Espe 043874
Espe 043874
Espe 043874
Centro de Posgrados
Dedicatoria
A mi Dios, que me acompaña y me bendice con todo lo que hace que mi vida
sea única y plena, con mi familia Mami, Orlando, Joss y Daniel, quienes han sido y
serán los actores más importantes de cada reto superado; con oportunidades que han
sido aprendizaje, con sueños que son motivación, con fortaleza y esperanza para seguir
adelante.
Liceth
El presente trabajo dedico a mi familia que siempre está a mi lado tanto en los
buenos momentos como en los malos, a mi pareja (Karina), a mis padres (Leo y Ana),
motivantes importantes para poder alcanzar este objetivo. Puesto que siempre me están
dando animó para a seguir adelante y esforzarme por un mejor porvenir, sinceramente
infinitas gracias.
Fabricio Fabara
7
Agradecimiento
A Dios, por la dicha de tener a mi familia en cada momento de mi vida, por cada
A Mi Familia, la mejor del mundo, todo se los debo a Dios y a ustedes que, dejando de
lado mis malos momentos hacen tan suyos mis alegrías y desánimos; gracias por cada sacrificio,
por estar a mi lado en cada etapa, en cada reto cumplido; pero también cuando mis fortalezas
fueron flaquezas.
Por eso, gracias a ti Mami que, con tu apoyo y amor incondicional has sabido escucharme
y enseñarme a tomar de manera cauta cada decisión, te agradezco por solucionar cada problema
y darme esa fuerza para no renunciar a seguir adelante. A mi Papá Orlando que, siempre ha sido
nuestro ejemplo, guardián y ese respaldo que nos hace sentir que nunca estaremos solos. A mi
A mis hermanos, me han enseñado a cuidar y a proteger la vida de alguien más que no
es la mía. A Joss quien vela por mi felicidad, mi consejera y mi mejor amiga para siempre. A Daniel
quien, con su manera de ser nos llena de alegría y con su mentalidad e ideas acertadas siempre
A mis abuelitos, ejemplo de amor sincero, con palabras llenas de sabiduría me enseñan a
A mis queridos amigos, Gaby, Mayra, German, Iván, es grato contar con una amistad
sincera y palabras de aliento, a pesar de la distancia sé que están ahí siempre que necesito de un
abrazo, una palabra o simplemente compartir en silencio. A Javier gracias, me has demostrado
tantas veces cómo te importa y cómo crees en mí, quien, con una palabra o solución hace que
A nuestro director, Tcrn. Juan Carlos Polo y miembros de la DTIC quienes, con su apoyo
y experiencia supieron dirigirnos para avanzar y culminar de la mejor manera nuestro proyecto.
Liceth
8
Agradecimiento
vidas profesionales.
Tengo que hacer una mención especial a mi tutor, Tcrn. Juan Carlos Polo; quien
determinación.
Fabricio Fabara
9
ÍNDICE DE CONTENIDO
Certificación................................................................................................................................................... 3
Responsabilidad de autoría .......................................................................................................................... 4
Autorización de publicación ......................................................................................................................... 5
Dedicatoria ..................................................................................................................................................... 6
Agradecimiento.............................................................................................................................................. 7
Agradecimiento.............................................................................................................................................. 8
Resumen ....................................................................................................................................................... 14
Abstract ........................................................................................................................................................ 15
Capítulo I ..................................................................................................................................................... 16
Introducción ............................................................................................................................................... 16
Antecedentes .......................................................................................................................................... 16
Planteamiento del Problema ................................................................................................................. 17
Tema......................................................................................................................................................... 17
Antecedentes .......................................................................................................................................... 17
Problema .................................................................................................................................................. 19
Justificación ............................................................................................................................................. 19
Objetivos .................................................................................................................................................. 20
General ..................................................................................................................................................... 20
Específicos .............................................................................................................................................. 20
Alcance ..................................................................................................................................................... 21
Hipótesis de investigación ..................................................................................................................... 21
Variables de la Investigación ................................................................................................................ 22
Categorización de las variables de investigación .............................................................................. 22
Capitulo II ................................................................................................................................................... 24
Metodología ............................................................................................................................................... 24
Marco Teórico Aplicado ......................................................................................................................... 24
Gobierno empresarial de la Información y Tecnología ..................................................................... 24
Beneficios del gobierno de tecnologías de la información ............................................................... 25
COBIT como marco de gobierno de I&T ............................................................................................. 27
¿Qué es COBIT y qué no es? .............................................................................................................. 27
Partes interesadas en el gobierno ....................................................................................................... 29
Conceptos directamente relacionados ................................................................................................ 30
Desarrollo del marco teórico de la metodología COBIT 2019 ......................................................... 33
Estructura de Objetivos de Gobierno y Gestión ................................................................................. 49
Gestión del Desempeño en COBIT ..................................................................................................... 50
10
Índice de Tablas
Índice de Figuras
Resumen
información que se maneja, así como a las estrictas regulaciones internas y de entes
TI, ya que los usuarios involucrados tendrán un correcto conocimiento sobre la gestión y
para activar un marco efectivo de gobierno; por estas razones permitirá mejorar la
valor, minimizar riesgos, optimizar recursos y alcanzar sus objetivos mediante una
- Palabras clave:
• DTIC
• PROCESOS
• COBIT
• TI
15
Abstract
fundamental aspect within organizations; but it also implies that its operation is carried
out around constant threats and due to the type of information that is handled, as well as
the strict internal regulations and of regulatory entities, the institutions recognize the
Department (DTIC) due to the lack of appropriate procedures and processes, based on
a reference framework that allows it to achieve effective IT governance, this project aims
COBIT 2019 methodology, which translates into having sufficient and quality information
for effective decision-making; Thus avoiding vulnerabilities in terms of the use of IT,
since the users involved will have a correct knowledge of the management and
administration of the information and of the IT systems of the institution. COBIT 2019
guidance to activate an effective governance framework; For these reasons, it will allow
the improvement of the governance and administration of the IT processes of the DTIC,
in order to create value, minimize risks, optimize resources and achieve their objectives
- Key words:
• DTIC
• PROCESSES
• COBIT
• TI
16
Capítulo I
Introducción
Antecedentes
de las organizaciones y puede ser utilizada como un recurso estratégico más; el uso
riesgo adecuado; así como mantener y garantizar información de calidad para la toma
constantes amenazas por lo tanto, debido al tipo de información que se maneja, así
Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos y documentados
debido a varios factores, entre ellos, la falta de una gestión adecuada y la rotación del
procesos críticos, para con ello alinear los objetivos de TI con los objetivos estratégicos
institucionales y crear valor para la DTIC, a través una visión clara de la correcta gestión
práctico para crear un programa de gobierno que se adapte a las necesidades de cada
Tema
Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de
Antecedentes
El desarrollo continuo de las tecnologías de la información y comunicación
toma de decisiones.
de la DTIC de la Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos
y documentados, debido a varios factores, entre ellos, la rotación del personal técnico y
institución, para con ello poder cerrar las brechas existentes en cuanto a control,
administración, seguridad, riesgos, etc. Por lo tanto, es posible crear valor para la DTIC,
2019)
práctico para crear un programa de gobierno que se adapte a las necesidades de cada
2018)
Problema
mejores prácticas de TI, que le permita lograr un gobierno y gestión de TI con eficacia,
Justificación
evitando así vulnerabilidades en cuanto al uso de TI, puesto que los usuarios
20
estratégicos priorizados?
de TI?
• ¿Qué relación se establece entre las metas corporativas propuestas por COBIT, con
• ¿Cuáles son los procesos necesarios que la DTIC requiere implementar, para
COBIT 2019?
Objetivos
General
Implementar los procesos de gobierno de COBIT 2019 en la Dirección de
Información.
Específicos
• Analizar y evaluar la situación actual de los procesos y beneficios de las TI que se
emplean en la DTIC.
21
estratégicos priorizados.
de TI.
Alcance
COBIT 2019.
Hipótesis de investigación
Variables de la Investigación
del valor de otras, son las causas o el fenómeno por investigar; determina el cambio en
la variable dependiente. Las variables dependientes son las que se miden y son el
resultado del fenómeno o situación que se intenta investigar (Mejia Jervis, 2017).
utilización de TI en la DTIC.
variables
práctica
Tabla 1
Definición Definición
Variables Tipo Categorización Indicadores
conceptual operacional
COBIT 2019
se construye
sobre 6
principios, 7
-Porcentaje de
componente - Gestión del
La Conjunto de TI a considerar
s y 40 Programa
implementación mejores en la
procesos en - Habilitación del
de la prácticas implementación
5 dominios Cambio
metodología Ind. que la de COBIT 2019
COBIT 2019 en para el - Ciclo de vida
metodología -Número de
la utilización de Sistema de de mejora
COBIT procesos por
TI en la DTIC Gobierno y 3 continua de
establece nivel de
principios procesos
madurez
adicionales
para el
Marco de
Gobierno
Sistema
-Número de
COBIT personalizab
Mejorará el metas de TI
define un le de
gobierno y la alineadas a las
conjunto de gobierno,
administración metas de la
directrices que -Mejora de
de procesos de institución.
para un considera gobernanza
TI y de los Dep. -Porcentaje de
recursos gobierno y factores de -Mejora de
procesos y
tecnológicos y administraci diseño y administración
dominios de
humanos de la ón eficiente áreas
COBIT
institución de TI y de la específicas
aplicados en la
información de
institución
aplicación.
24
Capitulo II
Metodología
evitar las decisiones relacionadas con las I&T. En la actualidad la creación de valor para
procesos eficientes, una exitosa innovación, etc. (ISACA, Marco de referencia COBIT
posibles gracias a la I&T (figura 1). (ISACA, Marco de referencia COBIT 2019: Gobierno
Figura 1
No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener
una GETI eficaz dentro de una organización. Así, los miembros de los consejos
dispuestos a aceptar una mayor responsabilidad en cuanto a las I&T y crear una
mentalidad y cultura distintas para generar valor a partir de la I&T. (ISACA, Marco de
información, 2018).
ofrecen debería estar directamente alineado con los valores en los que se centra el
tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un
competencia del personal clave de TI. Recursos importantes son los datos y la
objetivos relacionados con I&T estén alineados con los objetivos de la empresa.
Los estudios muestran que las empresas con estrategias de GETI mal
procesos de I&T. Como resultado, estas empresas tienen menor probabilidad de cumplir
mucho más allá de la interpretación (limitada) que solemos encontrarnos y que viene
espectro de gobierno.
27
(ISACA, Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T,
2018)
El marco de referencia COBIT hace una distinción clara entre gobierno y gestión.
objetivos acordados.
COBIT:
• COBIT define los factores de diseño que deberían ser considerados por la empresa
¿Que no es COBIT?:
cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los
componentes que describen qué decisiones deberían tomarse, cómo deberían tomarse
los beneficios que pueden obtener de COBIT se muestran en la (Figura 2). (ISACA,
Figura 2
una serie de componentes relacionados de otros tipos, con el fin de contribuir con el
mientras que los procesos de gestión se encuentran a cargo de alta y media gerencia.
agrupados en 5 dominios (figura 3). Los dominios se nominan con verbos que indican el
propósito clave y las áreas de acción de cada objetivo. (ISACA, Marco de referencia
Objetivos de Gobierno:
Objetivos de Gestión:
negocio.
planteados.
Figura 3
Con el fin de alcanzar los objetivos de gobierno y gestión, una empresa requiere
Áreas Prioritarias.
una directriz específica y puede ser abordado por una serie de objetivos de gobierno y
gestión, así como sus componentes. Las áreas prioritarias pueden incluir una
según sea necesario. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno
y Gestión, 2018)
33
• Principios para un marco de gobierno que pueda usarse para crear un sistema de
Figura 4
Principios del Sistema de Gobierno COBIT 2019
Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)
generar valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el
34
partir de una serie de componentes que pueden ser de distinto tipo y que funcionan
3. Sistema de Gobierno Dinámico. – Consiste en que cada vez que se cambian uno
o más factores del diseño (p. ej. un cambio de estrategia o tecnología), debe
con las necesidades de la empresa, utilizando una serie de factores de diseño como
Figura 5
Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)
COBIT® 2019 mejora las anteriores versiones de COBIT en las áreas siguientes:
con conceptos que surgen de otras fuentes (p. ej. los últimos estándares y
gobierno de TI personalizado.
manera exitosa todas las actividades, para tomar buenas decisiones y ejecutar
acciones correctivas.
37
Factores de Diseño.
COBIT 2019 se incluyen 11 factores de diseño. Estos factores influyen en el diseño del
distintas estrategias, que pueden encajar como uno o más prototipos de la (figura 6).
Figura 6
entiende al Balanced Scored Card (BSC) como una metodología para alcanzar un
Figura 7
Figura 8
(figura 9).
Figura 9
5. Panorama de amenazas bajo el cual opera la empresa (figura 10); de tipo Normal
Figura 10
Figura 11
Figura 12
Figura 13
Figura 14
Figura 15
Figura 16
Cascada de Metas.
Figura 17
empresariales (Tabla 2), definidas con base a las dimensiones del Balanced
Tabla 2
Metodología, 2018)
46
con las metas de alineamiento (Tabla 3); estas metas destacan un alineamiento de
dimensiones del Balanced Scorecard con respecto a TI, junto a varias métricas de
ejemplo.
Tabla 3
Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
- Coste de incumplimiento de TI,
incluidos liquidaciones y multas, y el
impacto de la pérdida reputacional
Cumplimiento y - Número de problemas de
soporte de I&T para el incumplimiento relacionados con TI
cumplimiento notificados al consejo de
AG01 Financiera
empresarial con las administración o que causan
leyes y comentarios o descrédito públicos
regulaciones externas - Número de problemas de
incumplimiento en relación con
acuerdos contractuales con los
proveedores de servicios de TI
- Frecuencia adecuada de la
actualización del perfil de riesgo
- Porcentaje de las evaluaciones de
Gestión de riesgo riesgo empresarial, incluido el riesgo
AG02 Financiera relacionado relacionado con I&T
con I&T - Número de incidentes significativos
relacionados con I&T que no se
identificaron en la evaluación de
riesgos
- Porcentaje de inversiones
Beneficios obtenidos posibilitadas por I&T en las que los
del beneficios previstos se cumplen o
portafolio de exceden
AG03 Financiera
inversiones y - Porcentaje de servicios de I&T para
servicios relacionados los que se han logrado los beneficios
con I&T esperados (indicados en los acuerdos
de nivel de servicio)
- Satisfacción de las partes
Calidad de la
interesadas clave con respecto al nivel
información
de transparencia, comprensión y
AG04 Financiera financiera relacionada
precisión de la información financiera
con la
de TI
tecnología
- Porcentaje de servicios de I&T con
47
Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
costes operativos claramente definidos
y aprobados y beneficios esperados
- Porcentaje de partes interesadas del
negocio satisfechas con que la
prestación de servicios de TI cumpla
Prestación de servicios
con los niveles de servicio acordados
de I&T
- Número de interrupciones del
AG05 Cliente conforme a los
negocio debido a incidentes de
requerimientos
servicios de TI
del negocio
- Porcentaje de usuarios satisfechos
con la calidad de la prestación de
servicios de TI
- Nivel de satisfacción de los
ejecutivos de negocios con la
capacidad de respuesta de TI a los
nuevos requisitos
- Promedio de plazo de
Agilidad para convertir
comercialización para servicios y
los
aplicaciones nuevos relacionados con
AG06 Cliente requerimientos del
las I&T
negocio en
- Tiempo promedio para convertir los
soluciones operativas
objetivos estratégicos de I&T en una
iniciativa acordada y aprobada
- Número de procesos de negocio
críticos soportados por infraestructura
y aplicaciones actualizadas
- Número de incidentes de
confidencialidad que causan pérdidas
financieras, interrupción del negocio o
Seguridad de la descrédito público
información, - Número de incidentes de
infraestructura y disponibilidad que causan pérdidas
AG07 Interna
aplicaciones financieras, interrupción del negocio o
de procesamiento y descrédito público
privacidad - Número de incidentes de integridad
que causan pérdidas financieras,
interrupción del negocio o descrédito
público
- Plazo para la ejecución de servicios y
procesos
empresariales
Habilitar y dar soporte - Número de programas empresariales
a facilitados por I&T retrasados o que
procesos de negocio incurren en costes adicionales debido
AG08 Interna mediante a problemas de integración
la integración de tecnológica
aplicaciones - Número de cambios en los procesos
y tecnología de negocio que se deben aplazar o
revisar debido a problemas de
integración tecnológica
- Número de aplicaciones o
48
Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
infraestructuras críticas que operan en
silos y no están integradas
- Número de programas/proyectos
Ejecución de
ejecutados a tiempo y dentro del
programas dentro
presupuesto
del plazo, sin exceder
- Número de programas que necesitan
el
una revisión
AG09 Interna presupuesto, y que
significativa debido a defectos de
cumplen
calidad
con los requisitos y
- Porcentaje de partes interesadas
estándares
satisfechas con la calidad del
de calidad
programa/proyecto
- Nivel de satisfacción del usuario con
la calidad, puntualidad y disponibilidad
de la información de gestión
relacionada con I&T, tras considerar
los recursos disponibles
Calidad de la
- Relación y extensión de las
AG10 Interna información
decisiones de negocio erróneas en las
sobre gestión de I&T
que la información errónea o no
disponible relacionada con I&T fue un
factor clave
- Porcentaje de información que
satisface los criterios de calidad
- Número de incidentes relacionados
con el incumplimiento de las políticas
Cumplimiento de I&T relacionadas con TI
AG11 Interna con las - Número de excepciones a las
políticas internas políticas internas
- Frecuencia de revisión y
actualización de la política
- Porcentaje de empresarios con
dominio de I&T (es decir, aquellos que
tienen los conocimientos y
comprensión de I&T requeridos para
guiar, dirigir, innovar y ver las
oportunidades de I&T en su área de
experiencia)
Personal competente y
- Porcentaje de empresarios con
Aprendizaje motivado con un
dominio de TI (es decir, aquellos que
AG12 y entendimiento mutuo
tienen los conocimientos y
crecimiento de la
comprensión de los dominios
tecnología y el negocio
importantes del negocio requeridos
para guiar, dirigir, innovar y ver las
oportunidades de I&T para su ámbito
empresarial)
- Número o porcentaje de empresarios
con experiencia en gestión de
tecnología
49
Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
- Nivel de conciencia de los ejecutivos
de negocios y
Conocimiento, comprensión de las posibilidades de
Aprendizaje experiencia e innovación de las I&T
AG13 y iniciativas para la - Número de iniciativas aprobadas
crecimiento innovación como resultado de ideas innovadoras
empresarial de I&T
- Número de campeones en
innovación reconocidos/premiados
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y
Metodología, 2018)
• Dominio de Gobierno
• Dominios de Gestión
Figura 18
• Área prioritaria (en el caso de esta publicación, se trata del modelo Core de COBIT)
• Descripción
• Declaración de propósito
3. Debe ser flexible, para brindar soporte a los distintos requerimientos de diversas
organizaciones
formales o auditorias.
Integración del modelo de madurez de capacidades (CMMI por sus siglas en inglés,
51
distintos niveles de capacidad, con valores desde 0 hasta 5 (figura 19). Un nivel de
Figura 19
aprobado/falla y métodos informales con una serie de calificaciones más amplio, como
Existen escenarios en los cuales es necesario un nivel más alto para definir el
desempeño del proceso; por lo que, COBIT 2019 define los niveles de madurez como
una medida de desempeño a nivel del área prioritaria (figura 20). Los niveles de
madurez si todos los procesos que intervienen en el área prioritaria alcanzan ese nivel
de capacidad especifico.
Figura 20
proceso de diseño, como se visualizar en la figura 21, los cuales inician con diversas
sistema de gobierno relacionados con estos, para alcanzar niveles de capacidad, o para
Figura 21
• Estrategia empresarial
todos los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no
2. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o
de referencia de los valores de factores de diseño aplicables, junto con las tablas de
Con las tablas de asignación de los apéndices F a K, se pueden usar las mismas
Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de
los pasos anteriores para finalizar el diseño del sistema de gobierno, como se muestra
consideración de todas las entradas; entender que estas entradas podrían en ocasiones
presentar conflicto.
56
Figura 22.
Service Management, ITSM). La versión actual de ITIL 2019 es el más completo de los
2017).
servicios de tecnologías de la información (TI), y cómo puede alinearse mejor con los
procesos ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
Por lo que hemos visto adecuado basarnos en las buenas prácticas que esta
metodología nos brinda, para este breve desarrollo nos hemos enfocado en el Ciclo
procesos, columna vertebral del Ciclo de Vida del Servicio propuesto por ITIL. (Juan
57
Quintero, 2017)
Cabe recalcar que ITIL provee una guía y no un manual paso a paso de cómo
Figura 23
Capitulo III
Análisis empresarial
Antecedentes.
Dentro del PROYECTO INTEGRADOR DEL COAAS 36 del año 2019, como
2019)
Organización.
Propósito
permanente, para el efectivo ejercicio del mando y control de las operaciones militares.
Misión
Sistema de Valor
valor de la DTIC.
60
Figura 24
Estructura Organizacional
Figura 25
Procesos
los subprocesos y los indicadores que permiten cuantificar el desempeño del proceso.
DTIC.
63
Tabla 4
Procesos de la DTIC
Terrestre dispone de la herramienta corporativa militar SIFTE (figura 26), que integra los
Figura 26
ingreso, etc.
diferentes servidores.
que no se han venido llevando de una forma adecuada, puesto que al levantar la
información se pudo verificar que durante varios años, la DTIC ha venido manejado una
político, cultural y económico, hace que la DTIC se vea abocada a cambiar en lo que
respecta a competitividad, mejoramiento continuo, entre otros aspectos; pero sobre todo
Es este sentido y para dar respuesta a esta necesidad, las áreas de TI deben
ofrecer mejores servicios de TI, dejando atrás el típico modelo reactivo de respuesta a
día, por lo cual se ha visto necesario implementar un modelo basado en ITIL, mismo
que es un marco de referencia que brinda buenas prácticas de cómo llevar los servicios
en función a los niveles de servicio que se puedan acordar en función a las soluciones
Tabla 5
(DTIC) cuenta con 16 servicios (Tabla 5), en los cuales al realizar el diagnóstico inicial
Una vez realizado el diagnóstico inicial de los procesos manejados por la DTIC se
inició la siguiente fase.
En esta fase se realiza una evaluación del nivel de madurez de los servicios
ofertados por la DTIC, usando como base la escala de los niveles de madurez que se
de los mismos con respecto a ITIL y así determinar los elementos prioritarios de ITIL
aplicables a la institución. (S.L., 2019), (Quintero Gómez & Peña Villamil, 2017).
Tabla 6
% De
Calificación Nivel de madurez Descripción
Cumplimiento
Los servicios no se realizan, o no
Incompleto
0 consiguen sus objetivos 0%
Los servicios se ejecutan,
Ejecutado lográndose los objetivos
1 20%
específicos.
Los servicios, además de ser
"ejecutados", se planifican, revisan y
Gestionado
2 evalúan para comprobar que 40%
cumplen con los requisitos.
Los servicios, además de ser
"gestionados", se ajustan al
Definido conjunto de procesos estándar
3 60%
conforme a las directivas de la
organización.
68
% De
Calificación Nivel de madurez Descripción
Cumplimiento
Servicios “definidos” y controlados
Gestionado
con técnicas estadísticas u otras
4 Cuantitativamente 80%
técnicas cuantitativas.
Servicios "gestionados
cuantificadamente” que son
cambiados y adaptados para
5 Optimizado 100%
conseguir objetivos relevantes de
negocio.
Nota. Recuperado de (Quintero Gómez & Peña Villamil, 2017)
evaluación de los servicios de la DTIC donde pudimos conocer que sus procesos no se
encuentran bien definidos, puesto que los mismos se manejan acorde a las
Fase III.- Implementación de solución para mejorar los procesos de los servicios
actuales
actuales, donde se analiza las funciones notables, los entregables y los niveles de
solución.
69
Tabla 7
Comunicaciones (DTIC)
Tabla 8
2. Una vez realizado el levantamiento de cada uno de los servicios, se definió un flujo
servicio y así poder manejar un estándar que permita justificar su manejo de una
Figura 27
3. Como siguiente paso se realizó el análisis de los niveles de impacto de los servicios
técnicos, donde se han definido tres niveles de impacto que serán de mucha utilidad
para el análisis.
atención, las cuales se ajustarán de acuerdo con los requisitos de los usuarios.
los usuarios y se definió la Tabla 9, para parametrizar cada uno de los niveles de
servicios:
Tabla 9
mejor manejo de las TIC y sustentar la gestión que se realiza dentro del Ejercito del
Ecuador.
personalizado, el flujo contiene 4 etapas con una serie de pasos cada una (figura 28),
adaptado a las necesidades de la DTIC. Las 4 etapas del diseño del sistema de
Figura 28
El diseño del sistema de gobierno inicia con la definición del contexto general de
Estrategia Empresarial
A inicios del año 2019 y con base a los objetivos estratégicos planteados por el
DTIC.
76
Tabla 10
Estrategias de la DTIC
Objetivos
No Estrategias
Estratégicos
INCREMENTAR LA
EFECTIVIDAD EN EL
1 CONTROL DEL Proponer los cambios que sean pertinentes al marco legal
TERRITORIO
NACIONAL
Optimizar los procesos de difusión de información que tengan impacto
estratégico
Fortalecer la imagen institucional y cohesión interna con el manejo
MANTENER LA adecuado de los temas legales (disciplinarios) y evitando el
2 IMAGEN involucramiento del personal militar en actividades ilícitas
INSTITUCIONAL
Fortalecer la integración y cooperación con los ejércitos de los países
amigos
Mejorar los niveles de cooperación e integración con las otras fuerzas
INCREMENTAR LA Desarrollar protocolos y procedimientos que definan las condiciones de
EFECTIVIDAD empleo, tareas específicas y coordinaciones que se deben realizar para el
3 OPERACIONAL DE cumplimiento de misiones y tareas de apoyo a la seguridad integral
LAS UNIDADES
MILITARES Optimizar el apoyo a la gestión de riesgos
Recuperar, modernizar y adquirir material, armamento y equipo (terrestre,
INCREMENTAR LAS aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el
4 CAPACIDADES ámbito interno
MILITARES.
Fortalecer la capacidad de “ciberdefensa”
INCREMENTAR EL
Optimizar los procesos de entrenamiento por medio del uso de
5 ALISTAMIENTO
simuladores y nueva tecnología
OPERACIONAL
INCREMENTAR LA Fortalecer el sistema logístico
6 EFECTIVIDAD EN EL Reformular los procesos de mantenimiento y conservación del material,
APOYO LOGÍSTICO equipo, medios e infraestructura a fin de alargar la vida útil del mismo
Optimizar los procedimientos de planificación estratégica del ejército
Implantar la administración por procesos en todas las estructuras militares
INCREMENTAR LA del ejército
7 EFICIENCIA
INSTITUCIONAL Implementar un sistema integrado de gestión institucional por resultados
Optimizar en forma permanente la estructura organizacional de la
institución
Fortalecer la práctica de un adecuado liderazgo, valores militares, así
INCREMENTAR EL como el cumplimiento estricto de normas y procedimientos institucionales
8 DESARROLLO DEL Fortalecer el clima laboral, política de género, asistencia social del
TALENTO HUMANO personal, manteniendo una adecuada cultura organizacional y adaptación
a los procesos de modernización
Mejorar los procesos y procedimientos que permitan optimizar la
planificación y ejecución presupuestaria (gasto corriente/gasto de
INCREMENTAR EL inversión), así como el manejo administrativo de las unidades de acuerdo a
9 USO EFICIENTE DEL las normas vigentes
PRESUPUESTO Realizar el manejo del presupuesto y recursos institucionales bajo una
política de priorización en virtud de los requerimientos operacionales y
administrativos más importantes
Nota. Recuperado de Manuales de Proceso DTIC 2019
77
Las 20 estrategias planteadas por la DTIC encajan de cierta manera con las
2 sección 2.3.3.
Tabla 11
Prototipo de la
Estrategia COBIT Estrategias DTIC 2019
2019
Optimizar los procesos de difusión de información que tengan impacto
estratégico
Fortalecer la imagen institucional y cohesión interna con el manejo adecuado
de los temas legales (disciplinarios) y evitando el involucramiento del personal
militar en actividades ilícitas
Fortalecer la integración y cooperación con los ejércitos de los países amigos
Crecimiento/ Desarrollar protocolos y procedimientos que definan las condiciones de
Adquisición empleo, tareas específicas y coordinaciones que se deben realizar para el
cumplimiento de misiones y tareas de apoyo a la seguridad tecnológica
Optimizar el apoyo a la gestión de riesgos
Reformular los procesos de mantenimiento y conservación del material,
equipo, medios e infraestructura a fin de alargar la vida útil del mismo
Implantar la administración por procesos en todas las estructuras militares del
ejército
Optimizar los procedimientos de planificación estratégica del ejército
Fortalecer el sistema logístico
Optimizar en forma permanente la estructura organizacional de la institución
Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el
cumplimiento estricto de normas y procedimientos institucionales
Fortalecer el clima laboral, política de género, asistencia social del personal,
manteniendo una adecuada cultura organizacional y adaptación a los
Innovación/
procesos de modernización
Diferenciación
Fortalecer la capacidad de “ciberdefensa”
Implementar los procesos de entrenamiento por medio del uso de simuladores
y nueva tecnología
Implementar un sistema integrado de gestión institucional por resultados
Recuperar, modernizar y adquirir material, armamento y equipo (terrestre,
aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el
ámbito interno
Mejorar los procesos y procedimientos que permitan optimizar la planificación
y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el
Liderazgo en manejo administrativo de las unidades de acuerdo a las normas vigentes
costes Realizar el manejo del presupuesto y recursos institucionales bajo una política
de priorización en virtud de los requerimientos operacionales y administrativos
más importantes
Servicio al Proponer los cambios que sean pertinentes al marco legal
Cliente/Estabilidad Mejorar los niveles de cooperación e integración con las otras fuerzas
78
Metas Empresariales
objetivos que se han planteado para alcanzar sus metas; actualmente la institución
Tabla 12
pueden categorizar en torno a las dimensiones del cuadro de mando integral (Balanced
Scorecard, BSC), con respecto a las metas financieras, metas de cliente, metas internas
Tabla 13
pudo identificar que no se cuenta con un modelo definido, el cual les permita determinar
de forma correcta los posibles riesgos, el impacto y la probabilidad de que los mismos
se puedan materializar; al identificar como uno de los puntos frágiles dentro del DTIC,
se vio fundamental realizar el levantamiento de los riesgos con base a lo propuesto por
COBIT 2019 y a su vez elaborar un perfil que permita determinar su impacto dentro del
área de I&T.
Como uno de los puntos a desarrollar dentro del diseño del sistema de gobierno
mismos que fueron tomados del modelo de gestión, para en función a ellos
• Como segundo punto, junto con funcionarios de la DTIC se realiza la evaluación del
ponderados en un rango del uno (1) a cinco (5); siendo uno (1) un bajo impacto y
ocurrencia, dejando a los rangos de dos (2) a cuatro (4) como un nivel de impacto
• Como tercer punto se realiza la valoración íntegra del riesgo basada en entradas
precedentes, para lo cual se considera los siguientes niveles para categorizar a los
80
riegos, como riesgo muy alto a los de color rojo, riesgo alto a los de color amarillo,
riesgo normal a los de color verde y riesgo bajo a los de color negro (figura 29).
Figura 29
Impacto Probabilidad
Categoría del escenario de riesgo TOTAL Riesgo
(1-5) (1-5)
Toma de decisiones sobre inversiones en TI, definición y
3 4 4
mantenimiento del portafolio
Gestión del ciclo de vida de los programas y proyectos 4 4 4
Coste y control de TI 3 5 4
Comportamiento, habilidades y conocimiento de TI 4 4 4
Arquitectura de la empresa/TI 4 5 5
Incidentes de infraestructura operativa de TI 4 5 5
Acciones no autorizadas 5 3 4
Adopción de software/problemas de uso 3 4 4
Incidentes de hardware 5 3 4
Fallos de Software 4 4 4
Ataques lógicos (hacking, malware, etc.) 5 5 5
Incidentes de terceros/proveedores 3 4 4
Incumplimiento 3 3 3
Problemas geopolíticos 3 3 3
Acción industrial 3 3 3
Actos de la naturaleza 3 3 3
Innovación basada en la tecnología 3 2 3
Medio ambiente 3 3 3
Gestión de datos e información 5 5 5
TOTAL 3.68 3.79 3.74
Tecnología, 2018)
Tabla 14
catalogados como riesgos muy altos dando un 52.63% de probabilidad que los
dando 42.10% de probabilidad que los mismos se materialicen y tan solo 1 escenario
con riesgo normal dando 5.26% de probabilidad de ocurrencia; por lo tanto, la DTIC
deberá considerar los controles respectivos sobre los 18 escenarios identificados en los
que se debería trabajar para tener un mejor control sobre los mismos.
82
pudo constatar que no cuenta con un modelo definido que permita determinar de forma
correcta los problemas actuales relacionados con IT, al identificar como uno de los
puntos frágiles dentro del DTIC, se vio fundamental realizar el levantamiento del mismos
Como uno de los factores principales para poder continuar con la evaluación de
los escenarios de riesgos con los que cuenta la institución, ya que se están
Como una guía para identificar los problemas de TI, se puede realizar un
seguimiento a todo aquello que se haya reportado a través de la gestión de riesgos, una
TI propuesta por COBIT 2019. Se asignaron valores de uno (1) a tres (3), siendo uno (1)
menos importante.
Con lo que podemos concluir que de los 20 problemas relacionados con I&T
relacionados con I&T fueron catalogados como problemas graves dando 25% de
83
probabilidad que los mismos se materialicen y tan solo 1 de los problemas relacionados
Figura 30
2018)
84
Tabla 15
Tipo de
Categoría del Problema de I&T Total
Riesgo
Brecha entre conocimiento tecnológico y empresarial, lo
Sin
que lleva a que los usuarios del negocio y/o los 1
problema
especialistas en TI hablen un idioma distinto
Frustración entre distintas unidades de TI en toda la
organización debido a una percepción de baja contribución
al valor del negocio
Problemas de ejecución del servicio por parte de los
subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o
contractuales relacionados con TI
Duplicaciones o coincidencias entre varias iniciativas u
otras formas de recursos malgastados
Insuficientes recursos de TI, personal con habilidades
inadecuadas o personal agotado / insatisfecho
Cambios o proyectos facilitados por TI que suelen no
satisfacer a menudo las necesidades del negocio y que se
ejecutan tarde o por encima del presupuesto
Resistencia de los miembros del consejo de
administración, ejecutivos o alta gerencia a involucrarse
con las TI o una falta de compromiso empresarial para
patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de
Problema 14
decisión confusos para las decisiones relacionadas con TI
Excesivamente alto coste de TI
Implementación obstaculizada o fracasada de nuevas
iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales
Nivel elevado de cómputo para usuarios finales, lo que
genera (entre otros problemas) una falta de supervisión y
control de calidad de las aplicaciones que se están
desarrollando e implementando
Los departamentos del negocio implementan sus propias
soluciones de información con poca o ninguna
participación del departamento de TI de la empresa
(relacionado con la computación de usuarios finales, que
suele surgir de la insatisfacción con las soluciones y
servicios de TI)
Ignorancia sobre y/o incumplimiento de las regulaciones de
privacidad
Incapacidad para explotar nuevas tecnologías o innovar
con las TI
85
Tipo de
Categoría del Problema de I&T Total
Riesgo
Frustración entre distintos departamentos de la empresa
(como el cliente de TI) y el departamento de TI debido a
iniciativas fracasadas o una percepción de baja
contribución al valor del negocio
Incidentes significativos relacionados con I&T, como
pérdida de datos, violaciones de seguridad, fallo del
proyecto y errores de la aplicación, relacionados con TI
Problema Hallazgos de auditoría regulares u otros informes de
5
grave evaluación sobre un pobre desempeño de TI o notificación
de problemas de calidad y servicio de TI
Gasto sustancial oculto y fraudulento en I&T, es decir,
gasto en TI por departamentos de usuarios fuera del
control de los mecanismos de decisión de inversión en IT
normales y los presupuestos aprobados
Problemas regulares con la calidad de los datos y la
integración de datos de distintas fuentes
En este paso la institución tiene una visión más clara y global de la estrategia
considera los objetivos de gobierno y gestión con relevancia para cada factor de diseño;
Tecnología, 2018).
mejor forma con la situación actual de la institución (Anexo A. Factor de Diseño 1).
Las asignaciones para cada uno de los cuatro valores posibles para el factor de
(1) a cinco (5): 5 indica la mayor influencia y 1 indica la ausencia de cualquier relación;
Una vez realizado el análisis de la matriz del factor de diseño 1 para la DTIC, se
cliente /estabilidad. Se identifica que el prototipo principal que se relaciona con las
16.
87
Tabla 16
de metas de COBIT
tiene una base para ejecutar el análisis de las metas empresariales en el siguiente
factor de diseño del modelo de COBIT 2019, que define un conjunto de 13 metas
estrategias de la DTIC.
valoración relativa de los objetivos de gobierno y gestión, se siguen los pasos que se
88
Tecnología, 2018).
genéricas de COBIT 2019, con la finalidad de determinar las metas más importantes
para la institución (figura 31). COBIT recomienda seleccionar de tres a cinco metas
Figura 31
a) Primaria (P): Si la meta DTIC tiene una relación directa con la meta COBIT
cinco (5).
b) Secundaria (S): Si la meta DTIC tiene una relación indirecta con la meta COBIT
(1).
c) En Blanco: Cuando la meta DTIC NO tiene ninguna relación con la meta COBIT
hacia arriba.
Tabla 17
información resultante del paso anterior sobre las metas empresariales priorizadas,
Figura 32
a) Primaria (P): Cuando la meta empresarial tiene una relación directa con la
importantes (Tabla 18), se consideraron aquellas con una calificación que se encuentra
Tabla 18
metas de alineamiento priorizadas del paso anterior, representan una guía para el
análisis de una nueva matriz genérica con los 40 objetivos de gobierno y gestión de
Figura 33
2018)
93
que tienen mayor importancia para la DTIC. Con la ayuda de colaboradores de la DTIC,
relación directa con las metas de alineamiento. Para facilitar el análisis cuantitativo
relación indirecta con las metas de alineamiento. Para facilitar el análisis cuantitativo
Tabla 19
los resultados finales del factor de diseño número 2 (DF2). Se determinan 14 objetivos
de gobierno y gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan
en la Tabla 19.
riegos con el personal de la DTIC, se tiene una base para ejecutar el análisis del perfil
de riesgo empresarial; en el siguiente factor de diseño del modelo de COBIT 2019, que
asignaciones expresan hasta qué grado los valores del factor de diseño DF3, influyen
Tecnología, 2018).
COBIT 2019, las cuales llevan una correlación con los objetivos de gobierno y gestión,
a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor
Tabla 20
Tabla 21
Objetivos de Gobierno y
Dominio Referencia Calificación
Gestión para DTIC
Garantizar el establecimiento
EDM01 y el mantenimiento del marco 54
de gobierno
Asegurar la realización de
EDM02 59
beneficios
Evaluar, Dirigir
Asegurar la optimización del
y Monitorizar EDM03 77
riesgo
Asegurar la optimización de
EDM04 63
recursos
Asegurar la transparencia de
EDM05 59
las partes interesadas
96
Objetivos de Gobierno y
Dominio Referencia Calificación
Gestión para DTIC
Gestionar el marco de
APO01 61
gestión de TI
APO02 Gestionar la estrategia 51
Gestionar la arquitectura de
APO03 58
la empresa
APO04 Gestionar la innovación 59
APO05 Gestionar el portafolio 56
Gestionar el presupuesto y
APO06 54
Alinear, los costes
Planificar y Gestionar los recursos
APO07 50
Organizar humanos
APO08 Gestionar las relaciones 56
Gestionar los acuerdos de
APO09 51
servicio
APO10 Gestionar los proveedores 55
APO11 Gestionar la calidad 56
APO12 Gestionar el riesgo 70
APO13 Gestionar la seguridad 58
APO14 Gestionar los datos 51
Construir,
Adquirir e BAI06 Gestionar los cambios de TI 53
Implementar
Entrega, Dar
Servicio y DSS03 Gestionar los problemas 51
Soporte
I&T de la empresa
DTIC, se realizó un diagnóstico a alto nivel de los mismos con el personal de la DTIC,
con ello se tiene una base para ejecutar el análisis de los problemas relacionados con
COBIT 2019, se define un conjunto de 20 posibles problemas relacionados con I&T, los
cuales se deben priorizar en relación con los objetivos de gobierno y gestión; para el
análisis se siguen los pasos que se indican a continuación (ISACA, Diseño de una
definidos por COBIT 2019, los cuales se correlacionan con los objetivos de gobierno y
gestión de COBIT 2019, con el propósito de determinar los problemas relacionados con
a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor
Tabla 22
Tabla 23
está dada de acuerdo con la puntuación alcanzada en los factores de diseño DF1 al
DF4, se consideran valores de la media hacia arriba y se obtienen los resultados finales
gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan en la Tabla 25.
99
Tabla 24
Tabla 25
Paso 2: Valores
Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Total
Garantizar el establecimiento y el mantenimiento del
EDM01 95 27 54 75 251
marco de gobierno
EDM02 Asegurar la realización de beneficios 90 23 59 76 248
EDM03 Asegurar la optimización del riesgo 87 27 77 71 262
EDM04 Asegurar la optimización de recursos 91 27 63 67 248
EDM05 Asegurar la transparencia de las partes interesadas 95 27 59 60 241
APO01 Gestionar el marco de gestión de TI 95 23 61 81 260
APO02 Gestionar la estrategia 65 27 51 72 215
APO03 Gestionar la arquitectura de la empresa 60 31 58 37 186
APO04 Gestionar la innovación 85 31 59 63 238
APO05 Gestionar el portafolio 35 31 56 46 168
APO06 Gestionar el presupuesto y los costes 23 35 54 43 155
APO07 Gestionar los recursos humanos 82 35 50 39 206
APO08 Gestionar las relaciones 73 27 56 61 217
APO09 Gestionar los acuerdos de servicio 50 35 51 33 169
APO10 Gestionar los proveedores 44 31 55 43 173
APO11 Gestionar la calidad 73 35 56 68 232
APO12 Gestionar el riesgo 73 27 70 75 245
APO13 Gestionar la seguridad 83 23 58 6 170
APO14 Gestionar los datos 86 25 51 36 198
BAI01 Gestionar los programas 71 14 49 46 180
BAI02 Gestionar la definición de requisitos 71 23 42 58 194
BAI03 Gestionar la identificación y construcción de soluciones 74 19 48 64 205
BAI04 Gestionar la disponibilidad y capacidad 58 15 43 40 156
BAI05 Gestionar los cambios organizativos 57 26 40 60 183
BAI06 Gestionar los cambios de TI 68 27 53 51 199
Gestionar la aceptación y la transición de los cambios
BAI07 59 27 37 46 169
de TI
BAI08 Gestionar el conocimiento 60 19 40 32 151
BAI09 Gestionar los activos 36 35 29 28 128
BAI10 Gestionar la configuración 30 23 37 46 136
BAI11 Gestionar los proyectos 50 30 46 43 169
DSS01 Gestionar las operaciones 50 26 30 60 166
DSS02 Gestionar las peticiones y los incidentes del servicio 44 23 49 39 155
DSS03 Gestionar los problemas 46 31 51 59 187
DSS04 Gestionar la continuidad 46 27 40 49 162
DSS05 Gestionar los servicios de seguridad 58 26 39 51 174
DSS06 Gestionar los controles de procesos de negocio 53 27 48 51 179
Gestionar la monitorización del rendimiento y la
MEA01 50 35 37 54 176
conformidad
MEA02 Gestionar el sistema de control interno 43 35 46 62 186
Gestionar el cumplimiento de los requerimientos
MEA03 49 23 46 49 167
externos
MEA04 Gestionar el aseguramiento 50 31 48 57 186
7690
TOTAL
192,25
101
Conclusión Paso 2
Al finalizar el paso 2, se tiene una visión más completa de los elementos que se
DTIC:
gobierno y gestión en los cuales se deberá enfocar la DTIC, los cuales se indican
en la Tabla 26.
Tabla 26
permiten realizar afinamientos sobre el alcance inicial del sistema de gobierno y gestión
102
definido. Este paso incluye los siguientes aspectos: (ISACA, Diseño de una solución
III. Para los factores de diseño aplicables, determinar los posibles valores que se
una lista clasificada con los objetivos de gobierno y gestión similar al paso anterior,
asimismo con las matrices de asignación es posible utilizar las mismas técnicas y
escalas ya descritas.
los valores que encajan de mejor manera al funcionamiento actual de la DTIC, conforme
a cada una de las dos entradas posibles correspondientes a este factor de diseño: alto y
De acuerdo con los criterios de COBIT 2019, para priorizar los objetivos de
gobierno y gestión se desarrolla una tabla de asignación entre los parámetros del factor
gestión se asignan valores a las categorías alto y normal entre uno (1) y cuatro (4), así:
b) El valor asignado al campo ALTO será mayor que el valor del campo NORMAL
(Tabla 27).
Tabla 27
Se observa que, de las calificaciones de los dos valores analizados para este
factor de diseño, la categoría alta presenta el mayor porcentaje con el 78.14%, mientras
104
que el 21.85% corresponde al parámetro de normal; es decir que la mayor parte de las
para evaluar cuatro posibles parámetros del Rol de TI (soporte, fábrica, cambio y
estratégico) revisados en la sección 2.3.3. Se plantea una matriz base entre los factores
evalúa la matriz para este factor de diseño, con valores de la escala entre uno (1) hasta
cinco (5): 1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño
7).
Tabla 28
Además, los resultados muestran que los valores de los cuatro parámetros
definidos en este factor de diseño no marcan una diferencia significativa entre ellos;
adicional, que el Rol de TI estratégico es el más representativo para la DTIC con 28,7%,
servicios de la institución.
matriz base entre los factores de diseño y los objetivos de gobierno y gestión, con el fin
la matriz para el factor de diseño 8, con valores de la escala entre uno (1) hasta cinco
(5): 1 indica que es nada importante y 5 más importante. (Anexo A. Factor Diseño 8).
106
Tabla 29
de los proveedores de TI, dan un buen lineamiento a las buenas prácticas que nos
(Agile, DevOps, Tradicional). Se plantea una matriz base entre los factores de diseño y
matriz para este factor de diseño, con valores de la escala entre uno (1) hasta cinco (5):
1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño 9).
Tabla 30
presenta una síntesis con la prioridad de los objetivos de gobierno y gestión para cada
factor de diseño.
Tabla 31
Tabla 32
la puntuación alcanzada en los factores de diseño DF5, DF7, DF8, DF9, se consideran
valores de la media hacia arriba y se obtienen los resultados finales de los factores de
Tabla 33
Paso 3: Valores
Factores
de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Total
Garantizar el establecimiento y el mantenimiento del marco de
EDM01
gobierno
4 17 4 9 34
EDM02 Asegurar la realización de beneficios 4 16 5 9 34
EDM03 Asegurar la optimización del riesgo 5 14 5 9 33
EDM04 Asegurar la optimización de recursos 5 15 5 9 34
EDM05 Asegurar la transparencia de las partes interesadas 4 12 5 9 30
APO01 Gestionar el marco de gestión de TI 4 18 5 9 36
APO02 Gestionar la estrategia 5 15 4 9 33
APO03 Gestionar la arquitectura de la empresa 5 18 4 9 36
APO04 Gestionar la innovación 5 16 5 9 35
APO05 Gestionar el portafolio 4 13 5 11 33
APO06 Gestionar el presupuesto y los costes 5 16 5 11 37
APO07 Gestionar los recursos humanos 5 17 5 13 40
APO08 Gestionar las relaciones 4 11 5 9 29
APO09 Gestionar los acuerdos de servicio 5 17 4 9 35
APO10 Gestionar los proveedores 5 4 5 9 23
APO11 Gestionar la calidad 5 12 5 9 31
APO12 Gestionar el riesgo 5 15 5 9 34
APO13 Gestionar la seguridad 5 11 5 11 32
APO14 Gestionar los datos 5 13 5 9 32
BAI01 Gestionar los programas 4 15 5 9 33
BAI02 Gestionar la definición de requisitos 5 16 5 9 35
BAI03 Gestionar la identificación y construcción de soluciones 4 16 5 11 36
BAI04 Gestionar la disponibilidad y capacidad 4 12 5 11 32
BAI05 Gestionar los cambios organizativos 4 15 5 9 33
BAI06 Gestionar los cambios de TI 5 16 3 9 33
BAI07 Gestionar la aceptación y la transición de los cambios de TI 5 17 3 9 34
BAI08 Gestionar el conocimiento 5 15 5 9 34
BAI09 Gestionar los activos 4 14 5 11 34
BAI10 Gestionar la configuración 4 11 5 9 29
BAI11 Gestionar los proyectos 5 18 5 9 37
DSS01 Gestionar las operaciones 4 15 5 9 33
DSS02 Gestionar las peticiones y los incidentes del servicio 4 15 3 9 31
DSS03 Gestionar los problemas 5 12 5 9 31
DSS04 Gestionar la continuidad 5 13 3 9 30
DSS05 Gestionar los servicios de seguridad 5 14 5 9 33
DSS06 Gestionar los controles de procesos de negocio 4 16 5 9 34
MEA01 Gestionar la monitorización del rendimiento y la conformidad 4 15 4 9 32
MEA02 Gestionar el sistema de control interno 5 14 4 9 32
MEA03 Gestionar el cumplimiento de los requerimientos externos 5 13 5 9 32
MEA04 Gestionar el aseguramiento 4 13 5 9 31
1320
TOTAL
33
112
Conclusión Paso 3
la Tabla 34.
Tabla 34
paso final del proceso de diseño considera todos los aportes revisados de los pasos
anteriores, así:
• El alcance inicial del diseño del sistema de gobierno se realizó en el Paso 2, a partir
de la empresa.
Figura 34
Finalizar el diseño
El resultado final del desarrollo de cada una de las etapas permite obtener el
diseño incluye:
114
revisados en los pasos 2 y 3 de las etapas de diseño propuestas por COBIT. Este
Tabla 35
Factores de
Diseño
PASO PASO
Objetivos de Gobierno y Gestión COBIT 2019
2 3
Total
Garantizar el establecimiento y el mantenimiento del
EDM01 251 34 142,5
marco de gobierno
EDM02 Asegurar la realización de beneficios 248 34 141
EDM03 Asegurar la optimización del riesgo 262 33 147,5
EDM04 Asegurar la optimización de recursos 248 34 141
EDM05 Asegurar la transparencia de las partes interesadas 241 30 135,5
APO01 Gestionar el marco de gestión de TI 260 36 148
APO02 Gestionar la estrategia 215 33 124
APO03 Gestionar la arquitectura de la empresa 186 36 111
APO04 Gestionar la innovación 238 35 136,5
APO05 Gestionar el portafolio 168 33 100,5
APO06 Gestionar el presupuesto y los costes 155 37 96
APO07 Gestionar los recursos humanos 206 40 123
APO08 Gestionar las relaciones 217 29 123
APO09 Gestionar los acuerdos de servicio 169 35 102
APO10 Gestionar los proveedores 173 23 98
APO11 Gestionar la calidad 232 31 131,5
APO12 Gestionar el riesgo 245 34 139,5
APO13 Gestionar la seguridad 170 32 101
APO14 Gestionar los datos 198 32 115
BAI01 Gestionar los programas 180 33 106,5
BAI02 Gestionar la definición de requisitos 194 35 114,5
Gestionar la identificación y construcción de
BAI03 205 36 120,5
soluciones
BAI04 Gestionar la disponibilidad y capacidad 156 32 94
BAI05 Gestionar los cambios organizativos 183 33 108
BAI06 Gestionar los cambios de TI 199 33 116
Gestionar la aceptación y la transición de los cambios
BAI07 169 34 101,5
de TI
BAI08 Gestionar el conocimiento 151 34 92,5
BAI09 Gestionar los activos 128 34 81
BAI10 Gestionar la configuración 136 29 82,5
BAI11 Gestionar los proyectos 169 37 103
DSS01 Gestionar las operaciones 166 33 99,5
DSS02 Gestionar las peticiones y los incidentes del servicio 155 31 93
115
Factores de
Diseño
PASO PASO
Objetivos de Gobierno y Gestión COBIT 2019
2 3
Total
DSS03 Gestionar los problemas 187 31 109
DSS04 Gestionar la continuidad 162 30 96
DSS05 Gestionar los servicios de seguridad 174 33 103,5
DSS06 Gestionar los controles de procesos de negocio 179 34 106,5
Gestionar la monitorización del rendimiento y la
MEA01 176 32 104
conformidad
MEA02 Gestionar el sistema de control interno 186 32 109
Gestionar el cumplimiento de los requerimientos
MEA03 167 32 99,5
externos
MEA04 Gestionar el aseguramiento 186 31 108,5
los objetivos de gobierno y gestión aplicables para la DTIC; se pudo identificar los
(142,5)
Con respecto al análisis inicial de los factores de diseño de los pasos anteriores,
APO03, APO06, APO09, BAI07, BAI08, BAI09, BAI11, DSS06. Asimismo, se identifican
como los menos importantes, demuestra que, considerar otros factores de diseño ha
Tabla 36
Para concluir, una vez realizado un análisis cuantitativo de todos los factores de
diseño planteados por COBIT 2019 con base al contexto actual de la institución, se
la Tabla 36.
Adicional al diseño realizado mediante las 4 fases, COBIT 2019 permite aplicar
un Kit de herramientas para obtener los resultados sobre la priorización de los objetivos
de gobierno y gestión, a través de los factores de diseño de cada fase y visualizar los
resultados obtenidos.
• Una hoja de cálculo por cada factor de diseño, constituidas con la siguiente
información:
• Dos hojas de resumen al finalizar el paso 2 y el paso 3 del diseño del sistema de
gobierno
• Una hoja de cálculo que permite consolidar los resultados de los factores de diseño
comparativa de los resultados obtenidos en los pasos anteriores y definir valores con
mayor exactitud, además presentar los resultados de una manera dinámica y gráfica.
combina con los resultados del paso 2 Diseño inicial del sistema de gobierno. (ISACA,
Para cada uno de los factores de diseño de las etapas planteadas por COBIT
Se evalúa cada uno de los cuatro valores posibles para el factor de diseño de la
Análisis de cada una de las trece metas empresariales calificadas entre 1 (nada
Se evalúa cada uno de los dos valores posibles (alto y normal) para el factor de
diseño de escenario de amenazas, entre 0% y 100%; la suma de los valores debe ser
100%.
Estudio de cada uno de los cuatro valores posibles para el factor de diseño de
Análisis de cada uno de los tres valores posibles para el factor de diseño de
interno), se valora entre 0% y 100%. La suma de los tres valores debe ser 100%
Estudio de cada uno de los tres valores posibles para el factor de diseño de
Figura 35
Figura 36
Figura 37
Figura 38
Figura 39
Figura 40
Figura 41
Figura 42
herramienta resume los valores en una lista de resultados, que proporciona una visión
confiable de la importancia relativa que se calculó para cada uno de los 40 objetivos de
gobierno y gestión de COBIT 2019; mediante estos resultados es posible priorizar los
Figura 43
Con base a los resultados obtenidos de las matrices genéricas propuestas por
COBIT 2019 y de los valores alcanzados con la herramienta de COBIT 2019, es posible
realizar una comparación entre los objetivos con mayor resultado en ambos casos y
obtener un valor promedio, para determinar con mayor exactitud y fiabilidad los
la Tabla 37.
Tabla 37
Factores de Diseño
PASOS HERRAMIENTA
Objetivos de Gobierno y Gestión COBIT 2019 2y3 COBIT
TOTAL
Garantizar el establecimiento y el mantenimiento del
EDM01 142,5 35 88,75
marco de gobierno
EDM02 Asegurar la realización de beneficios 141 -5 68
EDM03 Asegurar la optimización del riesgo 147,5 45 96,25
EDM04 Asegurar la optimización de recursos 141 5 73
EDM05 Asegurar la transparencia de las partes interesadas 135,5 10 72,75
APO01 Gestionar el marco de gestión de TI 148 40 94
APO02 Gestionar la estrategia 124 10 67
APO03 Gestionar la arquitectura de la empresa 111 60 85,5
APO04 Gestionar la innovación 136,5 -10 63,25
APO05 Gestionar el portafolio 100,5 5 52,75
APO06 Gestionar el presupuesto y los costes 96 -5 45,5
APO07 Gestionar los recursos humanos 123 10 66,5
APO08 Gestionar las relaciones 123 -10 56,5
APO09 Gestionar los acuerdos de servicio 102 -5 48,5
APO10 Gestionar los proveedores 98 5 51,5
APO11 Gestionar la calidad 131,5 30 80,75
APO12 Gestionar el riesgo 139,5 70 104,75
APO13 Gestionar la seguridad 101 75 88
APO14 Gestionar los datos 115 45 80
BAI01 Gestionar los programas 106,5 20 63,25
BAI02 Gestionar la definición de requisitos 114,5 45 79,75
BAI03 Gestionar la identificación y construcción de soluciones 120,5 60 90,25
BAI04 Gestionar la disponibilidad y capacidad 94 35 64,5
BAI05 Gestionar los cambios organizativos 108 15 61,5
BAI06 Gestionar los cambios de TI 116 100 108
Gestionar la aceptación y la transición de los cambios de
BAI07 101,5 60 80,75
TI
BAI08 Gestionar el conocimiento 92,5 10 51,25
BAI09 Gestionar los activos 81 5 43
BAI10 Gestionar la configuración 82,5 70 76,25
BAI11 Gestionar los proyectos 103 30 66,5
DSS01 Gestionar las operaciones 99,5 35 67,25
DSS02 Gestionar las peticiones y los incidentes del servicio 93 65 79
DSS03 Gestionar los problemas 109 45 77
DSS04 Gestionar la continuidad 96 50 73
DSS05 Gestionar los servicios de seguridad 103,5 55 79,25
DSS06 Gestionar los controles de procesos de negocio 106,5 55 80,75
Gestionar la monitorización del rendimiento y la
MEA01 104 30 67
conformidad
MEA02 Gestionar el sistema de control interno 109 40 74,5
MEA03 Gestionar el cumplimiento de los requerimientos externos 99,5 65 82,25
MEA04 Gestionar el aseguramiento 108,5 45 76,75
2925
TOTAL
73,125
131
Tabla 38
Figura 44
2019.
con base a los valores detallados en la Tabla 38, en la primera fase con base a lo
Figura 45
basado en CMMI, Integración del modelo de madurez de capacidades (CMMI por sus
CMMI se deriva del modelo que el SEI (Software Engineering Intitute) definió
para la madurez de la capacidad del software, contiene las mejores prácticas del
procesos de TI. El fin es identificar donde se encuentran los problemas y como fijar las
CMMI representa un método de evaluación con valores desde cero (0) hasta
cinco (5): 0 indica que es no existente y 5 que se encuentra optimizado; tal como se
El nivel elegido para cada uno de los objetivos de gobierno y gestión deberá
Tabla 39
Nivel de
Descripción
capacidad
El proceso lograr su propósito, está bien definido, su rendimiento se mide para
5
mejorar el desempeño y se persigue la mejora continua.
El proceso lograr su propósito, está bien definido, y su rendimiento se mide (de
4
forma cuantitativa).
El proceso logra su propósito de forma mucho más organizada usando
3
activos para la organización. Los procesos están, por lo general, bien definidos.
El proceso logra su propósito a través de la aplicación de un conjunto de
2
actividades básicas, pero completas, que pueden caracterizarse como realizadas.
El proceso logra más o menos su propósito a través de la aplicación de un conjunto
1 de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no
muy organizadas.
• Falta de cualquier capacidad básica
0 • Estrategia incompleta para abordar el propósito de gobierno y gestión
• La intención de todas las prácticas del proceso puede haberse definido o no.
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
136
con base a los seis niveles de capacidad mencionados, lo cual se indica en las
Tabla 40
Objetivos de Gobierno y
Nivel de Capacidad Actual (NCA)
Gestión COBIT 2019
EDM01
Garantizar el establecimiento y el
1
mantenimiento del marco de
Incompleto
gobierno
- No existe un modelo estratégico de toma de
Analizar y articular los requisitos
decisiones que se cumpla al 100%.
para el gobierno de la I&T de la
- Las actividades de planificación de TI no se
empresa. Establecer y mantener
cumplen de acuerdo con lo proyectado
componentes de gobierno claros
-No se cuenta con un sistema de gobierno de TI,
con respecto a la autoridad y las
las decisiones estratégicas se aplican de forma
responsabilidades para lograr la
intuitiva
misión, las metas y los objetivos
de la empresa.
EDM03
Asegurar la optimización del
0
riesgo
No existe
Asegurar que el apetito y la
-La actividad de Gestión de Riesgos tiene un
tolerancia al riesgo de la empresa
cumplimiento de 0%.
se entiendan, articulen y
-No se cuenta con una gestión de riesgos
comuniquen, y que se identifique
adecuada, que permita la identificación y
y gestione el riesgo para el valor
evaluación de riesgos de TI.
de negocio relacionado con el uso
de I&T
137
Tabla 41
APO03
Gestionar la arquitectura de la empresa
0
Establecer una arquitectura común que consiste
No existe
en capas de arquitectura de procesos de negocio,
información, datos, aplicaciones y tecnología.
-No existe una arquitectura
Crear modelos y prácticas claves que describen
empresarial, ni tampoco un
las arquitecturas base y objetivo, en línea con la
repositorio de arquitectura
estrategia de I&T de la empresa. Definir los
integrado
requisitos de taxonomía, estándares, directrices,
-No se cuenta con modelos o
procedimientos, plantillas y herramientas, y
prácticas claves para
proporcionar un vínculo para estos componentes.
arquitecturas base y objetivo en
Mejorar el alineamiento, aumentar la agilidad,
línea con la estrategia de TI
mejorar la calidad de la información y generar
ahorros potenciales de costes mediante iniciativas
como la reutilización de componentes de bloques
de construcción.
APO11 0
Gestionar la calidad No existe
1
Incompleto
APO14 0
Gestionar los datos No existe
Lograr y mantener la gestión eficaz de los activos -La DTIC no cuenta con una
de datos de la empresa durante todo el ciclo de gestión oportuna de los activos
vida de los datos, desde la creación hasta su de datos durante todo el ciclo de
entrega, mantenimiento y archivo vida de los datos.
139
Tabla 42
Gestionar todos los cambios de una manera -No se cuenta con un proceso
controlada, incluidos los cambios estándar y los estructurado de control de
mantenimientos de emergencia en relación con los cambios de TI, no se aplican
procesos de negocio, las aplicaciones y la procedimientos y políticas para
infraestructura. Esto incluye estándares y realizar cambios de TI, mediante
procedimientos de cambio, evaluación del impacto, planes de implantación,
priorización y autorización, cambios de emergencia, cronogramas definidos y planes
seguimiento, informes, cierre y documentación. de roll back.
140
Tabla 43
DSS06
Gestionar los controles de
procesos de negocio
Definir y mantener los controles
0
apropiados de los procesos de
No existe
negocio para asegurar que la
información relacionada y
-En la actualidad no se cuenta con procesos para
procesada por procesos de negocio
la definición y empleo de controles, para asegurar
internos o externalizados cumpla
que la información relacionada y procesada por
con todos los requisitos relevantes
procesos de negocio cumplan con los requisitos de
de control de la información.
control de la información.
Identificar los requisitos relevantes
-Estos procesos deben estar relacionados y
de control de la información.
mapeados con los procesos de negocio de la DTIC
Gestionar y operar los controles
y la información retenida deberá será auditable.
adecuados de entrada, throughput
y salida (controles de aplicación)
para asegurar que la información y
el procesamiento de la información
cumpla con estos requisitos
Tabla 44
2
Completo
MEA04
Gestionar el aseguramiento
-Existe la gestión del aseguramiento
Planificar, delimitar y ejecutar iniciativas de
mediante un conjunto de actividades
aseguramiento para cumplir con requisitos
básicas, pero completas en cuanto a la
internos, leyes, regulaciones y objetivos
planificación, delimitación y ejecución de
estratégicos. Permitir que la dirección ofrezca
iniciativas de aseguramiento para
una garantía adecuada y sostenible en la
alcanzar el cumplimiento de
empresa, con la realización de revisiones y
requerimientos internos, leyes, así como
actividades de aseguramiento independiente.
con los objetivos estratégicos de la
institución.
Tabla 45
implementación tiene lugar bajo la influencia de varios factores del entorno interno y
GEIT
como aliado del negocio, para ello se utilizaron las mejores prácticas de gobernanza de
cumplimiento de los objetivos del negocio. (ISACA, Marco de referencia COBIT 2019:
de responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como
de TI en coordinación con la alta dirección, para movilizar sus recursos de la forma más
• Todos los riesgos relacionados con TI son conocidos y administrados y los recursos
de TI están seguros
• Alineamiento Estratégico
• Estructuras organizativas
• Generación de Valor
• Procesos de Gobernanza de TI
• Gestión de recursos
algo usual para la institución, estos son: el ciclo de vida de mejora continua central del
GEIT, habilitación del cambio y gestión del programa. El método del ciclo de vida
Figura 46
definidas por COBIT 2019, se realiza con base a la ejecución de las actividades
definir las tres primeras fases, tal como se describen en la Tabla 46.
Tabla 46
Una vez finalizados los factores de diseño del paso 4, que se relacionan con la
consideran como parte de las tareas de mejora continua (CI), el análisis de brechas.
nivel de capacidad objetivo que sea adecuado para cada proceso y así identificar las
brechas existentes para cada uno de los objetivos de gobierno/gestión evaluados para
proceso (NCO).
Se considera el valor 4 para el nivel de capacidad objetivo (NCO), nivel que sin
(Tabla 47).
Tabla 47
Nivel de Nivel de
Definición de
Objetivos de Gobierno y Gestión Capacidad Capacidad
Brechas
COBIT 2019 Actual Objetivo
(NCO – NCA)
(NCA) (NCO)
Garantizar el
3
establecimiento y el
EDM01 1 4 Brecha
mantenimiento del significativa
marco de gobierno
4
Asegurar la optimización
EDM03 0 4 Brecha
del riesgo significativa
3
Gestionar el marco de
APO01 1 4 Brecha
gestión de TI significativa
4
Gestionar la arquitectura
APO03 0 4 Brecha
de la empresa significativa
157
Nivel de Nivel de
Definición de
Objetivos de Gobierno y Gestión Capacidad Capacidad
Brechas
COBIT 2019 Actual Objetivo
(NCO – NCA)
(NCA) (NCO)
4
APO11 Gestionar la calidad 0 4 Brecha
significativa
4
APO12 Gestionar el riesgo 0 4 Brecha
significativa
3
APO13 Gestionar la seguridad 1 4 Brecha
significativa
4
APO14 Gestionar los datos 0 4 Brecha
significativa
4
Gestionar la definición
BAI02 0 4 Brecha
de requisitos significativa
Gestionar la
3
identificación y
BAI03 1 4 Brecha
construcción de significativa
soluciones
4
Gestionar los cambios
BAI06 0 4 Brecha
de TI significativa
Gestionar la aceptación 3
BAI07 y la transición de los 1 4 Brecha
cambios de TI significativa
4
Gestionar la
BAI10 0 4 Brecha
configuración significativa
Gestionar las peticiones
2
DSS02 y los incidentes del 2 4 Brecha moderada
servicio
4
DSS03 Gestionar los problemas 0 4 Brecha
significativa
Gestionar los servicios 2
DSS05 2 4 Brecha moderada
de seguridad
4
Gestionar los controles
DSS06 0 4 Brecha
de procesos de negocio significativa
4
Gestionar el sistema de
MEA02 0 4 Brecha
control interno significativa
Gestionar el
2
MEA03 cumplimiento de los 2 4 Brecha moderada
requerimientos externos
Gestionar el 2
MEA04 2 4 Brecha moderada
aseguramiento
158
implementación del sistema de gobierno definido por COBIT 2019, la fase 4, que tiene
es decir, una vez que se han identificado todas las posibles iniciativas de mejora, se
respuesta; tomando en cuenta los puntos expuestos en la apartado anterior 3.5.3, los
Tabla 48
Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
Garantizar el
establecimiento
y el 3
EDM01 La DTIC deberá restructurar un plan
mantenimiento Brecha significativa
del marco de estratégico de TI y establecer el modelo
gobierno de gobierno de TI
Asegurar la
4
EDM03 optimización del
Brecha significativa
riesgo
Gestionar el La DTIC deberá reformar un plan
3
APO01 marco de
Brecha significativa
estratégico de TI y establecer el modelo
gestión de TI de gobierno de TI
Gestionar la La DTIC deberá definir el modelo de
4
APO03 arquitectura de
Brecha significativa
Gobierno de TI y desarrollar un modelo
la empresa de arquitectura empresarial
La DTIC deberá aplicar una
metodología de calidad para el ciclo de
Gestionar la 4
APO11
calidad Brecha significativa
vida de desarrollo de software y,
además difundir el enfoque de
administración de proyectos
La DTIC debe aplicar un esquema de
Gestionar el 4 Gestión de Riesgos de TI, que permita
APO12
riesgo Brecha significativa la identificación, evaluación de riesgos
de TI y aplicación de controles
La DTIC deberá restructurar, reforzar y
Gestionar la 3
APO13
seguridad Brecha significativa
monitorizar el sistema de gestión de
seguridad de la información
159
Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
La DTIC deberá definir y mantener una
Gestionar los 4
APO14
datos Brecha significativa
gestión eficaz durante todo el ciclo de
vida de los datos.
La DTIC deberá difundir el enfoque de
Gestionar la
4 administración de proyectos, así como
BAI02 definición de
Brecha significativa definir y restructurar políticas y
requisitos
procedimientos de TI.
La DTIC deberá establecer y mantener
soluciones de TI identificadas en su
Gestionar la totalidad, en línea con los
identificación y 3
BAI03
construcción de Brecha significativa
requerimientos de la institución que
soluciones incluya el diseño, desarrollo,
adquisición/subcontratación y la
asociación con proveedores.
La DTIC debe contar con un proceso
estructurado de control de cambios de
TI, en el que se consideren
Gestionar los 4 procedimientos y políticas para realizar
BAI06
cambios de TI Brecha significativa cambios de TI, mediante planes de
implantación, evaluación de impacto,
riesgos, autorizaciones y planes de roll
back.
La DTIC deberá restructurar el proceso
Gestionar la de puesta y paso a producción de
aceptación y la 3 nuevos o modificados servicios de TI,
BAI07
transición de los Brecha significativa con base a una metodología, así como
cambios de TI reformar y cumplir con las políticas y
procedimientos de TI.
La DTIC deberá definir un proceso para
la gestión de la configuración de TI, así
Gestionar la 4 como considerar la implementación de
BAI10
configuración Brecha significativa una herramienta que permita
automatizar tareas relacionadas con las
configuraciones de TI
Gestionar las La DTIC deberá estandarizar los
peticiones y los 2 canales para la atención de
DSS02
incidentes del Brecha moderada requerimientos de TI, además definir y
servicio aplicar SLA´s y OLA´s.
La DTIC debe contemplar la aplicación
de un sistema integrado de gestión de
problemas, que incluya procesos
Gestionar los 4
DSS03
problemas Brecha significativa
estándares de identificación y
clasificación de problemas y la causa
raíz, considerando el cumplimiento de
SLA´s y OLA´s
-La DTIC deberá restructurar la política
de seguridad que incluya los servicios a
Gestionar los
2 todo nivel, ya que en la actualidad
DSS05 servicios de
Brecha moderada solamente se cubren los servicios de
seguridad
internet, correo electrónico y la
adquisición y desarrollo de aplicativos.
160
Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
-Se debe considerar medidas de
concientización con respecto a temas
de seguridad de la información
-Se debe definir roles y privilegios de
acceso de seguridad de la información
-Se deberá definir los servicios de
proveedores con base a requerimientos
específicos de seguridad de la
información.
-La DTIC debe contar con procesos que
permitan aplicar controles, para
asegurar que la información relacionada
Gestionar los con el negocio cumpla con los requisitos
controles de 4
DSS06
procesos de Brecha significativa
de control de la información y pueda ser
negocio auditable.
-Considerar la alternativa de
implementar herramientas
automatizadas de TI.
La DTIC deberá considerar la opción de
contar con un sistema de control interno
Gestionar el
4 que permita la administración y gestión
MEA02 sistema de
Brecha significativa del control de TI de manera regular,
control interno
incluyendo la definición de roles y
responsabilidades.
Gestionar el La DTIC debe estandarizar los
cumplimiento de
2 procedimientos que permiten identificar
MEA03 los
Brecha moderada y atender los requerimientos externos,
requerimientos
externos así como regulatorios y legales.
La DTIC deberá estandarizar la gestión
del aseguramiento que se realiza en la
Gestionar el 2
MEA04
aseguramiento Brecha moderada
institución, en cuanto a la planificación,
delimitación y ejecución de iniciativas de
aseguramiento.
161
• Objetivo de Gestión
se incluye las métricas recomendadas por COBIT 2019 que se ajustan con el contexto
Descripción:
Propósito
Gestión, 2018).
alineamiento primarias tal cual se describe en la Tabla 49. Por otra parte, de las
métricas propuestas por COBIT 2019, se seleccionan métricas y se define una fórmula
Tabla 49
METAS EMPRESARIALES/ALINEAMIENTO
APO11: GESTIONAR LA CALIDAD
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Descripción Ref. Descripción
Ejecución de programas dentro
del plazo, sin exceder el
Portafolio de productos y servicios
EG01 AG09 presupuesto, y que cumplan
competitivos
con los requisitos y estándares
de calidad
EG04 Calidad de la información financiera
Gestión de programas de
EG12
transformación digital
163
Tabla 50
MÉTRICAS
APO11: GESTIONAR LA CALIDAD
MÉTRICAS PARA METAS EMPRESARIAL MÉTRICAS PARA METAS DE ALINEAMIENTO
Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
Porcentaje de
Número de
productos y servicios 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 programas/proyect 𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠
que cumplen o 𝑞𝑢𝑒 𝑒𝑥𝑐𝑒𝑑𝑒𝑛 𝑖𝑛𝑔𝑟𝑒𝑠𝑜𝑠
𝑋= os ejecutados a 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎
exceden los objetivos 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜
𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
tiempo y dentro del 𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙
de ingresos y/o cuota
presupuesto 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜
de mercado
Número de
Porcentaje de
𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 programas que
productos y servicios
𝑜𝑓𝑒𝑟𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 necesitan una
que cumplen o 𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠
𝑐𝑖𝑒𝑛𝑡𝑒𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠 revisión
exceden los objetivos 𝑋= 𝑐𝑜𝑛 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎d
EG01 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 AG09 significativa
de satisfacción del 𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 debido a defectos
cliente
de calidad
Porcentaje de 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦
productos y servicios 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
𝑞𝑢𝑒 𝑔𝑒𝑛𝑒𝑟𝑎 𝑣𝑒𝑛𝑡𝑎𝑗𝑎 Porcentaje de
que proporcionan 𝑐𝑜𝑚𝑝𝑒𝑡𝑖𝑡𝑖𝑣𝑎 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
𝑋= *100 partes interesadas
una ventaja 𝑇𝑜𝑡𝑎𝑙 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 satisfechas con la
competitiva 𝑋= 𝑐𝑜𝑛 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
calidad del 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒
Plazo de
programa/ 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠
comercialización para
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑑𝑖𝑎𝑠 𝑑𝑒 𝑒𝑛𝑡𝑟𝑒𝑔𝑎 proyecto
nuevos productos y
servicios
Encuesta de
satisfacción de las Mediante la aplicación de
Nivel de
partes interesadas cuestionarios es posible
satisfacción del
clave con respecto al consultarlo directamente
𝑁𝑜. 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 usuario con la
nivel de con el usuario, y con base
𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠 calidad,
transparencia, 𝑋= a los resultados obtenidos
𝑇𝑜𝑡𝑎𝑙 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 puntualidad y
comprensión y se puede aplicar la
𝑒𝑛𝑐𝑢𝑒𝑠𝑡𝑎𝑑𝑜𝑠 disponibilidad de la
precisión de la siguiente formula:
EG04 información de
información
gestión
financiera de la 𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
relacionada con
empresa 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
I&T,
Coste de −
𝑋 = 𝐶𝑜𝑠𝑡𝑜 𝑑𝑒 tras considerar los % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
incumplimiento con AG10
𝑖𝑛𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑟𝑒𝑠𝑝𝑒𝑐𝑡𝑜 𝑎 recursos 𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
respecto a 𝑟𝑒𝑔𝑢𝑙𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑓𝑖𝑛𝑎𝑛𝑐𝑖𝑒𝑟𝑎𝑠 disponibles (Zone, 2019)
regulaciones
financieras
Grado de satisfacción
Relación y
del consejo de 𝑁𝑜. 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠 extensión de las
administración y la 𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎𝑑𝑜𝑠 𝑝𝑎𝑟𝑎 decisiones de 𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠
dirección ejecutiva
𝑋 = 𝑙𝑎 𝑡𝑜𝑚𝑎 𝑑𝑒 𝑑𝑒𝑠𝑖𝑐𝑖𝑜𝑛𝑒𝑠 negocio erróneas 𝑒𝑠𝑡𝑟𝑎𝑡𝑒𝑔𝑖𝑐𝑎𝑠
con la información 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠
EG07 𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠 en las que la 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
para la toma de 𝑋=
información 𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑑𝑒 𝑇𝐼
decisiones 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
errónea o no
𝑁𝑜. 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑐𝑎𝑢𝑠𝑎𝑑𝑜𝑠
Número de disponible
𝑝𝑜𝑟 𝑑𝑒𝑐𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑒𝑟𝑟ó𝑛𝑒𝑎𝑠
incidentes causados 𝑋= relacionada con
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
164
Procesos
información. El SGC debería habilitar la tecnología y los procesos del negocio que están
alineados con los requisitos del negocio y la gestión de la calidad empresarial. (ISACA,
• Métricas Recomendadas:
actividades detalladas en la Tabla 51, las mismas que se deberán ejecutar en la DTIC,
Tabla 51
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Asegurar que el marco de control de
La DTIC deberá ajustar todos
I&T y los procesos empresariales y
sus procesos, proyectos y
de TI, incluyen una estrategia
programas al estándar de
estándar, formal y continua con
aseguramiento de la calidad
A1. respecto a la gestión de la calidad
definido en este proyecto, con
que está alineada con los requisitos
lo cual se pueda cumplir con
de la empresa. Dentro del marco de
los acuerdos propuestos,
control de I&T y los procesos
tanto para quien los elabora
empresariales y de TI, identificar los
como para quien los recibe.
requisitos y criterios de calidad
La DTIC deberá analizar los
diferentes roles planteados en
Definir roles, tareas y derechos de 3
el proyecto, en función de las
decisión y responsabilidades para la
A2. distintas actividades que se
gestión de la calidad en la estructura
plantean en el proceso de
organizativa.
calidad y adaptarlos a los
roles actualmente definidos.
La DTIC deberá implementar
Obtener insumos de la dirección y un plan donde se defina los
las partes interesadas externas e parámetros de aceptación
A3.
internas sobre la definición de los para la entrega y recepción de
requisitos de calidad y los criterios insumos, para el cumplimiento
de gestión de la calidad. de los diversos proyectos y
servicios.
La DTIC deberá implementar
Gestionar y revisar regularmente el parámetros de aceptación
SGC frente a los criterios de donde se pueda identificar
A4.
aceptación acordados. Incluir 4 que se cumpla y se puedan
retroalimentación de los clientes, satisfacer las necesidades de
usuarios y dirección los clientes, en cuanto a los
entregables proporcionados.
La DTIC deberá establecer un
plan con una periodicidad
adecuada, que permita
Responder a las discrepancias de analizar los procesos,
A5. los resultados de la revisión para 5 programas y proyectos
mejorar continuamente el SGC implementados para realizar
los respectivos ajustes que
permitan mejorar
continuamente.
167
• Métricas Recomendadas:
empresa y la organización de TI
detalladas en la Tabla 52, las mismas que se deberán ejecutar en la DTIC, las cuales se
Tabla 52
Nivel de
Ref. Actividad Capacida Actividades en la DTIC
d
Enfocar la gestión de la calidad en los
La DTIC deberá ajustar todos
clientes para determinar los
sus procesos, proyectos y
requisitos del cliente interno y externo
programas al estándar de
y asegurar el alineamiento de los
aseguramiento de la calidad
A1. estándares y las prácticas de I&T.
definido en este proyecto,
Definir y comunicar los roles y
con lo cual se pueda cumplir
responsabilidades relacionados con
con los acuerdos propuestos,
la resolución de conflictos entre el
tanto para quien los elabora
usuario/cliente y la organización de
como para quien los recibe.
TI.
Gestionar las necesidades y La DTIC deberá analizar los
expectativas empresariales para criterios de aceptación de
cada proceso de negocio y servicio 3 cada uno de los procesos y
A2.
operativo y nuevas soluciones de TI. proyectos planteados,
Mantener sus criterios de aceptación indicando el cumplimiento de
de calidad. estos.
La DTIC deberá plantear un
formato de cumplimiento de
acuerdo a cada
Comunicar los requisitos y requerimiento o proyecto
A3.
expectativas del cliente al negocio y realizado, el cual le permita
la organización de TI respaldar las entregas a
tiempo y el cumplimiento de
todos los requerimientos
entregados.
Obtener las opiniones de clientes de
forma periódica sobre los procesos
de negocio y la prestación de La DTIC deberá realizar
servicios y entrega de soluciones de reuniones periódicas, las
A4.
TI. Determinar el impacto de los cuales les permita mejorar
estándares y prácticas de I&T y los niveles de satisfacción de
garantizar que se satisfagan y los clientes.
pongan en práctica las expectativas 4
del cliente.
La DTIC deberá compartir
con la organización los
Capturar los criterios de aceptación
niveles SLA acordados con
A5. de calidad para su inclusión en los
los responsables de cada
SLA.
proceso y servicio ofertado
por la DTIC.
169
prácticas para los procesos clave con el fin de guiar a la empresa hacia el logro de los
con los requisitos del marco de control de I&T. Considerar la certificación de procesos
• Métricas Recomendadas:
producción
calidad
la calidad
la calidad en los procesos y soluciones clave, COBIT propone las siguientes actividades
detalladas en la Tabla 53, las mismas que se deberán ejecutar en la DTIC, las cuales se
Tabla 53
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá ajustar todos sus
Definir los estándares, prácticas y procesos, proyectos y programas
procedimientos de gestión de la al estándar de aseguramiento de la
A1. calidad en línea con los requisitos del calidad definido en este proyecto,
2
marco de control de I&T y los criterios con lo cual se pueda cumplir con
y políticas de gestión de la calidad los acuerdos propuestos tanto para
empresariales. quien los elabora como para quien
los recibe.
Integrar las prácticas de gestión de la
La DTIC deberá ajustar sus
calidad requeridas en procesos y
A2. procesos y soluciones a medida
soluciones clave en toda la
que las mismas, puedan generar
organización.
mayor valor agregado a la
A3. Cuantificar los beneficios y costes de
3 organización.
las certificaciones de calidad
La DTIC deberá implementar el
A4. Comunicar de forma eficaz el proceso de calidad, mismo que
enfoque de gestión de la calidad deberá ser difundido en un plan de
capacitación para la organización.
Registrar y monitorizar los datos de
calidad. Usar buenas prácticas de la
A5. industria como referencia a la hora de
mejorar y personalizar las prácticas La DTIC deberá implementar un
de calidad de la empresa proceso que permita ejecutar el
4
Revisar regularmente la relevancia, monitoreo constante de los
eficiencia y eficacia continua de los procesos implementados
A6. procesos específicos de gestión de
calidad. Monitorizar el logro de los
objetivos de calidad.
171
implementar medidas para monitorizar la satisfacción del cliente con la calidad, así
Dueño del proceso debería utilizar la información recopilada para mejorar la calidad.
• Métricas Recomendadas:
∑𝑛𝑖=1 𝑋𝑖
𝑿= 𝑛
de la calidad
actividades detalladas en la Tabla 54, las mismas que se deberán ejecutar en la DTIC,
Tabla 54
Ref Nivel de
Actividad Actividades en la DTIC
. Capacidad
La DTIC deberá difundir su proceso de
Preparar y realizar las revisiones de
A1. calidad e implementarlo en los
calidad para procesos y soluciones 3
diversos servicios y productos que
organizativas clave.
agreguen valor a la organización.
Para estos procesos y soluciones
La DTIC deberá implementar
organizativas clave, monitorizar las
indicadores de gestión, los cuales se
A2. métricas de calidad basadas en
encuentran alineados a los objetivos
metas alineadas con los objetivos
estratégicos.
generales en cuanto a calidad.
Asegurar que la dirección y los 4
responsables de los procesos La DTIC deberá elaborar reportes de
A3. revisen regularmente el rendimiento gestión, que permitan validar la
de la gestión de la calidad en implementación adecuada de los
comparación con las métricas de procesos.
calidad definidas
La DTIC deberá analizar los resultados
Analizar los resultados generales
A4. y elaborar planes de mejora, que
del rendimiento de gestión de la
permitan elevar el rendimiento de cada
calidad
uno de los procesos implementados.
La DTIC deberá generar reportes de
Informar sobre los resultados de
gestión, que permitan a los mandos
revisión de rendimiento y gestión de
A5. la calidad e iniciar las mejoras
5 superiores estar al tanto de los
resultados obtenidos de cada
necesarias
implementación realizada.
173
que promueva la mejora continua. El plan debería definir la necesidad y los beneficios
Gestión, 2018)
• Métricas Recomendadas:
Tabla 55, las mismas que se deberán ejecutar en la DTIC, las cuales se incluyen como
Tabla 55
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá elaborar
Establecer una plataforma para
tableros de BI que
compartir buenas prácticas y captar
A1. permitan la gestión y la
información sobre los defectos y 2
toma de decisiones de
errores para permitir el aprendizaje a
cada uno de los
partir de ellos
proyectos entregados.
Identificar ejemplos de procesos de
entrega de calidad excelente que La DTIC deberá elaborar
puedan beneficiar a otros servicios o planes de mejora de los
A2.
proyectos. Compartirlos con los procesos y servicios
equipos de ejecución de proyectos y implementados
servicios para fomentar la mejora.
La DTIC deberá
Identificar ejemplos recurrentes de implementar matrices,
defectos de calidad. Determinar su que permitan identificar
A3. causa raíz, evaluar su impacto y los diferentes riesgos y
resultado y acordar acciones de problemas, que puedan
3
mejora con los equipos de ejecución afectar a los procesos y
del servicio y/o proyecto. proyectos previamente
implementados.
La DTIC deberá
desarrollar planes de
capacitación, que
Proporcionar a los empleados
A4. permita al personal de la
formación en métodos y herramientas
organización estar
de mejora continua
capacitado para la
implementación de
nuevas mejoras.
La DTIC deberá elaborar
actualizaciones
Hacer un análisis comparativo de los periódicas de los
resultados de benchmarks de calidad procesos, servicios o
con los datos históricos internos, productos entregados a
A5. 4
directrices de la industria, estándares la organización, en los
y datos de tipos de empresas cuales se haya
similares. implementado mejoras y
permita generar valor
agregado a la institución.
175
Estructuras Organizativas
responsabilidades de cada actor que participa en cada uno de los procesos descritos.
La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las
columnas los actores; en la intersección de cada fila con cada columna, se asigna la
Figura 47
Matriz de Responsabilidades
Gestión, 2018)
176
Este componente de gobierno indica una guía sobre los flujos y elementos de
comunicación relacionados con la práctica de los cinco procesos del objetivo APO11,
Tabla 56
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
Roles,
APO11.05
responsabilidad
Mantener la mejora continua
es y derechos
DSS06.03
de decisión del
Gestionar roles, responsabilidades,
sistema de
privilegios de acceso y niveles de
gestión de
autoridad.
calidad (SGC)
APO14.04
Definir una estrategia de calidad de los
Establecer Sistema de datos.
un sistema Fuera de
calidad APO14.06
APO11.01 de gestión COBIT Planes de
empresarial Asegurar un enfoque de evaluación de
de calidad gestión de la
la calidad de los datos
(SGC). calidad
BAI01.07
Gestionar la calidad del programa.
BAI11.05
Gestionar la calidad del proyecto.
Resultados de
BAI03.06
las revisiones
Realizar el aseguramiento de calidad
de eficiencia
(QA)
del SGC
APO08.05
Proporcionar aportes para la mejora
continua de los servicios
Requisitos del APO09.03
cliente para la Definir y preparar acuerdos de servicio
gestión de la BAI01.07
calidad Gestionar la calidad del programa
BAI11.06
Requisitos de Gestionar el riesgo del proyecto.
Enfocar la Fuera de calidad del APO08.05
gestión de la COBIT negocio y los Proporcionar aportes para la mejora
APO11.02
calidad en clientes Resultados de continua de los servicios.
los clientes la calidad del APO09.05
servicio, Revisar los acuerdos y los contratos
incluida la de servicio
retroalimentaci BAI05.01
ón de los Establecer el deseo de cambiar.
clientes BAI07.07
Proporcionar soporte oportuno en
producción
177
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
BAI02.01
Definir y mantener los requisitos
funcionales y técnicos del negocio
Criterios de
BAI02.02
aceptación
Realizar un estudio de factibilidad y
formular soluciones alternativas
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
APO08.02
Alinear la estrategia de I&T con las
expectativas empresariales e
identificar oportunidades para que TI
mejore el negocio
APO09.04
Monitorizar y reportar los niveles de
Causas raíz de servicio
los fallos de BAI07.08
entrega de Realizar una revisión post-
calidad implementación
•Certificaciones MEA02.04
de calidad Identificar e informar las deficiencias
Fuera de
disponibles de control
COBIT
• Buenas MEA04.04
prácticas de la Definir el alcance de la iniciativa de
industria aseguramiento.
APO08.05
Proporcionar aportes para la mejora
continua de los servicios.
Resultados de
APO09.04
la
Monitorizar y reportar los niveles de
monitorización
servicio
de la calidad
BAI07.08
Realizar una revisión post
implementación
TODOS LOS APO
APO01.- Gestionar el marco de
gestión de I&T.
APO02.- Gestionar la estrategia
APO03.- Gestionar la arquitectura
empresarial
APO04.- Gestionar la innovación
APO05.- Gestionar el portafolio
• Plan de
BAI03.06 APO06.- Gestionar el presupuesto y
Llevar a aseguramiento Metas y
Realizar el los costes
cabo la de calidad métricas del
asegurami APO07.- Gestionar los recursos
monitorizaci • Resultados, proceso de
APO11.04 ento de humanos
ón, control y excepciones y calidad del
calidad APO08.- Gestionar las relaciones
revisiones correcciones de servicio
(QA) APO09.- Gestionar los acuerdos de
de calidad. la revisión de
servicio
calidad
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
179
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
APO08.05
Proporcionar aportes para la mejora
• Estado de
continua de los servicios.
DSS02.07 incidentes e
APO09.04
Hacer informe de Resultados de
Monitorizar y reportar los niveles de
seguimien tendencias las
servicio.
to al revisiones y
APO09.05
estado y • Estado de auditorías de
Revisar los acuerdos y los contratos
producir cumplimiento calidad
de servicio.
informes de peticiones e
BAI07.08
informe de
Realizar una revisión post-
tendencias
implementación
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos
humanos
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos
humanos
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
TODOS LOS APO
APO01.- Gestionar el marco de
gestión de I&T.
APO02.- Gestionar la estrategia
Comunicacione
APO03.- Gestionar la arquitectura
s sobre mejora
empresarial
continua y
APO04.- Gestionar la innovación
mejores
APO05.- Gestionar el portafolio
prácticas
APO06.- Gestionar el presupuesto y
los costes
APO07.- Gestionar los recursos
humanos
182
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y
Gestión, 2018)
183
COBIT con base al Skills Framework for the Information Age (SFIA®) V6
(versión 6), define los siguientes recursos humanos y habilidades que se requieren para
Políticas y Procedimientos
• SGC
de los objetivos de gobierno y gestión, en este caso, del objetivo de gestión APO11:
Gestionar la calidad.
Gestión de Calidad, donde se obtuvo como resultado que la institución no cuenta con un
un grafol, donde las funcionalidades están representadas como nodos y dentro de estas
Características de un PA
Las principales características que se pueden indicar son: (Sanchis Milla, 2015)
del software.
ejecución) una secuencia de pasos de uso y el resultado alcanzado, todo ello desde
Figura 48
Contexto de TDRE
• Código de servicio
• Versión
• Nivel de Servicio
I. Diagnóstico Inicial
Mayo. Ocampo
Contacto Soporte
mail:[email protected]
Contacto para Ing. Gilma Toaza
modificaciones mail: [email protected]
La Dirección de Tecnologías de la Información y
Propietario
Comunicaciones (DTIC)
Clientes Usuarios unidades militares
INTRODUCCIÓN
El servicio de aseguramiento de calidad permitirá garantizar en cada uno de los
entregables el cumplimiento de todas las necesidades solicitadas, a su vez dicho
servicio permitirá mitigar la cantidad de errores que puedan surgir en su entrega.
ALCANCE
a) Elaboración de requerimiento con todas las
necesidades
b) Se genera un oficio de la solicitud del requerimiento
en el Gestor Documental (Chasqui)
c) DTIC recepta el requerimiento
Inicia con:
d) Se evalúa la factibilidad del desarrollo del
requerimiento
e) Se envía una respuesta al solicitante
f) Se procede con la asignación del requerimiento al
responsable
a) Se realiza pruebas de validación con el usuario
solicitante
Termina con: b) Se realiza acta entrega del requerimiento
c) Se firma el acuerdo de la entrega del requerimiento
d) Cierre de oficio en el sistema Chasqui
OBJETIVO
Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y
proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de
cada uno de los entregables.
SERVICIO CONTIENE
FÓRMULA DE
OPERATIVO
OPERATIVO
DE MEDIDA
CONDICIÓN
INDICADOR
INDICADOR
ESPERADO
DEMANDA
OBJETIVO
OBJETIVO
PESO DEL
PESO DEL
CÁLCULO
FUENTE
(umbral)
MÍNIMO
VALOR
VALOR
RATIO
RATIO
(#
Tiempo en Requerimient
Tiempo estado sin os atendidos
de atención en el tiempo
atención 40 desde que comprometid
80% 85% Chasqui 5
del % el o / # Total
requerimi requerimie Requerimient
ento nto fue os
reportado Recibidos)*1
00
(#
Tiempo en Requerimient
Tiempo estado sin os resueltos
100 de atención en el tiempo
Desempeño
% Resoluci 40 desde que comprometid
80% 85% Chasqui 5
ón del % el o / # Total
requerimi requerimie Requerimient
ento nto fue os
reportado Recibidos)*1
00
Número
Número de
de desarrollo Número de
45
desarroll 80% 85% s Chasqui desarrollos 10
%
os solicitados revisados
revisados para la
revisión
190
Descripción
Propósito
como se indica en la Tabla 57. Por otra parte, de las métricas propuestas por COBIT
2019, se seleccionan métricas y se define una fórmula de cálculo para el indicador que
Tabla 57
METAS EMPRESARIALES/ALINEAMIENTO
DSS05. GESTIONAR LOS SERVICIOS DE SEGURIDAD
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Descripción Ref. Descripción
Gestión de riesgo relacionado con
EG02 Gestión de riesgo del negocio AG02
I&T
Seguridad de la información,
EG06 Continuidad y disponibilidad del AG07
infraestructura de procesamiento y
servicio del negocio
aplicaciones, y privacidad
192
Tabla 58
MÉTRICAS
DSS05. Gestionar los servicios de seguridad
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
Porcentaje de Porcentaje de
objetivos y evaluaciones de
servicios 𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 riesgo 𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔
empresariales 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓 empresarial que 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓
𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐 𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐
críticos 𝑿= 𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔 incluyen el 𝑿= 𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔
cubiertos por la 𝒄𝒓í𝒕𝒊𝒄𝒐𝒔 riesgo 𝒄𝒓í𝒕𝒊𝒄𝒐𝒔
evaluación de relacionado con
riesgo I&T
EG02 AG2
Número de
Número de
incidentes
incidentes
significativos
significativos
que no se 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔
relacionados
identificaron en 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 IT
𝑿= con I&T que no 𝑿=
la evaluación de 𝑻𝒐𝒕𝒂𝒍 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
se identificaron
riesgos frente al
en la evaluación
total de
de riesgos
incidentes
Número de
Número de
incidentes de
interrupciones
disponibilidad
del servicio al
que causan
cliente o 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔
𝑿 = 𝑵𝒐. 𝒅𝒆 𝒊𝒏𝒕𝒆𝒓𝒓𝒖𝒑𝒄𝒊𝒐𝒏𝒆𝒔 AG07 pérdidas
EG06 procesos 𝑿 = 𝒅𝒆 𝒅𝒊𝒔𝒑𝒐𝒏𝒊𝒃𝒊𝒍𝒊𝒅𝒂𝒅
𝒅𝒆𝒍 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐 𝒂𝒍 𝒄𝒍𝒊𝒆𝒏𝒕𝒆 financieras,
empresariales 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
interrupción del
que causan
negocio o
incidentes
descrédito
significativos
público
Procesos
malicioso (p. ej., ransomware, malware, virus, gusanos, spyware y spam). (ISACA,
• Métrica Recomendada:
contra software malicioso, planteadas por COBIT son las que se indica en la Tabla 59,
para las cuales se señala las actividades relacionadas que se ejecutan y que se
deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición del
proceso.
Tabla 59
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Instalar y activar herramientas
A1. de protección contra software Herramienta de antivirus Bit
malicioso en todas las Defender instalada y activa
instalaciones de procesamiento
2
Solución única de seguridad
UTM funcionando, que integra
A2. Filtrar el tráfico de entrada
funciones de filtrado de
contenido, firewall de red, etc.
Comunicación y concienciación
sobre software malicioso y
hacer cumplir los
La DTIC deberá definir y
procedimientos y
A3. comunicar de manera frecuente
responsabilidades de
una política de prevención de
prevención. Impartir formación
software malicioso
periódica sobre malware en el 3
uso de correo electrónico e
Internet.
La DTIC deberá optimizar el
Distribuir todo el software de
A4. funcionamiento de la
protección centralmente
herramienta Bit Defender y
(versión y parches) usando una
Distribuir todo el software de
194
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
configuración centralizada y la protección centralmente
gestión de cambios de TI (versión y parches) usando una
configuración centralizada y la
gestión de cambios de TI
La DTIC deberá revisar y
Revisar y evaluar la
evaluar la información sobre
A5. información sobre nuevas 4
nuevas amenazas potenciales,
amenazas potenciales.
de manera periódica
Gestión, 2018)
• Métricas Recomendadas:
la seguridad de la conectividad y de la red, planteadas por COBIT son las que se indica
en la Tabla 60, para las cuales se señala las actividades relacionadas que se ejecutan y
que se deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición
del proceso.
195
Tabla 60
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Permitir que solo los dispositivos La DTIC deberá definir una
A1. autorizados tengan acceso a la política de autenticación
información corporativa y a la red para los dispositivos que
de la empresa requieran conexión a la red.
Implementar mecanismos de
Solución única de seguridad
filtrado de red y software de
UTM funcionando, que
detección de intrusos. Hacer
A2. 2 integra funciones de filtrado
cumplir las políticas adecuadas
de contenido, firewall de red,
para controlar el tráfico entrante
etc.
y saliente.
La DTIC deberá definir una
A3. Configurar el equipo de red de política de configuración de
forma segura equipos de red de forma
segura
Encriptar la información en La DTIC deberá realizar
A4. tránsito de acuerdo con su encriptación de la
clasificación información en tránsito.
La DTIC deberá mantener
Establecer y mantener una
3 una política para la
política para la seguridad de la
seguridad de la conectividad
A5. conectividad con base en las
con base en las
evaluaciones de riesgo y los
evaluaciones de riesgo y los
requisitos del negocio
requisitos del negocio
La DTIC debe establecer
Establecer mecanismos
mecanismos confiables para
confiables para apoyar la
A6. apoyar la transmisión y
transmisión y recepción segura
recepción segura de la
de la información
información
En la DTIC se deberá llevar
Llevar a cabo pruebas periódicas
a cabo pruebas periódicas
de penetración y a seguridad del
de penetración y a seguridad
A7. sistema para determinar la 4
del sistema para determinar
idoneidad de la protección de la
la idoneidad de la protección
red y del sistema
de la red y del sistema
196
• Métricas Recomendadas:
Tabla 61
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC mediante el área de
Configurar los sistemas
A1. Seguridad Lógica deberá incluir la
operativos de forma
configuración segura de sistemas
segura
operativos.
La DTIC deberá optimizar el
Implementar funcionamiento de la herramienta Bit
A2. mecanismos de Defender para implementar
bloqueo de dispositivos mecanismos de bloqueo de
dispositivos
Implementar el filtrado La DTIC deberá optimizar el
de tráfico de red en funcionamiento del cortafuegos de la
A3.
dispositivos de punto herramienta Bit Defender para
final implementar filtrado de trafico de red
La DTIC deberá revisar la política de
Gestionar la
seguridad para considerar la
A4. configuración de red de
configuración de red de endpoint de
forma segura
forma segura
-La DTIC a través del área de
seguridad lógica deberá proteger la
tanto la integridad de los discos
2
como del sistema de archivos
almacenada en los equipos,
mediante el uso de herramientas
propias de Windows, para revisar si
existen sectores dañados u otros
Proteger la integridad
A5. errores en los discos.
del sistema
-Además, se debe mantener el
software de Antivirus instalado y
funcionando de manera correcta
- Mantener políticas de copias de
seguridad, y
- Disponer de planes de
contingencia e inventario de todo el
software instalado.
La DTIC deberá revisar la política de
seguridad para incluir medidas de
Proporcionar protección
protección del hardware, que
A6. física a los dispositivos
contemple aspectos como: acceso
de punto final
físico, desastres naturales,
alteraciones del entorno
198
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá revisar la política de
Eliminar de forma
seguridad para incluir medidas de
A7. segura los dispositivos
protección del hardware para incluir
Endpoint
la eliminación segura de endpoint.
La DTIC deberá considerar ampliar
las capacidades de seguridad de la
herramienta Bitdefender para
Gestionar el acceso
implementar la funcionalidad de
malicioso a través del
A8. EDR (Endpoint Detection and
correo electrónico y los
Response) con el fin de mantener
navegadores web
una mayor visibilidad y respuesta
ante incidentes de seguridad en
puntos finales de la red.
La DTIC deberá considerar la
Encriptar la información
utilización de una herramienta que
almacenada de
A9. 3 permita la encriptación de la
acuerdo con su
información almacenada de acuerdo
clasificación
con su clasificación.
a la información de acuerdo con los requisitos del negocio. Coordinarse con las
unidades del negocio que gestionan sus propios derechos de acceso en los procesos
Gestión, 2018)
• Métricas Recomendadas:
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑿𝟏 =
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
𝑐
información.
199
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑿𝟐 =
𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑙 𝐴𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜
𝑐
describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán
Tabla 62
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Mantener los derechos de Para cumplir las actividades
acceso de los usuarios de indicadas en el proceso de
A1. acuerdo con la función del Gestionar la identidad del
2
negocio, los requisitos del usuario y el acceso lógico, la
proceso y las políticas de DTIC deberá considerar la
seguridad. opción de implementar un
Administrar oportunamente servidor de Directorio Activo que
todos los cambios en los proporcione las funcionalidades
derechos de acceso (creación, de organización y gestión de los
modificación y eliminación), componentes de la red como
A2. basándose únicamente en ordenadores, grupos, usuarios,
transacciones aprobadas y dominios, varias políticas de
documentadas que hayan sido seguridad, además de cualquier
autorizadas por personas tipo de objeto definido para el
designadas por la dirección. 3 usuario y administración de
Segregar, reducir al mínimo credenciales.
necesario y gestionar
A3.
activamente cuentas de usuario Entre las opciones que se
privilegiadas. pueden considerar se
Identificar de forma unívoca y encuentran, la licenciada de
por roles funcionales todas las Microsoft Active Directory, o
A4.
actividades de procesamiento herramientas gratuitas que
de información. ofrecen este tipo de
200
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Autenticar todo el acceso a funcionalidades como Open
activos de información de LDAP, Mandriva Directory
A5. acuerdo con el rol del individuo Server, etc.
o a las reglas del negocio.
emergencia)
acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios y
áreas debe estar justificado, autorizado, registrado y supervisado. Este requisito aplica a
todas las personas que accedan a las instalaciones, incluyendo personal interno,
• Métricas Recomendadas:
física
el acceso físico a los activos de I&T planteadas por COBIT, en la Tabla 63 se describen
Tabla 63
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La institución realiza el registro y
monitorización de todos los
Registrar y monitorizar todos puntos de entrada a las
los puntos de entrada a las instalaciones. El requisito para
A1. instalaciones de TI. Registrar a ingresar es la entrega de un
todos los visitantes al sitio, documento de identificación. Se
incluidos contratistas y 2 tiene 2 puntos de registro, en la
Proveedores planta baja del edificio de la
Comandancia General y en el
piso 8 para ingresar a la DTIC.
A todos los visitantes que
Asegurar que todo el personal
A2. ingresan a la Comandancia
muestra una identificación
General se entrega una
202
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
debidamente autorizada en credencial y se solicita utilizar la
todo momento misma de manera visible, para
seguir a cualquier departamento
incluido a la DTIC
Requerir a los visitantes que La institución solicita información
estén acompañados en todo del propósito de la visita, para
A3.
momento durante su estancia constatar la persona/s con quien
en las instalaciones se encontrará el visitante.
A pesar de que el ingreso al
Restringir y monitorizar el
Ministerio es controlado mediante
acceso a instalaciones
un sistema de rayos X de
sensibles de TI, mediante el
inspección de pertenencias; la
establecimiento de
A4. DTIC debe considerar la
restricciones al perímetro,
implementación de controles
como vallas, paredes y
adicionales que permitan reforzar
dispositivos de seguridad en
la seguridad a las instalaciones
puertas interiores y exteriores.
de TI.
La DTIC debe incluir como parte
Gestionar solicitudes para
de la política la gestión de
permitir el acceso debidamente
solicitudes para permitir el
autorizado a las instalaciones
acceso autorizado a las
de cómputo.
instalaciones de cómputo
Garantizar que los perfiles de La DTIC deberá garantizar que
acceso permanezcan los perfiles de acceso
actualizados. Basar el acceso a permanezcan actualizados y que
A6. las instalaciones de TI (sala de 3 el acceso a las instalaciones de
servidores, edificios, TI se encuentre relacionado con
áreas o zonas) en el cargo y el cargo y las responsabilidades
las responsabilidades. de los usuarios.
La DTIC debe realizar
Realizar formación sobre
concientización a los usuarios
concienciación de la seguridad
A7. sobre la seguridad de la
de la información física de
información física de forma
forma regular
regular.
• Métricas Recomendadas:
en el inventario
describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán
Tabla 64
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá establecer
Establecer procedimientos para
procedimientos para
gobernar la recepción, uso, retiro y
gobernar la recepción, uso,
A1. desecho de documentos sensibles y
retiro y desecho de
dispositivos de salida, dentro y
documentos sensibles y
fuera
dispositivos de salida, dentro
de la empresa.
2 y fuera de la empresa
La DTIC deberá asegurar el
Asegurar que se han establecido establecimiento de controles
controles criptográficos para criptográficos para proteger
A2.
proteger información sensible información sensible
almacenada electrónicamente. almacenada
electrónicamente
204
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Asignar privilegios de acceso a
documentos sensibles y dispositivos
La DTIC deberá definir
de salida con base en el principio
privilegios de acceso a
A3. de menor privilegio, manteniendo
documentos sensibles y
un
dispositivos de salida.
equilibrio entre el riesgo y los 3
requisitos del negocio
Establecer un inventario de La DTIC debe establecer un
documentos sensibles y dispositivos inventario de documentos
A4.
de salida y realizar reconciliaciones sensibles y dispositivos de
periódicas salida.
• Métricas Recomendadas:
perimetrales
relacionadas con la DTIC, que se ejecutan y que se deberán implementar, las cuales se
Tabla 65
Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Usar de forma continua un
La DTIC a través del área de
portafolio de tecnologías, servicios
Seguridad de la información
y activos soportados (por ejemplo:
A1. deberá realizar actividades
escáneres de vulnerabilidad y
periódicas de escaneos de
sniffers) para identificar
vulnerabilidades.
vulnerabilidades de seguridad de
la información.
La DTIC mediante el área de
Definir y comunicar escenarios de
Seguridad de la Información
riesgo para que se puedan
Digital recibe información y
A2. reconocer con facilidad y se
comunica escenarios de riesgo
pueda entender su probabilidad e
para definir su probabilidad e
impacto.
2 impacto.
La DTIC mediante el área de
Revisar regularmente los logs de Seguridad de la Información
A3. eventos para detectar posibles Digital, revisa periódicamente
incidentes. los logs de eventos para
identificar posibles incidentes.
La DTIC por medio del área de
Garantizar que se creen tickets Seguridad de la Información
relativos a incidentes de seguridad Digital, deberá reforzar el
A4. de forma oportuna cuando la procedimiento de creación de
monitorización identifique posibles tickets de forma oportuna, frente
incidentes a la identificación de posibles
incidentes.
Registrar eventos relacionados La DTIC por medio del área de
con la seguridad y conservar los Seguridad de la Información
A5. 3
registros durante el periodo de Digital registra eventos
tiempo apropiado relacionados con la seguridad.
206
Estructuras Organizativas
responsabilidades de cada actor que participa en cada uno de los procesos descritos.
La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las
columnas los actores; en la intersección de cada fila con cada columna, se asigna la
Figura 49
Matriz de Responsabilidades
Gestión, 2018)
207
Este componente de gobierno indica una guía sobre los flujos y elementos de
comunicación relacionados con la práctica de los siete procesos del objetivo DSS05,
Tabla 66
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO01.02
Política de Gestionar la
prevención de comunicación de
software objetivos, dirección
Proteger contra malicioso y decisiones
DSS05.01 software tomadas.
malicioso APO12.02
Evaluaciones de Analizar el riesgo
amenazas APO12.03
potenciales Mantener un perfil
de riesgo
APO01.07
APO01.02
Definir la
Gestionar la
propiedad de la Directrices de Política de
comunicación de
información clasificación de seguridad de la
objetivos, dirección
Gestionar la (datos) y del datos conectividad
y decisiones
seguridad de la sistema de
DSS05.02 tomadas
conectividad y de información
la red. MEA04.07
APO09.03
Resultados de Ejecutar la iniciativa
Definir y preparar
SLAs pruebas de de aseguramiento,
acuerdos de
penetración enfocándose en la
servicio
eficacia operativa
APO03.02
Modelo de
Definir la
arquitectura de la
arquitectura de
información
referencia
APO09.03
Definir y preparar • SLAs APO01.02
acuerdos de • OLAs Políticas de Gestionar la
Gestionar la
servicio seguridad para comunicación de
DSS05.03 seguridad de
BAI09.01 Resultados de dispositivos objetivos, dirección
endpoint.
Identificar y comprobaciones Endpoint y decisiones
registrar los de tomadas
activos actuales inventario físicas
DSS06.06
Asegurar los Informes de
activos de violaciones
información
208
ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
Definición de
Resultados de
roles
APO01.05 revisiones
y
Establecer roles y de cuentas de Interna
Gestionar la responsabilidades
responsabilidades usuarios y
identidad del relacionadas con
DSS05.04 privilegios
usuario y el I&T
acceso lógico. APO03.02 Derechos de
Modelo de
Definir la acceso de
arquitectura de la Interna
arquitectura de usuario
información
referencia aprobados
DSS06.03,
Gestionar roles,
responsabilidades,
privilegios de
acceso y niveles de
Registros de autoridad
Gestionar el
acceso MEA04.07
acceso físico a
DSS05.05 Ejecutar la iniciativa
los activos de
de aseguramiento,
I&T.
enfocándose en la
eficacia
operativa
Solicitudes de
acceso Interna
aprobadas
Privilegios de
Gestionar Interna
APO03.02 acceso
documentos Modelo de
Definir la Inventario de
DSS05.06 sensibles y arquitectura de la
arquitectura de documentos y
dispositivos de información Interna
referencia dispositivos
salida.
sensibles
Tickets DSS02.02
relacionados Registrar, clasificar
Gestionar las con y priorizar las
vulnerabilidades incidentes de peticiones e
y monitorizar la seguridad incidentes
infraestructura Características
DSS05.07
para detectar de los
Interna
eventos incidentes de
relacionados con seguridad
la seguridad. Logs de eventos
de Interna
seguridad
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno
y Gestión, 2018)
COBIT con base al Skills Framework for the Information Age (SFIA®) V6
(versión 6), define los siguientes recursos humanos y habilidades que se requieren para
209
• Seguridad de la información
• Pruebas de penetración
• Administración de seguridad
Políticas y Procedimientos
una descripción; en el caso del objetivo de gobierno DSS05: Gestionar los servicios
de TI para la DTIC; es así que en este apartado se considera todos los servicios de TI,
cumple, así como objetivos, entradas, salidas, etc. Además, con las actividades
• Código de servicio
• Versión
• Niveles de Servicio
Tabla 67
Servicios de TI en la DTIC
SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Identificar los requisitos
funcionales del
software de
aplicaciones, prestar
apoyo en el diseño y
desarrollo de dichas
aplicaciones y subir a
los ambientes de
STI.APL.
1 Aplicaciones Aplicaciones desarrollo, pruebas y
09
producción,
aplicaciones nuevas o
actualizaciones a las
Aplicaciones versiones ya
existentes; y así
mantener los servicios
disponibles para el
usuario
Permitir ahorro de
recursos, protección al
medio ambiente, ayuda
Gestión Gestor STI.GDO al manejo centralizado
2
Documental Documental C.11 de los requerimientos y
seguridad de la
información del Ejército
Servicios de
del Ecuador.
Software
Desarrollar e
implementar nuevos
Herramientas STI.DES aplicativos y brindar
Desarrollo
3 de A_HE. mantenimiento y
de Software
Desarrollo 04.01 soporte de aplicativos
que se encuentran
desarrollados
Brindar al usuario la
información necesaria
Herramienta
Herramientas STI.DES para realizar una mejor
s de
4 de A_REP.0 toma de decisiones en
desarrollo de
Desarrollo Reportería 4.02 función a la información
Reportería
Informático registrada por cada
proceso.
Garantizar, monitorear
y llevar un control de
cada uno de los
proceso, servicios y
Control de Control de STI.QA.0 proyectos que se
5
Calidad Calidad 2 ejecutan por parte de la
DTIC, en el cual se
cumpla con la calidad
de cada uno de los
entregables.
212
SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Asegurar que el
versionamiento del
STI.BAS sistema sea validado y
Base de
6 Base de Datos Base de Datos E_DATO tenga conformidad con
Datos
S.05 el requerimiento del
usuario, para realizar
puestas en producción.
Mantener la LAN (Red
de Área Local) del
Admin de la STI.RLA edificio de la
7 LAN
LAN N.06 Comandancia General
del Ejército operativa,
eficiente y segura.
Administrar, monitorear
y supervisar el correcto
funcionamiento de los
Admin de la STI.RWA
8 WAN enlaces desde y hacia
WAN N.14
las unidades militares y
la Comandancia
General del Ejército
Disponer de un sistema
unificado de Telefonía
TELEFONIA para brindar el servicio
STI.TEL_
9 Telefonía IP IP/CONMUT a los usuarios, con una
IP.10
ACIÓN gestión centralizada y
la integración de varias
Servicios de Centro de
localidades
Comunicaciones Control
Ahorrar tiempos,
recursos y costos a los
usuarios del ejercito del
Ecuador
Facilita la disposición al
momento de requerir
Servicio de
Video STI.VIDE un trabajo de suma
10 Video
conferencia OC.03 urgencia
Conferencia
Permite mantener
informados a cada
unidad militar en su
respectivo nivel, sobre
el estado del personal,
material y equipo.
Crear, resetear las
Servicio de cuentas de correos de
Correo STI.CO_
11 Correo los usuarios y mantener
Electrónico ELC.13
Electrónico el servicio al 100%
durante las 24 horas.
Mantener los
servidores operativos al
Administraci STI.ADM
Infraestructura 100%, para evitar
12 Infraestructura Servidores ón de _SRV.12.
Servidores contratiempos en el
servidores 01
desarrollo de las
operaciones militares
213
SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Mantener el sistema de
almacenamiento
operativos al 100%,
Almacenami para evitar
STI.ALM
Almacenamie ento físico contratiempos en el
13 _SRV.12.
nto de desarrollo de las
02
servidores operaciones militares,
brindando información
fiable para la toma de
decisiones
El centro de respuesta
incidentes de seguridad
cibernética fuerzas
armadas tiene el
Seguridad
STI.SI_D propósito de gestionar
Seguridad de de la
14 IGITAL.0 incidentes de Fuerzas
la Información información
1 Armadas que atenten
digital
la infraestructura
tecnológica, física y
digital de las Fuerzas
Armadas
Administrar el acceso
Seguridad
hacia Internet por parte
de los usuarios y
STI.SI_U
15 UTM Admin UTM proteger la red de
TM.07
datos del edificio de la
Comandancia General
del Ejército
Cumplir al 80% con las
necesidades
Servicio STI.SI_S
Seguridad requeridas por los
16 Seguridad EGLOG.
Lógica usuarios para que
Dominio 08
puedan desempeñar su
trabajo de forma óptima
I. Diagnóstico Inicial
Al iniciar con levantamiento del servicio de WAN se pudo identificar que no se cuenta con
un flujo del servicio definido, o niveles de servicio determinados; el encargado actual del
servicio tiene el conocimiento de las actividades que se realizan, pero no como parte de
un proceso establecido. Los responsables del servicio se encargan de la administración,
configuración y monitoreo de la WAN de la Fuerza Terrestre.
a) Administración de enlaces
b) Administración de DNS internos y externos
c) Administración del Firewall UTM (FW)
d) Administración del servidor VPN
EXCLUSIONES
a) Mantenimientos correctivos
b) Administración de enlaces de CNT, solamente se considera la administración de
equipos finales
CARACTERISTICAS GENERALES
c) Sgos. Cacpata Vicente
Responsables d) Sgos. Cando Edwin
e) Sgos. Guaman Luis
b) Usuarios de unidades militares
Clientes
c) Administradores de los servidores
Servicios d) LAN
Relacionados e) Infraestructura - Servidores
b) Documento mediante el Gestor Documental
Entradas (Chasqui), escalado desde la DTIC al jefe del
Centro de Control de Datos
Entregables d) Informe de trabajos realizados
c) Monitoreo de enlaces. – Incluye la medición y
verificación del nivel de señal y calidad del enlace;
en casos de daños identificados, se realiza la
calibración del enlace
d) Apertura de puertos en el UTM
e) Administración de reglas en el UTM
f) Monitoreo, soporte y mantenimiento preventivo del
Funciones UTM
g) Creación y accesos de VPNs a la red
h) Asignación de nombres de dominio
i) Control de direccionamiento IP de las unidades y
servidores
j) Realización de informes del trabajo realizado y
situación actual del sitio o unidadmilitar visitado. Se
entrega aljefe del centro de control de datos.
216
Para VPN
Servicio únicamente disponible para unidades que no
disponen de una Red de Datos de la Fuerza Terrestre y el
único medio de interconexión es el INTERNET actualmente
se encuentran funcionando con este sistema 2 unidades
militares.
a) Se solicita al usuario de manera obligatoria un oficio
con el requerimiento para la VPN. El documento se
dirige a la DTIC, quienes escalan al jefe del Centro
de Control de Datos.
b) Se verifica en el UTM las reglas correspondientes a
la VPN
c) En el router cisco se crea el usuario y se asigna una
contraseña
d) Verificar que el usuario disponga del cliente cisco
para iniciar la VPN en su equipo
e) Se crea memorándum de la configuración realizada
217
VPN
- Router marca Cisco 2811 dedicado para VPN
Requerimientos Locales
a) Urgente: 1 hora
b) Medio: 2 horas
c) Bajo: más de 2 horas
Nivel de Servicio
Requerimientos Externos
a) Urgente: Depende de la coordinación logística
(Requerimiento vehículo): 3 días
b) Medio: 3dias
c) Bajo: 5 días
Horarios a) El servicio se encuentra activo las 24 horas al día
los 7 días de la semana
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Tiempo Respuesta Incidentes: 1 hora
Nivel de servicio
Tiempo resolución incidentes: 2 horas
218
FÓRMULA DE
OPERATIVO
OPERATIVO
DE MEDIDA
CONDICIÓN
INDICADOR
INDICADOR
ESPERADO
DEMANDA
OBJETIVO
OBJETIVO
PESO DEL
PESO DEL
CÁLCULO
FUENTE
(umbral)
MÍNIMO
VALOR
VALOR
RATIO
RATIO
Tiempo
(#
en
Requerimient
estado
Tiempo os atendidos
sin
de en el tiempo
atención
atención 40 80 comprometid
85% desde Chasqui 10
del % % o / # Total
que el
requerimi Requerimient
requerim
ento os
iento fue
Recibidos)*10
reportad
0
o
Desempeño 100%
Tiempo
(#
en
Requerimient
estado
Tiempo os resueltos
sin
de en el tiempo
atención
Resolució 40 80 comprometid
85% desde Chasqui 10
n del % % o / # Total
que el
requerimi Requerimient
requerim
ento os
iento fue
Recibidos)*10
reportad
0
o
219
Capítulo IV
Conclusiones y recomendaciones
recomendaciones
Conclusiones
dentro de la institución y con base al mismo poder mostrar el valor agregado que
modelo de gestión COBIT 2019, para poder definir cuan alineada se encuentra
la DTIC con respecto a los objetivos estratégicos de la Institución, el cual nos dio
trabajo y el aporte que generan dentro del Ejercito del Ecuador, en función a
Procesos que oferta el DTIC; para ello se utilizó la ITIL V4 el cual permitió aplicar
mejora continua.
para la institución; es así que la DTIC debe enfocar los objetivos de TI hacia la
de gestión.
gestión.
223
Recomendaciones
Institución.
gobierno de TI.
tener una base de datos de las incidencias de sus clientes; para con ello tener
Referencias bibliográficas
Juan Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco Quintero.
(2017). Guía de implementación de gestión de servicio de TI usando ITIL en las MIPYME.
Bogota: ESCUELA COLOMBIANA DE INGENIERÍA JULIO GARAVITO.
Juárez, H. A. (10 de 06 de 2010). ITIL: ¿qué es y para qué sirve? (Magazcitum, Editor)
Recuperado el 12 de 12 de 2019, de Magazcitum:
https://www.magazcitum.com.mx/?p=50#.XlXH6KhKjIU
López Ibarra, L. (s.f.). Redes de agronegocios. Obtenido de
https://sites.google.com/site/redesdeagronegocios/redes-de-valor/temas-de-mapeo-de-redes-de-
agronegocios
Luisa Fernanda Quintero Gómez, Hernando Peña Villamil. (4 de 12 de 2017). Modelo basado en
ITIL para la Gestión de los Servicios de TI en la Cooperativa de Caficultores de Manizales. (U. T.
Pereira, Ed.) Scientia et Technica Año XXII, 22(04), 10. doi:0122-1701
Mejia Jervis, T. (Marzo de 2017). ¿Qué son las Variables de Investigación?: Lifeder.com.
Obtenido de Lifeder.com: https://www.lifeder.com/variables-de-investigacion/
Metodología de investigación, pautas para hacer Tesis. . (Agosto de 2013). Obtenido de tesis-
investigacion-cientifica.blogspot.com: http://tesis-investigacion-
cientifica.blogspot.com/2013/08/que-es-operacionalizacion-de-variables.html
Peñaherrera, I. C. (2015). Desarrollo de un modelo de mejoramiento de procesos de tecnología
de información basado en COBIT5 para Yanbal Ecuador. Quito - Ecuador: Aguayo.
Reguant Alvarez, M., & Martínez-Olmo, F. (2014). OPERACIONALIZACIÓN DE CONCEPTOS/
VARIABLES. Barcelona. Obtenido de
http://diposit.ub.edu/dspace/bitstream/2445/57883/1/Indicadores-Repositorio.pdf
Rodriguez, L. I. (2019). Manual de Puestos de la DTIC 2019-2021. Quito.
S.L., S. (01 de 01 de 2019). INTRODUCCIÓN A ITIL V3. (S. S.L., Editor) Recuperado el 12 de 12
de 2019, de ServiceTonic S.L.: https://www.servicetonic.com/es/itil/introduccion-a-itil-v3/
Salah Llanes, J. (2017). Modelo de Gobierno y Gestión de TI basado en la estrategia de Gestión
del Riesgo para la.
Sanchis Milla, F. (2015). Definición e implantación de un proceso.
Santana, C. (04 de 02 de 2014). ¿Qué es el Balanced Scorecard? Obtenido de
https://blog.acsendo.com/que-es-el-balanced-scorecard/
Torres, A. (08 de 2016). Interpolados. Obtenido de COBIT 5: UN MARCO DE NEGOCIO PARA
EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA:
https://interpolados.wordpress.com/2016/08/30/cobit-5-un-marco-de-negocio-para-el-gobierno-y-
la-gestion-de-las-ti-de-la-empresa/
Velasteguí, A. (2019). IMPLEMENTACIÓN DEL MODELO INTEGRADO DE MADUREZ Y
CAPACIDADES (CMMI) EN LA UNIDAD INFORMÁTICA DE LA DTIC.
Zone, M. (24 de 04 de 2019). Métricas de cliente. Cómo medir la rentabilidad, la satisfacción y la
fidelidad. Obtenido de http://www.icesi.edu.co/marketingzone/metricas-del-cliente/
226
Anexos