i UNIVERSIDAD TECNICA DE AMBATO
FACULTAD DE CIENCIAS HUMANAS Y DE LA EDUCACION CARRERA DE DOCENCIA EN INFORMATICA
INFORME FINAL DEL PROYECTO
“AUDITORÍA INFORMÁTICA EN LA UNIDAD EDUCATIVA LUIS A MARTINEZ DE LA CIUDAD DE ESMERALDAS EN EL AÑO LECTIVO 2014-2015”
AUTORES : MIGUEL MIRANDA NOE YUCCHA CHRISTIAN CRUZ
i RESUMEN EJECUTIVO.
En este proyecto, se expone una auditoria informática realizada a la Unidad Educativa Luis A. Martinez de Ambato, con el propósito de conocer las fortalezas y debilidades de la infraestructura tecnológica y sistemas informáticos utilizados en todos sus procesos administrativos; así como también del personal encargado de los mismos. La realización de la presente auditoria surge como una respuesta ante la necesidad de la presidencia ejecutiva del plantel por conocer el estado en que se encuentran el hardware y el software utilizados y hasta que punto el personal encargado de dichos procesos se encuentra debidamente preparado. Estas auditorias se vienen aplicando desde hace algunos años con el objetivo de realizar el control de la función informática, el análisis de la eficiencia de los Sistemas de Información y la revisión de la gestión de los recursos materiales y humanos informáticos. La presente auditoria informática nos ha permitido revisar y evaluar los controles, sistemas, procedimientos de informática, los equipos de cómputo, su utilización, su eficiencia y seguridad; así como también la organización con que participan en el procesamiento de la información del plantel antes mencionado. Pero para la realización de la misma ha sido necesaria la utilización de técnicas y métodos de investigación que nos han permitido la obtención de resultados, por medio de los cuales contamos con datos necesarios para poder llegar a ciertas conclusiones y en base a éstas desarrollar un conjunto de recomendaciones para el personal administrativo y ejecutivo de esta entidad educativa sobre qué se debe
3
hacer para lograr que el procesamiento de la información se realice de la manera ágil y eficaz como se requiere en cualquier Institución de prestigio. La herramienta que se ha utilizado es el COBIT que ha sido desarrollado con estándares generalmente aplicables y aceptados lo que hará posible mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) y proveer un marco de referencia para la Administración, Usuarios y para quienes realicen auditorias posteriores. Es decir que esta auditoria informática ha evaluado no sólo los equipos de cómputo, sino, también los sistemas de información en general, desde sus entradas, procedimientos, controles, archivos, seguridad, obtención de información y también lo referente a la organización de centros de información, hardware y software; y, al recurso humano; con lo que estamos seguros hemos conseguido nuestro objetivo principal que ha sido dar al personal administrativo y ejecutivo del plantel una pauta en la toma de decisiones con respecto al manejo de las tecnologías de la información. En nuestra ciudad - Ambato - hemos sabido que muchas empresas carecen de un sistema informático adecuado y que un gran porcentaje de ellas simplemente no lo tiene, debido al desconocimiento de las tecnologías de la información con las que contamos en la actualidad. El desarrollo de esta auditoria lo encontrarán a continuación.
PRESENTACIÓN.
El proyecto Auditoria informática en la Unidad Educativa Luis A. Martinez de la ciudad de Ambato en el año lectivo 2014 - 2015 está estructurado en seis capítulos:
Aspectos
teóricos
científicos,
Diagnóstico,
Informe
de
auditoria,
Recomendaciones propuestas, Impactos y Conclusiones - recomendaciones. En el primer capítulo se resume las teorías científicas en que se basa cualquier evaluación o auditoria informática, a través de una investigación bibliográfica sobre los temas: auditoria informática, control interno y la metodología COBIT desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI), una breve historia de la provincia de Ambato y lo relacionado con la Unidad Educativa Luis A. Martinez. En el segundo capítulo se ha realizado un análisis exhaustivo de la situación actual de la Institución a través de los métodos y técnicas estadísticos y de investigación cuyos resultados se han tabulado, procesado y comentado, y son de mucho aporte para la realización de la auditoria informática. El tercer capítulo es el informe de auditoria informática realizado a través de la metodología COBIT. En el cual se analizó, evaluó, interpretó, y concluyó en cada unos de los 34 objetivos de control clasificados en cuatro dominios: planificación y organización, Adquisición e implantación, Entrega y Soporte, y Monitoreo. El cuarto capítulo se expone las recomendaciones sugeridas para que las debilidades encontradas en la institución sean mejoradas hacia el futuro, justificando el riesgo que implica para la Institución la existencia de dicha debilidad.
El quinto capítulo se hace un análisis de los impactos que el presente trabajo generó y generará en la institución, la provincia de Ambato y porque no en el País, en los ámbitos social, económico, educativo y tecnológico. Finalmente en el último capítulo constan las conclusiones y recomendaciones que deberán ser tomadas en cuenta en futuras investigaciones relacionadas con el proyecto, así como para la continuidad y el sustento de este trabajo.
6
ÍNDICE Página Hoja de aprobación.
i ii
Resumen Ejecutivo.
iv
Autoría.
v
Presentación.
vii
Dedicatoria.
viii
Agradecimiento.
ix
Índice. 1 Introducción.
CAPÍTULO I 1. ASPECTOS TEÓRICOS CIENTÍFICOS 1.1.
Auditoria informática.
3
1.1.1. Definición.
3
1.1.2. Alcance de la auditoria informática.
5
1.1.3. Características de la auditoria informática.
6
1.1.4. Requisitos para una auditoria informática.
7
1.1.5. Principios y reglas de la auditoria informática.
7
1.1.6. Clasificación de la auditoria informática.
8
1.1.6.1.
Auditoria interna.
8
1.1.6.2.
Auditoria externa.
8
1.1.6.3.
Auditoria de explotación.
9
1.1.6.4.
Auditoria de desarrollo de proyectos o aplicaciones.
10
1.1.6.5.
Auditoria de sistemas.
11
1.1.6.6.
Auditoria de comunicaciones, redes y aplicaciones en
12
Internet. 1.1.6.7.
Auditoria de la seguridad informática.
15
1.1.6.8.
Auditoria en hardware.
17
1.1.7. Control interno.
18
1.1.7.1.
Definición.
18
1.1.7.2.
Clasificación.
18
1.1.7.3.
Sistemas de control interno informático.
23
1.2.
Metodología COBIT.
23
1.2.1. Misión.
25
1.2.2. Características.
25
1.2.3. Principios.
26
1.2.3.1.
Requerimientos de información del negocio.
26
1.2.3.2.
Recursos de TI.
27
1.2.3.3.
Procesos de TI.
28
1.2.4. Objetivos de control.
28
1.2.4.1.
Planificación y organización.
29
1.2.4.2.
Adquisición e implementación.
31
1.2.4.3.
Prestación y soporte.
33
1.2.4.4.
Monitoreo.
36
1.4.
Unidad Educativa Luis A. Martinez.
41
1.4.1. Antecedentes.
41
1.4.2. Definición de la organización.
42
1.4.3. Misión.
43
1.4.4. Visión.
43
1.4.5. Objetivos.
43
1.4.6. Departamento
de
administración,
calificaciones
y
44
1.4.6.1.
Personal y funciones que realizan en el departamento.
44
1.4.6.2.
Objetivos del departamento.
45
1.4.6.3.
Funciones – subfunciones – tareas del departamento.
45
contable.
CAPÍTULO II 2. DIAGNÓSTICO 2.1.
Antecedentes.
47
2.2.
Objetivos de diagnóstico.
48
2.3.
Variables del diagnóstico.
48
2.3.1. Unidad Educativa Luis A. Martinez de la ciudad de
48
Ambato. 2.3.2. COBIT (Objetivos de Control para la Información y
49
Tecnologías relacionadas). 2.3.3. Infraestructura tecnológica.
49
2.4.
49
Indicadores o subaspectos.
2.4.1. Estudiantes.
4
2.4.2. Servicios.
50
2.4.3. Docentes.
50
2.4.4. Empleados administrativos.
50
2.4.5. Niveles de madurez.
50
2.4.6. Dominios.
51
2.4.7. Procesos.
51
2.4.8. Laboratorio y equipos de computación.
51
2.4.9. Sistema.
51
2.4.10. Red.
51
2.4.11. Usuario.
52
2.4.12. Ancho de banda.
52
2.5. Matriz de relación (objetivos, variables, indicadores,
52
técnicas, públicos). 2.6.
Mecánica operativa.
54
2.6.1. Identificación de la población.
54
2.6.2. Identificación de la muestra.
54
2.6.2.1. Determinación del tamaño de la muestra.
54
2.6.3. Información primaria.
55
2.6.3.1. Encuesta.
55
2.6.3.2. Entrevistas.
55
2.6.3.2.1. Entrevista dirigida al gerente.
55
2.6.3.2.2.
56
Entrevista dirigida al encargado del centro de
cómputo. 2.6.4. Tabulación y análisis de los resultados.
57
2.6.4.1. Encuesta dirigida a los estudiantes.
57
2.6.5. Resultados de las entrevistas.
63
2.6.5.1. Entrevista dirigida al gerente. 2.6.5.2. Entrevista dirigida el encargado del centro de cómputo.
63 65
x
1
CAPÍTULO III 3. INFORME DE AUDITORIA 3.1.
Informe.
69
3.1.1. Planificación y organización.
69
3.1.2. Adquisición e implementación.
76
3.1.3. Entrega y soporte.
80
3.1.4. Monitoreo.
89
CAPÍTULO IV 4. RECOMENDACIONES PROPUESTAS 4.1.
Recomendaciones.
90
4.1.1. Planificación y organización.
90
4.1.2. Adquisición e implementación.
93
4.1.3. Entrega y soporte.
95
4.1.4. Monitoreo.
98
CAPÍTULO V 5. ANÁLISIS DE IMPACTOS 5.1.
Impacto social.
100
5.2.
Impacto económico.
102
5.3.
Impacto educativo.
104
1
5.4.
Impacto tecnológico.
106
5.5.
Impacto administrativo.
108
5.6.
Impacto general.
110
CAPÍTULO VI 6. CONCLUSIONES Y RECOMENDACIONES 6.1.
Conclusiones.
112
6.2.
Recomendaciones.
114
Glosario.
115
Fuentes de información.
118
Anexos.
119
INTRODUCCIÓN
En un ambiente donde la informática está encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se está haciendo vía computadoras, por lo tanto en el trabajo de la auditoria también es algo indispensable. Aunque en el ambiente de la informática la computadora es el medio principal para auditar, no hay que olvidar que es a la persona junto a la información la cual estamos auditando y no la computadora en sí, no se cambió el espíritu de la auditoria tradicional, solamente se cambió el método. La informática hoy, está subsumida en la gestión integral de la empresa y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado gestión de la empresa. Cabe recalcar que la informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debe a su importancia en el funcionamiento de una empresa, existe la auditoria informática. En la ciudad de Ambato al pasar de los años la corrupción en las diferentes empresas aumenta cada vez más, ya que vivimos en un mundo en el cual todo se quiere conseguir de la manera más fácil que no es necesariamente la más correcta. Desde entonces la auditoria informática se ha convertido en un medio inutilizable para muchas empresas de la ciudad, por medio de este trabajo se quiere hacer conocer las ventajas de la misma y así llegue a ser muy utilizado en todas las empresas.
El objetivo principal de este proyecto es realizar una auditoria informática al área administrativa, matriculación, de calificaciones, contable y laboratorio de cómputo de la Unidad Educativa Luis A. Martinez a través de la herramienta COBIT para detectar posibles problemas y encontrar soluciones. La evaluación de los requerimientos del negocio, los recursos y procesos TI, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. El método que se utilizó fue el descriptivo, ya que la investigación está relacionada con condiciones o relaciones existentes prácticas que prevalecen opiniones, puntos de vista, actitudes, procesos en marcha, efectos que se sienten o tendencias que se desarrollan, etc. Las técnicas que ayudaron para la realización de esta auditoria informática fueron: el fichaje, entrevistas y encuestas. El fichaje que se utilizó para la recopilación de datos, la entrevista realizada al gerente, personal administrativo y jefe del centro de cómputo y la encuesta realizada a 150 estudiantes que forman parte del plantel.
CAPÍTULO I: ASPECTOS TEÓRICOS CIENTÍFICOS
1.1.
AUDITORIA INFORMÁTICA.
1.1.1. Definiciones: Según M. Patín y E. del Peso Navarro, la palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. “La auditoria puede definirse como el examen comprensivo y constructivo de la estructura organizativa de una empresa de una Institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que dé a sus recursos humanos y materiales.”1 “Auditoria informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.”2 “La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y 3
utiliza eficientemente los recursos.”
1
THORIN, Mark. (1989): La auditoria informática, métodos, reglas y normas, Edit. Masson, Pág. 13. 2 3
www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
“La auditoria informática es un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático, con el fin de proteger sus actividades y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general en cada empresa, y para conseguir la eficacia exigida en el marco de la organización correspondiente.”4 El concepto de auditoria es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. Los principales objetivos que constituyen a la auditoria informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. La auditoria informática ha aportado soluciones para estos problemas, pero se ha realizado frecuentemente solo en grandes empresas, en la mayoría de los casos, como un complemento de la auditoria financiera. La auditoria informática plantea unos métodos y procedimientos de control de los Sistemas de Información que son válidos para cualquier tamaño de empresas. Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoria Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoria Informática más importantes:
4
http://dmi.uib.es/~bbuades/auditoria/sld006.htm
Áreas Específicas
Áreas Generales Interna Dirección Usuario Seguridad
Explotación Desarrollo Sistemas Comunicaciones Seguridad
Cada área específica puede ser auditada desde los siguientes criterios generales: Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. Desde la perspectiva de los usuarios, destinatarios reales de la informática. Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada. Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada. 1.1.2. Alcance de la auditoria informática. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que
los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoria compromete el éxito de la misma. Hay aplicaciones que comparten registros, son registros comunes. Si una aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería. Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. 1.1.3. Características de la auditoria informática. La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática. Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
1.1.4. Requisitos para una auditoria informática. “Debe seguir una metodología preestablecida. Se realizará en una fecha precisa y fija. Será personal, extraño al servicio de informática.”5 1.1.5. Principios y reglas de la auditoria informática. Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas los medios y las acciones de investigación que se consideren necesarios y suficientes. La auditoria informática sólo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la aplicación, etc. La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones. Regla: la auditoria informática consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberían ser. La auditoria informática siempre llegará a una conclusión cuando los medios asignados sean suficientes y las acciones sean posibles. La auditoria informática jamás debe empañar su finalidad ni limitarse a lo que es más sencillo de examinar, solo de que el juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control.
m
Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditoria, siendo coherentes entre sí y, desde luego, fiables y seguros. En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá dividirla en funciones obteniendo conclusiones parciales de éstas y establecer un plan de aquellas que resulten ser más significativas. 1.1.6. Clasificación de la auditoria informática. 1.1.6.1.
AUDITORIA INTERNA.
La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. Los objetivos de la auditoria interna son: “Revisión y evaluación de controles contables, financieros y operativos. Determinación de la utilidad de políticas, planes y procedimientos, así como su nivel de cumplimiento. Custodia y contabilización de activos. Examen de la fiabilidad de los datos. Divulgación de políticas y procedimientos establecidos. Información exacta a la gerencia.”6 1.1.6.2.
AUDITORIA EXTERNA.
La auditoria externa es aquella realizada por alguien ajeno a la entidad auditada. Se centran en las deficiencias de los controles internos.
m
Los objetivos de la auditoria externa son: “Obtención de elementos de juicio fundamentados en la naturaleza de los hechos examinados. Medición de la magnitud de un error ya conocido, detección de errores supuestos o confirmación de la ausencia de errores. Propuesto de sugerencias, en tono constructivo, para ayudar a la gerencia. Detección de los hechos importantes ocurridos tras el cierre del ejercicio. Control de las actividades de investigación y desarrollo.”7 1.1.6.3.
AUDITORIA DE EXPLOTACIÓN.
La explotación informática se ocupa de producir resultados informáticos de todo tipo:
listados
informáticos,
impresos, ficheros órdenes
soportados magnéticamente
automatizadas
para
lanzar
o
para otros
modificar
procesos
industriales, etc. La explotación informática se puede considerar como una fábrica con ciertas peculiaridades que las distinguen de las reales. Para realizar la explotación informática se dispone de una materia prima, los datos que es necesario transformar y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del proceso informático el cuál está sometido a varios controles de calidad y finalmente son distribuidos al cliente, al usuario. La auditoria de explotación consiste en auditar las secciones que la componen y sus interrelaciones. La explotación informática se divide en tres grandes áreas: Planificación; Producción y Soporte Técnico.
m
1.1.6.4.
AUDITORIA DE DESARROLLO DE PROYECTOS O APLICACIONES
La función de desarrollo es una evolución del llamado análisis y programación de sistemas y aplicaciones. A su vez engloba muchas áreas tantas como sectores informatizables tiene la empresa. Una aplicación recorre las siguientes fases: Prerrequisitos del usuario y del entorno. Análisis funcional. Diseño. Análisis orgánico (preprogramación y programación). Pruebas. Entrega a explotación y alta para el proceso. Estas fases deben estar sometidas a un exigente control interno, ya que en caso contrario, los costos pueden excederse, puede producirse la insatisfacción del usuario. La auditoria en este caso deberá principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la máquina sea exactamente lo previsto o lo solicitado inicialmente. Una auditoria de aplicaciones pasa indefectiblemente por la observación y el análisis de cuatro consideraciones: 1. Revisión de las metodologías utilizadas: se analizarán éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la aplicación y el fácil mantenimiento de las mismas. 2. Control interno de las aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de desarrollo.
3. Satisfacción de usuarios: una aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que lo solicitó. La aquiescencia del usuario proporciona y disminuirá el mantenimiento de la aplicación. 4. Control de procesos y ejecuciones de programas críticos: El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de desarrollo de aplicaciones. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programas módulo no coincidieran podríase provocar, desde errores de bulto que producirían graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial – informativo, etc. 1.1.6.5.
AUDITORIA DE SISTEMAS.
La auditoria en sistemas se ocupa de analizar la actividad que se conoce como técnica de sistemas en todos sus factores. En la actualidad la creciente de las telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas (Ej: De auditar el cableado estructurado, ancho de banda de una red LAN). Hasta hace ya algunos años se han utilizado productos de software llamados genéricamente “paquetes de auditoria”, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos de software especiales para la auditoria informática se orientan principalmente hacia los lenguajes que permiten la interrogación de ficheros y base de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. 1.1.6.6.
AUDITORIA DE COMUNICACIONES, REDES Y APLICACIONES EN INTERNET.
La auditoria de comunicaciones y redes requiere de un equipo de especialistas, expertos simultáneamente en comunicaciones y en redes locales. El auditor en comunicaciones deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de de uso y no uso, deberá proveerse de la topología de la red de comunicaciones actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la inoperatividad informática. Las debilidades más frecuentes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de puestos de trabajos correspondientes. Todas estas actividades deben estar muy coordinadas y a ser posible dependientes de una sola organización. En la auditoria de comunicaciones ha de verse: La gestión de red. Los equipos y su conectividad. La monitorización de las comunicaciones. La revisión de costes y la asignación formal de proveedores. Creación y aplicabilidad de estándares. Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto y acción. Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier acción en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolución de problemas presentados en la red. Para lo cual se debe comprobar: El nivel de acceso a diferentes funciones dentro de la red. Coordinación de la organización de comunicación de datos y voz. Han de existir normas de comunicación en: Tipos de equipamiento como adaptadores LAN. Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. Uso de conexión digital con el exterior como Internet. Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos). La responsabilidad en los contratos de proveedores. La creación de estrategias de comunicación a largo plazo. Los planes de comunicación a alta velocidad como fibra óptica y ATM (técnica de conmutación de paquetes usada en redes MAN e ISDN). Planificación de cableado. Planificación de la recuperación de las comunicaciones en caso de desastre. Ha de tenerse documentación sobre el diagramado de la red.
Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturación de los transportistas y vendedores ha de revisarse regularmente. En la auditoria de la red física se debe garantizar que exista: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. En la auditoria de la red lógica debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones: Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red. Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos.
En la auditoria de aplicaciones en Internet, se enfoca principalmente en verificar los siguientes aspectos, los cuales no puede pasar por alto el auditor informático: Evaluación de los riesgos de Internet (operativo, tecnológico y financiero) y así como su probabilidad de ocurrencia. Evaluación
de
vulnerabilidades
y
la
arquitectura
de
seguridad
implementada. Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers. 1.1.6.7.
AUDITORIA DE LA SEGURIDAD INFORMÁTICA.
Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización “piratas” y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a base de datos a fin de modificar la información con propósitos fraudulentos.
La Auditoria de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus. Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información: “Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicas de las instalaciones, del personal informático, etc. Aspectos relativos a la confidencialidad y seguridad de la información. Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). Aspectos jurídicos y económicos relativos a la seguridad de la información. En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos informáticos que se
cometen en la empresa. La propia dinamicidad de las tecnologías de la información y su cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipificados, como el denominado “hurto de tiempo”, destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magnéticas).”8 1.1.6.8.
AUDITORIA EN HARDWARE.
En hardware la auditoria informática se orienta a la verificación de ciertos componentes físicos como por ejemplo cables, tornillos, placas, etc. y así llegar a la conclusión de que estos estén registrados como propios y también que poseen licencia. Para realizar la auditoria informática en hardware se debe plantear los siguientes objetivos: Determinar si el hardware se utiliza eficientemente. Revisar los informes de la dirección sobre el uso del hardware. Revisar si el equipo se utiliza por el personal autorizado. Examinar los estudios de adquisición, selección y evolución del hardware. Comprobar las condiciones ambientales. Revisar el inventario del hardware. Verificar los procedimientos de seguridad física. Examinar los controles de acceso físico. Revisar la seguridad física de los componentes de la red de teleproceso.
8
http://html.rincondelvago.com/auditoria-informatica_1.html
Revisar los controles sobre la transmisión de los datos entre los periféricos y el ordenador. Comprobar los procedimientos de prevención, detección y corrección frente a cualquier tipo de desastre. Colaborar en la confección de un plan de contingencia y desastres. 1.1.7. CONTROL INTERNO. 1.1.7.1.
Definición.
Se puede definir el control interno como cualquier actividad o acción realizada manual y / o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y / o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. 1.1.7.2.
Clasificación.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. Controles de supervisión: Son procedimientos utilizados por la dirección para poder alcanzar los objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la dirección, y por lo tanto a los auditores, seguridad en cuanto a la fiabilidad de la información financiera. Controles de supervisión: controles de las aplicaciones: Son un conjunto de procedimientos programados y manuales diseñados especialmente para cada aplicación con el fin de cumplir con los objetivos específicos de control utilizando una o más técnicas. Controles sobre captura de datos: Sobre altas de movimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. Controles de proceso de datos: Normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los siguientes tipos de errores: entrada de datos repetidos, procesamiento y actualización de ficheros o ficheros equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso.
Controles de salida y distribución: Los controles de salida se diseñan para asegurase de que el resultado del proceso es exacto y que los informes y demás salida los reciben solo las personas que estén autorizadas. Los controles sobre las entradas de datos deben contemplar procedimientos de actuación con las transacciones erróneas que son rechazadas por los controles preventivos. Controles de supervisión: controles de la tecnología de la información (TI): Son el conjunto de normas y procedimientos que deben existir en todo centro de proceso de datos para asegurar la confidencialidad, integridad y disponibilidad de los datos informatizados. Aseguran que los procedimientos programados dentro de un sistema informático se diseñen, implanten, mantengan y operen de forma adecuada y que solo se introduzcan cambios autorizados en los programas y en los datos. Dentro de las TI nos encontraremos con distintos tipos de controles. Controles de mantenimiento: Destinados a asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas. Controles de seguridad de programas: Destinado a garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados. Controles de seguridad de ficheros de datos: Destinados a asegurar que no se puedan efectuar modificaciones no autorizadas en los archivos de datos. Controles
de
la
operación
informática:
Destinados
a
garantizar
los
procedimientos programados autorizados se apliquen de manera uniforme y se utilicen versiones correctas de los ficheros de datos. Controles de conversión de ficheros: Destinados a garantizar una completa y exacta conversión de los datos de un sistema antiguo a uno nuevo.
Controles de software sistema: Destinados a asegurar que se implante un software
de
sistema
apropiado
y
que
se
encuentre
protegido
contra
modificaciones no autorizadas. Controles de implantación: Destinados a asegurar que los procedimientos programados para los nuevos sistemas son adecuados y están efectivamente implantados, y que el sistema esté diseñado para satisfacer las necesidades del usuario. A diferencia de los controles de supervisión de las aplicaciones, los controles de supervisión informáticos están relacionados con entornos informáticos que generalmente cubren varias aplicaciones. Por ejemplo, los controles utilizados para supervisar la seguridad de los sistemas generalmente serán los mismos para el ciclo de ventas y para el ciclo de compras. Controles de mantenimiento: La documentación técnica debe estar actualizada con el fin de reflejar las modificaciones de los programas. Este tipo de controles van a limitar los riesgos que comportan las modificaciones de las aplicaciones. Algunos de los riesgos con los que nos podemos encontrar son: la pérdida de solicitudes de cambio, que haya cambios duplicados, cambios que no se ajusten a los requerimientos del usuario, perder demasiado tiempo en la resolución de los problemas debido a la falta de documentación técnica o la existencia de cambios no autorizados en las aplicaciones que afecten negativamente a las operaciones y / o a la integridad de la información. Controles de desarrollo e implantación de aplicaciones: La dirección del proyecto debe garantizar que el control del diseño, desarrollo e implantación de las nuevas aplicaciones es adecuado. Es por eso que las aplicaciones deben diseñarse de forma adecuada para alcanzar las exigencias de control de las aplicaciones y del negocio. Y en caso de que implantemos un paquete informático adaptado nos aseguraremos que cumple con dichas exigencias. En caso de no existir estos controles nos podemos encontrar con varios problemas: que los
costes estén por encima de los presupuestados por lo que se podría producir un retraso en la entrega del proyecto, que los proyectos no se ajusten a los requerimientos del usuario, que haya errores en las aplicaciones, que conviertan de forma errónea los datos o que las aplicaciones se infrautilicen o se utilicen incorrectamente debido a la ausencia de documentación técnica y de formación. Controles de seguridad informática: Este tipo de controles evitarán el riesgo de fraude o de que información confidencial o sensible llegue a personas no autorizadas dentro o fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad física sería el posible daño o destrucción de las instalaciones informáticas como resultado de incendios, inundaciones o sabotajes que podrían interrumpir la ejecución de los procesos. Controles de operaciones informáticas: Los procedimientos de operaciones que cubren procesos diferidos o por lotes que se realizan en momentos específicos deben estar documentados, programados y mantenidos en forma adecuada. Las copias de seguridad de los programas y de los datos deben estar siempre disponibles para casos de emergencia. Las instalaciones informáticas de los usuarios finales deben ser apropiadas para las necesidades del negocio y controladas para maximizar la compatibilidad y apoyar eficazmente al usuario. Con todos estos controles podremos evitar fallos en los equipos y en el software o como mínimo tendremos capacidad para recuperarnos de ellos o sacar poco rendimiento de los sistemas informáticos. Controles de supervisión: controles de los usuarios: Son los procedimientos manuales tradicionales que se deben ejecutar sobre los documentos y transacciones antes y después de su proceso en el ordenador para comprobar el adecuado y continuo funcionamiento de los controles de las aplicaciones.
1.1.7.3.
Sistemas de control interno informático.
Básicamente todos los cambios que se realizan en una organización someten a una gran tensión a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la mente es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana, para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se empieza a trabajar internamente. La mayoría de las organizaciones han acometido varias iniciativas en tal sentido tales como: La reestructuración de los procesos empresariales. La gestión de la calidad total. El redimensionamiento por reducción y / o por aumento de tamaño hasta el nivel correcto. La contratación externa. La descentralización. 1.2.
METODOLOGÍA COBIT.
COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) lanzado en diciembre del año 1995, es una herramienta de gobierno de TI (Tecnología de Información) que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando TI y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnología de Información (TI). COBIT es la herramienta innovadora para el gobierno de TI actual para desarrollo de auditorias de sistemas de información COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. COBIT habilita el desarrollo de una política clara y buenas prácticas de control de TI a través de organizaciones a nivel mundial. El objetivo de COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. COBIT está orientado a ser una herramienta de gobierno de TI que ayude el entendimiento y a la administración de riesgos asociados con TI y con tecnologías relacionadas. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. COBIT puede ser utilizado por: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas. También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. 1.2.1. Misión. La misión de COBIT es: “Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.”9 1.2.2. Características. Orientado al negocio. Alineado con estándares y regulaciones. Basado en una revisión crítica y analítica de las tareas y actividades en TI. Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
9
http://www.monografias.com/trabajos38/cobit/cobit.shtml
1.2.3. Principios.
Requerimientos Información Negocio
de del
Procesos de TI Recursos de TI
Fuente: COBIT, Directrices de auditoria.
1.2.3.1.
REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO.
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, costo y entrega de servicio. Requerimientos
Fiduciarios:
Efectividad
y
eficiencia
de
operaciones,
confiabilidad de la información y cumplimiento de las leyes y regulaciones. • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. • Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos.
• Confiabilidad: Proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. • Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los cuáles está comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, integridad y disponibilidad. • Confidencialidad: Protección de la información sensible contra divulgación no autorizada. • Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. • Disponibilidad: Accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. 1.2.3.2.
RECURSOS DE TI.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos del negocio: Datos: Los elementos de datos en su más amplio sentido por ejemplo externos e internos, estructurados y no estructurados, gráficos, sonidos, etc. Aplicaciones: Se entiende como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: La tecnología cubre hardware y software básicos, sistemas operativos,
sistemas
de
administración
de
base
de
datos,
redes,
telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recursos Humanos: Habilidades del personal, conocimiento, conciencia y productividad para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de información. 1.2.3.3.
PROCESOS DE TI.
La estructura de COBIT se define a partir de una premisa simple y pragmática: “Los recursos de las TI se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”. COBIT se divide en tres niveles:
1. Dominios
2. Procesos
3. Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidad con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. 1.2.4. Objetivos de control. “Los objetivos de control están dirigidos a la gerencia y al personal de los servicios de información, controles, funciones de auditoria y lo más importante a
los propietarios de los procesos del negocio. Los objetivos de control proporcionan un documento de trabajo de escritorio para estas personas. Se presentan definiciones precisas y claras de un conjunto mínimo de controles para asegurar la eficacia, la eficiencia y la economía en la utilización de recursos. Para cada proceso, se identifican Objetivos de Control detallados como poscontroles mínimos que necesitan encontrarse establecidos aquellos controles que cuya suficiencia será evaluada por el profesional en control. Existen 34 objetivos de control generales, 302 objetivos de control detallados que proporcionan una 10
versión detallada sobre las relaciones dominio / proceso / objetivo de control.” 1.2.4.1.
PLANIFICACIÓN Y ORGANIZACIÓN.
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la TI puede contribuir de la mejor manera al logro de los objetivos del negocio. PO1: Definir un plan estratégico de tecnología de la información. El Control sobre el proceso de TI de Definir un Plan Estratégico de TI con el objetivo del negocio de lograr un equilibrio óptimo de oportunidades de tecnología de la información y de los requerimientos de TI del negocio así como también asegurar su cumplimiento posterior PO2: Definir la arquitectura de información. El control sobre el proceso de TI Definir la Arquitectura de Información con el objetivo del negocio de optimizar la organización de los sistemas de información
10
HILL, McGraw. (2002): Control Objectives, Illinois – USA. Pág. 90 – 91.
PO3: Determinar la dirección tecnológica. Control sobre el proceso de TI Determinar la Dirección Tecnológica con el objetivo del negocio de aprovechar la tecnología disponible y emergente para impulsar y hacer posible la estrategia del negocio. PO4: Definir la organización y de las relaciones de TI. El control sobre el proceso de TI de Definir la Organización y las Relaciones de TI con el objetivo del negocio de entregar los servicios correctos de TI. PO5: Manejar la inversión de TI. Control sobre el proceso de TI de Administrar la Inversión de TI con el objetivo del negocio de asegurar el financiamiento y controlar el desembolso de recursos financieros. PO6: Comunicar la dirección y aspiraciones de la gerencia. Control sobre el proceso de TI Comunicar los Objetivos y la Orientación de la Gerencia con el objetivo del negocio de asegurar el conocimiento y comprensión del usuario de estos objetivos. PO7: Administrar recursos humanos. Control sobre el proceso de TI Administrar Recursos Humanos con el objetivo del negocio de adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI.
PO8: Asegurar el cumplimiento con los requerimientos externos. Control sobre el proceso de TI Asegurar el Cumplimiento de los Requerimientos Externos con el objetivo del negocio de cumplir con las obligaciones legales, regulatorias y contractuales. PO9: Evaluar riesgos. Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administración para lograr los objetivos de TI y responder a las amenazas reduciendo la complejidad, la objetividad creciente e identificando factores importantes de decisión. PO10: Administrar proyectos. Control sobre el proceso de TI Administrar Proyectos con el objetivo del negocio de establecer prioridades y entregar a tiempo y dentro de presupuesto. PO11: Administrar calidad. Control sobre el proceso de TI Administrar Calidad con el objetivo del negocio de satisfacer los requerimientos de clientes de TI. 1.2.4.2.
ADQUISICIÓN E IMPLEMENTACIÓN.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio.
AI1: Identificar soluciones automatizadas. El Control sobre el proceso de TI de Identificar Soluciones Automatizadas con el objetivo del negocio de asegurar un enfoque efectivo y eficiente para satisfacer los requerimientos del usuario. AI2: Adquirir y mantener software de aplicación. El Control sobre el proceso de TI de Adquirir y Mantener Software de Aplicación con el objetivo del negocio de proveer funciones automatizadas que soporten efectivamente el proceso del negocio. AI3: Adquirir y mantener arquitectura de tecnología. El Control sobre el proceso de TI de Adquirir y Mantener Infraestructura de Tecnología
con
el
objetivo
del
negocio
de
proveer
las
plataformas
apropiadas para soportar las aplicaciones del negocio. AI4: Desarrollar y mantener procedimientos relacionados con TI. El Control sobre el proceso de TI de Desarrollar y Mantener Procedimientos con el objetivo del negocio de asegurar el debido uso de las aplicaciones y de las soluciones tecnológicas establecidas. AI5: Instalar y acreditar sistemas. El Control sobre el proceso de TI de Instalar y Acreditar Sistemas con el objetivo del negocio de verificar y confirmar que la solución es adecuada para el propósito que se pretende.
AI6: Administrar cambios. El Control sobre el proceso de TI de Administrar Cambios con el objetivo del negocio
de
minimizar
la
probabilidad
de
interrupción,
alteraciones
no
autorizadas y errores. 1.2.4.3.
PRESTACIÓN Y SOPORTE.
Este dominio hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Ds1: Definir niveles de servicios. El Control sobre el proceso de TI de Definir y Administrar Niveles de Servicio con el objetivo del negocio de establecer un entendimiento común del nivel de servicio requerido. Ds2: Administrar servicios prestados por terceros. El Control sobre el proceso de TI de Administrar Servicios de Terceros con el objetivo del negocio de asegurar que los roles y responsabilidades de terceros estén claramente definidos, cumplidos y que continúen satisfaciendo los requerimientos. Ds3: Administrar desempeño y capacidad. El Control sobre el proceso de TI de Administrar el Desempeño y la Capacidad con el objetivo del negocio de asegurar que la capacidad adecuada esté disponible y que se haga el mejor y el óptimo uso de ésta para satisfacer las necesidades requeridas de desempeño.
Ds4: Asegurar servicio continuo. El Control sobre el proceso de TI de Asegurar el Servicio Continuo con el objetivo del negocio para asegurar que los servicios de TI estén disponibles cuando se requieran y asegurar un impacto mínimo en el negocio en el caso de una interrupción importante. Ds5: Garantizar la seguridad de sistemas. El Control sobre el proceso de TI de Garantizar la Seguridad de los Sistemas con el objetivo del negocio de salvaguardar información contra el uso, revelación o modificación no autorizada, daño o pérdida. Ds6: Identificar y asignar costos. El Control sobre el proceso de TI de Identificar y Asignar Costos con el objetivo del negocio de asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Ds7: Educar y entrenar a los usuarios. El Control sobre el proceso de TI de Educar y Entrenar a los Usuarios con el objetivo del negocio de asegurar que los usuarios estén haciendo uso efectivo de la tecnología y que estén concientes de los riesgos y responsabilidades involucradas. Ds8: Apoyar y asistir a los clientes de TI. El Control sobre el proceso de TI de Asistir y Asesorar a los Clientes con el objetivo del negocio de asegurar que cualquier problema que experimente el usuario sea resuelto de manera apropiada.
Ds9: Administrar la configuración. El Control sobre el proceso de TI de Administrar la Configuración con el objetivo del negocio de dar cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia física y proveer una base para una administración sensata de cambios. Ds10: Administrar problemas e incidentes. El Control sobre el proceso de TI de Administrar los Problemas y los Incidentes con el objetivo del negocio de asegurar que los problemas y los incidentes sean resueltos, y que se investigue la causa para prevenir cualquier recurrencia. Ds11: Administrar datos. El Control sobre el proceso de TI de Administrar los Datos con el objetivo del negocio de asegurar que los datos sigan siendo completos, precisos y válidos durante su ingreso, actualización y almacenamiento. Ds12: Administrar instalaciones. El Control sobre el proceso de TI de Administrar Instalaciones con el objetivo del negocio de proveer un entorno físico adecuado que proteja el equipo de TI y la gente contra riesgos naturales y provocados por el hombre. Ds13: Administrar operaciones. El Control sobre el proceso de TI de Administrar las Operaciones con el objetivo del negocio de asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida.
1.2.4.4.
MONITOREO.
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. M1: Monitorear los procesos. El Control sobre el proceso de TI de Monitorear los Procesos con el objetivo del negocio de asegurar el logro de los objetivos de desempeño fijados para los procesos de TI. M2: Evaluar lo adecuado del control interno. El Control sobre el proceso de TI de Determinar lo Adecuado del Control Interno con el objetivo del negocio de asegurar el logro de los objetivos de control interno fijados para los procesos de TI. M3: Obtener aseguramiento independiente. El Control sobre el proceso de TI de Obtener Aseguramiento Independiente con el objetivo del negocio de aumentar la confianza entre la organización, los clientes y los terceros proveedores. M4: Proporcionar auditoria independiente. El Control sobre el proceso de TI de Proveer Auditoria Independiente con el objetivo del negocio de aumentar los niveles de confianza y aprovechar el asesoramiento de la mejor práctica.
1.4.
UNIDAD EDUCATIVA LUIS A. MARTINEZ.
1.4.1. Antecedentes. “Un grupo de hombres notables imbuidos con un gran espíritu cívico / educativo y con el ferviente deseo de crear una Institución educativa laica, la cual pueda formar jóvenes con una visión clara y proyectarlos hacia un futuro compuesto de altas tecnologías es lo que da origen al UNIDAD EDUCATIVA LUIS A MARTINEZ de Ambato un mes de marzo de 1978, nombrándolo de esta forma ya que uno de sus principales mentalizadores fue el Dr. Luis A. Martinez.
En la tercera etapa de la época garciana-abril de 1871, se crea la Escuela de los Hermanos Cristianos en los predios de las calles Quito y Cevallos. Más tarde con la Revolución Liberal, dirigida por el General Eloy Alfaro, se transforma en escuela fiscal laica, gratuita y obligatoria. Luego, en 1930 toma el nombre de Instituto Primario “Luis A. Martínez”, como un justo homenaje a este ilustre ambateño recordado con mucho respeto
y
veneración.
Mediante Acuerdo Ministerial Nº 428 de 25 de enero de 1985 se crea la UNIDAD EDUCATIVA Luis A. Martínez
con
los
niveles:
Pre-primario,
Primario
y
Medio.
Gracias a la valiosa gestión del Dr. LEON VIEIRA VILLAFUERTE, Subsecretario de Educación se consigue la emisión de dos Resoluciones Ministeriales, la primera con el Nº2795 de 20 de junio de 1996 que declara al plantel como EXPERIMENTAL y la segunda con el Nº2900 de 27 de junio de 1996, que otorga la categoría de
INSTITUTO
TECNICO
SUPERIOR.
La Dirección Nacional de Presupuesto mediante Acuerdo Nº 70055 de 20-02-97 resuelve autorizar la reforma de texto a la Unidad Ejecutora Nº 5923 de Unidad Educativa Luis A. Martínez a INSTITUTO SUPERIOR LUIS
A.
MARTINEZ.
Con el Acuerdo Ministerial Nº 1041 de 23 de mayo de 1999 transforma al Instituto Técnico Superior en INSTITUTO Este
Instituto
SUPERIOR es
parte
TECNOLOGICO del
CONESUP
con
“LUIS Registro
A. Institucional
MARTINEZ”. Nº
18-001.
ORGANIZACIÓN: Nuestro Instituto está organizado en tres ciclos: Ciclo de Educación Básica, hasta el décimo año; Ciclo Diversificado que funciona con las de especialidades: CONTABILIDAD, INFORMATICA, FISICO-MATEMATICAS; Ciclo Post-Bachillerato, NIVEL TECNOLÓGICO con las especialidades de CONTABILIDAD Y AUDITORÍA, ADMINISTRACIÓN DE MICROEMPRESAS Y
SISTEMAS.
Buscando ayudar a nuestros alumnos, el Colegio en el pasado ofrecía
en su bachillerato Físico - Matemáticos, Químico - Biológicas, Ciencias Sociales y Comercialización, el cual responde a las nuevas proyecciones de nuestra provincia y país. Los bachilleratos han sido seleccionados de acuerdo con las posibilidades de inserción en las universidades locales y del país y además con los ofrecimientos laborales. Creemos firmemente
que
solamente
una
educación
sólida
y
moderna
acompañada de una formación llena de valores cívicos y moral introducen a nuestros educandos a un futuro complejo, altamente tecnológico con empresas de calidad superior, permitiéndoles una participación activa llena de éxitos y logros personales.”12 1.4.2. Definición de la Organización. La Unidad Educativa Luis A. Martinez trabaja en dos jornadas que son: la jornada matutina y la jornada vespertina. En la jornada matutina funciona la escuela la cuál consta desde el pre – básico hasta séptimo año de educación básica. En la jornada vespertina funciona el colegio el cuál consta desde el octavo año hasta el décimo año de educación básica y también con el primer, segundo y tercer año de bachillerato en las especialidades de Físico - Matemáticos, Químico - Biológicas, Ciencias Sociales y Comercialización.
12
www.colfrancesesm.edu.ec
Esta es una Institución netamente privada que brinda el servicio de educación a niños y jóvenes de nivel inicial, primario y secundario según el modelo conceptual y los lineamientos del Ministerio de Educación y Cultura del Ecuador, dentro de la política educativa del estado. 1.4.3. Misión. “La Unidad Educativa Luis A. Martinez tiene como misión educar y formar niños y jóvenes para la vida, con mentalidad prospectiva, activa y solidaria con relación a la familia y a la Sociedad, dotándolos de valores morales y cívicos que estimulen el aprendizaje y el desarrollo de su personalidad.”13 1.4.4. Visión. “La Unidad Educativa Luis A. Martinez tiene como visión ser la mejor Institución educativa de la provincia, mereciendo el reconocimiento de la sociedad, por nuestra calidad y excelencia a nivel científico, humanístico y de valores en alumnos y docentes.”14 1.4.5. Objetivos. Posicionar a la Unidad Educativa Luis A. Martinez en la vanguardia de las herramientas tecnológicas. Implementar una educación integral al estudiante del colegio, tanto en su formación académica, de valores, cultural y deportivo. Formar estudiantes con mentalidad crítica, y comprometidos en la búsqueda de mejoras para la sociedad ambateña.
1.4.6. Departamento de administración, calificaciones y contabilidad:
Comprende todo lo relacionado con el control de egresos de la Institución, como son los pagos a los trabajadores y a los acreedores, encargándose también del control de ingresos, como el proveniente del pago mensual de las pensiones de los estudiantes. Este departamento también se encarga de recibir y enviar información
a las
máximas autoridades de la Institución. Además en este departamento laboran las encargadas de ingresar las calificaciones de los estudiantes, una labora en la sección matutina (2do básico a 7mo básico) y la otra en la jornada vespertina (8vo básico a 3ro de bachillerato)
1.4.6.1.
PERSONAL
Y
FUNCIONES
QUE
REALIZAN
EN
EL
DEPARTAMENTO: En este departamento labora la encargada de lo que tiene que ver con todos los egresos que tiene la Institución, generando y cancelando los roles de pago, cancelando las deudas contraídas con otras instituciones, llevando un control de inventarios, etc. También labora una persona (secretaria) que se encarga de mantener informado a los socios, convocar a reuniones, entregar los informes de las reuniones realizadas conjuntamente con resoluciones dadas en dichas reuniones, etc. Además en este departamento encontramos a dos personas que se encargan de ingresar las calificaciones obtenidas por los estudiantes al respectivo sistema de
notas, la una labora en la sección matutina y trabaja con la Directora del Plantel y la otra colabora con el Rector del Plantel laborando en la sección vespertina, estas dos personas manejan un sistema de notas el cual les permite generar certificados de matrícula, ingreso de calificaciones, de aprovechamiento y conducta, reportes de calificaciones por mes, por quinquemestre y anual. 1.4.6.2.
OBJETIVOS DEL DEPARTAMENTO:
Controlar en forma mensual, eficaz y eficiente el cobro de las pensiones de los estudiantes de la Institución. Controlar y gestionar en forma eficiente todos los egresos que tiene el plantel como Institución. Informar oportunamente a las máximas autoridades del plantel sobre todo los asuntos relacionados con la correcta marcha de la Institución. Registrar las notas obtenidas por los estudiantes del plantel durante el año escolar, así como preparar reportes de conducta y aprovechamiento para mantener informado a sus respectivos representantes. 1.4.6.3.
FUNCIONES – SUBFUNCIONES - TAREAS DEL DEPARTAMENTO:
a) Control de egresos:
Generar los roles de pago.
Emitir cheques de pago por deudas con terceros.
Pagar al personal de la Institución.
Pagar deudas mensuales a otras empresas que prestan servicios a la Institución.
Llevar el control de inventarios.
b) Información a las máximas autoridades:
Asistir y tomar notas de las reuniones entre los socios y autoridades de la Institución.
Emitir oficios para reuniones y actos a todo el personal de la Institución.
Recibir y entregar oficios dirigidos a las autoridades de la Institución.
Recibir pedidos de materiales e insumo por parte del personal que la labora en la Institución.
Mantener comunicado al gerente de los acontecimientos suscitados en la Institución.
c) Registro de calificaciones:
Solicitar en las fechas previstas las notas de los estudiantes a los respectivos profesores.
Generar certificados de matrícula.
Registrar en el sistema de calificaciones de la Institución las notas obtenidas por los estudiantes en el año lectivo.
Generar reportes de notas de conducta y aprovechamiento de los estudiantes
Generar reportes de los mejores promedios para la proclamación de abanderados de la Institución.
Emitir oficios referentes a las notas obtenidas por los estudiantes de la Institución.
Atender reclamos referentes al registro de las notas de los estudiantes en el sistema.
CAPÍTULO II: DIAGNÓSTICO
2.1.
ANTECEDENTES.
Este trabajo de investigación se realizó en base a la información facilitada por el Gerente, personal administrativo, docente y alumnos de la Unidad Educativa Luis A. Martinez en el año lectivo 2014 - 2015, y se basa en la realidad de la infraestructura tecnológica y sistemas de información existentes en esta Institución. El presente trabajo pretende que el personal que forma parte de la Unidad Educativa Luis A. Martinez de la ciudad de Ambato, conozca sobre el uso de los procesos y tecnología de la información que permita un mejor funcionamiento en el área administrativa, matriculación, de calificaciones y contable de la mencionada Institución. La gran demanda de niños y jóvenes por acceder a educación de calidad, obliga a las instituciones a prepararse, no solo en las áreas especificas del negocio: la educación, sino en todas las áreas que sirven de base para el desarrollo y operación de las instituciones: su infraestructura tecnológica. El hecho de que los alumnos del establecimiento reciban la materia de computación de manera teórica y práctica presume una educación basada en herramientas tecnológicas como son las computadoras y los sistemas, sin embargo los docentes y personal administrativo carecen de acceso formal a capacitaciones o prácticas dentro del laboratorio, que si bien durante años se ha usado para dictar la materia de computación, existen muchas materias relacionadas con el uso del Internet o sistemas contables, cuyos profesores han mostrado su deseo de usar dichos laboratorios, pero por falta de coordinación no se ha logrado alcanzar este objetivo.
Muchos procesos administrativos carecen de agilidad, y muchos de los procesos pedagógicos subutilizan los recursos tecnológicos existentes en la Institución, en muchos casos por desconocimiento de herramientas informáticas y en otros por la mala calidad de los servicios de los proveedores. Los directivos de la Unidad Educativa Luis A. Martinez si bien evalúan algunos aspectos relacionados a la calidad de educación, ingresos, gastos y servicios que prestan a la colectividad, están conscientes de sus limitaciones y falencias en lo que se refiere a infraestructura tecnológica y sistemas de información, ya sea por falta de dinero o por desconocimiento. Si bien periódicamente se realizan auditorias a sus estados financieros y procesos contables, nunca se ha realizado una evaluación integral a sus infraestructura tecnológica, lo que constituye precedente para la Institución, ya que se pretende con este tipo de trabajos iniciar una política de evaluación institucional, con el fin de mejorar sus servicios y por ende la calidad de la educación en la provincia. 2.2.
OBJETIVOS DE DIAGNÓSTICO.
Recopilar la información relacionada al funcionamiento y operación de la Institución. Determinar los objetivos de control para la tecnología de la información de la Institución. Evaluar el funcionamiento y operación de la infraestructura tecnológica existente en la Institución. 2.3.
VARIABLES DEL DIAGNÓSTICO.
2.3.1. Unidad Educativa Luis A. Martinez de la ciudad de Ambato. Una Unidad Educativa es una Institución que consta de educación preescolar, educación básica y bachillerato.
Se han tomado en cuenta los criterios del Gerente, jefe de sistema, personal administrativo y estudiantes de dicha Institución. 2.3.2. COBIT (Objetivos de Control para la Información y Tecnologías relacionadas). Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información (ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992. Se utilizó la metodología COBIT para realizar este trabajo ya que el mismo proporciona la información que la empresa necesita para alcanzar sus objetivos. 2.3.3. Infraestructura tecnológica. Son los equipos informáticos con lo que cuenta la Institución. 2.4.
INDICADORES O SUBASPECTOS.
2.4.1. Estudiantes. Persona que está formalmente matriculada en un programa de estudios. A menudo se utiliza como alumno. Hay distintos tipos de estudiantes, en función del modelo de enseñanza, de su dedicación temporal, del plan de estudios en el que se matricula o inscribe, por lo que las estadísticas universitarias pueden tener que atender a estas circunstancias. La Unidad Educativa Luis A. Martinez consta con un total de 2500 estudiantes: 1500 estudiantes en la sección matutina (escuela) y 1000 en la sección vespertina (colegio).
2.4.2. Servicios. Un servicio es un conjunto de actividades que buscan responder a una o más necesidades de un cliente. La Unidad Educativa Luis A. Martinez ofrece el servicio de Internet, atención de padres y estudiantes, etc. 2.4.3. Docentes. Un docente es una persona que enseña una determinada ciencia o arte, pero al contrario que maestro no se le reconoce una habilidad extraordinaria en la materia que instruye. Sin embargo deben poseer habilidades pedagógicas para ser agentes efectivos del proceso de aprendizaje. La Unidad Educativa Luis A. Martinez tiene 3 profesores que forman parte del área de informática. 2.4.4. Empleados administrativos. Incluye el personal de apoyo y operativo no comprendido en otras áreas, como son: secretarias, colectora, auxiliares administrativos, mensajeros y guardia, entre otros. 2.4.5. Niveles de madurez. Es el grado de perfeccionamiento alcanzado por un profesional en el desempeño de sus funciones. Para la realización de esta auditoria se utilizó seis niveles que van desde el 0 (inexistente) hasta el 5 (optimizado)
2.4.6. Dominios. Es la agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. 2.4.7. Procesos. Un proceso es un conjunto de actividades o eventos que se realizan o suceden con un determinado fin. Este término tiene significados diferentes según la rama de la ciencia o la técnica en que se utilice. 2.4.8. Laboratorio y equipos de computación. Una computadora es una máquina electrónica capaz de procesar información a gran velocidad. Está conformada de dos partes: hardware y software. En la Unidad Educativa Luis A. Martinez existe tres laboratorios de computación compuestos por 20 computadoras cada una.
2.4.9. Sistema. Un sistema es el conjunto de hardware, software y de un soporte humano. La Unidad Educativa Luis A. Martinez tiene dos sistemas el NEW GENESIS y el SIAF, los cuáles son utilizados por el personal administrativo. 2.4.10. Red. Una red de ordenadores es un conjunto de PC´s y otros dispositivos, como impresoras, discos, etc., que se conectan entre sí con cables, para que puedan comunicarse entre ellos, con el fin de compartir información y recursos, haciendo que todas las personas o departamentos de una empresa, estén trabajando
unidos, sin duplicar la información, transmitiéndola de forma rápida y eficaz, a la vez, que comparten recursos caros, que de no tener la red, muchas empresas prescindirían. 2.4.11. Usuario. Un usuario es la persona que utiliza o trabaja con algún objeto o que es destinaría de algún servicio público o privado, empresarial o profesional. En informática este término se utiliza con especial relevancia. 2.4.12. Ancho de banda. Se conoce como banda ancha a la transmisión de datos en el cual se envían simultáneamente varias piezas de información, con el objeto de incrementar la velocidad de transmisión efectiva. En ingeniería de redes este término se utiliza también para los métodos en donde dos o más señales comparten un medio de transmisión. La Institución tiene un contrato de Internet con la empresa FIXGROUP y este provee un ancho de banda de 96/96. 2.5.
MATRIZ DE RELACIÓN (OBJETIVOS, VARIABLES, INDICADORES, TÉCNICAS, PÚBLICOS)
Objetivos
Variables
Indicadores
Recopilar la
Unidad
Nº de estudiantes
información
Educativa
Tipos de servicios
Unidad
relacionada al
Luis
Nº de docentes
Educativa
funcionamiento Martinez
Nº de
Luis A.
y operación de
especialidades
la Institución
Nº de empleados
A.
administrativos
Técnica
Fuente
Documentos Martinez
Determinar los
COBIT
Niveles de
ISACA e IT
objetivos de
madurez
Governance
control para la
Dominios
Institute
tecnología de la
Nivel de riesgo
información de
Grado de políticas
la Institución
Nº de procesos
Documentos
Tipos y grados de pericias Evaluar el
Infraestructura
Nº de laboratorios Entrevistas
Encargado
funcionamiento tecnológica
Nº de equipos
Entrevistas
del
y operación de
Nº profesores de
Entrevistas
laboratorio
la
informática
infraestructura
Nº de técnicos Nº
tecnológica
de sistemas Tipos Entrevistas
existente en la
de redes Tipos de Entrevistas
Institución
cableado Tipos de Entrevistas acceso a Internet
Gerente Entrevistas
Documentos
Nº de capacitaciones en Entrevistas el área Nº de usuarios de los sistemas
Documentos
Ancho de banda contratado
53
Documentos
Contador Director
2.6.
MECÁNICA OPERATIVA.
2.6.1. Identificación de la población. La Unidad Educativa Luis A. Martinez consta con un total de 2500 estudiantes: 1500 estudiantes en la sección matutina (escuela) y 1000 en la sección vespertina (colegio), 3 profesores de computación (uno de la escuela y dos del colegio), el Rector y 7 personas que forman parte del área administrativa. 2.6.2. Identificación de la muestra. 2.6.2.1.
DETERMINACIÓN DEL TAMAÑO DE LA MUESTRA.
Para la realización de la encuesta se tomó una muestra de 2500 estudiantes aplicando la siguiente fórmula, considerando que se tienen como datos el tamaño de la muestra, la población y el error de muestreo y no la desviación estándar, porcentaje de aceptación, etc. que permita aplicar una fórmula diferente.
n=
N E (N − 1) + 1 2
En donde: n = Tamaño de la muestra. N = Población. (2500 estudiantes) E = Error de muestreo. 7.5% 2500 n=
= 1) 0.0752 (2500 − +1
2500 0.005625(2500)=+ 1
2500 = 540 es tudiantes 4.650625
Para la realización de esta encuesta se tomó en cuenta seis cursos de la jornada vespertina, que corresponden al octavo, noveno, décimo de educación básica y los tres años de bachillerato, considerando que de ellos se podía obtener una mejor respuesta. También se realizó la respectiva entrevista al rector y encuesta al personal administrativo que forma parte de la Unidad Educativa Luis A. Martinez. 2.6.3. Información primaria. 2.6.3.1.
ENCUESTA.
La presente encuesta
fue realizada a los estudiantes de la Unidad Educativa
Luis A. Martinez el día 24 de julio del 2015 con el siguiente modelo: VER ANEXO 3. 2.6.3.2.
ENTREVISTAS.
2.6.3.2.1. Entrevista dirigida al gerente. La presente entrevista fue realizada al Gerente de la Unidad Educativa Luis A. Martinez
Dr. Humberto Salazar el día 20 de julio de 2015 con las siguientes
preguntas: VER ANEXO 4.
2.6.3.2.2. Entrevista dirigida al encargado del centro de c贸mputo.
La presente entrevista fue realizada al Encargado del Centro de C贸mputo de la Unidad Educativa Luis A. Martinez
Sr. Juan Guaigua el d铆a 20 de julio del 2015
con el siguiente modelo: VER ANEXO 5.
2.6.4. Tabulación y análisis de resultados. 2.6.4.1.
Encuesta dirigida a los estudiantes.
PREGUNTA 1. ¿Considera usted que el número de computadoras es suficiente para la cantidad de estudiantes que asisten al laboratorio de computación?
TABLA Y GRAFICO
SI NO TOTAL
frecuencia 38 112 150
% 25.33 74.67 100.00.
Fuente: Estudiantes.
Análisis: Tomando en cuenta que la computadora es una herramienta muy necesaria para el aprendizaje de los educandos, se observa en el cuadro que las tres cuartas partes del estudiantado no están satisfechos con el número de computadoras que tiene el laboratorio de computación ya que ellos deben compartir entre dos o tres estudiantes una sola computadora, lo que no facilita realizar su trabajo eficientemente, por el contrario el grupo de estudiantes restantes se encuentran satisfecho.
PREGUNTA 2. ¿Cuentan las computadoras con los programas adecuados para realizar sus trabajos?
TABLA Y GRAFICO
SI NO NULO TOTAL
frecuencia 104 45 1 150
% 69.33 30.00 0.67 100.00
Fuente: Estudiantes.
Análisis: Es muy halagador observar que un considerable porcentaje de estudiantes muestren su satisfacción por los programas que contienen las computadoras de la Institución ya que es necesario para su educación, esto demuestra no solo el deseo de superación de los estudiantes sino el grado de compromiso que tiene la Institución con los jóvenes esmeraldeños.
PREGUNTA 3. Las computadoras utilizadas se encuentran en buen estado. TABLA Y GRAFICO
SI NO NULO TOTAL
frecuencia 95 52 3 150
% 63.33 34.67 2.00 100.00
Fuente: Estudiantes.
Anรกlisis: El presente cuadro hace referencia al criterio vertido por los estudiantes en lo que se refiere al estado de las computadoras del laboratorio de computaciรณn. Como se puede observar, mรกs de la mitad del alumnado se muestra satisfecho por el estado en que se encuentran los equipos informรกticos, sin embargo hay un gran porcentaje que opinan lo contrario, esto se debe al poco mantenimiento que se la da a cada computadora.
PREGUNTA 4. El nivel de transmisión de virus informáticos es: TABLA Y GRAFICO
BAJA MEDIA ALTA BLANCO TOTAL
frecuencia 63 71 11 5 150
% 42.00 47.33 7.33 3.33 100.00
Fuente: Estudiantes.
Análisis: Cada computadora del laboratorio posee un antivirus actualizado. Estas actualizaciones son descargadas desde el Internet, pero a pesar de esto más de la mitad de los estudiantes es decir el 55% expresaron su inconformidad, ya que las computadoras que ellos utilizan están infectadas de virus informático. Esto se debe a que no todos los antivirus detectan y eliminan los virus.
PREGUNTA 5. La velocidad de transmisión de datos que ofrece el Internet de la Unidad es: TABLA Y GRAFICO
BAJA MEDIA NORMAL RÁPIDA MUY RÁPIDA BLANCO TOTAL
frecuencia 19 42 68 16 3 2 150
% 12.67 28.00 45.33 10.67 2.00 1.33 100.00
Fuente: Estudiantes.
Análisis: Una de las características más importantes del Internet es la velocidad de acceso. Como se puede observar, más de la mitad de los estudiantes están conforme con el servicio de Internet que presta la Institución. Esto es un gran beneficio para ellos, puesto que tienen un rápido acceso a la información que requieren en menos tiempo. El resto de estudiantes expresaron su inconformidad, ya que esto depende de la información que se esté obteniendo.
PREGUNTA 6. ¿Desearía que la Institución cuente con computadoras actualizadas tanto en hardware como en software?
TABLA Y GRAFICO
SI NO BLANCO TOTAL
frecuencia 147 2 1 150
% 98.00 1.33 0.67 100.00
Fuente: Estudiantes.
Análisis: Tomando en cuenta que vivimos en una sociedad, en donde la tecnología avanza día a día, la creación de nuevos programas y piezas informáticas dan la pauta para actualizar los equipos permanentemente favoreciendo a todos los sectores sobre todo a la educación. Casi unánime fue la manifestación de los estudiantes que en un 98% sí desearía la implementación de software y hardware más actualizado en la unidad, lo que resulta satisfactorio, puesto que todos ellos demuestran el interés sobre la adquisición de nuevas tecnologías.
2.6.5. Resultados de las entrevistas. 2.6.5.1.
Entrevista dirigida al Gerente.
En la entrevista realizada al Rector de la Unidad Educativa Luis A. Martinez Dr. Eduardo Mejia, respondió lo siguiente: PREGUNTA 1. ¿Cuántas computadoras existen en la Institución? Y, ¿Cómo están distribuidas? La Institución consta con un total de 33 computadoras distribuidas de la siguiente manera: 20 computadoras que son utilizadas en la sala de computación, 4 para el área de informática y 9 que están ubicadas en las oficinas. PREGUNTA 2. ¿Con qué ISP (proveedor de Internet) tiene contratado el servicio de Internet? ¿Están satisfechos con los servicios prestados? Tenemos contratado el servicio de Internet con la empresa FIXGROUP. Nosotros estamos satisfechos con los servicios prestados por esta empresa. PREGUNTA 3. ¿Poseen página Web? Si la tienen ¿para qué la utilizan? Y si no ¿por qué? La Institución si tiene una página Web, para que los padres de familia tenga la información necesario acerca de la historia, misión, visión, organización, etc. de nuestra Institución.
PREGUNTA 4. ¿Existen planes de seguridad física, lógicas, de mantenimiento, o de contingencias en lo relacionado al uso de laboratorios de computación? Si existen normas de seguridad física, lógicas, de mantenimiento y de contingencia pero falta aplicarlas. PREGUNTA 5. ¿Utilizan sistemas de información? ¿En qué áreas? Si lo tienen: ¿El sistema utilizado garantiza la seguridad de los datos ingresados? Si utilizamos sistemas de información en todas las áreas que tiene la Institución. Los sistemas que utilizamos son: SIAF y GENESIS.NEW. Si garantizan la seguridad de los datos ingresados. PREGUNTA 6. ¿Existe un plan o cronograma relacionado con el mantenimiento de los equipos computacionales y los sistemas existentes en la Institución? Anualmente se realiza un mantenimiento de software y hardware, Existe un encargado del centro de cómputo, y dentro del cronograma y planificación de la Institución se contempla en las fechas de vacaciones estudiantiles la realización de los mantenimientos. PREGUNTA 7. ¿Cuenta la Institución con generadores y baterías de suministro de energía eléctrica en caso de que esta sea interrumpida?
La Institución no cuenta con generadores y baterías de suministro de energía eléctrica. PREGUNTA 8. ¿Qué procesos se podrían mejorar con el uso de nueva tecnología y sistemas de información? Los procesos que podrían mejorarse con el uso de nueva tecnología y sistemas de información son: métodos de enseñanza y control de pago de pensiones. PREGUNTA 9. ¿Cuántas personas relacionadas con el área informática laboran en la Institución? ¿Cuáles son sus áreas específicas? En la Institución existen tres profesores relacionados con el área de informática de los cuáles uno de ellos tiene el título de tecnólogo en computación. 2.6.5.2.
Entrevista dirigida al Encargado del Centro de Cómputo.
En la entrevista realizada al encargado del centro de cómputo de la Unidad Educativa Luis A. Martinez Sr. Juan Guaigua, respondió lo siguiente: PREGUNTA 1. ¿Cuántos laboratorios de computación existen en la Unidad Educativa Particular “Francés”? Existe un laboratorio de computación.
PREGUNTA 2. ¿Cuál es el número de computadoras que existen en cada laboratorio? En el laboratorio de computación existen 20 computadoras. PREGUNTA 3. ¿Cómo están estructuradas las computadoras en los laboratorios?
El laboratorio está estructurado de la siguiente manera: PUERTA 20
19
18
17
16
15
14
13
12
11
10
9
8
7
6
5
4
3
2
1
SERVIDOR
PREGUNTA 4. ¿Qué características en cuánto a Hardware tiene cada computadora de los laboratorios? Existen computadoras con procesador Pentium 4 256 de 2.8 Mhz, 3.0 Mhz, dual core de 2.8 Mhz. Discos duros de 40 GB y 80 GB. PREGUNTA 5. ¿Qué tipo de antivirus tiene cada computadora? El antivirus que tiene cada computadora es el Antivirus Free AVG 7.5. PREGUNTA 6. ¿Está actualizado dicho antivirus? Si está actualizado. Se actualiza a través de Internet. PREGUNTA 7. ¿Cuentan las computadoras con los programas adecuados para el trabajo de los estudiantes? ¿Poseen licencias? Si, cada profesor se encarga de cargar sus programas, y ninguna tiene licenciamiento. PREGUNTA 8. ¿Con que ISP (proveedor de Internet) tienen contratado el servicio de Internet? Y ¿Qué le parece el servicio que ellos prestan?
FIXGROUP es el servidor
ISP, el servicio no es muy bueno, se corta
periódicamente, muchas veces no cargan algunas páginas y no se puede avanzar con las clases en las que necesariamente se necesita el Internet. PREGUNTA 9. ¿Cuál es la velocidad de navegación del Internet? ¿Es suficiente para la cantidad de PC’s que la Institución posee? El contrato es banda ancha 96/96. Técnicamente debería ser suficiente, sin embargo las tasas de carga/descarga a veces están por debajo de lo que dice el contrato.
CAPÍTULO III: INFORME DE AUDITORIA
3.1.
INFORME
Entidad auditada: Unidad Educativa Luis A. Martinez Alcance de la auditoria: Esta auditoria está enfocada a los procesos y a las tecnologías de información (TI) que permiten el funcionamiento de la Unidad Educativa Luis A. Martinez y en especial al área administrativa, matriculación, de calificaciones, contable y laboratorio de cómputo de la mencionada Institución educativa. Norma aplicada: COBIT. Diagnóstico: 3.1.1. Planeación y organización. PO1: Definir un plan estratégico de tecnología de información: En la Institución se han definido objetivos y necesidades de TI sin embargo la misión y las metas no se han cumplido en su totalidad. De manera que este proceso es repetible VER ANEXO 7, en la que la planeación estratégica de TI es entendida por la administración de TI, pero no está
documentada. La planeación estratégica de TI es realizada por la administración de TI, pero sólo es compartida con la administración del negocio en la medida en que se necesita. La actualización del plan estratégico de TI se lleva a cabo sólo en respuesta a solicitudes de la administración y no hay un proceso proactivo para identificar los desarrollos de TI y del negocio que requieren actualizaciones del plan. Las decisiones estratégicas son impulsadas por proyecto, sin consistencia con una estrategia general de la organización. Los riesgos y los beneficios de usuario de las principales decisiones estratégicas están siendo reconocidos, pero su definición es intuitiva. PO2: Definir la arquitectura de información: No existe un modelo de información que asegure la definición de los sistemas apropiados para optimizar la utilización de la información. La Institución está en un proceso inexistente en donde no hay conciencia de la importancia de la arquitectura de la información para la organización. El conocimiento, la experiencia y las responsabilidades necesarios para desarrollar esta arquitectura no existen en la organización. PO3: Determinar la dirección tecnológica: La Institución no posee un plan de infraestructura tecnológica que concuerde con los planes a largo y corto plazo, lo que se hace en la Institución es actuar según las circunstancias que se puedan presentar en cuanto a la infraestructura tecnológica, sin tener un plan ya establecido. No existe un monitoreo continuo de tendencias futuras y condiciones regulatorias, sino que simplemente se adquieren las soluciones tecnológicas y casi nunca se realiza el monitoreo respectivo de desempeño en el futuro. Poco se evalúa sistemáticamente los aspectos de contingencia, ya que no se hace un control regular de la resistencia y capacidad de adecuación del personal a los cambios que se presentan en la Institución. No posee un plan de adquisición de hardware y software a futuro, invirtiendo poco en
tecnología nueva o cuando verdaderamente la tecnología existente colapsa sin que exista un plan a futuro que pueda prever esto. Poco se definen normas de tecnologías con la finalidad de fomentar la estandarización, ya que la Institución considera a los sistemas que se manejan como totalmente independientes y no se ha prevenido normas de este tipo. En conclusión, este proceso es inexistente, en donde no hay conciencia de la importancia para la entidad de planear la infraestructura de la tecnología. No existen los conocimientos y la experiencia necesarios para desarrollar dicho plan de infraestructura de tecnología. Hay una falta de entendimiento de que la planeación para el cambio tecnológico es crítica para asignar recursos con efectividad. PO4: Definir la organización y las relaciones de TI: La Institución sí cumple con este objetivo ya que la gerencia supervisa al personal para asegurarse que todo el personal tenga la capacidad suficiente de llevar a cabo sus funciones y responsabilidades que se le hayan sido asignadas. Los puestos de cada persona son asignados de acuerdo a las habilidades y experiencias de cada persona a través de evaluaciones. Esto se realiza con el fin de contar con el personal adecuado tanto en el presente como en el futuro. Existe un comité de dirección encargada de vigilar los servicios de información y sus actividades. Por ende, este es un proceso definido ya que existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI está desarrollada, documentada, comunicada y en concordancia con la estrategia de TI. El diseño organizacional y el entorno de control interno están definidos. Hay formalización de las relaciones con otras partes, incluyendo los comités de dirección, auditoria interna y el manejo de vendedores. La organización de TI está completa desde el punto de vista funcional; sin embargo, está más enfocada en las soluciones tecnológicas que en usar la tecnología para resolver problemas de
negocio. Hay definiciones de las funciones que deben ser realizadas por el personal de TI y de las que serán ejecutadas por los usuarios. PO5: Manejar la Inversión de TI: La Institución lleva un control de los gastos, a través de un sistema de contabilidad el mismo que registra, procesa y reporta rutinariamente los costos de las actividades de la función de servicios de información. Se realiza un control gerencial lo cuál garantiza que la prestación de servicios por parte de la función de servicios de información se justifica en cuanto a costos. Por lo tanto, está en un proceso definido, en donde Los procesos de selección y presupuestación de la inversión de TI son razonablemente correctos y abarcan aspectos claves de la Institución y de la tecnología. La selección y política de la inversión es definida, documentada y comunicada. El presupuesto de TI está alineado con los planes estratégicos de TI y los planes del negocio. Los procesos de presupuestación y de selección de la inversión de TI están formalizados, documentados y son comunicados. Está ocurriendo una auto capacitación informal. Está ocurriendo la aprobación formal de las selecciones y presupuestos de inversión de TI. El balance entre las inversiones en recursos humanos, hardware, software de sistemas y software de aplicación está definido y acorde para apalancar los desarrollos tecnológicos y la disponibilidad y productividad de los profesionales de TI. PO6: Comunicar la dirección y aspiraciones de la Gerencia: En el plantel, los usuarios tienen conocimiento y comprensión sobre las aspiraciones de la gerencia, las cuáles se concretan de manera parcial a través de políticas establecidas. Por tal motivo, existe un proceso repetible, en donde la administración tiene una comprensión implícita de las necesidades y requerimientos de un entorno efectivo
de control de información. Sin embargo, las prácticas son informales y no se documentan de manera consistente. La administración ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero el desarrollo es dejado a la discreción de los administradores y áreas de negocio individuales. Las políticas y otros documentos de respaldo se desarrollan basados en las necesidades individuales y no hay marco general de desarrollo. La calidad es reconocida como una filosofía deseable a ser seguida, pero las prácticas son dejadas a la discreción de los administradores individuales. El entrenamiento se lleva a cabo de manera individual y en la medida que se necesita. PO7: Administrar recursos humanos: En la Institución se realizan capacitaciones, programas de educación y entrenamiento al personal en el área de computación con la finalidad de incrementar los niveles de habilidades técnicas y administrativas de estos. Estas evaluaciones
se
llevan
a
cabo
regularmente
dependiendo de
las
responsabilidades de cada puesto. Los estudiantes del plantel expresaron que el número de computadoras que existen en el laboratorio de computación no es suficiente para realizar sus trabajos, porque cada máquina es utilizada en unos casos hasta por tres estudiantes. En conclusión, es un proceso inicial ya que la administración reconoce la necesidad de administrar los recursos humanos, pero no ha formalizado un proceso o un plan. El proceso de administración de recursos humanos de TI es informal y tiene un enfoque reactivo y se concentra en las operaciones para contratar y administrar el personal de TI. Se está desarrollando conciencia respecto al impacto que tienen los cambios rápidos del negocio y de la tecnología y las soluciones cada vez más complejas sobre la necesidad de nuevas habilidades y niveles de competencia.
PO8: Asegurar el Cumplimiento de los Requerimientos Externos: En base a la conversación sostenida tanto con el Gerente de la Institución como con el encargado del laboratorio no existen licencias en lo que al software de sistema y aplicaciones se refiere, sin embargo el sistema contable si posee licenciamiento, debido a que la instalación de ese sistema incluyó los costos de licencia respectivos. Por lo que tiene un proceso inexistente, en donde hay poca conciencia de los requerimientos externos que afectan a TI, y no hay ningún proceso respecto al cumplimiento de requisitos regulatorios, legales y contractuales. PO9: Evaluar riesgos: En el plantel existe un plan de acción contra los riesgos para asegurar que existen controles y medidas de seguridad económicas que mitiguen los riesgos de forma continua. Por ende, existe un proceso definido en donde la política de manejo del riesgo a nivel de toda una organización define cuándo y cómo llevar a cabo evaluaciones de riesgo. La evaluación del riesgo sigue un proceso definido que está documentado y disponible para todas las personas a través de entrenamiento. Las decisiones de seguir el proceso y recibir entrenamiento se dejan a la discreción de las personas. La metodología es convincente y saludable, y asegura que los riesgos clave del negocio probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos estén cubiertos o que la operación en curso es examinada en busca de riesgos de manera regular.
PO10: Administrar proyectos: Los procedimientos para el desarrollo de sistemas son informales. Cuando se desarrolla, implementa o modifica los sistemas se involucran a los usuarios para su aprobación. En conclusión este proceso está en un nivel de madurez repetible en donde la gerencia general ha ganado y comunicado un conocimiento de la necesidad de la administración de proyectos de TI. La organización está en el proceso de aprender y repetir ciertas técnicas y métodos de un proyecto a otro. Los proyectos de TI han definido de manera informal objetivos definidos de negocio y técnicos. Hay una participación limitada en la administración de proyectos de TI por parte de los interesados. Se han desarrollado algunos lineamientos para la mayoría de los aspectos de la administración de proyectos, pero su aplicación es dejada a la discreción del administrador individual del proyecto. PO11: Administrar calidad: La gerencia y el personal de sistema no establece un programa de control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la metodología de ciclo de vida, no existe una planificación previa de los proyectos de desarrollo de sistemas ni un sistema formal para su seguimiento. Por lo tanto la Institución está en un nivel de madurez inexistente en donde la organización carece de un proceso de planeación de aseguramiento de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La gerencia general y el personal de TI no reconocen que es necesario un programa de calidad. Los proyectos y operaciones no se revisan nunca por calidad.
3.1.2. Adquisición e implementación. AI1: Identificar soluciones automatizadas: En el plantel, existe la persona encargada que da soluciones apropiadas para cumplir los requerimientos de los usuarios. Por tal motivo este proceso está en un nivel de madurez definido en donde la organización ha establecido una metodología de adquisición e implementación, que requiere un método claro y estructurado para determinar soluciones de TI para satisfacer requerimientos del negocio. El método requiere la consideración de alternativas evaluadas contra los requerimientos del usuario, las oportunidades tecnológicas, la factibilidad económica, los análisis de riesgos y otros factores. El proceso no es, sin embargo, siempre seguido para cada proyecto y depende de decisiones hechas por el personal individual involucrado, la cantidad de tiempo de administración dedicado y el tamaño y la prioridad del requerimiento original del negocio. Típicamente, el proceso es omitido o considerado no práctico. AI2: Adquirir y mantener software de aplicación: Para la adquisición de los sistemas que tiene la Institución, ellos lo han hecho con la finalidad que cumpla con los requerimientos de los usuarios. Antes de adquirirlo se le realizan pruebas de su funcionalidad antes de ser aprobados por los usuarios. Existen manuales para que los usuarios puedan aprender y utilizar el sistema o para aclarar todas aquellas inquietudes que se les pueda presentar. Por ejemplo en el plante existe un software de aplicación que se llama SIAF (sistema integrado administrativo financiero) este programa lo utilizan en secretaria general para pasar notas y sacar los reportes, lo maneja también inspección el cual puede ingresar las inasistencias y faltas cometidas por los alumnos, enfermería para ingresar datos de los alumnos que se atienden y los medicamentos que le da, orientación lo usa para ingresar información personal de cada alumno (confidencial). Además mediante este sistema se puede actualizar la página Web
en el reporte de notas y datos. Esta página Web beneficia a los padres de familia ya que desde su trabajo pueden tener acceso a la información acerca del rendimiento de sus representantes con solo ingresar el número de matrícula de estos. Por lo que se puede concluir que está en un nivel de madurez definido en donde hay procesos documentados de adquisición e implementación. Se hace un intento de aplicar consistentemente procesos documentados en todas las diferentes aplicaciones y proyectos, pero no siempre se les encuentra práctico de implementar
o
que
reflejen
las
soluciones
tecnológicas
actuales.
Son
generalmente inflexibles y difíciles de aplicar en todos los casos, de modo que las medidas son frecuentemente desviadas. En consecuencia, las aplicaciones se adquieren a menudo en forma fragmentada. El mantenimiento sigue un método definido, pero frecuentemente absorbe demasiado tiempo y es ineficiente. AI3: Adquirir y mantener arquitectura de tecnología: En la Institución no existe una documentación cuando se realizan adquisiciones de hardware y software, es decir no se realiza un informe de los equipos que se van a comprar. Según los datos recopilados a través de la encuesta, existe malestar de parte de los estudiantes por el número de computadoras existentes en el laboratorio, ya que no son suficientes. Cuando se adquiere un nuevo hardware o software por lo general si se establece el impacto de este sobre el rendimiento del sistema en general, de hecho se adquiere nueva tecnología cuando su ausencia o la existente está impactando negativamente al rendimiento normal del sistema. No existe un calendario para el mantenimiento preventivo, rutinario y periódico del hardware, sino que este se realiza ya cuando el mantenimiento deja de ser preventivo y se convierte en correctivo, es decir cuando ya existen las fallas de rendimiento. Existe poco control en la Institución en cuanto a asegurar que la instalación de un software no arriesgue la seguridad de los datos y programas ya almacenados, ya que no existe la suficiente seguridad en los computadores que permitan que solo el
personal autorizado pueda instalar el software que se requiera. No existe un control para asegurar que el software del sistema sea instalado de acuerdo al marco de referencia de adquisición, sin embargo si se llevan a cabo pruebas antes de su utilización. Cada año se realiza un mantenimiento al software del sistema, para garantizar su correcto funcionamiento durante el año lectivo. Cuando en la Institución se realizan modificaciones al software del sistema estos son controlado y evaluado de acuerdo con los procedimientos de cambios solicitados. Por ende este proceso está en un nivel inicial en el cuál se hacen cambios a la infraestructura para cada nueva aplicación sin un plan general. A pesar de que hay conciencia de que la infraestructura de TI es importante, no hay un método general consistente. AI4: Desarrollar y mantener procedimientos relacionados con tecnología de información: En la Institución poco se considera para el sistema a los niveles de servicios futuros, sin embargo, si existe preocupación por la
definición oportuna de
requerimientos operacionales. Cuando se realiza una modificación al sistema, no se solicita la actualización adecuada del manual de procedimientos para los usuarios, sin embargo, la mayoría del software empleado en la Institución tiene su manual de usuarios, aunque desactualizado a los cambios que se le han realizado en el tiempo. No existen manuales de operaciones de los sistemas de información que se manejan, lo que es una limitante para realizar modificaciones al sistema ya que no se tiene registro de la arquitectura del mismo, sino que es solo el programador del sistema el que puede realizar las modificaciones solicitadas. Poco se desarrollan los materiales de entrenamiento necesarios para el personal que maneja los sistemas de información que le permita un mayor conocimiento y
aprovechamiento de las bondades que le presenta el sistema en el trabajo y práctica diaria. Por lo tanto este nivel de madurez es inexistente por lo que no hay ningún proceso establecido respecto a la producción de documentación de usuario, manuales de operaciones y material de entrenamiento. Los únicos materiales que existen son los suministrados con los productos comprados. AI5: Instalar y acreditar sistemas: En la Institución, antes de realizar una compra de un sistema, se realizan pruebas específicas del sistema con el objeto de obtener un producto satisfactorio, y se sociabiliza los resultados ante la junta directiva para la toma de decisiones. En conclusión, existe un proceso definido ya que está establecida una metodología formal relativa a instalación, migración, conversión y aceptación. Sin embargo, la administración no tiene la capacidad de determinar el cumplimiento. Los procesos de instalación y acreditación de TI están integrados en el ciclo de vida el sistema y están automatizados en cierta medida. El entrenamiento, prueba y transición al estado de producción y a la acreditación es probable que varíen del proceso definido, sobre la base de las decisiones individuales. La calidad de los sistemas que se han adquirido y desarrollado a lo largo del tiempo para la gestión contable es inconsistente, con nuevos sistemas que a menudo generan un nivel significativo de problemas posteriores a la implementación. AI6: Administrar cambios: Cuando en la Institución se realiza modificaciones a los sistemas no se actualiza el material de entrenamiento a usuarios por lo que no se evalúa el impacto que provocarán los cambios.
Este proceso está en un nivel de madurez inexistente en donde no hay un proceso definido de administración de cambios y se pueden hacer cambios prácticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administración de cambios. 3.1.3. Entrega y soporte. DS1: Definir niveles de servicio: En la Institución si se definen las responsabilidades de los usuarios y de la función de servicios de información. Por tal motivo este proceso está en un nivel de madurez administrado y medible en la cuál los niveles de servicios son cada vez más definidos en la fase de definición de los requerimientos de sistema e incorporados en el diseño de los ambientes de aplicación y operación. La satisfacción del cliente se mide y se determina de manera rutinaria. Las medidas de desempeño están reflejando cada vez más las necesidades del usuario final, en lugar de reflejar únicamente las metas de TI. Los criterios de medición de los niveles de servicio de usuario se están volviendo estandarizados y reflejos de la norma de la industria. El análisis de causas originarias se realiza cuando no se cumple con los niveles de servicio. El sistema de reporte para monitorear los niveles de servicio se está volviendo cada vez más automatizado. Los riesgos operativos y financieros asociados con el incumplimiento de los acuerdos de niveles de servicio están definidos y son entendidos con claridad. DS2: Administrar de servicios prestados por terceros: La mayoría de los servicios que se le prestan al instituto cuentan con contratos vigentes. Por ejemplo existe un contrato con la empresa FIX GROUP que ex la que provee Internet banda ancha para el plantel.
Por lo que el nivel de madurez de este proceso es definido ya que están establecidos procedimientos bien documentados para regir la adquisición por terceros, con procesos claros que aseguran la debida revisión y negociación con los vendedores. La relación con el tercero es puramente una relación contractual. La naturaleza de los servicios a ser prestados está detallada en el contrato e incluye requerimientos operativos, legales y de control. La responsabilidad de supervisar la entrega de servicio de tercero está asignada. Los términos contractuales se basan en plantillas estandarizadas. El riesgo del negocio asociado con el contrato es determinado y reportado. DS3: Administrar desempeño y capacidad: El plantel controla el manejo de capacidad para asegurar que esta capacidad esté disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. Por lo que este proceso está en un nivel definido en donde los requerimientos de desempeño y de capacidad están definidos como pasos que deben ser resueltos en todas las etapas de la metodología de adquisición e implementación de sistemas. Hay requerimientos y métricas definidas de nivel de servicio que pueden usarse para medir el desempeño operativo. Es posible diseñar y pronosticar los requerimientos futuros de desempeño. Los reportes pueden ser producidos dando estadísticas de desempeño. Aún es probable que ocurran problemas y que lleve tiempo corregirlos. A pesar que los niveles de servicio están publicados el usuario final se sentirá ocasionalmente escéptico sobre la capacidad del servicio. DS4: Asegurar Servicio Continuo: Si bien el encargo del laboratorio está en calidad de reemplazar al profesor de computación cuando este por algún motivo faltase. También existe un acceso a
Internet por conexión dial up cuando se va el Internet de banda ancha, el soporte técnico tanto al área administrativa como a la educativa es permanente durante las dos jornadas. No existe plan de contingencias que garantice continuidad en los servicios relacionados con las TI. Por lo que concluyo que existe un nivel de madurez inicial en donde las responsabilidades de servicio continuo son informales, con autoridad limitada. La administración se está volviendo conciente de los riesgos relacionados con el servicio continuo y de la necesidad de éste. El enfoque es sobre la función de TI, en vez de ser sobre la función de negocio. Los usuarios están implementando formas de evadirlo. La respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados están programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del negocio. DS5: Garantizar la seguridad de sistemas: En el centro de cómputo de la Institución el nivel de transmisión de virus informáticos es medio, según un análisis realizado en todas las computadoras el 50% de los equipos presentaban variaciones en la configuración inicial del sistema debido a la presencia de virus informáticos o procesos ajenos al sistema. Aunque cada computadora consta de un antivirus actualizado este no detecta y elimina algunos virus especialmente los Caballos de Troya. Como cada computadora está conectada permanentemente a Internet estas utilizan un Firewall. No existe una política de seguridades lógicas en la Institución la utilización de usuarios y contraseñas para acceder a los computadores, lo que permite que cualquier persona pueda acceder a la información contenida en estos, sin embargo, existe software como el de registro de calificaciones que si poseen contraseñas, lo que no se realiza son los cambios periódicos de contraseñas en software como estos. No existe un ambiente de tecnología de información en línea, debido a que se carece de una red de equipos informáticos que los
mantenga conectados en línea para el traspaso de información en el momento que se lo requiera. No existen políticas de cuentas de usuario, ni de privilegio de acceso a los datos del sistema, lo que permite que cualquier persona que pueda acceder a los computadores pueda acceder a la información contenida en ellos. No existe en la Institución un proceso de control establecido para revisar y confirmar periódicamente las cuentas de usuario, ya que la Institución no tiene políticas de este tipo. Los usuarios del sistema no controlan cuentas de usuarios ya que en la Institución no se aplican estas políticas. No existe una administración de seguridad de la información que asegure que cualquier indicio sobre una violación de seguridad sea registrada inmediatamente por el administrador y que permita la toma de acciones automáticas. Este nivel es inicial ya que la organización reconoce la necesidad de la seguridad de TI, pero la conciencia de la seguridad depende de la persona. La seguridad de TI está resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI
invocan
respuestas
de
“señalamiento”
si
se
detectan,
porque
las
responsabilidades no están claras. Las respuestas a las violaciones de seguridad de TI son impredecibles. DS6: Identificar y asignar costos: En la Institución existe un sistema de contabilidad de costos llamado NEW GENESIS que asegura que los costos sean registrados, calculados y asignados a los niveles de detalle requeridos. Existen procedimientos y políticas que fomentan el uso apropiado de los recursos de cómputo y aseguran el trato justo de los departamentos de usuarios y sus necesidades. En
conclusión,
este
proceso
es
administrado
y
medible
ya
que
las
responsabilidades y las obligaciones de reportar de la administración de costo de servicios de información están definidas y plenamente comprendidas a todos los niveles y las mismas están soportadas por un entrenamiento formal. Los costos
directos e indirectos están identificados y son reportados oportunamente y de manera automatizada a la gerencia, a los propietarios del proceso de negocio y a los usuarios. En general, hay monitoreo de evaluación de los costos, y se emprenden acciones cuando los procesos no funcionan de manera efectiva y eficiente. Se emprenden acciones en muchos casos pero no en todos. Los procesos de administración de costos están siendo mejorados constantemente y hacen cumplir la mejor práctica interna. El reporte del costo de los servicios de información está vinculado con los objetivos del negocio y con los acuerdos a nivel de servicio. Hay participación de todos los expertos requeridos de administración de costos internos. DS7: Educar y entrenar a los usuarios: En la Institución poco se establecen y mantienen procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de información, lo que origina que el personal no pueda sacar el máximo provecho a las tecnologías de información que tiene a su disposición para realizar
su
labores
cotidianas.
Casi
nunca
se
organizan
sesiones
de
entrenamiento para el personal que labora con las tecnologías de información, contratando tutores para esta finalidad, ya que no existe una planificación de este tipo. La mayoría del personal que labora con las tecnologías de información en la Institución no está capacitado y entrenado en los principios de seguridad de estas tecnologías, por lo que se debería capacitar y entrenar al personal en prácticas de seguridad de las tecnologías de información que ellos manejan. Por lo tanto este proceso es inexistente ya que hay una falta total de programas de entrenamiento y educación. La organización ni siquiera ha reconocido que hay un problema que resolver respecto al entrenamiento y no hay comunicación sobre el tema.
DS8: Apoyar y asistir a los clientes de TI: En la Institución existe una persona encargada del soporte de usuarios, sin embargo, los usuarios se quejan del servicio de soporte a destiempo que se les brinda debido a que esta persona no tiene el tiempo suficiente para dedicarse a esta actividad ya que también labora como docente de la Institución. No existe un registro de las preguntas de los usuarios y el encargado del soporte de usuario, debido a que este último carece de tiempo. Cuando el encargado brinda un soporte de usuario, este no asegura que todas las preguntas de los usuarios puedan ser resueltas inmediatamente, sin embargo, en la mayoría de los casos busca la forma de llegar al nivel adecuado para atenderlas. No existe un monitoreo oportuno de atención a las preguntas de los clientes, si embargo, las preguntas que permanecen pendientes en la mayoría de los casos son investigadas y atendidas. El encargado del soporte de usuarios no presenta reportes del soporte realizado, de las preguntas de los clientes y su solución, de los tiempos de respuesta y la identificación de tendencias, por lo que no existe un análisis de estos reportes dentro de la Institución. No existe un documento de recepción del servicio de asistencia y/o soporte técnico en el cual se especifique la tarea realizada, el tipo de servicio, el tiempo y recursos utilizados, el usuario, etc. Por lo que está en un nivel repetible en donde hay conciencia organizacional de la necesidad de una función de Help Desk. Se dispone de asistencia de manera informal a través de una red de personas con conocimientos. Estas personas disponen de algunas herramientas comunes para asistir en la resolución de problemas.
No hay
entrenamiento
formal
ni
comunicación
sobre
los
procedimientos estándar, y la responsabilidad se deja a la persona. Sin embargo, hay una comunicación consistente sobre los problemas generales y sobre la necesidad de resolverlos.
DS9: Administrar Configuración: Esta unidad educativa realiza los controles respectivos de todos los componentes de TI para prevenir alteraciones no autorizadas. Como por ejemplo pérdida de una memoria RAM, un disco duro, etc. Por tal motivo este proceso es repetible en la cuál la administración está conciente de los beneficios de controlar la configuración de TI pero hay confianza implícita en los conocimientos y experiencia del personal técnico. Las herramientas de administración de la configuración se están empleando hasta cierto grado, pero difieren entre las plataformas. Además, no se han definido prácticas estándar de trabajo. El contenido de los datos de configuración es limitado y no es usado por los procesos interrelacionados, como por ejemplo administración de cambios y administración de problemas DS10: Administrar problemas e incidentes: En la Institución se intentan analizar y resolver, lo más pronto posible, los eventos operacionales de incidentes, problemas y errores, emitiéndose reportes de incidentes en el caso de problemas significativos. Se intenta asegurar que los problemas identificados sean resueltos oportunamente de la manera más eficiente, asignando las prioridades adecuadas a los problemas por resolver. Cuando existe un problema en la Institución se realiza un seguimiento de las causas que permita encontrar soluciones al problema y a que no vuelvan a suceder, tratando de aliviar el problema desde las causas. Por lo que puedo concluir que este proceso está en un nivel de madurez inicial en donde la organización ha reconocido que hay una necesidad de resolver problemas y de evaluar los incidentes. Las personas con conocimientos clave proveen alguna asistencia con los problemas relacionados con su área de experiencia y responsabilidad. La información no es compartida con otros y las
soluciones varían de una persona de soporte a otra, dando como resultado la creación de más problemas y la pérdida de tiempo productivo, mientras se buscan las respuestas. La administración cambia frecuentemente el enfoque y la dirección de las operaciones y el personal de soporte técnico. DS11: Administrar datos: En este centro educativo existe un respaldo de la base de datos, para lo cuál el encargado de sistema la realiza semanalmente para asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento de los mismos. Por tal motivo se encuentra en un proceso definido en donde la necesidad de integridad de los datos dentro y en toda la organización es entendida y aceptada. Las normas de ingreso, procesamiento y salida de datos han sido formalizadas y se hacen cumplir. El proceso de identificación y corrección de errores es automatizado. La propiedad de los datos es asignada, y la integridad y seguridad son controladas por el responsable. Se utilizan técnicas automatizadas para prevenir y detectar errores e inconsistencias. Las definiciones, reglas y requerimientos de datos están claramente documentados y son mantenidos por una función de administración de base de datos. Los datos se vuelven consistentes en todas las plataformas y a través de toda la organización. La función de los servicios de información tiene un rol de custodio, mientras que el control de integridad de datos pasa al propietario de los datos. La administración se basa en los reportes y análisis para las decisiones y la planeación futuras. DS12: Administrar instalaciones: En la Institución no existen las medidas apropiadas
de seguridad física y de
control de acceso para las instalaciones de tecnologías de información, debido a que no existe un control físico de los equipos informáticos y no hay restricciones de acceso para personas no autorizadas y ajenas a la Institución a las
instalaciones de tecnologías de información. No existe una función de servicios de información que asegure que se lleve un bajo perfil de la identificación física de las instalaciones relacionadas con las tecnologías de información. No existen los procedimientos apropiados que permitan que las personas que no tengan acceso a las instalaciones de tecnologías de información sean escoltadas por un miembro autorizado cuando deban visitar dichas instalaciones, debiendo registrarse estas visitas en una bitácora de visitantes. La Institución si cumple con el establecimiento y manutención de prácticas de salud y seguridad basada en las leyes y regulaciones correspondientes. La Institución asegura que se establezcan y mantengan las suficientes medidas de seguridad para la protección de las tecnologías de información contra los factores ambientales, sin embargo, no posee los equipos y dispositivos especializados para monitorear y controlar el ambiente. No cuenta con generadores y baterías de suministro ininterrumpido de energía para el caso de un desabastecimiento de la energía eléctrica comercial que permita que los equipos informáticos sigan operando con normalidad y no se presenten sobrecargas o pérdidas de información debido a fallas en el fluido eléctrico. Por ende este proceso es inicial en la cuál la organización ha reconocido un requerimiento del negocio de proveer un entorno físico adecuado que proteja los recursos y el personal de los riesgos naturales y provocados por el hombre. No existen procedimientos estándar y la administración de Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restricción. La administración no monitorea los controles ambientales de la instalación ni el movimiento de personal. DS13: Administrar operaciones: Se tuvo conocimiento de la existencia de manuales de instrucciones y procedimientos de operación, documentación del proceso de puesta en marcha y
otras tareas, programas de trabajo y registro de operaciones relacionadas con los sistemas que han existido o se han instalado, sin embargo hasta la redacción del presente informe no se me hicieron llegar las copias u originales, argumentando que estaban extraviadas. En consecuencia el proceso está en un nivel repetible en donde la organización es plenamente conciente del rol clave que juegan las actividades de operaciones de TI en proveer funciones de soporte de TI. Además, la organización comunica la necesidad de coordinación entre los usuarios y las operaciones de sistemas. Los presupuestos para herramientas se están asignando caso por caso. Las operaciones de soporte de TI son informales e intuitivas. Hay una gran dependencia de las habilidades y capacidades de las personas. Las instrucciones de qué hacer, cuándo y en qué orden, no están documentadas. No hay normas de operación y no existe un entrenamiento formal de operador. La administración no mide el cumplimiento de los programas por las operaciones de TI o las demoras de los análisis. 3.1.4. Monitoreo. M1: Monitorear los procesos: La Institución no realiza el monitoreo continuo y sistemático de la actividad del área de tecnología de la información. Por lo que está en un proceso repetible ya que se han identificado las medidas básicas a ser monitoreadas. Se ha definido la recolección y estudio de métodos y técnicas, pero no se han adoptado los procesos en toda la organización. Las funciones de planificación y administración son creadas para determinar los procesos de monitoreo, pero las decisiones se toman en base a la experiencia de las personas clave. Se escogen y se implementan herramientas limitadas para recoger información, pero no se pueden usar en toda su capacidad debido a una falta de experiencia en su funcionalidad.
M2: Evaluar lo adecuado del control interno: En el plantel existe un monitoreo continuo por parte de la Gerencia de todas las actividades administrativas y de supervisión que se realizan en la Institución. Por lo que este nivel es definido ya que la administración soporta y ha institucionalizado un monitoreo de control interno. Se han desarrollado políticas y procedimientos para evaluar y reportar sobre las actividades de control interno. Se está estableciendo una base de conocimientos de métrica para información histórica sobre el monitoreo de control interno. Se ha implementado un programa de educación y entrenamiento para el monitoreo de control interno. Se han establecidos revisiones periódicas para el monitoreo del control interno. Están establecido auto evaluaciones y revisiones de aseguramiento de control interno y las mismas involucran la administración de la función de servicios de información trabajando con los administradores de negocios. Se están utilizando herramientas pero las mismas no están necesariamente integradas en todos los procesos. Se están usando las políticas de evaluación del riesgo del proceso de TI dentro de los marcos de control desarrollados específicamente para la organización de TI. La función de servicios de sistema de información está desarrollando sus propias capacidades orientadas técnicamente al control interno de TI. M3: Obtener aseguramiento independiente: La gerencia realiza evaluaciones periódicas sobre la efectividad de los servicios de TI y de los proveedores de esos servicios para asegurar el cumplimiento de los compromisos contractuales de los servicios de TI. Por ende este proceso está en un nivel de madurez definido en donde la organización ha definido e institucionalizado los procesos para las actividades de Aseguramiento de TI y los criterios para usar recursos internos y externos en base
al nivel de experiencia, sensibilidad e independencia requeridas. Los procesos de Aseguramiento incluyen requerimientos legales y regulatorios, necesidades de certificación, efectividad organizacional general e identificación de las mejores prácticas. Se han desarrollado requerimientos de aseguramiento para los procesos de TI. La administración lleva a cabo revisiones participativas de todas las actividades de aseguramiento. La administración que no hace parte de la función de servicios de información lleva a cabo revisiones proactivas que involucran aseguramiento y certificación. Una base de conocimientos de las mejores prácticas de aseguramiento y de certificaciones ha sido desarrollada. Los procesos claves de TI han sido certificados. M4: Proporcionar auditoria independiente: En la Institución no se ha realizado una auditoria independiente en lo que a gobierno de TI se refiere. En conclusión este proceso está en un nivel de madurez inicial ya que existe una función informal de auditoria de TI que realiza diferentes revisiones cada cierto tiempo. No hay un plan general para proveer auditorias independientes ni coordinación entre las revisiones. La planeación, administración y reporte de auditoria independiente se basa en la experiencia individual. La calidad de planeación y entrega de los servicios de auditoria es en general deficiente, con resultados variables y participación muy limitada de la administración.
CAPÍTULO IV: RECOMENDACIONES PROPUESTAS
4.1.
RECOMENDACIONES.
4.1.1. Planeación y organización. PO1: Definir un plan estratégico de tecnología de información: Se recomienda a la Institución que puntualice un plan estratégico para lograr un balance óptimo entre las oportunidades de tecnología de la información y los requerimientos de TI y de esta manera asegurar sus logros futuros. PO2: Definir la arquitectura de información: El plantel debe crear y mantener un modelo de información y asegurar que se definan los sistemas apropiados para mejorar la utilización de esta información tomando en consideración la documentación, diccionario de datos, etc. PO3: Determinar la dirección tecnológica: La Institución debe de elaborar un plan de infraestructura tecnológica que pueda ser puesto en marcha inmediatamente en el momento y bajo las circunstancias que se presenten. Debe llevar a cabo un monitoreo constante de tendencias y regulaciones futuras que le permita estar al tanto del desempeño de cada solución tecnológica que se adquiera. Realizar un control que permita la evaluación sistemática de los aspectos de contingencia
que les permita no sólo controlar la resistencia sino conocer el
momento adecuado de brindar preparación del personal al cambio que se presente. La Institución debe crear un plan de actualización cada cierto tiempo que permita el conocimiento que lleve a la adquisición de hardware y software de acuerdo con los adelantos tecnológicos del momento. PO7: Administrar recursos humanos: Se recomienda que la Institución adquirir más computadoras con la finalidad de que los estudiantes puedan trabajar de forma individual y por ende realizar mejor su trabajo. PO8: Asegurar el Cumplimiento de los Requerimientos Externos: Se sugiere al plantel adquirir software de aplicación legales es decir que tengan la respectiva licencia con la finalidad de cumplir con las leyes informáticas y evitar posibles sanciones. PO11: Administrar calidad: La Institución debe planificar, implementar y mantener estándares y sistemas de administración de calidad con la finalidad de satisfacer los requerimientos de los usuarios. 4.1.2. Adquisición e implementación. AI2: Adquirir y mantener software de aplicación: Se recomienda a la Institución adquirir e implementar un sistema integral el cual permita optimizar todos los procesos computarizados que realiza el plantel como son: matriculación, registro de calificaciones, etc.
AI3: Adquirir y mantener arquitectura de tecnología: La Institución debe elaborar un calendario para el mantenimiento preventivo, rutinario y periódico del hardware para evitar daños a futuro. Se recomienda que la Institución incremente el número de computadoras a treinta, es decir diez equipos más, con características de acuerdo al avance tecnológico, de tal manera que se facilite el trabajo tanto del docente como del estudiante. Permitir libre acceso a los computadores sólo a personal autorizado y especializado en cuanto a la instalación de nuevo software se refiere para evitar la pérdida de información. Prestar un poco más de atención al momento de instalar un nuevo software y reitero que sea realizado por personal especializado. AI4: Desarrollar y mantener procedimientos relacionados con tecnología de información: En la Institución cada vez que se realice una modificación en el sistema se debe solicitar la actualización adecuada del manual de procedimientos para los usuarios. La creación de manuales de operación que permitirán a cualquier persona especializada en el futuro a realizar las modificaciones solicitadas sin la presencia del programador del sistema actual. Preparación constante del personal que maneja los sistemas de información en cuanto a un mejor aprovechamiento de las bondades que brinda el sistema utilizado diariamente.
AI6: Administrar cambios: La Institución debe de minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores a través de un sistema de administración que permita el análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual tomando en cuenta la identificación de los cambios, evaluación de los impactos, autorización para realizar cambios, distribución de software, etc. 4.1.3. Entrega y soporte. DS4: Asegurar servicio continuo: El plantel debe de mantener el servicio disponible de acuerdo a los requerimientos y así poder continuar con el trabajo en caso de interrupciones. Elaborar planes de contingencias que garanticen la continuidad en los servicios relacionados con las TI. DS5: Garantizar la seguridad de sistemas: La Institución debe constar con un antivirus que detecte y elimine los virus informáticos en su totalidad. Crear un plan de seguridad de tecnología de información que sea capaz de evaluar los riesgos antes de que los problemas se presenten. La creación de contraseñas para el personal que trabaja con los sistemas de información que además sean cambiadas constantemente para impedir que cualquier usuario tenga acceso a la información almacenada.
La creación de una red interna de equipos informáticos que pueda ser conectada en línea para realizar traspaso de información si así se requiere. Instar al personal de sistema de información a la creación de cuentas de usuario y de privilegio de acceso para impedir que cualquier usuario acceda a archivos confidenciales. Al implementar el uso de cuentas de usuario, crear el método de control adecuado de las mismas. Crear un administrador de seguridad de manera adecuada de tal forma de que cualquier violación o intento de la misma sea registrado en el administrador. DS7: Educar y entrenar a los usuarios: La Institución debe analizar constantemente las necesidades de conocimiento del personal para brindar el debido entrenamiento para que todas las bondades del sistema de información puedan ser aprovechadas al máximo. Contratar tutores y planear sesiones de entrenamiento para el personal que labora con las tecnologías de información para su actualización. Brindar al personal que labora con las tecnologías de la información una debida capacitación y entrenamiento en cuanto a los principios de seguridad de las mismas por medio de personal capacitado. DS8: Apoyar y asistir a los clientes de TI: La Institución debe de implementar el personal encargado de soporte de usuarios para darle agilidad al proceso. Elaborar un registro de preguntas de los usuarios para hacer más ágil el trabajo del encargado del mismo.
Crear un banco de preguntas de los usuarios y suministrar las respuestas consiguientes por parte de una persona con el conocimiento adecuado de tal forma que los usuarios puedan resolver sus interrogantes sin necesidad de recurrir al encargado en cada caso. Crear un sistema de monitoreo adecuado de las preguntas de los clientes para dar solución a las mismas para evitar dejar algunas pendientes y responder a todas ellas de manera ágil. Instar al encargado del soporte de usuarios a presentar un reporte del soporte realizado en un período determinado de tiempo, para que puedan ser analizados por la Institución. DS9: Administrar configuración: La Institución debe utilizar un programa adecuado en cada computadora que permita ver de manera fácil y rápida los componentes de cada máquina sin necesidad de estarlas abriendo. DS12: Administrar instalaciones: Se recomienda a la Institución elaborar un listado de medidas de seguridad y control de acceso a las instalaciones tecnológicas de información, asimismo la designación del personal apropiado para evitar el acceso libre de personas ajenas. Creación de una función de servicios de información que permita asegurar que se lleve un perfil bajo de la identificación física de dichas instalaciones. La creación de una bitácora de visitantes, asimismo como la delegación de personal que servirá para escoltar a los mismos en momentos de visita a las instalaciones tecnológicas del plantel para evitar algún tipo de boicot o plagio.
Adquisición de los equipos y dispositivos especializados para monitorear y controlar el ambiente dentro de las habitaciones que contienen el hardware y el software. Adquisición de generadores y baterías de suministro ininterrumpido de energía para evitar sobrecargas y pérdidas de información en caso de un corte en el fluido eléctrico. DS13: Administrar operaciones: La Institución debe de llevar un calendario de las actividades de soporte, que se registre y complete dicho calendario cuando se logre cada actividad para asegurar que las funciones importantes de TI estén siendo llevadas a cabo regularmente y de una manera ordenada. 4.1.4. Monitoreo. M1: Monitorear los procesos: La Gerencia debe definir reportes e indicadores de desempeño gerenciales e implementar sistemas de soporte y atender permanentemente los reportes emitidos para asegurar el logro de los objetivos establecidos para los procesos de TI. M4: Proporcionar Auditoria Independiente: Se recomienda al plantel realizar auditorias independientes en intervalos regulares de tiempo. La gerencia debe crear estatutos para la función de auditoria, destacando en el documento la responsabilidad, autoridad y obligaciones de la auditoria.
CAPÍTULO V: ANÁLISIS DE IMPACTOS
En el informe final del trabajo de grado, los impactos son los aspectos positivos o negativos que la ejecución del proyecto provocó o provocará en un grupo, área o ámbito determinado. Hay que tener en cuenta que el proyecto puede haber generado impactos positivos y también negativos en las diferentes áreas o aspectos (social, económico, educativo, tecnológico y administrativo) lo mismo que para una mejor comprensión e interpretación se lo analiza sobre la base de una matriz de impacto, para lo cual se sigue el procedimiento que a continuación se enumera: 1. Seleccionamos los niveles de impactos numéricamente de acuerdo a la siguiente tabla: -3 Impacto alto negativo. -2 Impacto medio negativo. -1 Impacto bajo negativo. 0 No hay Impacto. 1 Impacto bajo positivo. 2 Impacto medio positivo. 3 Impacto alto positivo. 2. Para cada área o aspecto determinamos o seleccionamos indicadores de impacto en la respectiva matriz. 3. A cada indicador un valor numérico de nivel de impacto en la respectiva matriz.
4. Realizamos una sumatoria de los niveles de impactos en cada matriz y dividimos este valor para el número de indicadores obtenidos de este modo el impacto promedio de área o ámbito. 5. Hay que señalar que bajo cada matriz se deberá incluir el análisis y argumento de las razones y los argumentos de las razones y las circunstancias por lo que asigna el valor. 5.1.
IMPACTO SOCIAL.
El realizar una auditoria informática en la Unidad Educativa Luis A. Martinez de la ciudad Ambato de hecho causó
un gran impacto social en toda la
comunidad educativa de dicho plantel, pues, por un lado se pudo detectar los problemas que se están ocasionando en el área administrativa y por otro lado se dio soluciones que se tradujeron en beneficios para todos, pues se agilizaron los procesos en estas áreas como son: matriculación, pensiones, calificaciones, etc., que permite al personal docente, administrativo, padres de familia y alumnos acceder a cierta información de manera más ágil y oportuna y los estudiantes tendrían además un laboratorio de informática en óptimas condiciones para llevar a la práctica lo aprendido teóricamente; con lo que, los maestros habrán logrado que estos asimilen mejor los contenidos impartidos. IMPACTO SOCIAL NIVELES DE IMPACTO INDICADOR • Agilización de procesos. • Acceso de padres – alumnos
-3
-2
-1
0
1
2
3
X X
a la información. • Laboratorio de computación
X
en óptimas condiciones. • Efectividad y rendimiento de los alumnos.
X
TOTAL
4
6
∑ = 10 10 NI =
= 2.5 ≈ 4 3
Nivel de impacto social = Alto positivo. Análisis: • En cuanto a la agilización de procesos el impacto es medio positivo, ya que, se realizan de manera más rápida y oportuna los procesos de matriculación, pago de pensiones, calificaciones, etc. favoreciendo al personal administrativo, padres de familia y alumnos. • En el acceso de padres y alumnos a la información se tiene un alto nivel mediante la utilización de la página Web de la Institución donde los padres de familia conocen de manera rápida el rendimiento de sus representados. • Mantener el laboratorio de computación en óptimas condiciones genera un impacto medio positivo ya que el estudiante lleva a la práctica lo aprendido teóricamente utilizando de manera eficiente los recursos existentes en la Institución. • Con lo expresado anteriormente la efectividad y rendimiento del alumno tiene un impacto alto positivo ya que todo lo que ha asimilado en la práctica en la computadora lo va aplicar en la vida cotidiana y ser útil en la sociedad.
5.2.
IMPACTO ECONÓMICO.
Este fue significativo, porque permitió racionalizar los recursos informáticos del plantel, ahorrar tiempo y definitivamente dinero, estableciendo oportunamente las fortalezas para aprovechar los sistemas con mayor eficiencia y detectar los posibles daños en su verdadera dimensión para atenderlos con pertinencia. IMPACTO ECONÓMICO NIVELES DE IMPACTO INDICADOR • Ingresos plantel.
económicos
-3
-2
-1
0
1
2
3 X
del
• Ahorro de dinero.
X
• Atención de posibles daños.
X
• Nuevos servicios
X
TOTAL
6
∑
3 =9
9 NI = 4 = 2.25 ≈ 2 Nivel de impacto económico = Medio positivo.
Análisis: • Los ingresos económicos del plantel serán alto positivo, tomando en cuenta que en lo posterior habrá demanda de estudiantes debido a que en el futuro contará con una infraestructura tecnológica suficiente para satisfacer las necesidades de los educandos. • Debido al alto ingreso económico la Institución podrá contar con un ahorro de dinero que servirá para solventar los gastos que se presenten.
• La atención de posibles daños tendrá un impacto medio positivo, puesto que serán atendidos con mucha eficacia a través de hojas de control y medición del grado de satisfacción del usuario. • Con la utilización de nuevos servicios el nivel de impacto será medio positivo, teniendo en cuenta que se mejorará la atención a los usuarios y por ende generar ingresos económicos a la Institución en algunos casos y ahorrar costos de operación en otros procesos administrativos, que implican recursos humanos o materiales.
5.3.
IMPACTO EDUCATIVO.
Considerando que la auditoria informática fue aplicada a los procesos de matriculación, registro de notas y el laboratorio de cómputo, sus resultados permitieron mejorar la información al estudiante y así obtener en forma más eficaz los datos que requiera y estar conciente de sus propios avances; mejorando sustancialmente el manejo de estas herramientas. IMPACTO EDUCATIVO NIVELES DE IMPACTO INDICADOR
-3
-2
• Nivel académico del alumno. • Nivel de desempeño del
-1
0
1
2
3
X X
alumno. • Obtención
de
los
datos
X
requeridos por el alumno. • Docente.
X X
• Capacitación del personal TOTAL
6
6
∑ = 12 12 NI = 5 = 2.4 ≈ 2 Nivel de impacto educativo = Medio positivo. Análisis: • El nivel académico de los alumnos será más elevado ya que se cuenta con los recursos pedagógicos acorde con el avance tecnológico, además que se fomenta una cultura educativa a todo nivel: tanto estudiantes, docentes y personal administrativo.
• En el desempeño del alumno se prevé un impacto alto positivo porque, mediante la el mejoramiento de la infraestructura tecnológica en la Institución el estudiante estará en capacidad de desenvolverse eficientemente en otros establecimientos o universidades que utilicen los sistemas y tecnologías de la información y comunicación. • La información a la que el estudiante acceda será más completa, precisa eficaz y útil, además optimiza los recursos existentes en la Institución como son entrega notas, correo electrónico, pagos, matriculación, biblioteca, etc. • Para el docente será muy importante que exista una mejor organización de las TI ya que apuntan a mejorar los servicios computacionales necesarios para impartir los conocimientos a los estudiantes, como son laboratorios, proyectores, Internet, aplicaciones, etc. • Al existir una planificación y organización en lo que a tecnología de información se refiere se garantiza la capacitación y entrenamiento al personal administrativo en lo que es el manejo de herramientas y sistemas.
5.4.
IMPACTO TECNOLÓGICO.
Al utilizar la herramienta COBIT desarrollada como estándares generalmente aplicables y aceptados fue posible mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) y proveer un marco de referencia para la Administración, Usuarios y Auditores. IMPACTO TECNOLÓGICO NIVELES DE IMPACTO INDICADOR
-3
-2
-1
0
1
2
3 X
• Avance tecnológico. • Mejoramiento de prácticas de
X
control. • Mejoramiento
de
X
la
seguridad. • Mejoramiento del servicio de
X
Internet. • Desarrollo
de
X
sistema
integral. TOTAL
4
9
∑ = 13 13 NI =
= 2.6 ≈ 5 3
Nivel de impacto tecnológico = Alto positivo.
Análisis: • En cuanto al avance tecnológico se prevé un impacto alto positivo, teniendo en cuenta que COBIT es una metodología utilizada por organizaciones que desean alcanzar índices de efectividad y eficiencia en lo que a TI se refiere,
por lo que las sugerencias hechas mejorarán sustancialmente los servicios e infraestructura que facilitan el trabajo del alumno, docente y directivo. • El mejoramiento de las prácticas de control lo cuál va a proveer un marco de referencia para la administración, usuarios y auditores. • Se mejorará la seguridad de los datos, tanto a nivel de accesos, bases de datos, políticas y redes para evitar alteración y pérdida de información. • El mejoramiento del servicio de Internet a través un adecuado monitoreo y control del complimiento del contrato respectivo, de tal forma que garantice rapidez y eficiencia en la transmisión de datos acordes con las necesidades de los usuarios. • El desarrollo de un sistema integral provocará un impacto alto positivo, ya que, permitirá optimizar los procesos que ya estaban computarizados y automatizar aquellos que todavía se realizan de forma manual, a través de un sistema integral que englobe todos los procesos administrativos.
5.5.
IMPACTO ADMINISTRATIVO.
Los resultados obtenidos por medio de la auditoria informática realizada nos dan la pauta para la remodelación del aspecto administrativo en el plantel, puesto que al conocer las debilidades y fortalezas del mismo, se tomarían las medidas pertinentes para mejorar los aspectos en que está fallando y optimizar aquellos en los que está funcionando bien. Es decir, la auditoria nos arroja resultados que nos van a permitir desarrollar un sistema informático integral ágil y apropiado que realizará procesos como: inscripción, matriculación, registro de calificaciones con lo que no sólo se mejora en el aspecto de la administración sino que al agilitar dichos procesos se produce el consiguiente impacto económico debido a que la atención a los clientes también será ágil y oportuna; y todos estamos conscientes de que en la actualidad el tiempo es un factor preponderante en cualquier aspecto. Con todo lo anteriormente expuesto podemos darnos cuenta de que la presente auditoria tendrá un alto impacto tanto en lo administrativo como en lo económico. IMPACTO ADMINISTRATIVO NIVELES DE IMPACTO INDICADOR • Planes de operación funcionamiento
-3
-2
-1
0
1
2
3 X
y
• Implementación de sistemas • Creación de Políticas
X X X
• Atención al cliente TOTAL
2
∑ 11 NI = 4 = 2.75 ≈ 3 Nivel de impacto administrativo = Alto positivo.
9 = 11
Análisis: • En cuanto a los planes de operación y funcionamiento se provocará un impacto positivo alto ya que este proyecto marca el punto de partida para realizar una adecuada planificación y organización de las TI de la Institución. • Con la implementación de un sistema integral se verá un impacto alto positivo, por lo que, se realizará de forma ágil los procesos de inscripción, matriculación, registro de calificaciones, etc. • La creación de políticas de control y seguridades permitirá a la administración minimizar los riesgos del negocio como tal, a través del compromiso que la gerencia adquiere de apoyar procedimientos y normas que regulen y organicen las TI de la Institución. • La acogida a las sugerencias realizadas en este proyecto permitirá mejorar la rapidez y eficiencia con la que el colegio atiende a sus clientes – alumnos y padres de familia - a través del uso óptimo de sus recursos tanto humanos, tecnológicos, materiales, etc.
5.6.
IMPACTO GENERAL. IMPACTO GENERAL NIVELES DE IMPACTO
INDICADOR
-3
-2
-1
0
1
2
3 X
• Social. • Económico.
X
• Educativo.
X
• Tecnológico.
X
• Administrativo.
X
TOTAL
4
9
∑ = 13 13 NI =
= 2.6 ≈ 5 3
Nivel de impacto general = Alto positivo. Análisis: • Se provocó un impacto alto positivo en la sociedad, teniendo en cuenta, que se agilizaron los procesos con lo cuál se benefician el personal administrativo, padres de familia y alumnos. También los padres de familia pueden conocer de manera rápida el rendimiento de sus representantes. Será un beneficio para los estudiantes ya que contarán con laboratorios de computación en óptimas condiciones, con lo cuál mejorará la efectividad y rendimiento del alumno. • En cuanto a lo económico se provocó un impacto medio positivo, ya que se pueden racionalizar los recursos computacionales del plantel, ahorrar tiempo y dinero. Con la infraestructura tecnológica adecuada habrá más demanda de estudiantes lo cuál provocará altos ingresos económicos a la Institución y así poder atender posibles daños para incrementar el grado de satisfacción de los usuarios.
• El docente contará con los recursos computacionales necesarios para impartir conocimientos a los estudiantes, lo que permitirá que el nivel académico y desempeño de los alumnos sea más elevado, y por ende este tendrá la capacidad de desenvolverse en establecimientos o universidades que utilicen sistemas y tecnologías de la información. • El impacto tecnológico será alto positivo, ya que se mejorarán los servicios de Internet, seguridad de datos, prácticas de control y creación e implementación de un sistema integral que facilitarán el trabajo del alumno, docente y personal administrativo. • En cuanto a lo administrativo se provocará un impacto alto positivo, ya que con la implementación de un sistema integral se realizará los procesos como matriculación, calificaciones, etc., y así mejorar la rapidez y eficiencia con que la Institución atiende a sus clientes.
CAPITULO 6: CONCLUSIONES Y RECOMENDACIONES
6.1.
CONCLUSIONES.
En el proceso de promover la auditoria informática se necesita de un buen planeamiento, mantenimiento de la ejecución y estar preparados para cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento del personal para nuevos enfrentamientos también es una labor de suma prioridad. Es necesaria e importante la utilización del COBIT porque es una herramienta muy fundamental, completa y de fácil manejo para la creación y elaboración de auditorias informáticas para evaluar el nivel de la Gestión de TI y aconsejar el control interno de la organización. Después de la realización de la auditoria informática se puede concluir que tanto los dominios de planificación y organización, adquisición e implementación, entrega y soporte, y monitoreo están en un nivel de madurez repetible ya que los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. Es difícil realizar una auditoria informática cuando existe resistencia al cambio en las organizaciones, los empleados por lo general piensan que el auditor es un policía que viene a “revisarlos”, y no se dan cuenta que hoy en día los enfoque de auditoria lo que buscan es que las organizaciones sean eficientes, a través de hacer “notar” el riesgo de no controlar.
Es importante concienciar a la Alta Dirección, o gerencia lo importante de evaluar el riesgo y controlar las inversiones de TI en una organización; para que el apoyo o compromiso a la auditoria y sobre todo a sus resultados sean irrestrictos. Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería con la finalidad de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos TI y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos,
6.2.
RECOMENDACIONES.
No solo a los auditores sino a los encargados de sistemas de las organizaciones recomiendo que puedan apoyarse en las recomendaciones de COBIT para evaluar el nivel de la Gestión de TI y aconsejar el control interno de la organización. Las personas que deseen realizar una auditoría informática deben definir una metodología de acuerdo al tipo de negocio u organización, y de acuerdo a lo que se quiera evaluar, ya que hay que tener una visión clara de lo que se va a evaluar en la auditoria informática para saber que pedir o medir a la hora de realizar nuestro trabajo. A la Unidad Educativa Luis A. Martinez se recomienda superar a la brevedad las limitaciones de aquellos procesos ponderados en niveles “inexistente” e “inicial” y así tender a que la madurez de la calidad de gestión se aproxime al nivel de “procesos definidos”. Se encomienda a que toda empresa realice una auditoria informática para así observar los errores que dicha empresa posee, corregirlos en la brevedad posible y ver si los objetivos de esta se están cumpliendo. Poner más esfuerzo en el entrenamiento del personal administrativo, jefe de sistemas, crear secciones especialmente encargadas de la auditoria informática, y crear reglamentos para el progreso de la auditoria informática, elevar y brindar un mejor servicio de calidad. Que esto no se quede en un simple papel, sino que se sigan las recomendaciones expuestas en esta auditoria informática tendiendo a mejorar las falencias encontradas.
GLOSARIO. Aplicación: Aunque se suele utilizar indistintamente como sinónimo genérico de “programa” es necesario subrayar que se trata de un tipo de programa específicamente dedicado al proceso de una función concreta dentro de la empresa. Banda ancha: Se conoce como banda ancha a la transmisión de datos en el cual se envían simultáneamente varias piezas de información, con el objeto de incrementar la velocidad de transmisión efectiva. En ingeniería de redes este término se utiliza también para los métodos en donde dos o más señales comparten un medio de transmisión. Base de datos: Almacén de datos relacionados con diferentes modos de organización. Una base de datos representa algunos aspectos del mundo real, aquellos que le interesan al diseñador. Se diseña y almacena datos con un propósito específico. Con la palabra "datos" se hace referencia a hechos conocidos que pueden registrarse, como ser números telefónicos, direcciones, nombres, etc. Benchmarking: Técnica de auditoria informática en la cual se realiza el proceso continuo de medir productos, servicios y prácticas contra los competidores o aquellas compañías reconocidas como líderes en la industria. Eficacia: Logro de los objetivos propuestos. Coherencia entre objetivos y resultados. Eficiencia: Buen uso y administración de los recursos empleados en un trabajo. Rentabilidad de los recursos (organizativos, didácticos, etc.) utilizados respecto a los resultados obtenidos.
Estándar: Originalmente, en inglés, significaba bandera; color; pancarta; especialmente nacional u otra enseña; así porta estándar (te). El significado primario moderno que le siguió fue "lo que es establecido por la autoridad, la costumbre o el consentimiento general". En este sentido se utiliza como sinónimo de norma. Help Desk (ayudante de mesa): Es la persona que con ciertos conocimientos facultativos auxilia a los demás. Monitoreo: Son actividades que realizan algunos miembros del grupo que está cabildeando, ya sean éstas permanentes o periódicas, para realizar un diagnóstico del comportamiento de los actores involucrados en la campaña de cabildeo. Esto implica llevar un registro del actuar de los mismos a través de declaraciones públicas o de la cobertura que hagan de ellos los medios de comunicación, con el fin de evaluar el impacto de la estrategia, ya sea para continuarla o para replantearla. Outsourcing
(subcontratación):
También
llamado
tercerización
o
externalización, es el proceso económico en el cual una empresa determinada mueve o destina los recursos orientados a cumplir ciertas tareas, a una empresa externa, por medio de un contrato. Esto se da especialmente en el caso de la subcontratación de empresas especializadas. Para ello, pueden contratar sólo al personal, en cuyo caso los recursos los aportará el cliente (instalaciones, hardware y software), o contratar tanto el personal como los recursos. Por ejemplo, una compañía dedicada a las demoliciones puede subcontratar a una empresa dedicada a la evacuación de residuos para la tarea de deshacerse de los escombros de las unidades demolidas, o una empresa de transporte de bienes puede subcontratar a una empresa especializada en la identificación o empaquetación. Planeación: Etapa en la que se desarrollan actividades relacionadas con la definición de objetivos, metas, métodos, tareas, tiempos, estándares (formas
deseables en como debe darse el proceso), instrumentos, indicadores (formas de medición posterior de los resultados). Procedimiento: Acción orientada a la realización de un determinado trabajo. Proceso: Conjunto de operaciones lógicas y aritméticas ordenadas, cuyo fin es la obtención de resultados. Proveedor: Compañía que ofrece el servicio de intermediario para la conexión de nuestro ordenador a Internet a través del teléfono. Sistema de información: Se denomina Sistema de Información al conjunto de procedimientos manuales y/o automatizados que están orientados a proporcionar información para la toma de decisiones. TI (tecnología de la información): Según lo definido por la asociación de la tecnología de información de América es “el estudio, diseño, desarrollo, puesta en práctica, ayuda o gerencia de los sistemas de información computarizados, particularmente usos del software y hardware.” En fin, se ocupa del uso de computadoras y del software electrónico de convertir, de almacenar, de proteger, procesar, de transmitir y de recuperar la información.
FUENTES DE INFORMACIÓN. BIBLIOGRAFÍA: THORIN, Mark. (1989): La auditoria informática, métodos, reglas, normas, Edit. Masson. LLACER RUBIO, Enrique. (1998): Informática y Empresa, Edit. Caja Rural Provincial de Sevilla. M. Pattini y E. del Peso Navarro. (2003): Auditoria informática. Un Enfoque Práctico, Edit. RA-MA. HILL, McGraw. (2002): Control Objectives, Illinois – USA. ISACA Y EL IT GOVERNANCE INSTITUTE. (Julio 2002): COBIT, Directrices Gerenciales, 3ra. Edición. COMITÉ DIRECTIVO Y LA INFORMATION SYSTEN AUDIT AND CONTROL FOUNDATION. (Abril 1998): COBIT, Directrices de auditoria, 2da. Edición. PÁGINAS WEB: www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica http://dmi.uib.es/~bbuades/auditoria/sld006.htm http://dmi.uib.es/~bbuades/auditoria/sld007.htm http://dmi.uib.es/~bbuades/auditoria/sld008.htm http://dmi.uib.es/~bbuades/auditoria/sld009.htm http://html.rincondelvago.com/auditoria-informatica_1.html http://www.monografias.com/trabajos38/cobit/cobit.shtml http://www.gpe.gov.ec/html/historia_de_la
provincia.html
www.colfrancesesm.edu.ec http://www.audit.gov.tw/span/span2-2.htm http://dmi.uib.es/~bbuades/auditoria/sld010.htm http://www.channelplanet.com/index.php?idcategoria=13932
ANEXOS
ANEXO 1
Ambato, 20 de Noviembre del 2006.
Señor Tlgo. Miguel Miranda GERENTE DE MIKY S. A.
Presente.-
A usted muy comedidamente:
Me dirijo con la finalidad de solicitarle se me permita realizar una auditoria informática en la Unidad que usted tan acertadamente gerencia, la misma que es un requisito indispensable para
el desarrollo
de mi proyecto de Auditoria, que
me encuentro realizando en esta prestigiosa Institución. Con la seguridad de ser atendido favorablemente, reitero a usted mis más sinceros sentimientos de agradecimiento y consideración.
Atentamente,
Miguel A. Miranda Ch.. 180254164-7
ANEXO 2 FUNCIONES DE LAS AUTORIDADES EDUCATIVAS Y ORGANISMOS.
RECTOR. Es el representante oficial de la Institución, constituyéndose en la primera autoridad. Sus deberes y atribuciones constan en el Art. 96 del Reglamento General de la Ley Orgánica de Educación, (a excepción de los literales i; v; y, w): a) Cumplir y hacer cumplir las normas legales reglamentarias y más disposiciones impartidas por las autoridades competentes; b) Administrar el establecimiento y responder por su funcionamiento y por la disciplina, dentro del plantel y fuera de él. c) Ejercer o delegar la supervisión pedagógica, de conformidad con el reglamento interno; d) Permanecer en el establecimiento durante el desarrollo de la jornada de trabajo. En los establecimientos de doble jornada, el rector distribuirá su tiempo de conformidad con las disposiciones del reglamento interno; e) Vincular la acción del establecimiento con el desarrollo de la comunidad; f) Presidir el consejo directivo y la junta general;
g) Promover y participar en acciones de mejoramiento de la educación, actualización y desarrollo profesional del personal docente y administrativo; h) Presentar al director provincial de educación y cultura el plan institucional, el informe anual de labores y el cuadro de distribución de trabajo; i) Conceder licencia al personal del establecimiento, hasta por treinta días, en el transcurso del año lectivo, por causas debidamente justificadas; j) Legalizar los documentos oficiales que son de su responsabilidad y suscribir, conjuntamente con el secretario, los títulos que confiere el establecimiento; k) Admitir nuevos alumnos, de acuerdo con las disposiciones reglamentarias correspondientes; l) Declarar aptos para presentarse a los exámenes de grado, a los alumnos que hubieren cumplido con los requisitos correspondientes; m) Autorizar las matrículas extraordinarias y la recepción de exámenes, de conformidad con este Reglamento; n) Asignar al personal las comisiones ocasionales que fueren necesarias; o) Nombrar profesores accidentales y sustitutos; convocar a concurso de merecimientos para llenar las vacantes de profesores, y aceptar las renuncias del personal docente, administrativo y de servicio y comunicar a la Dirección Provincial respectiva; p) Designar tribunales para la defensa de los trabajos de investigación o demostración de los trabajos prácticos y para la recepción de los exámenes de grado.
q) Tener un mínimo de cuatro y un máximo de ocho horas semanales de clase, en los planteles que tienen menos de mil alumnos. r) Dar a conocer a la junta general de directivos y profesores, en su última sesión, el informe anual de labores; s) Autorizar gastos e inversiones por el valor de hasta tres salarios mínimos vitales, con aplicación a la respectiva partida del presupuesto del establecimiento e informar al consejo directivo; t) Celebrar contratos, previa aprobación del consejo directivo, de acuerdo con las disponibilidades presupuestarias del establecimiento y con las disposiciones legales correspondientes; u) Suministrar oportunamente a la Dirección Provincial de Educación y Cultura correspondiente, la información estadística del establecimiento y más datos solicitados por las autoridades; v) Aprobar la distribución de trabajo y el horario elaborado por una comisión especial, designada por el consejo directivo; y w) Organizar actividades culturales, sociales, deportivas, de defensa del medio ambiente y de educación para la salud, con la participación del establecimiento y la comunidad. VICERRECTOR. Es la segunda autoridad de la Institución. Sus deberes y atribuciones constan en el Art. 98 del Reglamento General de la Ley Orgánica de Educación:
a) Asumir el rectorado en ausencia del titular. b) Responsabilizarse de la planificación, evaluación y desarrollo académico y pedagógico del establecimiento, en coordinación con el rector; c) Permanecer en el establecimiento durante el desarrollo de las actividades de la jornada estudiantil; d) Presidir la junta de directores de área; e) Asesorar al rector en asuntos técnicos y administrativos; f) Coordinar y supervisar el trabajo de las comisiones especiales designadas por el rector o el consejo directivo. g) Informar periódicamente al rector y al consejo directivo del cumplimiento de sus funciones; h) Ejecutar otras acciones delegadas por el rector o señaladas en el reglamento interno del plantel; i) Cumplir y hacer cumplir las normas legales, reglamentarias y más disposiciones impartidas por el rector y los organismos competentes; y, j) Tener un mínimo de cuatro horas y un máximo de ocho horas semanales de clase, en los establecimientos que tuvieren menos de mil alumnos. INSPECTOR GENERAL. Es el que controla la disciplina de los estudiantes de la Institución.
Sus deberes y atribuciones constan en el Art. 101 del Reglamento General de la Ley Orgánica de Educación: a) Participar en la ejecución del plan institucional; b) Cumplir y hacer cumplir las leyes, reglamentos y más disposiciones impartidas por las autoridades del establecimiento; c) Mantener el orden y la disciplina de los alumnos; d) Organizar y controlar la labor de los inspectores de cursos; e) Laborar durante toda la jornada estudiantil; f) Controlar la asistencia del personal docente, administrativo y de servicios e informar diariamente al rector las novedades que se presentaren; g) Desarrollar acciones tendientes a asegurar el bienestar social y la formación moral y cívica de los alumnos; h) Mantener buenas relaciones con autoridades, personal administrativo y de servicios, padres de familia, alumnos y miembros de la comunidad; i) Comunicar oportunamente las disposiciones impartidas por las autoridades superiores, al personal docente, alumnado y padres de familia; j) Cumplir las comisiones y disposiciones impartidas por las autoridades del establecimiento; k) Llevar los registros de asistencia de los profesores, personal administrativo y de servicio; así como organizar y controlar los de asistencia y disciplina de los alumnos;
l) Orientar al personal de Inspección en el manejo de libros, formularios y más documentos concernientes a la actividad escolar; m) Conceder permiso a los alumnos por causas debidamente justificadas, hasta por cinco días consecutivos; n) Justificar la inasistencia de los alumnos cuando ésta exceda de dos días consecutivos. SECRETARIA. Sus deberes y atribuciones constan en el Art. 128 del Reglamento General de la Ley Orgánica de Educación: a) Llevar los libros, registros y formularios oficiales y responsabilizarse de su conservación, integridad, inviolabilidad y reserva. En caso de infracción, la secretaria será sancionada de acuerdo a la ley; b) Organizar, centralizar y mantener actualizada la estadística y el archivo del establecimiento ; c) Tramitar la correspondencia oficial y llevar un registro de ingresos y egresos de la misma ; d) Conferir, previo decreto del rector, copias y certificaciones; e) Suscribir, en base a las disposiciones reglamentarias y conjuntamente con el rector, los documentos de carácter estudiantil; f) Realizar las convocatorias escritas de acuerdo a las indicaciones del rector;
g) Recopilar y conservar debidamente organizados, los instrumentos legales que regulan la educación, tales como: leyes, reglamentos, resoluciones, acuerdos, circulares, planes y programas de estudio; h) Desempeñar sus funciones con oportunidad, cortesía, responsabilidad y ética profesional; i) Desempeñar sus funciones con oportunidad, cortesía, responsabilidad y ética profesional; j) Cumplir las demás obligaciones determinadas en la ley y los reglamentos y por las autoridades del establecimiento; PROFESORES. Sus funciones son: a) Ejecutar los trabajos que sean necesarios para la labor encomendada y realizar las actividades propias de dicha función. b) Observar estricta puntualidad en su asistencia al trabajo y más actividades propias de dicha función. c) Desempeñar tareas escolares que le fueren encomendadas fuera de clases y que son inherentes a la función Docente, tales como: Junta de Profesores de Curso, Junta de Directores de Área, Reuniones de Profesores, Reuniones de Padres de Familia, Reuniones del Ministerio de Educación y Cultura y más actos contemplados en la Ley de la materia. d) Sujetarse al horario establecido o que llegare a establecer de acuerdo a las necesidades de la Institución.
e) Cumplir con las demás obligaciones fijadas en el Reglamento de la Institución, así como la Ley de Educación y Cultura y su Reglamento. CONSEJO DIRECTIVO. Sus deberes y atribuciones los determina en el Art. 107 del Reglamento General de la Ley Orgánica de Educación (a excepción de los literales b, e ,g, l, m): a) Elaborar el Plan Institucional del establecimiento, en el período de matrículas , y dar a conocer a la junta general; c) Elaborar el Reglamento Interno del Establecimiento o sus reformas y remitirlos a la Dirección Provincial correspondiente para su aprobación; d) Designar la comisión encargada de elaborar el horario general y la distribución de trabajo para el personal docente; f) Conformar las comisiones permanentes, establecidas en el Reglamento Interno del establecimiento; h) Estudiar y resolver problemas de carácter disciplinario y profesional del personal docente y disponer el trámite correspondiente, para los casos en que la solución deba darse por otros niveles; i) Promover la realización de actividades de mejoramiento docente y de desarrollo institucional ; j) Crear estímulos e imponer sanciones a los estudiantes, de conformidad con las normas de este Reglamento y las del Reglamento Interno; k) Conocer y aprobar los informes presentados por los responsables de los departamentos, organismos técnicos y comisiones;
n) Designar a los Directores de Área y al Jefe del departamento de Orientación y Bienestar Estudiantil, de entre los miembros del departamento. o) Evaluar periódicamente el plan institucional y realizar los ajustes que fueren necesarios. p) Conocer y aprobar el Plan Didáctico Productivo, en caso de que el establecimiento cuente con Unidad Educativa de Producción. El Plan, en su componente productivo podrá ser operado y administrado directamente, por el colegio o bajo convenio. JUNTA GENERAL DE DIRECTIVOS Y PROFESORES. Sus deberes y atribuciones los determina en el Art. 109 del Reglamento General de la Ley Orgánica de Educación (a excepción del literal e): a) Conocer el plan de acción institucional preparado por el consejo directivo y sugerir las modificaciones que creyere convenientes; b) Conocer el informe anual de labores presentado por el rector y formular las recomendaciones que estimare convenientes; c) Proponer reformas al reglamento interno; d) Elegir los vocales principales y suplentes del consejo directivo ; f) Estudiar y resolver los asuntos que fueren sometidos a su consideración por el rector.
JUNTA DE PROFESORES DE CURSO. Sus deberes y atribuciones los determina en el Art. 111 del Reglamento General de la Ley Orgánica de Educación: a) Estudiar y analizar detenidamente el aprovechamiento de los alumnos, tanto individual como del curso, globalmente y por asignaturas, estableciendo un seguimiento trimestral, para sugerir medidas que permitan alcanzar el más alto grado de eficiencia en el proceso de aprendizaje; b) Estudiar y analizar detenidamente el aprovechamiento de los alumnos, tanto individual
de los alumnos y del curso, con fines de orientación; calificar la
disciplina y formular las recomendaciones que fueren necesarias; c) Trabajar coordinadamente con las juntas de área y el Consejo de Orientación y Bienestar Estudiantil; d) Informar por escrito al rector y a la junta de directores de área acerca del aprovechamiento, la disciplina de los estudiantes y las dificultades técnicopedagógicas que se presentaren; e) Estudiar los informes presentados por el profesor guía o el inspector del curso, acerca de casos disciplinarios especiales e informar al consejo directivo o al rector para las decisiones del caso; f) Resolver e informar al consejo directivo, respecto de las sanciones que deban aplicarse a los alumnos que hubieren incurrido en faltas disciplinarias graves, previo el informe de la comisión de disciplina; g) Disponer
que
la
inspección
o
el
profesor
guía
informe
sobre
las
recomendaciones formuladas por la junta, en relación con la disciplina y el rendimiento de su representado.
JUNTA DE DIRECTORES DE ÁREA. Sus deberes y atribuciones los determina en el Art. 113 del Reglamento General de la Ley Orgánica de Educación: a) Planificar anualmente su trabajo; b) Promover un permanente proceso de mejoramiento de la educación y un trabajo educativo coordinado continuo e integrado; c) Coordinar las actividades educativas del profesorado; d) Promover la capacitación y el perfeccionamiento del personal docente; e) Promover la acción, interdisciplinaria entre las diversas áreas; f) Seleccionar y recomendar los procesos didácticos más convenientes para la dirección del aprendizaje y los criterios de evaluación aplicables a las diferentes áreas académicas. g) Propiciar la investigación y experimentación pedagógicas, así como la innovación y adaptación curricular. h) Promover la elaboración y utilización de los recursos materiales que la tecnología educativa ofrece al proceso educativo; i) Aprobar los planes de trabajo de las juntas de área. j) Evaluar su trabajo e informar de sus resultados al rector; y, k) Cumplir las demás funciones que le asignaren las autoridades.
JUNTA DE PROFESORES DE ÁREA. Sus deberes y atribuciones los determina en el Art. 115 del Reglamento General de la Ley Orgánica de Educación: a) Elaborar su plan de trabajo y ponerlo a consideración de la junta de directores de área; b) Formular los objetivos curriculares, seleccionar los contenidos programáticos, la metodología y
los instrumentos de evaluación, de acuerdo con las
condiciones socio-educativas y culturales en las que se realiza el proceso educativo; c) Coordinar la planificación didáctica dentro del área, de conformidad con las orientaciones impartidas por los niveles superiores; d) Controlar y evaluar la adaptación y ejecución de los programas de estudio; e) Diseñar procesos didácticos de recuperación pedagógica para los alumnos con dificultades de aprendizaje; f) Unificar criterios y procedimientos de evaluación del aprendizaje y analizar los resultados obtenidos en pruebas, exámenes y otros medios que utilice cada profesor; g) Preparar y aplicar, en coordinación con el departamento de orientación y bienestar estudiantil, pruebas de diagnóstico; y, h) Cumplir las funciones que le asignaren las autoridades del establecimiento.
PROFESORES GUÍAS DE CURSO. Sus deberes y atribuciones los determina en el Art. 117 del Reglamento General de la Ley Orgánica de Educación: a) Presidir obligatoriamente las juntas de curso; b) Coordinar la labor de los profesores y alumnos del curso y la participación del consejo de orientación, padres de familia y personal de inspección, para alcanzar los mejores resultados en el proceso educativo; c) Planificar, ejecutar y evaluar su trabajo con la colaboración del departamento de orientación y bienestar estudiantil y la inspección; d) Cooperar con el desarrollo de las actividades de asociación de clase y estimular la participación de los alumnos en actividades académicas, deportivas y sociales; e) Colaborar en la solución de los problemas estudiantiles; f) Establecer mecanismos de comunicación con los padres de familia para tratar de asuntos relacionados con la disciplina y aprovechamiento de los alumnos; g) Planificar, organizar y participar en las excursiones estudiantiles, de acuerdo con las normas reglamentarias; y, h) Cumplir las demás funciones que le fueren señaladas por las autoridades del establecimiento.
INSPECTORES PROFESORES. Sus deberes y atribuciones los determina en el Art. 118 del Reglamento General de la Ley Orgánica de Educación: a) Cumplir y hacer cumplir las disposiciones reglamentarias y las que impartan las autoridades del establecimiento; b) Concurrir al establecimiento quince minutos antes del inicio de las jornadas y permanecer hasta quince minutos después de concluidas las mismas; c) Desarrollar acciones tendientes a orientar el comportamiento de los alumnos y ofrecer ayuda para la solución de los problemas individuales o de grupo; d) Ofrecer la información necesaria al departamento de orientación y bienestar estudiantil, a los profesores guías y a los docentes en general; e) Cuidar de la seguridad e integridad de los alumnos, dentro y fuera del establecimiento, mientras se hallen a su cargo; f) Atender los reclamos de los alumnos y tomar las medidas conducentes para la solución de los mismos; g) Desplegar todas las actividades encaminadas a crear un ambiente de simpatía, confianza, cordialidad, cooperación, respeto mutuo, así como hábitos de trabajo y buenos modales; h) Llevar
los
libros,
registros,
formularios y más
documentos
oficiales
concerniente a la actividad escolar, en sus respectivos cursos; i) Atender a los padres de familia e informarles oportunamente acerca del comportamiento de sus hijos;
j) Desarrollar actividades con los alumnos cuando faltare un profesor; k) Mantener diariamente informado al inspector general sobre casos especiales que conciernen a los alumnos; l) Velar por el buen uso y conservación del local
y de sus servicios,
instalaciones y más pertenencias del establecimiento; m) Justificar la inasistencia de los alumnos, hasta por dos días consecutivos; n) Participar en las juntas de curso y cumplir las comisiones dispuestas por las autoridades del colegio; y, o) Atender a un mínimo de tres paralelos y dictar seis horas de clases semanales. CONSEJO DE ORIENTACIÓN Y BIENESTAR ESTUDIANTIL. Sus funciones los determinan en el Art. 122 del Reglamento General de la Ley Orgánica de Educación: a) Formular las políticas que guíen las labores de orientación y bienestar estudiantil del establecimiento; b) Aprobar el plan anual elaborado por el departamento de orientación y bienestar estudiantil; c) Poner en práctica acciones que comprometan la participación del personal directivo, docente y administrativo, así como estudiantes y padres de familia, en los programas de orientación y bienestar estudiantil;
d) Analizar los informes anual y ocasionalmente presentadas por el servicio de orientación y bienestar estudiantil y formular las recomendaciones pertinentes; e) Evaluar los programas de orientación y bienestar estudiantil desarrollados en el establecimiento. DEPARTAMENTO DE ORIENTACIÓN Y BIENESTAR ESTUDIANTIL. Estará integrado de
acuerdo al Art. 124 del Reglamento General de la Ley
Orgánica de Educación: a) Presentar por escrito la Planificación Anual acerca del trabajo técnico a su cargo conjuntamente con el Médico, para su aprobación por parte del Consejo de Orientación y Consejo Directivo. b) Analizar y buscar soluciones a problemas de comportamiento y rendimiento que se presentaren en el alumnado e informar oportunamente a los representantes. c) Coordinar con las Autoridades, Inspectores, profesores y otros Organismos del Colegio para resolver problemas de los alumnos cuando sea necesario. d) Motivar y asesorar a los Profesores Guías y demás profesores de los respectivos cursos para solucionar los problemas de rendimiento y comportamiento de los alumnos. e) Aplicar las técnicas y actividades adecuadas para conocer diversos aspectos de la personalidad del estudiante, tales como: Inteligencia, nivel de conocimiento, adaptación, aptitudes, preferencias, etc. f) Asistir obligatoriamente a las Juntas de Cursos y dar informes y sugerencias acerca de los alumnos.
g) Ordenar los archivos para que sean la fuente de informaciĂłn acerca del rendimiento y comportamiento de los alumnos. h) Organizar, asesorar y dirigir las organizaciones estudiantiles que se den en el Colegio. i) Organizar y Asesorar al ComitĂŠ Central de Padres de Familia. j) Presentar por escrito el Informe Anual de actividades del Departamento a la Junta General de Profesores y al Rector con las sugerencias que crea necesaria. k) Cumplir con las Comisiones y demĂĄs disposiciones de los Organismos y Autoridades del Plantel.
ANEXO 3 ENCUESTA DIRIGIDA A LOS ESTUDIANTES DE LA UNIDAD EDUCATIVA LUIS A. MARTINEZ
Instrucciones: Lea detenidamente la pregunta antes de contestarla. La encuesta es anónima para garantizar la fiabilidad de la información. Marque con una X en el paréntesis, según corresponda, su respuesta. CUESTIONARIO: 1. Considera Ud. que el número de computadoras es suficiente para la cantidad de estudiantes que asisten al laboratorio de computación. SI (
)
NO (
)
2. Constan las computadoras con los programas adecuados para realizar sus trabajos. SI (
)
NO (
)
3. Las computadoras utilizadas se encuentran en buen estado. SI (
)
NO (
)
4. El nivel de transmisión de virus informático es: BAJA (
)
MEDIA (
)
ALTA (
)
5. La velocidad de transmisión de datos que ofrece el Internet de la Unidad es: MUY BAJA (
)
RÁPIDA (
BAJA ( )
)
NORMAL ( MUY RÁPIDA (
)
)
6. Desearía que la Institución cuente con computadoras actualizas tanto en hardware como en software. SI (
)
NO (
)
Observaciones:…………………………………………………………………………… ………………………………………………………………………………………………..
GRACIAS POR SU COLABORACIÓN.
ANEXO 4 ENTREVISTA DIRIGIDA AL RECTOR DE LA UNIDAD EDUCATIVA LUIS A. MARTINEZ 1. ¿Cuántas computadoras existen en la Institución? Y, ¿Cómo están distribuidas? 2. ¿Con qué ISP (proveedor de Internet) tiene contratado el servicio de Internet? ¿Están satisfechos con los servicios prestados? 3. ¿Poseen página Web? Si la tienen ¿para qué la utilizan? Y si no ¿por qué? 4. ¿Existen planes de seguridad física, lógicas, de mantenimiento, o de contingencias en lo relacionado al uso de laboratorios de computación? 5. ¿Utilizan sistemas de información? ¿En qué áreas? Si lo tienen: ¿El sistema utilizado garantiza la seguridad de los datos ingresados? 6. ¿Existe un plan o cronograma relacionado con el mantenimiento de los equipos computacionales y los sistemas existentes en la Institución? 7. ¿Cuenta la Institución con generadores y baterías de suministro de energía eléctrica en caso de que esta sea interrumpida? 8. ¿Qué procesos se podrían mejorar con el uso de nueva tecnología y sistemas de información? 9. ¿Cuántas personas relacionadas con el área informática laboran en la Institución? ¿Cuáles son sus áreas específicas? GRACIAS POR SU COLABORACIÓN.
ANEXO 5 ENTREVISTA DIRIGIDA AL ENCARGADO DEL CENTRO DE CÓMPUTO DE LA UNIDAD EDUCATIVA LUIS A. MARTINEZ 1. ¿Cuántos laboratorios de computación existen en la Unidad Educativa Luis A. Martinez? 2. ¿Cuál es el número de computadoras que existen en cada laboratorio? 3. ¿Cómo están estructuradas las computadoras en los laboratorios? 4. ¿Qué características en cuánto a Hardware tiene cada computadora de los laboratorios? 5. ¿Qué tipo de antivirus tiene cada computadora? 6. ¿Está actualizado dicho antivirus? 7. ¿Cuentan las computadoras con los programas adecuados para el trabajo de los estudiantes? 8. ¿Con que ISP (proveedor de Internet) tienen contratado el servicio de Internet? Y ¿Qué le parece el servicio que ellos prestan? 9. ¿Cuál es la velocidad de navegación del Internet? ¿Es suficiente para la cantidad de PC’s que la Institución posee?
GRACIAS POR SU COLABORACIÓN.
ANEXO 6 ENTREVISTA DIRIGIDA AL PERSONAL ADMINISTRATIVO DE LA UNIDAD EDUCATIVA LUIS A. MARTINEZ 1. ¿Cómo se realiza el cobro de pensiones a los estudiantes que forman parte de la Institución? 2. ¿Cada cuánto tiempo se da un reporte de las calificaciones obtenidas por los alumnos? 3. ¿El sistema utilizado garantiza la seguridad de los datos ingresados? 4. ¿Existe un control cuando el software del sistema es modificado? 5. Cuando el software del sistema es modificado, ¿existe una actualización del manual para los usuarios del sistema? 6. Le gustaría la implementación de un nuevo sistema más ágil para registrar el pago de pensiones así como las calificaciones.
GRACIAS POR SU COLABORACIÓN.
ANEXO 7
Fuente: COBIT, Directrices Gerenciales.
ANEXO 8 DIAGNÓSTICO: NIVELES DE MADUREZ: 0 Inexistente. 1 Inicial. 2 Repetible. 3 Definida. 4 Administrada. 5 Optimizada. PLANIFICACIÓN Y ORGANIZACIÓN 0
1
PO1: Definir un plan estratégico de TI. PO2:
Definir
la
arquitectura
2
de
PO3: Definir la dirección tecnológica.
X y
X
aspiraciones de la gerencia. PO7: Administrar recursos humanos. PO8:
Asegurar
el
cumplimiento
requerimientos externos.
0
X
PO5: Manejar la inversión de TI. dirección
0
X
relaciones de TI. la
5
X
PO4: Definir la organización y las
Comunicar
4
X
información.
PO6:
3
X de
X
PO9: Evaluar riesgos.
X
PO10: Administrar proyectos.
X
PO11: Administrar calidad.
X
TOTAL:
0
1
6
9
= 16
∑ 16 11 NI = = 1.45 ≈ 1 Nivel de madurez: Inicial.
Elaborado por: José Luis Carvajal.
ADQUISICIÓN E IMPLEMENTACIÓN 0 AI1:
Identificar
1
2
soluciones
AI2: Adquirir y mantener software de AI3: Adquirir y mantener arquitectura de mantener
procedimientos relacionados con TI.
0
0
X
tecnología. y
5
X
aplicación.
Desarrollar
4
X
automatizadas.
AI4:
3
X
AI5: Instalar y acreditar sistemas.
X
AI6: Administrar cambios.
X
TOTAL:
0
1
0
9
∑ = 10 10 NI = 6 = 1.67 ≈ 2 Nivel de madurez: Repetible.
ENTREGA Y SOPORTE 0
1
2
3
DS1: Definir niveles de servicio.
X
DS2: Administrar servicios prestados por
X
terceros. DS3:
Administrar
desempeño
y
X
capacidad. DS4: Asegurar servicio continuo. DS5: Garantizar la seguridad de los sistemas. DS6: Identificar y asignar costos.
4
X X X
5
DS7: Educar y entrenar a los usuarios.
X
DS8: Apoyar y asistir a los clientes de TI.
X
DS9: Administrar configuración.
X
DS10:
Administrar
problemas
e
X
incidentes. DS11: Administrar datos.
X
DS12: Administrar instalaciones.
X
DS13: Administrar operaciones.
X
TOTAL:
0
4
6
9
8
0
∑ = 27 27 13 NI = = 2.08 ≈ 2 Nivel de madurez: Repetible.
MONITOREO 0
1
M1: Monitorear los procesos.
2
aseguramiento
0
0 =9
X
independiente. M4: Proporcionar auditoria interna. Total:
5
X
interno. Obtener
4
X
M2: Evaluar lo adecuado del control M3:
3
X 0
1
2
6
∑ 9 4 NI = = 2.25 ≈ 2 Nivel de madurez: Repetible.