GR8 Informe Final

DESARROLLO DE SW I

ESCUELA POLITCNICA NACIONALFACULTAD DE SISTEMAS

EVALUACIN A LA GESTIN DE TI DE LA AGENCIA NACIONAL POSTAL

APLICACIN DE MODELOS DE GESTIN

CATUCUAMBA ECHEVERRA FREDDY XAVIER

CHICA MONCAYO LUIS MANUEL

DIRECTOR: MGTI. Ing. Nidia Guayaquil

Quito, mayo 2014

Quito, 30-4-2014

Seorita Doctora.

Mara de los ngeles Morales Neira.

Directora Ejecutiva.

Agencia Nacional Postal.

Mediante la presente, Servicios Integrales en Tecnologa e Informacin, pone en su consideracin el informe final objeto del contrato 567 de servicios de consultora de TI con fecha entrega abril 30 del 2014.

El mismo presenta el resultado del trabajo de evaluacin en el cual se ha realizado un anlisis de procesos crticos seleccionados sobre la Gestin de TI en la Agencia Nacional Postal mediante los estndares: COBIT 4.1 e ITIL V3 durante el perodo comprendido entre el 20 de febrero de 2014 al 30 de abril de 2014.

Para conocer el estado de la gestin de TI en la institucin se ha recolectado informacin mediante entrega formal y entrevistas al personal tanto operativo como gerencial de la institucin, material que ha servido como fuente de evaluacin y mediciones cualitativas y cuantitativas plasmadas en el presente informe.

Dicho trabajo de evaluacin se ha realizado siguiendo los procesos y estndares planteados en las metodologas utilizadas y con personal capacitado y adems se cont con el monitoreo constante de la MGTI. Ing. Nidia Guayaquil experta certificada en aplicaciones de modelos de gestin.

Como modelo de gestin se ha utilizado:

COBIT 4.1 para la evaluacin de la gestin estratgica de TI, su planificacin, sus objetivos y como estos est alineados a los objetivos estratgicos de la institucin.

ITIL V3 para la evaluacin de la gestin tctica de TI, sus servicios, su disponibilidad y como, estos contribuyen para al negocio optimizando los recursos asignados.

El presente informe contiene:

Caracterizacin actual de la Institucin y de la Unidad de TI dentro de la misma

Anlisis de los procesos crticos seleccionados segn el estndar COBIT 4.1, el nivel de madurez alcanzado y recomendaciones de mejora

Anlisis de los procesos crticos seleccionados segn el estndar ITIL V3, el Cuadro de Mando Integral con valoracin alcanzada y recomendaciones de mejora

Conclusiones y recomendaciones a la Institucin y del proyecto

Adems como parte del documento se presentan los anexos donde se encuentra toda la informacin recabada, de entrevistas, informacin entregada y evaluaciones realizadas. La informacin recolectada, generada y presentada no ser divulgada a interesados ajenos a la institucin bajo ninguna circunstancia, SITI se compromete en brindar aclaraciones a dudas sobre el presente informe.

Agradezco la atencin prestada a la presente, y me despido de Usted reiterndole mi ms distinguida consideracin.Freddy Xavier Catucuamba Echeverra

Servicios Integrales en Tecnologa e InformacinNo. Registro: 1034-11-1038124

INFORME FINAL

Tabla de contenido3Tabla de contenido

61Caracterizacin de la Empresa

61.1Presentacin:

61.2Historia:

71.3Misin:

71.4Visin:

71.5Estructura organizacional:

92Caracterizacin del Sistema

92.1Caracterizacin de la Unidad de TI

92.1.1Estructura Organizacional:

92.1.2Posicin de la unidad de TI en la toma de decisiones.

102.1.3Servicios Ofertados (Catlogo de Servicios)

132.2Caracterizacin de la Capacidad Instalada

132.2.1Infraestructura

152.2.2Aplicaciones

162.2.3Informacin

182.2.4Gente

193Anlisis de los Dominios COBIT

193.1Seleccin de Procesos crticos

203.2Anlisis comparativo de procesos COBIT

203.2.1Anlisis de los dominios COBIT PO01 Definir un Plan Estratgico de TI.

283.2.2Anlisis de los dominios COBIT PO02 Definir la Arquitectura de la Informacin.

353.2.3Anlisis de los dominios COBIT AI6 Administrar Cambios

433.2.4Anlisis de los dominios COBIT AI7 Instalar y Acreditar Soluciones y Cambios

533.2.5Anlisis de los dominios COBIT ME4 Proporcionar Gobierno de TI

634Determinacin del grado de Madures de los procesos seleccionados

745Anlisis de acuerdo a ITIL

745.1Seleccin de Procesos Crticos

755.2Anlisis Comparativo de Procesos ITIL

755.2.1Anlisis de acuerdo ITIL 01-FM Administracin Financiera.

785.2.2Anlisis de acuerdo ITIL 05-SLM Administracin de niveles de servicio

835.2.3Anlisis de acuerdo ITIL 08-ITSCM Administracin de la continuidad del servicio

875.2.4Anlisis de acuerdo ITIL 10-PM Administracin de proveedores.

915.2.5Anlisis de acuerdo ITIL 11-CHM Administracin de cambios.

965.2.6Anlisis de acuerdo ITIL 24-TM Administracin tcnica.

1015.2.7Anlisis de acuerdo ITIL 01-FM Administracin Financiera.

1066Anlisis de acuerdo a BSC ITIL

1066.1Seleccin de Procesos Crticos

1076.2Mapa de semforos

1086.3Recomendaciones de Mejora

1096.3.1Anlisis por perspectiva

1146.3.2Anlisis por proceso

1236.3.3Anlisis por componentes de proceso

1407Anlisis de diferencias entre versiones COBIT 4.1 y COBIT 5

1407.1Mapa de diferencias

1427.2Cambios Necesarios para adaptar el anlisis cap. 3

1438Anlisis de diferencias entre ITIL versin 3 / 2007 y 2011

1438.1Mapa de diferencias

1498.2Cambios necesarios para adaptar el anlisis cap. 5

1509Recomendaciones estructuradas

1501.PROBLEMA DETECTADO No. 1





15510Conclusiones y recomendaciones

15510.1Conclusiones y recomendaciones dirigidas a la empresa

15510.1.1Conclusiones

15510.1.2Recomendaciones

15610.2Conclusiones y recomendaciones dirigidas al proyecto

15610.2.1Conclusiones

15610.2.2Recomendaciones

15711ANEXO A

157Formularios y Documentos

15811.1Catlogo de Servicios

16011.2Clculos de Costos de Servicios

16711.3Clculos de Disponibilidad de los servicios

16811.4SLAs de servicios

18311.5Diagrama Service Desk

18411.6Bitcora de Eventos

18612ANEXO B

186FORMULARIOS INTERMEDIOS

18712.112 componentes COBIT aplicados

21512.29 componentes ITIL aplicados

23812.3Formularios modelo BSC - ITIL

25813ANEXO C

258DOCUMENTOS DE LA EMPRESA

25913.1Concepcin del proyecto

1 Caracterizacin de la Empresa1.1 Presentacin:

La Agencia Nacional Postal, es un organismo tcnico que establece polticas, normas, reglamentos y dems procedimientos que aseguren una adecuada gestin de los actores del sector postal para as precautelar los derechos de los usuarios, estableciendo estndares de calidad que aseguren una efectiva competencia.

La Agencia est adscrita al Ministerio de Telecomunicaciones y de la Sociedad de la Informacin, Cartera de Estado que garantiza el acceso igualitario a distintos servicios, as como su uso efectivo, eficiente y eficaz.

1.2 Historia:

El 29 de julio de 2008, mediante decreto ejecutivo No. 1207, el Presidente de la Repblica, el Eco. Rafael Correa, cre la Agencia Nacional Postal con el fin de normar, controlar y regular al sector postal en el Ecuador, adems de garantizar los derechos de la ciudadana en materia postal.Por mucho tiempo el sector postal fue desatendido, perjudicando a ecuatorianos y ecuatorianas que utilizaban este servicio. Despus del nacimiento de la Agencia Nacional Postal y con cinco aos de vida institucional, compartimos con la ciudadana los principales logros que ha llevado a cabo esta entidad por la revolucin postal en nuestro pas:Implementacin del Cdigo Postal del Ecuador:Luego de 73 aos, despus del primer pas con cdigo postal en el mundo, se suma el Ecuador, que el 27 de junio de 2013, implement esta herramienta que promueve la inclusin de los ecuatorianos y el crecimiento del sector postal, generando por primera vez en nuestro pas una identidad postal reconocida a nivel internacional.Control y regulacin del sector postal:Se han realizado un promedio de 1555 inspecciones a operadores postales en todo el pas por ao, para verificar el cumplimiento de la normativa emitida por la Agencia Nacional Postal, mediante operativo de control ordinario y otros con el Ministerio del Interior.

Como resultado de las inspecciones, 889 empresas de envos obtuvieron Certificados de Registro de Operadores Postales, una vez que cumplieron con todos los requisitos bsicos de funcionamiento y prestacin del servicio referido.

Participacin internacional:El Ecuador, a travs de la Agencia Nacional Postal, por primera vez en su historia fue elegido como miembro del Consejo de Administracin Postal, dignidad ganada en el 25avo. Congreso de la Unin Postal Universal, en Doha Catar, en octubre del 2012.

El 23 de abril de 2013, la Agencia Nacional Postal, en representacin del Ecuador, fue electa Vicepresidente de la Comisin de Cuestiones Reglamentarias de la Unin Postal Universal (UPU), en la sesin especial del Consejo Administrativo, que se celebr en Berna Suiza. Las principales actividades que deber realizar sern: estudiar las cuestiones relativas a las polticas gubernamentales sobre cuestiones postales, supervisar la evolucin de la normativa internacional, considerar y aprobar las medidas necesarias para salvaguardar y mejorar la calidad del servicio postal, entre otros.1.3 Misin:Somos una entidad gubernamental que norma, regula y supervisa el sector postal, pblico y privado, mediante la aplicacin de instrumentos tcnicos y legales que garanticen una eficiente prestacin del servicio postal universal y dems servicios complementarios protegiendo los derechos de la ciudadana.

1.4 Visin:

Al 2017, ser una entidad de regulacin y supervisin, que ejerza su mandato legal segn las mejores prcticas internacionales, que goce de la confianza y reconocimiento de la sociedad, contribuyendo a la democratizacin y sostenibilidad del sector postal as como a la proteccin de los derechos de la ciudadana; apoyndose en el capital humano competente, con recursos materiales y tecnolgicos adecuados.1.5 Estructura organizacional:

La estructura organizacional de gestin por procesos de la Agencia Nacional Postal, se alinea con su misin y objetivos; y se sustenta en la filosofa y enfoque de supervisin y proteccin al usurario de los servicios postales, con el propsito de asegurar su ordenamiento orgnico.

Procesos de la Agencia Nacional Postal.- Los procesos que elaboran los productos y servicios de la Agencia Nacional Postal, se ordenan y clasifican en funcin de su grado de contribucin o valor agregado al cumplimiento de la misin institucional.

Los procesos gobernantes orientan la gestin institucional a travs de la formulacin y la expedicin de polticas, normas e instrumentos para poner en funcionamiento a la organizacin.

Los procesos agregadores de valor generan, administran y controlan los productos y servicios destinados a usuarios externos y permiten cumplir con la misin institucional.

Los procesos habilitantes estn encaminados a generar productos y servicios para los procesos gobernantes, agregadores de valor y para s mismos, viabilizando la gestin institucional.

La Agencia Nacional Postal, para el cumplimiento de su misin y responsabilidades, desarrolla su gestin a travs de sus procesos internos y est conformada por:

1. PROCESOS GOBERNADORES:1.1. Direccin Ejecutiva

1.2. Subdireccin General2. PROCESOS AGREGADORES DE VALOR:2.1. Direccin de Regulacin

2.2. Direccin de Registro, Inspeccin, Control y Proteccin al Usuario3. PROCESOS HABILITANTES3.1. ASESORIA:

3.1.1 Direccin de Asesora Jurdica

3.1.2 Direccin de Relaciones Internacionales y Comunicacin

3.1.3 Unidad de Planificacin3.2 APOYO:

3.2.1 Direccin Administrativa Financiera

3.2.2 Unidad de Talento Humano4. PROCESOS DESCONCENTRADOS:

4.1. DELEGACION ZONAL GUAYAS4.2. DELEGACION ZONAL AZUAY2 Caracterizacin del Sistema 2.1 Caracterizacin de la Unidad de TI

2.1.1 Estructura Organizacional:

2.1.2 Posicin de la unidad de TI en la toma de decisiones.

El equipo de tecnologa forma parte de la Direccin Administrativa Financiera, sus actividades descritas en la estructura organizacional de gestin por procesos son:

a) Plan de desarrollo informtico e informe de ejecucin;

b) Plan de mantenimiento de software y hardware e informe de ejecucin;

c) Auditoras informticas;

d) Plan de contingencias informticas e informe de ejecucin; y,

e) Pgina web institucional.

2.1.3 Servicios Ofertados (Catlogo de Servicios)A continuacin se lista los servicios ofertados por el equipo de tecnologa de la Agencia Nacional Postal, el objetivo principal de este es compendiar toda la informacin referente a los servicios que los clientes deben conocer para asegurar un buen entendimiento entre stos y la organizacin TI.CdigoNombre del servicioDescripcin del ServicioHorario del ServicioDisponibilidadEstado

S-001Correo ElectrnicoEste servicio permite el intercambio de informacin mediante el envo y recepcin de mensajes.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-002Telefona IPEste servicio permite la comunicacin dentro de la institucin utilizando los enlaces de datos y el cableado interno.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-003Servicio BiomtricoEste sistema permite el registro asistencia y de salida y retorno del almuerzo.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-004InternetServicio que permite conectarse a redes de comunicacin donde se publica informacin, servicios y otras aplicaciones.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-005Servicio de red de datosCon este servicio, se permite que todos los usuarios puedan acceder y compartir informacin y que sus equipos sean actualizados.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-006Servicio inalmbrico de red de datos (red wifi)Permite que las personas autorizadas puedan acceder a la red mediante equipos portables.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-007Servicio de seguridad contra virus informticosEste servicio permite que los equipos de la institucin estn libres de virus informtico.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-008DNSEste servicio permite la administracin de nombres de dominio y sincronizacin8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-009DHCPEste servicio permite la asignacin dinmica de direcciones IP segn configuracin establecida.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-010Servicio ProxyEste servicio permite la administracin de niveles de acceso a la red, registro y prohibiciones de cierto tipo de trfico8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-013Seguridad fsica del entronoEstablece sistemas como CCTV y registro de entrada y salida a diferentes reas de la institucin.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-014Sistema de Administracin y Control Postal (SACP)Sistema que permite la administracin de Operadores Postales por parte de la institucin8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-015Cdigo PostalSistema que permite la administracin de Operadores Postales por parte de la institucin24/07_3 nuevesOperacin

S-016Sistema normalizadorSistema que permite la normalizacin de direcciones con la asignacin de su correspondiente cdigo postalsegn demanda98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-017Servicio administracin ESIGEFAdministracin de usuarios y funciones dentro del sistema ESIGEF8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-018Servicio administracin GPRAdministracin de usuarios y funciones dentro del sistema GPR8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-019Servicio administracin INFODIGITALCoordinacin del sistema INFODIGITAL, asignacin de supervisores y visualizadores8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-020Servicio administracin QUIPUXAdministracin de usuarios, contraseas, funciones y permisos dentro del sistema QUIPUX8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-021Servicio de equipos de cmputoGarantizar el correcto funcionamiento de los equipos de cmputo asignados a los usuarios.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

S-022Servicio de impresinGarantizar el funcionamiento de los equipos de impresin asignados a cada rea.8am-18:30pm98,5%Es menor al estndar mnimo de calidad (99,9)Operacin

Dentro de la institucin no se cuenta con un catlogo de servicios TI, por lo que los usuarios no conocen la cartilla de servicios, su disponibilidad y acuerdos de nivel de servicio, esto se refleja en la poca confianza y satisfaccin de los usuarios.

2.2 Caracterizacin de la Capacidad Instalada

2.2.1 Infraestructura

A continuacin se lista la infraestructura tecnolgica con la que cuenta la Agencia Nacional Postal, el objetivo principal de este es compendiar toda la informacin referente a servidores, computadores, impresoras, escner, telefona IP, infraestructura y comunicacin con los que se realizan las operaciones diarias dentro de la institucin.

SERVIDORES

NoTipoMarcaModeloTipoDiscoCantidad

1Servidor Blade HP y chasisHP1

2SERVIDOR HP DL120G7HPProLiant BL465c G712-Core AMD Opteron, 2200MHz (2)146 GB1

3SERVIDOR HP DL120G7HPProLiant BL465c G712-Core AMD Opteron, 2200MHz (2)146 GB1

4SERVIDORES BLADE HPHPProLiant BL465c G6Six-Core AMD Opteron, 2600MHz (1)146 GB1

5SERVIDORES BLADE HPHPProLiant BL465c G6Six-Core AMD Opteron, 2600MHz (1)146 GB1

COMPUTADORAS

NoTipoMarcaModeloTipoDiscoCantidad

1Computador portableHPNETBOOK MINI 51037

2Computador portableDELLDELL VOSTRO1

3Computador portableHPPRO 6730B14

4ComputadorDELLDELL OPTIPLEX2

5ComputadorHPPRO 630016

6ComputadorHPPRO 62006

7ComputadorHPCOMPAQ DC580022

IMPRESORAS Y ESCANERS

NoTipoMarcaModeloTipoCantidad

1IMPRESORAHPLASERJET COLOR CM2320 MFMULTIFUNCIN1

2IMPRESORAHPLASER color CM3530fs MFPMULTIFUNCIN1

3IMPRESORAHPLASERJET Monocromtica M2727MULTIFUNCIN3

4IMPRESORAHPLASER Monocromtica M3027MULTIFUNCIN4

5IMPRESORAEPSONmodelo LX-300MATRICIAL2

6IMPRESORAPIMACO SMART LABEL SLP440-PSCDIGOS1

7IMPRESORASHARPIMPRESORA LASER JET P2055DNMULTIFUNCIN1

8IMPRESORAEPSONC11CCB422011

9SCANNERHP7500 N/P L2725A2

TELEFONA IP


1TELEFONOSNOMM38

2TELEFONOCISCOSPA502G38

3TELEFONOCISCOSPA962G18

4TELEFONOUNIDATAIP WIRELES WPU-78006

5TELEFONOCISCOUC PHONE 6941 CHARCOAL STANDART HANDSET5

6CENTRAL TELEFNICAASTRIBANKAMAXONIA IPBX2

7CENTRAL TELEFNICAASTRIBANKGATEWAY XR00721

8CENTRAL TELEFNICAPANASONIC KX-TEM824L1

INFRAESTRUCTURA Y COMUNICACIN


1SWITCH 48CISCOCISCO CATALYST2

2SWITCH48CISCOCISCO CATALYST2

3SWITCH 48HPA5120 48BbPoE+1

4GPSOREGON550N4

5ACCESS POINTCISCOACCESS POINT 4

6BANDEJAHPBANDEJA ADICIONAL PARA DISCOS EVA 44002

Con la creacin de la institucin en Julio de 2008, se realiz el dimensionamiento del hardware del centro de datos, mismo que no ha sido renovado ni actualizado, dando como resultado que este se encuentre trabajando al lmite de su capacidad y que por lo tanto no pueda soportar los servicios planificados para este ao.No se ha contemplado la renovacin de equipos de escritorio que ya han cumplido su ciclo de vida til, de forma que existen usuarios con computadores con ms de 5 aos de uso, lo que se refleja en un equipo lento y con fallas frecuentes.2.2.2 Aplicaciones

A continuacin se lista las aplicaciones con la que cuenta la Agencia Nacional Postal, el objetivo principal de este es compendiar toda la informacin referente a aplicaciones desarrolladas con el fin de cubrir los principales requerimientos del negocio con los que se realizan las operaciones diarias dentro de la institucin.

No.CdigoNombreDescripcindesarrolloProveedorltima Versin

1SACPSistema Automtico de Control PostalEs un administrador de procesos de negocio (BPM) que realiza los flujos de: reclamos, quejas, registro de llamadas, registro de actividades diarias, envos rezagados, registro de operadores postales e inspecciones.ANPCOBUSV 1.0 / 12/12/12

2Cdigo PostalGeoportal webSistema de identificacin del cdigo postal en base a direcciones o referencias ingresadasANPV 1.2

3NormalizadorSistema Normalizador de DireccionesSistema de carga masiva para la validacin de direcciones y asignacin de su respectivo cdigo postalANPV 1.0

4SAAUPSistema Automtico de Atencin al Usuario PostalSistema de puntos automticos de recoleccin de informacin sobre quejas y reclamos instalados en las principales ciudades del pas (Quito, Guayaquil, Cuenca)ANPPeople WebV 0.1

Las aplicaciones se encuentran desarrolladas en diferentes leguajes de programacin, sin una arquitectura definida, lo que incrementa la necesidad de conocimiento especializado en las diferentes plataformas de programacin, para dar mantenimiento e incluir mejoras en los sistemas desarrollados.

2.2.3 Informacin

A continuacin se lista los grupos de informacin que existe dentro de la Agencia Nacional Postal, el objetivo principal de este es compendiar toda la informacin referente la informacin con la que se labora los requerimientos del negocio y las actividades diarias dentro de la institucin.

No.CdigoNombreDescripcinMarca, VersinProveedorDimensin

1inf_deInformacin de la direccin ejecutivaInformacin de representacin legal, judicial y extrajudicial de la institucin, nombramientos, contratacin del personal ejecutivo, tcnico y administrativo. Informacin de autorizacin de gastos e inversiones, fianzas, as como los documentos pblicos o privados que otorgue la institucin.manual

2inf_drcRegistro, Inspeccin, Control y Proteccin al UsuarioInformacin de los operadores postales, su proceso de certificacin, la valides del mismo, las inspecciones realizadas y los casos generadosSistema de administracin y control postalCOBUS30 GB

3inf_drNormas y Regulaciones PostalesNormas, regulaciones y estndares de calidad para las operaciones postales tanto pblicas como privadas as como estudios tcnicos relacionados al sector postal.manual

4inf_dajInformacin jurdica de la institucinDocumentacin judicial y extrajudicial, criterios de carcter jurdico, informes legales, proyectos, reformas de leyes, decretos, convenios, acuerdos contratos, reglamentos y ms instrumentos legales que involucre defensa de los intereses de la Agencia Nacional Postalmanual

5inf_dric Comunicacin y relaciones internacionalesPolticas y estrategias de comunicacin social y relaciones pblicas, informacin de congresos, conferencias, seminarios, becas, asistencia tcnica ofrecida por la Unin Postal Universal, por la Unin Postal de las Amricas, Espaa y Portugal, y de administraciones postales de otros pases; as como de informacin de convenios internacionales, y difusin de las actividades institucionales.manual

6inf_upPlanificacin InstitucionalInformacin de planes, programas y proyectos institucionales y de gobierno. Gobierno Por ResultadosSubsecretara de la administracin pblicaN/D

7inf_thInformacin del personal de la institucin.Informacin de la estructura de la institucin, las funciones de cada rea y cada funcionario, reglamentos internos de administracin, evaluacin de desempeo de funcionarios, informes de sanciones disciplinarias, estudios de clima laboral y satisfaccin institucional.MANUAL

8inf_dafInformacin administrativa financieraInformacin actividades financieras, presupuestarias y contables, as como de los activos, materiales y bienes de la institucin y su contratacinESIGEFMinisterio de FinanzasN/D

No se cuenta con un sistema de gestin documental interno que permita la administracin de la informacin considerando los niveles de seguridad segn su esquema de clasificacin.2.2.4 Gente

A continuacin se lista el personal con el que cuenta en equipo de TI dentro de la Agencia Nacional Postal, el objetivo principal de este es compendiar toda la informacin referente al personal encargado de gestionar y soportar las actividades tecnolgicas dentro de la institucin

No.IdentificadorNombres Nivel FormacinAntigedad EmpresaRolFuncinAntigedad Cargo

1per_as2Gabriela VidalIngeniero4 mesesAdministracin de sistemas de informacin Administracin de servicios TI1 ao

Administracin de infraestructura de TI

Soporte tcnico de primer nivel para problemas de servicios e infraestructura

2per_ap4Pablo GmezBachiller2 aosSoporte Tcnico Soporte tcnico a usuarios finales20 aos

Mantenimiento de equipos de cmputo

Preparacin de equipos de usuario final

3per_extRoberto SalazarIngeniero2 aosSoporte tcnico especializado en infraestructura Soporte tcnico especializado de herramientas software e infraestructura.

Configuracin de nuevas herramientas software10 aos

4per_as3Freddy CatucuambaIngeniero5 mesesRepresentante de la unidad de TI, encargado Definir la planificacin estratgica de la Unidad de Tecnologas de la Informacin y Comunicacin.

Dirigir la elaboracin y ejecucin del plan operativo anual de la unidad.

Asesorar y gestionar la implementacin de nuevas tecnologas para innovar procesos institucionales

Evaluar y administrar riesgos de la unidad

Implementar el Esquema Gubernamental de Seguridad de la Informacin.

Gestin de recursos y proveedores.

Gestin de contrataciones para la unidad de tecnologa5 meses

El personal con el que cuenta el equipo de TI no es suficiente para cubrir las actividades requeridas dentro de una unidad de TI, adems no se cuenta con una asignacin formal de roles y funciones que garanticen el correcto funcionamiento de las actividades de TI3 Anlisis de los Dominios COBIT

3.1 Seleccin de Procesos crticos

Una vez realizado un anlisis de la situacin y haber mantenido reuniones con la alta gerencia y el departamento de TI de la Agencia Nacional Postal se identific procesos crticos que influyen en la gobernabilidad de TI en la organizacin de los cuales detallamos:Planear y Organizar

PO1Definir un Plan Estratgico

PO2Definir la Arquitectura de la informacin

Adquirir e Implementar

AI6Administrar Cambios

AI7Instalar y Acreditar soluciones y Cambios

Monitorear y Evaluar

ME4Proporcionar Gobierno de TI

3.2 Anlisis comparativo de procesos COBIT

3.2.1 Anlisis de los dominios COBIT PO01 Definir un Plan Estratgico de TI.

DOMINIOPlanear y Organizar

PROCESODefinir un Plan Estratgico de TI.

CDIGOPO01

Componente 1: Criterio de informacin

Proceso COBITP/SCriterioCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.PEfectividadSe establece un Plan Estratgico de TI orientado a mejorar la efectividad de los recursos de TI para a partir de esto poder orientar los servicios a los procesos del negocio~

SEficienciaSe tiene conocimiento que la informacin no es eficiente pero no se realiza los correctivos necesario por falta de recursosX

Recomendaciones

1. La informacin dentro de un Plan Estratgico de TI (PETI) debe ser relevante, se debe proporcionar de una manera correcta, oportuna, consistente y utilizable, esto se conseguir alineando el PETI a los objetivos del negocio.

2. El PETI debe considerar la generacin de la informacin de forma ptima, cuidando el uso de los recursos garantizado la productividad y economa de los servicios, proyectos y actividades que se realizan en el rea.

Componente 2: Componentes de gobierno

Proceso COBITGOBIERNOCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.PAlineacin estratgicaEl plan estratgico est orientado a cumplir con lo acordado en la constitucin de la repblica y directamente con un objetivo de la institucin que es garantizar la disponibilidad de los servicios.~

SAdministracin de riesgosNo se cuenta con un plan de administracin de riesgos.X

SAdministracin de recursosSe asignan recursos los cuales son distribuidos para implementacin de soluciones y el pago de gastos requeridos~

Recomendaciones

1. Se recomienda revisar la planificacin estratgica institucional y en base a esta definir el plan estratgico de TI de forma que se garantice la alineacin y cumplimiento de los objetivos del negocio.

2. Es recomendable que dentro del PETI se considere la administracin de riesgos y como se va a gestionar conjuntamente con los riegos corporativos.

3. El PETI debe considerar el uso ptimo y eficiente de los recursos de TI de forma que se garantice obtener el mximo provecho de estos.

Componente 3: Objetivos de control

Proceso COBITCdigoNombreCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.PO1.1PO1.1 Administracin del Valor de TI.

Las actividades se orientan a la entrega de informacin efectiva y eficiente, por lo cual todas las inversiones deben ser orientadas a sustentas los casos de negocio, y estas deben tener acuerdos claros de nivel de servicios.Las actividades se orientan a un objetivo operativo que es garantizar la disponibilidad de los servicios, en una segunda etapa se plantea incrementar el valor de TI, para esto es necesarios ms recursos~

PO1.2PO1.2 Alineacin de TI con el Negocio.

Comunicar de forma que se llegue a una comprensin de las ventajas que plantea tener las metas del negocio y metas TI alineadas para capitalizar los objetivos del negocio.Las actividades se orientan a un objetivo operativo que es garantizar la disponibilidad de los servicios, pero no existe el entendimiento por parte de la gerencia de los beneficios que TI pueden generar al negocio, mismos beneficios que implican una inversin en recursos.~

PO1.3PO1.3 Evaluacin del Desempeo y la Capacidad Actual.

Evaluar la planificacin y los sistemas de informacin en funcin de los objetivos del negocio.Existe una evaluacin de los servicios brindados por parte de TI en funcin de un objetivo que es garantizar la disponibilidad de los servicios.~

PO1.4PO1.4 Plan Estratgico de TI.

Crear un Plan Estratgico de TI detallado que incluya presupuesto, fuentes de financiamiento, requerimientos legales y regulatorios, y que contribuya a los objetivos estratgicos de la empresaExiste un plan estratgico con recursos, requerimientos legales y regulatorios que contribuye a un objetivo de gerencia que es garantizar la disponibilidad de los servicios~

PO1.5PO1.5 Planes Tcticos de TI.

Definir los planes tcticos con detalle de forma que de esta se deriven los portafolios de proyectos y como sus recursos y beneficios sern administrados y monitoreadosNo existe planificacin tcticaX

PO1.6PO1.6 Administracin del Portafolio de TI.

Administrar el portafolio de programas de TI requerido para lograr los objetivos estratgicos del negocio.El plan estratgico de TI incluyen 9 planes para lograr alcanzar el objetivo de garantizar la disponibilidad de servicios de TI~

Recomendaciones

1. La administracin de valor de TI debe orientar las actividades a la entrega de informacin efectiva y eficiente, si bien uno de los objetivos operativos del negocio es incrementar la disponibilidad de los servicios, no todos los objetivos del negocio estn ptimamente sustentados por servicios de TI; se debe tener en cuenta que hoy en da un 99% de las actividades se las realiza utilizando las Tecnologas de la informacin y comunicacin, por lo cual todas las inversiones deben ser orientadas a sustentas los casos de negocio, y se deben establecer acuerdos claros de nivel de servicios.2. La informacin es uno de los activos con ms valor dentro de la institucin, la correcta gestin y utilizacin permitir que se alcancen los objetivos de una forma efectiva y eficiente, pero esto solamente se logra cuando los usuarios y en especial los gerentes tengan la visin de las ventajas que plantea tener las metas del negocio y metas TI alineadas para alcanzar los objetivos del negocio.3. Existe una evaluacin de un grupo de servicios, dicha actividad se realiza de forma manual, permitiendo que existan errores humanos y una baja calidad en la credibilidad de los resultados, por tal motivo se recomienda realizar una evaluacin del desempeo de los planes existentes, de la Capacidad Actual y sus caractersticas, todo esto en funcin de su contribucin a los objetivos de la institucin. 4. Se recomienda la creacin de un Plan Estratgico de TI detallado que est orientado a la colaboracin de los objetivos estratgicos de la institucin, en el este se debe detallar los proyectos de inversin y de gasto corriente, el presupuesto, la estrategia de adquisicin, los requerimientos legales y regulatorios, deben estar claros los servicios que van a brindar, as como la disponibilidad, recursos requeridos, niveles de servicio.5. A partir de la definicin del plan estratgico detallado se establecen los planes tcticos que se van a realizar con el fin de alcanzar los beneficios esperados, se debe establece un portafolio de proyectos y servicios definiendo los recursos y requerimientos necesarios para alcanzar las metas del negocio.6. Se recomienda que los proyectos sean complementarios unos con otros de forma que se pueda establecer portafolios de programas de TI siempre alineados a los objetivos estratgicos de TI.

Componente 4: Relacin de procesos, entrada / salida

Proceso COBITCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.ProcesoEntrada

PO5Reportes de costo / beneficioNo se realizan reportes de costo / beneficioX

PO9Evaluacin de riesgoNo se realizan evaluaciones de riesgo, y si se lo realiza no se lo toma en cuenta por no tener presupuesto asignadoX

PO10Portafolio de proyectos actualizadoExiste dentro del Plan estratgico de TI 2014~

DS1Requerimientos de servicio nuevos / actualizados; portafolio de servicios actualizadoSe ha realizado un anlisis de servicios que requieren los usuarios, pero no se han requerido nuevos serviciosX

*Estrategia y prioridades del negocioExiste dentro del Plan institucional 2014~

*Portafolio de programasEl portafolio de programas y proyectos institucionales lo lleva la unidad de planificacin dentro del sistema Gobierno Por Resultados~

ME1Entradas a desempeo de planeacin de TINo se verifica el desempeo de planeacin de TIX

ME4Reporte del estado del gobierno de TI; direccin estratgica de la empresa para TINo existe gobierno de TIX

ProcesoSalida

PO2..PO6, PO8,PO9, AI1, DS1Plan estratgico de TISe tiene el Plan estratgico de TI 2014, orientado a garantizar la disponibilidad de los servicios~

PO2..PO6,PO9, AI1,DS1Plan tctico de TINo se ha realizado un plan tctico de TIX

PO5, PO6, PO10, AI6Portafolios de proyectos de TIExiste dentro del Plan estratgico de TI 2014~

PO5, PO6, PO9, DS1Portafolio de servicios de TINo se ha levantado la informacin del portafolio de servicios de TIX

DS2Estrategia de contratacin externa de TINo se ha realizado una estrategia de contratacin externa de TIX

AI5Estrategia de adquisicin de TIExiste una distribucin del presupuesto asignado en base a los proyectos que ejecuta el equipo de TI, con fechas de adquisicin, pero no existe una estrategia interna propiamente dicha, se sigue los lineamientos de contratacin pblica vigente~

Recomendaciones

1. Para definir un Plan Estratgico de TI es necesario contar con el reporte costo benfico de los servicios y proyectos que se establecen.2. Otro de los puntos clave es que se realice un levantamiento de los riesgos en los cuales se encuentra inmerso los servicios y proyectos TI3. Es necesario contar con un portafolio de proyectos actualizado en donde conste el detalle de todos los proyectos realizados, en proceso y los planificados para en base a estos establecer el PETI4. De igual forma es necesario contar con un portafolio de servicios actualizado en donde consta el detalle de los servicios, sus acuerdos SLA, SLR, OLAs tanto de los existentes como de los planificados.5. Las estrategias de prioridad del negocio se deben establecer y dar a conocer por la alta gerencia para que a partir de esta se identifique el enfoque de la institucin y se realice el plan orientado a la consecucin de estas prioridades del negocio.6. Es necesario conocer el portafolio de programas que se ha establecido para la institucin para analizarlos desde una ptica de TI y reconocer como puede contribuir o afectar los servicios prestados por TI.7. Teniendo en cuenta que la planificacin no es un proceso esttico sino que se modifica segn las necesidades y acuerdos del negocio, es fundamental conocer el desempeo de la planeacin de TI para establecer actividades correctivas o incentivndolas en caso de ser necesario. 8. Es necesario conocer el estado del gobierno de TI y como esta complementa a la direccin estratgica de la institucin de forma que permita conocer si se estn cumpliendo los objetivos de gobierno establecidos.9. El principal entregable de definir un Plan Estratgico de TI ex el mismo Plan Estratgico de TI elaborado.10. A partir del Plan estratgico de TI se establece el plan tctico de TI el cual nos indica cmo se van a realizar las actividades.11. Todo Plan Estratgico de TI establece el portafolio de proyectos con los cuales va a trabajar con el fin de cumplir con los objetivos establecidos.12. De la misma forma se debe establecer un portafolio de servicios los cuales se van a garantizar su funcionamiento, disponibilidad y confiabilidad.13. En caso de ser necesario contratar a personal o empresas externas se debe establecer la estrategia para la contratacin, negociacin y establecimiento de trminos de referencia, entregables y medios de verificacin.14. En caso de requerir realizar adquisiciones se debe establecer la estrategia y procedimientos, que complementen la reglamentacin externa.

Componente 5: Roles RACI

Proceso COBITRol ResponsableCumplimiento

P01 Definir un Plan Estratgico de TI.Relacionar las metas del negocio con las de TIEjecutivo de negocioCIODirector Administrativo Financiero

Identificar dependencias crticas y desempeo actualEjecutivo de negocioCIODirector Administrativo Financiero

Construir un plan estratgico para TICIOAnalista de sistemas 3

Construir planes tcticos para TIPMOAnalista de sistemas 3

Analizar portafolios de programas y administrar portafolios de servicios y proyectosDueo de proceso de negocioJefe de operacionesJefe de desarrolloAnalista de sistemas 3

Recomendaciones

1. Se recomienda que el plan sea elaborado consultando al representante del negocio con y el jefe de TI de forma que se relaciones correctamente las metas del negocio con las de TI, la DAF no debe realizar las relaciones de TI ya que no es competencia de esta.

2. Se recomienda que las dependencias crticas y desempeo actual de los sistemas se lo realice consultando al representante del negocio con y el jefe de TI de forma que se relaciones correctamente las metas del negocio con las de TI, la DAF no puede establecer lineamientos de TI ya que no est dentro de sus actividades

3. Se recomienda que el plan de TI sea desarrollado por el Analista de sistemas 3 pero que tenga presencia en el Staff o directorio.

4. Se recomienda que la planificacin tctica la realice una persona con conocimientos de metodologa de planificacin, por ser una institucin pequea una misma persona puede realizar varias actividades.

5. Es necesario que los proyectos sean analizados entre el dueo del proceso del negocio y la persona que realiza el anlisis de operaciones y desarrollo TI, no se debe considerar solo la visin de TI.

Componente 6: Metas de TI

Proceso COBITNo.MetaCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.1Responder a requerimientos del negocio alineados con la estrategia del negocioNo se responde a requerimientos del negocioX

2Responder a requerimientos del gobierno en lnea con la direccin ejecutiva.Se responde a un requerimiento del gobierno que es garantizar la disponibilidad de los servicios~

Recomendaciones

1. Se recomienda definir la estrategia del negocio, difundirla y establecer un plan de TI alineado a estos.

2. Un plan de TI debe ser una herramienta que permita responder a los requerimientos del negocio y en lnea con la direccin ejecutiva.

Componente 7: Metas de negocio

Proceso COBITNo. TINo.Meta de negocioBSCCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.17Crear agilidad en la respuesta a los cambios de los requerimientos del negocioPerspectiva del clienteNo existe una comunicacin directa que permita una agilidad en la respuesta a los cambiosX

114Gestionar cambios del negocioPerspectiva InternaNo existen procedimientos de gestin de cambios y no se evalan ni implementan cambios.X

22Gestionar los riesgos de TI que afectan al negocioPerspectiva FinancieraNo existe un procedimiento de gestin de riesgosX

23Mejorar gobierno corporativo y transparenciaPerspectiva FinancieraSe plantea una reestructuracin del esquema orgnico funcional de la institucin el cual est pendiente de su aprobacinX

29Obtener informacin fiable y til para tomar decisiones estratgicasPerspectiva del clienteLa informacin no es fiable ya que sus sistemas no estn totalmente operativos y algunos procesos se realizan manualmenteX

212Proporcionar cumplimiento con leyes externas, regulaciones y contratosPerspectiva InternaExisten regulaciones externas que no se cumplen~

213Proporcionar cumplimiento con polticas internasPerspectiva InternaFaltan de establecer ms polticas internas.~

Recomendaciones

1. Se debe establecer procedimientos que creen agilidad en la respuesta s los cambios de los requerimientos del negocio.

2. Los cambios del negocio impactan directamente en las actividades y procesos de la institucin, por tal motivo se recomienda establecer procedimientos que contemplen la gestin del negocio.

3. Se recomienda establecer una planificacin de riesgos y definir como esta afecta al negocio de forma que a partir de esta se consideren los diferentes casos y procesos dentro de la institucin.

4. Las actividades de TI deben estar enmarcadas en la contribucin a los objetivos, metas y estrategias del negocio de forma que sea un apoyo directo a la mejora del gobierno corporativo.

5. la estructura de la informacin que se maneja en TI debe contribuir a generar informacin fiable y til que permita a la alta gerencia tomar decisiones estratgicas}

6. El cumplimiento de leyes, reglamentos, normas y procesos tanto internos como externos es una de las principales actividades que debe realizar la gerencia de TI, estas se deben reflejar en las actividades y procesos internos.

7. El PETI debe establecer procedimientos que permitan evaluar el cumplimiento de las polticas internas, en el mismo se debe establecer la frecuencia y los mtodos de evaluacin

Componente 8: Indicadores de desempeo (KPI)

Proceso COBITNo.IndicadorCumplimientoEvaluacin

P01 Definir un Plan Estratgico de TI.1% de objetivos de TI en el plan estratgico de TI que dan soporte al plan estratgico del negocioNo se lleva un porcentaje de objetivos, pero las actividades estn orientadas a dar soporte a los requerimientos de la institucin.X

2% de iniciativas de TI en el plan tctico de TI que dan soporte al plan tctico del negocioNo existe plan tctico, por lo que no se puede evaluar este puntoX

3% de proyectos de TI en el portafolio de TI que se pueden rastrear de forma directa al plan tctico de TINo existe plan tctico, por lo que no se puede evaluar este puntoX

Recomendaciones

1. Se recomienda medir el porcentaje de objetivos de TI que se encuentran dentro del plan TI y que dan soporte al plan estratgico del negocio, de esta forma podemos analizar la alineacin con el negocio.

2. Es necesario medir el porcentaje de iniciativas de TI que se encuentran dentro del plan tctico TI y que dan soporte al plan tctico del negocio, de esta forma podemos analizar la alineacin de las actividades y proyectos de TI a las actividades y proyectos del negocio.

3. Se debe medir el porcentaje de los proyectos de TI en el portafolio de TI que se pueden evaluar y corresponder al plan tctico de TI, de esta forma verificamos que los proyectos estn alineados al plan tctico de TI

3.2.2 Anlisis de los dominios COBIT PO02 Definir la Arquitectura de la Informacin.

DOMINIOPlanear y Organizar

PROCESODefinir la Arquitectura de la Informacin.

CDIGOPO02



P02. Definir la Arquitectura de la Informacin.SEfectividadNo se tiene definida la arquitectura de la informacin por lo cual no existe un correcto intercambio de informacin entre las reas de la institucinX

PEficienciaexisten sistemas encargados de procesos del negocio que no estn funcionando y que no se tiene soporte sobre los mismosX

SConfidencialidadNo estn definidos formalmente los niveles de confidencialidad por informacin, sino por usuario y por rea, definiendo grupos de informacin de acuerdo al rea que pertenece o a un grupo especial como Directores.~

PIntegridadLa informacin se debe intercambiar con varias instituciones y debido a que varios sistemas no estn funcionando correctamente, este proceso se lo realiza manualmente.X

Recomendaciones

1. Actualmente se asegura que vivimos en la sociedad de la informacin y por lo tanto como es necesario que la informacin sea relevante y pertinente a los procesos del negocio, para ello se debe establecer una arquitectura de la informacin con el objetivo que esta sea oportuna, correcta, consistente y utilizable.

2. Al establecer una arquitectura de la informacin se debe tener en cuenta que esta se genere garantizando que sea ptima.

3. Con una arquitectura de la informacin se establecen niveles de confidencialidad permitiendo la proteccin de informacin sensitiva evitando de esta forma la revelacin no autorizada.

4. Es requisito de todo negocio que la informacin que se llega a los usuarios sea integra, que sea precisa y completa, esto se lograra con una arquitectura de informacin bien definida.



P02. Definir la Arquitectura de la Informacin.PAlineacin estratgicaLa informacin de los sistemas no se traduce en informes o datos para la gerenciaX

PAdministracin de recursosSe asignan los recursos fsicos de TI para las diferentes reas, pero los sistemas no tiene un funcionamiento correcto, por lo cual no se puede dar acceso a la informacin en forma correcta~


SEntrega de valorNo se realiza un anlisis del valor que generan los sistemas de informacinX

Recomendaciones

1. Es necesario que la arquitectura de la informacin sea establecida considerando los parmetros estratgicos del negocio de forma que se establezca una correcta alineacin entre el negocio, su estrategia y la informacin que se genera.

2. Se recomienda que la arquitectura de la informacin considere parmetros que garanticen el uso eficiente de recursos evitando duplicidad de informacin y haciendo que esta sea efectiva y eficiente.

3. La arquitectura de la informacin debe considerar el riesgo de eventos futuros y establecer actividades y directrices necesarias para gestionar correctamente estas y garantizar la informacin

4. La arquitectura de la informacin debe considerar como principal fin la entrega de valor a las estrategias del negocio de forma que sea un insumo que permite alcanzar los objetivos del negocio.



Modelo de Arquitectura de Informacin Empresarial.

Establecer un modelo de informacin que facilite el desarrollo de aplicaciones que permitan la creacin, uso y el compartir en forma ptima la informacinNo se cuenta con un modelo de informacin.X

PO2.2Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos.Mantener un diccionario de datos empresarial que faciliten la comparticin y fomenten el entendimiento comn de datos previniendo la incompatibilidad de los mismos.No se cuenta con un diccionario de datos empresarial.X

PO2.3Esquema de Clasificacin de Datos.Definir un esquema de clasificacin en base a la sensibilidad de la informacin, esto es : Pblica, Confidencial, Secreta.Se est trabajando en la implementacin de un sistema de seguridad de la informacin que contempla la clasificacin de la informacin.~

PO2.4Administracin de Integridad.Definir e implementar procedimientos para garantizar la integridad de los datos almacenados en formato electrnicoNo existen procedimientos que garanticen la integridad de la informacin.X

Recomendaciones

1. Establecer un modelo de arquitectura de informacin empresarial, de forma que facilite, el uso y comparticin de la informacin, teniendo en cuenta que sea flexible, funcional, oportuna, segura, tolerante a fallos y que sea rentable.

2. Desarrollar un diccionario de datos con un procedimiento de actualizacin cada vez que se realiza un cambio o actualizacin, este diccionario de datos debe ser lo suficientemente explicativo para que sirva de insumo para las aplicaciones y sistemas y fomente un entendimiento comn entre los usuarios de TI y el negocio.

3. Definir un esquema de clasificacin de datos que se aplique a toda la institucin basado en que tan crtica y sensible es la informacin, define datos como propiedad de datos, definicin de los niveles de seguridad y controles de proteccin.

4. Definir e implementar procedimientos para garantizar la integridad de la informacin digital, garantizando que los datos han llegado completos y que no han sufrido cambios en el camino o durante su transmisin.



P02. Definir la Arquitectura de la Informacin.ProcesoEntradaX

PO1Planes estratgicos y tcticos de TINo se ha realizado un plan tctico de TIX

AI1Estudio de viabilidad de requerimientos de negocioSe han solicitado una lista de proyectos a ejecutar y se los analiz en reunin de acuerdo a la factibilidad econmica.~

AI7Revisin post implementacinNo se ha realizado y por este motivo se tiene problemas en uno de los sistemas fundamentales de la institucin.X

DS3Informacin de desempeo y capacidadNo se realizaX

ME1Entrada de desempeo a planes de TINo se cuenta con reportes de desempeo de planes de TIX

ProcesoSalidaX

AI2Esquema de clasificacin de datosNo se realiza la clasificacin de datosX

PO3, AI2Plan de sistemas de negocio optimizadoNo se cuentaX

AI2, DS11Diccionario de datosNo se cuentaX

PO3,DS5Arquitectura de la informacinNo se cuentaX

DS1,DS4, DS5, DS11, DS12Clasificacin de datos asignadaNo se cuentaX

* Salidas externas a COBITProcedimientos y herramientas de clasificacinNo se cuentaX

Recomendaciones

1. Para establecer la arquitectura de la informacin es necesario conocer las estrategias de TI as como que es lo que se va a realizar, la tctica con la que se va a enfrentar.2. Se pueden tener muchas ideas y proyectos en mente que se quieren realizar, por lo que es necesario conocer la viabilidad.

3. Es necesario conocer la capacidad en recursos de infraestructura que se tiene instalado y el desempeo que brinda, para en base a esta establecer los lineamientos de arquitectura para la informacin.

4. Es necesario conocer los planes de TI y evaluar el desempeo para tomar medidas correctivas en caso de ser necesario.

5. Se estable el esquema de clasificacin de datos para presentar una arquitectura de informacin adecuado para que estos datos se transformen en informacin fcilmente.

6. A partir de una arquitectura de informacin establecida se pueden optimizar los sistemas evitando redundancia y duplicidad, as como optimizando recursos.

7. Uno de los entregables fundamentales de toda arquitectura de informacin el diccionario de datos donde consta todos los atributos de los registros realizados para el negocio.

8. Otro de los entregables es en s la arquitectura de la informacin definida conforme los requerimientos del negocio y optimizando los recursos.

9. Una vez que se ha definido la arquitectura de la informacin como complemento se ha definido una asignacin de clasificacin a los datos.



P02. Definir la Arquitectura de la Informacin.Crear y mantener modelo de informacin corporativo / empresarialArquitecto en jefeAnalista de sistemas 3

Crear y mantener diccionario de datos corporativoJefe de desarrolloArquitecto en jefeAnalista de sistemas 3

Establecer y mantener esquema de clasificacin de datosCumplimiento, auditora, riesgo y seguridadAnalista de sistemas 3

Brindar a los dueos procedimientos y herramientas para clasificar los sistemas de informacin.Cumplimiento, auditora, riesgo y seguridadAnalista de sistemas 3

Usar el modelo de informacin, el diccionario de datos y el esquema de clasificacin para planear los sistemas optimizados de negocio.Arquitecto en jefeAnalista de sistemas 3

Recomendaciones

1. Por ser una institucin pequea el representante de TI desarrolla varias actividades, pero se recomienda que se definan responsables por actividades dentro de TI

2. Existen actividades que son responsabilidades no realizadas debido al corto personal con el que cuenta el equipo de TI.

3. Debe establecerse un grupo especial encargado de establecer y mantener el diccionario de datos de toda la institucin, de forma que entre en accin cada que se presente un cabio o una oportunidad.

4. Este grupo especial brinda procedimientos y asesora en la clasificacin de sistemas de informacin gracias a que mantienen actualizado el diccionario de datos.

5. Es importante que el modelo de informacin se establezca y sea administrado por una persona encargada de la arquitectura de la informacin.



P02. Definir la Arquitectura de la Informacin.1Responder a requerimientos del negocio alineados con la estrategia del negocioNo se responde a requerimientos del negocioX

4Optimizar el uso de la informacinNo se orientan las actividades a la optimizacin de la informacinX

5Crear agilidad de TINo se contempla dentro del plan de TIX

11Asegurar la integracin sin fisuras de las aplicaciones dentro de los procesos del negocioNo se contempla dentro del plan de TIX

Recomendaciones

1. Contar con una arquitectura de informacin permite responder a requerimientos del negocio alineando las actividades de TI a su estrategia.

2. Con una arquitectura de la informacin permitir optimizar el uso de informacin en bien de la institucin.

3. Se recomienda crear agilidad de TI para ello es necesario implementar una arquitectura de informacin.

4. La integracin de la informacin es necesaria para toda institucin y esta se consigue con la definicin de la arquitectura de la informacin.



P02. Definir la Arquitectura de la Informacin.17Crear agilidad en la respuesta a los cambios de los requerimientos del negocioPerspectiva del clienteNo existe una comunicacin directa que permita una agilidad en la respuesta a los cambiosX





516Gestionar productos e innovacin del negocioPerspectiva de aprendizaje y crecimientoNo se realiza un anlisis profundo sobre los productos o servicios que ofrece la institucin por lo que no se realiza la gestin de productos e innovacinX

1110Mejorar y mantener la funcionalidad de procesos de negociosPerspectiva InternaEl plan de TI est orientado a la disponibilidad de los servicios.~


1115Mejorar y mantener productividad operacional y de personalPerspectiva InternaNo se da la importancia al personal de TI por tal motivo no existe ni como unidad, ni se comprende la necesidad de contar con un personal capacitado, calificado y bien pagado.X

Recomendaciones


2. Se recomienda que la arquitectura de la informacin sea considera dentro del proceso de gestin de cambios de forma que permita garantizar la efectividad y eficiencia de los datos generados

3. la estructura de la informacin que se maneja en TI debe contribuir a generar informacin fiable y til que permita a la alta gerencia tomar decisiones estratgicas}

4. Una buena estructura de la informacin permite que esta facilite la generacin de reportes que son tiles y decisivos para la toma de decisiones estratgicas

5. Se recomienda que la arquitectura de la informacin sea considera dentro del proceso de gestin de cambios de forma que permita garantizar la efectividad y eficiencia de los datos generados

6. El gobierno de TI debe proporcionar informacin clara y concisa de la gestin de los productos e innovacin del negocio de forma que permita presentar y recomendar la implantacin de nuevos procesos y tecnologa.

7. Se recomienda que los procesos establecidos se enfoquen a mejorar y mantener la funcionalidad de procesos del negocio mediante la evaluacin peridica.


9. Se debe tener en cuenta todos los recursos de TI y administrarlos correctamente de forma que se mejore la productividad operacional y de personal



P02. Definir la Arquitectura de la Informacin.1% de elementos de datos que no son parte del modelo de datos empresarialNo existe un modelo de datos empresarialX

2% de falta de cumplimiento del esquema de clasificacin de datosNo se realiza una clasificacin de datos dentro de la institucinX

3% de aplicaciones que no cumplen con la arquitectura de la informacinNo se ha definido una arquitectura general para la informacinX

Recomendaciones

1. Se requiere conocer el porcentaje de datos que no son parte del modelo de la arquitectura de la informacin evidenciando de forma directa la efectividad de la arquitectura de la informacin.

2. Una vez que se ha establecido el esquema de clasificacin de datos se debe evaluar el porcentaje de cumplimiento de forma que se pueda conocer los que cumplen y los que no cumplen.

3. De igual forma se puede establecer el porcentaje de aplicaciones que cumplen o no la arquitectura dela informacin.

3.2.3 Anlisis de los dominios COBIT AI6 Administrar Cambios

DOMINIOAdquirir e Implementar

PROCESOAdministrar Cambios

CDIGOAI6



AI6 Administrar CambiosPEfectividadNo existe una administracin de cambios por lo que al intentar implementar un cambio se dej sin funcionamiento a un sistemaX

PEficienciaNo existe una administracin de cambios por lo que al intentar implementar un cambio se dej sin funcionamiento a un sistemaX

PIntegridadNo existe una administracin de cambios por lo que al intentar implementar un cambio se dej sin funcionamiento a un sistemaX

PDisponibilidadNo existe una administracin de cambios por lo que al intentar implementar un cambio se dej sin funcionamiento a un sistemaX

SConfiabilidadNo existe una administracin de cambios por lo que al intentar implementar un cambio se dej sin funcionamiento a un sistemaX

Recomendaciones

1. Para la administracin de cambios es fundamental que la informacin que se genera sea oportuna, correcta, consistente y utilizable. Esto nos permite garantizar que se cuenta con la informacin necesaria para realizar los cambios

2. La informacin requerida para la implementacin de un cambio debe ser eficiente, cuidando los recursos que se utilizan logrando que sea de forma econmica pero totalmente productiva

3. Dentro de la implementacin de cambios es indispensable que se cuide a la integridad de la informacin, de forma que garantice la precisin y completitud as como su validez de acuerdo a las expectativas del negocio.

4. Para una correcta administracin de cambios es necesario que la informacin necesaria est disponible evitando retrasos por no contar con los recursos de informacin que se requiere para realizar los cambios

5. Se debe cuidar que la informacin que se recibe y que se genera en el proceso de administrar cambios sea confiable, que sea apropiada para que los usuarios realicen sus labores.



AI6 Administrar CambiosPAdministracin de recursosNo se realiza un plan de cambiosX

SEntrega de valorNo se realiza un plan de cambios, no se cuenta con acuerdos de nivel de servicio ni soporte de los sistemas desarrollados.X

Recomendaciones

1. Los cambios se deben realizar considerando el uso eficiente y efectivo de los recursos que requiere.

2. Todos los cambios se realizan con el objetivo de contribuir a los objetivos estratgicos de forma que se debe garantizar que estos se cumpla con la entrega del valor requerido.



AI6 Administrar CambiosAI6.1Estndares y Procedimientos para Cambios.Estableces procedimientos de administracin de cambios para manejar todos los cambios de forma estndarNo existe procedimientos de administracin de cambiosX

AI6.2Evaluacin de Impacto, Priorizacin y Autorizacin.Garantizar la evaluacin estructurada en cuanto a impacto, funcionalidad y autorizacin.No existe procedimientos de administracin de cambiosX

AI6.3Cambios de Emergencia.Establecer procedimientos de cambios de emergencia alternos al procedimiento normal de cambios.No existe procedimientos de administracin de cambiosX

AI6.4Seguimiento y Reporte del Estatus de Cambio.Establecer un sistema de seguimiento y reporte del avance de los cambios, a este sistema acceden los interesadosNo existe procedimientos de administracin de cambiosX

AI6.5Cierre y Documentacin del Cambio.Para todo cambio realizado, actualizar los sistemas relacionados, la documentacin de usuario, procesos correspondientes y la revisin de estos.No existe procedimientos de administracin de cambiosX

Recomendaciones

1. Establecer procedimientos y estndares para el manejo uniforme de todas las solicitudes de cambio solicitadas.

2. Establecer procedimientos que garanticen que todas las solicitudes de cambio van a ser evaluadas en cuanto a impacto, funcionalidad y operacin, de forma que se puedan categorizar y priorizar los cambios.

3. Establecer procedimientos para cambios de emergencia, de forma que se agilite su gestin y se implante en el menor tiempo, pero con resultados ptimos.

4. Establecer un sistema de informe y reporte de las actividades y estatus realizados a los cambios solicitados de forma que los interesados relevantes y los solicitantes tengan siempre a la mano la informacin del avance del cambio solicitado.

5. Establecer un procedimiento de cierre y documentacin de los cambios realizados, este procedimiento debe incluir la actualizacin de sistemas asociados, la documentacin de usuario y procedimientos correspondientes, y la revisin del cumplimiento de todos los procesos establecidos.



AI6 Administrar CambiosProcesoEntradaX

PO1Portafolio de proyectos de TISe tiene un portafolio de proyectos que estn de acuerdo a la asignacin de recursos econmicos, por lo que faltan muchos proyectos necesarios~

PO8Acciones de mejora de la calidadNo se evala la calidadX

PO9Planes de accin para solucin de riesgos relacionados con TINo se cuenta con un registro de riesgos relacionados con TIX

PO10Directrices de administracin de proyecto y plan de proyecto detallado.No se cuenta con un plan detallado de cada proyectoX

DS3Cambios requeridosNo se realiza una gestin de cambiosX

DS5Cambios de seguridad requeridosNo se cuenta con una poltica de seguridad por lo que no se pueden establecer los cambios de seguridadX

DS8Solicitudes de servicios / solicitudes de cambioNo se realiza una gestin de servicios y solicitudes de cambioX

DS9X10Solicitudes de cambio (dnde y cmo aplicar la solucin)No se realiza la gestin de cambiosX

DS10Registro de problemasAl momento se est finalizando la implementacin de una mesa de servicios en la cual se registrarn los problemas o requerimientos que existan.~

ProcesoSalida

AI1AI3Descripcin de procesos de cambiosNo se realiza la gestin de cambiosX

ME1Reporte de estatus de cambioNo se realiza la gestin de cambiosX

AI7, DS8, DS10Autorizacin de cambioNo se realiza la gestin de cambiosX

Recomendaciones

1. Uno de los insumos necesarios para la administracin de cambios es el portafolio de proyectos de TI, esto nos permite conocer cmo se relaciona un proyecto con otro permitiendo hacer un anlisis de como los cambios pueden afectar a otros proyectos.

2. Si en la institucin se est aplicando un plan de calidad, la implementacin de un cambio se debe realizar acorde a los requerimientos de calidad establecidos.

3. Todo cambio presenta un riesgo, es necesario conocer los planes de accin para solventar los riesgos relacionados con TI

4. Es necesario conocer a detalle los cambios requeridos, para de esta forma poder dar una solucin correcta y oportuna a las necesidades presentes.

5. Se deben tener presentes los cambios de seguridad necesarios para implantar el cambio de forma que se pueda gestionar dicha actividad correctamente

6. Es necesario establecer formatos y procedimientos para las solicitudes de servicio y de cambio de forma que se trabaje conforme un estndar establecido.

7. Se deben establecer formatos que identifiquen de manera clara que es lo que se requiere, como se va aplicar la solucin entre otras actividades.

8. Para establecer y administrar los cambios necesarios se recomienda contar con el registro de problemas asociados y clasificados, para de esta manera orientar dichos cambios a la resolucin de problemas que existieran.

9. El proceso de administrar cambios debe generar una descripcin de los procesos de cambios de forma que se pueda tratar de una manera ordenada y correcta a todos los cambios de acuerdo a los parmetros establecidos.

10. Es necesario que se establezca un proceso para la administracin de cambios, y dentro de este se contemple un seguimiento y estados para conocer el avance de los cambios

11. Se recomienda que todo cambio que se realice se lo haga con la autorizacin correspondiente y esta debe ser tomada a partir de un informe de actividades, procesos a realizar y riesgos que pueden estar presentes.



AI6 Administrar CambiosDesarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las solicitudes de cambioJefe de operacionesJefe de desarrolloAnalista de sistemas 3

Evaluar el impacto y dar prioridad a cambios en base a las necesidades del negocioPMODueo de proceso de negocioJefe de operacionesJefe de desarrolloAnalista de sistemas 3

Garantizar que cualquier cambio crtico y de emergencia sigue el proceso aprobadoJefe de operacionesJefe de desarrolloAnalista de sistemas 3

Autorizar cambiosJefe de operacionesJefe de desarrolloDirector Administrativo Financiero

Administrar y diseminar la informacin relevante referente a cambiosPMOJefe de operacionesJefe de desarrolloAnalista de sistemas 3

Recomendaciones

1. Para la implementacin de un cambio es necesario contar con la visin de operaciones y de desarrollo, si bien este rol puede estar en una solo persona es recomendable que sean personas diferentes.

2. La evaluacin del impacto y prioridad es vital para la implementacin de cambios, esto se debe realizar entre las partes interesadas que normalmente son cuatro roles, el de proyectos, el dueo del negocio, el jefe de operaciones y el jefe de desarrollo, no es recomendable que recaiga toda la decisin en una sola persona.

3. Se recomienda que la persona encargada conozca del proceso de cambio crtico de procesos aprobados.

4. Los cambios se deben realizar bajo una autorizacin, y con el respaldo de operaciones y desarrollo.

5. Se debe establecer vas de administrar y diseminar la informacin de los cambios, para esto se debe contar con el responsable de proyectos, operaciones y desarrollo.



AI6 Administrar Cambios1Responder a requerimientos del negocio alineado con la estrategia de negocioSe alinean con respecto a los proyectos y objetivos institucionales segn el sistema GPR, pero se necesita inversin en proyectos que realmente satisfagan las necesidades y requerimientos del negocio~

6Definir como la funcionalidad de negocio y requerimientos de control se trasladan en soluciones efectivas y eficientesNo se realizan controles de cambios por lo que no se pueden presentar soluciones.X

16Reducir los defectos de la solucin y entrega de servicio y reelaborarNo se evalan las soluciones.X

22Asegurar el mnimo impacto de negocio en caso de una interrupcin de servicios de TI o cambios.No se realiza una evaluacin de impactos, y no se valora los riesgos de una interrupcin de servicios TIX

26Mantener la integridad de la informacin e infraestructura de procesamientoNo se ha realizado una evaluacin de integridad de informacin, y la infraestructura de procesamiento de informacin no est asegurada.X

Recomendaciones

1. Se recomienda establecer procedimientos para administrar cambios que respondan a requerimientos de lo institucin alineada a su estrategia.

2. Como parte de los procedimientos que se deben establecer se recomienda definir la funcionalidad del negocio y requerimientos de control de forma que se garanticen la efectividad de las soluciones propuesta.

3. con la administracin de cambios se reducen los defectos de la solucin y entrega de servicio por lo tanto es recomendable acreditar estas soluciones.

4. Los procedimientos establecidos deber contemplar asegurar el mnimo impacto en caso de interrupcin de los servicios.

5. Se recomienda que se prevea implementar procedimientos que garanticen mantener la integridad de la informacin e infraestructura



AI6 Administrar Cambios17Crear agilidad en la respuesta a los cambios de los requerimientos del negocioPerspectiva del clienteNo existe una comunicacin directa que permita una agilidad en la respuesta a los cambiosX


610Mejorar y mantener funcionalidad de procesos de negocioPerspectiva InternaNo existe gestin de cambiosX


166Establecer continuidad y disponibilidad de los serviciosPerspectiva del clienteSe trabaja en garantizar la disponibilidad de los servicios de TI~

222Gestionar los riesgos de TI que afectan al negocioPerspectiva FinancieraNo existe gestin de riesgosX

226Establecer continuidad y disponibilidad de los serviciosPerspectiva del clienteSe trabaja en garantizar la disponibilidad de los servicios de TI~




Recomendaciones



3. Se recomienda que los procesos establecidos se enfoquen a mejorar y mantener la funcionalidad de procesos del negocio mediante la evaluacin peridica.

4. Es deseable que se garantice la continuidad y disponibilidad de los servicios, de forma que la administracin de cambios o acreditacin de soluciones se las realice de forma efectiva considerando los parmetros BCP

5. Es deseable que se garantice la continuidad y disponibilidad de los servicios, de forma que la administracin de cambios o acreditacin de soluciones se las realice de forma efectiva considerando los parmetros BCP

6. la estructura de la informacin que se maneja en TI debe contribuir a generar informacin fiable y til que permita a la alta gerencia tomar decisiones estratgicas



AI6 Administrar Cambios1Repeticin de trabajo aplicativo causado por especificaciones de cambio inadecuadasExiste repeticin de trabajo por especificaciones inadecuadas, pero no se documenta ni se lleva una estadstica.X

2Reduccin de tiempo y de esfuerzo requeridos para realizar los cambiosNo se realizan evaluaciones de tiempo y esfuerzo de las actividades.X

3% de cambios totales que son cambios de emergenciaNo se realizan evaluaciones de este tipo.X

4% de cambios no exitosos a la infraestructura debida a especificaciones de cambio inadecuadasNo se realizan evaluaciones de este tipo.X

5# de cambios que no se rastrean formalmente o no se reportan o no se autorizanNo se realizan evaluaciones de este tipo.X

6Solicitudes de cambio pendientes.No se realizan un seguimiento a los cambios o requerimientos solicitadosX

Recomendaciones

1. Las especificaciones de cambio inadecuadas producen repeticin en el trabajo por lo tanto es necesario evaluar para conocer la efectividad de los procesos de cambios seguidos.

2. Los procedimientos establecidos para los cambios permiten evaluar los tiempos y esfuerzo requerido por etapas, esto es necesario para conocer si se estn realizando las actividades correctamente o si hay que realizar modificaciones a los procesos para que sean ms eficientes.

3. Es necesario conocer el porcentaje de cambios de emergencia, de forma que nos permita conocer y evaluar si fueron necesarios o si se pudieron manejar con mayor previsin.

4. De igual manera es necesario conocer qu porcentaje de cambios no han sido exitosos debido a la infraestructura y especificaciones de cambio inadecuadas, para tomar medidas en las especificaciones o la infraestructura.

5. Definir el porcentaje de cambios que no se realizan formalmente ya sea por no reportarlos o porque se los realiza sin aprobacin previa.

6. Es necesario conocer las solicitudes de cambio pendientes de forma que se pueda establecer prioridades y tiempos de acuerdo a las necesidades del negocio.

3.2.4 Anlisis de los dominios COBIT AI7 Instalar y Acreditar Soluciones y Cambios

DOMINIOAdquirir e Implementar

PROCESO Instalar y Acreditar Soluciones y Cambios

CDIGOAI7



AI7 Instalar y Acreditar Soluciones y CambiosPEfectividadSe tienen pendiente varios sistemas que interactan con los ya existentes, pero no se considera el mal funcionamiento de los sistemas actuales.X

SEficienciaSe tienen pendiente varios sistemas que interactan con los ya existentes, pero no se considera el mal funcionamiento de los sistemas actuales, adems se realiza un anlisis y se verifica que el beneficio esperado no justifica la inversin realizada.X

SIntegridadSe tienen pendiente varios sistemas que interactan con los ya existentes, pero no se considera el mal funcionamiento de los sistemas actuales.X

SDisponibilidadSe tienen pendiente varios sistemas que interactan con los ya existentes, pero no se considera el mal funcionamiento de los sistemas actuales.X

Recomendaciones

1. La informacin para la instalacin y acreditacin de soluciones y cambios debe ser de forma oportuna, correcta permitiendo que se cuenten con los requerimientos necesarios en el momento oportuno.

2. La instalacin y acreditacin de soluciones y cambios debe generar informacin eficiente tanto de recursos econmicos como en productividad.

3. La informacin generada debe ser integra, completa y precisa para las actividades que se realizan en dicha instalacin o acreditacin de solucin y cambio.

4. Toda la informacin que se necesite y se genere debe estar disponible para las personas correspondientes y los procesos del negocio.



AI7 Instalar y Acreditar Soluciones y CambiosPEntrega de valorSe tienen proyectos pendientes y aprobados, pero el valor que estos agregan al negocio no justifican la inversin realizada~


SAdministracin de recursosNo se cuenta con un plan de recursos necesarios para el funcionamiento posteros a la puesta en produccin de los sistemas.X

SMedicin del desempeoNo se cuenta con un plan de medicin del desempeo de los sistemas entregadosX

SAlineacin estratgicaLos sistemas cumplen en papel una alineacin estratgica con beneficios para la sociedad, mismos que al hacer un anlisis tcnico no se cumple.~

Recomendaciones

1. Todas las instalaciones y acreditaciones de soluciones se realizan con el objetivo de contribuir a los objetivos estratgicos de forma que se debe garantizar que estos se cumpla con la entrega del valor requerido.

2. La instalacin de soluciones debe considerar el riesgo de eventos futuros y establecer actividades y directrices necesarias para gestionar correctamente estas y garantizar que no se presenten interrupciones del negocio u eventos no deseados.

3. Se recomienda que la instalacin de soluciones considere parmetros que garanticen el uso eficiente de recursos evitando duplicidad de informacin y haciendo que esta sea efectiva y eficiente.

4. Toda solucin debe incluir una medicin del desempeo de forma que se verifique si esta cumple los requerimientos solicitados y en qu medida, y si se le est sacando el mximo provecho a esta.

5. Es necesario que la instalacin de soluciones sea establecida considerando los parmetros estratgicos del negocio de forma que se establezca una correcta alineacin entre el negocio, su estrategia solventando los requerimientos por los cuales es necesaria dicha solucin.



AI7 Instalar y Acreditar Soluciones y CambiosAI7.1Entrenamiento.Entrenar al personal funcional como de TI como parte de cada proyecto, modificacin o actualizacin.Es una de los principales problemas debido al rotamiento del personal y que los sistemas fueron entregados sin capacitacin tcnica.X

AI7.2Plan de Prueba.Establecer un plan de pruebas basado en estndares aprobados con criterios de entrada y salidaNo existen procedimientos de pruebasX

AI7.3Plan de ImplantacinPlan de implantacin incluyente respaldo y puntos de restauracin.No existen procedimientos de implantacin de proyectosX

AI7.4Ambiente de Prueba.Definir un entorno de pruebas con parmetros de uso similares a los de produccinNo se han creado entornos de pruebasX

AI7.5Conversin de Sistemas y Datos.Plan de migracin de infraestructura y conversin de datos con puntos de restauracinNo se cuenta con un plan de conversin de sistemas y datosX

AI7.6Pruebas de Cambios.Plan de pruebas de cambios antes de la puesta en produccinNo existe plan de pruebas y cambiosX

AI7.7Prueba de Aceptacin Final.Asegurar que los cambios han sido conforme al cronograma de pruebas y que las novedades han sido solventadas.Existe un documento final de aceptacin en el cual una comisin conformada por tres delegados de la mxima autoridad verifica el cumplimiento de los requerimientos y finalizacin de estos, pero al no contar con un plan de desarrollo del proyecto y no contar con los conocimientos necesarios, no pueden dar una validacin real del sistema.~

AI7.8Promocin a Produccin.Con la aceptacin final de las pruebas por parte de los interesados, implementar los cambios en produccin con las autorizaciones respectivas y siguiendo el plan de implementacin.No existe un plan de implementacin, por lo que solo sale a produccin los cambios.~

AI7.9Revisin Posterior a la Implantacin.Incluir en el plan de implementacin una revisin posterior a la implementacin como parte del conjunto de salida.No se cuenta con un plan de revisin posterior a la implantacin.X

Recomendaciones

1. Establecer como procedimiento que cada desarrollo, implementacin o modificacin de sistemas de informacin debe venir acompaado de entrenamiento al personal tanto de los usuarios afectados como de operadores TI.

2. Establecer un estndar de pruebas que define roles, responsabilidades, criterios de entrada, y que sea aprobado por las partes involucradas de forma que se cumpla con el plan establecido para probar los sistemas desarrollados, implementados o modificados.

3. Establecer un plan de implantacin de los desarrollos, implementaciones o modificaciones realizadas de forma que permita volver a un punto de respaldo y vuelta atrs, el plan debe contar con la aprobacin de los interesados relevantes.

4. Establecer un entorno de pruebas que sea seguro y representativo en cuanto a seguridad, controles internos, calidad de datos, requerimientos de privacidad al ambiente de produccin de forma que se garantice que este ambiente cuenta con condiciones similares y que se pueden realizar las pruebas necesarias y relevantes en este ambiente.

5. Se debe establecer un plan de migracin de datos, de infraestructura, de auditora, de respaldo y vuelta atrs como parte de los desarrollos, implementaciones o modificaciones que se realizan en la institucin.

6. Es necesario establecer procesos que contemplen la elaboracin de un plan de pruebas de los cambios, tanto funcionales como tcnicos y que estas sean aprobadas antes de salir a produccin.7. Un requerimiento para pasar a produccin un cambio es que se cuente con la aceptacin final, para esto es necesario que se cuente con documentos de pruebas realizadas y corregidas en caso de ser necesario y las respectivas novedades u observaciones.8. Se requiere que dentro de los procesos establecidos se contemple el paso a produccin teniendo en cuenta de validar que todos los procesos previos se han cumplido correctamente.9. Posterior a la implantacin se debe establecer revisiones peridicas y un tiempo de asentamiento durante el cual se van a realizar las revisiones y correcciones en caso de ser necesario.



AI7 Instalar y Acreditar Soluciones y CambiosProcesoEntrada

PO3Estndares de tecnologaNo se han implementado estndares para los procesos de TIX

PO4Dueos de sistema documentadoNo se ha realizadoX

PO8Estndares de desarrolloNo se han definidoX

PO10Directrices de administracin de proyecto y plan de proyecto detalladoLos proyectos son registrados en el sistema GPR en los cuales se plantean hitos, entregables e indicadores.~

AI3Sistema configurado a ser probado/instaladoSe realiza la entrega de sistemas, pero no se realiza con una planificacin ni por un personal calificado que reciba y verifique el correcto funcionamiento del sistema~

AI4Manuales de usuario, operativos, de soporte, tcnicos y de administracinNo se tiene este tipo de manuales y en caso de existir no se los difunde, sino que se guardan.~

AI5Adquisicin de productosExiste dentro del Plan estratgico de TI 2014 con limitaciones de recursos econmicos~

AI6Autorizacin de cambioNo se tiene un proceso o una gestin de cambiosX

ProcesoSalida

DS8, DS9Componentes de configuracin liberadosNo se han solicitado ni entregado en los proyectosX

AI4Errores conocidos y aceptadosNo se lleva un registro de errores aceptados ni conocidosX

DS13Liberacin a produccinSe han entregado los productos pero no existe un proceso de cambio de pruebas a produccin.X

DS13Liberacin de software y plan de distribucinNo se cuenta con un plan de liberacin de software ni de distribucinX

PO2, PO5, PO10Revisin posterior a la implantacinNo se realiza una evaluacin posterior a la implantacin por lo que en caso de existir problemas no se los gestiona.X

ME2Monitoreo de control internoSe est implantando una mesa de servicio y un monitoreo de red para el control interno de serviciosX

Recomendaciones

1. Se deben establecer los estndares con los que se va a trabajar de forma que se pueda establecer una arquitectura estandarizada de los componentes, aplicaciones y herramientas de TI y en base a estas realizar las soluciones e instalaciones.

2. Los sistemas a instalar o acreditar soluciones deben tener un dueo ya sea una direccin una unidad a la cual va a solventar los requerimientos del negocio, esto debe estar presente en un documento oficial que identifica al dueo del sistema.

3. Es necesario que se establezca los estndares de desarrollo, levantamiento de requerimientos, niveles de seguridad en desarrollo, lenguaje de programacin, arquitectura, pruebas, entre otros que marquen el camino para todos los desarrollos de TI y considerando estas establecer acreditar las soluciones

4. Se debe establecer una metodologa o buenas practicas con las cuales se van a llevar todos los proyectos incluyendo los de acreditar soluciones TI

5. Para los casos de instalacin de soluciones que ya han sido desarrolladas se debe contar con los manuales de usuarios, de soporte, de instalacin y configuracin que permitan asegurar el inicio de la instalacin.

6. Para Toda instalacin y acreditacin de soluciones y cambios se debe primero realizar los requerimientos y aprobacin de dichos requerimientos para a partir de estos empezar los trabajos.

7. Una vez instalado o acreditado las soluciones se debe presentar los componentes de configuracin ya finalizados o liberados.

8. Es necesario que una vez finalizado la instalacin o acreditacin de solucin se presenten la lista de errores conocidos y en caso de existir errores aceptados y los procedimientos que se deben realizar en caso que ocurra y esta debe ser alimentada a la CMDB en caso de ser necesario.

9. Toda instalacin debe generar un documento de liberacin a produccin en el cual consta las actividades realizadas, las pruebas realizadas y el tiempo de estabilizacin establecido.

10. En algunos casos dependiendo de la naturaleza de la implementacin de la solucin se debe establecer un plan de destruccin de forma que l

Documents

GR8 Informe Final