Espe 043874

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 226

1

Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de Tecnologías de la


Información y Comunicaciones del Ejército del Ecuador

Fabara López, Fabricio Bolívar y Quiroga Chauca, Liceth Alejandra

Vicerrectorado de Investigación, Innovación y Transferencia Tecnológica

Centro de Posgrados

Maestría en Gerencia de Sistemas

Trabajo de titulación, previo a la obtención del título de Magíster en Gerencia de Sistemas

TCRN. Polo González, Juan Carlos

7 de agosto del 2020


2
3
4
5
6

Dedicatoria

A mi Dios, que me acompaña y me bendice con todo lo que hace que mi vida

sea única y plena, con mi familia Mami, Orlando, Joss y Daniel, quienes han sido y

serán los actores más importantes de cada reto superado; con oportunidades que han

sido aprendizaje, con sueños que son motivación, con fortaleza y esperanza para seguir

adelante.

Liceth

El presente trabajo dedico a mi familia que siempre está a mi lado tanto en los

buenos momentos como en los malos, a mi pareja (Karina), a mis padres (Leo y Ana),

motivantes importantes para poder alcanzar este objetivo. Puesto que siempre me están

dando animó para a seguir adelante y esforzarme por un mejor porvenir, sinceramente

infinitas gracias.

Fabricio Fabara
7

Agradecimiento

A Dios, por la dicha de tener a mi familia en cada momento de mi vida, por cada

oportunidad que me ha permitido, por ser mi camino, guía y fortaleza.

A Mi Familia, la mejor del mundo, todo se los debo a Dios y a ustedes que, dejando de

lado mis malos momentos hacen tan suyos mis alegrías y desánimos; gracias por cada sacrificio,

por estar a mi lado en cada etapa, en cada reto cumplido; pero también cuando mis fortalezas

fueron flaquezas.

Por eso, gracias a ti Mami que, con tu apoyo y amor incondicional has sabido escucharme

y enseñarme a tomar de manera cauta cada decisión, te agradezco por solucionar cada problema

y darme esa fuerza para no renunciar a seguir adelante. A mi Papá Orlando que, siempre ha sido

nuestro ejemplo, guardián y ese respaldo que nos hace sentir que nunca estaremos solos. A mi

Papá José, por acompañarme y cuidar de mi Familia.

A mis hermanos, me han enseñado a cuidar y a proteger la vida de alguien más que no

es la mía. A Joss quien vela por mi felicidad, mi consejera y mi mejor amiga para siempre. A Daniel

quien, con su manera de ser nos llena de alegría y con su mentalidad e ideas acertadas siempre

tiene la respuesta a todo.

A mis abuelitos, ejemplo de amor sincero, con palabras llenas de sabiduría me enseñan a

esforzarme por aquello que vale la pena y me hace feliz.

A mis queridos amigos, Gaby, Mayra, German, Iván, es grato contar con una amistad

sincera y palabras de aliento, a pesar de la distancia sé que están ahí siempre que necesito de un

abrazo, una palabra o simplemente compartir en silencio. A Javier gracias, me has demostrado

tantas veces cómo te importa y cómo crees en mí, quien, con una palabra o solución hace que

todo se torne posible.

A nuestro director, Tcrn. Juan Carlos Polo y miembros de la DTIC quienes, con su apoyo

y experiencia supieron dirigirnos para avanzar y culminar de la mejor manera nuestro proyecto.

Liceth
8

Agradecimiento

A mi familia y pareja por el apoyo indiscutible y a mi compañera Liceth quien fue

un pilar fundamental en el desarrollo de este trabajo ya que, gracias a su ímpetu, su

constancia y dedicación hemos logrado alcanzar este paso importante en nuestras

vidas profesionales.

Tengo que hacer una mención especial a mi tutor, Tcrn. Juan Carlos Polo; quien

fue el pilar fundamental en la elaboración de este trabajo por su conocimiento y

determinación.

Fabricio Fabara
9

ÍNDICE DE CONTENIDO

Certificación................................................................................................................................................... 3
Responsabilidad de autoría .......................................................................................................................... 4
Autorización de publicación ......................................................................................................................... 5
Dedicatoria ..................................................................................................................................................... 6
Agradecimiento.............................................................................................................................................. 7
Agradecimiento.............................................................................................................................................. 8
Resumen ....................................................................................................................................................... 14
Abstract ........................................................................................................................................................ 15
Capítulo I ..................................................................................................................................................... 16
Introducción ............................................................................................................................................... 16
Antecedentes .......................................................................................................................................... 16
Planteamiento del Problema ................................................................................................................. 17
Tema......................................................................................................................................................... 17
Antecedentes .......................................................................................................................................... 17
Problema .................................................................................................................................................. 19
Justificación ............................................................................................................................................. 19
Objetivos .................................................................................................................................................. 20
General ..................................................................................................................................................... 20
Específicos .............................................................................................................................................. 20
Alcance ..................................................................................................................................................... 21
Hipótesis de investigación ..................................................................................................................... 21
Variables de la Investigación ................................................................................................................ 22
Categorización de las variables de investigación .............................................................................. 22
Capitulo II ................................................................................................................................................... 24
Metodología ............................................................................................................................................... 24
Marco Teórico Aplicado ......................................................................................................................... 24
Gobierno empresarial de la Información y Tecnología ..................................................................... 24
Beneficios del gobierno de tecnologías de la información ............................................................... 25
COBIT como marco de gobierno de I&T ............................................................................................. 27
¿Qué es COBIT y qué no es? .............................................................................................................. 27
Partes interesadas en el gobierno ....................................................................................................... 29
Conceptos directamente relacionados ................................................................................................ 30
Desarrollo del marco teórico de la metodología COBIT 2019 ......................................................... 33
Estructura de Objetivos de Gobierno y Gestión ................................................................................. 49
Gestión del Desempeño en COBIT ..................................................................................................... 50
10

Diseño e Implementación de un Sistema de Gobierno de TI .......................................................... 53


Marco de referencia ITIL ....................................................................................................................... 56
Capitulo III .................................................................................................................................................. 58
Análisis de la situación actual de TI y aplicación de COBIT ......................................................... 58
Análisis empresarial ............................................................................................................................... 58
Sistema Integrado de la Fuerza Terrestre (SIFTE) ........................................................................... 64
Levantamiento de Servicios de TI de la DTIC .................................................................................... 65
Diseño de un Sistema de Gobierno Personalizado ........................................................................... 74
Fases de implementación de un Sistema de Gobierno Personalizado ........................................ 145
Implementación de procesos en la DTIC .......................................................................................... 161
Capítulo IV ................................................................................................................................................ 220
Conclusiones y recomendaciones..................................................................................................... 220
Conclusiones ......................................................................................................................................... 220
Recomendaciones ................................................................................................................................ 223
Referencias bibliográficas ................................................................................................................... 224
Anexos ...................................................................................................................................................... 226
11

Índice de Tablas

Tabla 1 Operacionalización de las Variables ................................................................................ 23


Tabla 2 Metas y métricas empresariales ....................................................................................... 43
Tabla 3 Metas y métricas de alineamiento .................................................................................... 46
Tabla 4 Procesos de la DTIC ........................................................................................................ 63
Tabla 5 Servicios de TI ofertados por la DTIC .............................................................................. 66
Tabla 6 Mapeo de los niveles de madurez de los servicios de la DTIC ........................................ 67
Tabla 7 Evaluación de servicios de la Dirección de Tecnologías de la Información y
Comunicaciones (DTIC) .................................................................................................... 69
Tabla 8 Formato diseñado para el levantamiento de los servicios de TI de la DTIC .................... 70
Tabla 9 Niveles de servicio SLA’s ................................................................................................. 73
Tabla 10 Estrategias de la DTIC ................................................................................................... 76
Tabla 11 Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019 .................. 77
Tabla 12 Objetivos estratégicos de la DTIC .................................................................................. 78
Tabla 13 Objetivos estratégicos de la DTIC y dimensiones del BSC ........................................... 78
Tabla 14 Resultados de la categorización del perfil de riesgos de la DTIC .................................. 81
Tabla 15 Problemas relacionados con I&T.................................................................................... 84
Tabla 16 Objetivos de gobierno y gestión DF1 ............................................................................. 87
Tabla 17 Metas empresariales priorizadas.................................................................................... 89
Tabla 18 Metas de alineamiento priorizadas ................................................................................. 91
Tabla 19 Objetivos de gobierno y gestión para la DTIC DF2 ........................................................ 93
Tabla 20 Resultado de la asignación de Riesgos de TI DF3 ........................................................ 95
Tabla 21 Objetivos de gobierno y gestión DF3 ............................................................................. 95
Tabla 22 Resultado de la Asignación de problemas relacionados con I&T DF4 .......................... 97
Tabla 23 Objetivos de gobierno y gestión DF4 ............................................................................. 98
Tabla 24 Resumen resultados factores de diseño Paso 2 ............................................................ 99
Tabla 25 Resumen valores de factores de diseño Paso 2 .......................................................... 100
Tabla 26 Objetivos de gobierno y gestión Paso 2 ....................................................................... 101
Tabla 27 Objetivos de gobierno y gestión DF5 ........................................................................... 103
Tabla 28 Objetivos de gobierno y gestión DF7 ........................................................................... 104
Tabla 29 Objetivos de gobierno y gestión DF8 ........................................................................... 106
Tabla 30 Objetivos de gobierno y gestión DF9 ........................................................................... 107
Tabla 31 Resumen resultados factores de diseño Paso 3 .......................................................... 108
Tabla 32 Refinamiento del alcance del sistema de gobierno y gestión ...................................... 109
Tabla 33 Resumen valores de factores de diseño Paso 3 .......................................................... 111
Tabla 34 Objetivos de gobierno y gestión Paso 3 ....................................................................... 112
Tabla 35 Objetivos de gobierno y gestión Paso 2 Paso 3........................................................... 114
Tabla 36 Objetivos de gobierno y gestión priorizados para la DTIC ........................................... 116
Tabla 37 Resumen de valores de objetivos de gobierno y gestión DTIC ................................... 130
Tabla 38 Objetivos de gobierno y gestión para la DTIC .............................................................. 131
Tabla 39 Escala de calificación de niveles de capacidad ........................................................... 135
Tabla 40 Nivel de madurez actual de los objetivos gobierno/gestión EDM ................................ 136
Tabla 41 Nivel de madurez actual de los objetivos gobierno/gestión APO................................ 137
Tabla 42 Nivel de madurez actual de los objetivos gobierno/gestión BAI ................................. 139
Tabla 43 Nivel de madurez actual de los objetivos gobierno/gestión DSS ................................ 141
Tabla 44 Nivel de madurez actual de los objetivos gobierno/gestión MEA ................................ 142
Tabla 45 Nivel de madurez de los procesos de TI a fortalecer en la DTIC ................................. 144
Tabla 46 Fases de implementación COBIT2019 en DTIC ......................................................... 148
Tabla 47 Análisis de brechas en los procesos de la DTIC .......................................................... 156
Tabla 48 Análisis de brechas en los procesos de la DTIC .......................................................... 158
Tabla 49 Metas empresariales y de alineamiento de APO11 ..................................................... 162
Tabla 50 Métricas del APO11 para la DTIC ................................................................................ 163
12

Tabla 51 Actividades proceso APO11.01 ................................................................................... 166


Tabla 52 Actividades proceso APO11.02 .................................................................................... 168
Tabla 53 Actividades proceso APO11.03 .................................................................................... 170
Tabla 54 Actividades proceso APO11.04 .................................................................................... 172
Tabla 55 Actividades proceso APO11.05 .................................................................................... 174
Tabla 56 Flujos y elementos de comunicación ........................................................................... 176
Tabla 57 Metas empresariales y de alineamiento de DSS05 ..................................................... 191
Tabla 58 Métricas de DSS05 para DTIC ..................................................................................... 192
Tabla 59 Actividades proceso DSS05.01 .................................................................................... 193
Tabla 60 Actividades proceso DSS05.02 .................................................................................... 195
Tabla 61 Actividades proceso DSS05.03 .................................................................................... 197
Tabla 62 Actividades proceso DSS05.04 .................................................................................... 199
Tabla 63 Actividades proceso DSS05.05 .................................................................................... 201
Tabla 64 Actividades proceso DSS05.06 .................................................................................... 203
Tabla 65 Actividades proceso DSS05.07 .................................................................................... 205
Tabla 66 Flujos y elementos de comunicación ........................................................................... 207
Tabla 67 Servicios de TI en la DTIC ........................................................................................... 211
13

Índice de Figuras

Figura 1 Gobierno empresarial de la Información y Tecnología COBIT 2019 .............................. 24


Figura 2 Partes interesadas de COBIT ......................................................................................... 29
Figura 3 Objetivos de Gobierno y Gestión COBIT 2019 ............................................................... 31
Figura 4 Principios del Sistema de Gobierno COBIT 2019 .......................................................... 33
Figura 5 Principios para Marco de Gobierno COBIT 2019 ........................................................... 35
Figura 6 Factor de diseño estrategia empresarial ........................................................................ 37
Figura 7 Factor de diseño objetivos empresariales ...................................................................... 38
Figura 8 Factor de diseño perfil de riesgo de TI ........................................................................... 38
Figura 9 Factor de diseño problemas relacionados con TI ........................................................... 39
Figura 10 Factor de diseño panorama de amenazas ................................................................... 39
Figura 11 Factor de diseño requerimientos de cumplimiento ....................................................... 40
Figura 12 Factor de diseño rol de TI ............................................................................................. 40
Figura 13 Factor de diseño modelo de abastecimiento para TI ................................................... 41
Figura 14 Factor de diseño métodos de implementación de TI .................................................... 41
Figura 15 Factor de diseño estrategia de adopción de tecnología ............................................... 41
Figura 16 Factor de diseño tamaño de la empresa ...................................................................... 42
Figura 17 Cascada de metas de COBIT ....................................................................................... 42
Figura 18 Presentación de objetivos de gobierno y gestión ......................................................... 49
Figura 19 Niveles de Capacidad para los procesos ..................................................................... 51
Figura 20 Niveles de Madurez para áreas prioritarias .................................................................. 52
Figura 21 Diseño de un sistema de Gobierno de TI ..................................................................... 53
Figura 22.Paso 4 del diseño del sistema de gobierno—Conclusión ............................................ 56
Figura 23 Ciclo de vida de los servicios basado en el Ciclo de Deming ...................................... 57
Figura 24 Sistema de Valor de la DTIC ........................................................................................ 60
Figura 25 Sistema de Valor de la DTIC ........................................................................................ 61
Figura 26 Sistema Integrado de la Fuerza Terrestre (SIFTE) ...................................................... 64
Figura 27 Proceso de Infraestructura Servidores ........................................................................ 72
Figura 28 Flujo de trabajo del diseño del sistema de gobierno .................................................... 75
Figura 29 Categorización del escenario del perfil de riesgo de la DTIC....................................... 80
Figura 30 Categorización de los problemas actuales relacionados con I&T ................................ 83
Figura 31 Metas empresariales COBIT 2019 ............................................................................... 88
Figura 32 Metas empresariales a metas de alineamiento ............................................................ 90
Figura 33 Metas de alineamiento a Objetivos de gobierno y gestión DF3 ................................... 92
Figura 34 Flujo de trabajo del diseño del sistema de gobierno .................................................. 113
Figura 35 Factor de Diseño DF1 ................................................................................................. 120
Figura 36 Factor de Diseño DF2 ................................................................................................. 121
Figura 37 Factor de Diseño DF3 ................................................................................................. 122
Figura 38 Factor de Diseño DF4 ................................................................................................. 123
Figura 39 Factor de Diseño DF5 ................................................................................................. 124
Figura 40 Factor de Diseño DF7 ................................................................................................. 125
Figura 41 Factor de Diseño DF8 ................................................................................................. 126
Figura 42 Factor de Diseño DF9 ................................................................................................. 127
Figura 43 Importancia de los objetivos de gobierno/gestión para DTIC ..................................... 128
Figura 44 Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC ..................... 132
Figura 45 Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC ................. 133
Figura 46 Hoja de ruta de implementación COBIT ..................................................................... 147
Figura 47 Matriz de Responsabilidades ...................................................................................... 175
Figura 48 Contexto de TDRE ...................................................................................................... 185
Figura 49 Matriz de Responsabilidades ...................................................................................... 206
14

Resumen

El desarrollo de las Tecnologías de la Información y Comunicación se ha convertido en

un aspecto fundamental dentro de las organizaciones; pero también implica que su

funcionamiento se realice en torno a constantes amenazas y debido al tipo de

información que se maneja, así como a las estrictas regulaciones internas y de entes

regulatorios, las instituciones reconocen la importancia de contar con un entorno de TI

administrado y gobernado de manera adecuada; es así que considerando la situación

actual de la Dirección de Tecnologías de la Información y Comunicaciones (DTIC) ante

la falta de procedimientos y procesos apropiados, en base a un marco de referencia que

le permita lograr un gobierno de TI con eficacia, el presente proyecto pretende mejorar

el gobierno y la administración de los procesos de TI, mediante la implementación de la

metodología COBIT 2019, que se traduce en tener información suficiente y de calidad

para la toma efectiva de decisiones; así se evitan vulnerabilidades en cuanto al uso de

TI, ya que los usuarios involucrados tendrán un correcto conocimiento sobre la gestión y

administración de la información y de los sistemas de TI de la institución. COBIT 2019

facilita la gestión y la administración de recursos de TI, además proporciona orientación

para activar un marco efectivo de gobierno; por estas razones permitirá mejorar la

gobernanza y la administración de los procesos de TI de la DTIC, con el fin de crear

valor, minimizar riesgos, optimizar recursos y alcanzar sus objetivos mediante una

gestión exitosa de TI.

- Palabras clave:

• DTIC

• PROCESOS

• COBIT

• TI
15

Abstract

The development of Information and Communication Technologies has become a

fundamental aspect within organizations; but it also implies that its operation is carried

out around constant threats and due to the type of information that is handled, as well as

the strict internal regulations and of regulatory entities, the institutions recognize the

importance of having a managed and governed IT environment. properly; Thus,

considering the current situation of the Information Technology and Communications

Department (DTIC) due to the lack of appropriate procedures and processes, based on

a reference framework that allows it to achieve effective IT governance, this project aims

to improve the governance and administration of IT processes, by implementing the

COBIT 2019 methodology, which translates into having sufficient and quality information

for effective decision-making; Thus avoiding vulnerabilities in terms of the use of IT,

since the users involved will have a correct knowledge of the management and

administration of the information and of the IT systems of the institution. COBIT 2019

facilitates the management and administration of IT resources, as well as provides

guidance to activate an effective governance framework; For these reasons, it will allow

the improvement of the governance and administration of the IT processes of the DTIC,

in order to create value, minimize risks, optimize resources and achieve their objectives

through successful IT management

- Key words:

• DTIC

• PROCESSES

• COBIT

• TI
16

Capítulo I

Introducción

Antecedentes

La información representa uno de los activos potencialmente más importantes

de las organizaciones y puede ser utilizada como un recurso estratégico más; el uso

eficiente de la información orienta a una organización al logro de objetivos de manera

exitosa. (Aportela & Gallego Gómez, 2015).

Es así como el desarrollo continuo de las Tecnologías de la Información y

Comunicación (TIC) se ha convertido es un aspecto fundamental dentro de las

organizaciones, mediante la inclusión de sistemas innovadores y con la incorporación

de medidas de seguridad en todo nivel; además permite considerar una medida de

riesgo adecuado; así como mantener y garantizar información de calidad para la toma

correcta de decisiones; pero también implica que su funcionamiento se realice entorno a

constantes amenazas por lo tanto, debido al tipo de información que se maneja, así

como a las estrictas regulaciones, las instituciones están conscientes sobre la

importancia de contar con un entorno de Tecnologías de la Información bien

administrado y gobernado, por lo que la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC) no es la excepción.

La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza

Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y

Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y

desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad

Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades

Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)


17

En la actualidad, las funciones de gobierno y gestión de TI de la DTIC de la

Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos y documentados

debido a varios factores, entre ellos, la falta de una gestión adecuada y la rotación del

personal técnico; por lo que es necesario implementar un marco de referencia que

permita la optimización de recursos humanos y tecnológicos y la definición de sus

procesos críticos, para con ello alinear los objetivos de TI con los objetivos estratégicos

institucionales y crear valor para la DTIC, a través una visión clara de la correcta gestión

de TI y de la información (Velasteguí, 2019).

COBIT representa una guía de mejores prácticas para garantizar un gobierno y

una administración efectivos de TI en una organización; permite alinear los objetivos de

TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo

práctico para crear un programa de gobierno que se adapte a las necesidades de cada

organización, así como un modelo de madurez, e introduce nuevos conceptos para

garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el

uso optimizado de recursos y mejor eficiencia en la administración de la información y

de la tecnología (ISACA, 2019).

Planteamiento del Problema

Tema
Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de

Tecnologías de la Información y Comunicaciones del Ejército del Ecuador.

Antecedentes
El desarrollo continuo de las tecnologías de la información y comunicación

permite a las organizaciones mejorar la eficiencia y eficacia en todos sus recursos,

mediante la optimización de procesos, con la inclusión de sistemas innovadores, así


18

como, con la incorporación de medidas de seguridad en todo aspecto, considerando

niveles de riesgos adecuados; facilitando y garantizando información de calidad para la

toma de decisiones.

Por tanto, la información representa uno de los activos potencialmente más

importantes de las organizaciones y puede ser utilizada como un recurso estratégico

más; el uso eficiente de la información orienta a una organización al logro de objetivos

de manera exitosa (Aportela & Gallego Gómez, 2015)

La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza

Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y

Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y

desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad

Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades

Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)

En la actualidad, las funciones de gobierno, dirección y la administración de TI

de la DTIC de la Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos

y documentados, debido a varios factores, entre ellos, la rotación del personal técnico y

la falta de una gestión adecuada; por lo que es necesario implementar un marco de

referencia que permita la optimización de recursos humanos y tecnológicos de la

institución, para con ello poder cerrar las brechas existentes en cuanto a control,

administración, seguridad, riesgos, etc. Por lo tanto, es posible crear valor para la DTIC,

a través una visión clara de la correcta gestión de TI y de la información. (Velasteguí,

2019)

COBIT representa una guía de mejores prácticas para garantizar un gobierno y

una administración efectivos de TI en una organización; permite alinear los objetivos de

TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo


19

práctico para crear un programa de gobierno que se adapte a las necesidades de cada

organización, así como un modelo de madurez, e introduce nuevos conceptos para

garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el

uso optimizado de recursos y mejor eficiencia en la administración de la información y

de la tecnología. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología,

2018)

Problema

La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza

Terrestre (DTIC) no cuenta con procedimientos adecuados con base a un modelo de

mejores prácticas de TI, que le permita lograr un gobierno y gestión de TI con eficacia,

por lo tanto no se tiene la información suficiente para la toma efectiva de decisiones,

debido a lo cual, existe desconocimiento por parte de los usuarios en la utilización,

administración y gobierno de TI; además se dificulta la capacitación y la transferencia de

conocimientos al personal nuevo; lo que se refleja en una gestión de TI en base a

convicciones propias de los usuarios, en altos tiempos de respuesta en la atención de

requerimientos, se complica la identificación, documentación de las necesidades y la

comunicación oportuna sobre la situación actual de TI.

Por estas razones, la DTIC ha planteado la necesidad de optimizar sus recursos,

no solamente tecnológicos, sino también recurso humano y mejorar el gobierno, así

como la administración de TI y de la información dentro de la institución.

Justificación

El presente proyecto pretende mejorar el gobierno y la administración de los

procesos de TI de la DTIC, mediante la implementación de la metodología COBIT 2019;

evitando así vulnerabilidades en cuanto al uso de TI, puesto que los usuarios
20

involucrados tendrán un correcto conocimiento sobre la gestión y administración de la

información y de los sistemas de TI de la institución.

Con la implementación de las buenas prácticas del marco de referencia COBIT

2019 se pretende resolver las siguientes preguntas dentro de la DTIC:

• ¿Cuál es la situación actual de los procesos de las TI que se emplean en la DTIC?

• ¿Cuál es la definición de la estrategia institucional, mediante los objetivos

estratégicos priorizados?

• ¿Cuáles son los requisitos y el interés de la DTIC sobre el gobierno y administración

de TI?

• ¿Qué relación se establece entre las metas corporativas propuestas por COBIT, con

las metas de TI de la DTIC?

• ¿Cuáles son los procesos necesarios que la DTIC requiere implementar, para

incrementar su eficiencia operativa y mejorar la gestión de TI, con base a los

procesos definidos en COBIT?

• ¿Cómo mejorar el gobierno y la administración de TI para la DTIC, con el empleo de

COBIT 2019?

Objetivos

General
Implementar los procesos de gobierno de COBIT 2019 en la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del Ecuador, que

permita una mejor gestión y administración de los procesos de Tecnologías de la

Información.

Específicos
• Analizar y evaluar la situación actual de los procesos y beneficios de las TI que se

emplean en la DTIC.
21

• Conocer la definición de la estrategia institucional, mediante los objetivos

estratégicos priorizados.

• Determinar los requisitos y el interés de la DTIC sobre el gobierno y administración

de TI.

• Realizar el análisis de la relación que se establece entre las metas corporativas

propuestas por COBIT, con las metas de TI.

• Identificar, analizar y definir los procesos necesarios que la DTIC requiere

implementar, para incrementar su eficiencia operativa y mejorar la gestión de TI, con

base a los procesos definidos en COBIT.

• Determinación y aplicación de un modelo de mejoramiento de los procesos de TI

para la DTIC, aplicando COBIT 2019.

Alcance

Es imprescindible emplear un marco de referencia que sirva como guía, con la

utilización de procedimientos y técnicas óptimos para el logro de objetivos de TI

alineados al cumplimiento de objetivos institucionales; por esta razón el presente

proyecto pretende mejorar el gobierno y la administración de los procesos de TI en la

Dirección de Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del

Ecuador, con la implementación de los procesos de SERVICIOS y QUALITY

ASSURANCE (QA) PARA DESARROLLO DE SOFTWARE, en base a la metodología

COBIT 2019.

Hipótesis de investigación

La hipótesis que se plantea es: Con la implementación de la metodología COBIT

2019 para la utilización de TI en la Dirección de Tecnologías de la Información y

Comunicaciones de la Fuerza Terrestre (DTIC), se mejorará el gobierno, así como la

administración de procesos de TI y de los recursos de la institución.


22

Variables de la Investigación

Las variables se refieren a factores que pueden ser susceptibles de modificarse

o pueden variar, es todo aquello que se va a medir, controlar y estudiar en la

investigación. (Reguant Alvarez & Martínez-Olmo, 2014).

Entre los tipos de variables utilizados en las investigaciones se tiene variables

dependientes y variables independientes. Las variables independientes no dependen

del valor de otras, son las causas o el fenómeno por investigar; determina el cambio en

la variable dependiente. Las variables dependientes son las que se miden y son el

resultado del fenómeno o situación que se intenta investigar (Mejia Jervis, 2017).

En consecuencia, de la hipótesis planteada se identifican dos variables:

• Variable Independiente: La implementación de la metodología COBIT 2019 en la

utilización de TI en la DTIC.

• Variable Dependiente: Mejorará el gobierno y la administración de procesos de TI y

de los recursos tecnológicos y humanos de la institución.

Categorización de las variables de investigación

La operacionalización de las variables se refiere al proceso metodológico que

consiste en descomponer las variables de la investigación, partiendo desde lo más

abstracto hasta llegar a lo más concreto. (Metodología de investigación, pautas para

hacer Tesis. , 2013) (Cazau, 2004).

La operacionalización de las variables se muestra en la Tabla 1, se incluye:

• Definición Conceptual: Conceptos que permiten la comprensión del fenómeno

• Definición Operacional: Normas y procedimientos que se seguirán para medir las

variables

• Categorización: Diferentes posibilidades de variación que puede tener una variable


23

• Indicador: Propiedad que puede ser directamente observadas y cuantificadas en la

práctica

Tabla 1

Operacionalización de las Variables

Definición Definición
Variables Tipo Categorización Indicadores
conceptual operacional
COBIT 2019
se construye
sobre 6
principios, 7
-Porcentaje de
componente - Gestión del
La Conjunto de TI a considerar
s y 40 Programa
implementación mejores en la
procesos en - Habilitación del
de la prácticas implementación
5 dominios Cambio
metodología Ind. que la de COBIT 2019
COBIT 2019 en para el - Ciclo de vida
metodología -Número de
la utilización de Sistema de de mejora
COBIT procesos por
TI en la DTIC Gobierno y 3 continua de
establece nivel de
principios procesos
madurez
adicionales
para el
Marco de
Gobierno
Sistema
-Número de
COBIT personalizab
Mejorará el metas de TI
define un le de
gobierno y la alineadas a las
conjunto de gobierno,
administración metas de la
directrices que -Mejora de
de procesos de institución.
para un considera gobernanza
TI y de los Dep. -Porcentaje de
recursos gobierno y factores de -Mejora de
procesos y
tecnológicos y administraci diseño y administración
dominios de
humanos de la ón eficiente áreas
COBIT
institución de TI y de la específicas
aplicados en la
información de
institución
aplicación.
24

Capitulo II

Metodología

Marco Teórico Aplicado

Gobierno empresarial de la Información y Tecnología

Con el paso de los años la transformación digital, la información y la tecnología

(I&T) se han convertido en algo fundamental para el soporte, la sostenibilidad y el

crecimiento de las empresas. Anteriormente, la alta gerencia podía delegar, ignorar o

evitar las decisiones relacionadas con las I&T. En la actualidad la creación de valor para

las empresas va de la mano de la digitalización en nuevos modelos de negocio,

procesos eficientes, una exitosa innovación, etc. (ISACA, Marco de referencia COBIT

2019: Gobierno empresarial de la Información y Tecnología, 2018).

La GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el

consejo de administración, que supervisa la definición e implementación de procesos,

estructuras y mecanismos relacionados en la organización para permitir a la empresa y

al personal de TI desempeñar sus responsabilidades de soporte al negocio/alineamiento

de TI y la creación de valor de negocio derivado de las inversiones empresariales

posibles gracias a la I&T (figura 1). (ISACA, Marco de referencia COBIT 2019: Gobierno

empresarial de la Información y Tecnología, 2018).

Figura 1

Gobierno empresarial de la Información y Tecnología COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Gobierno empresarial de la


Información y Tecnología, 2018)
25

El gobierno empresarial de información y tecnología es complejo y multifacético.

No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener

una GETI eficaz dentro de una organización. Así, los miembros de los consejos

directivos y la alta gerencia se ven abocados a adaptar e implementar sus medidas

GETI conforme a su contexto y necesidades específicas. Además, deben estar

dispuestos a aceptar una mayor responsabilidad en cuanto a las I&T y crear una

mentalidad y cultura distintas para generar valor a partir de la I&T. (ISACA, Marco de

referencia COBIT 2019: Gobierno empresarial de la Información y Tecnología, 2018).

Beneficios del gobierno de tecnologías de la información

El GETI se preocupa de la creación de valor a partir de la transformación digital

y la mitigación del riesgo de negocio derivado de dicha transformación, concretamente,

tras la adopción satisfactoria de la GETI cabe esperar tres resultados principales:

(ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la

información, 2018).

• Obtención de beneficios. - El principio básico del valor de la I&T consiste en

ofrecer servicios y soluciones adecuados, a tiempo y dentro del presupuesto, que

generen los beneficios financieros y no financieros esperados. El valor que la I&T

ofrecen debería estar directamente alineado con los valores en los que se centra el

negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de

tecnologías de la información, 2018)

• Optimización de riesgos. - Esto implica tener en cuenta el riesgo empresarial

asociado al uso, propiedad, operación, involucramiento, influencia y adopción de I&T

dentro de una empresa. El riesgo empresarial asociado a la información y la


26

tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un

impacto en el negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del

gobierno de tecnologías de la información, 2018)

• Optimización de recursos. - La optimización de recursos asegura la dotación de

una integrada, económica infraestructura de TI, la introducción de nueva tecnología

conforme lo requiera el negocio y la actualización o sustitución de sistemas

obsoletos. Porque reconoce la importancia de las personas, además del hardware y

software, se centra en proporcionar formación, fomentar la retención y garantizar la

competencia del personal clave de TI. Recursos importantes son los datos y la

información, y su explotación para obtener un valor óptimo es otro elemento esencial

de la optimización de recursos. (ISACA, Marco de referencia COBIT 2019:

Beneficios del gobierno de tecnologías de la información, 2018)

El alineamiento estratégico y la medición del desempeño revisten una

importancia primordial y afectan a la totalidad de actividades para garantizar que los

objetivos relacionados con I&T estén alineados con los objetivos de la empresa.

Los estudios muestran que las empresas con estrategias de GETI mal

diseñadas o adoptadas tienen un peor alineamiento del negocio y las estrategias y

procesos de I&T. Como resultado, estas empresas tienen menor probabilidad de cumplir

con sus estrategias de negocio previstas.

A partir de esto, es obvio que el gobierno debe entenderse e implementarse

mucho más allá de la interpretación (limitada) que solemos encontrarnos y que viene

sugerida por el acrónimo de gobierno, riesgo y cumplimiento (GRC). El acrónimo GRC

sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el

espectro de gobierno.
27

COBIT como marco de gobierno de I&T

Con el transcurrir del tiempo, se han desarrollado y promocionado marcos de

mejores prácticas para contribuir al proceso de conocimiento, diseño e implementación

de la GETI. COBIT® 2019, no solo mediante la incorporación de los nuevos

conocimientos de la ciencia, sino también con la aplicación de estos conocimientos en

la práctica, a partir de su lanzamiento en la comunidad de las auditorías de TI, COBIT®

ha pasado a ser un marco de gobierno y gestión de I&T más amplio y exhaustivo y

sigue estableciéndose como un marco generalmente aceptado para el gobierno de I&T.

(ISACA, Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T,

2018)

¿Qué es COBIT y qué no es?

COBIT es un marco para el gobierno y la gestión de las tecnologías de la

información de la empresa, dirigido a toda la empresa. La I&T empresarial significa toda

la tecnología y procesamiento de la información que la empresa utiliza para lograr sus

objetivos, independientemente de dónde ocurra dentro de la empresa.

El marco de referencia COBIT hace una distinción clara entre gobierno y gestión.

Estas dos disciplinas abarcan distintos tipos de actividades, requieren distintas

estructuras organizativas y sirven diferentes propósitos. (ISACA, Marco de referencia

COBIT 2019: ¿Qué es COBIT y qué no es?, 2018)

El gobierno asegura que:

• Las necesidades, condiciones y opciones de las partes interesadas se evalúan para

determinar objetivos empresariales equilibrados y acordados.

• La dirección se establece a través de la priorización y la toma de decisiones.


28

• El desempeño y el cumplimiento se monitorean en relación con la dirección y los

objetivos acordados.

En la mayoría de las empresas, la gerencia es responsabilidad de la dirección

ejecutiva bajo el liderazgo del director general ejecutivo (CEO).

Como genera valor al negocio la implementación del marco de referencia

COBIT:

• COBIT define los componentes para crear y sostener un sistema de gobierno:

procesos, estructuras organizativas, políticas y procedimientos, flujos de

información, cultura y comportamientos, habilidades e infraestructura.

• COBIT define los factores de diseño que deberían ser considerados por la empresa

para crear un sistema de gobierno más adecuado.

• COBIT trata asuntos de gobierno mediante la agrupación de componentes de

gobierno relevantes dentro de objetivos de gobierno y gestión que pueden

gestionarse según los niveles de capacidad requeridos.

¿Que no es COBIT?:

• COBIT no es una descripción completa de todo el entorno de TI de una empresa.

• COBIT no es un marco para organizar procesos de negocio.

• COBIT no es un marco técnico (de TI) para gestionar toda la tecnología.

• COBIT no toma ni prescribe ninguna decisión relacionada con la TI.

No decidirá cuál es la mejor estrategia de TI, cuál es la mejor arquitectura, o

cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los

componentes que describen qué decisiones deberían tomarse, cómo deberían tomarse

y quién debería tomarlas.


29

Partes interesadas en el gobierno

El público objetivo de COBIT son las partes interesadas en la GETI y, por

extensión, las partes interesadas en el gobierno corporativo. Estas partes interesadas y

los beneficios que pueden obtener de COBIT se muestran en la (Figura 2). (ISACA,

Marco de referencia COBIT 2019: Partes interesadas en el gobierno, 2018)

Figura 2

Partes interesadas de COBIT

Nota. (ISACA, Marco de referencia COBIT 2019: Partes interesadas en el gobierno,


2018)
Se requiere un cierto nivel de experiencia y un conocimiento profundo de la

empresa para beneficiarse del marco de referencia COBIT. Dicha experiencia y

conocimiento permite a los usuarios personalizar las directrices principales de COBIT

(cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa,


30

mediante la consideración del contexto de la empresa. (ISACA, Marco de referencia

COBIT 2019: Partes interesadas en el gobierno, 2018)

Conceptos directamente relacionados

Objetivos de gobierno y gestión.

Los objetivos de gobierno y gestión se relacionan con un proceso y con

una serie de componentes relacionados de otros tipos, con el fin de contribuir con el

logro de los objetivos de la empresa.

Un objetivo de gobierno se encuentra relacionado con un proceso de gobierno

y un objetivo de gestión se relaciona con un proceso de gestión. Los procesos de

gobierno se encuentran bajo el dominio de la administración y dirección ejecutiva,

mientras que los procesos de gestión se encuentran a cargo de alta y media gerencia.

El modelo Core de COBIT 2019 incluye 40 objetivos de gobierno y gestión

agrupados en 5 dominios (figura 3). Los dominios se nominan con verbos que indican el

propósito clave y las áreas de acción de cada objetivo. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018). Los objetivos de gobierno y

gestión se agrupan en los siguientes dominios:

Objetivos de Gobierno:

1. Evaluar, Dirigir y Monitorizar (EDM).- En este dominio se evalúan las opciones

estratégicas, se dirige a la alta gerencia sobre las opciones estratégicas y se

monitoriza el logro de la estrategia.

Objetivos de Gestión:

2. Alinear, Planificar y Organizar (APO).- Incluye la organización general, estrategia

y actividades de apoyo para la Información y Tecnología.


31

3. Construir, Adquirir e Implementar (BAI).- Se relaciona con la definición,

adquisición e implementación de soluciones para su integración en procesos de

negocio.

4. Entregar, Dar Servicio y Soporte (DSS).- Se realiza la entrega operativa y el

soporte de los servicios de información y tecnología, incluida la seguridad.

5. Monitorizar, Evaluar y Valorar (MEA).- Incluye la monitorización del rendimiento y

la conformidad de la información y la tecnología con respecto a los objetivos

planteados.

Figura 3

Objetivos de Gobierno y Gestión COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión,


2018)
32

Componentes del Sistema de Gobierno.

Con el fin de alcanzar los objetivos de gobierno y gestión, una empresa requiere

establecer, personalizar y sostener un sistema de gobierno, creado en base a una serie

de componentes o factores, que de forma individual y combinada interactúan entre sí

(sistema holístico) para contribuir al funcionamiento adecuado del sistema de gobierno

de una empresa, en cuanto a la información y la tecnología.

Entre los componentes que considera COBIT para un sistema de gobierno se

encuentran: Procesos; Estructuras organizativas; Principios, políticas y

procedimientos; Información; Cultura, ética y comportamiento; Personas,

habilidades y competencias; Servicios, infraestructura y aplicaciones. (ISACA,

Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

Áreas Prioritarias.

Se refiere a un determinado tema de gobierno, dominio o problema, que requiere

una directriz específica y puede ser abordado por una serie de objetivos de gobierno y

gestión, así como sus componentes. Las áreas prioritarias pueden incluir una

combinación de componentes de gobierno genéricos (se aplican a cualquier situación,

suelen requerir una personalización) y variantes (se basan en componentes genéricos,

pero se adaptan para un contexto específico).

El número de áreas prioritarias es ilimitado y puede cambiar de manera dinámica

según sea necesario. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno

y Gestión, 2018)
33

Desarrollo del marco teórico de la metodología COBIT 2019

Principios de COBIT 2019.

COBIT 2019 se desarrolló en base a dos series de principios: (ISACA, Marco de

referencia COBIT 2019: Principios de COBIT 2019, 2018):

• Principios que describen los requisitos fundamentales de un sistema de gobierno

para la Información y la tecnología de la empresa

• Principios para un marco de gobierno que pueda usarse para crear un sistema de

gobierno para la empresa

Seis principios para un sistema de gobierno


Los seis principios para un sistema de gobierno son (figura 4):

Figura 4
Principios del Sistema de Gobierno COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)

1. Proporcionar valor a las partes interesadas. – Consiste en el manejo de un

sistema de gobierno para satisfacer las necesidades de las partes interesadas y

generar valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el
34

riesgo y los recursos, y las empresas necesitan una estrategia y un sistema de

gobierno práctico para materializar este valor.

2. Enfoque holístico. - Un sistema de gobierno para la I&T de la empresa se crea a

partir de una serie de componentes que pueden ser de distinto tipo y que funcionan

conjuntamente de forma holística.

3. Sistema de Gobierno Dinámico. – Consiste en que cada vez que se cambian uno

o más factores del diseño (p. ej. un cambio de estrategia o tecnología), debe

considerarse el impacto de estos cambios en el sistema GETI. Una visión dinámica

de la GETI llevará a un sistema de GETI preparado para el futuro.

4. Separar el gobierno de la gestión. – Consiste en distinguir claramente entre

actividades de gobierno y gestión, y estructuras.

5. Adaptar las necesidades de la empresa. – Consiste en personalizarse de acuerdo

con las necesidades de la empresa, utilizando una serie de factores de diseño como

parámetros para personalizar y priorizar los componentes del sistema de gobierno.

6. Sistema de gobierno integro. – Consiste en cubrir la empresa de principio a fin,

centrándose no solo en la función de TI, sino en todo el procesamiento de

tecnología e información que la empresa pone en funcionamiento para lograr sus

objetivos, independientemente de dónde se realice el procesamiento en la empresa

Tres principios para un Marco de Gobierno

Los tres principios para un marco de gobierno son (figura 5):


35

Figura 5

Principios para Marco de Gobierno COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)

1. Basado en el modelo conceptual. - Un marco de gobierno se debería basar en un

modelo conceptual que identifique los componentes principales y las relaciones

entre componentes para maximizar la uniformidad y permitir la automatización.

2. Abierto y flexible. - Un marco de gobierno debería ser abierto y flexible. Debería

permitir la incorporación de nuevo contenido y la capacidad para abordar nuevos

asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.

3. Alineado con las principales normativas. - Un marco de gobierno debería

alinearse con los principales estándares, marcos y regulaciones relacionados.

COBIT® 2019 mejora las anteriores versiones de COBIT en las áreas siguientes:

• Flexibilidad y apertura. - La definición y uso de los factores de diseño permiten la

personalización de COBIT para un mayor alineamiento con el contexto específico de

un usuario. La arquitectura abierta de COBIT permite incorporar nuevas áreas

prioritarias (ver sección 4.4) o modificar


36

• Actualidad y relevancia. - El modelo COBIT apoya las referencias y alineamiento

con conceptos que surgen de otras fuentes (p. ej. los últimos estándares y

regulaciones de cumplimiento de TI).

• Aplicación prescriptiva. - Los modelos como COBIT pueden ser descriptivos y

prescriptivos. El modelo conceptual COBIT se crea y presenta de tal modo que su

ejemplificación (es decir, la aplicación de los componentes de gobierno

personalizados de COBIT) se percibe como una prescripción de un sistema de

gobierno de TI personalizado.

Componentes del Sistema de Gobierno.

El Sistema de Gobierno considera componentes, antes llamados catalizadores o

habilitadores, que corresponden a los 7 ya conocidos en COBIT 5: (ISACA, Marco de

referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Procesos describen un conjunto de actividades organizadas para alcanzar

resultados específicos, y lograr la consecución global de los objetivos relacionados

con las TI (Tecnologías de la información).

• Estructuras Organizativas entidades claves encargadas de la toma de decisiones.

• Principios, políticas, y marcos de referencia permiten convertir un

comportamiento deseado en guías prácticas para la gestión día a día.

• Información incluye toda la información producida y utilizada por una organización.

• Cultura, ética y comportamiento conjunto de comportamientos individuales y

colectivos dentro de una empresa.

• Personas, habilidades y las competencias son requeridas para completar de

manera exitosa todas las actividades, para tomar buenas decisiones y ejecutar

acciones correctivas.
37

• Servicios, infraestructura y aplicaciones incluye la infraestructura, la tecnología y

las aplicaciones que un sistema de gobierno provee a la empresa para el

procesamiento de Información y Tecnología.

Factores de Diseño.

Para adaptar un sistema de gobierno a los requerimientos de la organización, en

COBIT 2019 se incluyen 11 factores de diseño. Estos factores influyen en el diseño del

sistema de gobierno y guían a una empresa hacia al éxito en cuanto al uso de

Información y Tecnología (Gonzalez, 2018), (ISACA, Marco de referencia COBIT 2019:

Introducción y Metodología, 2018).

1. Estrategia empresarial se refiere a que las empresas pueden funcionar en base a

distintas estrategias, que pueden encajar como uno o más prototipos de la (figura 6).

Figura 6

Factor de diseño estrategia empresarial

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología,


2018)

2. Objetivos empresariales, los cuales apoyan a las estrategias empresariales. Estos

objetivos se estructuran en torno a las dimensiones del Balanced Scorecard. Se

entiende al Balanced Scored Card (BSC) como una metodología para alcanzar un

balance integrado y estratégico del crecimiento, productividad y competitividad;

permite traducir una estrategia en objetivos relacionados, mediante la medición de

un grupo de indicadores que se agrupan en cuatro categorías determinadas:


38

Financieras; Cliente; Procesos Internos; Innovación y Crecimiento (Santana, 2014).

Cobit 2019 considera 13 objetivos empresariales (figura 7).

Figura 7

Factor de diseño objetivos empresariales

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología,


2018)

3. Perfil de Riesgo de la empresa y los inconvenientes actuales relacionados con la

Información y Tecnología (figura 8).

Figura 8

Factor de diseño perfil de riesgo de TI

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)


39

4. Problemas relacionados con la Información y la Tecnología que actualmente

impactan a la empresa; es decir, el riesgo que se ha materializado con respecto a TI

(figura 9).

Figura 9

Factor de diseño problemas relacionados con TI

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

5. Panorama de amenazas bajo el cual opera la empresa (figura 10); de tipo Normal

(Entorno con niveles de amenaza normales) y Alto (Entorno de amenazas elevadas,

debido a una situación geopolítica, sector industrial o perfil específico) (ISACA,

Marco de referencia COBIT 2019: Introducción y Metodología, 2018).

Figura 10

Factor de diseño panorama de amenazas

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)


40

6. Requerimientos de cumplimiento requisitos que una empresa debe cumplir,

pueden ser de tipo bajos, normales y altos (figura 11).

Figura 11

Factor de diseño requerimientos de cumplimiento

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

7. Rol de TI para la empresa, puede clasificarse en Soporte, Fábrica, Cambio y

Estratégico (figura 12).

Figura 12

Factor de diseño rol de TI

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

8. Modelo de abastecimiento para TI que la empresa adopta, se puede clasificar en

Externalización/Tercerización (outsourcing), Nube, Internalizado (insourced) e

Híbrido (figura 13).


41

Figura 13

Factor de diseño modelo de abastecimiento para TI

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

9. Métodos de implementación de TI que la empresa puede utilizar, se clasifican en

Ágil, DevOps, Tradicional e Híbrido (figura 14).

Figura 14

Factor de diseño métodos de implementación de TI

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

10. Estrategia de adopción de tecnología de la empresa, la cual puede clasificarse en

El que primero se mueve (First mover); Seguidor (Follower) y adaptadores lentos

(Slow adopter) (figura 15).

Figura 15

Factor de diseño estrategia de adopción de tecnología

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)


42

11. Tamaño de la empresa se identifican dos categorías Empresas Grandes

(predeterminada), Pequeñas y medianas empresas (figura 16).

Figura 16

Factor de diseño tamaño de la empresa

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

Cascada de Metas.

A partir de las necesidades de las partes interesadas se definen las metas

empresariales, la conversión de estas metas en prioridades, recaen en metas de

alineamiento y estas a su vez en una serie de objetivos de gobierno y gestión (figura

17). La cascada de metas permite la priorización de los objetivos con base en la

priorización de las metas institucionales (ISACA, Marco de referencia COBIT 2019:

Introducción y Metodología, 2018).

Figura 17

Cascada de metas de COBIT

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y


Gestión, 2018)
43

1. Metas empresariales. - En COBIT 2019 las metas empresariales se han

consolidado, reducido y aclarado; se considera un conjunto de 13 metas

empresariales (Tabla 2), definidas con base a las dimensiones del Balanced

Scorecard, con la relación de una serie de métricas de ejemplo. Las metas

empresariales tienen un efecto en cascada con las metas de alineamiento.

Tabla 2

Metas y métricas empresariales

Dimensión del Meta


Referencia Métricas de ejemplo
BSC empresarial
- Porcentaje de productos y servicios que
cumplen o exceden los objetivos de
ingresos y/o cuota de mercado
Portafolio de - Porcentaje de productos y servicios que
productos y cumplen o exceden los objetivos de
EG01 Financiera
servicios satisfacción del cliente
competitivos - Porcentaje de productos y servicios que
proporcionan una ventaja competitiva
- Plazo de comercialización para nuevos
productos y servicios
- Porcentaje de objetivos y servicios
empresariales críticos cubiertos por la
evaluación de riesgos
Gestión de - Tasa (ratio) de incidentes significativos
EG02 Financiera riesgo de que no se
negocio identificaron en la evaluación de riesgos
frente al total de incidentes
- Frecuencia adecuada de la actualización
del perfil de riesgo
- Coste de incumplimiento regulatorio,
incluyendo
liquidaciones y multas
- Número de problemas de incumplimiento
regulatorio que
Cumplimiento causan comentarios públicos o publicidad
de leyes y negativa
EG03 Financiera
regulaciones - Número de problemas de incumplimiento
externas señalados por los
reguladores o autoridades supervisoras
- Número de problemas de incumplimiento
regulatorio en relación con acuerdos
contractuales con socios
empresariales
Calidad de la - Encuesta de satisfacción de las partes
EG04 Financiera información interesadas clave con respecto al nivel de
financiera transparencia, comprensión y precisión de
44

Dimensión del Meta


Referencia Métricas de ejemplo
BSC empresarial
la información financiera de la empresa
- Coste de incumplimiento regulatorio con
respecto a
regulaciones financieras
- Número de interrupciones del servicio al
cliente
- Porcentaje de partes interesadas del
Cultura de
negocio satisfechas de que la prestación
servicio
EG05 Cliente de servicios al cliente cumpla con los
orientada al
niveles de servicio acordados
cliente
- Número de quejas de los clientes
- Tendencia de los resultados de la
encuesta de satisfacción al cliente
- Número de interrupciones del servicio al
cliente o procesos empresariales que han
causado incidentes significativos
- Coste empresarial causado por los
Continuidad y
incidentes
disponibilidad
EG06 Cliente - Número de horas de procesamiento
del servicio del
perdidas por el negocio debido a
negocio
interrupciones inesperadas del servicio
- Porcentaje de quejas en función de los
objetivos de
disponibilidad del servicio acordados
- Grado de satisfacción del consejo de
administración y la dirección ejecutiva con
la información para la toma de decisiones
- Número de incidentes causados por
decisiones erróneas de negocio basadas
Calidad de la
en información incorrecta
EG07 Cliente información de
- Tiempo que se tarda en proporcionar la
gestión
información de soporte para permitir la
toma de decisiones empresariales
eficaces
- Puntualidad en la entrega de la
información de gestión
- Niveles de satisfacción del consejo de
administración y la dirección ejecutiva con
Optimización de
las capacidades del proceso del negocio
la
- Niveles de satisfacción de los clientes
funcionalidad de
EG08 Interna con las capacidades de prestación de
procesos
servicios
internos del
- Niveles de satisfacción de los
negocio
proveedores con las
capacidades de la cadena de suministro
45

Dimensión del Meta


Referencia Métricas de ejemplo
BSC empresarial

- Relación entre el coste y los niveles de


Optimización de
servicio conseguidos
costes de los
EG09 Interna - Niveles de satisfacción del consejo de
procesos del
administración y la dirección ejecutiva con
negocio
los costes de proceso del negocio

- Productividad del personal comparada


con benchmarks
- Nivel de satisfacción de las partes
interesadas con los
Habilidades,
niveles de experiencia y habilidades del
motivación y
EG10 Interna personal
productividad
- Porcentaje de personal cuyas
del personal
habilidades son insuficientes con respecto
a la competencia requerida para sus
funciones
- Porcentaje de personal satisfecho
- Número de incidentes relacionados con
el incumplimiento de la política
-Porcentaje de las partes interesadas que
Cumplimiento
entienden las
EG11 Interna con las políticas
políticas
internas
- Porcentaje de políticas respaldadas por
estándares y
prácticas de trabajo eficaces
- Número de programas ejecutados a
tiempo y dentro del presupuesto
- Porcentaje de partes interesadas
satisfechas con la
Gestión de
ejecución del programa
programas de
EG12 Crecimiento - Porcentaje de programas de
transformación
transformación del negocio suspendidos
digital
- Porcentaje de programas de
transformación del negocio con
actualizaciones del estado notificadas
periódicamente
- Nivel de conciencia y comprensión de las
oportunidades de innovación del negocio
- Satisfacción de las partes interesadas
Innovación de
con los niveles de experiencia e ideas
EG13 Crecimiento producto y
sobre innovación y productos
negocio
- Número de iniciativas de productos y
servicios aprobadas como resultado de
ideas innovadoras
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y

Metodología, 2018)
46

2. Metas de alineamiento. – Las metas empresariales tienen un efecto en cascada

con las metas de alineamiento (Tabla 3); estas metas destacan un alineamiento de

todo el trabajo de TI con los objetivos empresariales. Se determinan a partir de las

dimensiones del Balanced Scorecard con respecto a TI, junto a varias métricas de

ejemplo.

Tabla 3

Metas y métricas de alineamiento

Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
- Coste de incumplimiento de TI,
incluidos liquidaciones y multas, y el
impacto de la pérdida reputacional
Cumplimiento y - Número de problemas de
soporte de I&T para el incumplimiento relacionados con TI
cumplimiento notificados al consejo de
AG01 Financiera
empresarial con las administración o que causan
leyes y comentarios o descrédito públicos
regulaciones externas - Número de problemas de
incumplimiento en relación con
acuerdos contractuales con los
proveedores de servicios de TI
- Frecuencia adecuada de la
actualización del perfil de riesgo
- Porcentaje de las evaluaciones de
Gestión de riesgo riesgo empresarial, incluido el riesgo
AG02 Financiera relacionado relacionado con I&T
con I&T - Número de incidentes significativos
relacionados con I&T que no se
identificaron en la evaluación de
riesgos
- Porcentaje de inversiones
Beneficios obtenidos posibilitadas por I&T en las que los
del beneficios previstos se cumplen o
portafolio de exceden
AG03 Financiera
inversiones y - Porcentaje de servicios de I&T para
servicios relacionados los que se han logrado los beneficios
con I&T esperados (indicados en los acuerdos
de nivel de servicio)
- Satisfacción de las partes
Calidad de la
interesadas clave con respecto al nivel
información
de transparencia, comprensión y
AG04 Financiera financiera relacionada
precisión de la información financiera
con la
de TI
tecnología
- Porcentaje de servicios de I&T con
47

Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
costes operativos claramente definidos
y aprobados y beneficios esperados
- Porcentaje de partes interesadas del
negocio satisfechas con que la
prestación de servicios de TI cumpla
Prestación de servicios
con los niveles de servicio acordados
de I&T
- Número de interrupciones del
AG05 Cliente conforme a los
negocio debido a incidentes de
requerimientos
servicios de TI
del negocio
- Porcentaje de usuarios satisfechos
con la calidad de la prestación de
servicios de TI
- Nivel de satisfacción de los
ejecutivos de negocios con la
capacidad de respuesta de TI a los
nuevos requisitos
- Promedio de plazo de
Agilidad para convertir
comercialización para servicios y
los
aplicaciones nuevos relacionados con
AG06 Cliente requerimientos del
las I&T
negocio en
- Tiempo promedio para convertir los
soluciones operativas
objetivos estratégicos de I&T en una
iniciativa acordada y aprobada
- Número de procesos de negocio
críticos soportados por infraestructura
y aplicaciones actualizadas
- Número de incidentes de
confidencialidad que causan pérdidas
financieras, interrupción del negocio o
Seguridad de la descrédito público
información, - Número de incidentes de
infraestructura y disponibilidad que causan pérdidas
AG07 Interna
aplicaciones financieras, interrupción del negocio o
de procesamiento y descrédito público
privacidad - Número de incidentes de integridad
que causan pérdidas financieras,
interrupción del negocio o descrédito
público
- Plazo para la ejecución de servicios y
procesos
empresariales
Habilitar y dar soporte - Número de programas empresariales
a facilitados por I&T retrasados o que
procesos de negocio incurren en costes adicionales debido
AG08 Interna mediante a problemas de integración
la integración de tecnológica
aplicaciones - Número de cambios en los procesos
y tecnología de negocio que se deben aplazar o
revisar debido a problemas de
integración tecnológica
- Número de aplicaciones o
48

Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
infraestructuras críticas que operan en
silos y no están integradas
- Número de programas/proyectos
Ejecución de
ejecutados a tiempo y dentro del
programas dentro
presupuesto
del plazo, sin exceder
- Número de programas que necesitan
el
una revisión
AG09 Interna presupuesto, y que
significativa debido a defectos de
cumplen
calidad
con los requisitos y
- Porcentaje de partes interesadas
estándares
satisfechas con la calidad del
de calidad
programa/proyecto
- Nivel de satisfacción del usuario con
la calidad, puntualidad y disponibilidad
de la información de gestión
relacionada con I&T, tras considerar
los recursos disponibles
Calidad de la
- Relación y extensión de las
AG10 Interna información
decisiones de negocio erróneas en las
sobre gestión de I&T
que la información errónea o no
disponible relacionada con I&T fue un
factor clave
- Porcentaje de información que
satisface los criterios de calidad
- Número de incidentes relacionados
con el incumplimiento de las políticas
Cumplimiento de I&T relacionadas con TI
AG11 Interna con las - Número de excepciones a las
políticas internas políticas internas
- Frecuencia de revisión y
actualización de la política
- Porcentaje de empresarios con
dominio de I&T (es decir, aquellos que
tienen los conocimientos y
comprensión de I&T requeridos para
guiar, dirigir, innovar y ver las
oportunidades de I&T en su área de
experiencia)
Personal competente y
- Porcentaje de empresarios con
Aprendizaje motivado con un
dominio de TI (es decir, aquellos que
AG12 y entendimiento mutuo
tienen los conocimientos y
crecimiento de la
comprensión de los dominios
tecnología y el negocio
importantes del negocio requeridos
para guiar, dirigir, innovar y ver las
oportunidades de I&T para su ámbito
empresarial)
- Número o porcentaje de empresarios
con experiencia en gestión de
tecnología
49

Dimensión
Metas de
Referencia del BSC de Métricas
alineamiento
TI
- Nivel de conciencia de los ejecutivos
de negocios y
Conocimiento, comprensión de las posibilidades de
Aprendizaje experiencia e innovación de las I&T
AG13 y iniciativas para la - Número de iniciativas aprobadas
crecimiento innovación como resultado de ideas innovadoras
empresarial de I&T
- Número de campeones en
innovación reconocidos/premiados
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y

Metodología, 2018)

Estructura de Objetivos de Gobierno y Gestión

Para la estructura de objetivos de Gobierno, COBIT® 2019 incluye 40 objetivos

de gobierno y gestión, organizados en cinco dominios:

• Dominio de Gobierno

1. Evaluar, Dirigir y Monitorizar (EDM en inglés)

• Dominios de Gestión

2. Alinear, Planificar y Organizar (APO)

3. Construir, Adquirir e Implementar (BAI)

4. Entrega, Dar Servicio y Soporte (DSS)

5. Monitorizar, Evaluar y Valorar (MEA)

En la Figura 18 se muestra la información general detallada para cada objetivo.

Figura 18

Presentación de objetivos de gobierno y gestión

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y


Gestión, 2018)
50

• Nombre del dominio

• Área prioritaria (en el caso de esta publicación, se trata del modelo Core de COBIT)

• Nombre del objetivo de gobierno o gestión

• Descripción

• Declaración de propósito

Gestión del Desempeño en COBIT

La gestión de desempeño en COBIT (CPM, por sus siglas en inglés) hace

referencia a todas las actividades y métodos para determinar el correcto funcionamiento

de todo el sistema de gobierno y gestión, incluyendo términos de mejora para alcanzar

un nivel requerido. Se incluye conceptos de niveles de capacidad como de madurez, y

se basa en los siguientes principios:

1. Debe entenderse y usarse de manera sencilla.

2. Debe ser consistente y apoyar el modelo conceptual de COBIT; debería facilitar la

gestión del desempeño de cualquier tipo de componente del sistema de gobierno.

2. Debe proporcionar resultados confiables, repetibles y relevantes

3. Debe ser flexible, para brindar soporte a los distintos requerimientos de diversas

organizaciones

4. Debe permitir distintos tipos de evaluaciones, como autoevaluaciones, evaluaciones

formales o auditorias.

Gestión del desempeño de los procesos.

Niveles de capacidad del proceso

COBIT 2019 incluye un esquema de capacidad de procesos basado en CMMI,

Integración del modelo de madurez de capacidades (CMMI por sus siglas en inglés,
51

Capability Maturity Model Integration), un conjunto de mejores prácticas globales que

impulsa el rendimiento de una empresa mediante la creación y evaluación comparativa

de capacidades clave. El modelo CMMI apoya a las organizaciones a entender su nivel

actual de capacidad y rendimiento. (CMMI, 2019).

El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con

distintos niveles de capacidad, con valores desde 0 hasta 5 (figura 19). Un nivel de

capacidad tiene una característica específica e indica la medida de la correcta

implementación y funcionamiento de un proceso.

Un proceso alcanza un determinado nivel de capacidad, en el caso que todas las

actividades correspondientes se desempeñen de manera satisfactoria. (ISACA, Marco

de referencia COBIT 2019: Introducción y Metodología, 2018).

Figura 19

Niveles de Capacidad para los procesos

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)


52

El grado de calificación para un nivel de capacidad depende del contexto en el

que se realiza el desempeñó; incluye métodos formales como calificaciones binarias de

aprobado/falla y métodos informales con una serie de calificaciones más amplio, como

valores del conjunto completamente/largamente/parcialmente/no.

Niveles de madurez del área prioritaria

Existen escenarios en los cuales es necesario un nivel más alto para definir el

desempeño del proceso; por lo que, COBIT 2019 define los niveles de madurez como

una medida de desempeño a nivel del área prioritaria (figura 20). Los niveles de

madurez se asocian con áreas prioritarias y se alcanza un determinado nivel de

madurez si todos los procesos que intervienen en el área prioritaria alcanzan ese nivel

de capacidad especifico.

Figura 20

Niveles de Madurez para áreas prioritarias

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)


53

Diseño e Implementación de un Sistema de Gobierno de TI

Para el diseño e implementación del sistema de Gobierno de TI en la Dirección

de Tecnologías de la Información y Comunicación (DTIC), nos enfocaremos en los 4

aspectos principales que nos brinda el modelo de Gestión COBIT 2019.

La metodología de gestión COBIT nos brinda distintas etapas y pasos del

proceso de diseño, como se visualizar en la figura 21, los cuales inician con diversas

recomendaciones para priorizar los objetivos de gobierno y gestión o componentes del

sistema de gobierno relacionados con estos, para alcanzar niveles de capacidad, o para

adoptar variantes específicas de un componente del sistema de gobierno. (ISACA,

Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Figura 21

Diseño de un sistema de Gobierno de TI

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Algunos de estos pasos o subpasos podría derivar en recomendaciones

contradictorias, lo cual es inevitable cuando se consideran un gran número de factores


54

de diseño, la naturaleza genérica en su conjunto de la guía de factores de diseño y las

tablas de asignación utilizadas.

Si se logran adaptar dichos pasos previamente mencionados la Dirección de

Tecnologías de la Información y Comunicación (DTIC) logrará contar con un sistema de

gobierno adaptado a sus necesidades. (ISACA, Diseño de una solución de Gobierno de

Información y Tecnología, 2018)

Paso 1: Entender el contexto y estrategia de la empresa

En el primer paso, la empresa examina su contexto, estrategia y entorno de

negocio para lograr un mayor conocimiento de cuatro dominios parcialmente

superpuestos, interdependientes y, a menudo, complementarios. Las siguientes

subsecciones describen los subpasos críticos del paso 1:

• Estrategia empresarial

• Metas empresariales y metas de alineamiento derivadas

• Perfil de riesgo de I&T

• Problemas actuales relacionados con I&T

Paso 2: Determinar el alcance inicial del sistema de gobierno

Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la

información recopilada durante el paso 1. Los valores derivados para la estrategia

empresarial, las metas empresariales, el perfil de riesgo y los problemas relacionados

con I&T se traducen en una serie de componentes de gobierno priorizados para

producir el sistema inicial de gobierno personalizado para la empresa.

Paso 3: Perfeccionar el alcance del sistema de gobierno

El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del

sistema de gobierno con base en el conjunto de factores de diseño restantes, conforme

se define en las secciones detalladas anteriormente. A lo largo de este capítulo, no


55

todos los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no

aplicables pueden ignorarse.

En este paso, el diseñador del sistema de gobierno explicará cada factor de

diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa.

1. Determinará si cada factor de diseño puede aplicarse o no.

2. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o

qué combinación de valores posibles) es más aplicable a la empresa. Descripciones

de referencia de los valores de factores de diseño aplicables, junto con las tablas de

asignación de los apéndices F a K, para determinar qué refinamientos del sistema

de gobierno están asociadas a estos valores.

El resultado de cada consideración de un factor de diseño es una lista

clasificada de objetivos de gobierno y gestión, similar al resultado obtenido en el paso 2.

Con las tablas de asignación de los apéndices F a K, se pueden usar las mismas

técnicas y escalas, como se describió anteriormente.

Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno

Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de

los pasos anteriores para finalizar el diseño del sistema de gobierno, como se muestra

en la figura 22. El sistema de gobierno resultante debe reflejar una cuidadosa

consideración de todas las entradas; entender que estas entradas podrían en ocasiones

presentar conflicto.
56

Figura 22.

Paso 4 del diseño del sistema de gobierno—Conclusión

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Marco de referencia ITIL

Infraestructure Library® (ITIL®) es el referente más conocido y aceptado

actualmente para la gestión de servicios de tecnologías de la información (en inglés IT

Service Management, ITSM). La versión actual de ITIL 2019 es el más completo de los

referentes de ITSM y se centra en el ciclo de vida de la gestión de servicios. (FLORES,

2017).

Es un conjunto de conceptos y mejores prácticas referentes a la gestión de

servicios de tecnologías de la información (TI), y cómo puede alinearse mejor con los

procesos empresariales, describe detalladamente un extenso conjunto de funciones y

procesos ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las

operaciones de TI. (Juárez, 2010)

Por lo que hemos visto adecuado basarnos en las buenas prácticas que esta

metodología nos brinda, para este breve desarrollo nos hemos enfocado en el Ciclo

Deming (figura 23), el cual fundamenta su principio en la mejora continua de los

procesos, columna vertebral del Ciclo de Vida del Servicio propuesto por ITIL. (Juan
57

Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco

Quintero, 2017)

Cabe recalcar que ITIL provee una guía y no un manual paso a paso de cómo

hacerlo. La implementación de los procesos ITIL variará según los requerimientos de

cada organización. (Huércano, 2018)

Figura 23

Ciclo de vida de los servicios basado en el Ciclo de Deming

Nota. (Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)


58

Capitulo III

Análisis de la situación actual de TI y aplicación de COBIT

Análisis empresarial

El presente capítulo inicia con una breve descripción de la Dirección de

Tecnologías de la Información y Comunicación (DTIC), con base en los documentos

Manual de Puestos de la DTIC 2019-2021 y Plan Operativo Interno DTIC 2019, y se

procede con el diseño de una solución de gobierno de información y tecnología.

Antecedentes.

Dentro del PROYECTO INTEGRADOR DEL COAAS 36 del año 2019, como

parte de los antecedentes generales se describe con respecto a las TICs:

Las TICs aplicadas a la Defensa tienen características especiales que las

hacen distintas, por lo que para aplicarlas e implementarlas se deben entrelazar:

la planificación estratégica militar institucional y el empleo de las

Comunicaciones, Sistemas Informáticos, Guerra Electrónica y Seguridad de la

Información, fuertemente ligadas entre sí para aportar al incremento de la

Capacidad Estratégica de Mando y Control, a fin de contribuir principalmente al

desarrollo del objetivo estratégico de Incrementar las Capacidades Militares.

(CAPT DE COM PAREDES RODRIGUEZ & CAPT DE COM PRADO MÉNDEZ,

2019)

En cumplimiento a la NORMA TÉCNICA DE ADMINISTRACIÓN POR

PROCESOS No. 1580, el 03/01/2018 se expidió el ESTATUTO ORGÁNICO DE

GESTIÓN ORGANIZACIONAL POR PROCESOS DE LA FUERZA TERRESTRE;

dentro de los procesos descritos para Gestión de tecnologías de la información y

comunicaciones, se crea la DTIC como proceso de apoyo.


59

Es así como, la Fuerza Terrestre a través de la Dirección de Tecnologías de la

Información y Comunicación (DTIC), realiza la gestión de los sistemas de información y

comunicaciones, al igual que de la seguridad tecnológica y del desarrollo de aplicativos

informáticos que automatizan los procesos críticos de la institución.

Organización.

Propósito

La DTIC tiene como fin proporcionar apoyo de comunicaciones, sistemas de

información, seguridad de la información digital y guerra electrónica; desarrollando,

instalando, explotando, manteniendo y protegiendo las redes de comunicaciones y

sistemas de información que requiere el Ejército en todo el territorio nacional, en forma

permanente, para el efectivo ejercicio del mando y control de las operaciones militares.

Misión

Gestionar las Tecnologías de la Información y Comunicaciones, mediante la

gestión de comunicaciones e informática; diseño y desarrollo de proyectos; y, seguridad

tecnológica, para incrementar la Capacidad Operativa de Mando y Control, a fin de

contribuir al direccionamiento estratégico, al desarrollo de las capacidades militares

terrestres y apoyo al Desarrollo Nacional.

Sistema de Valor

El sistema de valor hace referencia al hecho de que, la cadena de valor de una

organización forme parte de un mayor conjunto de actividades; por lo tanto, desde el

punto de vista funcional, una organización representa una serie de actividades, el

entendimiento y el correcto funcionamiento de estas, favorece la consecución de los

objetivos estratégicos (López Ibarra, s.f.). En la Figura 24, se muestra el sistema de

valor de la DTIC.
60

Figura 24

Sistema de Valor de la DTIC

Nota. Adaptado de (DTIC, 2019)

Estructura Organizacional

En la actualidad la Dirección de Tecnologías de la Información y Comunicación

(DTIC), se encuentra dirigida y administrada por el director el CRNL. EMC. VALLEJO

L.M. DAVID. Se encuentra conformada de una Subdirección y bajo su coordinación tres

departamentos: GESTIÓN DE COMUNICACIONES E INFORMÁTICA, PROYECTOS

TIC y SEGURIDAD TECNOLÓGICA.

De acuerdo con el Manual de Puestos de la DTIC 2019-2021, la DTIC se

encuentra integrada por 70 personas entre las cuales se encuentran Oficiales,

Voluntarios y Servidores Públicos, distribuidos en los tres departamentos (figura 25).


61

Figura 25

Sistema de Valor de la DTIC

Nota. Adaptado de (DTIC, 2019)

Las responsabilidades principales y los propósitos de los diferentes

departamentos son (DTIC, 2019):

I. Dirección: La responsabilidad principal es el direccionamiento estratégico de

comunicaciones e informática para el adecuado funcionamiento de los procesos

de planificación, proyectos, y seguimiento y evaluación de la DTIC.

II. Subdirección: La responsabilidad principal es la coordinación del trabajo de los

departamentos de planificación, proyectos, y seguimiento y evaluación en base a

las directrices y políticas dadas por la dirección.

III. Gestión de Comunicaciones e Informática: El propósito es realizar la

planificación para dirigir el desarrollo y fortalecimiento de las comunicaciones,


62

sistemas informáticos, guerra electrónica y seguridad de la información en la

Fuerza Terrestre, en coordinación con el AGRUCOMGE, mediante la

planificación y evaluación técnica para incrementar los niveles de eficacia

institucional, a fin de fortalecer la capacidad estratégica de Mando y Control.

IV. Proyectos TIC: El propósito es realizar estudios técnicos; ejecutar proyectos de

comunicaciones, sistemas informáticos, guerra electrónica, seguridad de la

información; e, implementar software aplicativo personalizado en el ámbito militar,

mediante el desarrollo de comunicaciones y desarrollo informático, para

incrementar los niveles de eficacia institucional, a fin de fortalecer la capacidad

operativa de Mando y Control.

V. Seguridad Tecnológica: El propósito es implementar el Esquema de Gestión de

Seguridad de la Información Digital (EGSED), gestionar riesgos, proporcionar

soporte de seguridad digital y comunicaciones; a fin de garantizar la

confidencialidad, integridad, legalidad y disponibilidad de la información;

mediante la gestión de seguridad digital y administración de incidentes, para

incrementar la eficacia de Ciberseguridad en la F.T

Procesos

Cada una de las unidades que componen la estructura orgánica de la DTIC,

disponen de un manual del proceso, en el cual se describe las características del

proceso correspondiente, junto a los lineamientos, mapa de interrelación, descripción de

los subprocesos y los indicadores que permiten cuantificar el desempeño del proceso.

En la Tabla 4 se resume los procesos que actualmente se encuentran levantados en la

DTIC.
63

Tabla 4

Procesos de la DTIC

CÓDIGO PROCESO TIPO SUBPROCESO PRODUCTOS


Plan de las TICS
Diagnóstico del material y
medios de las TICS
Diagnóstico del personal de
arma y especialista de
Adjetivo 1. Planificación. comunicaciones
GESTIÓN DE
G.T.I.C 1 COMUNICACIONES de 2. Evaluación Directrices de las TICS
E INFORMÁTICA Apoyo Técnica Estándares de las TICS
Norma de gestión del sistema
de comunicaciones de la F.T
Plan de mejoramiento de las
metodologías de la DTIC
Informes técnicos de las TICS
Estudios de asesoría en
telecomunicaciones
Estudios de ingeniería en
telecomunicaciones:
Estudios de requerimientos de
1. Desarrollo de Informática
Adjetivo Comunicaciones Estudios de requerimientos de
G.T.I.C 2 PROYECTOS de . telecomunicaciones
Apoyo 2. Desarrollo Proyectos de Comunicaciones,
Informático. Guerra Electrónica, Informática,
seguridad Informática y
metrología
Software aplicativo y manuales
del Sistema Integrado de la F.T.
(SIFTE)
Seguridad de la información
digital
Informe de incidentes de
1. Gestión de seguridad informática
Seguridad Informe de soporte de seguridad
Digital.
Plan de Contingencias de
2.
Adjetivo Tecnología
SEGURIDAD Administración
G.T.I.C 3 TECNOLÓGICA de Plan de Continuidad de
de Incidentes de
Apoyo servicios TIC
Seguridad
Informática. Procedimientos para
implementar los dominios del
3. Seguridad de
esquema de seguridad digital
Comunicaciones
Plan de tratamiento de riesgos
de seguridad de la información
Seguridad de comunicaciones
Nota. Recuperado de Manuales de Proceso DTIC 2019
64

Sistema Integrado de la Fuerza Terrestre (SIFTE)

Para facilitar la gestión de datos de las diferentes áreas funcionales, la Fuerza

Terrestre dispone de la herramienta corporativa militar SIFTE (figura 26), que integra los

subsistemas y aplicativos en un único sistema, que permite disponer de información

integra y oportuna para la toma de decisiones; además provee las seguridades

informáticas necesarias para el acceso y manejo confiable de la información.

Figura 26

Sistema Integrado de la Fuerza Terrestre (SIFTE)

Nota. Adaptado de sitio Web https://portal.ejercito.mil.ec/Menu/nxcvbnh.do

Los componentes de la infraestructura informática que soporta el SIFTE son:

• Servidores de Bases de Datos.- Configurados para los ambientes de desarrollo,

pruebas, producción y standby.

• Servidores de Aplicaciones.- Servidores para alojar 53 aplicaciones del SIFTE,

entre las cuales se encuentran los subsistemas de logística, educación, académico,

ingreso, etc.

• Sistema de Almacenamiento.- Proporciona espacio físico para el almacenamiento

de información e instalación de sistemas operativos de servidores de base de datos,

aplicaciones y gestión documental.

• Sistema de Respaldo.- De la información de todos los servidores.


65

• Centro de datos, redes y equipos activos.- El Centro de datos es el espacio físico

ubicado en el subsuelo de la Comandancia General del Ejército, donde se

encuentran instalados los recursos informáticos que se han descrito; el centro de

datos garantiza medidas de seguridad y proporciona conectividad entre los

diferentes servidores.

Levantamiento de Servicios de TI de la DTIC

Adicional a la implementación del modelo de gestión COBIT 2019, se ha

realizado un trabajo de la mano, mismo que ha consistido en el levantamiento de los

servicios brindados por parte de la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC); se identificó que actualmente manejan ciertos servicios de TI

que no se han venido llevando de una forma adecuada, puesto que al levantar la

información se pudo verificar que durante varios años, la DTIC ha venido manejado una

estructura de servicios acorde con las exigencias que se han presentado.

Sin embargo, en la actualidad enmarcada en múltiples sucesos de orden social,

político, cultural y económico, hace que la DTIC se vea abocada a cambiar en lo que

respecta a competitividad, mejoramiento continuo, entre otros aspectos; pero sobre todo

en el uso eficiente de las Tecnologías de la Información y las Comunicaciones (TIC).

(Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)

Es este sentido y para dar respuesta a esta necesidad, las áreas de TI deben

enfocarse en la implementación o reingeniería de procesos con los cuales se puedan

ofrecer mejores servicios de TI, dejando atrás el típico modelo reactivo de respuesta a

fallas, con el propósito de pasar a desempeñar una función más proactiva en la

planificación, la supervisión y la gestión de los servicios de TI.


66

Por tal motivo, el propósito de la presente propuesta se basa en el desarrollo de

un modelo basado en ITIL para la Gestión de los Servicios de TI en la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC), cuya área de TI no es la

excepción ante esta problemática.

Fases de implementación Metodología ITIL

Fase I.- Diagnóstico de la situación actual

Para el desarrollo de este trabajo se realizó un diagnóstico de la situación actual

de los procesos de TI llevados a cabo en la Dirección de Tecnologías de la Información

y Comunicaciones (DTIC). La DTIC al momento brinda una serie de servicios que se

han implementado en función a las necesidades que se van presentando en el día a

día, por lo cual se ha visto necesario implementar un modelo basado en ITIL, mismo

que es un marco de referencia que brinda buenas prácticas de cómo llevar los servicios

en función a los niveles de servicio que se puedan acordar en función a las soluciones

brindadas a los usuarios.

Tabla 5

Servicios de TI ofertados por la DTIC

Servicios Nombre del Servicio


Servicio 1 Servicio de Aplicaciones
Servicio 2 Servicio de Gestor Documental
Servicio 3 Servicio de Desarrollo de Software
Servicio 4 Servicio de Herramientas de desarrollo de Reportería
Servicio 5 Servicio de Control de Calidad
Servicio 6 Servicio de Base de Datos
Servicio 7 Servicio de Administración de la LAN
Servicio 8 Servicio de Administración de la WAN
Servicio 9 Servicio de TELEFONIA IP/CONMUTACIÓN
Servicio 10 Servicio de Video Conferencia
Servicio 11 Servicio de Correo Electrónico
Servicio 12 Servicio de Administrador de Servidores
Servicio 13 Servicio de Almacenamiento físico de Servidores
Servicio 14 Servicio de Seguridad de la información digital
Servicio 15 Servicio de Administración UTM
Servicio 16 Servicio de Servicio Seguridad Dominio
67

Al momento la Dirección de Tecnologías de la Información y Comunicaciones

(DTIC) cuenta con 16 servicios (Tabla 5), en los cuales al realizar el diagnóstico inicial

se pudo identificar que no cuenta con niveles de atención y de solución de incidentes,

que permitan determinar su índice de satisfacción a sus usuarios.

Una vez realizado el diagnóstico inicial de los procesos manejados por la DTIC se
inició la siguiente fase.

Fase II.- Mapeo de niveles de madurez de los procesos

En esta fase se realiza una evaluación del nivel de madurez de los servicios

ofertados por la DTIC, usando como base la escala de los niveles de madurez que se

detalla en la Tabla 6; posteriormente se realiza un mapeo según el estándar ITIL y los

procesos de los servicios de TI de la DTIC, con el fin de establecer el nivel de madurez

de los mismos con respecto a ITIL y así determinar los elementos prioritarios de ITIL

aplicables a la institución. (S.L., 2019), (Quintero Gómez & Peña Villamil, 2017).

Tabla 6

Mapeo de los niveles de madurez de los servicios de la DTIC

% De
Calificación Nivel de madurez Descripción
Cumplimiento
Los servicios no se realizan, o no
Incompleto
0 consiguen sus objetivos 0%
Los servicios se ejecutan,
Ejecutado lográndose los objetivos
1 20%
específicos.
Los servicios, además de ser
"ejecutados", se planifican, revisan y
Gestionado
2 evalúan para comprobar que 40%
cumplen con los requisitos.
Los servicios, además de ser
"gestionados", se ajustan al
Definido conjunto de procesos estándar
3 60%
conforme a las directivas de la
organización.
68

% De
Calificación Nivel de madurez Descripción
Cumplimiento
Servicios “definidos” y controlados
Gestionado
con técnicas estadísticas u otras
4 Cuantitativamente 80%
técnicas cuantitativas.
Servicios "gestionados
cuantificadamente” que son
cambiados y adaptados para
5 Optimizado 100%
conseguir objetivos relevantes de
negocio.
Nota. Recuperado de (Quintero Gómez & Peña Villamil, 2017)

En función a la matriz de los niveles de madurez definidos por ITIL, realizamos la

evaluación de los servicios de la DTIC donde pudimos conocer que sus procesos no se

encuentran bien definidos, puesto que los mismos se manejan acorde a las

necesidades que van surgiendo; a continuación, se presentaran los resultados

obtenidos una vez realizada la evaluación (Tabla 7).

Fase III.- Implementación de solución para mejorar los procesos de los servicios

actuales

En función a los resultados obtenidos se ha podido identificar que es adecuado


realizar varios ajustes a los procesos de los servicios de la DTIC, como punto principal es
necesario aplicar un modelo de gestión de los servicios levantados, para lo cual la
propuesta se basa en los siguientes puntos:

1. Se diseño el formato basado en el modelo de gestión de servicios de ITIL (Tabla 8),

donde se obtiene la información más relevante de cada uno de los servicios de TI

actuales, donde se analiza las funciones notables, los entregables y los niveles de

solución.
69

Tabla 7

Evaluación de servicios de la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC)

EVALUACIÓN DE MADUREZ – SERVICIOS DE LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN


Y COMUNICACIONES (DTIC)
NIVELES DE MADUREZ
NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4 NIVEL 5
¿Los
servicios,
además ¿Los ¿ ¿ Servicios
de ser servicios, Servicios "gestionado
¿Los ¿Los
"ejecutad además de ser “definidos” s cuantifi-
SERVICIOS DE LA servicios servicios
os", se "gestionados", y cadamente”
DIRECCIÓN DE no se se
planifican, se ajustan al controlado que son Nivel de
TECNOLOGÍAS DE LA realizan, ejecutan,
revisan y conjunto de s con cambiados y madurez
INFORMACIÓN Y o no lográndos
evalúan procesos técnicas adaptados actual
COMUNICACIONES consigue e los
para estándar estadística para
(DTIC) n sus objetivos
comproba conforme a las s u otras conseguir
objetivos específico
r que directivas de técnicas objetivos
? s?
cumplen la cuantitativ relevantes
con los organización? as? de negocio?
requisitos
?
Aplicaciones X 1
Gestor Documental X 1
Desarrollo de
X 1
Software
Herramientas de
desarrollo de X 1
Reportería
Control de Calidad X 1
Base de Datos X 1
Administración de
X 1
la LAN
Administración de
X 1
la WAN
Telefonía
X 1
IP/conmutación
Video Conferencia X 1
Correo Electrónico X 1
Administración de
X 1
Servidores
Almacenamiento
físico de X 1
Servidores
Seguridad de la
X 1
información digital
Administración
X 1
UTM
Seguridad de
X 1
Dominio
70

Tabla 8

Formato diseñado para el levantamiento de los servicios de TI de la DTIC

DETALLE DEL SERVICIO


Código No Definido
Nombre Infraestructura Servidores
Brindar el equipamiento físico y virtual necesario para el
Descripción funcionamiento de los aplicativos del sistema integrado de la
Fuerza Terrestre (SIFTE)
Estado Activo – Operativo
Versión 01
Fecha puesta en operación 2007-2008
Fecha finalización En Funcionamiento Actualmente
EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana)
Contacto Soporte
(02) 3332 191
EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana)
Contacto para modificaciones
(02) 3332 191
Dirección de Tecnologías de la Información y
Propietario
Comunicaciones de la Fuerza Terrestre (DTIC)
Clientes Toda la Fuerza Terrestre
INTRODUCCIÓN
El equipamiento de servidores que en la actualidad está dotado la fuerza terrestre es de una
arquitectura RISC.
ALCANCE
Proceso Inicia con: a) Inicia con una planificación anual según contrato con
la empresa que provee el mantenimiento y soporte
técnico.
b) Coordinación con la empresa que brinda el soporte y
mantenimiento para realizar los trabajos de
mantenimiento de equipos y diagnósticos de los
mismos.
c) Ejecución de los trabajos en los meses propuestos.
Proceso Termina con: a) Recepción del trabajo de mantenimiento y diagnóstico
de equipos en el sitio en donde se produjo el
inconveniente
b) Evaluación del funcionamiento de los equipos de
acuerdo a los análisis que realizan los técnicos de la
empresa.
c) Recepción de informes de diagnóstico y
mantenimiento, o sustitución de hardware de equipos,
que son entregados por parte de la empresa que
realiza los trabajos
OBJETIVO
Mantener los servidores operativos al 100%, para evitar contratiempos en el desarrollo de las
operaciones militares
SERVICIO CONTIENE
71

a) Existe una planificación de actualización de equipos.


b) Existe planificación de mantenimientos y diagnóstico de equipos
EXCLUSIONES
Mantenimiento de aplicaciones
CARACTERISTICAS GENERALES
a) Tcrn. Rodríguez Luis
Responsables b) Sgos. Escudero Fernando
Clientes a)
Todo el personal de la Fuerza Terrestre
a)
Base de Datos
Servicios Relacionados b)
Aplicaciones
c)
Desarrollo de Software
a)
Requerimientos de Licenciamiento software y
Entradas hardware.
b) Requerimientos de adquisición de partes de Equipos.
a) Informes de diagnóstico de equipos trimestralmente.
b) Informes de mantenimiento de hardware anualmente.
Entregables
c) Entrega de partes y equipos en función al
requerimiento
a) Actualización de Software
b) Actualización de Licenciamiento
Funciones c) Cambio de partes.
d) Monitoreo de Servidores (Diario)
e) Generación de informes de estado servidores previo
pedido de la unidad Informática
f) Manuales de equipos
ESPECIFICACIONES
Se realiza la instalación de sistemas Operativos, base de
Configuración
datos, servidores de aplicaciones
Restricciones Adquisición de licenciamiento de base de datos Oracle
a) Servidores Fujitsu Siemens (Se cuenta con 7
servidores)
Elementos Tecnológicos b) Cuchillas Blade Fujitsu Siemens (Se cuenta con 4).
c) Switches SAM (Se cuenta con 2).
d) Balanceador de Carga (Citrix).
e) DataDomain Servidor de Respaldos

Nivel de Servicio Alta


a) El servicio se encuentra activo las 24 horas al día los
7 días de la semana
Horarios
b) En mantenimientos el servidor queda inactivo 4 horas
en el año
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Tiempo Respuesta Incidentes: No tiene Definido
Tiempo resolución incidentes: No tiene Definido depende
Nivel de servicio complejidad puede llegar a tardar hasta 8 días
Tiempo escalamiento: No tiene Definido hasta tomar
contacto con empresa SINETCOM
72

Tiempo Respuesta Incidentes No tiene Definido


Nivel de soporte Tiempo resolución No tiene Definido
Tiempo escalamiento No tiene Definido
ESCALAMIENTO DEL SERVICIO
Nivel 1 Alta: Tcrn. Rodríguez Luis
Nivel 2 Media: Tcrn. Rodríguez Luis
Nivel 3 Baja: Sgos. Escudero

2. Una vez realizado el levantamiento de cada uno de los servicios, se definió un flujo

utilizando la herramienta BIZAGI, de cómo se está manejando en la actualidad cada

servicio y así poder manejar un estándar que permita justificar su manejo de una

forma adecuada (figura 27).

Figura 27

Proceso de Infraestructura Servidores

3. Como siguiente paso se realizó el análisis de los niveles de impacto de los servicios

técnicos, donde se han definido tres niveles de impacto que serán de mucha utilidad

para el análisis.

• Nivel de servicio bajo. - Las actividades o servicios técnicos que ofrece el

departamento tecnológico cumplen con un porcentaje de servicio mayor al 70% de

su atención, no presentarán mayor problema.


73

• Nivel de servicio medio. - Las actividades o servicios técnicos que ofrece el

departamento tecnológico cumplen con un porcentaje entre el 40% y 70% de

atención, las cuales se ajustarán de acuerdo con los requisitos de los usuarios.

• Nivel de servicio urgente. - Los servicios técnicos que ofrece el departamento

tecnológico cumplen con una proporción mínima o igual al 40% de su atención,

serán realizados desde un mejor esquema, brindando mayor importancia a los

mismos, con tiempos de respuesta óptimos.

4. El siguiente paso que se realizó para mejorar los procesos de servicios de TI

actuales, es el análisis de SLA’s o acuerdos de servicios, definidos en función a los

diferentes tipos de necesidades, ya sean estos incidentes o requerimientos, para lo

cual se comprende como actualmente se reciben los requerimientos e incidentes de

los usuarios y se definió la Tabla 9, para parametrizar cada uno de los niveles de

servicios:

Tabla 9

Niveles de servicio SLA’s

NIVEL SLA HORAS / DÍAS LABORABLES


Incidencias SLA 01 1 HORAS
Incidencias SLA 02 2 HORAS
Incidencias SLA 03 3 HORAS
Incidencias SLA 04 4 HORAS
Incidencias SLA 05 5 HORAS
Requerimiento SLA 01 8 HORAS -> 1 DÍA
Requerimiento SLA 02 16 HORAS -> 2 DÍAS
Requerimiento SLA 03 24 HORAS -> 3 DÍAS
Requerimiento SLA 04 32 HORAS -> 4 DÍAS
Requerimiento SLA 05 40 HORAS -> 5 DÍAS
74

Finalmente se documentan los servicios de TI de la DTIC, se les agrega mejoras

como la definición de SLA’s para establecer acuerdos de servicio, en función al impacto

que los mismos lleguen a tener dentro de la institución.

Con esta implementación la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC) podrá mantener los procesos de los servicios de TI

actualizados en función al modelo basado en ITIL, esto permitirá a la Institución tener un

mejor manejo de las TIC y sustentar la gestión que se realiza dentro del Ejercito del

Ecuador.

Diseño de un Sistema de Gobierno Personalizado

COBIT 2019 propone un flujo para el diseño de un sistema de gobierno

personalizado, el flujo contiene 4 etapas con una serie de pasos cada una (figura 28),

los cuales resultarán en recomendaciones para conseguir un sistema de gobierno

adaptado a las necesidades de la DTIC. Las 4 etapas del diseño del sistema de

gobiernos son las siguientes (ISACA, Diseño de una solución de Gobierno de

Información y Tecnología, 2018):

1. Entender el contexto y estrategia de la empresa

2. Determinar el alcance inicial del sistema de gobierno

3. Perfeccionar el alcance del sistema de gobierno

4. Resolver conflictos y finalizar el diseño del sistema de gobierno


75

Figura 28

Flujo de trabajo del diseño del sistema de gobierno

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

PASO 1: Entender el contexto y estrategia de la empresa.

El diseño del sistema de gobierno inicia con la definición del contexto general de

la empresa, para alcanzar un mayor conocimiento de la estrategia, metas

empresariales, perfil de riesgo de I&T y problemas actuales relacionados con I&T

(ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018).

Estrategia Empresarial

A inicios del año 2019 y con base a los objetivos estratégicos planteados por el

Comando General de la Fuerza Terrestre, la DTIC define 20 estrategias para la

consecución de objetivos. En la Tabla 10, se indican las estrategias definidas por la

DTIC.
76

Tabla 10

Estrategias de la DTIC

Objetivos
No Estrategias
Estratégicos
INCREMENTAR LA
EFECTIVIDAD EN EL
1 CONTROL DEL Proponer los cambios que sean pertinentes al marco legal
TERRITORIO
NACIONAL
Optimizar los procesos de difusión de información que tengan impacto
estratégico
Fortalecer la imagen institucional y cohesión interna con el manejo
MANTENER LA adecuado de los temas legales (disciplinarios) y evitando el
2 IMAGEN involucramiento del personal militar en actividades ilícitas
INSTITUCIONAL
Fortalecer la integración y cooperación con los ejércitos de los países
amigos
Mejorar los niveles de cooperación e integración con las otras fuerzas
INCREMENTAR LA Desarrollar protocolos y procedimientos que definan las condiciones de
EFECTIVIDAD empleo, tareas específicas y coordinaciones que se deben realizar para el
3 OPERACIONAL DE cumplimiento de misiones y tareas de apoyo a la seguridad integral
LAS UNIDADES
MILITARES Optimizar el apoyo a la gestión de riesgos
Recuperar, modernizar y adquirir material, armamento y equipo (terrestre,
INCREMENTAR LAS aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el
4 CAPACIDADES ámbito interno
MILITARES.
Fortalecer la capacidad de “ciberdefensa”
INCREMENTAR EL
Optimizar los procesos de entrenamiento por medio del uso de
5 ALISTAMIENTO
simuladores y nueva tecnología
OPERACIONAL
INCREMENTAR LA Fortalecer el sistema logístico
6 EFECTIVIDAD EN EL Reformular los procesos de mantenimiento y conservación del material,
APOYO LOGÍSTICO equipo, medios e infraestructura a fin de alargar la vida útil del mismo
Optimizar los procedimientos de planificación estratégica del ejército
Implantar la administración por procesos en todas las estructuras militares
INCREMENTAR LA del ejército
7 EFICIENCIA
INSTITUCIONAL Implementar un sistema integrado de gestión institucional por resultados
Optimizar en forma permanente la estructura organizacional de la
institución
Fortalecer la práctica de un adecuado liderazgo, valores militares, así
INCREMENTAR EL como el cumplimiento estricto de normas y procedimientos institucionales
8 DESARROLLO DEL Fortalecer el clima laboral, política de género, asistencia social del
TALENTO HUMANO personal, manteniendo una adecuada cultura organizacional y adaptación
a los procesos de modernización
Mejorar los procesos y procedimientos que permitan optimizar la
planificación y ejecución presupuestaria (gasto corriente/gasto de
INCREMENTAR EL inversión), así como el manejo administrativo de las unidades de acuerdo a
9 USO EFICIENTE DEL las normas vigentes
PRESUPUESTO Realizar el manejo del presupuesto y recursos institucionales bajo una
política de priorización en virtud de los requerimientos operacionales y
administrativos más importantes
Nota. Recuperado de Manuales de Proceso DTIC 2019
77

Las 20 estrategias planteadas por la DTIC encajan de cierta manera con las

estrategias empresariales prototipo de COBIT 2019 (Tabla 11), revisadas en el capítulo

2 sección 2.3.3.

Tabla 11

Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019

Prototipo de la
Estrategia COBIT Estrategias DTIC 2019
2019
Optimizar los procesos de difusión de información que tengan impacto
estratégico
Fortalecer la imagen institucional y cohesión interna con el manejo adecuado
de los temas legales (disciplinarios) y evitando el involucramiento del personal
militar en actividades ilícitas
Fortalecer la integración y cooperación con los ejércitos de los países amigos
Crecimiento/ Desarrollar protocolos y procedimientos que definan las condiciones de
Adquisición empleo, tareas específicas y coordinaciones que se deben realizar para el
cumplimiento de misiones y tareas de apoyo a la seguridad tecnológica
Optimizar el apoyo a la gestión de riesgos
Reformular los procesos de mantenimiento y conservación del material,
equipo, medios e infraestructura a fin de alargar la vida útil del mismo
Implantar la administración por procesos en todas las estructuras militares del
ejército
Optimizar los procedimientos de planificación estratégica del ejército
Fortalecer el sistema logístico
Optimizar en forma permanente la estructura organizacional de la institución
Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el
cumplimiento estricto de normas y procedimientos institucionales
Fortalecer el clima laboral, política de género, asistencia social del personal,
manteniendo una adecuada cultura organizacional y adaptación a los
Innovación/
procesos de modernización
Diferenciación
Fortalecer la capacidad de “ciberdefensa”
Implementar los procesos de entrenamiento por medio del uso de simuladores
y nueva tecnología
Implementar un sistema integrado de gestión institucional por resultados
Recuperar, modernizar y adquirir material, armamento y equipo (terrestre,
aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el
ámbito interno
Mejorar los procesos y procedimientos que permitan optimizar la planificación
y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el
Liderazgo en manejo administrativo de las unidades de acuerdo a las normas vigentes
costes Realizar el manejo del presupuesto y recursos institucionales bajo una política
de priorización en virtud de los requerimientos operacionales y administrativos
más importantes
Servicio al Proponer los cambios que sean pertinentes al marco legal
Cliente/Estabilidad Mejorar los niveles de cooperación e integración con las otras fuerzas
78

Metas Empresariales

Las estrategias empresariales de la DTIC se encuentran definidas por los

objetivos que se han planteado para alcanzar sus metas; actualmente la institución

cuenta con 9 objetivos estratégicos, los cuales se indican en la Tabla 12.

Tabla 12

Objetivos estratégicos de la DTIC

Referencia Objetivos Estratégicos


OB1 Incrementar la efectividad en el control del territorio nacional
OB2 Mantener la imagen institucional
OB3 Incrementar la efectividad operacional de las unidades militares
OB4 Incrementar las capacidades militares
OB5 Incrementar el alistamiento operacional
OB6 Incrementar la efectividad en el apoyo logístico
OB7 Incrementar la eficiencia institucional
OB8 Incrementar el desarrollo del talento humano
OB9 Incrementar el uso eficiente del presupuesto

De acuerdo con el campo de acción, los 9 objetivos estratégicos de la DTIC se

pueden categorizar en torno a las dimensiones del cuadro de mando integral (Balanced

Scorecard, BSC), con respecto a las metas financieras, metas de cliente, metas internas

y metas de aprendizaje y conocimiento (Tabla 13).

Tabla 13

Objetivos estratégicos de la DTIC y dimensiones del BSC

BSC Objetivos Estratégicos


Financieras Incrementar el uso eficiente del presupuesto
Cliente Incrementar la efectividad en el control del territorio nacional
Mantener la imagen institucional
Incrementar la efectividad operacional de las unidades militares
Incrementar las capacidades militares
Interna
Incrementar la efectividad en el apoyo logístico
Incrementar la eficiencia institucional
Incrementar el desarrollo del talento humano
Aprendizaje y
Incrementar el alistamiento operacional
Conocimiento
79

Perfil de riesgo de I&T

Al momento de realizar el levantamiento de información dentro de la DTIC, se

pudo identificar que no se cuenta con un modelo definido, el cual les permita determinar

de forma correcta los posibles riesgos, el impacto y la probabilidad de que los mismos

se puedan materializar; al identificar como uno de los puntos frágiles dentro del DTIC,

se vio fundamental realizar el levantamiento de los riesgos con base a lo propuesto por

COBIT 2019 y a su vez elaborar un perfil que permita determinar su impacto dentro del

área de I&T.

Como uno de los puntos a desarrollar dentro del diseño del sistema de gobierno

de TI para la DTIC; es importante entender el perfil de riesgo que actualmente tienen

dentro la DTIC; es decir, entender qué escenarios de riesgo podrían afectar a la

institución y cómo evaluar su impacto y probabilidad de materialización.

Para obtener esta información, se utiliza la metodología COBIT 2019, donde se

han considerado 3 aspectos principales para la respectiva evaluación:

• Como punto inicial se realizó la identificación de escenarios de riesgo relevantes,

mismos que fueron tomados del modelo de gestión, para en función a ellos

identificar cuáles de estos se presentan dentro de la DTIC.

• Como segundo punto, junto con funcionarios de la DTIC se realiza la evaluación del

impacto y probabilidad de que se materialice el escenario, los cuales se encuentran

ponderados en un rango del uno (1) a cinco (5); siendo uno (1) un bajo impacto y

de probabilidad de ocurrencia y cinco (5) alto impacto y de probabilidad de

ocurrencia, dejando a los rangos de dos (2) a cuatro (4) como un nivel de impacto

medio y de probabilidad de ocurrencia.

• Como tercer punto se realiza la valoración íntegra del riesgo basada en entradas

precedentes, para lo cual se considera los siguientes niveles para categorizar a los
80

riegos, como riesgo muy alto a los de color rojo, riesgo alto a los de color amarillo,

riesgo normal a los de color verde y riesgo bajo a los de color negro (figura 29).

Figura 29

Categorización del escenario del perfil de riesgo de la DTIC

Impacto Probabilidad
Categoría del escenario de riesgo TOTAL Riesgo
(1-5) (1-5)
Toma de decisiones sobre inversiones en TI, definición y
3 4 4
mantenimiento del portafolio
Gestión del ciclo de vida de los programas y proyectos 4 4 4
Coste y control de TI 3 5 4
Comportamiento, habilidades y conocimiento de TI 4 4 4
Arquitectura de la empresa/TI 4 5 5
Incidentes de infraestructura operativa de TI 4 5 5
Acciones no autorizadas 5 3 4
Adopción de software/problemas de uso 3 4 4
Incidentes de hardware 5 3 4
Fallos de Software 4 4 4
Ataques lógicos (hacking, malware, etc.) 5 5 5
Incidentes de terceros/proveedores 3 4 4
Incumplimiento 3 3 3
Problemas geopolíticos 3 3 3
Acción industrial 3 3 3
Actos de la naturaleza 3 3 3
Innovación basada en la tecnología 3 2 3
Medio ambiente 3 3 3
Gestión de datos e información 5 5 5
TOTAL 3.68 3.79 3.74

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018)

En función a los puntos detallados anteriormente, se ha elaborado la siguiente

categorización de los riegos que se puedan presentar dentro de la DTIC.

Como se puede identificar en la evaluación realizada, se obtuvo los resultados

indicados en la Tabla 14.


81

Tabla 14

Resultados de la categorización del perfil de riesgos de la DTIC

Tipo de Riesgo Categoría del escenario de riesgo Total


Gestión del ciclo de vida de los programas y
proyectos
Coste y control de TI
Comportamiento, habilidades y conocimiento de
TI
Riesgo muy alto Arquitectura de la empresa/TI
10
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
Incidentes de hardware
Fallos de Software
Ataques lógicos (hacking, malware, etc.)
Gestión de datos e información
Toma de decisiones sobre inversiones en TI,
definición y mantenimiento del portafolio.
Adopción de software/problemas de uso
Incidentes de terceros/proveedores
Riesgo alto
Incumplimiento 8
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Medio ambiente
Riesgo Normal Innovación basada en la tecnología 1

Se concluye que de las 19 categorías de riesgos evaluados, 10 fueron

catalogados como riesgos muy altos dando un 52.63% de probabilidad que los

mismos se materialicen, adicional 8 de los escenarios fueron catalogados como altos

dando 42.10% de probabilidad que los mismos se materialicen y tan solo 1 escenario

con riesgo normal dando 5.26% de probabilidad de ocurrencia; por lo tanto, la DTIC

deberá considerar los controles respectivos sobre los 18 escenarios identificados en los

que se debería trabajar para tener un mejor control sobre los mismos.
82

Problemas actuales relacionados con I&T

Al momento de realizar el levantamiento de información dentro de la DTIC, se

pudo constatar que no cuenta con un modelo definido que permita determinar de forma

correcta los problemas actuales relacionados con IT, al identificar como uno de los

puntos frágiles dentro del DTIC, se vio fundamental realizar el levantamiento del mismos

y a su vez elaborar una clasificación exhaustiva de las problemáticas relacionadas

directamente con el área de I&T.

Como uno de los factores principales para poder continuar con la evaluación de

los problemas actuales dentro de la DTIC, fue necesaria la categorización adecuada de

los escenarios de riesgos con los que cuenta la institución, ya que se están

estrechamente relacionados con los problemas de TI.

Como una guía para identificar los problemas de TI, se puede realizar un

seguimiento a todo aquello que se haya reportado a través de la gestión de riesgos, una

auditoría, o la alta dirección o las partes interesadas externas; en conjunto con el

personal de procesos de la DTIC se realiza la evaluación de la matriz de problemas de

TI propuesta por COBIT 2019. Se asignaron valores de uno (1) a tres (3), siendo uno (1)

menos importante.

En la Figura 30 se presenta la evaluación a cada uno de los problemas en

función a la importancia que tenga la misma dentro de la DTIC.

Como se puede identificar en la evaluación realizada, se obtuvo los resultados

indicados en la Tabla 15.

Con lo que podemos concluir que de los 20 problemas relacionados con I&T

evaluados, 14 fueron catalogados como problemas dando un 70% de probabilidad que

los mismos se materialicen dentro de la DTIC, adicional 5 de los problemas

relacionados con I&T fueron catalogados como problemas graves dando 25% de
83

probabilidad que los mismos se materialicen y tan solo 1 de los problemas relacionados

con I&T fue catalogado sin problema dando 5% de probabilidad de ocurrencia.

Figura 30

Categorización de los problemas actuales relacionados con I&T

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,

2018)
84

Tabla 15

Problemas relacionados con I&T

Tipo de
Categoría del Problema de I&T Total
Riesgo
Brecha entre conocimiento tecnológico y empresarial, lo
Sin
que lleva a que los usuarios del negocio y/o los 1
problema
especialistas en TI hablen un idioma distinto
Frustración entre distintas unidades de TI en toda la
organización debido a una percepción de baja contribución
al valor del negocio
Problemas de ejecución del servicio por parte de los
subcontratistas de TI
Incumplimiento de los requerimientos regulatorios o
contractuales relacionados con TI
Duplicaciones o coincidencias entre varias iniciativas u
otras formas de recursos malgastados
Insuficientes recursos de TI, personal con habilidades
inadecuadas o personal agotado / insatisfecho
Cambios o proyectos facilitados por TI que suelen no
satisfacer a menudo las necesidades del negocio y que se
ejecutan tarde o por encima del presupuesto
Resistencia de los miembros del consejo de
administración, ejecutivos o alta gerencia a involucrarse
con las TI o una falta de compromiso empresarial para
patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de
Problema 14
decisión confusos para las decisiones relacionadas con TI
Excesivamente alto coste de TI
Implementación obstaculizada o fracasada de nuevas
iniciativas o innovaciones causada por la arquitectura y
sistemas de TI actuales
Nivel elevado de cómputo para usuarios finales, lo que
genera (entre otros problemas) una falta de supervisión y
control de calidad de las aplicaciones que se están
desarrollando e implementando
Los departamentos del negocio implementan sus propias
soluciones de información con poca o ninguna
participación del departamento de TI de la empresa
(relacionado con la computación de usuarios finales, que
suele surgir de la insatisfacción con las soluciones y
servicios de TI)
Ignorancia sobre y/o incumplimiento de las regulaciones de
privacidad
Incapacidad para explotar nuevas tecnologías o innovar
con las TI
85

Tipo de
Categoría del Problema de I&T Total
Riesgo
Frustración entre distintos departamentos de la empresa
(como el cliente de TI) y el departamento de TI debido a
iniciativas fracasadas o una percepción de baja
contribución al valor del negocio
Incidentes significativos relacionados con I&T, como
pérdida de datos, violaciones de seguridad, fallo del
proyecto y errores de la aplicación, relacionados con TI
Problema Hallazgos de auditoría regulares u otros informes de
5
grave evaluación sobre un pobre desempeño de TI o notificación
de problemas de calidad y servicio de TI
Gasto sustancial oculto y fraudulento en I&T, es decir,
gasto en TI por departamentos de usuarios fuera del
control de los mecanismos de decisión de inversión en IT
normales y los presupuestos aprobados
Problemas regulares con la calidad de los datos y la
integración de datos de distintas fuentes

PASO 2: Determinar el alcance inicial del sistema de gobierno

En este paso la institución tiene una visión más clara y global de la estrategia

empresarial, metas empresariales, perfil de riesgo de I&T y problemas actuales

relacionados con I&T. La información recopilada en el paso anterior ahora se traduce en

objetivos de gobierno y gestión priorizados, para determinar un alcance inicial de un

sistema de gobierno personalizado para la DTIC.

COBIT 2019 presenta dos enfoques, cualitativo y cuantitativo que permiten

realizar la priorización de objetivos de gobierno y gestión. El enfoque cualitativo

considera los objetivos de gobierno y gestión con relevancia para cada factor de diseño;

mientras que el enfoque cuantitativo contempla matrices de asignación numéricas para

los factores de diseño (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

Factor de diseño 1 (DF1): Considerar la estrategia empresarial

El factor de diseño número 1, permite trasladar las estrategias definidas por la

institución a una valoración de la importancia de los objetivos de gobierno y gestión.


86

De acuerdo con las directrices de COBIT 2019, se desarrolla una matriz de la

estrategia empresarial para la DTIC; mediante un enfoque cuantitativo y con base a la

experiencia y conocimiento del personal de la DTIC se asignan valores que encajan de

mejor forma con la situación actual de la institución (Anexo A. Factor de Diseño 1).

Las asignaciones para cada uno de los cuatro valores posibles para el factor de

diseño de la estrategia empresarial (crecimiento/adquisición, innovación/diferenciación,

liderazgo en coste, servicios/estabilidad al cliente) se clasificaron en una escala de uno

(1) a cinco (5): 5 indica la mayor influencia y 1 indica la ausencia de cualquier relación;

con la finalidad de priorizar los objetivos de gobierno y gestión para la DTIC.

Los valores obtenidos permitieron realizar la priorización de los objetivos de

gobierno y gestión; y se consideran las metas que, a partir de la puntuación, se

encuentren en el rango de la media hacia arriba.

Una vez realizado el análisis de la matriz del factor de diseño 1 para la DTIC, se

exponen las siguientes conclusiones:

• La evaluación de la matriz de la estrategia empresarial de la DTIC muestra valores

de 2.95, 3.47, 2.98 y 2.4 respectivamente, para los factores de diseño

Crecimiento/Adquisición, Innovación/Diferenciación, Liderazgo en coste y Servicio al

cliente /estabilidad. Se identifica que el prototipo principal que se relaciona con las

estrategias de la DTIC es Innovación/Diferenciación, es decir, la institución se

enfoca en ofrecer servicios innovadores a sus clientes. Así como el prototipo

secundario es Servicio al cliente /estabilidad, por lo que, la institución debería

proporcionar un servicio estable y orientado al cliente.

• Para las estrategias definidas por la DTIC en el 2019, la asignación de valores

muestra la importancia de los objetivos de gobierno y gestión indicados en la Tabla

16.
87

Tabla 16

Objetivos de gobierno y gestión DF1

Objetivos De Gobierno y Gestión


Dominio Referencia Calificación
Para DTIC
Garantizar el establecimiento y el
EDM01 95
mantenimiento del marco de gobierno
Evaluar, EDM02 Asegurar la realización de beneficios 90
Dirigir y EDM03 Asegurar la optimización del riesgo 87
Monitorizar EDM04 Asegurar la optimización de recursos 91
Asegurar la transparencia de las
EDM05 95
partes interesadas
APO01 Gestionar el marco de gestión de TI 95
APO02 Gestionar la estrategia 65
APO04 Gestionar la innovación 85
Alinear, APO07 Gestionar los recursos humanos 82
Planificar y APO08 Gestionar las relaciones 73
Organizar APO11 Gestionar la calidad 73
APO12 Gestionar el riesgo 73
APO13 Gestionar la seguridad 83
APO14 Gestionar los datos 86
BAI01 Gestionar los programas 71
Construir, BAI02 Gestionar la definición de requisitos 71
Adquirir e Gestionar la identificación y
BAI03 74
Implementar construcción de soluciones
BAI06 Gestionar los cambios de TI 68

Factor de diseño 2 (DF2): Considerar las metas empresariales y aplicar la cascada

de metas de COBIT

Una vez realizada la valoración de las estrategias empresariales de la DTIC, se

tiene una base para ejecutar el análisis de las metas empresariales en el siguiente

factor de diseño del modelo de COBIT 2019, que define un conjunto de 13 metas

empresariales genéricas, las cuales se deben priorizar en concordancia con las

estrategias de la DTIC.

El factor de diseño número 2 permite traducir las metas empresariales a una

valoración relativa de los objetivos de gobierno y gestión, se siguen los pasos que se
88

indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

1. Determinar metas empresariales importantes para la DTIC. - Se desarrolla una

matriz entre los objetivos estratégicos de la DTIC y las metas empresariales

genéricas de COBIT 2019, con la finalidad de determinar las metas más importantes

para la institución (figura 31). COBIT recomienda seleccionar de tres a cinco metas

empresariales para obtener resultados más significativos.

Figura 31

Metas empresariales COBIT 2019

Mediante información que proveen los colaboradores de la DTIC, se asignan valores

con base a la siguiente escala de calificación:


89

a) Primaria (P): Si la meta DTIC tiene una relación directa con la meta COBIT

2019. Para facilitar el análisis cuantitativo se considera que P es equivalente a

cinco (5).

b) Secundaria (S): Si la meta DTIC tiene una relación indirecta con la meta COBIT

2019. Para facilitar el análisis cuantitativo se define que S es equivalente a uno

(1).

c) En Blanco: Cuando la meta DTIC NO tiene ninguna relación con la meta COBIT

2019. Para facilitar el análisis cuantitativo se determina que VACIO es

equivalente a cero (0)

Mediante la evaluación de la matriz anterior es posible establecer las metas

empresariales de COBIT 2019 priorizadas a partir de la puntuación total, que es

equivalente a la sumatoria de la valoración de cada meta.

Como resultado se obtienen 5 metas empresariales relevantes (Tabla 17), se

consideraron aquellas con una calificación que se encuentra en el rango de la media

hacia arriba.

Tabla 17

Metas empresariales priorizadas

Referencia Metas Empresariales para la DTIC


EG02 Gestión de riesgo del negocio
EG03 Cumplimiento de leyes y regulaciones externas
EG07 Calidad de la información de gestión
EG012 Gestión de programas de transformación digital
EG013 Innovación de producto y negocio

2. Determinar las metas de alineamiento más importantes para la DTIC. – La

información resultante del paso anterior sobre las metas empresariales priorizadas,

representa la base para estructurar la siguiente matriz, entre las metas


90

empresariales de COBIT 2019 significativas para la DTIC y las 13 metas de

alineamiento planteadas en COBIT 2019 analizadas en la sección 2.3.4. (figura 32)

Figura 32

Metas empresariales a metas de alineamiento

Con el apoyo y conocimiento de los funcionarios de la DTIC sobre la

situación actual de la institución, se establecen valores para las 13 metas

relacionadas con I&T, se utiliza la siguiente escala de evaluación:

a) Primaria (P): Cuando la meta empresarial tiene una relación directa con la

meta de alineamiento. Para facilitar el análisis cuantitativo se define que P es

equivalente a cinco (5).

b) Secundaria (S): Cuando la meta empresarial tiene una relación indirecta

con la meta de alineamiento. Para facilitar el análisis cuantitativo se define que S es

equivalente a uno (1)


91

c) En Blanco: Cuando la meta empresarial NO tiene NINGUNA relación con

la meta de alineamiento. Para facilitar el análisis cuantitativo se define que VACIO

es equivalente a cero (0).

A partir de la puntuación total que es equivalente a la sumatoria de la valoración

de cada meta de alineamiento, como resultado se determinan 7 metas de alineamiento

importantes (Tabla 18), se consideraron aquellas con una calificación que se encuentra

en el rango de la media hacia arriba.

Tabla 18

Metas de alineamiento priorizadas

Referencia Metas Alineamiento DTIC


AG2 Gestión de riesgo relacionado con I&T
Prestación de servicios I&T conforme a los requerimientos
AG5
del negocio
Seguridad de la información, infraestructura de
AG7
procesamiento y aplicaciones, y privacidad
Ejecución de programas dentro del plazo, sin exceder el
AG9 presupuesto, y cumpliendo con los requisitos y estándares
de calidad
AG10 Calidad de la información sobre gestión de I&T
AG11 Cumplimiento de I&T con las políticas internas
Conocimiento, experiencia e iniciativas para la innovación
AG13
empresarial

3. Determinar los objetivos de gobierno y gestión relevantes para la DTIC. – Las

metas de alineamiento priorizadas del paso anterior, representan una guía para el

análisis de una nueva matriz genérica con los 40 objetivos de gobierno y gestión de

COBIT 2019 indicados en el apartado 2.2.1. Se presenta la matriz en la Figura 33.


92

Figura 33

Metas de alineamiento a Objetivos de gobierno y gestión DF3

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,

2018)
93

Con esta información se identifica el conjunto de objetivos de gobierno y gestión

que tienen mayor importancia para la DTIC. Con la ayuda de colaboradores de la DTIC,

de su experiencia y del contexto de la institución, se realiza la asignación de valores

empleando la siguiente escala de calificación:

a) Primaria (P): Cuando los objetivos de gobierno y gestión tienen una

relación directa con las metas de alineamiento. Para facilitar el análisis cuantitativo

se define que P es equivalente a cinco (5).

b) Secundaria (S): Cuando los objetivos de gobierno y gestión tienen una

relación indirecta con las metas de alineamiento. Para facilitar el análisis cuantitativo

se define que S es equivalente a uno (1).

C) En Blanco: Cuando los objetivos de gobierno y gestión NO tiene una

NINGUNA relación con las metas de alineamiento. Para facilitar el análisis

cuantitativo se define que VACIO es equivalente a cero (0).

Tabla 19

Objetivos de gobierno y gestión para la DTIC DF2

Objetivos De Gobierno y Gestión


Dominio Referencia Calificación
Para DTIC
APO03 Gestionar la arquitectura de la empresa 31
APO04 Gestionar la innovación 31
APO05 Gestionar el portafolio 31
Alinear,
APO06 Gestionar el presupuesto y los costes 35
Planificar y
Organizar APO07 Gestionar los recursos humanos 35
APO09 Gestionar los acuerdos de servicio 35
APO10 Gestionar los proveedores 31
APO11 Gestionar la calidad 35
Construir, Adquirir BAI09 Gestionar los activos 35
e Implementar BAI11 Gestionar los proyectos 30
Entregar, Dar
Servicio y Soporte DSS03 Gestionar los problemas 31
Gestionar la monitorización del
MEA01 35
Monitorizar, rendimiento y la conformidad
Evaluar y Valorar MEA02 Gestionar el sistema de control interno 35
MEA04 Gestionar el aseguramiento 31
94

La priorización de los objetivos de gobierno y gestión está dada de acuerdo con

la puntuación alcanzada, se consideran valores de la media hacia arriba y se obtienen

los resultados finales del factor de diseño número 2 (DF2). Se determinan 14 objetivos

de gobierno y gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan

en la Tabla 19.

Factor de diseño 3 (DF3): Considerar el perfil de riesgo de la empresa

Una vez realizada la valoración en la cual se definió la categorización de los

riegos con el personal de la DTIC, se tiene una base para ejecutar el análisis del perfil

de riesgo empresarial; en el siguiente factor de diseño del modelo de COBIT 2019, que

define un conjunto de 19 categorías de riesgo de TI empresariales genéricas, las cuales

se deben priorizar en concordancia con los objetivos de gobierno y gestión; las

asignaciones expresan hasta qué grado los valores del factor de diseño DF3, influyen

en la importancia de un objetivo de gobierno o gestión. Se siguen los pasos que se

indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

Se desarrolla una matriz de las 19 categorías de riesgo de TI definidas por

COBIT 2019, las cuales llevan una correlación con los objetivos de gobierno y gestión,

con la finalidad de determinar los diferentes escenarios de riesgos importantes para la

institución (Anexo A. Factor de Diseño 3b).

Mediante información que proveen los colaboradores de la DTIC, se asignan

valores con base a la siguiente escala de calificación:

a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor

influencia y 1 indica la ausencia de cualquier relación.

b) Se recomienda mantener la suficiente distancia entre los valores


95

Una vez realizada la evaluación, se obtuvieron los resultados indicados en la

Tabla 20 con respecto al resultado de la asignación de Riesgos de TI y Tabla 21,

correspondientes a la priorización de objetivos de gobierno/gestión para la DTIC.

Tabla 20

Resultado de la asignación de Riesgos de TI DF3

No Referencia Riesgos que se aplican para la DTIC


Toma de decisiones sobre inversiones en TI,
1 RISKCAT01
definición y mantenimiento del portafolio.
Gestión del ciclo de vida de los programas y
2 RISKCAT02
proyectos.
3 RISKCAT03 Coste y control de TI.
Comportamiento, habilidades y conocimiento de
4 RISKCAT04
TI.
5 RISKCAT05 Arquitectura de empresa/TI.
6 RISKCAT06 Incidentes de infraestructura operativa de TI.
7 RISKCAT08 Adopción de software/problemas de uso
8 RISKCAT09 Incidentes de hardware.
9 RISKCAT10 Fallos de software.
Ataques lógicos [hackeo, software
10 RISKCAT11
malintencionado (malware), etc.]
11 RISKCAT17 Innovación tecnológica.
12 RISKCAT19 Gestión de información y datos.

Tabla 21

Objetivos de gobierno y gestión DF3

Objetivos de Gobierno y
Dominio Referencia Calificación
Gestión para DTIC
Garantizar el establecimiento
EDM01 y el mantenimiento del marco 54
de gobierno
Asegurar la realización de
EDM02 59
beneficios
Evaluar, Dirigir
Asegurar la optimización del
y Monitorizar EDM03 77
riesgo
Asegurar la optimización de
EDM04 63
recursos
Asegurar la transparencia de
EDM05 59
las partes interesadas
96

Objetivos de Gobierno y
Dominio Referencia Calificación
Gestión para DTIC
Gestionar el marco de
APO01 61
gestión de TI
APO02 Gestionar la estrategia 51
Gestionar la arquitectura de
APO03 58
la empresa
APO04 Gestionar la innovación 59
APO05 Gestionar el portafolio 56
Gestionar el presupuesto y
APO06 54
Alinear, los costes
Planificar y Gestionar los recursos
APO07 50
Organizar humanos
APO08 Gestionar las relaciones 56
Gestionar los acuerdos de
APO09 51
servicio
APO10 Gestionar los proveedores 55
APO11 Gestionar la calidad 56
APO12 Gestionar el riesgo 70
APO13 Gestionar la seguridad 58
APO14 Gestionar los datos 51
Construir,
Adquirir e BAI06 Gestionar los cambios de TI 53
Implementar
Entrega, Dar
Servicio y DSS03 Gestionar los problemas 51
Soporte

Factor de diseño 4 (DF4): Considerar los problemas actuales relacionados con la

I&T de la empresa

Una vez finalizada la valoración de los problemas actuales relacionados con la

DTIC, se realizó un diagnóstico a alto nivel de los mismos con el personal de la DTIC,

con ello se tiene una base para ejecutar el análisis de los problemas relacionados con

I&T que experimenta en la actualidad; en el siguiente factor de diseño del modelo de

COBIT 2019, se define un conjunto de 20 posibles problemas relacionados con I&T, los

cuales se deben priorizar en relación con los objetivos de gobierno y gestión; para el

análisis se siguen los pasos que se indican a continuación (ISACA, Diseño de una

solución de Gobierno de Información y Tecnología, 2018).


97

Se desarrolla una matriz de los 20 posibles problemas relacionados con I&T

definidos por COBIT 2019, los cuales se correlacionan con los objetivos de gobierno y

gestión de COBIT 2019, con el propósito de determinar los problemas relacionados con

I&T importantes para la institución (Anexo A. Factor de Diseño 4b).

Con la información que proveen los colaboradores de la DTIC, se asignan

valores con base a la siguiente escala de calificación:

a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor

influencia y 1 indica la ausencia de cualquier relación.

b) Se recomienda mantener la suficiente distancia entre los valores.

Los resultados indicados en la Tabla 22 corresponden a la asignación de

problemas relacionados con I&T y los de la Tabla 23 muestran 19 objetivos de

gobierno/gestión priorizados para la DTIC, para este factor de diseño.

Tabla 22

Resultado de la Asignación de problemas relacionados con I&T DF4

Referencia Problemas Relacionados con I&T para la DTIC


Incidentes significativos relacionados con TI, como pérdida de datos,
01 violaciones de seguridad, fallo del proyecto y errores de la aplicación,
relacionados con TI.
02 Problemas de ejecución del servicio por parte de los subcontratistas de TI.
Incumplimiento de los requerimientos regulatorios o contractuales
03
relacionados con TI.
Hallazgos de auditoría regulares u otros informes de evaluación sobre un
04 pobre desempeño de TI o notificación de problemas de calidad y servicio de
TI.
Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por
05 departamentos de usuarios fuera del control de los mecanismos de decisión
de inversión en IT normales y los presupuestos aprobados.
Recursos de TI insuficientes, personal con habilidades inadecuadas o
06
personal agotado/insatisfecho.
07 Alto coste de protección de TI
Problemas regulares con la calidad de los datos y la integración de datos de
08
distintas fuentes
Los departamentos comerciales implementan sus propias soluciones de
09 información con poca o ninguna implicación por parte del departamento de TI
de la empresa
98

Tabla 23

Objetivos de gobierno y gestión DF4

Objetivos de Gobierno y Gestión


Dominio Referencia Calificación
para DTIC
Garantizar el establecimiento y el
EDM01 75
mantenimiento del marco de gobierno
Evaluar, EDM02 Asegurar la realización de beneficios 76
Dirigir y EDM03 Asegurar la optimización del riesgo 71
Monitorizar EDM04 Asegurar la optimización de recursos 67
Asegurar la transparencia de las
EDM05 60
partes interesadas
APO01 Gestionar el marco de gestión de TI 81
APO02 Gestionar la estrategia 72
Alinear,
APO04 Gestionar la innovación 63
Planificar y
APO08 Gestionar las relaciones 61
Organizar
APO11 Gestionar la calidad 68
APO12 Gestionar el riesgo 75
Construir, BAI02 Gestionar la definición de requisitos 58
Adquirir e Gestionar la identificación y
BAI03 64
Implementa construcción de soluciones
r BAI05 Gestionar los cambios organizativos 60
Entrega, DSS01 Gestionar las operaciones 60
Dar
Servicio y DSS03 Gestionar los problemas 59
Soporte
Gestionar la monitorización del
MEA01 54
Monitorizar rendimiento y la conformidad
, Evaluar y Gestionar el sistema de control
MEA02 62
Valorar interno
MEA04 Gestionar el aseguramiento 57

Al finalizar con el análisis de los factores de diseño del paso 2, en la Tabla 24 se

presenta un resumen con la priorización de los objetivos de gobierno y gestión para

cada factor de diseño. Adicional, la priorización de los objetivos de gobierno y gestión

está dada de acuerdo con la puntuación alcanzada en los factores de diseño DF1 al

DF4, se consideran valores de la media hacia arriba y se obtienen los resultados finales

de los factores de diseño del paso número 2. Se determinan 16 objetivos de gobierno y

gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan en la Tabla 25.
99

Tabla 24

Resumen resultados factores de diseño Paso 2

Paso 2: Factores de Diseño


Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4
Garantizar el establecimiento y el mantenimiento
EDM01 EDM01 EDM01 EDM01
del marco de gobierno
Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02
Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03
Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04
Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05
Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01
Gestionar la estrategia APO02 APO02 APO02 APO02
Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03
Gestionar la innovación APO04 APO04 APO04 APO04
Gestionar el portafolio APO05 APO05 APO05 APO05
Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06
Gestionar los recursos humanos APO07 APO07 APO07 APO07
Gestionar las relaciones APO08 APO08 APO08 APO08
Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09
Gestionar los proveedores APO10 APO10 APO10 APO10
Gestionar la calidad APO11 APO11 APO11 APO11
Gestionar el riesgo APO12 APO12 APO12 APO12
Gestionar la seguridad APO13 APO13 APO13 APO13
Gestionar los datos APO14 APO14 APO14 APO14
Gestionar los programas BAI01 BAI01 BAI01 BAI01
Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02
Gestionar la identificación y construcción de
BAI03 BAI03 BAI03 BAI03
soluciones
Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04
Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05
Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06
Gestionar la aceptación y la transición de los
BAI07 BAI07 BAI07 BAI07
cambios de TI
Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08
Gestionar los activos BAI09 BAI09 BAI09 BAI09
Gestionar la configuración BAI10 BAI10 BAI10 BAI10
Gestionar los proyectos BAI11 BAI11 BAI11 BAI11
Gestionar las operaciones DSS01 DSS01 DSS01 DSS01
Gestionar las peticiones y los incidentes del
DSS02 DSS02 DSS02 DSS02
servicio
Gestionar los problemas DSS03 DSS03 DSS03 DSS03
Gestionar la continuidad DSS04 DSS04 DSS04 DSS04
Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05
Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06
Gestionar la monitorización del rendimiento y la
MEA01 MEA01 MEA01 MEA01
conformidad
Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02
Gestionar el cumplimiento de los requerimientos
MEA03 MEA03 MEA03 MEA03
externos
Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04
100

Tabla 25

Resumen valores de factores de diseño Paso 2

Paso 2: Valores
Factores de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Total
Garantizar el establecimiento y el mantenimiento del
EDM01 95 27 54 75 251
marco de gobierno
EDM02 Asegurar la realización de beneficios 90 23 59 76 248
EDM03 Asegurar la optimización del riesgo 87 27 77 71 262
EDM04 Asegurar la optimización de recursos 91 27 63 67 248
EDM05 Asegurar la transparencia de las partes interesadas 95 27 59 60 241
APO01 Gestionar el marco de gestión de TI 95 23 61 81 260
APO02 Gestionar la estrategia 65 27 51 72 215
APO03 Gestionar la arquitectura de la empresa 60 31 58 37 186
APO04 Gestionar la innovación 85 31 59 63 238
APO05 Gestionar el portafolio 35 31 56 46 168
APO06 Gestionar el presupuesto y los costes 23 35 54 43 155
APO07 Gestionar los recursos humanos 82 35 50 39 206
APO08 Gestionar las relaciones 73 27 56 61 217
APO09 Gestionar los acuerdos de servicio 50 35 51 33 169
APO10 Gestionar los proveedores 44 31 55 43 173
APO11 Gestionar la calidad 73 35 56 68 232
APO12 Gestionar el riesgo 73 27 70 75 245
APO13 Gestionar la seguridad 83 23 58 6 170
APO14 Gestionar los datos 86 25 51 36 198
BAI01 Gestionar los programas 71 14 49 46 180
BAI02 Gestionar la definición de requisitos 71 23 42 58 194
BAI03 Gestionar la identificación y construcción de soluciones 74 19 48 64 205
BAI04 Gestionar la disponibilidad y capacidad 58 15 43 40 156
BAI05 Gestionar los cambios organizativos 57 26 40 60 183
BAI06 Gestionar los cambios de TI 68 27 53 51 199
Gestionar la aceptación y la transición de los cambios
BAI07 59 27 37 46 169
de TI
BAI08 Gestionar el conocimiento 60 19 40 32 151
BAI09 Gestionar los activos 36 35 29 28 128
BAI10 Gestionar la configuración 30 23 37 46 136
BAI11 Gestionar los proyectos 50 30 46 43 169
DSS01 Gestionar las operaciones 50 26 30 60 166
DSS02 Gestionar las peticiones y los incidentes del servicio 44 23 49 39 155
DSS03 Gestionar los problemas 46 31 51 59 187
DSS04 Gestionar la continuidad 46 27 40 49 162
DSS05 Gestionar los servicios de seguridad 58 26 39 51 174
DSS06 Gestionar los controles de procesos de negocio 53 27 48 51 179
Gestionar la monitorización del rendimiento y la
MEA01 50 35 37 54 176
conformidad
MEA02 Gestionar el sistema de control interno 43 35 46 62 186
Gestionar el cumplimiento de los requerimientos
MEA03 49 23 46 49 167
externos
MEA04 Gestionar el aseguramiento 50 31 48 57 186
7690
TOTAL
192,25
101

Conclusión Paso 2

Al finalizar el paso 2, se tiene una visión más completa de los elementos que se

requieren para definir el alcance inicial de un sistema de gobierno personalizado para la

DTIC:

I. Objetivos de gobierno y gestión priorizados: Se refiere a la serie de objetivos de

gobierno y gestión en los cuales se deberá enfocar la DTIC, los cuales se indican

en la Tabla 26.

Tabla 26

Objetivos de gobierno y gestión Paso 2

Objetivos de Gobierno y Gestión para


Dominio Referencia Calificación
DTIC
Garantizar el establecimiento y el
EDM01 251
mantenimiento del marco de gobierno
Evaluar, EDM02 Asegurar la realización de beneficios 248
Dirigir y EDM03 Asegurar la optimización del riesgo 262
Monitorizar EDM04 Asegurar la optimización de recursos 248
Asegurar la transparencia de las partes
EDM05 241
interesadas
APO01 Gestionar el marco de gestión de TI 260
APO02 Gestionar la estrategia 215
APO04 Gestionar la innovación 238
Alinear,
APO07 Gestionar los recursos humanos 206
Planificar y
APO08 Gestionar las relaciones 217
Organizar
APO11 Gestionar la calidad 232
APO12 Gestionar el riesgo 245
APO14 Gestionar los datos 198
BAI02 Gestionar la definición de requisitos 194
Construir,
Gestionar la identificación y construcción
Adquirir e BAI03 205
de soluciones
Implementar
BAI06 Gestionar los cambios de TI 199

PASO 3: Perfeccionar el alcance del sistema de gobierno

Los factores de diseño restantes, de los indicados en la sección 3.4 en el paso 3,

permiten realizar afinamientos sobre el alcance inicial del sistema de gobierno y gestión
102

definido. Este paso incluye los siguientes aspectos: (ISACA, Diseño de una solución

de Gobierno de Información y Tecnología, 2018)

I. Explicación de cada factor de diseño (DF), del DF5 al DF11, Escenario de

amenazas al Tamaño de la empresa respectivamente.

II. Determinar si cada factor de diseño es aplicable o no a la empresa. - Para este

punto, en función de las características de la institución, la DTIC considera el

análisis de los factores de diseño (DF) 5,7,8 y 9.

III. Para los factores de diseño aplicables, determinar los posibles valores que se

ajusten al contexto de la institución, junto con descripciones de referencia de los

valores y matrices de asignación.

El resultado de cada consideración de estos factores de diseño corresponde a

una lista clasificada con los objetivos de gobierno y gestión similar al paso anterior,

asimismo con las matrices de asignación es posible utilizar las mismas técnicas y

escalas ya descritas.

Factor de diseño 5 (DF5): Considerar el escenario de amenazas

Escenario bajo el cual opera la DTIC; el factor de diseño 5 permite determinar

los valores que encajan de mejor manera al funcionamiento actual de la DTIC, conforme

a cada una de las dos entradas posibles correspondientes a este factor de diseño: alto y

normal, descritos en la sección 2.3.3. numeral 5.

De acuerdo con los criterios de COBIT 2019, para priorizar los objetivos de

gobierno y gestión se desarrolla una tabla de asignación entre los parámetros del factor

de diseño 5 y los objetivos de gobierno y gestión (Anexo A. Factor Diseño 5).

En conjunto con funcionarios de la DTIC, para cada objetivo de gobierno y

gestión se asignan valores a las categorías alto y normal entre uno (1) y cuatro (4), así:

a) Definir un valor NORMAL < 4


103

b) El valor asignado al campo ALTO será mayor que el valor del campo NORMAL

La matriz de asignación del factor de diseño 5 deriva en la identificación de los

objetivos de gobierno y gestión relevantes para la DTIC en los parámetros analizados

(Tabla 27).

Tabla 27

Objetivos de gobierno y gestión DF5

Objetivos de Gobierno y Gestión


Dominio Referencia Calificación
para DTIC
Evaluar, EDM03 Asegurar la optimización del riesgo 5
Dirigir y
EDM04 Asegurar la optimización de recursos 5
Monitorizar
APO02 Gestionar la estrategia 5
Gestionar la arquitectura de la
APO03 5
empresa
APO06 Gestionar el presupuesto y los costes 5
Alinear, APO07 Gestionar los recursos humanos 5
Planificar y APO09 Gestionar los acuerdos de servicio 5
Organizar APO10 Gestionar los proveedores 5
APO11 Gestionar la calidad 5
APO12 Gestionar el riesgo 5
APO13 Gestionar la seguridad 5
APO14 Gestionar los datos 5
BAI02 Gestionar la definición de requisitos 5
BAI06 Gestionar los cambios de TI 5
Construir,
Gestionar la aceptación y la transición
Adquirir e BAI07 5
de los cambios de TI
Implementar
BAI08 Gestionar el conocimiento 5
BAI11 Gestionar los proyectos 5
Entregar, DSS03 Gestionar los problemas 5
Dar Servicio DSS04 Gestionar la continuidad 5
y Soporte DSS05 Gestionar los servicios de seguridad 5
Monitorizar, MEA02 Gestionar el sistema de control interno 5
Evaluar y Gestionar el cumplimiento de los
MEA03 5
Valorar requerimientos externos

Además, cada categoría del factor de diseño de escenario de amenazas se

valoró sobre el 100% y fue posible concluir los siguientes aspectos:

Se observa que, de las calificaciones de los dos valores analizados para este

factor de diseño, la categoría alta presenta el mayor porcentaje con el 78.14%, mientras
104

que el 21.85% corresponde al parámetro de normal; es decir que la mayor parte de las

operaciones de la DTIC se encuentra sujeta a un escenario de amenazas alta.

Factor de diseño 7 (DF7): Rol de TI

El factor de diseño 7 señala las directrices a seguir por parte de la institución

para evaluar cuatro posibles parámetros del Rol de TI (soporte, fábrica, cambio y

estratégico) revisados en la sección 2.3.3. Se plantea una matriz base entre los factores

de diseño y los objetivos de gobierno y gestión, con el fin de realizar el análisis

respectivo y cuantificar cada objetivo.

En consideración con la situación actual, en conjunto con personal de la DTIC se

evalúa la matriz para este factor de diseño, con valores de la escala entre uno (1) hasta

cinco (5): 1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño

7).

Una vez realizada la evaluación de los parámetros descritos, los resultados se

presentan en la Tabla 28 con los objetivos de gobierno y gestión priorizados; se

consideraron aquellos con una calificación en el rango de la media hacia arriba.

Tabla 28

Objetivos de gobierno y gestión DF7

Objetivos de Gobierno y Gestión para


Dominio Referencia Calificación
DTIC
Garantizar el establecimiento y el
Evaluar, EDM01 17
mantenimiento del marco de gobierno
Dirigir y
EDM02 Asegurar la realización de beneficios 16
Monitorizar
EDM04 Asegurar la optimización de recursos 15
APO01 Gestionar el marco de gestión de TI 18
APO02 Gestionar la estrategia 15
APO03 Gestionar la arquitectura de la empresa 18
Alinear,
APO04 Gestionar la innovación 16
Planificar y
APO06 Gestionar el presupuesto y los costes 16
Organizar
APO07 Gestionar los recursos humanos 17
APO09 Gestionar los acuerdos de servicio 17
APO12 Gestionar el riesgo 15
105

Objetivos de Gobierno y Gestión para


Dominio Referencia Calificación
DTIC
BAI01 Gestionar los programas 15
BAI02 Gestionar la definición de requisitos 16
Gestionar la identificación y
BAI03 16
construcción de soluciones
Construir,
BAI05 Gestionar los cambios organizativos 15
Adquirir e
BAI06 Gestionar los cambios de TI 16
Implementar
Gestionar la aceptación y la transición
BAI07 17
de los cambios de TI
BAI08 Gestionar el conocimiento 15
BAI11 Gestionar los proyectos 18
Entregar,
Gestionar los controles de procesos de
Dar Servicio DSS06 16
negocio
y Soporte
Monitorizar,
Gestionar la monitorización del
Evaluar y MEA01 15
rendimiento y la conformidad
Valorar

Además, los resultados muestran que los valores de los cuatro parámetros

definidos en este factor de diseño no marcan una diferencia significativa entre ellos;

adicional, que el Rol de TI estratégico es el más representativo para la DTIC con 28,7%,

es decir las TI son críticas para el funcionamiento e innovación de los procesos y

servicios de la institución.

Factor de diseño 8 (DF8): Modelo de abastecimiento de proveedores para TI

El factor de diseño 8 señala las directrices a seguir por parte de la institución

para evaluar tres posibles modelos de abastecimiento de proveedores para TI

(Externalización (outsourcing), Nube, Personal interno (insourcing). Se plantea una

matriz base entre los factores de diseño y los objetivos de gobierno y gestión, con el fin

de realizar el análisis respectivo y cuantificar cada objetivo.

Con respecto a la situación actual y junto con el personal de la DTIC, se evalúa

la matriz para el factor de diseño 8, con valores de la escala entre uno (1) hasta cinco

(5): 1 indica que es nada importante y 5 más importante. (Anexo A. Factor Diseño 8).
106

Luego de finalizar la evaluación de la matriz descrita, los resultados se

presentan en la Tabla 29, con los objetivos de gobierno y gestión priorizados; se

consideraron aquellos con una calificación en el rango de la media hacia arriba.

Tabla 29

Objetivos de gobierno y gestión DF8

Objetivos de Gobierno y Gestión para


Dominio Referencia Calificación
DTIC
EDM02 Asegurar la realización de beneficios 5
Evaluar, EDM03 Asegurar la optimización del riesgo 5
Dirigir y EDM04 Asegurar la optimización de recursos 5
Monitorizar Asegurar la transparencia de las partes
EDM05 5
interesadas
APO01 Gestionar el marco de gestión de TI 5
APO04 Gestionar la innovación 5
APO05 Gestionar el portafolio 5
APO06 Gestionar el presupuesto y los costes 5
APO07 Gestionar los recursos humanos 5
Alinear,
APO08 Gestionar las relaciones 5
Planificar y
APO10 Gestionar los proveedores 5
Organizar
APO11 Gestionar la calidad 5
APO12 Gestionar el riesgo 5
APO13 Gestionar la seguridad 5
APO14 Gestionar los datos 5
BAI01 Gestionar los programas 5
BAI02 Gestionar la definición de requisitos 5
Gestionar la identificación y
BAI03 5
construcción de soluciones
Construir,
BAI04 Gestionar la disponibilidad y capacidad 5
Adquirir e
BAI05 Gestionar los cambios organizativos 5
Implementar
BAI08 Gestionar el conocimiento 5
BAI09 Gestionar los activos 5
BAI10 Gestionar la configuración 5
BAI11 Gestionar los proyectos 5
DSS01 Gestionar las operaciones 5
Entrega, Dar DSS03 Gestionar los problemas 5
Servicio y DSS05 Gestionar los servicios de seguridad 5
Soporte Gestionar los controles de procesos de
DSS06 5
negocio
Monitorizar, Gestionar el cumplimiento de los
MEA03 5
Evaluar y requerimientos externos
Valorar MEA04 Gestionar el aseguramiento 5
107

Con respecto a la evaluación realizada, se pudo detectar que de 40 objetivos de

gobierno analizados en función a la DTIC; el 75% de objetivos es decir 30 objetivos

detallados, cuentan con alto grado de importancia en lo que respecta al abastecimiento

de los proveedores de TI, dan un buen lineamiento a las buenas prácticas que nos

brinda COBIT 2019. Adicional que, dentro de la DTIC, es superior el modelo de

abastecimiento de proveedores para TI el personal interno, con un valor de 79%.

Factor de diseño 9 (DF9): Métodos de implementación de TI

El factor de diseño 9 señala las directrices a seguir por parte de la institución

para evaluar tres posibles modelos de asignación de métodos de implementación de TI

(Agile, DevOps, Tradicional). Se plantea una matriz base entre los factores de diseño y

los objetivos de gobierno y gestión, con el fin de realizar el análisis respectivo y

cuantificar cada objetivo.

Con base a la situación actual y junto con el personal de la DTIC, se evalúa la

matriz para este factor de diseño, con valores de la escala entre uno (1) hasta cinco (5):

1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño 9).

Los resultados se presentan en la Tabla 30, con los objetivos de gobierno y

gestión priorizados; se consideraron aquellos con una calificación en el rango de la

media hacia arriba.

Tabla 30

Objetivos de gobierno y gestión DF9

Dominio Referencia Objetivos de Gobierno y Gestión Calificación


APO05 Gestionar el portafolio 11
Alinear,
Planificar y APO06 Gestionar el presupuesto y los costes 11
Organizar APO07 Gestionar los recursos humanos 13
APO13 Gestionar la seguridad 11
Construir, BAI03 Gestionar la definición de requisitos 9
Adquirir e BAI04 Gestionar la disponibilidad y capacidad 11
Implementar BAI09 Gestionar los activos 9
108

Con respecto a la evaluación realizada se pudo detectar que de 40 objetivos de

gobierno analizados; el 17.5% de objetivos, es decir 7 objetivos detallados cuentan con

alto grado de importancia en lo que respecta a la asignación de métodos de

implementación de TI; por lo que es necesario realizar un plan de innovación, el cual

permita actualizar las herramientas tecnologías actualmente implementadas. Además,

para la asignación de métodos de implementación de TI para la DTIC, el más

significativo es DevOps con un valor de 37.76%.

Al finalizar con el análisis de los factores de diseño del paso 3, en la Tabla 31 se

presenta una síntesis con la prioridad de los objetivos de gobierno y gestión para cada

factor de diseño.

Tabla 31

Resumen resultados factores de diseño Paso 3

Paso 3: Factores de Diseño


Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9
Garantizar el establecimiento y el mantenimiento del marco
EDM01 EDM01 EDM01 EDM01
de gobierno
Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02
Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03
Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04
Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05
Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01
Gestionar la estrategia APO02 APO02 APO02 APO02
Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03
Gestionar la innovación APO04 APO04 APO04 APO04
Gestionar el portafolio APO05 APO05 APO05 APO05
Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06
Gestionar los recursos humanos APO07 APO07 APO07 APO07
Gestionar las relaciones APO08 APO08 APO08 APO08
Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09
Gestionar los proveedores APO10 APO10 APO10 APO10
Gestionar la calidad APO11 APO11 APO11 APO11
Gestionar el riesgo APO12 APO12 APO12 APO12
Gestionar la seguridad APO13 APO13 APO13 APO13
Gestionar los datos APO14 APO14 APO14 APO14
Gestionar los programas BAI01 BAI01 BAI01 BAI01
Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02
Gestionar la identificación y construcción de soluciones BAI03 BAI03 BAI03 BAI03
Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04
109

Paso 3: Factores de Diseño


Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9
Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05
Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06
Gestionar la aceptación y la transición de los cambios de
BAI07 BAI07 BAI07 BAI07
TI
Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08
Gestionar los activos BAI09 BAI09 BAI09 BAI09
Gestionar la configuración BAI10 BAI10 BAI10 BAI10
Gestionar los proyectos BAI11 BAI11 BAI11 BAI11
Gestionar las operaciones DSS01 DSS01 DSS01 DSS01
Gestionar las peticiones y los incidentes del servicio DSS02 DSS02 DSS02 DSS02
Gestionar los problemas DSS03 DSS03 DSS03 DSS03
Gestionar la continuidad DSS04 DSS04 DSS04 DSS04
Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05
Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06
Gestionar la monitorización del rendimiento y la
MEA01 MEA01 MEA01 MEA01
conformidad
Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02
Gestionar el cumplimiento de los requerimientos externos MEA03 MEA03 MEA03 MEA03
Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04

Adicional, en la Tabla 32 se resume el refinamiento del alcance inicial definido,

se muestran los factores de diseño aplicables a la institución.

Tabla 32

Refinamiento del alcance del sistema de gobierno y gestión

Factor de Prioridad de los Objetivos de


Ref Valor Componentes
Diseño Gobierno y Gestión
DF5 ESCENARIO DE AMENAZAS
Entre las estructuras
organizativas importantes están:
Entre los objetivos de - Comité de estrategia de seguridad
gobierno y gestión - CISO
importantes se incluyen: Entre los aspectos de cultura y
- EDM03, EDM04 comportamiento importantes se
- APO02, APO03, APO6, encuentran:
Alto 78% APO7,APO9, APO10, APO11, - Concienciación sobre seguridad
APO12, APO13, APO14 Flujos de información:
- BAI02, BAI06, BAI07, BAI08, - Política de seguridad
BAI11 - Estrategia de seguridad
- DSS03, DSS04, DSS05
- MEA02, MEA03 (ISACA, Diseño de una solución de
Gobierno de Información y
Tecnología, 2018)
DF7 ROL DE TI
110

Factor de Prioridad de los Objetivos de


Ref Valor Componentes
Diseño Gobierno y Gestión
Entre los objetivos de
gobierno y gestión
importantes están:
- EDM01, EDM02, EDM04.
4 de
- APO01, APO02,
una
Estratégico APO03, APO04, APO06, N/A
escala
APO07, APO09, APO12.
de 5
- BAI01, BAI02, BAI03, BAI05,
BAI06, BAI07, BAI08, BAI11.
- DSS01, DSS02, DSS06.
- MEA01
DF8 MODELO DE ABASTECIMIENTO DE PROVEEDORES PARA TI
Entre los objetivos de
gobierno y gestión
importantes se incluyen:
- EDM02, EDM03, EDM04,
EDM05
-APO01, APO04,
APO05,APO06, APO07,
Personal
79% APO08, APO10, APO11, N/A
interno
APO12, APO13, APO14
- BAI01, BAI02. BAI03, BAI04,
BAI05, BAI08, BAI09, BAI10,
BAI11
-DSS01, DSS03, DSS05,
DSS06
- MEA03, MEA04
DF9 MÉTODOS DE IMPLEMENTACIÓN DE TI
Entre los objetivos de
gobierno y gestión
importantes están:
DevOps 37.7% N/A
- APO05, APO06, APO07,
APO13
- BAI03, BAI04, BAI09

La priorización de los objetivos de gobierno y gestión está dada de acuerdo con

la puntuación alcanzada en los factores de diseño DF5, DF7, DF8, DF9, se consideran

valores de la media hacia arriba y se obtienen los resultados finales de los factores de

diseño del paso número 3.

Se determinan 17 objetivos de gobierno y gestión para ser fortalecidos dentro de

la DTIC, los cuales se presentan en la Tabla 33.


111

Tabla 33

Resumen valores de factores de diseño Paso 3

Paso 3: Valores
Factores
de Diseño
Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Total
Garantizar el establecimiento y el mantenimiento del marco de
EDM01
gobierno
4 17 4 9 34
EDM02 Asegurar la realización de beneficios 4 16 5 9 34
EDM03 Asegurar la optimización del riesgo 5 14 5 9 33
EDM04 Asegurar la optimización de recursos 5 15 5 9 34
EDM05 Asegurar la transparencia de las partes interesadas 4 12 5 9 30
APO01 Gestionar el marco de gestión de TI 4 18 5 9 36
APO02 Gestionar la estrategia 5 15 4 9 33
APO03 Gestionar la arquitectura de la empresa 5 18 4 9 36
APO04 Gestionar la innovación 5 16 5 9 35
APO05 Gestionar el portafolio 4 13 5 11 33
APO06 Gestionar el presupuesto y los costes 5 16 5 11 37
APO07 Gestionar los recursos humanos 5 17 5 13 40
APO08 Gestionar las relaciones 4 11 5 9 29
APO09 Gestionar los acuerdos de servicio 5 17 4 9 35
APO10 Gestionar los proveedores 5 4 5 9 23
APO11 Gestionar la calidad 5 12 5 9 31
APO12 Gestionar el riesgo 5 15 5 9 34
APO13 Gestionar la seguridad 5 11 5 11 32
APO14 Gestionar los datos 5 13 5 9 32
BAI01 Gestionar los programas 4 15 5 9 33
BAI02 Gestionar la definición de requisitos 5 16 5 9 35
BAI03 Gestionar la identificación y construcción de soluciones 4 16 5 11 36
BAI04 Gestionar la disponibilidad y capacidad 4 12 5 11 32
BAI05 Gestionar los cambios organizativos 4 15 5 9 33
BAI06 Gestionar los cambios de TI 5 16 3 9 33
BAI07 Gestionar la aceptación y la transición de los cambios de TI 5 17 3 9 34
BAI08 Gestionar el conocimiento 5 15 5 9 34
BAI09 Gestionar los activos 4 14 5 11 34
BAI10 Gestionar la configuración 4 11 5 9 29
BAI11 Gestionar los proyectos 5 18 5 9 37
DSS01 Gestionar las operaciones 4 15 5 9 33
DSS02 Gestionar las peticiones y los incidentes del servicio 4 15 3 9 31
DSS03 Gestionar los problemas 5 12 5 9 31
DSS04 Gestionar la continuidad 5 13 3 9 30
DSS05 Gestionar los servicios de seguridad 5 14 5 9 33
DSS06 Gestionar los controles de procesos de negocio 4 16 5 9 34
MEA01 Gestionar la monitorización del rendimiento y la conformidad 4 15 4 9 32
MEA02 Gestionar el sistema de control interno 5 14 4 9 32
MEA03 Gestionar el cumplimiento de los requerimientos externos 5 13 5 9 32
MEA04 Gestionar el aseguramiento 4 13 5 9 31
1320
TOTAL
33
112

Conclusión Paso 3

Al finalizar el paso 3, la institución pudo identificar los refinamientos necesarios

para el sistema de gobierno y gestión inicial, información que será considerada en el

siguiente paso (Paso 4) para su consolidación.

De manera similar al anterior paso, el afinamiento se expresa en objetivos de

gobierno/gestión priorizados del sistema de gobierno y gestión, los cuales se indican en

la Tabla 34.

Tabla 34

Objetivos de gobierno y gestión Paso 3

Objetivos de Gobierno y Gestión


Dominio Referencia Calificación
para DTIC
Garantizar el establecimiento y el
Evaluar, EDM01 34
mantenimiento del marco de gobierno
Dirigir y
EDM02 Asegurar la realización de beneficios 34
Monitorizar
EDM04 Asegurar la optimización de recursos 34
APO01 Gestionar el marco de gestión de TI 36
APO03 Gestionar la arquitectura de la empresa 36
Alinear, APO04 Gestionar la innovación 35
Planificar y APO06 Gestionar el presupuesto y los costes 37
Organizar APO07 Gestionar los recursos humanos 40
APO09 Gestionar los acuerdos de servicio 35
APO12 Gestionar el riesgo 34
BAI02 Gestionar la definición de requisitos 35
Gestionar la identificación y
BAI03 36
construcción de soluciones
Construir,
Gestionar la aceptación y la transición
Adquirir e BAI07 34
de los cambios de TI
Implementar
BAI08 Gestionar el conocimiento 34
BAI09 Gestionar los activos 34
BAI11 Gestionar los proyectos 37
Entregar, Dar
Gestionar los controles de procesos de
Servicio y DSS06 34
negocio
Soporte
113

PASO 4: Perfeccionar el alcance del sistema de gobierno

Como se puede observar en la Figura 34, el sistema de gobierno resultante del

paso final del proceso de diseño considera todos los aportes revisados de los pasos

anteriores, así:

• El alcance inicial del diseño del sistema de gobierno se realizó en el Paso 2, a partir

del Paso 1 en el que se tuvo un mayor conocimiento del contexto y de la estrategia

de la empresa.

• El perfeccionamiento del alcance se obtuvo en el Paso 3 con el análisis de los

factores de diseño adicionales descritos por COBIT 2019.

Figura 34

Flujo de trabajo del diseño del sistema de gobierno

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Finalizar el diseño

El resultado final del desarrollo de cada una de las etapas permite obtener el

diseño de un sistema de gobierno de TI para la DTIC y alcanzar una conclusión; el

diseño incluye:
114

Objetivos de gobierno y gestión priorizados

En este punto es posible incluir las prioridades de los objetivos de gobierno

revisados en los pasos 2 y 3 de las etapas de diseño propuestas por COBIT. Este

análisis genera las prioridades ajustadas indicadas en la Tabla 35.

Tabla 35

Objetivos de gobierno y gestión Paso 2 Paso 3

Factores de
Diseño
PASO PASO
Objetivos de Gobierno y Gestión COBIT 2019
2 3
Total
Garantizar el establecimiento y el mantenimiento del
EDM01 251 34 142,5
marco de gobierno
EDM02 Asegurar la realización de beneficios 248 34 141
EDM03 Asegurar la optimización del riesgo 262 33 147,5
EDM04 Asegurar la optimización de recursos 248 34 141
EDM05 Asegurar la transparencia de las partes interesadas 241 30 135,5
APO01 Gestionar el marco de gestión de TI 260 36 148
APO02 Gestionar la estrategia 215 33 124
APO03 Gestionar la arquitectura de la empresa 186 36 111
APO04 Gestionar la innovación 238 35 136,5
APO05 Gestionar el portafolio 168 33 100,5
APO06 Gestionar el presupuesto y los costes 155 37 96
APO07 Gestionar los recursos humanos 206 40 123
APO08 Gestionar las relaciones 217 29 123
APO09 Gestionar los acuerdos de servicio 169 35 102
APO10 Gestionar los proveedores 173 23 98
APO11 Gestionar la calidad 232 31 131,5
APO12 Gestionar el riesgo 245 34 139,5
APO13 Gestionar la seguridad 170 32 101
APO14 Gestionar los datos 198 32 115
BAI01 Gestionar los programas 180 33 106,5
BAI02 Gestionar la definición de requisitos 194 35 114,5
Gestionar la identificación y construcción de
BAI03 205 36 120,5
soluciones
BAI04 Gestionar la disponibilidad y capacidad 156 32 94
BAI05 Gestionar los cambios organizativos 183 33 108
BAI06 Gestionar los cambios de TI 199 33 116
Gestionar la aceptación y la transición de los cambios
BAI07 169 34 101,5
de TI
BAI08 Gestionar el conocimiento 151 34 92,5
BAI09 Gestionar los activos 128 34 81
BAI10 Gestionar la configuración 136 29 82,5
BAI11 Gestionar los proyectos 169 37 103
DSS01 Gestionar las operaciones 166 33 99,5
DSS02 Gestionar las peticiones y los incidentes del servicio 155 31 93
115

Factores de
Diseño
PASO PASO
Objetivos de Gobierno y Gestión COBIT 2019
2 3
Total
DSS03 Gestionar los problemas 187 31 109
DSS04 Gestionar la continuidad 162 30 96
DSS05 Gestionar los servicios de seguridad 174 33 103,5
DSS06 Gestionar los controles de procesos de negocio 179 34 106,5
Gestionar la monitorización del rendimiento y la
MEA01 176 32 104
conformidad
MEA02 Gestionar el sistema de control interno 186 32 109
Gestionar el cumplimiento de los requerimientos
MEA03 167 32 99,5
externos
MEA04 Gestionar el aseguramiento 186 31 108,5

La puntuación alcanzada en los pasos 2 y 3 permitió consolidar los resultados de

los objetivos de gobierno y gestión aplicables para la DTIC; se pudo identificar los

siguientes objetivos más importantes:

• APO01 Gestionar el marco de gestión de TI (148)

• EDM03 Asegurar la optimización del riesgo (147,5)

• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

(142,5)

• EDM02 Asegurar la realización de beneficios (141)

• EDM04 Asegurar la optimización de recursos (141)

• APO12 Gestionar el riesgo (139,5)

Con respecto al análisis inicial de los factores de diseño de los pasos anteriores,

los objetivos de gobierno/gestión cambiaron y se añadieron; así como, se añadieron

APO03, APO06, APO09, BAI07, BAI08, BAI09, BAI11, DSS06. Asimismo, se identifican

los siguientes objetivos de gobierno menos importantes:

• BAI09 Gestionar los activos (81)

• BAI08 Gestionar el conocimiento (92,5)

• APO06 Gestionar el presupuesto y los costes (96)


116

Adicional, con base a lo acordado con la DTIC en el alcance del proyecto, se

requiere la implementación de los siguientes objetivos, por lo tanto, se incluyen dentro

de los objetivos de gobierno/gestión priorizados:

• APO11 Gestionar la calidad

• DSS05 Gestionar los servicios de seguridad

Los cambios identificados en los objetivos de gobierno más importantes, así

como los menos importantes, demuestra que, considerar otros factores de diseño ha

conllevado a tener ajustes adicionales en el sistema de gobierno.

Tabla 36

Objetivos de gobierno y gestión priorizados para la DTIC

Dominio Ref. Objetivos de Gobierno y Gestión para DTIC Calificación


Garantizar el establecimiento y el mantenimiento del marco
EDM01 142,5
de gobierno
Evaluar,
EDM02 Asegurar la realización de beneficios 141
Dirigir y
EDM03 Asegurar la optimización del riesgo 147,5
Monitorizar
EDM04 Asegurar la optimización de recursos 141
EDM05 Asegurar la transparencia de las partes interesadas 135,5
APO01 Gestionar el marco de gestión de TI 148
APO02 Gestionar la estrategia 124
APO03 Gestionar la arquitectura de la empresa 111
APO04 Gestionar la innovación 136,5
Alinear, APO06 Gestionar el presupuesto y los costes 96
Planificar y APO07 Gestionar los recursos humanos 123
Organizar APO08 Gestionar las relaciones 123
APO09 Gestionar los acuerdos de servicio 102
APO11 Gestionar la calidad 131,5
APO12 Gestionar el riesgo 139,5
APO14 Gestionar los datos 115
BAI02 Gestionar la definición de requisitos 114,5
BAI03 Gestionar la identificación y construcción de soluciones 120,5
Construir, BAI06 Gestionar los cambios de TI 116
Adquirir e BAI07 Gestionar la aceptación y la transición de los cambios de TI 101,5
Implementar BAI08 Gestionar el conocimiento 92,5
BAI09 Gestionar los activos 81
BAI11 Gestionar los proyectos 103
Entregar, DSS05 Gestionar los servicios de seguridad 103,5
Dar Servicio
DSS06 Gestionar los controles de procesos de negocio 106,5
y Soporte
117

Para concluir, una vez realizado un análisis cuantitativo de todos los factores de

diseño planteados por COBIT 2019 con base al contexto actual de la institución, se

identificaron 25 objetivos de gobierno y gestión propuestos para la DTIC y se indican en

la Tabla 36.

Kit de Herramientas de COBIT 2019

Adicional al diseño realizado mediante las 4 fases, COBIT 2019 permite aplicar

un Kit de herramientas para obtener los resultados sobre la priorización de los objetivos

de gobierno y gestión, a través de los factores de diseño de cada fase y visualizar los

resultados obtenidos.

La herramienta consiste en varias hojas de cálculo de Excel, las cuales de

manera general se estructuran de la siguiente manera:

• Una hoja de cálculo por cada factor de diseño, constituidas con la siguiente

información:

• Valores de entrada: Valores que se pueden introducir y se encuentran relacionados

con el contexto y situación actual de la institución, valores que se pueden

representar de forma gráfica.

• Cuantificación y clasificación de prioridades para los objetivos de gobierno y

gestión: Mediante tablas de asignación con valores que indican la importancia de

cada objetivo de gobierno/gestión. El Kit de herramientas realiza cálculos

automáticos de los valores introducidos para cada factor de diseño y refleja

promedios establecidos por la propia herramienta.

• Salidas: Corresponde a los resultados obtenidos. Los puntajes de prioridad se

calculan y son presentados en formato de tabla y de forma gráfica en dos diagramas

(Diagrama de barras y de araña).


118

• Dos hojas de resumen al finalizar el paso 2 y el paso 3 del diseño del sistema de

gobierno

• Una hoja de cálculo que permite consolidar los resultados de los factores de diseño

del sistema de gobierno.

Mediante el Kit de herramientas de COBIT 2019 será posible tener una

comparativa de los resultados obtenidos en los pasos anteriores y definir valores con

mayor exactitud, además presentar los resultados de una manera dinámica y gráfica.

La herramienta realiza una suma ponderada de los puntajes de importancia de

los objetivos de gobierno/gestión relacionadas con los factores de diseño del 5 al 10 y la

combina con los resultados del paso 2 Diseño inicial del sistema de gobierno. (ISACA,

Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Para cada uno de los factores de diseño de las etapas planteadas por COBIT

para el sistema de gobierno y gestión, se presentan los valores de entrada y los

resultados obtenidos como salida. (Figura 35 – Figura 42).

Factor de diseño DF1

Se evalúa cada uno de los cuatro valores posibles para el factor de diseño de la

estrategia empresarial: crecimiento/adquisición, innovación/diferenciación, liderazgo en

coste, servicios/estabilidad al cliente.

Factor de diseño DF2

Análisis de cada una de las trece metas empresariales calificadas entre 1 (nada

importante) y 5 (más importante).

Factor de diseño DF3

Análisis del riesgo, considerando las 19 categorías de riesgo contenidas en el

factor de diseño de perfil de riesgo


119

Factor de diseño DF4

Evaluación de cada uno de los 20 problemas relacionados con TI entre 1 (ningún

problema) y 3 (problema grave).

Factor de diseño DF5

Se evalúa cada uno de los dos valores posibles (alto y normal) para el factor de

diseño de escenario de amenazas, entre 0% y 100%; la suma de los valores debe ser

100%.

Factor de diseño DF7

Estudio de cada uno de los cuatro valores posibles para el factor de diseño de

rol de TI (soporte, fábrica, cambio y estratégico), deben valorarse entre 1 (nada

importante) y 5 (más importante).

Factor de diseño DF8

Análisis de cada uno de los tres valores posibles para el factor de diseño de

modelo de abastecimiento de proveedores para TI (externalización, nube y personal

interno), se valora entre 0% y 100%. La suma de los tres valores debe ser 100%

Factor de diseño DF9

Estudio de cada uno de los tres valores posibles para el factor de diseño de

métodos de implementación de TI (Agile, DevOps y tradicional), entre 0% y 100% y la

suma de los tres valores debe ser 100%.


120

Figura 35

Factor de Diseño DF1


121

Figura 36

Factor de Diseño DF2


122

Figura 37

Factor de Diseño DF3


123

Figura 38

Factor de Diseño DF4


124

Figura 39

Factor de Diseño DF5


125

Figura 40

Factor de Diseño DF7


126

Figura 41

Factor de Diseño DF8


127

Figura 42

Factor de Diseño DF9


128

Una vez realizada la evaluación de cada uno de los factores de diseño, la

herramienta resume los valores en una lista de resultados, que proporciona una visión

confiable de la importancia relativa que se calculó para cada uno de los 40 objetivos de

gobierno y gestión de COBIT 2019; mediante estos resultados es posible priorizar los

objetivos de gobierno/gestión para la DTIC y definir niveles de capacidad objetivo

adecuados. Los resultados se presentan como diagrama de barras (figura 43).

Figura 43

Importancia de los objetivos de gobierno/gestión para DTIC

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,


2018)
129

Con base a los resultados obtenidos de las matrices genéricas propuestas por

COBIT 2019 y de los valores alcanzados con la herramienta de COBIT 2019, es posible

realizar una comparación entre los objetivos con mayor resultado en ambos casos y

obtener un valor promedio, para determinar con mayor exactitud y fiabilidad los

objetivos de gobierno/gestión priorizados para la DTIC, estos resultados se muestran en

la Tabla 37.

De acuerdo con el análisis realizado en cada uno de los factores de diseño y

mediante la utilización del kit de herramientas de COBIT 2019, el modelo de mejora de

un sistema de gobierno propuesto para la DTIC comprende 20 objetivos de

gobierno/gestión, y se encuentran listados en la Tabla 38 con base a la calificación

alcanzada, lo que indica el orden en el que se recomienda fortalecer o implementar;

además se presenta el mapa del modelo de mejoramiento de procesos de TI que se

recomienda implementar en la institución (figura 44).

En el Anexo A se puede visualizar el modelo propuesto para la DTIC, con la

información de todas las fases de COBIT 2019.


130

Tabla 37

Resumen de valores de objetivos de gobierno y gestión DTIC

Factores de Diseño
PASOS HERRAMIENTA
Objetivos de Gobierno y Gestión COBIT 2019 2y3 COBIT
TOTAL
Garantizar el establecimiento y el mantenimiento del
EDM01 142,5 35 88,75
marco de gobierno
EDM02 Asegurar la realización de beneficios 141 -5 68
EDM03 Asegurar la optimización del riesgo 147,5 45 96,25
EDM04 Asegurar la optimización de recursos 141 5 73
EDM05 Asegurar la transparencia de las partes interesadas 135,5 10 72,75
APO01 Gestionar el marco de gestión de TI 148 40 94
APO02 Gestionar la estrategia 124 10 67
APO03 Gestionar la arquitectura de la empresa 111 60 85,5
APO04 Gestionar la innovación 136,5 -10 63,25
APO05 Gestionar el portafolio 100,5 5 52,75
APO06 Gestionar el presupuesto y los costes 96 -5 45,5
APO07 Gestionar los recursos humanos 123 10 66,5
APO08 Gestionar las relaciones 123 -10 56,5
APO09 Gestionar los acuerdos de servicio 102 -5 48,5
APO10 Gestionar los proveedores 98 5 51,5
APO11 Gestionar la calidad 131,5 30 80,75
APO12 Gestionar el riesgo 139,5 70 104,75
APO13 Gestionar la seguridad 101 75 88
APO14 Gestionar los datos 115 45 80
BAI01 Gestionar los programas 106,5 20 63,25
BAI02 Gestionar la definición de requisitos 114,5 45 79,75
BAI03 Gestionar la identificación y construcción de soluciones 120,5 60 90,25
BAI04 Gestionar la disponibilidad y capacidad 94 35 64,5
BAI05 Gestionar los cambios organizativos 108 15 61,5
BAI06 Gestionar los cambios de TI 116 100 108
Gestionar la aceptación y la transición de los cambios de
BAI07 101,5 60 80,75
TI
BAI08 Gestionar el conocimiento 92,5 10 51,25
BAI09 Gestionar los activos 81 5 43
BAI10 Gestionar la configuración 82,5 70 76,25
BAI11 Gestionar los proyectos 103 30 66,5
DSS01 Gestionar las operaciones 99,5 35 67,25
DSS02 Gestionar las peticiones y los incidentes del servicio 93 65 79
DSS03 Gestionar los problemas 109 45 77
DSS04 Gestionar la continuidad 96 50 73
DSS05 Gestionar los servicios de seguridad 103,5 55 79,25
DSS06 Gestionar los controles de procesos de negocio 106,5 55 80,75
Gestionar la monitorización del rendimiento y la
MEA01 104 30 67
conformidad
MEA02 Gestionar el sistema de control interno 109 40 74,5
MEA03 Gestionar el cumplimiento de los requerimientos externos 99,5 65 82,25
MEA04 Gestionar el aseguramiento 108,5 45 76,75
2925
TOTAL
73,125
131

Tabla 38

Objetivos de gobierno y gestión para la DTIC

Objetivos de Gobierno y Gestión


No Dominio Total
COBIT 2019
1 Construir, Adquirir e Implementar BAI06 Gestionar los cambios de TI 108
2 Alinear, Planificar y Organizar APO12 Gestionar el riesgo 104,75
Asegurar la optimización del
3 Evaluar, Dirigir y Monitorizar EDM03 96,25
riesgo
Gestionar el marco de gestión
4 Alinear, Planificar y Organizar APO01 94
de TI
Gestionar la identificación y
5 Construir, Adquirir e Implementar BAI03 90,25
construcción de soluciones
Garantizar el establecimiento
6 Evaluar, Dirigir y Monitorizar EDM01 y el mantenimiento del marco 88,75
de gobierno
7 Alinear, Planificar y Organizar APO13 Gestionar la seguridad 88
Gestionar la arquitectura de la
8 Alinear, Planificar y Organizar APO03 85,5
empresa
Gestionar el cumplimiento de
9 Monitorizar, Evaluar y Valorar MEA03 82,25
los requerimientos externos
10 Alinear, Planificar y Organizar APO11 Gestionar la calidad 80,75
Gestionar la aceptación y la
11 Construir, Adquirir e Implementar BAI07 transición de los cambios de 80,75
TI
Gestionar los controles de
12 Entregar, Dar Servicio y Soporte DSS06 80,75
procesos de negocio
13 Alinear, Planificar y Organizar APO14 Gestionar los datos 80
Gestionar la definición de
14 Construir, Adquirir e Implementar BAI02 79,75
requisitos
Gestionar los servicios de
15 Entregar, Dar Servicio y Soporte DSS05 79,25
seguridad
Gestionar las peticiones y los
16 Entregar, Dar Servicio y Soporte DSS02 79
incidentes del servicio
17 Entregar, Dar Servicio y Soporte DSS03 Gestionar los problemas 77
18 Monitorizar, Evaluar y Valorar MEA04 Gestionar el aseguramiento 76,75
19 Construir, Adquirir e Implementar BAI10 Gestionar la configuración 76,25
Gestionar el sistema de
20 Monitorizar, Evaluar y Valorar MEA02 74,5
control interno
132

Figura 44

Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y


Gestión, 2018)

Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC

La hoja de secuencia establece un plan general sobre la priorización de los

objetivos de gobierno/gestión que se propone implementar en la DTIC, un esquema en

el que se puede visualizar a breves rasgos la urgencia de implementación de los

procesos en la institución, de acuerdo con los 5 dominios que se indican en COBIT

2019.

Los objetivos de gobierno/gestión que se propone implementar en la DTIC se

encuentran definidos en el orden que se indica en la Figura 45, agrupados y priorizados


133

con base a los valores detallados en la Tabla 38, en la primera fase con base a lo

acordado con la DTIC en el alcance del proyecto, se requiere la implementación de los

objetivos: APO11 y DSS05.

Figura 45

Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC

1. Primera Fase (prioridad 1):

• APO11 Gestionar la calidad

• DSS05 Gestionar los servicios de seguridad

2. Segunda Fase (prioridad 2):

• BAI06 Gestionar los cambios de TI

• APO12 Gestionar el riesgo

• EDM03 Asegurar la optimización del riesgo


134

• APO01 Gestionar el marco de gestión de TI

• BAI03 Gestionar la identificación y construcción de soluciones

3. Tercera Fase (prioridad 3):

• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

• APO13 Gestionar la seguridad

4. Cuarta Fase (prioridad 4):

• APO03 Gestionar la arquitectura de la empresa

• MEA03 Gestionar el cumplimiento de los requerimientos externos

• BAI07 Gestionar la aceptación y la transición de los cambios de TI

• DSS06 Gestionar los controles de procesos de negocio

• APO14 Gestionar los datos

5. Quinta Fase (prioridad 5):

• BAI02 Gestionar la definición de requisitos

• DSS02 Gestionar las peticiones y los incidentes del servicio

6. Sexta Fase (prioridad 6):

• DSS03 Gestionar los problemas

• MEA04 Gestionar el aseguramiento

• BAI10 Gestionar la configuración

• MEA02 Gestionar el sistema de control interno

Modelo de evaluación de procesos

Para la institución es importante conocer la capacidad de los procesos de TI a

implementar, es así que, COBIT 2019 incluye un esquema de capacidad de procesos

basado en CMMI, Integración del modelo de madurez de capacidades (CMMI por sus

siglas en inglés, Capability Maturity Model Integration).


135

CMMI se deriva del modelo que el SEI (Software Engineering Intitute) definió

para la madurez de la capacidad del software, contiene las mejores prácticas del

desarrollo, las cuales se aplican desde un enfoque de administración y control de los

procesos de TI. El fin es identificar donde se encuentran los problemas y como fijar las

prioridades para obtener mejoras (iPMOGuide, 2018).

CMMI representa un método de evaluación con valores desde cero (0) hasta

cinco (5): 0 indica que es no existente y 5 que se encuentra optimizado; tal como se

revisó en la sección 2.5.1. Su importancia está dada en función de conocer el estado

actual en el que se encuentran los objetivos de gobierno y gestión y el nivel de

capacidad objetivo al que deben implementarse los procesos relacionados.

El nivel elegido para cada uno de los objetivos de gobierno y gestión deberá

considerar el benchmark interno disponible en la DTIC, correspondiente a la Matriz de

Control de Procesos DTIC. La escala de calificación de los objetivos de gobierno y

gestión se indica en la Tabla 39.

Tabla 39

Escala de calificación de niveles de capacidad

Nivel de
Descripción
capacidad
El proceso lograr su propósito, está bien definido, su rendimiento se mide para
5
mejorar el desempeño y se persigue la mejora continua.
El proceso lograr su propósito, está bien definido, y su rendimiento se mide (de
4
forma cuantitativa).
El proceso logra su propósito de forma mucho más organizada usando
3
activos para la organización. Los procesos están, por lo general, bien definidos.
El proceso logra su propósito a través de la aplicación de un conjunto de
2
actividades básicas, pero completas, que pueden caracterizarse como realizadas.
El proceso logra más o menos su propósito a través de la aplicación de un conjunto
1 de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no
muy organizadas.
• Falta de cualquier capacidad básica
0 • Estrategia incompleta para abordar el propósito de gobierno y gestión
• La intención de todas las prácticas del proceso puede haberse definido o no.
Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,
2018)
136

Para obtener los valores de capacidad, se inicia con la consideración de los 20

objetivos de gobierno y gestión priorizados, luego se realiza la evaluación de cada uno

con base a los seis niveles de capacidad mencionados, lo cual se indica en las

siguientes Tablas (Tabla 40 – Tabla 44).

Determinación del nivel de capacidad actual de los procesos en la DTIC

Dominio: Evaluar, Dirigir y Monitorizar (EDM)

Tabla 40

Nivel de madurez actual de los objetivos gobierno/gestión EDM

Objetivos de Gobierno y
Nivel de Capacidad Actual (NCA)
Gestión COBIT 2019
EDM01
Garantizar el establecimiento y el
1
mantenimiento del marco de
Incompleto
gobierno
- No existe un modelo estratégico de toma de
Analizar y articular los requisitos
decisiones que se cumpla al 100%.
para el gobierno de la I&T de la
- Las actividades de planificación de TI no se
empresa. Establecer y mantener
cumplen de acuerdo con lo proyectado
componentes de gobierno claros
-No se cuenta con un sistema de gobierno de TI,
con respecto a la autoridad y las
las decisiones estratégicas se aplican de forma
responsabilidades para lograr la
intuitiva
misión, las metas y los objetivos
de la empresa.
EDM03
Asegurar la optimización del
0
riesgo
No existe
Asegurar que el apetito y la
-La actividad de Gestión de Riesgos tiene un
tolerancia al riesgo de la empresa
cumplimiento de 0%.
se entiendan, articulen y
-No se cuenta con una gestión de riesgos
comuniquen, y que se identifique
adecuada, que permita la identificación y
y gestione el riesgo para el valor
evaluación de riesgos de TI.
de negocio relacionado con el uso
de I&T
137

Dominio: Alinear, Planificar y Organizar (APO)

Tabla 41

Nivel de madurez actual de los objetivos gobierno/gestión APO

Nivel de Capacidad Actual


Objetivos de Gobierno y Gestión COBIT 2019
(NCA)
APO01 1
Gestionar el marco de gestión de TI Incompleto

Diseñar el sistema de gestión para la I&T de la -No se cuenta con un sistema


empresa basándose en las metas empresariales y de gobierno de TI
otros factores de diseño. En base a este diseño, -No se cuenta con un plan
implementar todos estratégico de TI alineado
los componentes necesarios del sistema de totalmente con el plan
gestión estratégico de la institución

APO03
Gestionar la arquitectura de la empresa
0
Establecer una arquitectura común que consiste
No existe
en capas de arquitectura de procesos de negocio,
información, datos, aplicaciones y tecnología.
-No existe una arquitectura
Crear modelos y prácticas claves que describen
empresarial, ni tampoco un
las arquitecturas base y objetivo, en línea con la
repositorio de arquitectura
estrategia de I&T de la empresa. Definir los
integrado
requisitos de taxonomía, estándares, directrices,
-No se cuenta con modelos o
procedimientos, plantillas y herramientas, y
prácticas claves para
proporcionar un vínculo para estos componentes.
arquitecturas base y objetivo en
Mejorar el alineamiento, aumentar la agilidad,
línea con la estrategia de TI
mejorar la calidad de la información y generar
ahorros potenciales de costes mediante iniciativas
como la reutilización de componentes de bloques
de construcción.

APO11 0
Gestionar la calidad No existe

Definir y comunicar los requisitos de calidad en -La DTIC carece de


todos los procesos, procedimientos y resultados metodologías de calidad, así, no
empresariales relacionados. Habilitar los se cuenta con un modelo de ciclo
controles, monitorización continua y uso de de vida de desarrollo de
prácticas y estándares probados en esfuerzos de Software
mejora y eficiencia continuos.
138

Nivel de Capacidad Actual


Objetivos de Gobierno y Gestión COBIT 2019
(NCA)
0
No existe

-La Gestión de riesgos


APO12 adecuada, que permita la
Gestionar el riesgo identificación y evaluación de
riesgos de TI, no se realiza en la
Identificar, evaluar y reducir continuamente los DTIC
riesgos relacionados con I&T dentro de los niveles -La DTIC no considera el
de tolerancia establecidos por la gerencia impacto de la materialización de
ejecutiva de la empresa un riesgo, relacionado con una
vulnerabilidad de seguridad, ni
la probabilidad de ocurrencia.
-La DTIC no cuenta con una
matriz de riesgos definida.

1
Incompleto

-Actualmente la DTIC no tiene


APO13
implementado un sistema de
Gestionar la seguridad
gestión de seguridad de la
información. Se tiene
Definir, operar y monitorizar un sistema de gestión
establecida una política de
de seguridad de la información
seguridad de la información,
pero no se encuentra aceptada
de manera formal ni difundida en
toda la organización.

APO14 0
Gestionar los datos No existe

Lograr y mantener la gestión eficaz de los activos -La DTIC no cuenta con una
de datos de la empresa durante todo el ciclo de gestión oportuna de los activos
vida de los datos, desde la creación hasta su de datos durante todo el ciclo de
entrega, mantenimiento y archivo vida de los datos.
139

Dominio: Construir, Adquirir e Implementar (BAI)

Tabla 42

Nivel de madurez actual de los objetivos gobierno/gestión BAI

Nivel de Capacidad Actual


Objetivos de Gobierno y Gestión COBIT 2019
(NCA)
0
BAI02 No existe
Gestionar la definición de requisitos
- Actualmente en la DTIC, la
Identificar las soluciones y analizar los requisitos adquisición de infraestructura de
antes de su adquisición o construcción para TI, la definición de servicios de TI
asegurarse de que se ajustan a los requisitos y el mantenimiento de
estratégicos de la empresa cubriendo los procesos, aplicaciones y de servicios de TI
aplicaciones, información/datos, infraestructura y no se realizan en torno a los
servicios del negocio. Coordinar la revisión de lineamientos de estrategias o a
opciones viables con las partes interesadas las necesidades de la institución.
afectadas, incluidos costes y beneficios relativos, Se atienden los requerimientos
análisis de riesgos y aprobación de los requisitos y de los usuarios y se programan
soluciones propuestas algunos mantenimientos, pero
no en su totalidad.
BAI03
Gestionar la identificación y construcción de
soluciones 1
Incompleto
Establecer y mantener productos y servicios
identificados (tecnología, procesos de negocio y -En la DTIC la aplicación de
flujos de trabajo) alineados con los requisitos de la soluciones de TI se basa en
empresa que cubran el diseño, desarrollo, enfoques intuitivos, los
adquisición/subcontratación y la asociación con requerimientos se identifican de
proveedores. Gestionar la configuración, manera informal con base a las
preparación de pruebas, gestión de requisitos y necesidades del día a día de los
mantenimiento de procesos de negocio, usuarios.
aplicaciones, información/datos, infraestructura y
servicios.
BAI06 0
Gestionar los cambios de TI No existe

Gestionar todos los cambios de una manera -No se cuenta con un proceso
controlada, incluidos los cambios estándar y los estructurado de control de
mantenimientos de emergencia en relación con los cambios de TI, no se aplican
procesos de negocio, las aplicaciones y la procedimientos y políticas para
infraestructura. Esto incluye estándares y realizar cambios de TI, mediante
procedimientos de cambio, evaluación del impacto, planes de implantación,
priorización y autorización, cambios de emergencia, cronogramas definidos y planes
seguimiento, informes, cierre y documentación. de roll back.
140

Nivel de Capacidad Actual


Objetivos de Gobierno y Gestión COBIT 2019
(NCA)
1
BAI07 Incompleto
Gestionar la aceptación y la transición de los
cambios de TI -Actualmente existe un proceso
de puesta y paso a producción
Aceptar formalmente y hacer operativas las nuevas de nuevos o modificados
soluciones. Incluir la planificación de la servicios de TI, sin embargo, el
implementación, conversión de sistemas y datos, proceso no se encuentra
pruebas de aceptación, comunicación, preparación totalmente estructurado y no se
de la puesta en producción, paso a producción de basa en una metodología; el
nuevos o modificados procesos de negocio y equipo de desarrollo decide el
servicios de I&T, soporte temprano de la producción enfoque de la prueba, pero el
y revisión posterior a la implementación. proceso no se encuentra
definido de manera formal.
0
No existe

-La DTIC está consciente de la


necesidad de controlar la
configuración de TI ante la alta
BAI10
rotación que se tiene del
Gestionar la configuración
personal administrador de TI, y
se comprende los beneficios de
Definir y mantener descripciones y relaciones entre
mantener información completa
recursos claves y las capacidades necesarias para
y precisa sobre las
ofrecer servicios habilitados por I&T. Incluir la
configuraciones existentes;
recopilación de información sobre la configuración,
debido a que actualmente existe
estableciendo líneas de referencia, verificando y
dependencia implícita del
auditando esta información, y actualizando el
conocimiento y experiencia del
repositorio de configuración.
personal de TI, así como, el
contenido de la información de la
configuración es limitado o nulo,
y no se cuenta con estándares o
políticas con respecto a la
información de configuración.
141

Dominio: Entregar, Dar Servicio y Soporte (DSS)

Tabla 43

Nivel de madurez actual de los objetivos gobierno/gestión DSS

Objetivos de Gobierno y Gestión Nivel de Capacidad Actual


COBIT 2019 (NCA)
2
DSS02
Completo
Gestionar las peticiones y los
incidentes del servicio
-En la mayoría de los casos, a través de la
herramienta Chasqui se recibe, se da soporte y
Proporcionar una respuesta
respuesta a los usuarios ante incidentes de TI; en
oportuna y efectiva a las solicitudes
cuanto a incidentes de seguridad cibernética,
de los usuarios y la resolución de
mediante el área de Seguridad de la Información,
todos los tipos de incidentes.
se da respuesta y se analiza el incidente para
Restaurar el servicio normal,
tomar medidas de contención y erradicación.
registrar y completar las solicitudes
-Actualmente no se cuenta con un área específica
de usuario; y registrar, investigar,
dedicada únicamente al soporte de usuarios y no
diagnosticar, escalar y resolver los
se documentan o estandarizan los
incidentes.
procedimientos.
0
DSS03 No existe
Gestionar los problemas
-No se cuenta con un sistema integrado de gestión
Identificar y clasificar los problemas de problemas.
y su causa raíz. Ofrecer una -No se tienen procesos para identificación y
solución oportuna para evitar clasificación de problemas y la causa raíz
incidentes recurrentes. Ofrecer -No existe una estandarización de procedimientos
recomendaciones de mejoras. de escalamiento y resolución de problemas
considerando SLA´s y OLA´s
DSS05 2
Gestionar los servicios de Completo
seguridad
-Se aplican medidas de seguridad a nivel de
Proteger la información de la endpoint y borde de la red; pero no con base a una
empresa para mantener el nivel de política de seguridad bien definida y estructurada.
riesgo de la seguridad de la -Las políticas aplicadas no consideran medidas de
información aceptable para la concientización sobre seguridad de la información.
empresa, conforme con la política - Los roles y privilegios de acceso de seguridad de
de la información no se encuentran bien definidos y
seguridad. Establecer y mantener aplicados
roles y privilegios de acceso de -Los servicios de proveedores pueden no cumplir
seguridad de la información. con requerimientos específicos de seguridad de
Realizar una monitorización de la información de la institución, que puedan
seguridad traducirse en el cumplimiento de SLA´s.
142

Objetivos de Gobierno y Gestión Nivel de Capacidad Actual


COBIT 2019 (NCA)

DSS06
Gestionar los controles de
procesos de negocio
Definir y mantener los controles
0
apropiados de los procesos de
No existe
negocio para asegurar que la
información relacionada y
-En la actualidad no se cuenta con procesos para
procesada por procesos de negocio
la definición y empleo de controles, para asegurar
internos o externalizados cumpla
que la información relacionada y procesada por
con todos los requisitos relevantes
procesos de negocio cumplan con los requisitos de
de control de la información.
control de la información.
Identificar los requisitos relevantes
-Estos procesos deben estar relacionados y
de control de la información.
mapeados con los procesos de negocio de la DTIC
Gestionar y operar los controles
y la información retenida deberá será auditable.
adecuados de entrada, throughput
y salida (controles de aplicación)
para asegurar que la información y
el procesamiento de la información
cumpla con estos requisitos

Dominio: Monitorizar, Evaluar y Valorar (MEA)

Tabla 44

Nivel de madurez actual de los objetivos gobierno/gestión MEA

Objetivos de Gobierno y Gestión COBIT Nivel de Capacidad Actual


2019 (NCA)
0
MEA02 No existe
Gestionar el sistema de control interno
Supervisar y evaluar continuamente el -Actualmente en la DTIC no existe un
entorno de control, incluyendo sistema de control interno, por parte de la
autoevaluaciones y auto concienciación. institución se tiene la necesidad de una
Habilitar a la gerencia para identificar administración y gestión del control de TI
deficiencias e ineficiencias de control e iniciar de manera regular.
acciones de mejora. Planificar, organizar y -Los roles y responsabilidades para
mantener estándares para la evaluación del realizar el monitoreo y seguimiento de la
control interno y la eficacia del control de efectividad de controles internos, no se
procesos. encuentran definidos de manera formal
por parte de la dirección de la DTIC
143

Objetivos de Gobierno y Gestión COBIT Nivel de Capacidad Actual


2019 (NCA)
2
Completo
MEA03
Gestionar el cumplimiento de los -La DTIC tiene el entendimiento de
requerimientos externos garantizar la integración del cumplimiento
Evaluar si los procesos de I&T y los procesos de TI con el cumplimiento de los objetivos
de negocio apoyados por I&T cumplen con las estratégicos de la institución.
leyes, regulaciones y requisitos contractuales. - Se cumple con la necesidad de
Asegurar que los requisitos se han identificar y atender los requerimientos
identificado y cumplido; integrar el externos, como con los reglamentos
cumplimiento de TI con el cumplimiento regulatorios; sin embargo, no existe un
general de la empresa. enfoque estándar, en cuanto a los
procedimientos que se definen para el
cumplimiento de estos requerimientos.

2
Completo
MEA04
Gestionar el aseguramiento
-Existe la gestión del aseguramiento
Planificar, delimitar y ejecutar iniciativas de
mediante un conjunto de actividades
aseguramiento para cumplir con requisitos
básicas, pero completas en cuanto a la
internos, leyes, regulaciones y objetivos
planificación, delimitación y ejecución de
estratégicos. Permitir que la dirección ofrezca
iniciativas de aseguramiento para
una garantía adecuada y sostenible en la
alcanzar el cumplimiento de
empresa, con la realización de revisiones y
requerimientos internos, leyes, así como
actividades de aseguramiento independiente.
con los objetivos estratégicos de la
institución.

En la Tabla 45, se resume el nivel de capacidad actual de los objetivos de

gobierno/gestión para la DTIC.


144

Tabla 45

Nivel de madurez de los procesos de TI a fortalecer en la DTIC

Niveles de capacidad para los procesos (COBIT 2019)


5 4 3 2 1 0
-El
-Falta de
proceso -El proceso -El proceso
-El proceso cualquier
logra su logra su logra más o
logra su capacidad
propósito propósito de menos su
-El proceso propósito a básica
-está bien forma mucho propósito a
logra su través de la -Estrategia
definido, más través de la
propósito, aplicación de incompleta para
- Su organizada aplicación de
está bien un conjunto abordar el
rendimient usando un conjunto
Objetivos de Gobierno y Gestión definido, y de actividades propósito de
o se mide activos para de actividades
COBIT 2019 su básicas, gobierno y
para la incompleto
rendimient pero gestión
mejorar el organización. que pueden
o se mide completas, -La intención de
desempeñ -Los caracterizarse
de forma que pueden todas las
oy procesos como iniciales
cuantitativa caracterizarse prácticas del
- Se están, por lo o intuitivas, no
como proceso puede
persigue general, bien muy
realizadas haberse definido
la mejora definidos. organizadas
o no
continua.

Evaluar, Dirigir y Monitorizar (EDM)


Garantizar el establecimiento y
EDM01 el mantenimiento del marco de
gobierno
Asegurar la optimización del
EDM03
riesgo
Alinear, Planificar y Organizar (APO)
Gestionar el marco de gestión
APO01
de TI
Gestionar la arquitectura de la
APO03
empresa
APO11 Gestionar la calidad
APO12 Gestionar el riesgo
APO13 Gestionar la seguridad
APO14 Gestionar los datos
Construir, Adquirir e Implementar (BAI)
Gestionar la definición de
BAI02
requisitos
Gestionar la identificación y
BAI03
construcción de soluciones
BAI06 Gestionar los cambios de TI
Gestionar la aceptación y la
BAI07
transición de los cambios de TI
BAI10 Gestionar la configuración
Entregar, Dar Servicio y Soporte (DSS)
Gestionar las peticiones y los
DSS02
incidentes del servicio
DSS03 Gestionar los problemas
Gestionar los servicios de
DSS05
seguridad
Gestionar los controles de
DSS06
procesos de negocio
Monitorizar, Evaluar y Valorar (MEA)
Gestionar el sistema de control
MEA02
interno
Gestionar el cumplimiento de
MEA03
los requerimientos externos
MEA04 Gestionar el aseguramiento
145

Fases de implementación de un Sistema de Gobierno Personalizado

Posicionar el gobierno de Información y Tecnología de la empresa

Esta sección se refiriere al entendimiento que se debe tener sobre el contexto en

el que se desarrolla la institución y así, implementar el GEIT (Gobierno empresarial de

información y tecnología) de manera adecuada y exitosa. Se debe considerar que la

implementación tiene lugar bajo la influencia de varios factores del entorno interno y

externo como: estándares, ética, cultura, escenario de amenazas, misión, visión,

objetivo, valores, políticas, etc.

GEIT

En este trabajo se propone un modelo de Implementación de Gobierno de TI

como aliado del negocio, para ello se utilizaron las mejores prácticas de gobernanza de

TI como lo es COBIT 2019, ya que en la actualidad las tecnologías y los sistemas de

información se han convertido en el elemento esencial para la supervivencia de las

organizaciones, al posicionar al departamento de TI como área estratégica en el

cumplimiento de los objetivos del negocio. (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018)

El Gobierno de TI consiste en un completo marco de estructuras, procesos y

mecanismos relacionales. Las estructuras hacen referencia a la existencia de funciones

de responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como

diversos comités de TI. Los procesos se refieren a la monitorización y a la toma de

decisiones estratégicas de TI. Los mecanismos relacionales consideran las alianzas y la

participación de la empresa/organización de TI, el diálogo en la estrategia y el

aprendizaje compartido. (Salah Llanes, 2017)


146

Además, se entiende por Gobierno TI al conjunto de acciones que realiza el área

de TI en coordinación con la alta dirección, para movilizar sus recursos de la forma más

eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Constituye una parte esencial del gobierno de la empresa en su conjunto, y

combina la estructura organizativa y directiva necesaria para asegurar que TI soporta y

facilita el desarrollo de los objetivos estratégicos definidos. (Gobernanza de las

tecnologías de la información , 2020)

GETI garantiza que:

• TI está alineada con la estrategia del negocio.

• Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la

forma más eficiente.

• Todos los riesgos relacionados con TI son conocidos y administrados y los recursos

de TI están seguros

Los elementos de la gobernanza de TI:

La TI además ayudan a comprender que los roles, la experiencia y la cultura son

factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva

arquitectura de la empresa, mejorando su rendimiento. Se tiene los siguientes

elementos: (Garbarino Alberti, 2014)

• Alineamiento Estratégico

• Estructuras organizativas

• Generación de Valor

• Procesos de Gobernanza de TI

• Gestión del riesgo

• Gestión del rendimiento


147

• Gestión de recursos

Ciclo de vida de mejora continua

COBIT 2019 indica tres componentes interrelacionados con el ciclo de vida de

mejora continua durante el proceso de implementación del GEIT, hasta convertirse en

algo usual para la institución, estos son: el ciclo de vida de mejora continua central del

GEIT, habilitación del cambio y gestión del programa. El método del ciclo de vida

incluye 7 fases, mostradas en la Figura 46 (ISACA, GUÍA DE IMPLEMENTACIÓN

COBIT® 2019, 2018).

Figura 46

Hoja de ruta de implementación COBIT

Nota. (ISACA, GUÍA DE IMPLEMENTACIÓN COBIT® 2019, 2018)

Las 7 fases del mapa de ruta de implementación del sistema de gobierno

definidas por COBIT 2019, se realiza con base a la ejecución de las actividades

determinadas en cada fase. La información obtenida del análisis de los factores de


148

diseño de un sistema de gobierno para la DTIC, realizado en la sección 3.4, permite

definir las tres primeras fases, tal como se describen en la Tabla 46.

Tabla 46

Fases de implementación COBIT2019 en DTIC

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
De los 20 problemas relacionados
con I&T evaluados:
-14 fueron catalogados como
problemas dando un 70% de
1. Identificar el probabilidad que los mismos se
contexto de gobierno materialicen dentro de la DTIC.
- Entender los
actual, los puntos de -5 de los problemas relacionados
problemas actuales
dolor del negocio y de 1.4 con I&T fueron catalogados como
relacionados con
TI, los eventos y los problemas graves dando 25% de
I&T.
síntomas que provocan probabilidad que los mismos se
la necesidad de actuar. materialicen
-1 de los problemas relacionados
con I&T fueron catalogados sin
problema dando 5% de probabilidad
de ocurrencia.
Estrategia empresarial:
Se consideran las 20 estrategias
empresariales definidas por la DTIC
(Sección 3.4.1.1)
Metas empresariales:
¿Cuáles OB1. Incrementar la efectividad en
Fase el control del territorio nacional
son los 2. Identificar los
OB2. Mantener la imagen
1 motivadore impulsores de negocio
institucional
s? y de gobierno y los
OB3. Incrementar la efectividad
requisitos de
operacional de las unidades
cumplimiento para
militares
mejorar el GEIT y - Entender la
OB4. Incrementar las capacidades
evaluar las estrategia
militares
necesidades actuales 1.1 empresarial.
OB5. Incrementar el alistamiento
de las partes 1.2 - Entender las metas
operacional
interesadas. 1.3 empresariales.
OB6. Incrementar la efectividad en
3. Identificar - Entender el perfil de
el apoyo logístico
prioridades del negocio riesgo
OB7. Incrementar la eficiencia
y estrategia de negocio
institucional
dependientes de TI,
OB8. Incrementar el desarrollo del
incluido cualquier
talento humano
proyecto significativo
OB9. Incrementar el uso eficiente
en curso.
del presupuesto
De las 19 categorías de riesgos
evaluados:
-10 fueron catalogados como
riesgos muy altos dando un 52.63%
de probabilidad que los mismos se
materialicen.
149

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
-8 de los escenarios fueron
catalogados como altos dando
42.10% de probabilidad que los
mismos se materialicen
-1 escenario con riesgo normal
dando 5.26% de probabilidad de
ocurrencia
4. Alinearse con las
políticas, las
estrategias y los
principios rectores de
la empresa y cualquier
iniciativa en curso del
gobierno actual.
5. Aumentar la
concienciación de los
directivos sobre la
importancia de TI para
la empresa y el valor
del GEIT. Relacionadas con tareas de Relacionadas con tareas de
6. Definir la política, los habilitación habilitación
objetivos, los principios del cambio del cambio
rectores y los objetivos
de mejora de alto nivel
del GEIT.
7. Asegurar que, la
dirección y el consejo
de administración
entienden y aprueban
una estrategia de alto
nivel, y que aceptan el
riesgo de no hacer
nada ante problemas
significativos.
Estrategia empresarial:
Se consideran las 20 estrategias
empresariales definidas por la DTIC
(Sección 3.4.1.1)
Cascada de metas de COBIT:
EG02: Gestión de riesgo del
negocio
-Considerar la EG03: Cumplimiento de leyes y
1. Identificar metas estrategia regulaciones externas
¿Dónde
empresariales clave y empresarial. EG07: Calidad de la información de
Fase estamos
apoyar las metas
2.1
-Considerar las metas gestión
2 ahora? 2.2
relacionadas con TI empresariales y EG012: Gestión de programas de
(Tareas CI)
claves aplicar la cascada de transformación digital
metas de COBIT EG013: Innovación de producto y
negocio

-AG2: Gestión de riesgo relacionado


con I&T
AG5: Prestación de servicios I&T
conforme a los requerimientos del
negocio
150

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
AG7: Seguridad de la información,
infraestructura de procesamiento y
aplicaciones, y privacidad
AG9: Ejecución de programas
dentro del plazo, sin exceder el
presupuesto, y cumpliendo con los
requisitos y estándares de calidad
AG10: Calidad de la información
sobre gestión de I&T
AG11: Cumplimiento de I&T con las
políticas internas
AG13: Conocimiento, experiencia e
iniciativas para la innovación
empresarial
-Cascada de metas de COBIT:
- EG02: Gestión de riesgo del
negocio
EG03: Cumplimiento de leyes y
regulaciones externas
EG07: Calidad de la información de
gestión
EG012: Gestión de programas de
transformación digital
EG013: Innovación de producto y
negocio

-Considerar las metas -AG2: Gestión de riesgo relacionado


empresariales y con I&T
aplicar la cascada de AG5: Prestación de servicios I&T
metas de COBIT. conforme a los requerimientos del
-Considerar el rol de negocio
2. Establecer la TI. AG7: Seguridad de la información,
importancia y 2.2 -Considerar el modelo infraestructura de procesamiento y
naturaleza de la 3.3 de abastecimiento de aplicaciones, y privacidad
contribución de TI 3.4 proveedores. AG9: Ejecución de programas
(soluciones y servicios) 3.5 -Considerar los dentro del plazo, sin exceder el
requeridos para 3.6 métodos de presupuesto, y cumpliendo con los
respaldar los objetivos 3.7 implementación de TI. requisitos y estándares de calidad
de negocio. -Considerar la AG10: Calidad de la información
estrategia de sobre gestión de I&T
adopción de AG11: Cumplimiento de I&T con las
tecnología. políticas internas
-Considerar el tamaño AG13: Conocimiento, experiencia e
de la empresa. iniciativas para la innovación
empresarial
-Rol de TI
El Rol de TI estratégico es el más
representativo para la DTIC con
28,7%, es decir las TI son críticas
para el funcionamiento e innovación
de los procesos y servicios de la
institución
- Abastecimiento de
proveedores para TI
Dentro de la DTIC es superior el
modelo de abastecimiento de
151

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
proveedores para TI, el personal
interno, con un valor de 79%.
- Implementación de TI
Para la asignación de métodos de
implementación de TI para el DTIC,
el más significativo es DevOps con
un valor de 37.76%
1. Incidentes significativos
relacionados con TI, como pérdida
de datos, violaciones de seguridad,
fallo del proyecto y errores de la
aplicación, relacionados con TI.
2. Problemas de ejecución del
servicio por parte de los
subcontratistas de TI.
3. Incumplimiento de los
requerimientos regulatorios o
contractuales relacionados con TI.
4. Hallazgos de auditoría regulares
3. Identificar problemas u otros informes de evaluación
y debilidades claves de sobre un pobre desempeño de TI o
gobierno relacionadas notificación de problemas de calidad
con las soluciones y y servicio de TI.
servicios actuales y - Considerar los 5. Gasto sustancial oculto y
requeridos en el futuro, problemas actuales fraudulento en TI, es decir, gasto en
2.4
la arquitectura relacionados TI por departamentos de usuarios
empresarial necesaria con I&T. fuera del control de los mecanismos
para respaldar las de decisión de inversión en IT
metas relacionadas normales y los presupuestos
con TI y cualquier aprobados.
restricción o limitación. 6. Recursos de TI insuficientes,
personal con habilidades
inadecuadas o personal
agotado/insatisfecho.
7. Alto coste de protección de TI
8. Problemas regulares con la
calidad de los datos y la integración
de datos de distintas fuentes
9. Los departamentos comerciales
implementan sus propias soluciones
de información con poca o ninguna
implicación por parte del
departamento de TI de la empresa
Estrategia empresarial:
Se consideran las 20 estrategias
4. Identificar y empresariales definidas por la DTIC
seleccionar los - Considerar la (Sección 3.4.1.1)
procesos críticos para estrategia Cascada de metas de COBIT:
respaldar las metas empresarial. - EG02: Gestión de riesgo del
2.1
relacionadas con TI y, - Considerar las negocio
2.2
si corresponde, metas empresariales EG03: Cumplimiento de leyes y
prácticas de gestión y aplicar la cascada regulaciones externas
clave para cada de metas de COBIT. EG07: Calidad de la información de
proceso seleccionado. gestión
EG012: Gestión de programas de
transformación digital
152

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
EG013: Innovación de producto y
negocio

-AG2: Gestión de riesgo relacionado


con I&T
AG5: Prestación de servicios I&T
conforme a los requerimientos del
negocio
AG7: Seguridad de la información,
infraestructura de procesamiento y
aplicaciones, y privacidad
AG9: Ejecución de programas
dentro del plazo, sin exceder el
presupuesto, y cumpliendo con los
requisitos y estándares de calidad
AG10: Calidad de la información
sobre gestión de I&T
AG11: Cumplimiento de I&T con las
políticas internas
AG13: Conocimiento, experiencia e
iniciativas para la innovación
empresarial
5. Evaluar el riesgo de Perfil de riesgo:
habilitación de Riesgo muy Alto:
beneficios/valor, el -Gestión del ciclo de vida de los
riesgo derealización de programas y proyectos
-Considerar el perfil
programa/proyecto y el -Coste y control de TI
2.3 de riesgo de la
riesgo de operaciones -Comportamiento, habilidades y
empresa.
de prestación de conocimiento de TI
servicio/TI relacionados -Arquitectura de la empresa/TI
con procesos críticos -Incidentes de infraestructura
de TI. operativa de TI
6. Evaluar el riesgo de -Acciones no autorizadas
habilitación de -Incidentes de hardware
beneficios/valor, el -Fallos de Software
riesgo de realización -Ataques lógicos (hacking, malware,
de programa/proyecto -Considerar el perfil etc.)
y el riesgo de 2.3 de riesgo de la -Gestión de datos e información
operaciones de empresa. Riesgo Alto:
prestación de -Toma de decisiones sobre
servicio/TI relacionados inversiones en TI, definición y
con procesos críticos mantenimiento del portafolio
de TI. -Adopción de software/problemas de
uso
-Incidentes de terceros/proveedores
- Incumplimiento
7. Entender la posición -Entender el perfil de
-Problemas geopolíticos
de aceptación del riesgo.
1.3 -Acción industrial
riesgo conforme a lo -Considerar el perfil
2.3 -Actos de la naturaleza
definido por la de riesgo de la
- Medio ambiente
dirección. empresa.
Riesgo Normal:
- Innovación basada en la
tecnología
8. Definir el método
para ejecutar la Niveles de capacidad de CMMI
evaluación.
153

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
Estrategia empresarial:
Se consideran las 20 estrategias
empresariales definidas por la DTIC
(Sección 3.4.1.1)
Cascada de metas de COBIT:
- EG02: Gestión de riesgo del
negocio
EG03: Cumplimiento de leyes y
regulaciones externas
EG07: Calidad de la información de
gestión
-Considerar la EG012: Gestión de programas de
estrategia transformación digital
empresarial. EG013: Innovación de producto y
-Considerar las metas negocio
empresariales y
aplicar la cascada de -AG2: Gestión de riesgo relacionado
metas de COBIT. con I&T
-Considerar el perfil AG5: Prestación de servicios I&T
de riesgo de la conforme a los requerimientos del
empresa. negocio
-Considerar los AG7: Seguridad de la información,
problemas actuales infraestructura de procesamiento y
2.1 relacionados aplicaciones, y privacidad
2.2 con I&T. AG9: Ejecución de programas
2.3 -Considerar el dentro del plazo, sin exceder el
9. Documentar el
2.4 escenario de presupuesto, y cumpliendo con los
entendimiento de cómo
3.1 amenazas. requisitos y estándares de calidad
el proceso actual
3.2 -Considerar los AG10: Calidad de la información
aborda las prácticas de
3.3 requisitos de sobre gestión de I&T
gestión seleccionadas
3.4 cumplimiento. AG11: Cumplimiento de I&T con las
anteriormente
3.5 -Considerar el rol de políticas internas
3.6 TI. AG13: Conocimiento, experiencia e
3.7 -Considerar el modelo iniciativas para la innovación
de abastecimiento de empresarial
proveedores. Perfil de riesgo:
-Considerar los Riesgo muy Alto:
métodos de -Gestión del ciclo de vida de los
implementación de programas y proyectos
TI. -Coste y control de TI
-Considerar la -Comportamiento, habilidades y
estrategia de conocimiento de TI
adopción de -Arquitectura de la empresa/TI
tecnología. -Incidentes de infraestructura
-Considerar el tamaño operativa de TI
de la empresa. -Acciones no autorizadas
-Incidentes de hardware
-Fallos de Software
-Ataques lógicos (hacking, malware,
etc.)
-Gestión de datos e información
Riesgo Alto:
-Toma de decisiones sobre
inversiones en TI, definición y
mantenimiento del portafolio
-Adopción de software/problemas de
uso
154

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
-Incidentes de terceros/proveedores
- Incumplimiento
-Problemas geopolíticos
-Acción industrial
-Actos de la naturaleza
- Medio ambiente
Riesgo Normal:
- Innovación basada en la
tecnología
- Problemas actuales
relacionados
con I&T.
1. Incidentes significativos
relacionados con TI, como pérdida
de datos, violaciones de seguridad,
fallo del proyecto y errores de la
aplicación, relacionados con TI.
2. Problemas de ejecución del
servicio por parte de los
subcontratistas de TI.
3. Incumplimiento de los
requerimientos regulatorios o
contractuales relacionados con TI.
4. Hallazgos de auditoría regulares
u otros informes de evaluación
sobre un pobre desempeño de TI o
notificación de problemas de calidad
y servicio de TI.
5. Gasto sustancial oculto y
fraudulento en TI, es decir, gasto en
TI por departamentos de usuarios
fuera del control de los mecanismos
de decisión de inversión en IT
normales y los presupuestos
aprobados.
6. Recursos de TI insuficientes,
personal con habilidades
inadecuadas o personal
agotado/insatisfecho.
7. Alto coste de protección de TI
8. Problemas regulares con la
calidad de los datos y la integración
de datos de distintas fuentes
9. Los departamentos comerciales
implementan sus propias soluciones
de información con poca o ninguna
implicación por parte del
departamento de TI de la empresa
- Escenario de amenazas
-Rol de TI
El Rol de TI estratégico es el más
representativo para la DTIC con
28,7%, es decir las TI son críticas
para el funcionamiento e innovación
de los procesos y servicios de la
institución
155

Tareas de mejora Información de la Institución


Fase Pasos del Diseño
continua (CI) DTIC
- Abastecimiento de
proveedores para TI
Dentro de la DTIC es superior el
modelo de abastecimiento de
proveedores para TI, el personal
interno, con un valor de 79%.
- Implementación de TI
Para la asignación de métodos de
implementación de TI para el DTIC,
el más significativo es DevOps con
un valor de 37.76%
-Resolver conflictos Nivel de capacidad actual:
de prioridades Nivel 2:
10. Analizar el nivel de 4.1
inherentes. -DSS02
capacidad actual. 4.2
-Finalizar el diseño del -DSS05
sistema de gobierno. -MEA03
-MEA04
Nivel 1:
-EDM01
-APO01
-APO13
-BAI03
-BAI07
-Resolver conflictos Nivel 0:
11. Definir la valoración de prioridades -EDM03
4.1
de capacidad del inherentes. -APO03
4.2
proceso actual. -Finalizar el diseño del -APO11
sistema de gobierno. -APO12
-APO14
-BAI02
-BAI06
-BAI10
-DSS03
-DSS06
-MEA02
-Resolver conflictos Priorización de objetivos de
de prioridades gobierno/gestión para la DTIC
1. Definir objetivos de 4.1
inherentes. •EDM01
mejora: 4.2
-Finalizar el diseño del •EDM03
sistema de gobierno. •APO01
•APO03
•APO11
•APO12
•APO13
¿Dónde •APO14
queremos •BAI02
Fase 3
estar? -Resolver conflictos •BAI03
(Tareas CI) de prioridades •BAI06
4.1
2. Analizar brechas: inherentes. •BAI07
4.2
-Finalizar el diseño del •BAI10
sistema de gobierno. •DSS02
•DSS03
•DSS05
•DSS06
•MEA02
•MEA03
•MEA04
156

Determinación de brechas para los objetivos de gobierno/gestión de la DTIC

Una vez finalizados los factores de diseño del paso 4, que se relacionan con la

fase 3 del modelo de implementación; se puede constatar que dentro de la fase 3 se

consideran como parte de las tareas de mejora continua (CI), el análisis de brechas.

Con base en la valoración de los niveles actuales de capacidad, se debe determinar un

nivel de capacidad objetivo que sea adecuado para cada proceso y así identificar las

brechas existentes para cada uno de los objetivos de gobierno/gestión evaluados para

la DTIC, es decir se define si la diferencia entre el nivel de capacidad objetivo, con

respecto a la capacidad actual, es mínima, moderada o significativa.

Se realiza la evaluación en cuanto a los valores indicados en la sección 3.4.6

(capacidad actual) y se determina un nivel de capacidad objetivo adecuado para cada

proceso (NCO).

Se considera el valor 4 para el nivel de capacidad objetivo (NCO), nivel que sin

ser el óptimo deseado, permite cubrir los requerimientos principales de la institución

(Tabla 47).

Tabla 47

Análisis de brechas en los procesos de la DTIC

Nivel de Nivel de
Definición de
Objetivos de Gobierno y Gestión Capacidad Capacidad
Brechas
COBIT 2019 Actual Objetivo
(NCO – NCA)
(NCA) (NCO)
Garantizar el
3
establecimiento y el
EDM01 1 4 Brecha
mantenimiento del significativa
marco de gobierno
4
Asegurar la optimización
EDM03 0 4 Brecha
del riesgo significativa
3
Gestionar el marco de
APO01 1 4 Brecha
gestión de TI significativa
4
Gestionar la arquitectura
APO03 0 4 Brecha
de la empresa significativa
157

Nivel de Nivel de
Definición de
Objetivos de Gobierno y Gestión Capacidad Capacidad
Brechas
COBIT 2019 Actual Objetivo
(NCO – NCA)
(NCA) (NCO)
4
APO11 Gestionar la calidad 0 4 Brecha
significativa
4
APO12 Gestionar el riesgo 0 4 Brecha
significativa
3
APO13 Gestionar la seguridad 1 4 Brecha
significativa
4
APO14 Gestionar los datos 0 4 Brecha
significativa
4
Gestionar la definición
BAI02 0 4 Brecha
de requisitos significativa
Gestionar la
3
identificación y
BAI03 1 4 Brecha
construcción de significativa
soluciones
4
Gestionar los cambios
BAI06 0 4 Brecha
de TI significativa
Gestionar la aceptación 3
BAI07 y la transición de los 1 4 Brecha
cambios de TI significativa
4
Gestionar la
BAI10 0 4 Brecha
configuración significativa
Gestionar las peticiones
2
DSS02 y los incidentes del 2 4 Brecha moderada
servicio
4
DSS03 Gestionar los problemas 0 4 Brecha
significativa
Gestionar los servicios 2
DSS05 2 4 Brecha moderada
de seguridad
4
Gestionar los controles
DSS06 0 4 Brecha
de procesos de negocio significativa
4
Gestionar el sistema de
MEA02 0 4 Brecha
control interno significativa
Gestionar el
2
MEA03 cumplimiento de los 2 4 Brecha moderada
requerimientos externos
Gestionar el 2
MEA04 2 4 Brecha moderada
aseguramiento
158

Definición de planes de acción para cubrir las brechas identificadas

En esta sección se considera la siguiente fase del mapa de ruta de

implementación del sistema de gobierno definido por COBIT 2019, la fase 4, que tiene

como objetivo traducir las oportunidades de mejora en proyectos viables y justificables,

es decir, una vez que se han identificado todas las posibles iniciativas de mejora, se

priorizan en proyectos formales y justificables mediante el diseño de planes de

respuesta; tomando en cuenta los puntos expuestos en la apartado anterior 3.5.3, los

planes en mención se muestran en la Tabla 48.

Tabla 48

Análisis de brechas en los procesos de la DTIC

Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
Garantizar el
establecimiento
y el 3
EDM01 La DTIC deberá restructurar un plan
mantenimiento Brecha significativa
del marco de estratégico de TI y establecer el modelo
gobierno de gobierno de TI
Asegurar la
4
EDM03 optimización del
Brecha significativa
riesgo
Gestionar el La DTIC deberá reformar un plan
3
APO01 marco de
Brecha significativa
estratégico de TI y establecer el modelo
gestión de TI de gobierno de TI
Gestionar la La DTIC deberá definir el modelo de
4
APO03 arquitectura de
Brecha significativa
Gobierno de TI y desarrollar un modelo
la empresa de arquitectura empresarial
La DTIC deberá aplicar una
metodología de calidad para el ciclo de
Gestionar la 4
APO11
calidad Brecha significativa
vida de desarrollo de software y,
además difundir el enfoque de
administración de proyectos
La DTIC debe aplicar un esquema de
Gestionar el 4 Gestión de Riesgos de TI, que permita
APO12
riesgo Brecha significativa la identificación, evaluación de riesgos
de TI y aplicación de controles
La DTIC deberá restructurar, reforzar y
Gestionar la 3
APO13
seguridad Brecha significativa
monitorizar el sistema de gestión de
seguridad de la información
159

Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
La DTIC deberá definir y mantener una
Gestionar los 4
APO14
datos Brecha significativa
gestión eficaz durante todo el ciclo de
vida de los datos.
La DTIC deberá difundir el enfoque de
Gestionar la
4 administración de proyectos, así como
BAI02 definición de
Brecha significativa definir y restructurar políticas y
requisitos
procedimientos de TI.
La DTIC deberá establecer y mantener
soluciones de TI identificadas en su
Gestionar la totalidad, en línea con los
identificación y 3
BAI03
construcción de Brecha significativa
requerimientos de la institución que
soluciones incluya el diseño, desarrollo,
adquisición/subcontratación y la
asociación con proveedores.
La DTIC debe contar con un proceso
estructurado de control de cambios de
TI, en el que se consideren
Gestionar los 4 procedimientos y políticas para realizar
BAI06
cambios de TI Brecha significativa cambios de TI, mediante planes de
implantación, evaluación de impacto,
riesgos, autorizaciones y planes de roll
back.
La DTIC deberá restructurar el proceso
Gestionar la de puesta y paso a producción de
aceptación y la 3 nuevos o modificados servicios de TI,
BAI07
transición de los Brecha significativa con base a una metodología, así como
cambios de TI reformar y cumplir con las políticas y
procedimientos de TI.
La DTIC deberá definir un proceso para
la gestión de la configuración de TI, así
Gestionar la 4 como considerar la implementación de
BAI10
configuración Brecha significativa una herramienta que permita
automatizar tareas relacionadas con las
configuraciones de TI
Gestionar las La DTIC deberá estandarizar los
peticiones y los 2 canales para la atención de
DSS02
incidentes del Brecha moderada requerimientos de TI, además definir y
servicio aplicar SLA´s y OLA´s.
La DTIC debe contemplar la aplicación
de un sistema integrado de gestión de
problemas, que incluya procesos
Gestionar los 4
DSS03
problemas Brecha significativa
estándares de identificación y
clasificación de problemas y la causa
raíz, considerando el cumplimiento de
SLA´s y OLA´s
-La DTIC deberá restructurar la política
de seguridad que incluya los servicios a
Gestionar los
2 todo nivel, ya que en la actualidad
DSS05 servicios de
Brecha moderada solamente se cubren los servicios de
seguridad
internet, correo electrónico y la
adquisición y desarrollo de aplicativos.
160

Definición de
Objetivos de Gobierno y
Brechas Planes de Acción
Gestión COBIT 2019
(NCO – NCA)
-Se debe considerar medidas de
concientización con respecto a temas
de seguridad de la información
-Se debe definir roles y privilegios de
acceso de seguridad de la información
-Se deberá definir los servicios de
proveedores con base a requerimientos
específicos de seguridad de la
información.
-La DTIC debe contar con procesos que
permitan aplicar controles, para
asegurar que la información relacionada
Gestionar los con el negocio cumpla con los requisitos
controles de 4
DSS06
procesos de Brecha significativa
de control de la información y pueda ser
negocio auditable.
-Considerar la alternativa de
implementar herramientas
automatizadas de TI.
La DTIC deberá considerar la opción de
contar con un sistema de control interno
Gestionar el
4 que permita la administración y gestión
MEA02 sistema de
Brecha significativa del control de TI de manera regular,
control interno
incluyendo la definición de roles y
responsabilidades.
Gestionar el La DTIC debe estandarizar los
cumplimiento de
2 procedimientos que permiten identificar
MEA03 los
Brecha moderada y atender los requerimientos externos,
requerimientos
externos así como regulatorios y legales.
La DTIC deberá estandarizar la gestión
del aseguramiento que se realiza en la
Gestionar el 2
MEA04
aseguramiento Brecha moderada
institución, en cuanto a la planificación,
delimitación y ejecución de iniciativas de
aseguramiento.
161

Implementación de procesos en la DTIC

De acuerdo con el alcance establecido por la DTIC sobre la urgencia de

implementación, de la hoja de secuencia indicada en la sección 3.4.5, se requiere

implementar los siguientes procesos en la institución:

1. APO11: Gestionar la calidad

• Dominio: Alinear, Planificar y Organizar (APO)

• Objetivo de Gestión

2. DSS05: Gestionar los servicios de seguridad

• Dominio: Entregar, Dar Servicio y Soporte (DSS)

Descripción de los objetivos de gobierno/gestión

Los objetivos que se requiere implementar en la DTIC APO11 y DSS05

pertenecen a la Gestión de TI; a continuación, se realiza una descripción de cada uno,

se incluye las métricas recomendadas por COBIT 2019 que se ajustan con el contexto

de la institución y la matriz de responsabilidades RACI.

Gestionar la calidad. APO11

Descripción:

Definir y comunicar los requisitos de calidad en todos los procesos,

procedimientos y resultados empresariales relacionados. Habilitar los controles,

monitorización continua y uso de prácticas y estándares probados en esfuerzos de

mejora y eficiencia continuos. (ISACA, Marco de referencia COBIT 2019: Objetivos de

Gobierno y Gestión, 2018)

Propósito

Asegurar la prestación consistente de soluciones y servicios tecnológicos para

satisfacer los requisitos de calidad de la empresa y las necesidades de las partes


162

interesadas. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018).

Metas empresariales/alineamiento y métricas

APO11 respalda la consecución de una serie de metas empresariales y de

alineamiento primarias tal cual se describe en la Tabla 49. Por otra parte, de las

métricas propuestas por COBIT 2019, se seleccionan métricas y se define una fórmula

de cálculo para el indicador que medirá el proceso (Tabla 50).

Tabla 49

Metas empresariales y de alineamiento de APO11

METAS EMPRESARIALES/ALINEAMIENTO
APO11: GESTIONAR LA CALIDAD
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Descripción Ref. Descripción
Ejecución de programas dentro
del plazo, sin exceder el
Portafolio de productos y servicios
EG01 AG09 presupuesto, y que cumplan
competitivos
con los requisitos y estándares
de calidad
EG04 Calidad de la información financiera

Calidad de la información sobre


EG07
gestión
Calidad de la información sobre
AG10
Optimización de la funcionalidad de gestión de I&T
EG08
procesos internos del negocio

Gestión de programas de
EG12
transformación digital
163

Tabla 50

Métricas del APO11 para la DTIC

MÉTRICAS
APO11: GESTIONAR LA CALIDAD
MÉTRICAS PARA METAS EMPRESARIAL MÉTRICAS PARA METAS DE ALINEAMIENTO
Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
Porcentaje de
Número de
productos y servicios 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 programas/proyect 𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠
que cumplen o 𝑞𝑢𝑒 𝑒𝑥𝑐𝑒𝑑𝑒𝑛 𝑖𝑛𝑔𝑟𝑒𝑠𝑜𝑠
𝑋= os ejecutados a 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎
exceden los objetivos 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜
𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
tiempo y dentro del 𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙
de ingresos y/o cuota
presupuesto 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜
de mercado
Número de
Porcentaje de
𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 programas que
productos y servicios
𝑜𝑓𝑒𝑟𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 necesitan una
que cumplen o 𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠
𝑐𝑖𝑒𝑛𝑡𝑒𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠 revisión
exceden los objetivos 𝑋= 𝑐𝑜𝑛 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎d
EG01 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 AG09 significativa
de satisfacción del 𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 debido a defectos
cliente
de calidad
Porcentaje de 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦
productos y servicios 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠
𝑞𝑢𝑒 𝑔𝑒𝑛𝑒𝑟𝑎 𝑣𝑒𝑛𝑡𝑎𝑗𝑎 Porcentaje de
que proporcionan 𝑐𝑜𝑚𝑝𝑒𝑡𝑖𝑡𝑖𝑣𝑎 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
𝑋= *100 partes interesadas
una ventaja 𝑇𝑜𝑡𝑎𝑙 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 satisfechas con la
competitiva 𝑋= 𝑐𝑜𝑛 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
calidad del 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒
Plazo de
programa/ 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠
comercialización para
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑑𝑖𝑎𝑠 𝑑𝑒 𝑒𝑛𝑡𝑟𝑒𝑔𝑎 proyecto
nuevos productos y
servicios
Encuesta de
satisfacción de las Mediante la aplicación de
Nivel de
partes interesadas cuestionarios es posible
satisfacción del
clave con respecto al consultarlo directamente
𝑁𝑜. 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 usuario con la
nivel de con el usuario, y con base
𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠 calidad,
transparencia, 𝑋= a los resultados obtenidos
𝑇𝑜𝑡𝑎𝑙 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 puntualidad y
comprensión y se puede aplicar la
𝑒𝑛𝑐𝑢𝑒𝑠𝑡𝑎𝑑𝑜𝑠 disponibilidad de la
precisión de la siguiente formula:
EG04 información de
información
gestión
financiera de la 𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
relacionada con
empresa 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
I&T,
Coste de −
𝑋 = 𝐶𝑜𝑠𝑡𝑜 𝑑𝑒 tras considerar los % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
incumplimiento con AG10
𝑖𝑛𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑟𝑒𝑠𝑝𝑒𝑐𝑡𝑜 𝑎 recursos 𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
respecto a 𝑟𝑒𝑔𝑢𝑙𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑓𝑖𝑛𝑎𝑛𝑐𝑖𝑒𝑟𝑎𝑠 disponibles (Zone, 2019)
regulaciones
financieras
Grado de satisfacción
Relación y
del consejo de 𝑁𝑜. 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠 extensión de las
administración y la 𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎𝑑𝑜𝑠 𝑝𝑎𝑟𝑎 decisiones de 𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠
dirección ejecutiva
𝑋 = 𝑙𝑎 𝑡𝑜𝑚𝑎 𝑑𝑒 𝑑𝑒𝑠𝑖𝑐𝑖𝑜𝑛𝑒𝑠 negocio erróneas 𝑒𝑠𝑡𝑟𝑎𝑡𝑒𝑔𝑖𝑐𝑎𝑠
con la información 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠
EG07 𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠 en las que la 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
para la toma de 𝑋=
información 𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑑𝑒 𝑇𝐼
decisiones 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠
errónea o no
𝑁𝑜. 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑐𝑎𝑢𝑠𝑎𝑑𝑜𝑠
Número de disponible
𝑝𝑜𝑟 𝑑𝑒𝑐𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑒𝑟𝑟ó𝑛𝑒𝑎𝑠
incidentes causados 𝑋= relacionada con
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
164

por decisiones I&T fue un factor


erróneas de clave
negocio basadas en
información
imprecisa
Tiempo que se tarda
en proporcionar la 𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑠𝑜𝑙𝑖𝑐𝑖𝑡𝑢𝑑
información que 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
respalde la toma de −
decisiones 𝑇𝑖𝑒𝑚𝑝𝑜 𝑒𝑛𝑡𝑟𝑒𝑔𝑎
empresariales 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
eficaces
𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑑𝑒
Periodicidad de la
𝑝𝑒𝑟𝑖𝑜𝑐𝑖𝑑𝑎𝑑 𝑑𝑒
información sobre
𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑠𝑜𝑏𝑟𝑒 𝑔𝑒𝑠𝑡𝑖ó𝑛
gestión
Niveles de
satisfacción del
consejo de
administración y Mediante la aplicación de
la dirección ejecutiva cuestionarios es posible
con las capacidades consultarlo directamente con
del proceso el usuario, y con base a los
empresarial resultados obtenidos se
Niveles de puede aplicar la siguiente
EG08 satisfacción de los formula:
clientes con las
capacidades de 𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
prestación de

servicios % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛
Niveles de 𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛
satisfacción de los (Zone, 2019)
proveedores con las
𝐼𝑛𝑓𝑜𝑟𝑚𝑒𝑠 𝑐𝑜𝑛
capacidades de la Porcentaje de 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
cadena de suministro información que
𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎
Número de satisface los 𝑋=
programas 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠
𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 criterios de calidad
ejecutados a tiempo 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎 𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑔𝑒𝑛𝑒𝑟𝑎𝑑𝑜𝑠
y dentro del 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜
presupuesto
𝑁𝑜. 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
Porcentaje de partes
𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠
interesadas
𝑐𝑜𝑛 𝑙𝑎 𝑒𝑗𝑒𝑐𝑢𝑐𝑖ó𝑛
satisfechas con la 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑚𝑎
ejecución del 𝑋=
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒
programa 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠
𝑁𝑜.𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒
EG12 Porcentaje de 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙
programas de 𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑟𝑒𝑡𝑒𝑛𝑖𝑑𝑜𝑠
𝑋= 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 ∗ 100
transformación del
𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
negocio detenidos 𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜
𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒
Porcentaje de 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙
programas de 𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑐𝑜𝑛
transformación del 𝑎𝑐𝑡𝑢𝑎𝑙𝑖𝑧𝑎𝑐𝑖𝑜𝑛𝑒𝑠
negocio con 𝑑𝑒 𝑒𝑠𝑡𝑎𝑑𝑜
actualizaciones del 𝑛𝑜𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠
𝑋= ∗ 100
estado notificadas 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠
regularmente 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛
𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜
165

Procesos

APO11.01 Establecer un sistema de gestión de calidad (SGC)

Descripción: Establecer y mantener un sistema de gestión de calidad (SGC)

que proporciona un enfoque estándar, formal y continuo para la gestión de calidad de la

información. El SGC debería habilitar la tecnología y los procesos del negocio que están

alineados con los requisitos del negocio y la gestión de la calidad empresarial. (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Porcentaje de la eficacia de las revisiones de gestión de la calidad

𝑁𝑜. 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎𝑚𝑒𝑛𝑡𝑒


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠

o Porcentaje de satisfacción de partes interesadas clave con el programa

de revisión de gestión de la calidad

𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑎𝑐𝑒𝑝𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 é𝑥𝑖𝑡𝑜


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎

Actividades: El conjunto de actividades que describen el proceso para

Establecer un sistema de gestión de calidad (SGC), COBIT propone las siguientes

actividades detalladas en la Tabla 51, las mismas que se deberán ejecutar en la DTIC,

las cuales se incluyen como parte de la definición del proceso.


166

Tabla 51

Actividades proceso APO11.01

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Asegurar que el marco de control de
La DTIC deberá ajustar todos
I&T y los procesos empresariales y
sus procesos, proyectos y
de TI, incluyen una estrategia
programas al estándar de
estándar, formal y continua con
aseguramiento de la calidad
A1. respecto a la gestión de la calidad
definido en este proyecto, con
que está alineada con los requisitos
lo cual se pueda cumplir con
de la empresa. Dentro del marco de
los acuerdos propuestos,
control de I&T y los procesos
tanto para quien los elabora
empresariales y de TI, identificar los
como para quien los recibe.
requisitos y criterios de calidad
La DTIC deberá analizar los
diferentes roles planteados en
Definir roles, tareas y derechos de 3
el proyecto, en función de las
decisión y responsabilidades para la
A2. distintas actividades que se
gestión de la calidad en la estructura
plantean en el proceso de
organizativa.
calidad y adaptarlos a los
roles actualmente definidos.
La DTIC deberá implementar
Obtener insumos de la dirección y un plan donde se defina los
las partes interesadas externas e parámetros de aceptación
A3.
internas sobre la definición de los para la entrega y recepción de
requisitos de calidad y los criterios insumos, para el cumplimiento
de gestión de la calidad. de los diversos proyectos y
servicios.
La DTIC deberá implementar
Gestionar y revisar regularmente el parámetros de aceptación
SGC frente a los criterios de donde se pueda identificar
A4.
aceptación acordados. Incluir 4 que se cumpla y se puedan
retroalimentación de los clientes, satisfacer las necesidades de
usuarios y dirección los clientes, en cuanto a los
entregables proporcionados.
La DTIC deberá establecer un
plan con una periodicidad
adecuada, que permita
Responder a las discrepancias de analizar los procesos,
A5. los resultados de la revisión para 5 programas y proyectos
mejorar continuamente el SGC implementados para realizar
los respectivos ajustes que
permitan mejorar
continuamente.
167

APO11.02: Enfocar la gestión de la calidad en los clientes

Descripción: Enfocar la gestión de la calidad en los clientes para determinar

sus requisitos y asegurar su integración en las prácticas de gestión de la calidad.

(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Porcentaje de satisfacción del cliente

𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑒𝑟𝑜𝑛


𝑙𝑎𝑠 𝑒𝑥𝑝𝑒𝑐𝑡𝑎𝑡𝑖𝑣𝑎𝑠 𝑑𝑒𝑙 𝑐𝑙𝑖𝑒𝑛𝑡𝑒
𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠

o Porcentaje de requisitos y expectativas del cliente comunicadas a la

empresa y la organización de TI

𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑑𝑜𝑠 𝑎 𝑙𝑎 𝑒𝑚𝑝𝑟𝑒𝑠𝑎 𝑦 𝑎 𝑇𝐼


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠

Actividades: El conjunto de actividades que describen el proceso para Enfocar

la gestión de la calidad en los clientes, COBIT propone las siguientes actividades

detalladas en la Tabla 52, las mismas que se deberán ejecutar en la DTIC, las cuales se

incluyen como parte de la definición del proceso.


168

Tabla 52

Actividades proceso APO11.02

Nivel de
Ref. Actividad Capacida Actividades en la DTIC
d
Enfocar la gestión de la calidad en los
La DTIC deberá ajustar todos
clientes para determinar los
sus procesos, proyectos y
requisitos del cliente interno y externo
programas al estándar de
y asegurar el alineamiento de los
aseguramiento de la calidad
A1. estándares y las prácticas de I&T.
definido en este proyecto,
Definir y comunicar los roles y
con lo cual se pueda cumplir
responsabilidades relacionados con
con los acuerdos propuestos,
la resolución de conflictos entre el
tanto para quien los elabora
usuario/cliente y la organización de
como para quien los recibe.
TI.
Gestionar las necesidades y La DTIC deberá analizar los
expectativas empresariales para criterios de aceptación de
cada proceso de negocio y servicio 3 cada uno de los procesos y
A2.
operativo y nuevas soluciones de TI. proyectos planteados,
Mantener sus criterios de aceptación indicando el cumplimiento de
de calidad. estos.
La DTIC deberá plantear un
formato de cumplimiento de
acuerdo a cada
Comunicar los requisitos y requerimiento o proyecto
A3.
expectativas del cliente al negocio y realizado, el cual le permita
la organización de TI respaldar las entregas a
tiempo y el cumplimiento de
todos los requerimientos
entregados.
Obtener las opiniones de clientes de
forma periódica sobre los procesos
de negocio y la prestación de La DTIC deberá realizar
servicios y entrega de soluciones de reuniones periódicas, las
A4.
TI. Determinar el impacto de los cuales les permita mejorar
estándares y prácticas de I&T y los niveles de satisfacción de
garantizar que se satisfagan y los clientes.
pongan en práctica las expectativas 4
del cliente.
La DTIC deberá compartir
con la organización los
Capturar los criterios de aceptación
niveles SLA acordados con
A5. de calidad para su inclusión en los
los responsables de cada
SLA.
proceso y servicio ofertado
por la DTIC.
169

APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e

integrar la gestión de la calidad en los procesos y soluciones clave.

Descripción: Identificar y mantener los requisitos, estándares, procedimientos y

prácticas para los procesos clave con el fin de guiar a la empresa hacia el logro de los

estándares de gestión de la calidad (SGC) acordados. Esta actividad debería alinearse

con los requisitos del marco de control de I&T. Considerar la certificación de procesos

clave, unidades organizativas, productos o servicios. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Porcentaje del número de procesos con requisitos de calidad definidos.

𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑟𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑 𝑑𝑒𝑓𝑖𝑛𝑖𝑑𝑜𝑠


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠

o Porcentaje del número de defectos descubiertos antes del paso a

producción

𝑁𝑜. 𝑑𝑒 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑜𝑠


𝑿= ∗ 100%
𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠

o Porcentaje del número de servicios con un plan formal de gestión de la

calidad

𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑝𝑙𝑎𝑛 𝑓𝑜𝑟𝑚𝑎𝑙


𝑑𝑒 𝑔𝑒𝑠𝑡𝑖𝑜𝑛 𝑑𝑒 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑
𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

o Porcentaje del número de SLAs que incluyen criterios de aceptación de

la calidad

𝑁𝑜. 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑑𝑒 𝑎𝑐𝑒𝑝𝑡𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑎𝑝𝑙𝑖𝑐𝑑𝑜𝑠
170

Actividades: El conjunto de actividades que describen el proceso para

Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de

la calidad en los procesos y soluciones clave, COBIT propone las siguientes actividades

detalladas en la Tabla 53, las mismas que se deberán ejecutar en la DTIC, las cuales se

incluyen como parte de la definición del proceso.

Tabla 53

Actividades proceso APO11.03

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá ajustar todos sus
Definir los estándares, prácticas y procesos, proyectos y programas
procedimientos de gestión de la al estándar de aseguramiento de la
A1. calidad en línea con los requisitos del calidad definido en este proyecto,
2
marco de control de I&T y los criterios con lo cual se pueda cumplir con
y políticas de gestión de la calidad los acuerdos propuestos tanto para
empresariales. quien los elabora como para quien
los recibe.
Integrar las prácticas de gestión de la
La DTIC deberá ajustar sus
calidad requeridas en procesos y
A2. procesos y soluciones a medida
soluciones clave en toda la
que las mismas, puedan generar
organización.
mayor valor agregado a la
A3. Cuantificar los beneficios y costes de
3 organización.
las certificaciones de calidad
La DTIC deberá implementar el
A4. Comunicar de forma eficaz el proceso de calidad, mismo que
enfoque de gestión de la calidad deberá ser difundido en un plan de
capacitación para la organización.
Registrar y monitorizar los datos de
calidad. Usar buenas prácticas de la
A5. industria como referencia a la hora de
mejorar y personalizar las prácticas La DTIC deberá implementar un
de calidad de la empresa proceso que permita ejecutar el
4
Revisar regularmente la relevancia, monitoreo constante de los
eficiencia y eficacia continua de los procesos implementados
A6. procesos específicos de gestión de
calidad. Monitorizar el logro de los
objetivos de calidad.
171

APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad.

Descripción: Monitorizar la calidad de los procesos y los servicios de forma

continua, en línea con los estándares de gestión de la calidad. Definir, planificar e

implementar medidas para monitorizar la satisfacción del cliente con la calidad, así

como con el valor proporcionado por el sistema de gestión de la calidad (SGC). El

Dueño del proceso debería utilizar la información recopilada para mejorar la calidad.

(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Porcentaje de soluciones y servicios entregados con certificación formal.

𝑁𝑜. 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛 𝑓𝑜𝑟𝑚𝑎𝑙


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

o Calificación promedio de satisfacción de las partes interesadas con las

soluciones y los servicios. Siendo i las calificaciones obtenidas y n el

número de calificaciones, se tiene:

∑𝑛𝑖=1 𝑋𝑖
𝑿= 𝑛

o Porcentaje del número de procesos con un reporte formal de evaluación

de la calidad

𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑟𝑒𝑝𝑜𝑟𝑡𝑒 𝑓𝑜𝑟𝑚𝑎𝑙


𝑿= 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑 ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠

o Porcentaje de proyectos revisados que cumplen con las metas y los

objetivos de calidad esperados

𝑁𝑜 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑒𝑛 𝑐𝑜𝑛 𝑚𝑒𝑡𝑎𝑠 𝑦 𝑜𝑏𝑗𝑒𝑡𝑖𝑣𝑜𝑠


𝑿= 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑 ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠
172

o Número, robustez y plazo de los análisis de riesgo.

𝑁𝑜. 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑜


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑝𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑜

𝑁𝑜. 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑒𝑙𝑖𝑚𝑖𝑛𝑎𝑑𝑜𝑠/𝑚𝑖𝑡𝑖𝑔𝑎𝑑𝑜𝑠


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠

𝑿 = 𝑃𝑙𝑎𝑧𝑜 𝑑𝑒 𝑡𝑖𝑒𝑚𝑝𝑜 𝑝𝑎𝑟𝑎 𝑒𝑙 𝑎𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜

Actividades: El conjunto de actividades que describen el proceso para Llevar a

cabo la monitorización, control y revisiones de calidad, COBIT propone las siguientes

actividades detalladas en la Tabla 54, las mismas que se deberán ejecutar en la DTIC,

las cuales se incluyen como parte de la definición del proceso.

Tabla 54

Actividades proceso APO11.04

Ref Nivel de
Actividad Actividades en la DTIC
. Capacidad
La DTIC deberá difundir su proceso de
Preparar y realizar las revisiones de
A1. calidad e implementarlo en los
calidad para procesos y soluciones 3
diversos servicios y productos que
organizativas clave.
agreguen valor a la organización.
Para estos procesos y soluciones
La DTIC deberá implementar
organizativas clave, monitorizar las
indicadores de gestión, los cuales se
A2. métricas de calidad basadas en
encuentran alineados a los objetivos
metas alineadas con los objetivos
estratégicos.
generales en cuanto a calidad.
Asegurar que la dirección y los 4
responsables de los procesos La DTIC deberá elaborar reportes de
A3. revisen regularmente el rendimiento gestión, que permitan validar la
de la gestión de la calidad en implementación adecuada de los
comparación con las métricas de procesos.
calidad definidas
La DTIC deberá analizar los resultados
Analizar los resultados generales
A4. y elaborar planes de mejora, que
del rendimiento de gestión de la
permitan elevar el rendimiento de cada
calidad
uno de los procesos implementados.
La DTIC deberá generar reportes de
Informar sobre los resultados de
gestión, que permitan a los mandos
revisión de rendimiento y gestión de
A5. la calidad e iniciar las mejoras
5 superiores estar al tanto de los
resultados obtenidos de cada
necesarias
implementación realizada.
173

APO11.05 Mantener la mejora continua.

Descripción: Mantener y comunicar periódicamente un plan de calidad general

que promueva la mejora continua. El plan debería definir la necesidad y los beneficios

de la mejora continua. Obtener y analizar datos sobre el sistema de gestión de la

calidad (SGC) y mejorar su efectividad. Corregir las no conformidades para evitar la

recurrencia. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de análisis de causa raíz completados.

𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑠𝑢𝑒𝑙𝑡𝑜𝑠


𝑿= ∗ 100%
𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

o Porcentaje de servicios y productos completados dentro del plazo.

𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎𝑑𝑜𝑠 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑙𝑎𝑧𝑜


𝑿= ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠

Actividades: El conjunto de actividades que describen el proceso para

Mantener la mejora continua, COBIT propone las siguientes actividades detalladas en la

Tabla 55, las mismas que se deberán ejecutar en la DTIC, las cuales se incluyen como

parte de la definición del proceso.


174

Tabla 55

Actividades proceso APO11.05

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá elaborar
Establecer una plataforma para
tableros de BI que
compartir buenas prácticas y captar
A1. permitan la gestión y la
información sobre los defectos y 2
toma de decisiones de
errores para permitir el aprendizaje a
cada uno de los
partir de ellos
proyectos entregados.
Identificar ejemplos de procesos de
entrega de calidad excelente que La DTIC deberá elaborar
puedan beneficiar a otros servicios o planes de mejora de los
A2.
proyectos. Compartirlos con los procesos y servicios
equipos de ejecución de proyectos y implementados
servicios para fomentar la mejora.
La DTIC deberá
Identificar ejemplos recurrentes de implementar matrices,
defectos de calidad. Determinar su que permitan identificar
A3. causa raíz, evaluar su impacto y los diferentes riesgos y
resultado y acordar acciones de problemas, que puedan
3
mejora con los equipos de ejecución afectar a los procesos y
del servicio y/o proyecto. proyectos previamente
implementados.
La DTIC deberá
desarrollar planes de
capacitación, que
Proporcionar a los empleados
A4. permita al personal de la
formación en métodos y herramientas
organización estar
de mejora continua
capacitado para la
implementación de
nuevas mejoras.
La DTIC deberá elaborar
actualizaciones
Hacer un análisis comparativo de los periódicas de los
resultados de benchmarks de calidad procesos, servicios o
con los datos históricos internos, productos entregados a
A5. 4
directrices de la industria, estándares la organización, en los
y datos de tipos de empresas cuales se haya
similares. implementado mejoras y
permita generar valor
agregado a la institución.
175

Estructuras Organizativas

Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:

Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las

responsabilidades de cada actor que participa en cada uno de los procesos descritos.

La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las

columnas los actores; en la intersección de cada fila con cada columna, se asigna la

responsabilidad de cada rol, como se muestra en la Figura 47

Figura 47

Matriz de Responsabilidades

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)
176

Flujos y elementos de comunicación

Este componente de gobierno indica una guía sobre los flujos y elementos de

comunicación relacionados con la práctica de los cinco procesos del objetivo APO11,

incluye entradas, salidas y se incluye origen y destino (Tabla 56).

Tabla 56

Flujos y elementos de comunicación

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
Roles,
APO11.05
responsabilidad
Mantener la mejora continua
es y derechos
DSS06.03
de decisión del
Gestionar roles, responsabilidades,
sistema de
privilegios de acceso y niveles de
gestión de
autoridad.
calidad (SGC)
APO14.04
Definir una estrategia de calidad de los
Establecer Sistema de datos.
un sistema Fuera de
calidad APO14.06
APO11.01 de gestión COBIT Planes de
empresarial Asegurar un enfoque de evaluación de
de calidad gestión de la
la calidad de los datos
(SGC). calidad
BAI01.07
Gestionar la calidad del programa.
BAI11.05
Gestionar la calidad del proyecto.
Resultados de
BAI03.06
las revisiones
Realizar el aseguramiento de calidad
de eficiencia
(QA)
del SGC
APO08.05
Proporcionar aportes para la mejora
continua de los servicios
Requisitos del APO09.03
cliente para la Definir y preparar acuerdos de servicio
gestión de la BAI01.07
calidad Gestionar la calidad del programa
BAI11.06
Requisitos de Gestionar el riesgo del proyecto.
Enfocar la Fuera de calidad del APO08.05
gestión de la COBIT negocio y los Proporcionar aportes para la mejora
APO11.02
calidad en clientes Resultados de continua de los servicios.
los clientes la calidad del APO09.05
servicio, Revisar los acuerdos y los contratos
incluida la de servicio
retroalimentaci BAI05.01
ón de los Establecer el deseo de cambiar.
clientes BAI07.07
Proporcionar soporte oportuno en
producción
177

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A

BAI02.01
Definir y mantener los requisitos
funcionales y técnicos del negocio
Criterios de
BAI02.02
aceptación
Realizar un estudio de factibilidad y
formular soluciones alternativas

TODOS LOS APO


APO01.- Gestionar el marco de
gestión de I&T.
APO02.- Gestionar la estrategia
APO03.- Gestionar la arquitectura
empresarial
APO04.- Gestionar la innovación
APO05.- Gestionar el portafolio
APO06.- Gestionar el presupuesto y
los costes
APO07.- Gestionar los recursos
humanos
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
Gestionar APO13.- Gestionar la seguridad
los APO014.- Gestionar los datos
estándares, BAI02.04 TODOS LOS BAI
prácticas y Obtener la BAI01.- Gestionar los programas
procedimient aprobació Revisión de la Estándares de BAI02.- Gestionar la definición de
os de n de calidad gestión de requisitos
APO11.03 calidad e requisitos aprobada calidad BAI03.- Gestionar la identificación y
integrar la y construcción de soluciones
gestión de la soluciones BAI04.- Gestionar la disponibilidad y
calidad en capacidad
los procesos BAI05.- Gestionar el cambio
y soluciones organizativo
clave BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
178

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
APO08.02
Alinear la estrategia de I&T con las
expectativas empresariales e
identificar oportunidades para que TI
mejore el negocio
APO09.04
Monitorizar y reportar los niveles de
Causas raíz de servicio
los fallos de BAI07.08
entrega de Realizar una revisión post-
calidad implementación
•Certificaciones MEA02.04
de calidad Identificar e informar las deficiencias
Fuera de
disponibles de control
COBIT
• Buenas MEA04.04
prácticas de la Definir el alcance de la iniciativa de
industria aseguramiento.
APO08.05
Proporcionar aportes para la mejora
continua de los servicios.
Resultados de
APO09.04
la
Monitorizar y reportar los niveles de
monitorización
servicio
de la calidad
BAI07.08
Realizar una revisión post
implementación
TODOS LOS APO
APO01.- Gestionar el marco de
gestión de I&T.
APO02.- Gestionar la estrategia
APO03.- Gestionar la arquitectura
empresarial
APO04.- Gestionar la innovación
APO05.- Gestionar el portafolio
• Plan de
BAI03.06 APO06.- Gestionar el presupuesto y
Llevar a aseguramiento Metas y
Realizar el los costes
cabo la de calidad métricas del
asegurami APO07.- Gestionar los recursos
monitorizaci • Resultados, proceso de
APO11.04 ento de humanos
ón, control y excepciones y calidad del
calidad APO08.- Gestionar las relaciones
revisiones correcciones de servicio
(QA) APO09.- Gestionar los acuerdos de
de calidad. la revisión de
servicio
calidad
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
179

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
APO08.05
Proporcionar aportes para la mejora
• Estado de
continua de los servicios.
DSS02.07 incidentes e
APO09.04
Hacer informe de Resultados de
Monitorizar y reportar los niveles de
seguimien tendencias las
servicio.
to al revisiones y
APO09.05
estado y • Estado de auditorías de
Revisar los acuerdos y los contratos
producir cumplimiento calidad
de servicio.
informes de peticiones e
BAI07.08
informe de
Realizar una revisión post-
tendencias
implementación

TODOS LOS APO


APO01.- Gestionar el marco de
gestión de I&T.
Resultados del
APO02.- Gestionar la estrategia
Mantener la benchmark de
APO03.- Gestionar la arquitectura
APO11.05 mejora revisión de
empresarial
continua calidad
APO04.- Gestionar la innovación
APO05.- Gestionar el portafolio
APO06.- Gestionar el presupuesto y
los costes
180

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos
humanos
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento

TODOS LOS APO


APO01.- Gestionar el marco de
gestión de I&T.
Ejemplos de
APO02.- Gestionar la estrategia
buenas
APO03.- Gestionar la arquitectura
prácticas a
empresarial
compartir
APO04.- Gestionar la innovación
APO05.- Gestionar el portafolio
APO06.- Gestionar el presupuesto y
los costes
181

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO07.- Gestionar los recursos
humanos
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
TODOS LOS APO
APO01.- Gestionar el marco de
gestión de I&T.
APO02.- Gestionar la estrategia
Comunicacione
APO03.- Gestionar la arquitectura
s sobre mejora
empresarial
continua y
APO04.- Gestionar la innovación
mejores
APO05.- Gestionar el portafolio
prácticas
APO06.- Gestionar el presupuesto y
los costes
APO07.- Gestionar los recursos
humanos
182

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO08.- Gestionar las relaciones
APO09.- Gestionar los acuerdos de
servicio
APO10.- Gestionar los proveedores
APO11.- Gestionar la calidad
APO12.- Gestionar el riesgo
APO13.- Gestionar la seguridad
APO014.- Gestionar los datos
TODOS LOS BAI
BAI01.- Gestionar los programas
BAI02.- Gestionar la definición de
requisitos
BAI03.- Gestionar la identificación y
construcción de soluciones
BAI04.- Gestionar la disponibilidad y
capacidad
BAI05.- Gestionar el cambio
organizativo
BAI06.- Gestionar los cambios de TI
BAI07.- Gestionar la aceptación y la
transición de los cambios de TI
BAI08.- Gestionar el conocimiento
BAI09.- Gestionar los activos
BAI10.- Gestionar la configuración
BAI11.- Gestionar los proyectos
TODOS LOS DSS
DSS01.- Gestionar las operaciones
DSS02.- Gestionar las peticiones y los
incidentes de servicio
DSS03.- Gestionar los problemas
DSS04.- Gestionar la continuidad
DSS05.- Gestionar los servicios de
seguridad
DSS06.- Gestionar los controles de
procesos de negocio
TODOS LOS MEA
MEA01.- Gestionar la monitorización
del desempeño y la conformidad.
MEA02.- Gestionar el sistema de
control interno
MEA03.- Gestionar el cumplimiento de
los requisitos externos
MEA04.- Gestionar el aseguramiento
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)
183

Personas, habilidades y competencias

COBIT con base al Skills Framework for the Information Age (SFIA®) V6

(versión 6), define los siguientes recursos humanos y habilidades que se requieren para

alcanzar el objetivo de gestión APO11: Gestionar la calidad. (ISACA, Marco de

referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Aseguramiento de calidad (QUAS)

• Gestión de la calidad (QUMG)

• Estándares de calidad (QUST)

Políticas y Procedimientos

Este componente proporciona una guía de políticas y procedimientos relevantes

para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y

una descripción; en el caso del objetivo de gobierno APO11: Gestionar la calidad, se

especifica la política indicada a continuación (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018).

• Política Relevante: Política de gestión de la calidad

• Descripción de la Política Captar la visión de la gestión de los objetivos de calidad

de la empresa, nivel de calidad aceptable y labores de equipos y entidades

específicas para garantizar la calidad.

Cultura, ética y comportamiento

Este componente desea promover una cultura de calidad y mejora continua.

Mantener y comunicar periódicamente la necesidad, y los beneficios, de la calidad y la

mejora continua, en el caso del objetivo de gestión APO11: Gestionar la calidad se


184

tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019: Objetivos de

Gobierno y Gestión, 2018).

• Elementos Culturales Clave:

• SGC

• Servicios de aseguramiento de calidad de terceros.

Servicio, infraestructuras y aplicaciones

Servicio de Aseguramiento de Calidad

Este componente de gobierno proporciona una guía sobre el servicio del

aseguramiento de la calidad a terceros que puede utilizarse para lograr la consecución

de los objetivos de gobierno y gestión, en este caso, del objetivo de gestión APO11:

Gestionar la calidad.

Se procedió con el levantamiento de la información de la DTIC respecto a

Gestión de Calidad, donde se obtuvo como resultado que la institución no cuenta con un

servicio o proceso definido, el cual les permita asegurar la calidad de los

requerimientos, proyectos o que los desarrollos entregados sean de calidad y que

puedan satisfacer las diversas necesidades de los usuarios.

Es por este motivo que se ha propuesto la elaboración de un proceso de calidad

para la DTIC, mismo que se detalla a continuación:

El proceso de QA se basará en el enfoque llamado Test-Driven Requeriments

Engineering (TDRE), donde los requisitos son especificados esencialmente mediante

Pruebas de Aceptación; estas Pruebas de Aceptación que deben ser definidas en

función a las diferentes necesidades, permitirán organizar el trabajo con base a la

metodología de desarrollo, además otorgar a los proyectos de una estructura basada en


185

un grafol, donde las funcionalidades están representadas como nodos y dentro de estas

encontramos las distintas PA (Prueba de Aceptación) que especifican su

correcto/deseado funcionamiento. (Sanchis Milla, 2015)

Características de un PA

Las principales características que se pueden indicar son: (Sanchis Milla, 2015)

• Una PA tiene como propósito demostrar al cliente el cumplimiento de un requisito

del software.

• Describe un escenario, compuesto por una situación del sistema (condición de

ejecución) una secuencia de pasos de uso y el resultado alcanzado, todo ello desde

la perspectiva del usuario.

• Puede estar asociada a requisitos funcionales o no funcionales.

• Un requisito tendrá una o más PA asociadas.

• Las PA cubren desde escenarios típicos/frecuentes hasta los más excepcionales.

En la Figura 48 se muestra el contexto de TDRE usando como marco el Modelo V.

Figura 48

Contexto de TDRE

Nota. (Sanchis Milla, 2015)


186

Con ello se definió el servicio de calidad, el cual se generará en el siguiente

formato estándar propuesto en los servicios previamente realizados:

• Código de servicio

• Versión

• Nivel de Servicio

SERVICIO DE ASEGURAMIENTO DE LA CALIDAD


EN DESARROLLO DE SOFTWARE

I. Diagnóstico Inicial

Al iniciar con levantamiento del servicio de aseguramiento de la calidad se


pudo identificar que no se cuenta con un flujo de calidad definido, o niveles de
servicio determinados; puesto que al realizar una evaluación del estado actual
de la DTIC se vio necesaria la definición como un servicio que permita definir
un estándar en el desarrollo de nuevos procesos, proyectos o servicios.

II. Levantamiento de procesos actuales

DETALLE DEL SERVICIO


Código STI.QA.02
Nombre Gestión de la Calidad
El siguiente servicio permitirá a la DTIC tomar un control de
cada uno de los procesos, servicios u proyectos, definiendo
un formato estándar para el levantamiento de
Descripción requerimientos, en el cual se indique las necesidades y
acuerdos de cada una de las necesidades solicitadas,
garantizando satisfacción de los clientes internos y externos
en la entrega de los mismos.
Estado En Proceso
Versión 1.0
Fecha puesta en
2019
operación
Fecha finalización En Proceso
187

Mayo. Ocampo
Contacto Soporte
mail:[email protected]
Contacto para Ing. Gilma Toaza
modificaciones mail: [email protected]
La Dirección de Tecnologías de la Información y
Propietario
Comunicaciones (DTIC)
Clientes Usuarios unidades militares
INTRODUCCIÓN
El servicio de aseguramiento de calidad permitirá garantizar en cada uno de los
entregables el cumplimiento de todas las necesidades solicitadas, a su vez dicho
servicio permitirá mitigar la cantidad de errores que puedan surgir en su entrega.
ALCANCE
a) Elaboración de requerimiento con todas las
necesidades
b) Se genera un oficio de la solicitud del requerimiento
en el Gestor Documental (Chasqui)
c) DTIC recepta el requerimiento
Inicia con:
d) Se evalúa la factibilidad del desarrollo del
requerimiento
e) Se envía una respuesta al solicitante
f) Se procede con la asignación del requerimiento al
responsable
a) Se realiza pruebas de validación con el usuario
solicitante
Termina con: b) Se realiza acta entrega del requerimiento
c) Se firma el acuerdo de la entrega del requerimiento
d) Cierre de oficio en el sistema Chasqui
OBJETIVO
Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y
proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de
cada uno de los entregables.
SERVICIO CONTIENE

Es aplicable para procesos, servicios o proyectos que se desarrolle por parte de la


DTIC
EXCLUSIONES
Mantenimiento de Hardware o Software
CARACTERISTICAS GENERALES
a) Mayo. Ocampo
Responsables
b) Ing. Gilma Toaza
Clientes a) Usuarios de unidades militares
Servicios a) Todos los servicios
Relacionados b) Todos los procesos
188

c) Todos los proyectos

a) Documento mediante el Gestor Documental


Entradas
(Chasqui), escalado hacia la DTIC.
a) Informe de trabajos realizados
Entregables b) Informe de pruebas de calidad realizadas
c) Entrega del Requerimiento
a) Revisar los requerimientos
b) Analizar la factibilidad del requerimiento
c) Elaborar la una matriz de riesgos
Funciones d) Desarrollar el requerimiento
e) Elaborar Pruebas de Calidad
f) Elaborar documento de entrega del proyecto
g) Documento de firma de aceptación
ESPECIFICACIONES

Restricciones a) Administración de equipos


a) Urgente: 2 hora
Nivel de Servicio b) Medio: 4 horas
c) Bajo: más de 4 horas
Horarios b) El servicio se encuentra activo las 8 horas al día los
5 días de la semana
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Tiempo Respuesta Incidentes: 2 horas
Nivel de servicio Tiempo resolución incidentes: 3 horas
Tiempo escalamiento: 1 hora
Tiempo Respuesta Incidentes: 2 horas
Nivel de soporte Tiempo resolución incidentes: 2 horas
Tiempo escalamiento: 1 hora
ESCALAMIENTO DEL SERVICIO
Nivel 1 [email protected]
Nivel 2 Desarrollo Software : Mayo. Velastegui Andrés
ESPECIFICACIONE
189

III. Niveles de servicio

FÓRMULA DE
OPERATIVO

OPERATIVO

DE MEDIDA
CONDICIÓN
INDICADOR

INDICADOR

ESPERADO

DEMANDA
OBJETIVO

OBJETIVO
PESO DEL

PESO DEL

CÁLCULO
FUENTE

(umbral)
MÍNIMO
VALOR

VALOR
RATIO

RATIO
(#
Tiempo en Requerimient
Tiempo estado sin os atendidos
de atención en el tiempo
atención 40 desde que comprometid
80% 85% Chasqui 5
del % el o / # Total
requerimi requerimie Requerimient
ento nto fue os
reportado Recibidos)*1
00
(#
Tiempo en Requerimient
Tiempo estado sin os resueltos
100 de atención en el tiempo
Desempeño
% Resoluci 40 desde que comprometid
80% 85% Chasqui 5
ón del % el o / # Total
requerimi requerimie Requerimient
ento nto fue os
reportado Recibidos)*1
00
Número
Número de
de desarrollo Número de
45
desarroll 80% 85% s Chasqui desarrollos 10
%
os solicitados revisados
revisados para la
revisión
190

IV. Diagrama del Proceso


191

Gestionar los servicios de seguridad. DSS05

Descripción

Proteger la información de la empresa para mantener el nivel de riesgo de la

seguridad de la información aceptable para la empresa, conforme con la política de

seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la

información. Realizar una monitorización de la seguridad. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Propósito

Minimizar el impacto en el negocio de las vulnerabilidades e incidentes

operativos de seguridad de la información. (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018)

Metas empresariales/alineamiento y métricas

DSS05 respalda la consecución de las metas empresariales y de alineamiento

como se indica en la Tabla 57. Por otra parte, de las métricas propuestas por COBIT

2019, se seleccionan métricas y se define una fórmula de cálculo para el indicador que

medirá el proceso (Tabla 58)

Tabla 57

Metas empresariales y de alineamiento de DSS05

METAS EMPRESARIALES/ALINEAMIENTO
DSS05. GESTIONAR LOS SERVICIOS DE SEGURIDAD
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Descripción Ref. Descripción
Gestión de riesgo relacionado con
EG02 Gestión de riesgo del negocio AG02
I&T
Seguridad de la información,
EG06 Continuidad y disponibilidad del AG07
infraestructura de procesamiento y
servicio del negocio
aplicaciones, y privacidad
192

Tabla 58

Métricas de DSS05 para DTIC

MÉTRICAS
DSS05. Gestionar los servicios de seguridad
META EMPRESARIAL META DE ALINEAMIENTO
Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo
Porcentaje de Porcentaje de
objetivos y evaluaciones de
servicios 𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 riesgo 𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔
empresariales 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓 empresarial que 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓
𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐 𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐
críticos 𝑿= 𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔 incluyen el 𝑿= 𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔
cubiertos por la 𝒄𝒓í𝒕𝒊𝒄𝒐𝒔 riesgo 𝒄𝒓í𝒕𝒊𝒄𝒐𝒔
evaluación de relacionado con
riesgo I&T
EG02 AG2
Número de
Número de
incidentes
incidentes
significativos
significativos
que no se 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔
relacionados
identificaron en 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 IT
𝑿= con I&T que no 𝑿=
la evaluación de 𝑻𝒐𝒕𝒂𝒍 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
se identificaron
riesgos frente al
en la evaluación
total de
de riesgos
incidentes
Número de
Número de
incidentes de
interrupciones
disponibilidad
del servicio al
que causan
cliente o 𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔
𝑿 = 𝑵𝒐. 𝒅𝒆 𝒊𝒏𝒕𝒆𝒓𝒓𝒖𝒑𝒄𝒊𝒐𝒏𝒆𝒔 AG07 pérdidas
EG06 procesos 𝑿 = 𝒅𝒆 𝒅𝒊𝒔𝒑𝒐𝒏𝒊𝒃𝒊𝒍𝒊𝒅𝒂𝒅
𝒅𝒆𝒍 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐 𝒂𝒍 𝒄𝒍𝒊𝒆𝒏𝒕𝒆 financieras,
empresariales 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔
interrupción del
que causan
negocio o
incidentes
descrédito
significativos
público

Procesos

DSS05.01 Proteger contra software malicioso

Descripción: Implementar y mantener en toda la empresa medidas preventivas,

detectivas y correctivas (especialmente parches de seguridad y control de virus

actualizados) para proteger los sistemas de información y la tecnología del software

malicioso (p. ej., ransomware, malware, virus, gusanos, spyware y spam). (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)


193

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métrica Recomendada:

o Porcentaje de ataques exitosos de software malicioso

𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑎𝑡𝑎𝑞𝑢𝑒𝑠 𝑒𝑥𝑖𝑡𝑜𝑠𝑜𝑠


𝑿= ∗ 100%
𝑁𝑢𝑚𝑒𝑟𝑜 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑡𝑎𝑞𝑢𝑒𝑠

Actividades: El conjunto de actividades que describen el proceso de protección

contra software malicioso, planteadas por COBIT son las que se indica en la Tabla 59,

para las cuales se señala las actividades relacionadas que se ejecutan y que se

deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición del

proceso.

Tabla 59

Actividades proceso DSS05.01

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Instalar y activar herramientas
A1. de protección contra software Herramienta de antivirus Bit
malicioso en todas las Defender instalada y activa
instalaciones de procesamiento
2
Solución única de seguridad
UTM funcionando, que integra
A2. Filtrar el tráfico de entrada
funciones de filtrado de
contenido, firewall de red, etc.
Comunicación y concienciación
sobre software malicioso y
hacer cumplir los
La DTIC deberá definir y
procedimientos y
A3. comunicar de manera frecuente
responsabilidades de
una política de prevención de
prevención. Impartir formación
software malicioso
periódica sobre malware en el 3
uso de correo electrónico e
Internet.
La DTIC deberá optimizar el
Distribuir todo el software de
A4. funcionamiento de la
protección centralmente
herramienta Bit Defender y
(versión y parches) usando una
Distribuir todo el software de
194

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
configuración centralizada y la protección centralmente
gestión de cambios de TI (versión y parches) usando una
configuración centralizada y la
gestión de cambios de TI
La DTIC deberá revisar y
Revisar y evaluar la
evaluar la información sobre
A5. información sobre nuevas 4
nuevas amenazas potenciales,
amenazas potenciales.
de manera periódica

DSS05.02 Gestionar la seguridad de la conectividad y de la red

Descripción: Usar medidas de seguridad y procedimientos de gestión

relacionados para proteger la información a través de todos los métodos de

conectividad. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de brechas en el Firewall

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑏𝑟𝑒𝑐ℎ𝑎𝑠 𝑒𝑛 𝑒𝑙 𝐹𝑖𝑟𝑒𝑤𝑎𝑙𝑙

o Número de vulnerabilidades descubiertas

𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠

Actividades: El conjunto de actividades que describen el proceso de gestionar

la seguridad de la conectividad y de la red, planteadas por COBIT son las que se indica

en la Tabla 60, para las cuales se señala las actividades relacionadas que se ejecutan y

que se deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición

del proceso.
195

Tabla 60

Actividades proceso DSS05.02

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Permitir que solo los dispositivos La DTIC deberá definir una
A1. autorizados tengan acceso a la política de autenticación
información corporativa y a la red para los dispositivos que
de la empresa requieran conexión a la red.
Implementar mecanismos de
Solución única de seguridad
filtrado de red y software de
UTM funcionando, que
detección de intrusos. Hacer
A2. 2 integra funciones de filtrado
cumplir las políticas adecuadas
de contenido, firewall de red,
para controlar el tráfico entrante
etc.
y saliente.
La DTIC deberá definir una
A3. Configurar el equipo de red de política de configuración de
forma segura equipos de red de forma
segura
Encriptar la información en La DTIC deberá realizar
A4. tránsito de acuerdo con su encriptación de la
clasificación información en tránsito.
La DTIC deberá mantener
Establecer y mantener una
3 una política para la
política para la seguridad de la
seguridad de la conectividad
A5. conectividad con base en las
con base en las
evaluaciones de riesgo y los
evaluaciones de riesgo y los
requisitos del negocio
requisitos del negocio
La DTIC debe establecer
Establecer mecanismos
mecanismos confiables para
confiables para apoyar la
A6. apoyar la transmisión y
transmisión y recepción segura
recepción segura de la
de la información
información
En la DTIC se deberá llevar
Llevar a cabo pruebas periódicas
a cabo pruebas periódicas
de penetración y a seguridad del
de penetración y a seguridad
A7. sistema para determinar la 4
del sistema para determinar
idoneidad de la protección de la
la idoneidad de la protección
red y del sistema
de la red y del sistema
196

DSS05.03 Gestionar la seguridad de endpoint

Descripción: Garantizar que los dispositivos de punto final (Endpoint, término

en inglés) tengan una seguridad a un nivel igual o superior al de los requisitos de

seguridad definidos para la información procesada, almacenada o transmitida (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de incidentes que involucran a un dispositivo End Point

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑞𝑢𝑒 𝑖𝑛𝑣𝑜𝑙𝑢𝑐𝑟𝑎𝑛 𝑢𝑛 𝐸𝑛𝑑 𝑃𝑜𝑖𝑛𝑡


𝑿𝟏 = ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
𝑐

o Número de dispositivos no autorizados detectados en la red o en el

entorno de usuario final

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜𝑠


𝑿𝟐 = ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐷𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠

Actividades: Del conjunto de actividades que describen el proceso de gestionar

la seguridad de endpoint planteadas por COBIT, en la Tabla 61 se describen las

actividades relacionadas con la DTIC, que se ejecutan y que se deberán implementar,

las cuales se incluyen como parte de la definición del proceso.


197

Tabla 61

Actividades proceso DSS05.03

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC mediante el área de
Configurar los sistemas
A1. Seguridad Lógica deberá incluir la
operativos de forma
configuración segura de sistemas
segura
operativos.
La DTIC deberá optimizar el
Implementar funcionamiento de la herramienta Bit
A2. mecanismos de Defender para implementar
bloqueo de dispositivos mecanismos de bloqueo de
dispositivos
Implementar el filtrado La DTIC deberá optimizar el
de tráfico de red en funcionamiento del cortafuegos de la
A3.
dispositivos de punto herramienta Bit Defender para
final implementar filtrado de trafico de red
La DTIC deberá revisar la política de
Gestionar la
seguridad para considerar la
A4. configuración de red de
configuración de red de endpoint de
forma segura
forma segura
-La DTIC a través del área de
seguridad lógica deberá proteger la
tanto la integridad de los discos
2
como del sistema de archivos
almacenada en los equipos,
mediante el uso de herramientas
propias de Windows, para revisar si
existen sectores dañados u otros
Proteger la integridad
A5. errores en los discos.
del sistema
-Además, se debe mantener el
software de Antivirus instalado y
funcionando de manera correcta
- Mantener políticas de copias de
seguridad, y
- Disponer de planes de
contingencia e inventario de todo el
software instalado.
La DTIC deberá revisar la política de
seguridad para incluir medidas de
Proporcionar protección
protección del hardware, que
A6. física a los dispositivos
contemple aspectos como: acceso
de punto final
físico, desastres naturales,
alteraciones del entorno
198

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá revisar la política de
Eliminar de forma
seguridad para incluir medidas de
A7. segura los dispositivos
protección del hardware para incluir
Endpoint
la eliminación segura de endpoint.
La DTIC deberá considerar ampliar
las capacidades de seguridad de la
herramienta Bitdefender para
Gestionar el acceso
implementar la funcionalidad de
malicioso a través del
A8. EDR (Endpoint Detection and
correo electrónico y los
Response) con el fin de mantener
navegadores web
una mayor visibilidad y respuesta
ante incidentes de seguridad en
puntos finales de la red.
La DTIC deberá considerar la
Encriptar la información
utilización de una herramienta que
almacenada de
A9. 3 permita la encriptación de la
acuerdo con su
información almacenada de acuerdo
clasificación
con su clasificación.

DSS05.04: Gestionar la identidad del usuario y el acceso lógico

Descripción: Asegurarse de que todos los usuarios tienen derechos de acceso

a la información de acuerdo con los requisitos del negocio. Coordinarse con las

unidades del negocio que gestionan sus propios derechos de acceso en los procesos

de negocio. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de cuentas (vs. número de usuarios/personal autorizado)

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑿𝟏 =
𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠
𝑐

o Número de incidentes relacionados con el acceso no autorizado a la

información.
199

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠
𝑿𝟐 =
𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑙 𝐴𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜
𝑐

𝑁𝑜. 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑎𝑐𝑐𝑒𝑠𝑜 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜


𝑿𝟑 =
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

Actividades: Del conjunto de actividades que describen el proceso de Gestionar

la identidad del usuario y el acceso lógico planteadas por COBIT, en la Tabla 62 se

describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán

implementar, las cuales se incluyen como parte de la definición del proceso.

Tabla 62

Actividades proceso DSS05.04

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Mantener los derechos de Para cumplir las actividades
acceso de los usuarios de indicadas en el proceso de
A1. acuerdo con la función del Gestionar la identidad del
2
negocio, los requisitos del usuario y el acceso lógico, la
proceso y las políticas de DTIC deberá considerar la
seguridad. opción de implementar un
Administrar oportunamente servidor de Directorio Activo que
todos los cambios en los proporcione las funcionalidades
derechos de acceso (creación, de organización y gestión de los
modificación y eliminación), componentes de la red como
A2. basándose únicamente en ordenadores, grupos, usuarios,
transacciones aprobadas y dominios, varias políticas de
documentadas que hayan sido seguridad, además de cualquier
autorizadas por personas tipo de objeto definido para el
designadas por la dirección. 3 usuario y administración de
Segregar, reducir al mínimo credenciales.
necesario y gestionar
A3.
activamente cuentas de usuario Entre las opciones que se
privilegiadas. pueden considerar se
Identificar de forma unívoca y encuentran, la licenciada de
por roles funcionales todas las Microsoft Active Directory, o
A4.
actividades de procesamiento herramientas gratuitas que
de información. ofrecen este tipo de
200

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Autenticar todo el acceso a funcionalidades como Open
activos de información de LDAP, Mandriva Directory
A5. acuerdo con el rol del individuo Server, etc.
o a las reglas del negocio.

Garantizar que todos los


usuarios (internos, externos y
temporales) y su actividad en
los sistemas de TI (aplicación
de negocio,
A6.
infraestructura de TI,
operaciones, desarrollo y
mantenimiento de sistemas) se
puedan identificar de manera
unívoca.
Mantener un registro de
auditoría del acceso a la
A7. información dependiendo de su
sensibilidad y de los requisitos
regulatorios. 4
Llevar a cabo revisiones
gerenciales periódicas de todas
A8.
las cuentas y privilegios
relacionados.

DSS05.05: Gestionar el acceso físico a los activos de I&T

Descripción: Definir e implantar procedimientos (incluyendo procedimientos de

emergencia)

para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de

acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios y

áreas debe estar justificado, autorizado, registrado y supervisado. Este requisito aplica a

todas las personas que accedan a las instalaciones, incluyendo personal interno,

personal temporal, clientes, proveedores, visitantes y cualquier otro tercero. (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)


201

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Calificación promedio de las evaluaciones de seguridad física.

∑ 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑


𝑿𝟏 =
𝑁ú𝑚𝑒𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑓í𝑠𝑖𝑐𝑎
𝑐

o Número de incidentes relacionados con la seguridad de la información

física

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑙𝑎𝑐𝑖𝑜𝑛𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 𝑙𝑎 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑


𝑑𝑒 𝑙𝑎 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑓í𝑠𝑖𝑐𝑎
𝑿𝟐 =
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

Actividades: Del conjunto de actividades que describen el proceso de Gestionar

el acceso físico a los activos de I&T planteadas por COBIT, en la Tabla 63 se describen

las actividades relacionadas con la DTIC, que se ejecutan y que se deberán

implementar, las cuales se incluyen como parte de la definición del proceso.

Tabla 63

Actividades proceso DSS05.05

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La institución realiza el registro y
monitorización de todos los
Registrar y monitorizar todos puntos de entrada a las
los puntos de entrada a las instalaciones. El requisito para
A1. instalaciones de TI. Registrar a ingresar es la entrega de un
todos los visitantes al sitio, documento de identificación. Se
incluidos contratistas y 2 tiene 2 puntos de registro, en la
Proveedores planta baja del edificio de la
Comandancia General y en el
piso 8 para ingresar a la DTIC.
A todos los visitantes que
Asegurar que todo el personal
A2. ingresan a la Comandancia
muestra una identificación
General se entrega una
202

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
debidamente autorizada en credencial y se solicita utilizar la
todo momento misma de manera visible, para
seguir a cualquier departamento
incluido a la DTIC
Requerir a los visitantes que La institución solicita información
estén acompañados en todo del propósito de la visita, para
A3.
momento durante su estancia constatar la persona/s con quien
en las instalaciones se encontrará el visitante.
A pesar de que el ingreso al
Restringir y monitorizar el
Ministerio es controlado mediante
acceso a instalaciones
un sistema de rayos X de
sensibles de TI, mediante el
inspección de pertenencias; la
establecimiento de
A4. DTIC debe considerar la
restricciones al perímetro,
implementación de controles
como vallas, paredes y
adicionales que permitan reforzar
dispositivos de seguridad en
la seguridad a las instalaciones
puertas interiores y exteriores.
de TI.
La DTIC debe incluir como parte
Gestionar solicitudes para
de la política la gestión de
permitir el acceso debidamente
solicitudes para permitir el
autorizado a las instalaciones
acceso autorizado a las
de cómputo.
instalaciones de cómputo
Garantizar que los perfiles de La DTIC deberá garantizar que
acceso permanezcan los perfiles de acceso
actualizados. Basar el acceso a permanezcan actualizados y que
A6. las instalaciones de TI (sala de 3 el acceso a las instalaciones de
servidores, edificios, TI se encuentre relacionado con
áreas o zonas) en el cargo y el cargo y las responsabilidades
las responsabilidades. de los usuarios.
La DTIC debe realizar
Realizar formación sobre
concientización a los usuarios
concienciación de la seguridad
A7. sobre la seguridad de la
de la información física de
información física de forma
forma regular
regular.

DSS05.06: Gestionar documentos sensibles y dispositivos de salida.

Descripción: Establecer protecciones físicas apropiadas, prácticas contables y

gestión de inventario relativa a activos sensibles de I&T, como formas especiales,

instrumentos negociables, impresoras para fines especiales o tokens de seguridad.

(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)


203

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de dispositivos de salida robados

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎 𝑟𝑜𝑏𝑎𝑑𝑜𝑠

o Porcentaje de documentos sensibles y dispositivos de salida identificados

en el inventario

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑜𝑐𝑢𝑚𝑒𝑛𝑡𝑜𝑠 𝑠𝑒𝑛𝑠𝑖𝑏𝑙𝑒𝑠 𝑦 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎


𝑿𝟐 = ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠 𝑒𝑛 𝑒𝑙 𝑖𝑛𝑣𝑒𝑛𝑡𝑎𝑟𝑖𝑜

Actividades: Del conjunto de actividades que describen el proceso de Gestionar

documentos sensibles y dispositivos de salida planteadas por COBIT, en la Tabla 64 se

describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán

implementar, las cuales se incluyen como parte de la definición del proceso.

Tabla 64

Actividades proceso DSS05.06

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
La DTIC deberá establecer
Establecer procedimientos para
procedimientos para
gobernar la recepción, uso, retiro y
gobernar la recepción, uso,
A1. desecho de documentos sensibles y
retiro y desecho de
dispositivos de salida, dentro y
documentos sensibles y
fuera
dispositivos de salida, dentro
de la empresa.
2 y fuera de la empresa
La DTIC deberá asegurar el
Asegurar que se han establecido establecimiento de controles
controles criptográficos para criptográficos para proteger
A2.
proteger información sensible información sensible
almacenada electrónicamente. almacenada
electrónicamente
204

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Asignar privilegios de acceso a
documentos sensibles y dispositivos
La DTIC deberá definir
de salida con base en el principio
privilegios de acceso a
A3. de menor privilegio, manteniendo
documentos sensibles y
un
dispositivos de salida.
equilibrio entre el riesgo y los 3
requisitos del negocio
Establecer un inventario de La DTIC debe establecer un
documentos sensibles y dispositivos inventario de documentos
A4.
de salida y realizar reconciliaciones sensibles y dispositivos de
periódicas salida.

DSS05.07: Gestionar las vulnerabilidades y monitorizar la infraestructura para

detectar eventos relacionados con la seguridad

Descripción: Mediante el uso de un portafolio de herramientas y tecnologías,

gestionar las vulnerabilidades y monitorizar la infraestructura para detectar accesos no

autorizados. Asegurar que las herramientas, tecnologías y detección de seguridad están

integradas en la monitorización general de eventos y la gestión de incidentes. (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Número de pruebas de vulnerabilidad llevadas a cabo en dispositivos

perimetrales

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑝𝑟𝑢𝑒𝑏𝑎𝑠 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠

o Número de vulnerabilidades descubiertas durante las pruebas

𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠

o Porcentaje de tickets creados de forma oportuna cuando los sistemas de

monitorización identifican posibles incidentes de seguridad


205

𝑁𝑜. 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑐𝑟𝑒𝑎𝑑𝑜𝑠 𝑒𝑛 𝑚𝑒𝑛𝑜𝑟 𝑡𝑖𝑒𝑚𝑝𝑜


𝑿𝟑 = ∗ 100%
𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑡𝑖𝑐𝑘𝑒𝑡𝑠 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑

Actividades: Del conjunto de actividades que describen el proceso de Gestionar

las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados

con la seguridad planteadas por COBIT, en la Tabla 65 se describen las actividades

relacionadas con la DTIC, que se ejecutan y que se deberán implementar, las cuales se

incluyen como parte de la definición del proceso.

Tabla 65

Actividades proceso DSS05.07

Nivel de
Ref. Actividad Actividades en la DTIC
Capacidad
Usar de forma continua un
La DTIC a través del área de
portafolio de tecnologías, servicios
Seguridad de la información
y activos soportados (por ejemplo:
A1. deberá realizar actividades
escáneres de vulnerabilidad y
periódicas de escaneos de
sniffers) para identificar
vulnerabilidades.
vulnerabilidades de seguridad de
la información.
La DTIC mediante el área de
Definir y comunicar escenarios de
Seguridad de la Información
riesgo para que se puedan
Digital recibe información y
A2. reconocer con facilidad y se
comunica escenarios de riesgo
pueda entender su probabilidad e
para definir su probabilidad e
impacto.
2 impacto.
La DTIC mediante el área de
Revisar regularmente los logs de Seguridad de la Información
A3. eventos para detectar posibles Digital, revisa periódicamente
incidentes. los logs de eventos para
identificar posibles incidentes.
La DTIC por medio del área de
Garantizar que se creen tickets Seguridad de la Información
relativos a incidentes de seguridad Digital, deberá reforzar el
A4. de forma oportuna cuando la procedimiento de creación de
monitorización identifique posibles tickets de forma oportuna, frente
incidentes a la identificación de posibles
incidentes.
Registrar eventos relacionados La DTIC por medio del área de
con la seguridad y conservar los Seguridad de la Información
A5. 3
registros durante el periodo de Digital registra eventos
tiempo apropiado relacionados con la seguridad.
206

Estructuras Organizativas

Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:

Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las

responsabilidades de cada actor que participa en cada uno de los procesos descritos.

La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las

columnas los actores; en la intersección de cada fila con cada columna, se asigna la

responsabilidad de cada rol, como se muestra en la Figura 49.

Figura 49

Matriz de Responsabilidades

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)
207

Flujos y elementos de comunicación

Este componente de gobierno indica una guía sobre los flujos y elementos de

comunicación relacionados con la práctica de los siete procesos del objetivo DSS05,

incluye entradas, salidas y se incluye origen y destino (Tabla 66)

Tabla 66

Flujos y elementos de comunicación

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
APO01.02
Política de Gestionar la
prevención de comunicación de
software objetivos, dirección
Proteger contra malicioso y decisiones
DSS05.01 software tomadas.
malicioso APO12.02
Evaluaciones de Analizar el riesgo
amenazas APO12.03
potenciales Mantener un perfil
de riesgo
APO01.07
APO01.02
Definir la
Gestionar la
propiedad de la Directrices de Política de
comunicación de
información clasificación de seguridad de la
objetivos, dirección
Gestionar la (datos) y del datos conectividad
y decisiones
seguridad de la sistema de
DSS05.02 tomadas
conectividad y de información
la red. MEA04.07
APO09.03
Resultados de Ejecutar la iniciativa
Definir y preparar
SLAs pruebas de de aseguramiento,
acuerdos de
penetración enfocándose en la
servicio
eficacia operativa
APO03.02
Modelo de
Definir la
arquitectura de la
arquitectura de
información
referencia
APO09.03
Definir y preparar • SLAs APO01.02
acuerdos de • OLAs Políticas de Gestionar la
Gestionar la
servicio seguridad para comunicación de
DSS05.03 seguridad de
BAI09.01 Resultados de dispositivos objetivos, dirección
endpoint.
Identificar y comprobaciones Endpoint y decisiones
registrar los de tomadas
activos actuales inventario físicas
DSS06.06
Asegurar los Informes de
activos de violaciones
información
208

ENTRADAS SALIDAS
Práctica de Gestión De Descripción Descripción A
Definición de
Resultados de
roles
APO01.05 revisiones
y
Establecer roles y de cuentas de Interna
Gestionar la responsabilidades
responsabilidades usuarios y
identidad del relacionadas con
DSS05.04 privilegios
usuario y el I&T
acceso lógico. APO03.02 Derechos de
Modelo de
Definir la acceso de
arquitectura de la Interna
arquitectura de usuario
información
referencia aprobados
DSS06.03,
Gestionar roles,
responsabilidades,
privilegios de
acceso y niveles de
Registros de autoridad
Gestionar el
acceso MEA04.07
acceso físico a
DSS05.05 Ejecutar la iniciativa
los activos de
de aseguramiento,
I&T.
enfocándose en la
eficacia
operativa
Solicitudes de
acceso Interna
aprobadas
Privilegios de
Gestionar Interna
APO03.02 acceso
documentos Modelo de
Definir la Inventario de
DSS05.06 sensibles y arquitectura de la
arquitectura de documentos y
dispositivos de información Interna
referencia dispositivos
salida.
sensibles
Tickets DSS02.02
relacionados Registrar, clasificar
Gestionar las con y priorizar las
vulnerabilidades incidentes de peticiones e
y monitorizar la seguridad incidentes
infraestructura Características
DSS05.07
para detectar de los
Interna
eventos incidentes de
relacionados con seguridad
la seguridad. Logs de eventos
de Interna
seguridad
Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno

y Gestión, 2018)

Personas, habilidades y competencias

COBIT con base al Skills Framework for the Information Age (SFIA®) V6

(versión 6), define los siguientes recursos humanos y habilidades que se requieren para
209

alcanzar el objetivo de gestión DSS05: Gestionar los servicios de seguridad (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Seguridad de la información

• Gestión de seguridad de la información

• Pruebas de penetración

• Administración de seguridad

Políticas y Procedimientos

Este componente proporciona una guía de políticas y procedimientos relevantes

para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y

una descripción; en el caso del objetivo de gobierno DSS05: Gestionar los servicios

de seguridad, se especifica la política indicada a continuación (ISACA, Marco de

referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Política Relevante: Política de seguridad de la información

• Descripción de la Política: Establecer directrices para proteger la información

corporativa y los sistemas e infraestructura asociados.

Cultura, ética y comportamiento

Este componente provee un modelo detallado sobre los elementos culturales

deseados por la institución, que permitan la consecución de los objetivos de gobierno y

gestión, en el caso del objetivo de gestión DSS05: Gestionar los servicios de

seguridad, se tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018).

• Elementos Culturales Clave: Crear una cultura de concienciación con respecto a la

responsabilidad del usuario de mantener prácticas de seguridad y de privacidad.


210

Servicio, infraestructuras y aplicaciones

Este componente de gobierno proporciona una guía sobre los servicios,

infraestructura y categoría de aplicaciones de terceros que pueden utilizarse para lograr

la consecución de los objetivos de gobierno y gestión, en este caso, del objetivo de

gestión DSS05: Gestionar los servicios de seguridad.

Como se indicó en el apartado 3.3, se procedió con el levantamiento de servicios

de TI para la DTIC; es así que en este apartado se considera todos los servicios de TI,

adicionales a los servicios de seguridad de TI y con base a los lineamientos de ITIL, se

completó la información para cada servicio, se registraron las actividades que se

cumple, así como objetivos, entradas, salidas, etc. Además, con las actividades

identificadas se desarrolló un diagrama de flujo.

La información relevante con la que no contaban los servicios y que se incluyó

para cada uno, es la que se indica a continuación:

• Código de servicio

• Versión

• Niveles de Servicio

Con base a la información recolectada, en la Tabla 67 se resume la información

general que describe cada uno de los servicios de TI identificados, de la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC).


211

Tabla 67

Servicios de TI en la DTIC

SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Identificar los requisitos
funcionales del
software de
aplicaciones, prestar
apoyo en el diseño y
desarrollo de dichas
aplicaciones y subir a
los ambientes de
STI.APL.
1 Aplicaciones Aplicaciones desarrollo, pruebas y
09
producción,
aplicaciones nuevas o
actualizaciones a las
Aplicaciones versiones ya
existentes; y así
mantener los servicios
disponibles para el
usuario
Permitir ahorro de
recursos, protección al
medio ambiente, ayuda
Gestión Gestor STI.GDO al manejo centralizado
2
Documental Documental C.11 de los requerimientos y
seguridad de la
información del Ejército
Servicios de
del Ecuador.
Software
Desarrollar e
implementar nuevos
Herramientas STI.DES aplicativos y brindar
Desarrollo
3 de A_HE. mantenimiento y
de Software
Desarrollo 04.01 soporte de aplicativos
que se encuentran
desarrollados
Brindar al usuario la
información necesaria
Herramienta
Herramientas STI.DES para realizar una mejor
s de
4 de A_REP.0 toma de decisiones en
desarrollo de
Desarrollo Reportería 4.02 función a la información
Reportería
Informático registrada por cada
proceso.
Garantizar, monitorear
y llevar un control de
cada uno de los
proceso, servicios y
Control de Control de STI.QA.0 proyectos que se
5
Calidad Calidad 2 ejecutan por parte de la
DTIC, en el cual se
cumpla con la calidad
de cada uno de los
entregables.
212

SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Asegurar que el
versionamiento del
STI.BAS sistema sea validado y
Base de
6 Base de Datos Base de Datos E_DATO tenga conformidad con
Datos
S.05 el requerimiento del
usuario, para realizar
puestas en producción.
Mantener la LAN (Red
de Área Local) del
Admin de la STI.RLA edificio de la
7 LAN
LAN N.06 Comandancia General
del Ejército operativa,
eficiente y segura.
Administrar, monitorear
y supervisar el correcto
funcionamiento de los
Admin de la STI.RWA
8 WAN enlaces desde y hacia
WAN N.14
las unidades militares y
la Comandancia
General del Ejército
Disponer de un sistema
unificado de Telefonía
TELEFONIA para brindar el servicio
STI.TEL_
9 Telefonía IP IP/CONMUT a los usuarios, con una
IP.10
ACIÓN gestión centralizada y
la integración de varias
Servicios de Centro de
localidades
Comunicaciones Control
Ahorrar tiempos,
recursos y costos a los
usuarios del ejercito del
Ecuador
Facilita la disposición al
momento de requerir
Servicio de
Video STI.VIDE un trabajo de suma
10 Video
conferencia OC.03 urgencia
Conferencia
Permite mantener
informados a cada
unidad militar en su
respectivo nivel, sobre
el estado del personal,
material y equipo.
Crear, resetear las
Servicio de cuentas de correos de
Correo STI.CO_
11 Correo los usuarios y mantener
Electrónico ELC.13
Electrónico el servicio al 100%
durante las 24 horas.
Mantener los
servidores operativos al
Administraci STI.ADM
Infraestructura 100%, para evitar
12 Infraestructura Servidores ón de _SRV.12.
Servidores contratiempos en el
servidores 01
desarrollo de las
operaciones militares
213

SUB-
No CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO
CATEGORIA
Mantener el sistema de
almacenamiento
operativos al 100%,
Almacenami para evitar
STI.ALM
Almacenamie ento físico contratiempos en el
13 _SRV.12.
nto de desarrollo de las
02
servidores operaciones militares,
brindando información
fiable para la toma de
decisiones
El centro de respuesta
incidentes de seguridad
cibernética fuerzas
armadas tiene el
Seguridad
STI.SI_D propósito de gestionar
Seguridad de de la
14 IGITAL.0 incidentes de Fuerzas
la Información información
1 Armadas que atenten
digital
la infraestructura
tecnológica, física y
digital de las Fuerzas
Armadas
Administrar el acceso
Seguridad
hacia Internet por parte
de los usuarios y
STI.SI_U
15 UTM Admin UTM proteger la red de
TM.07
datos del edificio de la
Comandancia General
del Ejército
Cumplir al 80% con las
necesidades
Servicio STI.SI_S
Seguridad requeridas por los
16 Seguridad EGLOG.
Lógica usuarios para que
Dominio 08
puedan desempeñar su
trabajo de forma óptima

A continuación, se muestra la información propuesta para el servicio de red de

datos. En el Anexo B, se incluye la información para los servicios restantes.


214

SERVICIO DE RED DE DATOS DE LA FUERZA


TERRESTRE

I. Diagnóstico Inicial

Al iniciar con levantamiento del servicio de WAN se pudo identificar que no se cuenta con
un flujo del servicio definido, o niveles de servicio determinados; el encargado actual del
servicio tiene el conocimiento de las actividades que se realizan, pero no como parte de
un proceso establecido. Los responsables del servicio se encargan de la administración,
configuración y monitoreo de la WAN de la Fuerza Terrestre.

II. Levantamiento de procesos actuales

DETALLE DEL SERVICIO


Código STI.RWAN.14
Nombre Administración de la WAN
Soporte técnico y administración, así como recepción y
atención de incidentes asociados a la red WAN (Red de
área extensa), red que permite que las unidades militares
Descripción geográficamente distribuidas dispongan de los servicios y
aplicativos proporcionados por la Fuerza terrestre
integrando la Comandancia General del Ejército con las
unidades.
Estado Activo - Operativo
Versión 1.0
Fecha puesta en
1997
operación
Fecha finalización En Funcionamiento Actualmente
Sgos. Cacpata Vicente
Contacto Soporte
mail:[email protected]
Contacto para Sgos. Cacpata Vicente
modificaciones mail: [email protected]
Propietario Comandancia General del Ejército
Clientes Usuarios unidades militares
INTRODUCCIÓN
La administración de la WAN es responsable del soporte técnico y gestión, así como
de la recepción y atención de incidentes asociados a la red WAN (Red de área
extensa), red que permite la interconexión de la Comandancia General del Ejercito
con las unidades militares geográficamente distribuidas; con la finalidad de mantener
la correcta operatividad de las redes y asegurar el normal desempeño de los usuarios
ALCANCE
215

g) Oficio de la solicitud del servicio en el Gestor


Inicia con: Documental (Chasqui)
h) Memorándum de trabajo
Termina con: e) Cierre de oficio en el sistema Chasqui
OBJETIVO
Administrar, monitorear y supervisar el correcto funcionamiento de los enlaces
desde y hacia las unidades militares y la Comandancia General del Ejército
SERVICIO CONTIENE

a) Administración de enlaces
b) Administración de DNS internos y externos
c) Administración del Firewall UTM (FW)
d) Administración del servidor VPN
EXCLUSIONES
a) Mantenimientos correctivos
b) Administración de enlaces de CNT, solamente se considera la administración de
equipos finales
CARACTERISTICAS GENERALES
c) Sgos. Cacpata Vicente
Responsables d) Sgos. Cando Edwin
e) Sgos. Guaman Luis
b) Usuarios de unidades militares
Clientes
c) Administradores de los servidores
Servicios d) LAN
Relacionados e) Infraestructura - Servidores
b) Documento mediante el Gestor Documental
Entradas (Chasqui), escalado desde la DTIC al jefe del
Centro de Control de Datos
Entregables d) Informe de trabajos realizados
c) Monitoreo de enlaces. – Incluye la medición y
verificación del nivel de señal y calidad del enlace;
en casos de daños identificados, se realiza la
calibración del enlace
d) Apertura de puertos en el UTM
e) Administración de reglas en el UTM
f) Monitoreo, soporte y mantenimiento preventivo del
Funciones UTM
g) Creación y accesos de VPNs a la red
h) Asignación de nombres de dominio
i) Control de direccionamiento IP de las unidades y
servidores
j) Realización de informes del trabajo realizado y
situación actual del sitio o unidadmilitar visitado. Se
entrega aljefe del centro de control de datos.
216

Creación de reglas en el UTM


a) Acceder al UTM y verificarla zona desde donde se
requiere acceder
b) Verificar el tipo de protocolo (TCP/UDP) y el
número de puerto
c) Verificar las redes de origen y destino
d) Creación de la regla respectiva en el UTM para la
apertura del puerto específico, para el servicio
requerido
e) Se realiza pruebas con el usuario
f) Finaliza el requerimiento

Asignación de nombres de dominio


a) En el sistema chasqui el administrador de un
servidor solicita la asignación de un nombre de
dominio para determinado servidor
b) Administrador del servidor entrega los datos del
servidor y nombre del sitio a resolver al
administrador de la WAN
c) Asignar al servidor una dirección IP pública, del
pool de direcciones públicas entregadas por CNT
d) Administrador de la WAN asigna la dirección IP del
servidor al nombre solicitado, dentro del dominio
ejercito.mil.ec. en los sistemas de archivos de la
Flujo de
configuración de DNS
Actividades
e) Se verifica la resolución del sitio configurado, tanto
interna como externamente en conjunto con el
administrador del servidor
f) Se guarda la configuración y se obtiene el backup
de la última configuración realizada.
g) Finaliza el requerimiento

Para VPN
Servicio únicamente disponible para unidades que no
disponen de una Red de Datos de la Fuerza Terrestre y el
único medio de interconexión es el INTERNET actualmente
se encuentran funcionando con este sistema 2 unidades
militares.
a) Se solicita al usuario de manera obligatoria un oficio
con el requerimiento para la VPN. El documento se
dirige a la DTIC, quienes escalan al jefe del Centro
de Control de Datos.
b) Se verifica en el UTM las reglas correspondientes a
la VPN
c) En el router cisco se crea el usuario y se asigna una
contraseña
d) Verificar que el usuario disponga del cliente cisco
para iniciar la VPN en su equipo
e) Se crea memorándum de la configuración realizada
217

f) Se entrega el usuario y la contraseña al encargado


de la unidad de manera personal, con la copia de
cédula como responsable de la VPN
g) La VPN caduca bajo pedido del usuario.
h) Finaliza el requerimiento
ESPECIFICACIONES
- Unidades militares enlazadas por el proveedor CNT a
nivel nacional
- Enlaces de radio microondas IP
Configuración
- Enlace directo con fibra óptica, desde el dispositivo local
hacia el dispositivo final de CNT, en cada unidad militar.
- Configuración de un UTM en cada unidad militar
Restricciones a) Obsolescencia de los equipos
Enlaces WAN
- Se cuenta con 26 unidades militares integradas a la Red
de Datos mediante la infraestructura de la CNT a nivel
nacional
- Se cuenta con 35 unidades militares que por medio del
Backbone del Comando Conjunto se integran los enlaces
de última milla mediante Radios: Motorola, Alvarion,
Ceragon
Elementos - Sistema monitoreo de enlaces mediante Software libre y
Tecnológicos la aplicación Nagios.

Asignación de nombres de dominio


- 4 Servidores DNS: HPcon Sistema Operativo CENTOS 7
(2 internos y 2 externos)
- Firewall UTM marca IBM

VPN
- Router marca Cisco 2811 dedicado para VPN
Requerimientos Locales
a) Urgente: 1 hora
b) Medio: 2 horas
c) Bajo: más de 2 horas
Nivel de Servicio
Requerimientos Externos
a) Urgente: Depende de la coordinación logística
(Requerimiento vehículo): 3 días
b) Medio: 3dias
c) Bajo: 5 días
Horarios a) El servicio se encuentra activo las 24 horas al día
los 7 días de la semana
REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA
Tiempo Respuesta Incidentes: 1 hora
Nivel de servicio
Tiempo resolución incidentes: 2 horas
218

Tiempo escalamiento: 30 minutos


Tiempo Respuesta Incidentes: Inmediato, Cuando el
incidente se suscita en otras localidades depende de la
disponibilidad del vehículo de la institución, en horarios
definidos y autorizados (Se requiriere autorización del
director para que se movilice el técnico).
Nivel de soporte Tiempo resolución incidentes: Inmediato, Cuando el
incidente se suscita en otras localidades depende de la
disponibilidad del vehículo de la institución, en horarios
definidos y autorizados (Se requiriere autorización del
director para que se movilice el técnico).
Tiempo escalamiento: Inmediato
ESCALAMIENTO DEL SERVICIO
Nivel 1 [email protected]
Nivel 2 Mayor. Sanchez Juan Carlos
Nivel 3 Empresas proveedoras de servicios

III. Niveles de servicio

FÓRMULA DE
OPERATIVO

OPERATIVO

DE MEDIDA
CONDICIÓN
INDICADOR

INDICADOR

ESPERADO

DEMANDA
OBJETIVO

OBJETIVO
PESO DEL

PESO DEL

CÁLCULO
FUENTE

(umbral)
MÍNIMO
VALOR

VALOR
RATIO

RATIO

Tiempo
(#
en
Requerimient
estado
Tiempo os atendidos
sin
de en el tiempo
atención
atención 40 80 comprometid
85% desde Chasqui 10
del % % o / # Total
que el
requerimi Requerimient
requerim
ento os
iento fue
Recibidos)*10
reportad
0
o
Desempeño 100%
Tiempo
(#
en
Requerimient
estado
Tiempo os resueltos
sin
de en el tiempo
atención
Resolució 40 80 comprometid
85% desde Chasqui 10
n del % % o / # Total
que el
requerimi Requerimient
requerim
ento os
iento fue
Recibidos)*10
reportad
0
o
219

IV. Diagrama del Proceso Actual


220

Capítulo IV

Conclusiones y recomendaciones

Al terminar el presente trabajo se ha llegado a las siguientes conclusiones y

recomendaciones

Conclusiones

• La Dirección de Tecnologías de la Información y Comunicaciones (DTIC)

actualmente no cuenta con un modelo de gobierno de TI definido, el cual les

permita tener un mejor control en cuanto a servicios y procesos que ofertan

dentro de la institución y con base al mismo poder mostrar el valor agregado que

generan dentro de la Institución.

• En función a la información recibida por parte de la Institución se aplicó el

modelo de gestión COBIT 2019, para poder definir cuan alineada se encuentra

la DTIC con respecto a los objetivos estratégicos de la Institución, el cual nos dio

como resultado un 80% de alineamiento acorde a los objetivos estratégicos

generando un alto impacto como área.

• La DTIC busca la implementación de un modelo de gestión TICs que le permita

generar indicadores tanto de cumplimiento como gestión, en el cual se refleje el

trabajo y el aporte que generan dentro del Ejercito del Ecuador, en función a

esto se aplicó dos fases para la implementación de un modelo de gestión, el cual

en su fase inicial se basó en el levantamiento de Servicio y definición de

Procesos que oferta el DTIC; para ello se utilizó la ITIL V4 el cual permitió aplicar

y definir niveles de SLA; como fase dos se implementó el modelo de gestión


221

COBIT 2019, el cual permitió definir un modelo de gestión basado en calidad y

mejora continua.

• Las 5 metas empresariales relevantes que se obtuvieron para la DTIC,

permitieron identificar 7 metas de alineamiento relacionadas con I&T importantes

para la institución; es así que la DTIC debe enfocar los objetivos de TI hacia la

gestión de riegos, a la prestación de servicios de TI con base a los

requerimientos de la institución, a la seguridad de la información, a la calidad de

la información de la gestión de TI, etc.

• Los factores de diseño propuestos por COBIT 2019 permitieron definir un

modelo de mejora de un sistema de gobierno para la DTIC, el cual comprende

de 20 objetivos de gobierno y gestión, 2 bajo el dominio de la administración y

dirección ejecutiva, mientras que los 18 restantes se encuentran bajo el dominio

de gestión.

• Dentro del dominio de gobierno es importante para la DTIC, Garantizar el

establecimiento y el mantenimiento del marco de gobierno (EDM01) y Asegurar

la optimización del riesgo (EDM03).

• En el dominio de gestión, es necesario que la DTIC considere, Gestionar el

marco de gestión de TI (APO01), Gestionar la arquitectura de la empresa

(APO03), Gestionar la calidad (APO011), Gestionar el riesgo (APO012),

Gestionar la seguridad (APO013), Gestionar los datos (APO014), Gestionar la

definición de requisitos (BAI02), Gestionar la identificación y construcción de

soluciones (BAI03), Gestionar los cambios de TI (BAI06), Gestionar la

aceptación y la transición de los cambios de TI (BAI07), Gestionar la

configuración (BAI10), Gestionar las peticiones y los incidentes del servicio

(DSS02), Gestionar los problemas (DSS03), Gestionar los servicios de


222

seguridad (DSS05), Gestionar los controles de procesos de negocio (DSS06),

Gestionar el sistema de control interno (MEA02), Gestionar el cumplimiento de

los requerimientos externos (MEA03) y Gestionar el aseguramiento (MEA04).

• Los 20 objetivos de gobierno y gestión relevantes para la DTIC, se traducen en 2

procesos orientados a Evaluar, Dirigir y Monitorizar; en 6 procesos que permiten

Alinear, Planificar y Organizar; en 5 procesos para Construir, Adquirir e

Implementar; en 4 procesos para Entregar, Dar Servicio y Soporte, y finalmente

en 3 procesos que permiten Monitorizar, Evaluar y Valorar.

• El modelo de evaluación de procesos de COBIT 2019 priorizados para la DTIC

se basó en CMMI (Integración del modelo de madurez de capacidades) y se

pudo identificar que la mayoría se encuentran en nivel 0, es decir con estrategias

incompletas para lograr el propósito de gobierno y gestión; es así que se

evidenció una brecha significativa en cuanto a la información que se tiene

disponible para la toma acertada y efectiva de decisiones.

• De los procesos evaluados, el mayor porcentaje 55% se encuentran en el nivel

de capacidad de valor 0 (Cero), es decir procesos en los cuales se requiere

mayor esfuerzo en cuanto a estrategias para abordar el propósito de gobierno y

gestión.
223

Recomendaciones

• Se recomienda a la DTIC revisar las fases y considerar el mapa de la secuencia

de Objetivos de Gobierno/Gestión a implementar, en el cual se encuentran

agrupados y priorizados en el orden que deberían ser ejecutados en la

Institución.

• Se recomienda mantener la estructura de los procesos definidos por COBIT

2019, en la cual se incluye descripción, métricas y actividades, así como en la

información global de los objetivos de gobierno/gestión, con el fin de tener

conocimiento por parte de los usuarios en la utilización, administración y

gobierno de TI.

• Se recomienda sostener e implementar mejoras en la definición de los Servicios

de TI realizada, de manera que sea posible contar con procedimientos

adecuados, con base a un modelo de mejores prácticas de TI y tener

información adecuada para la toma efectiva de decisiones.

• Se recomienda la implementación de una herramienta de atención de incidentes

en la cual se pueda generar tickets en función de SLAs definidos; y que permita

tener una base de datos de las incidencias de sus clientes; para con ello tener

un mejor control respecto de las soluciones brindadas.

• Se recomienda elaborar un plan de actualización en cuanto a la metodología

scrum para el desarrollo de Software, la cual permita a la DTIC tener un control e

interactividad al momento de realizar cambios o nuevos desarrollos requeridos

por sus clientes


224

Referencias bibliográficas

ADACSI. (20 de 11 de 2018). ADACSI: ¡Nuevo COBIT 2019! Obtenido de ADACSI:


https://isaca.org.ar/2018/11/20/nuevo-cobit-2019/
Aportela, R. I., & Gallego Gómez, C. (Noviembre de 2015). La información como recurso
estratégico. Obtenido de revistas.ucm.es:
https://revistas.ucm.es/index.php/RGID/article/download/51238/47559
Caneo Pablo., G. (2015). Caso de éxito COBIT 5 una experiencia práctica (2015). Recuperado el
10 de 03 de 2019
CAPT DE COM PAREDES RODRIGUEZ, P., & CAPT DE COM PRADO MÉNDEZ, N. (2019).
PROYECTO INTEGRADOR DEL COAAS 36.
Cazau, P. (2004). Apuntes sobre metodología de la investigación.
CMMI. (2019). CMMI Institute. Obtenido de https://cmmiinstitute.com
DTIC. (22 de 01 de 2019). MANUAL DE PUESTOS 2018-2021.
Escoute, L. (2019). A new COBIT® is in town and I really like how this looks. Obtenido de
Escoute, LLC: https://www.escoute.com/a-new-cobit-is-in-town-and-i-really-like-how-this-looks/
Espinoza, J. M. (2019). Se actualiza COBIT 5, y se llamará COBIT 2019. ¡Te lo cuento todo!
Obtenido de linkedin: https://www.linkedin.com/pulse/se-actualiza-cobit-5-y-llamar%C3%A1-
2019-te-lo-cuento-todo-juanma-espinoza
FLORES, L. A. (2017). DISEÑO E IMPLEMENTACIÓN DE UNA MESA DE SERVICIOS,
UTILIZANDO ITIL V3.0, PARA EL SERVICIO TÉCNICO EN EL DEPARTAMENTO
TECNOLÓGICO DEL MINISTERIO DEL AMBIENTE. Quito: ESCUELA POLITÉCNICA
NACIONAL.
Garbarino Alberti, H. (2014). Marco de Gobernanza de TI para empresas Pymes. Madrid:
Universidad Politecnica de Madrid.
Gobernanza de las tecnologías de la información . (17 de 02 de 2020). Obtenido de
https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3
n
Gonzalez, P. (30 de Noviembre de 2018). COBIT 2019 — EL NUEVO MODELO DE GOBIERNO
EMPRESARIAL PARA INFORMACIÓN Y TECNOLOGÍA. Obtenido de Medium:
https://medium.com/@ppglzr/cobit-2019-el-nuevo-modelo-de-gobierno-empresarial-para-
informaci%C3%B3n-y-tecnolog%C3%ADa-a7bf92b7288b
Huércano, S. R. (2018). Manual ITIL V3 Integro. Sevilla: Biable Management, Excellence and
Innovation.
iPMOGuide. (junio de 2018). iPMOGuide. Obtenido de https://ipmoguide.com/cobit-modelo-de-
madurez/
ISACA. (2018). Diseño de una solución de Gobierno de Información y Tecnología.
ISACA. (2018). GUÍA DE IMPLEMENTACIÓN COBIT® 2019. Schaumburg.
ISACA. (2018). Marco de referencia COBIT 2019: ¿Qué es COBIT y qué no es? USA.
ISACA. (2018). Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la
información. USA.
ISACA. (2018). Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T. USA.
ISACA. (2018). Marco de referencia COBIT 2019: Gobierno empresarial de la Información y
Tecnología.
ISACA. (2018). Marco de referencia COBIT 2019: Introducción y Metodología.
ISACA. (2018). Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión
ISACA. (2018). Marco de referencia COBIT 2019: Partes interesadas en el gobierno.
ISACA. (2018). Marco de referencia COBIT 2019: Principios de COBIT 2019.
ISACA. (2019). I N T R O D U C I N G COBIT 2019. Obtenido de Isaca.org:
http://www.isaca.org/COBIT/Documents/COBIT-Current-User_res_eng_1018.pdf
225

Juan Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco Quintero.
(2017). Guía de implementación de gestión de servicio de TI usando ITIL en las MIPYME.
Bogota: ESCUELA COLOMBIANA DE INGENIERÍA JULIO GARAVITO.
Juárez, H. A. (10 de 06 de 2010). ITIL: ¿qué es y para qué sirve? (Magazcitum, Editor)
Recuperado el 12 de 12 de 2019, de Magazcitum:
https://www.magazcitum.com.mx/?p=50#.XlXH6KhKjIU
López Ibarra, L. (s.f.). Redes de agronegocios. Obtenido de
https://sites.google.com/site/redesdeagronegocios/redes-de-valor/temas-de-mapeo-de-redes-de-
agronegocios
Luisa Fernanda Quintero Gómez, Hernando Peña Villamil. (4 de 12 de 2017). Modelo basado en
ITIL para la Gestión de los Servicios de TI en la Cooperativa de Caficultores de Manizales. (U. T.
Pereira, Ed.) Scientia et Technica Año XXII, 22(04), 10. doi:0122-1701
Mejia Jervis, T. (Marzo de 2017). ¿Qué son las Variables de Investigación?: Lifeder.com.
Obtenido de Lifeder.com: https://www.lifeder.com/variables-de-investigacion/
Metodología de investigación, pautas para hacer Tesis. . (Agosto de 2013). Obtenido de tesis-
investigacion-cientifica.blogspot.com: http://tesis-investigacion-
cientifica.blogspot.com/2013/08/que-es-operacionalizacion-de-variables.html
Peñaherrera, I. C. (2015). Desarrollo de un modelo de mejoramiento de procesos de tecnología
de información basado en COBIT5 para Yanbal Ecuador. Quito - Ecuador: Aguayo.
Reguant Alvarez, M., & Martínez-Olmo, F. (2014). OPERACIONALIZACIÓN DE CONCEPTOS/
VARIABLES. Barcelona. Obtenido de
http://diposit.ub.edu/dspace/bitstream/2445/57883/1/Indicadores-Repositorio.pdf
Rodriguez, L. I. (2019). Manual de Puestos de la DTIC 2019-2021. Quito.
S.L., S. (01 de 01 de 2019). INTRODUCCIÓN A ITIL V3. (S. S.L., Editor) Recuperado el 12 de 12
de 2019, de ServiceTonic S.L.: https://www.servicetonic.com/es/itil/introduccion-a-itil-v3/
Salah Llanes, J. (2017). Modelo de Gobierno y Gestión de TI basado en la estrategia de Gestión
del Riesgo para la.
Sanchis Milla, F. (2015). Definición e implantación de un proceso.
Santana, C. (04 de 02 de 2014). ¿Qué es el Balanced Scorecard? Obtenido de
https://blog.acsendo.com/que-es-el-balanced-scorecard/
Torres, A. (08 de 2016). Interpolados. Obtenido de COBIT 5: UN MARCO DE NEGOCIO PARA
EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA:
https://interpolados.wordpress.com/2016/08/30/cobit-5-un-marco-de-negocio-para-el-gobierno-y-
la-gestion-de-las-ti-de-la-empresa/
Velasteguí, A. (2019). IMPLEMENTACIÓN DEL MODELO INTEGRADO DE MADUREZ Y
CAPACIDADES (CMMI) EN LA UNIDAD INFORMÁTICA DE LA DTIC.
Zone, M. (24 de 04 de 2019). Métricas de cliente. Cómo medir la rentabilidad, la satisfacción y la
fidelidad. Obtenido de http://www.icesi.edu.co/marketingzone/metricas-del-cliente/
226

Anexos

También podría gustarte