere, de manera eficaz y eficiente. Las políticas y procedimientos se deben integrar con el proceso general de adquisición de la organización del negocio. Se deben implementar procesos de contrato al menos en los proyectos grandes. Si no se planea la adquisición de recursos de TI se corre con el riesgo de adquirir recursos poco eficientes que no cubran con los requerimientos de la empresa.

AI6: Administrar cambios

NIVEL DE MADUREZ ACTUAL: CERO

La gerencia no tiene conciencia de los beneficios de una correcta administración de cambios.

RECOMENDADO: DOS

Administrar los cambios en Librería Santa Martha. La empresa debe buscar un asesor externo que en coordinación con el encargado definan un procedimiento para administrar los cambios. Implementación del cambio, el encargado de implementar el cambio debe efectuar el cambio y documentar la disposición final, esto significa recolectar, analizar, modificar la documentación donde se incluyan todo lo que se ha modificado.

Debe implementarse un proceso de administración de cambio. Es importante administrar de cambios mediante un procedimiento formal de administración y control para evitar que estos ocurran sin autorización. Los cambios deben ser documentados para ser analizados y así la empresa pueda tener un reporte de las tendencias, los patrones encontrados y las relaciones con las que interactúa cada cambio.

AI7: Instalar y acreditar soluciones y cambios

NIVEL DE MADUREZ ACTUAL: TRES

La organización cuenta con una metodología en lo que respecta a la instalación, migración y conversión de datos, sin embargo al implementarse pueden presentar inconsistencias, por lo que necesita revisiones.

RECOMENDADO: CUATRO

Todos los cambios mayores de sistemas deben seguir un enfoque formal Se debe dar entrenamiento al personal que usará la solución implantada, para que la gerencia se asegure de que sus empleados utilizarán el nuevo o modificado sistema correctamente, Debe aplicarse la prueba de stress para los nuevos sistemas Es importante instalar y autorizar las soluciones y cambios para así garantizar que los sistemas usados en la empresa estén en línea y cumplan con las expectativas convenidas y con los resultados requeridos.

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio. ACTUAL: 2 La empresa Santa Martha presento anomalías con respecto a la administración de niveles de servicio, ya que el encargado de supervisar logra realizar su tarea pero la realización del reporte de niveles es muy informal y no logra detallar todos los hallazgos que se encuentran en la empresa. Para este nivel se requiere que los niveles de servicio estén muy administrados, el reporte que se realiza debe de medir la satisfacción y la percepción que el cliente tiene sobre los servicios que brinda las TI al negocio. RECOMENDADO: 4 Se recomienda que este proceso se encuentre en el nivel de madurez (4) administrado, ya que al establecerse en este, la empresa sufrirá grandes cambios, se recomienda que el personal a cargo de los niveles de servicio presente informes donde puedan detallar todos aquellos factores que son importante para la evaluación de los niveles de servicio.

DS2 Administrar los servicios de terceros. ACTUAL: 0 La administración de servicios a terceros que la empresa presento, no cuentan con una metodología para el manejo de los mismo, y al contrario se quiere cumplir con ellos de modo empírico y no analizado y detallado, la información que se registra y se maneja no es la adecuada para realizar alguna toma de decisión, lo que provoca inconsistencias en la realización y puesta en marcha de este proceso. El nivel de madurez para este proceso es (0) inexistente porque la administración no se preocupa de factores relevantes que se deben de cumplir para este proceso, lo que provoca que cualquier procedimiento que se lleva a cabo dentro de este proceso no sea confiable, o no se tiene certeza de que las tareas o actividades que se realizan están de forma correcta y benefician a este proceso. RECOMENDADO: 4 Para este proceso se requiere el nivel de madurez (4) administrado porque se deben de establecer políticas y normas por parte de la administración, para llevar un control de todas las actividades que se realizan por parte de terceros, y que están debidamente definidas y dentro de lo esperado por la empresa, para minimizar costos y riesgos que se presentan actualmente por el manejo deficiente que se lleva a cabo. Se debe de capacitar al personal para registrar toda anomalía o sucesos que surjan en el transcurso de este proceso por parte de los proveedores, ya que con esto se garantiza que la empresa está recibiendo un buen servicio y que todos los productos o servicios que se reciben de terceros cumplen con las normas de calidad estipuladas, sobre todo si se trata de productos que afecten de manera directa o indirecta a las TI del negocio.

DS3 Administrar el desempeño y la capacidad. ACTUAL: 2 La administración del desempeño y la capacidad que se lleva actualmente en la empresa no puede brindar información para la toma de decisión futura, ya que los datos que se registran actualmente no se puede realizar una proyección del uso y eficiencia que presentan las TI del negocio. Se debe de intuir al personal para que realice el labor exhaustivo en la revisión de los datos que presentan las TI del negocio, un registro de todos los acontecimientos que suceden sobre el desempeño ya que actualmente no se puede conocer el estado actual de las TI del negocio, exponiendo a la empresa a perdidas por falta de seguimiento o mantenimiento a las TI de la empresa. Con un de acuerdo registro de los datos del desempeño y capacidad se pueden realizar la planeación de las TI, cuando estas para la empresa representan un gasto por falta de seguimiento o representa un riesgo para la realización de las labores de la empresa afectando su utilidad y ocasionando que el cliente presente un descontento por el servicio que se brinda, afectando de manera directa la calidad de servicio de la empresa.

RECOMENDADO: 4 Se recomienda el nivel (4) administrado porque es necesario que la administración defina una metodología para la administración del desempeño tanto de los servicios de los recursos de TI como del sistema de información, se debe de capacitar al personal para que realicen labores de registro del uso y niveles de desempeño que se recibe por parte de la TI y el sistema, así como asignar un responsable capaz de analizar los datos y generar un reporte que sirva para la toma de decisión y se pueda realizar una proyección del uso que tiene las TI del negocio.

DS4 Garantizar la continuidad del servicio. ACTUAL: 4 Este proceso cumple con requerimientos esperados, al contar con los documentos que garantizan la continuidad del servicio provee a la empresa la seguridad necesaria para el cumplimento de las tareas y así poder estar preparado ante cualquier acontecimiento que pueda restringir el uso de las TI para el negocio. El nivel de madurez que presenta este proceso es el necesario para que la empresa pueda seguir con su funcionalidad normalmente, el personal se rige por los documentos que existen. A pesar de estar en este nivel se recomienda que la empresa revise actualizaciones o mejoras que se pueden presentar para que la empresa se encuentre preparada ante cualquier acontecimiento que pueda afectar las actividades cotidianas del negocio.

DS5 Garantizar la seguridad de los sistemas. ACTUAL: 3 Este es uno de los niveles más importantes que se deben de tomar en cuenta ya que aquí depende que las operaciones y actividades del negocio se lleven a cabo de forma segura. Si bien la empresa cuenta con un plan de seguridad, el nivel de madurez con el que cuenta no es lo suficiente para garantizar que el negocio goce de total seguridad con las vulnerabilidades que puedan surgir. No se realiza un análisis sobre que nuevas vulnerabilidades pueden convertirse en riesgos que afecten de manera directa la continuidad del negocio, los roles de usuario y puntos de acceso se encuentran bien normados y esto genera seguridad al negocio y los recursos de las TI de la empresa. RECOMENDADO: 4 Se recomienda el nivel (4) administrado de madurez, ya que se debe de realizar actualizaciones seguidas, para determinar si el negocio puede presentar en un futuro una vulnerabilidad que pueda convertirse en riesgo, y esto afectar la productividad y la utilidad del negocio.

DS6 Identificar y asignar costos. ACTUAL: 0 Este proceso dentro de la empresa es que más incidencia presenta y afecta de manera directa a la utilidad de la empresa, ya que la empresa Santa Martha no se rige de ningún presupuesto para costos de las TI del negocio. No se registran adecuadamente todo los gastos y costos que incurren por parte de las tecnologías, y el personal que hace uso de ellas, no hace uso debido de las mismas ya que no se definen limites de costos que puedan generar, no se rigen por los niveles de eficiencia de cada tecnología que se usa, con sus costos ya establecidos. El nivel de madurez que presenta esta actividad es inexistente ya que no se lleva un control adecuado de los costos que incurren en el uso de las TI, y no se realizan estándares necesarios para determinar límites de costos en cada TI que el usuario debe de conocer para garantizar un uso adecuado del mismo. RECOMENDADO: 5 Se recomienda el nivel de madurez (5) optimizado ya que el nivel de incidencia de este proceso para el negocio es esencial para asegurar que la rentabilidad y utilidad de la empresa esta salvaguarda. Se debe de garantizar los costos que incurren, para realizar proyecciones adecuadas para el uso de los recursos tecnológicos, y lo que el personal debe de cumplir para el uso de los mismos.

DS7 Educar y entrenar a los usuarios. ACTUAL: 1 La capacitación que realizo la empresa hacia los usuarios de las TI se efectuó al principio y no abarca todas las actualizaciones que puedan surgir en el transcurso del tiempo. No se han realizado evaluaciones al personal si es necesario entrenar o realizar una actualización en la capacitación que se realizo, esto puede influir bastante en la productividad de la TI ya que los usuarios no cumplen con el suficiente nivel que se requiere para el uso de las mismas. Este proceso presenta el nivel de inicial de madurez, ya que la empresa reconoce que tiene un problema con respecto a capacitación y entrenamiento, esto puede generar costos excesivos por parte de las TI del negocio por un uso inadecuado de los usuarios.

RECOMENDADO: 3 Se recomienda el nivel de madurez (3) definido para este proceso ya que la administración debe de realizar un plan de capacitación que abarque las actividades que se deben de tomar en cuenta al momento de realizar una actualización de las TI del negocio. El personal siempre debe de ser capaz de usar las tecnologías adecuadamente brindando niveles de desempeño altos, y cumpliendo con los estándares de eficiencia establecidos para las TI.

DS8 Administrar la mesa de servicios y los incidentes. ACTUAL: 1 La mesa de servicio con que cuenta librería Santa Martha cumple con la funcionalidad para cual fue establecida pero no totalmente, solo se registran los acontecimientos que suceden y se solucionan de manera inadecuada, ya que la mesa no se basa en una metodología o políticas establecidas para tratar dichos incidentes. Cabe destacar que como carece de actualizaciones sobre métodos en las TI, no se puede proporcionar la debida información para solucionar los problemas que puedas presenta. No se realiza un historial de los incidentes que se reportan, no se realiza ningún catalogo de incidentes, esto para tratar acontecimientos que se puedan presentar en el futuro. El nivel de madurez actual no soporta la toma de decisión que se pueda realizar para la solución de los problemas que puedan surgir en la empresa. RECOMENDADO: 4 Se recomienda el nivel de madurez (4) administrado, ya que es necesario que la empresa cuente con metodología para tratar los incidentes que puedan afectar las TI del negocio, tiene que tener en cuenta los beneficios que brinda tener claro políticas y normas para tratar cualquier altercado que afecte a la empresa y sus recursos. La mesa de servicios e incidentes debe estar compuesto por un personal que pueda dar solución y soporte a dichos incidentes que ocurran, debe de realizar los catálogos e historiales para tener un registros de los acontecimientos que suceden y en un futuro ocuparlos para soluciones pertinentes.

DS9 Administrar la configuración. ACTUAL: 3 La administración de la configuración depende del conocimiento que los usuarios tienen sobre las TI, la empresa cuenta con los planes de configuración y mantenimiento respectivo para que el personal pueda llevar a cabo todas las actividades y tareas que le corresponden a este proceso. La empresa al no actualizar al personal por medio de las capacitaciones que competen sobre las TI del negocio, limita a configurar los recursos, ocasionando que no se garantice el nivel óptimo de configuración para los recursos tecnológicos. Cuentan con el nivel (3) definido, ya que la configuración está restringida sobre aspectos tecnológicos, se encuentra muy cerrada hacia próximas configuraciones que se pueden dar en el futuro. RECOMENDADO: 4 Se recomienda que este proceso se localice en el nivel de madurez (4) definido, ya que se requiere más monitoreo para este proceso, se debe de configurar optimo, para lograr con los objetivos de la empresa, se requiere actualizaciones en las capacitaciones del personal para conocer las configuraciones optimas para tener niveles de eficiencia altos en la empresa.

DS10 Administración de problemas.

ACTUAL: 1 El nivel de madurez para este proceso ubica a la empresa en (1) inicial, si bien la empresa registra los problemas y toma las medidas necesarias en su momento, no se puede garantizar que este no se presente de nuevo, así afectando de forma directa la productividad del negocio y de las TI correspondientes. RECOMENDADO: 4 Se debe de asignar el nivel (4) administrado debido a que es esencial que la empresa pueda cumplir y administrar todos los problemas que surgen, esto debe de ir junto con la mesa de servicios ya que esta es la que recibe todas las anomalías de la empresa, y auqui se definen las metodologías que se deben de hacer para tratar los problemas que se puedan encontrar.

DS11 Administración de datos. ACTUAL: 5 El nivel de madurez para este proceso es el optimizado (5) ya que la empresa conoce a totalidad la metodología para el manejo de datos, el personal cumple con los establecido las políticas y normas por las cuales se rige este proceso, y además de contar con el respaldo de un plan de manejo de la información y datos, lo que ayuda que los datos que procesan y almacenan las TI del negocio transcurran normar y optima por la vías correspondientes, además que las tecnologías para estos están siendo usada de manera correcta. DS12 Administración del ambiente físico. ACTUAL: 4 el nivel de madurez administrado (4) ya que la empresa tiene conocimiento suficiente para mantener un ambiente físico controlado y que pueda funcionar ante cualquier ocurrencia o actividad natural económica etc., que este estipulada dentro de los planes con que cuenta el negocio y las TI. A se ubica en este nivel porque a pesar de cumplir con las políticas no se cumple la seguridad de las instalaciones donde reside el sistema de información exponiéndolo demasiado ante cualquier amenaza, a pesar de esto se mantiene un ambiente físico ordenado garantizando que los recursos de las TI se utilicen y mantengan de manera optima.

DS13 Administración de operaciones.

ACTUAL: 4 El grado de madurez para este proceso es (4) administrado ya que la empresa conoce a fondo los procesos que se deben de cumplir para mantener un nivel optimo dentro de la empresa y que el uso de las TI se lleven a cabo según lo estipulado y con las correspondientes operaciones de cada una de ellas.

DOMINIO: MONITOREAR Y EVALUAR.

ME1: Monitorear y evaluar el desempeño de ti

NIVEL DE MADUREZ ACTUAL: DOS

Se han identificado mediciones básicas a ser monitoreadas pero solo en áreas especificas de la organización. El monitoreo por lo general se implanta de forma reactiva ante algún incidente negativo.

RECOMENDADO: TRES Se deben implantar programas educacionales y de entrenamiento para el monitoreo de las TI. Es importante que la empresa cuente con un plan de monitoreo y evaluación del desempeño de TI que garantice que los procesos que realiza cada departamento de la empresa se ejecuten correctamente y que cumplan con las políticas establecidas. Deben definirse las mediciones del desempeño específicas de TI, así como mediciones estratégicas, de satisfacción del cliente y niveles de servicio. El no tener un plan de de monitoreo y evaluación del desempeño de TI implica que el experto no pueda monitorear el tiempo real del desempeño de sus sistemas y esto le ocasione problemas reales y afecten el tiempo y la productividad de su empresa.

ME2: Monitorear y evaluar el control interno

NIVEL DE MADUREZ ACTUAL: TRES

La gerencia apoya los procedimientos de monitoreo de control interno, además han desarrollado políticas de control interno herramientas, aunque no se integradas en todos los procesos. El personal de la empresa no tiene conciencia sobre la seguridad operativa debido a la falta de capacitación.

RECOMENDADO: CUATRO

La gerencia debe implantar un marco de trabajo para el monitoreo del control interno de TI. Se debe establecer una base de datos de métricas para información histórica sobre el monitoreo del control interno Es importante que la empresa cuente con un plan de monitoreo y evaluación del control interno debido a que esto proporciona seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables en la empresa.

Si no se monitorea y evalúa el control interno de la empresa no se podrá proporcionar seguridad razonable en el cumplimiento de los objetivos de la empresa a partir de la efectividad en las operaciones y la confiabilidad de la información y el cumplimiento de las leyes.

ME3: Garantizar el cumplimiento regulatorio

NIVEL DE MADUREZ ACTUAL: TRES

En la librería se han desarrollado, documentado y comunicado políticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo.

RECOMENDADO: CUATRO Debe crearse un esquema formal de entrenamiento que asegura que todo el equipo esté consciente de sus obligaciones de cumplimiento. Debe implantarse un mecanismo para monitorear el no cumplimiento de los requisitos externos, reforzar las prácticas internas e implementar acciones correctivas. Es importante que la empresa cuente con un plan que garantizase el cumplimiento regulatorio porque esto proporciona un aseguramiento positivo con respecto al cumplimiento de las leyes y regulaciones de TI. Si no se garantiza el cumplimiento regulatorio la empresa no podrá realizar nuevos proyectos debido a que no cumplirá con los requerimientos en el caso en el que le ejecuten una auditoria.

ME4: Proporcionar gobierno de TI

NIVEL DE MADUREZ ACTUAL: UNO El proceso para proporcionar un gobierno de TI se localiza en el nivel de madurez 1 (inicial) ya que la gerencia de la empresa reconoce que existe un problema debido a la falta de TI debe ser resuelto. Solamente existe una comunicación esporádica e inconsistente sobre los temas de TI y sus soluciones.

RECOMENDADO: TRES

Establecer un gobierno de TI. Los procedimientos deben estandarizarse y documentarse. La gerencia debe comunicar los procedimientos estandarizados y el entrenamiento está establecido. La empresa debe buscar un experto del gobierno de TI para que guíe el proceso de establecer un gobierno de TI en la empresa, el experto debe establecer un gobierno de TI sólido para que ayude a la organización a alcanzar sus metas de negocio. Es importante que la empresa cuente con un gobierno de TI pues de ese modo garantiza que las inversiones empresariales en TI estén alineadas y de acuerdo con las estrategias y objetivos empresariales. Además el gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva por ello la gerencia necesita dirigir sus TI para obtener ventajas óptimas, manejar los riesgos relacionados con las TI y medir el valor proporcionado por ellas. Si en la empresa no existe gobierno de TI la gerencia no podrá apoyar sus objetivos de negocio e incluso no podrá plantear nuevos objetivos y servicios que vayan acorde al uso de las tecnologías de información.

CAPITULO III CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

La herramienta COBIT nos permitió definir el nivel de madurez de los procesos de gestión de TI. Evaluamos el nivel de madurez actual y el nivel de madurez recomendado de los procesos en Librería Santa Martha para emitir recomendaciones que deberán ser tomadas en cuenta por el nivel gerencial según se especifique a lo largo del proceso.

Como la empresa no cuenta con personal calificado que se encargue de los procesos de gestión de TI, parte del personal realiza algunas funciones de TI por esta razón los procesos de gestión de TI son iniciales y desorganizados. Tales procesos dependen de un número limitado de personas dentro de la empresa.

RECOMENDACIONES

Se recomienda a la empresa aplicar las sugerencias emitidas. El nivel administrativo de la empresa debe tomar en cuenta las recomendaciones del informe técnico mostradas en el Capítulo II.

Establecer un gobierno de TI. Los procedimientos deben estandarizarse y documentarse. La gerencia debe comunicar los procedimientos estandarizados y el entrenamiento está establecido. La empresa debe buscar un experto del gobierno de TI para que guíe el proceso de establecer un gobierno de TI en la empresa, el experto debe establecer un gobierno de TI sólido para que ayude a la organización a alcanzar sus metas de negocio.

Se recomienda realizar auditorías informáticas periódicamente. El nivel gerencial debe autorizar la realización periódica de auditorías informáticas porque sirven para llevar un registro de la madurez de los procesos de gestión de TI de la empresa y así cumplir con los objetivos del negocio.

Cada departamento de la empresa debe hacer su documentación y posteriormente compartirla con el resto de la organización

ANEXO Nº 1 CARACTERIZACIÓN DE LA EMPRESA

Nombre

Librería Santa Martha.

Introducción Librería Santa Martha es una empresa dedicada a la venta y distribución de productos para los artículos de oficina y librería entre otros. La empresa cuenta con un sencillo sistema de facturación, ventas e inventario, para el manejo, control y verificación de los procedimientos normalmente realizados en el quehacer diario de la empresa. Ubicación La empresa se encuentra ubicada en el barrio Loma Linda, del mercado de san judas 1km al sur. Managua, Nicaragua. Fecha de iniciación de operaciones de la empresa: La empresa fue fundada como un negocio familiar en el mes de Mayo del año 2004. Fecha de iniciación de operaciones del centro de cómputo:

El sistema de cómputo fue implementado en Agosto del 2007 Giro del negocio:

La empresa se dedica a la venta al por menor y al detalle de artículos escolares y de oficina

Objetivos de la empresa: -Obtener el máximo beneficio económico de sus actividades. -Tener un orden administrativo que permita ejecutar funciones de manera óptima.

Estructura legal: La empresa es una Sociedad Anónima, controlada principalmente por los fundadores.

Objetivos del centro de cómputo: Concentrar el procesamiento de datos e información de una manera sistematizada y automática.

ORGANIGRAMA DE LA EMPRESA.

La librería Santa Martha actualmente consta con la siguiente organización:

Gerente General

RRHH

Gerente Contabilidad

Jefe de Bodega

Ayudante

Administrador Informatico Soporte Tecnico

Gerente de Ventas

Supervisor

Cajeros

Vendedores

INVENTARIO INVENTARIO DE HARDWARE El inventario al que tuvimos acceso fue el siguiente: Estaciones de trabajo Procesador Sistema operativo Memoria Almacenamiento Controladora de red Alimentación Tarjeta de video Factor de forma Monitor Mouse y teclado Puerto USB Unidad de CD-ROM/DVD-ROM Tarjeta Madre

Intel Core i3 de 2.6 GH Windows 7 de 64 bit DDR3 de 2 GB SATA de 3,5" (7200 RPM) 250 GB GIGABIT EXPRESS INTELLINET Fuente de alimentación con un solo cable Integrada Torre LCD de 15" AOC Genius Standard PS2 Ninguno Samsung ASROCK H55M-LE

Impresora TM U950P Epson Tipo de impresora Dimensiones Peso Tamaño máx. soporte (estándar) Velocidad de impresión Tipo de soporte

Impresora de recibos - B/W - matriz de puntos (Ancho x Profundidad x Altura) 25.1 cm x 29.8 cm x 19.4 cm 5.6 kg Carta, rollo 7 ccm Hasta 311 caracteres/s - normal Papel normal, formas continuas

Bodega Estaciones de trabajo Procesador Sistema operativo Memoria Almacenamiento Controladora de red Alimentación Tarjeta de video Factor de forma Monitor Mouse y teclado Puerto USB Unidad de CD-ROM/DVD-ROM Tarjeta Madre

Intel Core i3 de 2.4 GH Windows 7 de 32 bit DDR3 de 2 GB SATA de 3,5" (7200 RPM) 250 GB GIGABIT EXPRESS INTELLINET Fuente de alimentación con un solo cable Integrada Torre LCD de 15" AOC Genius Standard PS2 ninguno Samsung ASROCK H55M-LE

Servidor Procesador Memoria Almacenamiento Alimentación

Tarjeta de video Caché Tarjetas de interfaz de red

Intel Core i3 de 2.6 GH DDR3 de 4 GB SATA de 3,5" (7200 RPM) 5 TB Configuración de 8 discos duros: • Una fuente de alimentación no redundante conectable en caliente de 1.100 W Memoria Matrox G200eW con 16 MB 8 MB Adaptador Intel Gigabit ET de puerto doble, NIC Gigabit Ethernet, PCIe x4

INVENTARIO DE SOFTWARE

Las estaciones de trabajo ocupan:  Sistema Operativo: - Microsoft Windows XP Professional SP3  -

Programas Utilitarios: Adobe Reader 9.0 Avast Antivirus Microsoft Office 2007

Servidores:  Sistema Operativo: - Microsoft Windows Server 2008  Aplicación Usada - SVIL -SM

El sistema SVIL-SM (Sistema de Venta e Inventario de Librería-Santa Martha) fue desarrollado por una empresa externa hace 2 años y es ocupado actualmente para: - Registrar el inventario - Registrar compras a proveedores - Registrar ventas - Ingreso de pedidos de clientes

RED

Estructura lógica de la red WAN de librería Santa Martha

ANEXO Nº 2 EVALUACION REALIZADA DURANTE LA VISITA DE CAMPO

BACKUP DE DATOS EN EL SERVIDOR

Cuando se hace un cambio en la configuración del servidor, se guardan copias de las configuraciones anterior y posterior al cambio, pero no se documentan los cambios que se realizan ni la fecha de estas modificaciones. No hay ningún procedimiento formal para la realización ni la recuperación de los backups. Además no se realizan chequeos para comprobar que el funcionamiento sea el correcto.

Se realiza un respaldo incremental. Para recuperar un sistema o el disco completo, se debe partir del último respaldo completo y cargar en secuencia cada uno de los respaldos incrementales. En general se suele hacer un respaldo completo una vez por semana y par cada día de la semana se hace el incremental.

No hay un responsable designado para realizar los backups, aunque generalmente los hace una sola persona, el responsable del área o administrador del centro de cómputos. Tampoco hay ninguna política en cuanto a asignar un responsable para la restauración de los datos de los backups, esta tarea también la realiza el administrador.

EVALUACIÓN DE SEGURIDAD LÓGICA IDENTIFICACIÓN DE USUARIOS Cuando un usuario nuevo ingresa a la empresa, el área de Recursos Humanos toma sus datos y le hace el pedido al Departamento de Sistemas, donde se genera el alta del usuario al sistema. 1-Borrar cuenta de usuario Las cuentas de los usuarios no se eliminan del sistema, se deshabilitan actualizándoles la fecha de anulación de dicha cuenta. De esta forma los datos de las cuentas dadas de baja quedan almacenados en el disco y no es posible repetir los ID´s de usuarios anteriores para nuevos empleados. No hay ningún procedimiento formal para dar de baja un usuario del sistema. El departamento de Recursos Humanos informa al sector de Cómputos, y allí se procede a dar de baja el empleado una vez que se ha desvinculado de la empresa. 2-Mantenimiento No se lleva a cabo ninguna revisión periódica ni control sobre el buen funcionamiento de las cuentas de los usuarios, ni sobre sus permisos 3-Permisos El control de acceso en la empresa no se basa en los perfiles de los usuarios y la asignación o denegación de permisos a los mismos, sino más bien en perfiles de grupos. Estos grupos se generan en concordancia con las áreas de la empresa y es el Departamento de Recursos Humanos el que asigna cada usuario a un grupo determinado. Luego, los usuarios son dados de alta en el sistema, y los administradores del sistema son los encargados de la asignación de permisos. El usuario root se logea en los servidores durante las 24 horas del día, debido a que éstos equipos no se apagan en ningún momento.

4-Inactividad Si el usuario permanece un período de tiempo logeado sin actividad, el sistema no ejecuta ninguna acción.

AUTENTICACIÓN En la pantalla de login de los sistemas se muestran los siguientes datos: -Nombre de usuario (a completar por el usuario) -Password (a completar por el usuario) Dentro de la empresa no se usa ningún tipo de firma digital, ni para mensajes internos ni para los externos ya que las directivas de importancia no son enviadas vía mail. En cuanto a la configuración de las estaciones de trabajo, no hay ningún control de acceso a sus sistemas BIOS, de manera que al momento del encendido de la máquina cualquier persona podría modificar sus opciones de configuración.

PASSWORDS Los cambios en los passwords los hacen los usuarios a través de la pantalla del login, allí hay un botón que muestra la opción para su modificación. Aunque generalmente los passwords no son actualizados por los usuarios, permaneciendo iguales por largos períodos de tiempo, ya que tienen no tienen un plazo de expiración.

EVALUACIÓN DE SEGURIDAD LÓGICA

CORREO De los logs del mail no se calculan estadísticas, no se sacan líneas de base ni se grafican. El administrador solo los lee cuando supone que puede haber algún problema, a pedido de los usuarios por una supuesta falla en el servicio de mail. En el caso que se llene el espacio en disco de alguna cuenta, se envía un mail al root indicando el problema, pero no se emiten alarmas ni se generan logs. No se generan estadísticas sobre qué departamento o usuario de la empresa utiliza más el servicio de mail, o si a algún usurario le llegan más mail que la cantidad promedio, pero en los logs figuran los datos del usuario que sería necesario para realizar dichos cálculos. Existe una herramienta en el servidor de hosting que tiene detalles como los usuarios que están activos, los que están inactivos, cuanto espacio tiene usado cada usuario de mail, cuanto espacio hay libre, entre otros. No tuvimos acceso al nombre de dicha herramienta. ESTADÍSTICAS DE RED No existen datos detallados sobre el consumo de ancho de banda por terminal ni por sector de la empresa, de manera de tener la posibilidad de individualizar cuál de las terminales usa más tráfico de red o en qué parte de la línea el tráfico es más intenso. Solo existen datos indicando la cantidad de bytes entrantes y salientes, pero no se detalla desde dónde se generan, ni con qué aplicación (mail, datos, aplicaciones, mensajes, Internet, etc.). Tampoco existen reportes sobre las aplicaciones utilizadas por cada usuario, ni las prioridades de estas aplicaciones con el fin de discriminar qué cantidad de tráfico genera cada aplicación. Sería útil para ver qué aplicación usa más recursos, y restringir en el caso que sea necesario. No hay datos estadísticos de los intentos de ataques. Cada vez que ocurre uno desde el exterior de la empresa el sistema operativo envía un mail al root advirtiendo de esta situación. No se hace ningún seguimiento de los logs en busca de cambios en las estadísticas como un incremento en el uso de Internet, incremento en los ataques o la modificación en los permisos.

ANEXO Nº 3 CONCEPTO DE LOS CUATRO DOMINIOS DE COBIT

1. PLANEAR Y ORGANIZAR

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada.

2. ADQUIRIR E IMPLANTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

3. ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

4. MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno TI.

ANEXO Nº 4 MARCO DE TRABAJO GENERAL DE COBIT

ANEXO Nº 5

MODELO GENÉRICO DE MADUREZ

MODELO GENÉRICO DE MADUREZ

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. 2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.