Introduccin El presente documento tiene como objetivo presentar los resultados obtenidos de los diferentes niveles de madurez de todos

los procesos de gestin de las tecnologas de comunicacin TIC de le empresa distribuidora de productos farmacuticos , bajo ciertos hallazgos encontrados por medio de la entrevista y encuesta realizada en la empresa, bajo la metodologa utilizada OBIT la cual se basa en dominios y procesos con niveles de madurez que permitan emitir tanto conclusiones como recomendaciones tiles para mejorar el desempeo de los procesos y de la organizacin. Nuestra empresa en estudios es una distribuidora de productos farmacuticos para grandes empresas e instituciones tantos privadas como pblicas, con un gran grupo de trabajo profesionales con excelentes experiencias en la aplicaciones y suministro de bienes y servicios de las diferentes actividades productivas a desarrollarse. Su infraestructura y experiencia que tienen le gran permito ofrecer suministros, montaje, servicios y mantenimiento de la distribucin de productos de gran calidad. Debido a la gran demanda con la que cuenta se han detectados muchas deficiencias tecnolgicas y organizacionales en el uso de las TIC como son: La empresa no cuenta con servidores de respaldo para toda la informacin que se maneja dentro de ella. Por lo que cada miembro realiza respaldo de manera individual. Y los medios fsicos que utilizan es por medio de CD por sus propias computadoras y en el disco duro externo del departamento de informtica, lo que hace que todo esto tenga un almacenamiento de informacin muy desordenado.

El encargado de informtico mucho realiza manipulacin dentro de la base de datos mismo lo que provoca muy poca seguridad y confidencialidad en las transacciones que se realizan lo cual puede hacer que surjan muchas alteraciones al momento de realizar alguna transaccin determinada. La empresa no cuenta con suficiente personal en el are de informtica lo que hace que existe un sobre cargo en la funcin del nico miembro que existen laborando y eso hace que los diferentes problemas que se presenten no puedan ser solucionados en tiempo y forma que ocurren por lo que el no da abasto para todos los miembros.

no cuentan con planes de respaldo, contingencia de recuperacin ante fallos, seguridad, riesgos y no se encuentran regidos por ningn estndar o normativas para su certificacin. cada miembro de la empresa resuelve o buscar como solucionar sus problemas de manera individual por el simple hecho que gerencia no tiene el conocimiento del nivel de importancia tiene los desarrollos de los planes que le ayuden a resolver este tipo de problemas. no se cuenta con procedimientos bien definidos y documentados.

Por lo que una vez encontrados todos estos hallazgos es necesario identificar y corregir los procesos que origina este serie de problemas por lo que se planteara: Identificar aquellos procesos y controles que se presente para darle solucin Evaluar el nivel de madurez de los procesos identificados segn la metodologa utilizada. Realizar un anlisis de los resultados obtenidos Elaborar un informe tcnico y ejecutivo.

Captulo 1 .Aplicacin de COBIT Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor de sus interesados. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales. El estndar Cobit (Control Objectives for Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia y eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin

El estndar define el trmino control como: Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables Por tanto, la definicin abarca desde aspectos organizativos (ej. flujo para pedir autorizacin a determinada informacin, procedimiento para reportar incidencias, seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos (ej. control de acceso a los sistemas, monitorizacin de los sistemas mediante herramientas automatizadas, etc.). Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propsito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias. En consecuencia, para cada objetivo de control de nuestra organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).

Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios: 1. 2. 3. 4. Planificacin y Organizacin, con 10 procesos de gestin de TI Adquisicin e Implementacin, con 7 procesos de gestin de TI Entrega y Soporte, con 13 procesos de gestin de TI Supervisin y Evaluacin, con 4 procesos de gestin de TI

En cada seccin de esta metodologa se realizara un anlisis de los procesos de cada dominio y en el cual tambin se desarrollara la matriz raci, haciendo un anlisis de la situacin actual de los procesos de gestin de la TI de la empresa en estudio, para as poder ofrecer recomendaciones a la empresa que le ayuden a la mejora y agilizacin de todos y cada uno de los procesos que presentan una debilidad para la empresa. Con la aplicacin de esta metodologa a la empresa nos permite evaluar y valorar los diferentes procesos de gestin de TI, realizando un anlisis de la situacin actual de la empresa que nos ayuden o permitan determinar el grado de madurez de los procesos para que asi se pueda realizar recomendaciones a la organizacin y esta a su vez pueda realizar mejora a sus procesos. Primeramente realizamos una clasificacin de los diferentes procesos de la organizacin para determinar el nivel de prioridad de cada uno y poder empezar a trabajarlo de acuerdo su prioridad. Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio: Efectividad (cumplimiento de objetivos) Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de los recursos) Confidencialidad Integridad Disponibilidad Cumplimiento regulatorio Fiabilidad P.1. Planear y organizar Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. P01. Definicin de un plan estratgico Segn datos obtenidos de la entrevista vase anexo# se dice que en sus planes estratgicos de la empresa est la creacin de un pgina web pero este plan no se

encuentra documento sino mas bien es una idea a realizar la cual no se encuentra formalmente documentada. Ya que la empresa deber contar con una planeacin estratgica de TI porque es necesaria para gestionar y dirigir todos los recursos de la TI en lnea con las estrategias y prioridades de la empresa. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual de los trabajadores, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido. Este proceso a su vez contiene objetivos de control que permiten que la administracin del valor de TI ayuda a trabajar a la empresa a establecer una evaluacin de los casos de negocio que sea justa, transparente, repetible y comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios esperados. La empresa no cuenta con una alineacin de las TI con negocios ya que no se esta en constante actualizacin de las tecnologas actuales que salen en el mercado como es en el caso de los equipos con que cuentan no llevan un monitoreo de ellos para determinar cada cuanto ser realizara una actualizacin que se requiera para que la empresa trabaje de forma ms efectiva y eficiente El proceso de definicin del plan estratgico de la empresa se localiza en un nivel de madurez 0 (cero) porque la gerencia no toma en cuenta el grado de importancia que tiene la creacin y desarrollo de los planes estratgicos para que pueda operar de manera eficiente y esto le pueda dar soporte a las metas del negocio. P02 Definicin de la arquitectura de informacin. Este proceso mejora la calidad de la toma de decisiones de la empresa asegurando que la informacin que se maneja sea de forma confiable y segura para poder racionalizar los recursos de los sistemas de informacin y estos a su vez puedan igualarse con las estrategias a utilizar, lo que tambin permite que incrementar la responsabilidad sobre la integridad y seguridad de los datos para mejorar la efectividad y control de informacin de las aplicaciones y entidades de la organizacin. El porcentaje de los diferentes datos que posee no son duplicados cada uno de ellos se localizan en su lugar correspondiente y al cual no todos los usuarios poseen el mismo acceso de cada uno por lo que se maneja un login con su contrasea para un mayor control de toda la informacin que se maneja y para que as esta no sea manipulada. Se mantiene un diccionario de datos empresarial de manera que permite compartir los elementos de datos entre la aplicacin y la empresa. Lo que tambin previene la creacin de datos incompatibles con el sistema con que se cuenta. Existe lo que es una esquematizacin de la informacin, es decir se encuentra clasificada para los diferentes usuarios debido a que no todos tienen el acceso a la misma informacin por lo que se establecen niveles de seguridad para cada usuario, controles de proteccin.

La integridad y consistencia con que se maneja los datos es eficiente ya que manejan toda la informacin en bases de datos, formatos electrnicos con un alto nivel de seguridad. La empresa sigue una serie de procedimientos aunque estos no sean tas sofisticados por lo que se realizan de manera sencilla ya que estos se los proporciono por la empresa desarrolladora del software por lo que se encuentran estandarizado y documentado y son parte de actividades informales de entrenamiento. El nivel de madurez de este proceso es 3 (definido), por lo que la empresa tiene un conocimiento y aceptacin de la arquitectura de la informacin y se sigue una serie de procedimientos para llevar acabo estos procedimientos y se establecieron polticas bsicas para el desarrollo del mismo por la empresa desarrolladora del software. P03 Determinar la direccin tecnolgica. Por la entrevista realizada al informtico de la empresa, se determina que la direccin tecnolgica es un proceso existente en la empresa pero de manera bsica ya que las tecnologas que utilizan son muy bsicas para las diferentes operaciones que se realizan por lo que no cuentan con la cantidad de servidores adecuados para que puedan operar de manera eficiente y eficaz sus procesos y esto hace que los servidores trabajen de manera mas lenta y se sobrecarguen el traspaso de la informacin. No cuentan con una planeacin de la direccin tecnologa que le permitan determinar que tecnologas tienen el potencial de crear oportunidades del negocio. Ya que estos permite la orientacin para la obtencin de nuevos recursos tecnolgicos y debido a este nivel bajo de direccin tecnolgica que cuenta se requiere un personal con amplios conocimientos y con la capacidad de poder desarrollar un plan que guie a la organizacin hacia un acertado cambio tecnolgico. Este proceso se encuentra en un nivel de madurez es cero debido a que la gerencia no conoce el grado de importancia de la planeacin de la infraestructura tecnolgica para la empresa por lo que con el personal actual con el que cuenta no posee el amplio conocimiento para la creacin del mismo ya que desconocen que la planeacin del cambio tecnolgico es bsico para la obtencin o asignacin de nuevos recursos para la empresa para que esta pueda operar de manera ms efectiva. P04 Definicin de procesos IT, organizacin y relaciones. De acuerdo a la visita a la empresa nos pudimos dar cuenta que no cuentan con un marco de trabajo de proceso de TI ya que no tienen un plan estratgico que incluyan una estructura y relacin entre los diferentes procesos que se realizan en la organizacin. Por lo que el marco debe estar integrado en un sistema de administracin de calidad y de control interno de la empresa. No cuentan con un comit estratgico y directivo que defina estrategias o planes que asesore a la direccin estratgica y este en constante revisin de las inversiones, que determinen las prioridades de los diferentes programas de inversin de TI y monitorear los niveles de servicios y sus mejoras.

La estructura organizacional con la que se cuenta es muy desorganizada y poco eficiente por lo que existe una doble duplicidad de funciones para ciertos funcionarios de la empresa lo que permite que esta no pueda operar de manera eficiente y eficaz en los diferentes procesos, ya que el establecimiento tanto de roles como responsabilidades no se encuentran bien definidas por la escasez de personal en ciertas reas de las empresas. Existe una carencia sobre el establecimiento de responsabilidad sobre la administracin de riesgos y la seguridad a nivel de toda la organizacin lo que permite que el manejo de problemas no sea tan eficiente como deberan ser, por lo que no existe un adecuado cumplimiento de las mismas. A la empresa se le proporciono el manual de procedimiento del sistema informacin, con el objetivo que le permita enfrentar las responsabilidades de propiedad tanto de los datos de la empresa como del sistema de informacin para que asi la gerencia pueda tomar decisiones sobre la forma en cmo se clasifica su informacin y establecer el nivel de acceso que tendr cada usuario realizando una segregacin de funciones para cada uno de manera que reduzca la posibilidad de que un solo usuario afecte un proceso al cual no est autorizado realizar. Gerencia tiene asegurado que cada usuario realice solo las tareas autorizadas y acorde a sus funciones y cargos, pero al existir poco personal surge la duplicidad de cargos o funciones de ciertos usuarios de la empresa. Pero la relacin que existe entre todos es muy profesional por lo que su estructura de relacin y comunicacin es muy ptima. No existen personal clave en la empresa por lo que no se cuenta con la cantidad suficiente por lo que se requiere nuevas contrataciones. El proceso para definir procesos, organizacin y relacione TI, se localiza en el nivel de madurez 2, repetible pero intuitivo por lo que la empresa esta organizada para responder de forma tctica aunque de manera inconsistente a las diferentes necesidades de los clientes y sus relaciones con los diferentes proveedores que tiene la empresa tan nacionales como internacionales. P05 Administrar la inversin en TI Segn datos obtenidos de la entrevista realizada a gerencia se dice que no existe una administracin de inversin para TI por lo que la inversin que ocurre es cada vez que se requiere de una nueva adquisicin de algn equipo, asi como tambin no cuenta con un marco de trabajo que administre todo los costos, beneficios, prioridades dentro del presupuesto para alguna determinada inversin. Este proceso se localiza en el nivel de madurez 0( cero) debido a que el Gerente no tiene el conocimiento del grado de importancia que tiene llevar un control de la administracin para las inversiones en TI y de los procedimientos de monitoreo que le dan seguimiento a la inversiones y gastos que se llevan en la empresa. P06 Comunicar las aspiraciones y la direccin de la Gerencia Las aspiraciones ni la direccin de la gerencia se encuentran bien administradas ni difundidas correctamente por lo que se tiene un plan estratgico en mente de la gerencia pero aun este no se encuentre documentando formalmente y no existe un marco de

trabajo de control empresarial para las TI en donde se puedan definir y comunicar las polticas que se seguirn dentro de la empresa lo que convierte a este proceso un poco desorganizado porque las aspiraciones que se tienen dentro de la empresa no son comunicadas a todo el personal y no hacen uso de alguna herramienta que les facilite el logro de sus objetivos de TI para asegurar una concientizacin y entendimiento de los diferentes riesgos que podra llegar a tener la empresa. Este proceso se encuentra en un nivel de madurez 1(uno) porque los planes estratgicos que se tiene en mente y los mtodos de elaboracin y comunicacin son informales y no se encuentran documentados y suelen ser inconsistentes debido a que no existen una buena comunicacin entre el nivel de gerencia y el resto de personal para as poder desarrollar y llevar a cabo el plan estratgico de manera formal, y tantas las polticas como los procedimientos son muy desordenados debido a que actualmente la empresa no cuenta con un manual de la empresa sino que esta en construccin y es por eso que en cierto casos surge una desorganizacin en los procedimientos de determinados procesos. P07 Administrar recursos humanos de TI De acuerdo a la entrevista y encuestas realizadas en la empresa, vase anexo la administracin de los recursos humanos de TI cuenta con procesos establecidos que siguen prcticas establecidas y aprobadas por el reclutamiento, entrenamiento, evaluacin del desempeo, la promocin y terminacin del trabajo. Los procesos de reclutamiento del personal estn acorde a las polticas y procedimientos del personal de la organizacin de manera que la gerencia implementa ciertos procesos para garantizar que la empresa cuente con una fuerza de trabajo posicionada de forma apropiada y que el personal cuente con las habilidades necesarias para lograr alcanzar todas las metas organizacionales de la empresa. En la empresa se realizan capacitaciones al personal cuando se requiere de realizar diferentes procesos en la empresa para que tenga las habilidades de cumplir sus roles en base a su educacin, entrenamiento y experiencia. Al momento de contratacin del personal se realiza una orientacin y entrenamiento continuo para reservar sus conocimientos, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para llegar alcanzar las metas organizacionales establecidas as como tambin se incluyen verificaciones de los antecedentes para el proceso de reclutamiento ya que el grado y frecuencia de estas verificaciones dependen de que tan delicada o critica sea la funcin que se le vaya a otorgar tanto a empleados, contratistas y proveedores. La Gerencia realiza peridicamente evaluacin del desempeo de su personal de manera que los empleados reciben adiestramiento sobre su desempeo y conducta y se evala constantemente las capacidades de cada empleado para as incentivarlos a ser ms productivos en sus labores y puedan llegar a cumplir las metas organizacionales. El nivel de madures que se encuentra este proceso es 3(tres) definido por lo que existe un proceso definido y documentado para administrar los recursos humanos de TI, as como tambin un plan de entrenamiento de personal que est diseado para la

satisfaccin de las necesidades de los recursos humanos de la empresa midiendo las habilidades de cada empleado para expandir las habilidades gerenciales y de negocio que le permitan a la empresa ser productiva, eficiente y eficaz. P08 Administrar la calidad Por la entrevista realizada actualmente la empresa no cuenta con un sistema de administracin de calidad es decir un QMS que no es ms que un software de gestin de calidad desarrollado bajo la norma ISO 9001 para una correcta gestin interna de los procesos desarrollado en la empresa, lo que le permite llevar todos los registros necesarios para el control y trazabilidad de los procesos de manera informtica. As como tambin no poseen estndares y prcticas de calidad que lo orienten al cumplimiento del QMS. El nivel de madurez de este proceso es 0(cero) debido a que la empresa carece de un sistema de proceso de planeacin de QMS y de estndares que le ayuden a la certificacin de la empresa. La alta direccin no tiene el conocimiento necesario del grado de importancia que tiene un programa de administracin de la calidad por lo que no se revisa la calidad de los proyectos a realizarse. P09 Evaluar y administrar los riesgos de TI Segn entrevista realizada al informtico de la empresa informa que la empresa tiene un conocimiento bsico de los diferentes riesgos que pueden ocurrir tanto en el negocio como el sistema pero que las acciones que se toman en cuenta son correctivas y no preventivas por lo que hasta en el momento que ocurre el riesgo se interesan por corregirlo mientras ellos no posee un documento que los ayude a poder resolver cualquier tipo de riesgos que se le presente en el momento menos oportuno pero se tiene como proyecto la elaboracin de un plan de mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable. El nivel de madurez de este proceso es 0(cero) , por lo que la evaluacin de riesgos para los procesos y decisiones de negocio no ocurren y no se toman muy en cuenta el impacto del riesgo asociado a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos por lo que an no cuenta con un plan estratgico de mitigacin de riesgos para adquirir soluciones de TI y poder brindar excelentes servicios de TI. P010 Administrar proyectos Por la entrevista realizada a Gerencia, la administracin de proyectos de TI es un proceso inexistente en la empresa por lo que no cuenta con una metodologa definida que garantice la coordinacin de los proyectos ya que cada miembro de la empresa administra sus proyectos de forma independiente. El proceso se localiza en un nivel de madurez 0(cero) porque no se cuentan con tcnicas especficas y la empresa no toma en cuenta los impactos que pueden tener estos por no contar con una administracin de los proyectos.

Resumen del dominio PLANEAR Y ORGANIZAR El dominio est relacionado con procesos de planeacin y organizacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben de evaluar y corregir, se mostrara a continuacin en una tabla que contiene un resumen de los procesos evaluados.

Dominio: PLANEAR Y ORGANIZAR Procesos PO1 Definir un Plan Estratgico de TI PO2 Definir la Arquitectura de la Informacin PO3 Determinar la Direccin Tecnolgica PO4 Definir los Procesos, Organizacin y Relaciones de TI PO5 Administrar la Inversin en TI PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos Nivel de nivel de madurez madurez actual recomendado 0 3 3 0 2 0 1 3 0 0 0 3 3 3 2 3 3 2 3 2

Como se puede mostrar en este proceso la mayora tiene un grado de madurez de nivel CERO y esto debe ser motivo de gran atencin por parte de la empresa. Segn COBIT la empresa en este dominio carece de alguna metodologa especfica y definida en la que se ignoran ciertos procesos para dar una mejor solucin a los diferentes problemas que se le presentan.

Recomendaciones del dominio 1. Una vez realizado un anlisis completo de toda la informacin proporcionada anteriormente, se recomienda que la empresa cuenta con un plan estratgico de SI documentado y certificado para que le permita una mayor productividad al momento de realizar todas sus operaciones y que exista una alineacin de TI con la empresa, es decir que se est en constante capacitacin sobre las diferentes tecnologas que van saliendo al mercado para que sus procesos sean ms eficiente y eficaz. Por lo que se recomienda que se establezcan polticas que ayuden a determinar cmo y cundo realizar planes estratgicos de TI que sigan un enfoque estructurado, el cual sea

documentado y se d a conocer a todo el equipo para que garantice la factibilidad del desarrollo e implementacin de este plan dentro de la empresa. Por lo que las estrategias de recursos humanos, tcnicos, y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas. 2. En este procesos no existe una inconformidad con la arquitectura de la informacin ya que los procesos que utilizan para clasificacin de los mismo se considera correcta por lo que se considera que este proceso se efecta de forma correcta. 3. Se recomienda que exista una planeacin de la direccin tecnologa, con una plan de infraestructura, que existan monitoreo constantes de tendencias y regulaciones futuras para el buen desarrollo del plan de infraestructura tecnolgica de TI, as como tambin que existan estndares tcnicos que le proporcionen soluciones tecnolgicas consistentes , efectivas y seguras para toda la empresa por lo que se dice que exista un nivel de madurez de 3 por lo que la gerencia esta consiente de la importancia del plan de infraestructura tecnolgica pero que este debe de estar documentado y bien difundido aunque en el momento de ser aplicado sea un poco inconsistente, ya que este incluye el entendimiento en la empresa en donde ser lder y en donde desea rezagarse respecto al uso de tecnologas en base a los riegos y en la alineacin estratgica organizacional. 4. La empresa debe de contar con un marco de trabajo de procesos de Ti que est ligado al plan estratgico en el cual pueda existir un relacin entre los diferentes procesos que se realizan as como tambin ligado a un sistema de administracin de calidad y control interno de la empresa que le permita ser ms eficiente en sus procesos. Debe de contar con un comit estratgico y directivo en el que defina el ambiente de control y que se ampli un poco el personal para minimizar la duplicidad de funciones de algn determinado funcionario establecindose los roles y responsabilidades correspondientes tanto para la organizacin como para TI. Se tiene que estar en constante revisin de las inversiones y determinar los programas de inversin de TI para as poder monitoreas los niveles de servicios y sus mejoras.

5. Se recomienda que la organizacin al menos tenga en cuenta el nivel de importancia que tiene la necesidad de poder administrar la inversin en TI aunque esta se comunique de manera inconsistente y que se establezcan procedimientos de monitoreo que le dan seguimiento a la inversiones y gastos que se llevan en la empresa. 6. La gerencia debe de elaborar, comunicar y documentar un ambiente completo de administracin de calidad y control de la informacin de manera que se incluya en el marco para las polticas, procedimientos y estndares que debe tener la empresa ya que estos procesos tienen que estar estructurado y comunicado con el personal . Tiene que existir una completa comunicacin entre los empleados con gerencia de manera que se le informe sobre los diferentes planes que se vaya a implementar dentro

de la empresa para as ir proyectando el resultado que pueda obtener con la implementacin del mismo y que se fomenten la conciencia de tcnicas de seguridad que estn estandarizadas y formalizadas para que exista la confiabilidad dentro de la organizacin. 7. En este proceso se realiza dentro del marco de trabajo lo que significa que no existen inconformidad para el desarrollo del mismo ya que el proceso se encuentra documentado y definido para una buena administracin de los recursos humanos de TI, en donde existen programas de rotacin de personal en que se miden las habilidades tanto gerenciales como de negocio. 8. En la empresa debe existir un QMS para una correcta gestin interna de los procesos desarrollado en la empresa, lo que le permite llevar todos los registros necesarios para el control y trazabilidad de los procesos de manera informtica, ya que las actividades del mismo deben de estar enfocadas en iniciativas orientadas a procesos y proyectos y no nicamente procesos de toda la organizacin. 9. Se recomienda que la empresa debe contar con un plan de mitigacin de riesgos el cual este documentando y bien definido en el que se establezcan polticas de administracin de riesgos para toda la organizacin y se defina cundo y como realizar las evaluaciones de riesgos de manera que esto garantiza que los riesgos claves para la empresa sean identificados y deben estar bajo ciertas normas o estndares.

II. Adquirir e Implementar.

En este dominio se explica que para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los Sistemas existentes estn cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. AI1. Identificar soluciones automatizadas Por la entrevista informal realizada a la persona encargada del Departamento Administrativo conocemos que la identificacin de soluciones automatizadas es un proceso inexistente en la empresa porque no cuentan con El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez 0 (cero) porque la gerencia no lo considera importante y la empresa no cuenta con un procedimiento definido que identifique requerimientos funcionales y operativos para el desarrollo, implantacin o modificacin de soluciones tecnolgicas disponibles que sirvan de apoyo para que la empresa cumpla con sus objetivos. Segn la entrevista realizada al encargado del rea de informtica, la empresa tiene claro cules son los requerimientos que necesitaba para el desarrollo del Software y los objetivos que se deseaban cumplir. En la parte de anexos se muestra un corte de los requerimientos que nos permitieron observar, as mismo mostramos los requerimientos del software y hardware que la empresa requera para que el software funcionara. El software de la empresa fue implantado hace tres aos. Desde entonces la empresa no cuenta con un plan de compras o requerimientos de negocio funcionales y tcnicos que cubran con las iniciativas requeridas para lograr los beneficios esperados por la TI. Despus del Estudio de Factibilidad realizado por la empresa desarrolladora del software la empresa no se ha preocupado por documentar y elaborar un detallado estudio de Factibilidad para plasmar los requisitos necesarios para cumplir con los objetivos de la empresa, el cual como se mencionaba en la entrevista Anexo es el de desarrollar una pgina web que controle desde ambiente intranet e internet los procesos de la empresa referido a su sistema de Facturacin Venta e Inventario. Las adquisiciones de los nuevos equipos para la empresa, ya sea para la trasmisin de red, maquinas, impresoras, entre otros se hace de manera emprica, y las realiza el encargado de informtica, investigando precios en internet o cotizando con proveedores. Si una compra se realiza, no se evala el riesgo de esa adquisicin ni se tiene una estimacin al menos el 90% de seguridad que ese equipo estar alineado con los objetivos de la empresa y que se satisfar los requisitos de la empresa. Por lo tanto la empresa no tiene una metodologa definida para analizar la compra o el desarrollo de una nueva aplicacin que garantice que los requisitos del negocio se cumplan de manera efectiva y eficiente. El Grado de madurez de este proceso es Inicial porque existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnolgicas. Grupos individuales se renen para analizar las necesidades de manera informal, los individuos identifican

soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe un anlisis estructurado mnimo de la tecnologa existente.

AI2 Adquirir y Mantener Software Aplicativo El porcentaje de usuarios satisfechos con el sistema segn la encuesta realizada en el anexo es del 90% segn las razones especificadas en el anexo. De acuerdo con la entrevista del Gerente por dichas razones y en aras de crecimiento de la empresa es que contemplan la posibilidad de desarrollar una aplicacin web que les permita controlar sus procesos en intranet e internet. La integridad de los datos y la confiabilidad es carente en este proceso porque el encargado de sistemas manipula la base de datos en ciertos momentos (para anular facturas, corregir ciertos errores. etc).El gerente general aprueba estas operaciones. Esto se hace debido a que el software no es capaz de solucionar esas inconformidades dentro de los procedimientos propios del sistema y de los procesos como es anular facturas. Como se ha abordado anteriormente que no existen requerimientos propiamente definidos para la empresa para la elaboracin de la aplicacin web, ellos an no han traducido esos requerimientos en alto nivel para la adquisicin eficiente del software para asegurar la eficiencia y satisfaccin de los usuarios y los clientes, y por consiguiente las TI estn alineadas con los planes u objetivos de la empresa. Las adquisiciones de nuevos software o de aplicaciones para la empresa se realizan de manera emprica y en base a la experiencia de los operarios del sistema (encargado de informtica). La empresa no cuenta con controles establecidos para asegurarse de que las aplicaciones existentes operan de manera ptima, auditable y completa. Para el desarrollo de la pgina web la empresa design al encargado de informtica su elaboracin, y segn la entrevista realizada a este se afirma que el no lleva el mismo proceso de desarrollo del software actual. No lleva ninguna documentacin del mismo, no planteo los requerimientos y menos el desarrollo del sistema actualizado. Se cuenta con un diseo de seguridad lgico y fsico para las aplicaciones y los equipos, parte de este diseo se encuentra en la seccin de anexos. Segn la encuesta realizada (anexo) se observa que los usuarios del sistema manejan la informacin bsica y que los procedimientos ah descritos se realizan, sin embargo no todos tienen conciencia de la utilidad en si o de su importancia. Tambin se refleja de que no todos hacen uso constante de la documentacin, se dejan guiar ms por lo que ya manejan. No existe un plan de aseguramiento de la calidad del sistema, pero si cuentan con un plan de mantenimiento proporcionado por la empresa desarrolladora del software. Parte de este documento se encuentra en el anexo. El grado de madurez es de 2, es decir Repetible, porque si existe conciencia de que se debe contar con un proceso de adquisicin de aplicaciones, existen procesos de mantenimiento, aunque am menudo no se cumpla con regularidad o de manera eficiente, y este plan es poco flexible o adaptable cuando se pierde el conocimiento interno de la organizacin. Se tiene poca consideracin hacia la seguridad y disponibilidad de la aplicacin en el diseo o adquisicin de software aplicativo.

AI3. Adquirir y Mantener Infraestructura Tecnolgica.

La empresa no cuenta con un plan para adquirir, implementar y mantener la infraestructura tecnolgica que satisfice los requerimientos del negocio. Cuenta con plataformas obsoletas de servidores, ya que es Windows Server 2000 y no figura en sus planes cambiar la configuracin de su servidor. La paquetera de programas con el que cuenta es muy desactualizada, segn el encargado de informtica los programas instalados son:

Paquetera de office Adobe Winrar Antispam AVAST Winap Nero

En el Estudio de Factibilidad que tiene la empresa existen las recomendaciones de compra de nuevos equipos para el funcionamiento del sistema implantado para ese entonces, sin embargo en ese plan no se consideran nuevos cambios como lo es levantar el software a una plataforma en ambiente web como son los planes de la empresa. No existe en la empresa un cuarto de mquinas establecido en la empresa, ni se cuenta con un espacio requerido para los servidores y dems equipos de importancia para la operatividad del sistema. Los servidores los switch y dems equipos importantes de la red se encuentran dentro de la oficina de contabilidad a un extremo de la oficina. Esa oficina no cuenta con las normas de seguridad mnima y/o bsica que se debe tener y no es conveniente que estn ubicadas en una oficina donde cualquier persona puede entrar o el mismo contador si no es de confianza pueda acceder a la red. Diseo de la red Anexo. Existe un plan de mantenimiento para lo que es el hardware, este plan esta desactualizado ya que se han adquirido ciertos equipos, que ya no estn considerados dentro del plan existente, por lo que no se garantiza el control eficiente de los nuevos equipos. Se establece que el Plan de Mantenimiento esta desfasado porque es el proporcionado por la empresa desarrolladora de su software, desde hace 3 aos. Segn nuestra encuesta (anexo) no est documentado ni bien definido las responsabilidades al utilizar componentes de la infraestructura y aseguren la integracin y disponibilidad de los recursos de la empresa. No existe una revisin peridica de las necesidades del negocio bien establecidas, el administrador de la empresa lo hace una vez cada tres meses en conjunto con el encargado de informtica sobre posibles riesgos que puede incurrir en la empresa sobre el uso y manejo de la infraestructura, las vulnerabilidades y riesgos. Por lo general las revisiones se realizan una vez presentados los problemas y ms cuando son recurrentes, como por ejemplo virus en el sistema, conexin lenta al servidor, rebotes de correos, lo que comnmente se conoce como se ha cado el sistema, entre otros.

Hasta el momento no se realizan pruebas de funcionalidad del Sistema y de las aplicaciones, pero segn la entrevista (anexo) se planea realizar pruebas para constatar que el sistema cuenta con aplicaciones muy desfasadas para controlar, mantener la disponibilidad y la integridad de la informacin. As mimo se desea establecer un plan de pruebas de seguridad, unitarias, de integracin y de sistemas. La evaluacin de los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica para los nuevos equipos y/o sus actualizaciones est siendo desarrollada por el encargado de informtica, quien no tiene conocimientos cientficos, sino empricos en el campo. Adicionalmente no se est elaborando la documentacin adecuada para la adquisicin, cotizacin y evaluacin de los nuevos equipos. Se registra y documenta de manera informal (sin metodologa aplicada) la evaluacin del riesgo y de la inversin para la adquisicin de la nueva tecnologa, esto por parte del Gerente Financiero. De lo anterior se puede deducir que la adquisicin y mantenimiento de las TI no se basa en una estrategia definida y no considera las necesidades del negocio que se deben de respaldar. Si se tiene la nocin de que la infraestructura es importante y se apoya en algunas prcticas formales. Algunos de los planes de mantenimiento se programan pero no en su totalidad y las actividades de mantenimiento reaccionan en la mayora a necesidades de corto plazo. Por lo tanto el nivel de madurez considerado es de 2, Repetible pero intuitivo, porque no hay consistencia entre enfoques tcticos para adquirir y dar mantenimiento a la infraestructura de las TI.

AI4. Facilitar la operacin y el Uso. No existe un plan desarrollado para identificar y documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de servicio requeridos de una nueva introduccin o actualizacin del SFVI o de infraestructura como es el objetivo de la empresa. Por lo que el personal no est lo suficientemente capacitado para tomar responsabilidades en procedimientos administrativos y operativos en nuevas actualizaciones tcnologicas. En la implantacin del Software de Facturacin Venta Inventario (SFVI) de la empresa, se le trasfiri el conocimiento necesario a la gerencia permitiendo que esta tenga posesin del sistema, los datos, ser el responsable de la calidad y entrega del servicio. El Gerente General de la empresa es quien aprueba los accesos al sistema y los datos, administra los privilegios que se le darn a cada uno de los usuarios, segn los mdulos del sistema. Estos privilegios fueron declarados segn los requerimientos del gerente y el anlisis de los desarrolladores del Software. Los privilegios fueron descritos por el encargado de informtica y se muestra en la parte de anexos. Existe una documentacin de los planes de respaldo, recuperacin ante fallos, seguridad fsica y archivo de la documentacin fuente. La fuente es manipulada y controlada por el encargado de informtica, para manipular ciertos datos como se mencionaba en AI. Para la creacin de la pgina web y la integracin del sistema en ambiente web, no se lleva una documentacin extensa de estos planes o manuales, ni existe una estrategia para la trasferencia de conocimientos a la gerencia.

A los usuarios del SFVI se les proporciono una capacitacin de tres meses por parte de la empresa desarrolladora del software. Esta capacitacin contena lo bsico para que los usuarios se familiarizaran con el sistema y fuesen capaces de operarlo. No existe ayuda en lnea, en la garanta del software (anexo) se establece que se les dar asistencia a usuarios por telfono y en casos extremos visitando el lugar por un ano luego de desarrollado el software. La empresa pocas veces utilizo esos privilegios, nunca llegaron a la empresa, segn la entrevista (anexo). Se les estableci a los usuarios login y passwords de acceso. Sin embargo en la actualidad los passwords de los usuarios son definidos de manera personal con el fin de evitar accesos no identificados segn el encargado de informtica. No existe un plan de login y passwords establecido. Los usuarios y la gerencia estn satisfechos en un buen grado con las capacitaciones dadas por la empresa y los materiales de apoyo. Para los nuevos empleados los mismos usuarios del sistema que se desenvuelven mejor los entrenan sin necesidad de volver a leer los manuales de usuario, es decir su conocimiento se pasa de manera emprica, pocas veces respaldado por la documentacin existente. (Encuesta, anexo). No existen manuales de procedimientos, de operacin o escenarios de atencin ni capacitacin por parte de la empresa desarrolladora del software hacia los encargados del soporte tcnico. Es decir no se especializo en la capacitacin de ellos siendo que sern los que resolvern problemas cuando la garanta no cubra ya las asistencias. De manera que los encargados de soporte tcnico no estn aptos para mantener la aplicacin y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. Por tanto se puede concluir que el nivel de madurez es Repetible pero intuitivo, porque si existe documentacin bien planteada como lo son manuales de usuario, de procedimientos, asesoramiento, entre otros. Aunque no es la documentacin adecuada para las nuevas actualizaciones. No existe un plan general para ofrecer mantenimiento a los nuevos usuarios del sistema. La calidad de la capacitacin a los nuevos usuarios y nuevas tecnologas depende de los individuos que se involucran y la calidad del soporte tcnico va desde pobre a muy buena.

AI5. Adquirir Recursos de TI No existe un conjunto de procedimientos y estndares consistente con el proceso general de adquisiciones de la empresa ni una estrategia de adquisicin para adquirir infraestructura relacionada con la TI, hardware, software, instalaciones, entre otros necesarios para el negocio. No tienen asesores legales que les indiquen las responsabilidades y obligaciones legales, financieras, organizacionales, de desempeo, seguridad, entre otros. Tampoco se cuenta con un procedimiento establecido y documentado para elaborar, modificar y concretar contratos con proveedores de confianza para la empresa par las adquisiciones de las TI. El encargado de informtica lo que hace es que selecciona una lista de proveedores, y los elige cotizando los precios y segn su criterio el nivel de confianza y calidad de los equipos ofertados.

El encargado de informtica es que el elabora los contratos con los proveedores, pero ms que contratos son simples facturas de rdenes de pedido y de compra. Las adquisiciones de las TI se realizan cada vez que falla un equipo, existe un riesgo latente en las aplicaciones, es decir se aplica cuando existen errores en el momento, no se previenen o se adquieren segn las nuevas necesidades del negocio. Y si se adquieren por dichas necesidades no se documentan ni registran las justificaciones de las adquisiciones. En base a lo anterior puede decirse que no existe una prctica justa, formal y viable para garantizar que se cumpla con los requerimientos adecuados de la empresa. El hacerlo as no garantiza total ni parcialmente que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. Por lo tanto el nivel de madurez de la empresa es inicial, porque se reconoce que se debe de tener polticas y procedimientos documentados que enlacen la adquisicin de TI con el proceso general de adquisiciones de la organizacin. Los contratos para la adquisicin de TI son elaborados y administrados por el informtico que ejerce su experiencia ms que los resultados de procedimientos y normas.

AI.6 Administrar Cambios. No existe en la empresa procedimientos de administracin de cambio formales para manejar de manera estndar todas las solicitudes de cambio de mantenimientos, aplicaciones, procedimientos, procesos entre otros, ya que segn el encargado de informtica que es el que est elaborando la aplicacin web, no est siguiendo ninguna documentacin establecida dentro de la empresa, ms que su iniciativa y semi experiencia. Tambin trata de alinear todos los requisitos y objetivos de la empresa en el desarrollo de su proyecto pero no los va documentando. Por el momento el desarrollo de la pgina web no afecta la funcionalidad u operatividad del SFVI de la empresa ni de las reas relacionadas. Sin embargo no existen documentos ni estndares o guas que garanticen que todas las solicitudes de cambio no afectaran la funcionalidad del sistema una vez migrado e integrado a la aplicacin en ambiente web. El encargado de informtica aunque no tiene plenos conocimientos en el rea de sistema y de migracin de datos, es un hombre auto didacta y en la entrevista que le realizamos informalmente nos asegur que investigara las tcnicas de migracin adecuadas para no afectar al sistema antes durante y despus del proceso de migracin. Segn la entrevista realizada al encargado de informtica una vez que se hayan implementado, l se encargara de la actualizacin de los manuales de usuario y de procedimientos de los cambios del sistema correspondientes. La persona que autoriza los cambios es el Gerente General quien le ha dado la plena confianza al encargado de informtica pero debe de rendirle informes sobre los cambios y los beneficios y riesgos de esos cambios. Segn el encargado de informtica el elaborara los informes segn su juicio y no siguiendo estndares o polticas establecidas, ya que la empresa no cuenta con ellos. Por lo que observamos en la entrevista con el encargado de informtica y la entrevista realizada en el anexo, no se ha previsto cualquier cambio en la estructura de la red de la empresa para el nuevo soporte de la aplicacin web. Entre los cambios comentados no se mencion ni de manera

informal de qu manera planifican cambios en la infraestructura o si han realizado un anlisis para determinar que la estructura de red y de TI que manejan es la adecuada para las prximas actualizaciones. Los procesos para definir, plantear, evaluar y autorizar los cambios de emergencia es inexistente dentro de la empresa, no hay documentacin ni plan de pruebas. No existe un sistema de seguimiento de cambios al sistema a los usuarios e involucrados. Si se realiza un cambio, se le informa al personal a travs de un correo electrnico y si es necesario se le brindan capacitaciones informales, segn la entrevista realizada (anexo). Por tanto podemos decir que la administracin de cambios es bien bsica, porque no cuentan con un procedimiento correcto de administracin formal y controlada, relacionado con la infraestructura y las aplicaciones dentro de la organizacin. No existe documentacin y la que se planea elaborar se presume incompleta y poco confiable. Es posible que existan errores e interrupciones en el ambiente de produccin con los nuevos cambios que la empresa quiere implementar, debido a la pobre administracin de cambios. El nivel de madurez que se posee es Inicial (1), porque se reconoce que los cambios se deben de administrar y controlar.

AI.7 Instalar y acreditar Soluciones y Cambios. No existe un plan de entrenamiento e implantacin de materiales y aplicaciones asociados definido ni documentado para cualquier proceso de desarrollo, implementacin o modificacin. No existe un plan de pruebas basado en los estndares de la organizacin que define roles y procedimientos. Tampoco existen planes formales establecidos y documentados para la conversin de sistemas y datos y la migracin de la infraestructura como parte de los mtodos de organizacin. Esto porque el encargado de sistemas buscara la documentacin mas estndar en internet para realizar una adecuada migracin y respaldo de datos, segn su criterio. No existen procedimientos establecidos de pruebas de cambios, promocin de la produccin, revisiones posteriores, entre otros campos contemplados por COBIT. El nivel de madurez de los procesos de Instalar y acreditar soluciones y cambios es de cero porque hay una ausencia completa de procesos formales de instalacin o acreditacin y ni la gerencia o encargados de TI identifican la necesidad de verificar que las soluciones y nuevas soluciones se ajusten al propsito deseado.

 Resumen del Dominio Adquirir e Implementar AI. El dominio esta relacionado con procesos de adquisicin e implantacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados.
Como se muestra en la tabla, en este dominio los procesos se dividen entre un grado de madurez de UNO y DOS, estos deben ser motivo de especial atencin por parte de la gerencia y su implantacin debe regirse a la prioridad de implementacin descrita para procesos primarios y secundarios segn sea el caso. Segn COBIT, la empresa en este dominio, en cuanto a los procesos que se localizan en el grado de madurez de nivel UNO, la empresa DIFARMA.SA usa procedimientos aplicados sobre bases individuales o caso por caso, notando as que la empresa carece de administracin para este dominio y los incidentes se manejan conforme van surgiendo. En el caso del nivel DOS, la empresa ya tiene nocin de la documentacin de los procedimientos, aunque sea bsica y muchas veces se aplique en el momento y no se monitoree continuamente. En el Nivel CERO, la empresa carece totalmente de una administracin de TI para instalar y acreditar soluciones y cambios, por lo que debe de poner mayor nfasis en ese aspecto. Recomendaciones. Por lo que se le recomienda que para los procesos de AI1, AI2 y AI4 se pase a un nivel de madurez TRES para que existan enfoques claros y estructurados para determinar las soluciones de TI. Para AI5, AI6 y AI7, se pase a un nivel de DOS, para que exista al menos documentacin y procedimientos establecidos aun de manera informal- y que exista personal que administre las TI para adquirir, administrar e instalar adecuadamente los cambios o actualizaciones en que incurra la empresa.

Por ultimo para el proceso AI3, ya que la empresa no solo tiene nocin de la importancia de adquirir y mantener infraestructura tecnolgica sino que tiene documentacin del mantenimiento del software actual aunque no los practiquen de la manera adecuada. Como la infraestructura tecnolgica es vital para la empresa y para la funcionalidad del SFVI con nuevas actualizaciones en el futuro se recomienda llevarla al nivel CUATRO para que el proceso este alineado con los planes de la empresa, sea organizado, flexible, integrado y preventivo. Es necesario que se ample el personal del rea de informtica ya que cuentan solo con uno, y este no posee los dominios adecuados en el campo tecnolgico, porque aun no termina una carrera universitaria, la cual es Diseo Grafico. Esto con el objetivo de que con la informacin que se maneja del software anterior se pueda aplicar mejor y distribuir la informacin adecuadamente para que toda la TI este alineada con los planes de la empresa y los cambios en el software puedan implementarse sin ningn problema.

Adems con nuevo personal ms capacitado se podr documentar mejor los cambios, se podr tener acceso a los documentos legales para las adquisiciones y contratos de TI.

Dominio: ADQUIRIR E IMPLANTAR

Procesos
AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnolgica AI4 Facilitar la operacin y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

Nivel de madurez Nivel de Nivel de Madurez Madurez Actual Recomendado uno dos dos dos uno uno cero tres tres cuatro tres dos dos dos

III. Entregar y Dar Soporte.

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin el servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales. DS1. Definir y Administrar los niveles de Servicio. En el momento del desarrollo del Software si existi un marco de trabajo desarrollado para administrar los niveles de servicio ya que existen procesos creados para el entendimiento comn del cliente y los prestadores del servicio. Sin embargo para las nuevas actualizaciones y de manera establecida no existen procesos para que la empresa pueda crear requerimientos de servicio, definiciones de servicio y las fuentes de financiamiento. No existe una administracin de servicios para garantizar la entrega de un buen servicio tanto a los usuarios internos (empleados) como externos (clientes). No existe un portafolio de servicios, pero si se tiene la documentacin de las caractersticas del servicio y los requerimientos del negocio para el desarrollo del SFVI y as alcanzar los objetivos trazados por la empresa. Parte de estas caractersticas se encuentran en el anexo. Para la aplicacin en ambiente web el encargado de sistemas no lleva una adecuada documentacin ni alineacin con los nuevos requerimientos de la empresa ni los nuevos objetivos y beneficios que se pretenden alcanzar implementando la aplicacin. (Cabe destacar que la Gerencia en si se ha preocupado lo suficiente para informar y documentar los planes estratgicos y las metas de la empresa, sino que solo se comunica de manera informal). La empresa no tiene nocin de lo que son acuerdos de niveles de servcio y niveles de operacin, segn la entrevista realizada, anexo. Los niveles de servicio de la empresa se monitorean de manera desorganizada y solo en momentos en que mucho fallan las aplicaciones utilizadas por los usuarios. No se emiten formatos de reportes ni se analizan estadsticas, ya que ha nadie se le ha sido asignada esa funcin. Por lo que la evaluacin al desempeo se hace de manera cualitativa, segn el juicio de la persona encargada de los TI y su mantenimiento.

Despus de un mes un ao de garanta del Software, la empresa no tiene contacto adecuado con la empresa desarrolladora del SFVI para que los niveles de servicio sean efectivos y que se ha tomado en cuenta los cambios en los requerimientos.

Por tanto el proceso es informal, casi inexistente y reactivo. La responsabilidad y rendicin de cuentas para la definicin y la administracin de servicio no esta definida y la documentacin son inconsistentes, incompletas y poco confiables. No se hace frecuentemente la documentacin requerida, aunque se planea mejorar los rendimientos de sus servicios y el primer paso para ello es definir y monitorearlos segn herramientas que midan el desempeo con bases cientficas. El nivel de madurez es por lo tanto, del UNO. Inicial.

DS2 Administrar los Servicios de Terceros DIFARMA SA ha contratado los servicios de la empresa desarrolladora en dos ocasiones, una para el SFVI auditado y otra para un Sistema de contabilidad (anexo). De manera que la empresa tiene identificados todos los servicios de los proveedores y mantiene aunque sea de manera informal documentacin de las relaciones tcnicas y organizacionales de los roles, resultados esperados y responsabilidades de los proveedores. No existe un proceso formal para el proceso de gestin de los proveedores, el encargado de informtica simplemente visita la pgina web de ellos, investiga las ofertas y segn su juicio y experiencia laboral selecciona el servicio y se pone en contacto con ellos para afinar detalles de costo y calidad. La empresa no se preocupa por mantener una administracin de riesgos relacionada con la habilidad de los proveedores para mantener un buen servicio de entrega. Aunque no exista la administracin de riesgos declarada, definida y establecida en la empresa, de manera informal el encargado de informtica as como la empresa desarrolladora ha considerado puntos importantes como la documentacin de Garanta, viabilidad de la continuidad del proveedor, documentacin adecuada por parte de los proveedores entre otros. No existe un proceso para monitorear a los proveedores en base a la prestacin de servicios ms que el nmero de quejas de los usuarios del sistema, (encuesta, anexo) y como solo han trabajado con un proveedor no se lleva un porcentaje claro y definido de los proveedores que cumplen los requerimientos definidos y los niveles de servicio. El nivel de madurez de este procedimiento es de cero porque las responsabilidades y la rendicin de cuentas no estn definidas. Los servicios de terceros no son aprobados por la gerencia y los terceros no reportan a falta de una obligacin contractual de reportar, la gerencia no se da cuenta de la calidad del servicio prestado ms que en el momento que se utiliza el sistema.

DS3 Administrar el Desempeo y la Capacidad

Existe un proceso emprico para la planeacin de revisin del desempeo y la capacidad de los recursos de TI para asegurar la capacidad y el desempeo, con costos justificables para procesar las cargas de trabajo justificadas. Este documento lo proporciono la empresa desarrolladora del Software. Lamentablemente la empresa no nos permiti verlo. Con frecuencia los usuarios del SFVI deben de realizar soluciones alternas para resolver limitaciones alternas de la capacidad y desempeo del SFVI. Por ejemplo cuando se resetea mucho una maquina o se pone lento el servidor por la cantidad de registros cargados y guardados, los mismos usuarios se establecen turnos para cargar datos del servidor y no saturarlo, igual cunado quieren imprimir cotizaciones o contratos al mismo tiempo en la nica impresora que tienen disponible por rea. Anexo La revisin de la capacidad y desempeo actual en los recursos de las TI, es inexistente por lo que ellos no tienen un plan de niveles de servicio establecido por lo que no saben cmo administrar y evaluar el desempeo de las TI para saber si se estas prestan los servicios adecuados para el nivel de servicio establecido que deberan de tener. El encargado de informtica no cuenta con el conocimiento suficiente ni tiene documentacin establecida por la cual guiarse para elaborar de manera adecuada un pronstico de desempeo y capacidad de los recursos en el futuro con revisiones regulares. La Gerencia en este sentido se ha preocupado por establecer estas revisiones y mantener la efectividad de las TI, segn nos dijo el encargado de informtica, puesto que se le ha asignado a l. No se monitorea la capacidad de los recursos ms que cuando un equipo o un software estn dando muchos problemas, es hasta en ese caso que se le presta atencin. Por tanto puede decirse que la administracin del desempeo y la capacidad de los recursos de TI son casi inexistentes porque no tienen un proceso continuo que evalu la capacidad de las TI, solo en el momento en que se produce un error. El nivel de madurez es de UNO porque los usuarios administran de manera emprica la capacidad de sus TI, la gerencia ve poco la necesidad de llevar a cabo una planeacin de la capacidad y el desempeo de sus recursos, y el que se realiza en la actualidad es informal, limitado y algo desfasado porque no contempla las nuevas adquisiciones de TI.

DS4 Garantizar la Continuidad del Servicio Asegurar el mnimo impacto de una interrupcin del SFVI. Existen planes de contingencia definidos y elaborados para que los usuarios puedan reaccionar ante interrupciones inesperadas del sistema. Sin embargo segn el diseo de la red presentada en el anexo no existe un servidor de respaldo actualmente en uso, sino que los respaldos se realizan en CDs al final de cada jornada laboral. Como existen dos servidores en caso de que uno falle, el otro puede tomar el control y mantener el sistema activo por mucho tiempo.

La empresa no cuenta con tecnologa para lo que son bateras UPS, as como se debera de tener segn sus planes de seguridad establecidos. Hasta el momento no se lleva un control del nmero de horas perdidas de trabajo de los usuarios por una interrupcin del sistema. En la actualidad aparte de los planes de contingencia para la recuperacin de datos y servicios y reducir los impactos ocasionados por interrupciones inesperadas, no existen desarrollados de manera formal planes de continuidad de TI en base a un marco de trabajo definido. La empresa an no se ha tomado la molestia de establecer cules son sus puntos crticos, de manera establecida y documentada y analizada la razn por la cual estos seran los puntos crticos que deben de priorizarse en una interrupcin clave. Todo esto se sobre entiende de manera general como lo son salvaguardar la informacin, los registros las transacciones, que los equipos no se deterioren por los bajones de luz o que los servidores no se saturen por la cantidad de informacin importada y exportada en el mismo momento, sin tomar en cuenta el peso de la informacin que se est cargando. Como los planes de contingencia no contemplan nuevas adquisiciones en las TI despus de la implantacin del SFVI, es limitado y algo desactualizado. El resto de procesos son empricos y correctivos no preventivos por lo que la empresa no realiza un mantenimiento de los planes de continuidad, ni pruebas que aseguren que ese plan es el adecuado para los requerimientos de la empresa y sus objetivos. Los planes De contingencia que tiene la empresa estn disponibles para cualquiera de los usuarios, ya sean nuevos o antiguos del sistema, pero no existe un plan de entrenamiento formal adecuado para que ellos estn entrenados ante cualquier eventualidad. Como se deca anteriormente las capacitaciones a los empleados se hacen de manera verbal y practica por un usuario con mayor experiencia en el campo a tratar, no existe un canal de distribucin formal, administrada y establecida para que los planes de contingencia estn disponibles para las partes involucradas. Existe almacenamiento de respaldos fuera de la empresa, el gerente es el nico que tiene el permiso de exportar datos de la base de datos y registros del servidor segn la entrevista realizada. El los salvaguarda en un dispositivo aparte que esta fuera de la empresa y al cual solo y nicamente l puede tener acceso con un login y un passwords definido. Esto se hace de manera informal y no existe un cronograma que le indique al gerente cada cuanto debe de revisar ese dispositivo externo y evaluar su seguridad. No es de conocimiento del gerente si ese dispositivo es compatible con el hardware y software actual para poder recuperar archivos. Por tanto se puede decir que las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. La gerencia comienza a darse cuenta de la importancia de los planes de contingencia bien implementados y los riesgos que podra traer a la empresa. El proceso de continuidad de la empresa radica en la infraestructura y no en las TI como un conjunto. Los usuarios utilizan soluciones alternas para la interrupcin de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparacin. Las prdidas

de energa planeadas estn programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio. El nivel de madurez es Inicial, de UNO.

DS5 Garantizar la Seguridad de los Sistemas Existen planes de seguridad establecidos y alineados con los requerimientos de la empresa al momento de implantar el SFVI. Estos planes aseguran de manera bsica que los usuarios sean identificados as como monitoreados en sus actividades y que en el sistema se refleje que usuario ingreso a que modulo e intento realizar que transaccin a una hora especifica. Se tiene documentacin de los permisos otorgados a los usuarios, pero no de los cambios de los passwords que estos puedan tener, porque segn la entrevista los login pueden asignarse o cambiarse segn aspectos personales de cada usuario, es decir las contraseas son personales. Sin embargo aunque las contraseas sean personales existe un repositorio dentro de la base de datos del sistema que guarda los login y permite la autorizacin de las contraseas y notifica cualquier tipo de cambio inesperado. Parte del plan de seguridad del SFVI se muestra en Anexo. El encargado de informtica es aquel que coordina los planes de seguridad con los dems usuarios del SFVI y es el que le rinde cuentas al gerente general. Estos informes son bsicos no siguen un orden establecido, son incompletos muchas veces y limitados. El responsable establecido por la empresa para la delegacin de los permisos, login, passwords y accesos a mdulos, informacin, exportacin de archivos y acciones dentro del sistema es el Gerente. Pero el que opera esos privilegios, es decir el que los establece dentro del sistema una vez otorgado por el Gerente es el encargado de informtica. No existe en la empresa como se deca en AI3 un cuarto de mquinas establecidas en la empresa, ni se cuenta con un espacio requerido para los servidores y dems equipos de importancia para la operatividad del sistema. Existen tcnicas de seguridad de la red y el servidor de la web contiene un antivirus que se distribuye por las maquinas en red con ese servidor para que la licencia del Avast que tienen sea compartida por las mquinas y as se maximice en cierta medida la seguridad del servidor y la informacin. Para la proteccin de software malicioso tienen un anti- spam y un antivirus Avast licenciado para la seguridad de sus equipos. No existe un diseo de plan de seguridad de las redes en el sistema. El nivel de madurez del proceso es de DOS, Repetible pero intuitivo porque la conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Las polticas de seguridad estn desarrolladas pero las herramientas y las habilidades no son las adecuadas. L habilitacin de seguridad de las TI dependen inicialmente de las habilidades del individuo encargado (informtico). La empresa aun no ve la seguridad de las TI como parte vital de la misma empresa.

DS6 Identificar y Asignar Costos Por la entrevista informal realizada al encargado de informtica conocemos que la identificacin y asignacin de costos es un proceso inexistente en la empresa porque no cuentan con un proceso de construccin y operacin de un sistema justo y equitativo para distribuir y reportar los costos de TI a los usuarios de los servicios en la empresa. No existe un modelo de costos actuales analizados y reportados, ms que los reportados en el Estudio de Viabilidad que la empresa tiene, sin embargo recordemos que a lo largo de ese tiempo se han producido cambios y adquisiciones de TI, y que ese estudio de viabilidad econmico se elabor hace tres aos, por lo que se puede decir que est desfasado. Como no existe un modelo de costos, no existe contabilizacin de los TI, ni determinacin de los cargos ni un mantenimiento. El proceso de identificacin y asignacin de costos se localiza en el nivel de madurez 0 (cero) porque la gerencia no reconoce que hay un problema que debe atender respecto a la contabilizacin de costos y que no hay comunicacin respecto a este asunto. No existe un entendimiento general de los costos globales. DS7 Educar y Entrenar a los Usuarios No existe en la empresa un plan detallado y establecido por la empresa para entrenar y educar a los usuarios. Todo eso se hace de manera verbal y personal por usuarios de mayor experiencia. La empresa a los nuevos usuarios al momento de ser contratados les asigna como primera tarea leerse la misin, visin y valores ticos de la empresa, con el fin de que se vayan familiarizando con ellos y traten de adoptarlos. Para estas imparticiones y capacitaciones existen aulas especficas. Cabe destacar que estas capacitaciones se realizan de manera general para la introduccin general de la empresa, no especficamente para cada cargo ni para la manipulacin de los sistemas o recursos de TI. No hay una imparticin de entrenamiento ni educacin establecida, ni maestros o personas encargadas para ello. Por lo tanto tampoco hay una evaluacin del entrenamiento recibido. Se puede concluir que la educacin y el entrenamiento a los usuarios es un proceso inicial y desorganizado en la empresa porque no cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educacin efectiva de los usuarios que usan los sistemas de TI. Hay evidencia de que la organizacin ha reconocido la necesidad de educar y entrenar a los usuarios, pero no existen procedimientos estandarizados. A falta de un proceso organizado, los empleados son los mismos que se capacitan cuando tienen algn problema, buscan en internet o son asesorados por otros empleados que tienen ms experiencia en ese campo. El enfoque global de la gerencia carece de cohesin y slo hay comunicacin espordica e inconsistente. El nivel de Madurez es Inicial, UNO.

DS8 Administrar la mesa de servicio y los incidentes. La empresa cuenta con un servicio de llamadas al personal tcnico de la empresa el cual es el encargado de asesorar y solucionar ciertos problemas de software y hardware de la empresa, segn sus limitaciones, recordemos que el dominio AI se defina que los

tcnicos no obtuvieron capacitacin especial para monitorear y solucionar problemas en el sistema distinta a los de los mismos usuarios. Durante el periodo de garanta de la empresa desarrolladora del SFVI se daba una asesora a los usuarios a travs de telfono y en caso de ser necesario se visitaba la empresa. Sin embargo una vez concluida la garanta, los asesores tcnicos revisan por su cuenta. Este proceso de mesa de servicio no est establecido ni documentado ni normado, se hace de forma desorganizada y es poco administrado. No existe un proceso de registro de las consultas de los clientes, nmero de llamadas, solicitudes de servicio, entre otros. Si se registra la informacin porque se lleva un control de los usuarios y su desempeo pero todo esto se registra manualmente y se archiva, no se realizan informes finales, solo ciertas observaciones si los tcnicos lo consideran necesario. Esta informacin fue proporcionada por el encargado de informtica. No existe un proceso de escalamiento de los incidentes, de manera que cuando un problema no puede resolverse de manera inmediata, se le pide esperar al usuario hasta que el asesor tcnico se documente en internet y averige la causa u origen del problema. No existe monitoreo de los incidentes, los pendientes, los cerrados, entre otros. El anlisis de las tendencias se conoce de manera emprica y segn la experiencia del asesor, no se documenta. El nivel de madurez es Inicial, UNO. DS9 Administrar la configuracin Por la entrevista informal realizada al encargado de conocemos que la empresa no cuenta con una administracin de la configuracin y tampoco tienen un documento completo y preciso que gui las configuraciones de hardware y software que se realicen en la empresa, tampoco cuentan con un proceso que incluya la recoleccin de informacin de la configuracin inicial, el establecimiento de normas, la verificacin y auditora de la informacin de la configuracin y la actualizacin del documento de configuracin conforme se necesite. El proceso para administrar de la configuracin se localiza en el nivel de madurez 0 (cero) porque la gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software. DS10 Administrar los problemas La empresa no cuenta con un plan definido de administracin de problemas, se tiene conciencia de que se necesita uno, pero hasta el momento el gerente no ha asignado las funciones ni los encargados de esta administracin, porque no tiene el conocimiento necesario para poder delegar dichas orientaciones y lograr sus objetivos. No se analizan causas, la raz, no cuentan con herramientas como los arboles de problemas que le ayuden a identificar, clasificar y resolver los problemas que la empresa tiene, o bien un anlisis segn un diagrama de Ishikawa. Por lo mismo de que solo tienen una nocin bsica o regular de las causas de sus problemas solo de los efectos ya percibidos, la gerencia toma medidas o recomendaciones basadas en

situaciones superficiales o en su criterio y experiencia sin haber analizado de manera correcta y concreta los problemas anteriormente. Por lo que existe la posibilidad de la prdida de tiempo productivo mientras se buscan respuestas. El proceso para administrar los problemas se localiza en el nivel de madurez UNO, Inicial.

DS11 Administrar los datos La empresa cuenta con un plan, anlisis, y diseo de recuperacin de datos ante fallos. Aunque es algo bsico se tiene la nocin de administrar estos procesos para que se vayan actualizando segn nuevas adquisiciones o actualizaciones en el sistema. La administracin de los datos es un proceso inicial y desorganizado en la empresa porque no cuentan con un procedimiento definido que contemple metodologas efectivas para administrar los respaldos, la recuperacin de datos y la eliminacin apropiada de medios de almacenamiento. Los planes que la empresa tiene se pueden visualizar en Anexo. El proceso para administrar los datos se localiza en el nivel de madurez UNO, Inicial (uno) porque los datos no se reconocen como parte de los recursos ni como activos de la empresa, adems en la organizacin no se asigna la responsabilidad sobre los datos o sobre la rendicin de cuentas, y la calidad y la seguridad de la informacin es bsica.

DS12 Administrar el ambiente fsico No hay un plan detallado para la proteccin de activos fsicos de la empresa y como se mencion en AI3 no existe un acondicionamiento adecuado de los servidores y los dispositivos ms importantes de las TI para protegerlos y mantenerlos contra acceso dao y robo. No se cuenta con un cuarto de mquinas y accesos bien definidos por la gerencia para los usuarios no autorizados. No existen cmaras de seguridad dentro de la empresa ni un monitoreo de las personas que entran o salen de la oficina de contabilidad, que es donde estn los servidores. Cuando se le pregunto al encargado de informtica que porque no estaban los servidores en su oficina (que no est adecuada tampoco) no supo que contestar, no sabe la razn de porque estn ubicados ah. Sin embargo nos confi que se pretende que con la nueva aplicacin web se trasladen los servidores y dems dispositivos a una oficina mayor, donde estar l y el acceso ser controlado y restringido para personal no autorizado. Existe un plan de seguridad contra factores ambientales (Anexo) pero en general no existen medidas que lo apliquen para que se monitoree y controle el ambiente. La empresa carece de una administracin de instalaciones fsicas ni sigue leyes, reglamentos o requerimientos tcnicos adecuados. De lo anterior puede decirse que la empresa reconoce la necesidad de un cuarto de mquinas o una oficina con instalaciones fsicas adecuadas para salvaguardar los activos fsicos y lgicos de la empresa. El personal se puede mover dentro de las instalaciones

sin ningn tipo de restriccin controlado y definido. El mantenimiento de las instalaciones no est bien documentado y su buen estado depende de las personas en el rea de contabilidad. Por lo tanto el nivel de madurez es Inicial, UNO.

DS13 Administrar las operaciones Existe un plan de mantenimiento preventivo de la empresa pero no es bien practicado y esta desfasado y limitado segn el encargado de informtica. No se nos permiti ver dicho plan. Como se expuso en AI, los mantenimientos que se realizan en la empresa son desorganizados y solo se cumplen para maneras correctivas, es decir son a corto plazo y en el momento en que ocurre una accin. No existe un monitoreo de la infraestructura de TI, documentos sensitivos y dispositivos de salida. Todas las mquinas de las reas involucradas del SFVI, tienen habilitados los puertos USB. El nivel de madurez es Inicial, UNO. Resumen del dominio Entrega de Servicios. El dominio est relacionado con procesos de entrega y soporte empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir, a continuacin se muestra una tabla que contiene un breve resumen de los temas tratados y se especifican los procesos evaluados.
Como se muestra en la tabla, en este dominio la mayora de procesos tienen un grado de madurez de nivel UNO, estos debern ser motivo de especial atencin por parte de la empresa y su implantacin debe regirse a la prioridad de implementacin descrita para procesos primarios y secundarios segn sea el caso. Segn COBIT este nivel establece que la organizacin tiene un plan bsico de procesos especficos para los procesos de SFVI de la empresa y reconoce la importancia carece de implantar estos procesos para as solucionar sus problemas, los incidentes se manejan conforme van surgiendo, , la empresa no tiene la comunicacin o supervisin necesaria sobre ellos, en su lugar usan procedimientos aplicados sobre bases individuales o caso por caso, notando as que la administracin es desorganizada y slo existe comunicacin eventual e inconsistente sobre los problemas. En cuanto a los procesos que se localizan en el grado de madurez de nivel DOS que son intuitivos ya existen planes, ms definidos y hay procesos que aunque no se monitorean ni se administran adecuadamente existe cierta documentacin que sirve de base para la especificacin de los procesos.

Recomendaciones. 1. Definir y administrar los niveles de servicio. Un acuerdo de nivel de servicio es un convenio interno en la empresa para llegar a un arreglo entre el gobierno de TI y el personal que usa los recursos de TI, y se establece para sustentar las necesidades del negocio. Tras su firma el gobierno de TI debe

considerar al acuerdo como un documento de referencia para ofrecer al personal de la empresa los servicios acordados, por eso es imprescindible que defina claramente los aspectos esenciales del servicio tales como su descripcin, disponibilidad, etc. La empresa debe buscar un experto del gobierno de TI para que defina y administre los niveles de servicio con acuerdos de niveles de servicio que sean firmados entre el encargado del gobierno de TI y el personal que usa los recursos de TI en la empresa, el experto tambin debe medir el cumplimiento de dichos acuerdos para verificar que se alcancen los objetivos empresariales y comunicar de manera formal, frecuente y concisa el desempeo del proceso a la gerencia de la empresa. Es importante definir y administrar los niveles de servicio porque permite a los servicios de TI alinearse con los requerimientos del negocio. Una vez que se est claro de esto se puede pasar al nivel de madurez recomendado que es el TRES, en el que la empresa ya tiene bien definidas las responsabilidades y los niveles de servicio requeridos por la empresa para que de alguna manera se pueda garantizar su efectividad respondan en cierta medida a las necesidades del negocio. 2. Administrar los servicios de terceros que los proveedores brindan a DIFARMA SA La empresa actualmente no cuenta con un procedimiento definido para este proceso, adems no tienen condiciones estndar para convenios con prestadores de servicios y todo se realiza de manera informal y desorganizada. Es importante que la empresa cuente por lo menos con un plan de administracin del desempeo y la capacidad porque la gerencia tendr la seguridad de que los recursos de informacin que soportan los requerimientos del negocio estarn disponibles de manera contnua. Si no se tiene un plan de administracin del desempeo y la capacidad la empresa no podr tomar las medidas necesarias cuando el desempeo y la capacidad no estn en el nivel requerido, medidas tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prcticas de asignacin de recursos. Esto es para que la gerencia este consientas del impacto de no administrar la capacidad y el desempeo de las TI dentro del negocio y se establezcan ciertas consideraciones de las cargas de registros en los servidores en las horas pico. 3. Establecer un cuarto de mquinas adecuado con las instalaciones fsicas y los niveles de acceso y permisos establecidos para proteger y mantener las TI contra danos y robos. Establecer la seguridad para el equipamiento. El equipamiento debe estar fsicamente protegido de las amenazas a la seguridad y los peligros del entorno, es necesaria la proteccin del equipamiento para reducir el riesgo de acceso no autorizado a los datos y para prevenir prdidas o daos. 4. Documentar y establecer procesos ms organizados para los planes de contingencia de la empresa y asegurar la efectividad de los recursos, y que el tiempo de trabajo de los usuarios se maximice y no se vea interrumpido inesperadamente.

5. Actualizar los documentos de planes de mantenimiento, respaldo, diseo de seguridad, planes de contingencia entre otros con la nuevas actualizaciones de las TI que la empresa realice y cambios en el Sistema para que los usuarios esten bien documentados de todos los cambios y se lleve un mejor control. 6. Implantar planes de capacitacin y de entrenamiento a los usuarios para que ellos puedan resolver los problemas que se le presenten de manera rpida y correctamente. 7. Asignar y delegar funciones para que se lleve un catlogo de los costos de los TI para que la empresa cuente con el proceso de identificacin y asignacin de costos porque un sistema equitativo de costos permite al negocio tomar decisiones ms informadas respectos al uso de los servicios de TI. Si en la empresa no realiza la asignacin de costos para TI no podrn contar con un plan que identifique prioridades en cuanto a la adquisicin, el mantenimiento y los gastos operacionales de servicios de TI. 8. Implantar cmaras de seguridad en el cuarto de mquinas para un mayor monitoreo de la seguridad, porque ste asegura que la tecnologa usada por el personal de la organizacin sea utilizada eficientemente, adems el programa asegura que se disminuirn los errores al momento de usar los servicios de la empresa para que la productividad y el cumplimiento de los servicios de TI aumenten. 9. Capacitar mejor a los de servicio tcnico para que den una mayor servicio a los usuarios cuando los necesiten, porque los beneficios del negocio incluyen el incremento en la productividad gracias a la resolucin rpida de consultas. Adems la mesa de servicio ayuda a dar un mejor seguimiento a los incidentes que el personal experimenta porque el usuario tiene indicaciones claras de donde y como debe reportar su problema. 10. Mejorar los canales de distribucin de la empresa, a travs de un servidor de correos, circulares o bibliotecas virtuales en donde los usuarios estn al tanto de toda la documentacin de la empresa y de los planes y estrategias, actualizaciones, unciones, cambios y procedimientos que necesiten para operar adecuadamente. 11. Controlar la configuracin de TI en DIFARMA SA. Buscar un experto que se encargue de detallar un plan para controlar la configuracin de TI que contenga los elementos de configuracin para hardware, software aplicativo, documentacin, procedimientos y herramientas para operar, acceder y utilizar los sistemas y los servicios de la empresa. 12. Administrar los datos de la empresa. La empresa debe buscar un experto para que se encargue de definir un procedimiento para la administracin de los datos

de la organizacin, el experto debe contemplar los siguientes puntos para el manejo de la informacin: Almacenamiento. El experto debe desarrollar un plan de almacenamiento para la informacin de la organizacin. Con respecto a la informacin que maneja el sistema interno de la empresa, el experto debe utilizar un servidor de base de datos empresarial para almacenar la informacin y de esta manera asegurar la integridad, autenticidad y confidencialidad de los datos almacenados, adems el experto debe disear formatos de entrada de datos para los usuarios de manera que se minimicen lo errores durante el ingreso de los datos al sistema. Seguridad de la informacin. El experto debe desarrollar un plan para dar seguridad a la informacin de la organizacin. Con respecto a la informacin de la base de datos, el experto en el plan de seguridad debe considerar la administracin de perfiles y claves de acceso para el sistema y as garantizar que la informacin no sea alterada. Con respecto a la informacin de cada departamento, el experto en el plan de seguridad debe detallar procedimientos para administrar la informacin y as garantizar a la gerencia que los datos sern utilizados bajo estrictas normas de confidencialidad, disponibilidad y confiabilidad. Respaldos. Con respecto a los respaldos de la base de datos el experto debe desarrollar una metodologa que describa qu informacin se va a respaldar, cmo se lo va a hacer y en qu momento se sacaran los respaldos y usando esta metodologa el experto debe encargarse de obtener los respaldos, despus de obtenidos el experto debe realizar las pruebas de validez que verifiquen que el respaldo obtenido servir en el futuro para solucionar fallas en el sistema. Con respecto a respaldar datos de cada departamento, el experto debe desarrollar una metodologa para que el personal conozca el proceso que debe seguir para obtener una respaldo que sea til para su departamento ya que cada miembro deber sacar y almacenar sus propios respaldos, pero en este caso las pruebas de validez se realizarn por parte del experto. Seguridad de los respaldos. El experto debe solicitar a la gerencia un espacio fsico externo a la organizacin que sea seguro para almacenar los respaldos de la base de datos y del resto de departamentos de la organizacin para as garantizar a la gerencia que la informacin estar segura y disponible para cuando se la necesite.

Dominio: Entrega de Servicio

Procesos
DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones

Nivel de madurez Nivel de Madurez Nivel de Madurez Actual Recomendado uno tres cero dos uno tres uno dos dos tres cero dos uno dos
uno cero uno uno uno uno dos dos tres tres tres tres

IV. MONITOREAR Y EVALUAR Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo por su calidad y el cumplimiento con los requerimientos de control. Este dominio resuelve as la supervisin del proceso de control de la administracin y el aseguramiento independiente suministrada por la auditora interna y externa u obtenida por fuentes alternativas ME1 Monitorear y Evaluar el Desempeo de TI Actualmente la empresa segn Gerencia cuenta con un sistema de monitoreo muy bsico ya es el proceso de recoger la informacin rutinariamente sobre todos los aspectos de una campaa de defensa y promocin y usarla en la administracin y toma de decisiones por lo que no se encuentra documentado y no est dentro del marco de trabajo de monitoreo en donde se definan el alcance, la metodologa y el proceso a seguir para medir la solucin y entrega de servicios de TI , la definicin y recoleccin de los datos para efectuar el monitoreo correspondiente, estableciendo el tipo de mtodo a utilizar para s evaluar el desempeo y finalmente dar reportes al consejo directivo y a ejecutivos. El nivel de madurez de este proceso es 1 por lo que la gerencia reconoce la necesidad de recolectar y evaluar informacin sobre los procesos de monitoreo de la empresa que le permitan llevar un mayor control sobre los mismos. Y el departamento de contabilidad monitorea las mediciones financieras bsicas para TI. ME2 Monitorear y Evaluar el Control Interno En la empresa se pretende lograr cumplir los objetivos de TI y se cumple con las leyes y reglamentos relacionados con TI para un mayor control interno, pero este se lleva a nivel bsico ya que no se rigen por procedimientos establecidos en un marco de trabajo de monitoreo que le ayuden al cumplimento del mismo para as poder realizar un buen reporte de la efectividad de los controles internos sobre TI. No existen monitoreo y evaluacin de la eficiencia y efectividad de los controles internos de revisin por parte de la gerencia y el reporte de las excepciones de control, resultados de las autoevaluaciones sin revisiones por parte de terceras personas. El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez 0(Cero) porque la organizacin carece de procedimientos que le permitan monitorear la efectividad de los controles internos as como su confidencialidad, integridad y el buen cumplimiento de los mismos, as como tambin no existen mtodos de reporte de control interno gerenciales por lo que tambin tanto gerencia como el personal no tienen el conocimiento adecuado de la seguridad operativa.

ME3 Garantizar el Cumplimiento Regulatorio Segn en la entrevista realizada a Gerencia en la empresa existe un nivel de supervisin bsico del cumplimiento de las leyes, regulaciones y requerimiento contractuales que se incluyen dentro de ciertas polticas o procedimientos de TI para la organizacin. No cuentan con un procedimiento que garantice el cumplimiento de las leyes y regulaciones e incluya la definicin de un estatuto de auditoria, independencia de los auditores, estndares profesionales entre otros. El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez 0 debido a que en la empresa a nivel gerencial no se tiene conciencia y un conocimiento de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos legales.

ME4 Proporcionar Gobierno de TI Por la visitas que se hicieron en la empresa no proporcionan un gobierno de Ti porque nos e cuenta con procedimientos efectivos que incluyan la definicin de estructuras, procesos. Liderazgos, roles y responsabilidades organizacionales para el rea de TI.

El nivel de este proceso de madurez es 1 debido a que en la empresa si se conoce el tema del gobierno de TI y que este deber ser resuelto. Debido a que la gerencia nicamente responde de forma reactiva a los incidentes que hayan causado prdidas o vergenza a la organizacin. Resumen del dominio MONITOREAR Y EVALUAR Este dominio esta relacionado con procesos de monitoreo y evaluacin empresarial con respecto a la madurez de las tecnologas de informacin que se deben evaluar y corregir. A continuacin se muestra una tabla en que se expresa los procesos tratados en este dominio y sus niveles de madurez correspondiente de cada uno. Dominio: MONITOREAR Y EVALUAR Procesos ME1 Monitorear y Evaluar el Desempeo de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI Nivel actual 1 0 0 1 de madurez nivel de recomendado 2 2 1 2 madurez

En este dominio los procesos tienen una igualdad en el nivel de grado de madurez en los 4 procesos que existen como son de nivel 1 y 0 por lo que la empresa debe concentrase un poco en este dominio y revisar detalladamente y evaluar los diferentes procesos que se llevan a cabo para darle solucin a los diferentes problemas que se presenten. Recomendaciones 1. Se recomienda que en este primer proceso de identifiquen mediciones bsicas a ser monitoreadas y que los mtodos y tcnicas de recoleccin y evaluacin existan pero que los procesos no se adapten a toda la organizacin. Ya que resultado del monitoreo que se va a realizar se basa en la experiencia de los individuos claves dentro de la empresa para as ver si efectividad. 2. La organizacin debe utilizar reportes informales al menos para el comienzo de sus iniciativas de accin correctiva , y la evaluacin del control interno depende de las habilidades de los empleados claves que tenga la empresa para as hacer que exista una mayor productividad y eficiencia en los diferentes procesos establecidos anteriormente. La empresa al menos debe de tener un conocimiento bsico del monitoreo de los controles internos y que se realicen de manera peridica. 3. Debido a que dentro de la organizacin no tienen conciencia del requerimiento externos que afecta TI debe de existir al menos un conocimiento bsico del mismo de manera que se surjan cumplimientos regulatorio, contractual y legal los cuales tengan impacto para la organizacin y al menos se deben seguir una serie de procedimientos informales para los procesos para as mantener el cumplimiento. 4. Se recomienda que la empresa debe de contar con gobiernos de TI que le permitan el establecimiento de un marco de trabajo de gobierno efectivo en donde se incluya tantos estructuras, procesos, liderazgos, roles y responsabilidades organizacionales para garantizar que las inversiones empresariales en TI estn alineadas y de acuerdos a los planes estratgicos que se tienen que establecer en la empresa y acorde a los objetivos empresariales para que as exista una efectividad, eficiencia, confidencialidad, integradas y cumplimiento de los procesos.

Conclusiones

La herramienta COBIT nos permiti definir el nivel de madurez de los procesos de gestin de TI. Evaluamos el nivel de madurez actual y el nivel de madurez recomendado de los procesos en DIFARMA SA para emitir recomendaciones que debern ser tomadas en cuenta por el nivel gerencial segn se especifique a lo largo del proceso. No existen responsables que se encarguen de los procesos de gestin de TI en DIFARMA SA. Como la empresa no cuenta con personal calificado que se encargue de los procesos de gestin de TI, parte del personal realiza algunas funciones de TI por esta razn los procesos de gestin de TI son iniciales y desorganizados. El nivel gerencial de DIFARMA SA decidi clasificar a los procesos de gestin de TI. Analizamos los procesos de gestin de TI de la empresa para determinar su nivel de madurez. El anlisis consiste en determinar el grado de madurez actual de los procesos de gestin.

A continuacin presentamos un resumen del anlisis realizado a lo largo del proyecto de titulacin. 1. DOMINIO Planear y Organizar El dominio est conformado por 10 procesos en total que conforman el 100%, de los cuales 6 estn en el nivel de madurez cero. 1 en el nivel de madurez 1 1 en el nivel de madurez 2 2 en el nivel de madurez tres.

Por lo que la empresa en este dominio est representada por el nivel de madurez cero, lo que significa que la empresa no cuenta ni ha mostrado inters en una metodologa y documentacin establecida para definir su marco de trabajo en funcin de las TI y la alineacin estratgica de estas con sus objetivos. 2. DOMINIO Adquirir e Implementar El dominio est conformado por 7 procesos en total que conforman el 100%, de los cuales: 1 en el nivel de madurez cero. 3 en el nivel de madurez 1 3 en el nivel de madurez 2 Por lo que la empresa en este dominio est representada por el nivel de madurez dos y tres, lo que significa que la empresa tiene establecidos documentos sobre las TI que le

permiten trabajar aun de forma desorganizada con procesos informales para adquirir, mantener y comprar nuevas TI y tratar de manera limitada y poco confiable de alinearlas con sus planes.

3. DOMINIO Entregar y Dar soporte El dominio est conformado por 13 procesos en total que conforman el 100% de los cuales: 3 en el nivel de madurez cero. 9 en el nivel de madurez 1 1 en el nivel de madurez 2 Por lo que la empresa en este dominio est representada por el nivel de madurez uno, lo que significa que la empresa ha mostrado inters en una metodologa y documentacin establecida para definir su marco de servicio, tratando de establecer procesos algo regulares para capacitar al personal, dar soporte y servicio a las TI, entre otras tareas.

4. DOMINIO Monitorear y Evaluar El dominio est conformado por 4 procesos en total que conforman el 100% de los cuales: 2 en el nivel de madurez cero. 2en el nivel de madurez 1 Por lo que la empresa en este dominio est representada por el nivel de madurez uno y cero, lo que significa que la empresa ha mostrado inters en una metodologa y documentacin establecida para definir monitoreo pero funciona de una manera totalmente desorganizada y sin un rumbo muy definido.

Nivel de madurez de la empresa. Por las conclusiones y recomendaciones dadas en cada uno de los dominios dela metodologa COBIT podemos decir que la empresa DIFARMA SA est actualmente en un nivel de madurez inicial. Y el nivel de madurez recomendado para la empresa es de tres, es decir repetible e intuitivo. Esto porque se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

Leyenda de los smbolos.

1. INFORMACION BASICA DE LA EMPRESA Nombre de la empresa: DIFARMA SA. Gerente: Edgar Porras Mendez Direccin: Km 13 carreterra vieja len. Ciudad Sandino, Managua Sitio web: no cuenta con uno actualmente, por lo que esta en proceso de construccin.

2. DESCRIPCIN HISTORICA DIFARMA.SA importa y Comercializa Productos mdicos en el mbito nacional. Son distribuidores nacionales. DIFARMA.SA solamente distribuye sus productos a instituciones privadas tales como: La Polica Nacional, Ejrcito de Nicaragua, MINSA y Hospitales Privados. Dentro de sus proyectos a futuro pretenden ampliar su mercado de clientes, como lo son farmacias y clnicas. Esta empresa tiene una fecha de inicio operaciones el mes de abril del ao 2009, fue constituida para importar y comercializar productos mdicos en el mbito nacional. El sistema de cmputo, inicio en julio del ao pasado. El sistema se le compro a la empresa Informtica de Nicaragua. Esto con el propsito de automatizar y agilizar sus operaciones y brindar un mejor servicio a los clientes. El Sistema est compuesto por dos mdulos, uno de contabilidad y uno de Ventas. 3. ACTIVIDAD PRINCIPAL Es una empresa distribuidora de productos para mediana y grandes empresas tanto pblicas como privadas. 4. PLAN ESTRATGICO Actualmente no cuenta con un plan estratgico documentado 5. VISION Ser la mejor Distribuidora de Productos mdicos del pas con presencia en toda la regin centroamericana y del Caribe. 6. MISION

Distribuir productos mdicos de calidad, a precios competitivos, contribuyendo a preservar y mejorar la salud de la poblacin.

7. ORGANIGRAMA

Gerente General Asistente de Gerencia Gerencia Administrativa y Financiera Contabilidad Informatica Bodega Caja y Recepcion. Vigilanci a Afanador a

Regente

Departamento de Comercializacion Venta

Adquisiciones

2. CARACTERIZACION DEL SISTEMA 2.1 TOPOLOGIA DE LA RED

2.2 USO HARDAWARE Y SOFTWARE

INVENTARIO DE HARDWARE Para el soporte de la plataforma de desarrollo se requiere la adquisicin de un nuevo equipo exclusivo para el servidor ya que este requerir suficiente espacio en memoria debido a todo el almacenamiento de la informacin que contendr el sistema. Adems se deben adquirir otras computadoras personales para cada usuario que interacte con el sistema, es decir una por cada vendedor, una para el cajero y para el encargado de bodega. Es decir que se es necesaria la adquisicin de 7 equipos nuevos. Descripciones del Equipo contenedor del Servidor. 1 Procesador Intel Dual Core Duo(Dual core), 3.6 Ghz. 2 Cache L2 Cache 1 MB. Memoria 4 GB RAM, SDRAM-DDR2 4 Velocidad del Bus 533 Mhz o Superior 5 Memory Slots: 4 slots mnimo

Capacidad Almacenamiento HD: Unidad ptica Grficos/Video Network Adapter Slots para tarjetas. Audio Puertos:

Monitor Teclado Ratn CD/Restauracin Quemador de CD-DVD Router

300 GB, Interfas ID, SATA, rotacin del disco 7200 rpm DVD+-RW,/CD+-RW, Velocidad de ejecucin en DVD. PCI Express Integrated 10/100 Ethernet LAN 2 PCI Sonido Tridimensional directo Puerto Paralelo (Impresora) Serial RGB (Monitor) 4 USB puertos traseros y 2 Frontales (Versin 2.0) PS/2 Teclado y Mouse RJ-45 LAN Puerto Audio Entrada (1 Frontal y 1 Atrs) LCD 19 visible, con base de altura Ajustable Desempeo Avanzado USB, Espaol Ratn ptico de 2 botones y Scroll, conector USB Cd de restauracin y Drivers del equipo. ROUTER ADSL2/2+

Debido a que Gerencia y Contabilidad sern los administradores del sistema las especificaciones y actualizaciones de sus computadoras personales deben de ser mayores que las dems computadoras ya que tienen acceso a todos los mdulos. No ser necesario que se adquiera un nuevo equipo para Gerencia y Contabilidad, solo se le instalaran las actualizaciones requeridas tanto de Hardware como de Software para un mayor rendimiento. A continuacin detallaremos las especificaciones de los equipos de Gerencia Y contabilidad.

Descripciones del Equipo. Unidades Tarjeta Madre INTEL D845WNL Socket mPGA478 Tarjeta de Sonido 32 BITS Estereo Integrada. AMD Athlon(TM) II 250u dual-core 2 Duo processor [2.1GHz, 2MB L2, up to Procesador 3600MT/s bus] Memoria RAM Unidad de Disco Duro Unidad de Discos Compactos Adaptador de Vdeo 3 GB DDR2, expandible a 4 GB 250 GB SATA DVD-CD RW 128 Mb AGP/PCI EXPRESS 16X EXP. 256Mb

Tarjeta de Red

10/100 Mbps PCI Ethernet 802.3 Auteseg RJ45

Descripcin del Equipo para los vendedores, cajero y el encargado de bodega. Unidades Tarjeta Madre INTEL D845WNL Socket mPGA478 Tarjeta de Sonido 32 BITS Estreo Integrada. Procesador Intel Pentium 4 de 2 GHz Memoria RAM 1 GB DDR 2. Unidad de Disco 150 GB 7200 rpm SATA Duro Unidad de Discos DVD-CD RW Compactos Puerto de 6 puertos USB, 1 Puerto paralelo Comunicacin 3 Puertos PCI, 1 Puerto AGP 6 Teclado Standard PS 2 Mouse Tarjeta de Red Monitor Estabilizador batera de Net Scroll ptico 10/100 Mbps PCI Ethernet 802.3 Auteseg RJ45 LCD 15 PULGADAS 1000 w Quemador de CD-DVD Interno 22X LG GH22NS50 SATA

Quemador de CD

Tambin se necesita mobiliario para la computadora el cual constara de las siguientes caractersticas: Unidades Especificaciones Ubicacin 1 Mostrador recto Vendedores 80*87*110, 120*87*110, 160*87*110, 200*87*110 1 Mostrador curvo exterior Cajero 185-164*950*110 1 Mesa estndar. Bodega

(1)

(2)

(1).Alternativa de mueble para el cajero. (2). Alternativa de mueble para los vendedores. Segn las observaciones hechas durante las visitas que le hemos realizado al local, determinamos que el negocio cuenta con el espacio requerido para las instalaciones de los muebles para las computadoras que hemos propuesto con anterioridad. Adicionalmente disponen de dos Impresoras para cualquier impresin de reportes y/o fax. Las impresoras son: 2 HP Color LaserJet 8550-PS (Compartida para todos los usuarios de la red local). Matricial EPSON LQ 570-e (Compartida el Contador y el auxiliar).

2.2 INVENATRIO DEL SOFTWARE

El software necesario para el desarrollo del Sistema consta de las siguientes especificaciones: Cantidad Ubicacin Descripcin WINDOWS SERVER 2005 ESTNDAR EDITION Genuine WINDOWS 7 Home Premium 64 bits. SQL SERVER 2005 VISUAL BASIC STUDIO 2008 MICROSOFT OFFICE ENTERPRISE 2007 KASPERSKY 2010 WINRAR 8.0 Roxio 10.2 Acrobat Reader 9.0 Integrated 10/100 Ethernet LAN Genuine WINDOWS 7 Home Premium 64 bits. MICROSOFT OFFICE ENTERPRISE 2007 KASPERSKY 2010 WINRAR 8.0 Roxio 10.2 TuneUp Utilities 2010 Acrobat Reader 9.0 Integrated 10/100 Ethernet LAN

Servidor

Usuarios

PRINMCIPIO BASICO DE COBIT

MARCO DE TRABAJO DE COBIT

GRAFICO DE MADUREZ Cada vez con ms frecuencia, se les pide a los directivos de empresas corporativas y pblicas que consideren qu tan bien se est administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administracin y control sobre la infraestructura de informacin. El modelo de madurez para la administracin y el control de los procesos de TI se basa en un mtodo de evaluacin de la organizacin, de tal forma que se pueda evaluar a s misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute defini para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable debido a que en general, el fin es identificar dnde se encuentran los problemas y cmo fijar prioridades para las mejoras. El propsito no es avaluar el nivel de adherencia a los objetivos de control.

Esto se debe a que cuando se emplea la evaluacin de la madurez con los modelos de COBIT, a menudo algunas implementaciones estarn en diferentes niveles aunque no est completa o suficiente. Estas fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del proceso pueden estar bien definidas, y, an cuando est incompleto, sera errneo decir que no est definido del todo. Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podr identificar: El desempeo real de la empresaDnde se encuentra la empresa hoy El estatus actual de la industriaLa comparacin El objetivo de mejora de la empresaDnde desea estar la empresa El crecimiento requerido entre como es y como ser

MODELO GENRICO DE MADUREZ 0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. 2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.

Diseo Plan de contingencia y prevencin ante fallos.

1. Anlisis de riesgo. Los riesgos a los que se estn sujetos son los siguientes: Variacin del voltaje. Cortes total o parcial de la energa. Desperfectos de hardware. Desperfectos de software. Ingreso de personal no autorizado a zonas restringidas. Manejo inexperto de sistema. Modificaciones incorrectas de sistema.

1.1. Bienes susceptibles a daos. Servidores, principal, de respaldo, proxy, ASA, ISA, WEB. Sistema de respaldo, storage. Aparatos de red routers, switch, transceiver y cableado. Estaciones de trabajo. UPS y estabilizadores. Bases de datos. Sistemas operativos. Utilitarios en general. Documentacin de usuarios. Configuracin de sistema.

1.2. Daos. Los posibles daos pueden referirse a: a) b) c) d) Perdida de datos por falta de conexin de red. Perdida de datos por virus y malwares. Dao intencional o accidental a bases de datos. Dao total o parcial a sistemas operativos de estaciones de trabajos y servidores a causa de virus, malwares y mal manejo de los mismos. e) Las variaciones de voltaje puede ocasionar dao fsico a los diferentes dispositivos que posee el sistema. f) Modificaciones inadecuadas de las bases de datos. g) Manejo del sistema por personal inexperto.

1.3. Prioridades. 1. La principal prioridad radica en garantizar la correcta transmisin de datos en el sistema.

2. 3. 4. 5. 6.

Garantizar el ptimo funcionamiento del servidor de base de datos. Mantener en todo momento los sistemas de seguridad instalados. Restablecimiento de conexin de red. Restablecimiento de cada de los servidores. Restablecimiento de estaciones de trabajo.

1.4. Fuentes de dao. Acceso no autorizado. Cortes de energa. Ruptura de claves de acceso. Desastres naturales. Fallas de personal clave. Fallas de hardware.

2. Medidas Preventivas. 2.1. Control de Accesos. Se restringe el acceso a personal a la sala de servidores. Todo ingreso a la sala de servidores debe ser justificado y registrado. El acceso al sistema depende de una contrasea ligada al tipo de usuario y a los correspondientes permisos. Solo los tcnicos de soporte tienen permitida la instalacin de utilitarios en las estaciones de trabajo. Toda transaccin o gestin realizada por los usuarios es registrada por el sistema.

2.2. Respaldos. 2.2.1. Respaldo de datos Vitales. Bases de datos. Imagen de sistema (clonado). Respaldo de utilitarios. Respaldo de licencias. Respaldo de configuracin de sistema. Respaldo de configuracin de red.

3. Previsin de desastres Naturales. La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin Central, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal.

Adems, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, CDs DVDs, discos con informacin vital de respaldo de aquellos que se encuentren aun en las instalaciones de la empresa. Adecuado Soporte de Utilitarios Las fallas de los equipos de procesamiento de informacin pueden minimizarse mediante el uso de otros equipos, a los cuales tambin se les debe controlar peridicamente su buen funcionamiento, nos referimos a: a) UPS de respaldo de actual servidor principal y de respaldo o de estaciones crticas. b) UPS de respaldo switches, routers, transaver e ISP. Seguridad de la Informacin La informacin y programas de los Sistemas de Informacin que se encuentran en el Servidor, o de otras estaciones de trabajo crticas deben protegerse mediante claves de acceso y a travs de un plan de respaldo adecuado. 4. Plan de Respaldo. 4.1. Objetivos. 1) Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. 2) Planificar la reactivacin dentro de los todo el sistema de procesamiento y sus funciones asociadas. 3) Permanente mantenimiento y supervisin de los sistemas y aplicaciones. 4) Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre. 4.2.Alcance del Plan de Recuperacin El objetivo es restablecer en el menor tiempo posible el nivel de operacin normal del centro de procesamiento de la informacin, basndose en los planes de emergencia y de respaldo a los niveles del Centro de Cmputos y de los dems niveles. La responsabilidad sobre el Plan de Recuperacin es de la Administracin, la cual debe considerar la combinacin de todo su personal, equipos, datos, sistemas, comunicaciones y suministros.

4.3. Polticas del plan de recuperacin. Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estn fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias peridicas de respaldos de base de datos.

4.4. Procedimientos para reactivacin de sistema segn los riesgos. 4.4.1. En caso de riesgo elctrico. Se cuenta con UPS de 6KVA / 4200 watt para los servidores para cortes momentneos. Estabilizadores de 2400VA / 2400 watt para servidores con el fin de prevenir variaciones de voltaje. UPS de 750VA / 450 watt para estaciones de trabajo. Estabilizadores de 1200VA / 600 watt para estaciones de trabajo. Adems el sistema deber contar con una planta elctrica para cortes prolongados que deber tener las siguientes especificaciones.

4.4.2. En caso de daos de Hardware. Se realiz estandarizacin de las estaciones de trabajo para garantizar la reposicin inmediata de los dispositivos daados. Se debe contar con un stop de dispositivos para reponer de manera inmediata ante cualquier dao de hardware. Debe de seguirse el manual de procedimientos para la instalacin de cualquier dispositivo. 4.4.3. En caso de daos de Software. La base de datos del antivirus debe de mantenerse al da tanto para los servidores como para las estaciones de trabajo. Se debe de contar con la imagen del sistema operativo de las estaciones de trabajo ya sea para instalacin o cambio de disco duro. En el caso del servidor el sistema permite operar el sistema desde el disco espejo con el que cuenta el servidor principal.

Anlisis de plan de contingencia y prevencin ante fallos.

1. Anlisis de Riesgos. Para realizar un anlisis de los riegos, se deber de identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la empresa, y su importancia dentro del sistema de informacin. Posteriormente se procede a analizar los pasos necesarios para minimizar o anular la ocurrencia de eventos que posibiliten los daos, y en ltimo trmino, en caso de ocurrencia de estos, se procede a fijar el plan de emergencia para su recomposicin o minimizacin de las prdidas y/o los tiempos de reemplazo o mejora. 1.1. Bienes susceptibles de un dao. Se puede identificar los siguientes elementos expuestos a riesgos: a) b) c) d) e) f) Hardware. Software y utilitarios. Datos e informacin. Documentacin. Suministro de energa elctrica. Suministro de telecomunicaciones (redes informticas).

1.2. Daos. Los posibles daos pueden referirse a: a) Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. b) Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. c) Divulgacin de informacin a instancias fuera de la empresa y que afecte su patrimonio estratgico Comercial y/o Institucional, sea mediante Robo o Infidencia. 1.3. Prioridades. En base a la estimacin de los daos en los bienes y su impacto, se fijara la prioridad en relacin a la cantidad del tiempo y los recursos necesarios para la reposicin de los Servicios que se pierden en el acontecimiento. Por lo tanto, los bienes de ms alta prioridad sern los primeros a considerarse en el procedimiento de recuperacin ante un evento de desastre. 1.4. Fuentes de dao.

Las posibles fuentes de dao que pueden causar la no operacin normal de la empresa asociadas al sistema de informacin pueden ser: Acceso no autorizado. Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a las instalaciones). Ruptura de las claves de acceso a los sistemas computacionales. a) Instalacin de software de comportamiento errtico y/o daino para la operacin de los sistemas computacionales en uso (Virus, sabotaje). b) Intromisin no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intenciones. Desastres Naturales a) Movimientos telricos que afecten directa o indirectamente a las instalaciones fsicas de soporte (edificios) y/o de operacin (equipos computacionales). b) Inundaciones causadas por falla en los suministros de agua o por lluvias intensas. c) Fallas en los equipos de soporte: o Por fallas causadas por la agresividad del ambiente o Por fallas de la red de energa elctrica pblica por diferentes razones ajenas al manejo por parte de la Compaa. o Por fallas de los equipos de acondicionamiento atmosfricos (equipos de aire acondicionado) necesarios para una adecuada operacin de los equipos computacionales ms sensibles. o Por fallas de la comunicacin. o Por fallas en el tendido fsico de la red local. o Fallas en las telecomunicaciones con instalaciones externas. Fallas de Personal Clave Se considera personal clave aquel que cumple una funcin vital en el flujo de procesamiento de datos u operacin de los Sistemas de Informacin: a) Personal de Informtica. b) Gerencia, supervisores de Red. c) Administracin de Ventas. d) Personal de Administracin de Bodegas-Despachos. Pudiendo existir los siguientes inconvenientes: a) Enfermedad. b) Accidentes. c) Renuncias. d) Abandono de sus puestos de trabajo. Fallas de Hardware a) Falla en el Servidor principal y/o de respaldo, servidores ISA, ASA, WEB y PROXY, tanto en sus discos duros, memorias RAM, tarjetas de red, como en el procesador. b) Fallas de hardware en las estaciones de trabajo. c) Falla en el hardware de Red: - Falla en los Switches.

Falla en los Routers. Falla en los transarve. Falla en el ISP Falla en el cableado de la Red. Falla en el FireWall.

2. Medidas Preventivas. 2.1.Control de Accesos. Se debe definir medidas efectivas para controlar los diferentes accesos a los activos computacionales: a) Acceso fsico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor. c) Acceso restringido a las libreras, programas, y datos. 2.2. Respaldos. El Plan de Respaldo trata de cmo se llevan a cabo las acciones crticas entre la prdida de un servicio o recurso, y su recuperacin o restablecimiento. Todos los nuevos diseos de Sistemas, Proyectos o ambientes, tendrn sus propios Planes de Respaldo. Respaldo de datos Vitales. Identificar las reas para realizar respaldos: a) Sistemas en Red. b) Sistemas no conectados a Red. c) Sitio WEB. 3. Previsin de desastres Naturales. La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin Central, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal. Adems, bajo el punto de vista de respaldo, el tener en claro los lugares de resguardo, vas de escape y de la ubicacin de los archivos, diskettes, discos con informacin vital de respaldo de aquellos que se encuentren aun en las instalaciones de la empresa Adecuado Soporte de Utilitarios Las fallas de los equipos de procesamiento de informacin pueden minimizarse mediante el uso de otros equipos, a los cuales tambin se les debe controlar peridicamente su buen funcionamiento, nos referimos a: a) UPS de respaldo de actual servidor principal y de respaldo o de estaciones crticas. b) UPS de respaldo switches, routers, transaver e ISP. Seguridad de la Informacin La informacin y programas de los Sistemas de Informacin que se encuentran en el Servidor, o de otras estaciones de trabajo crticas deben protegerse mediante claves de acceso y a travs de un plan de respaldo adecuado. 4. Plan de Recuperacin.

Se definen los siguientes objetivos del plan de Recuperacin: 1) Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. 2) Planificar la reactivacin dentro de los todo el sistema de procesamiento y sus funciones asociadas. 3) Permanente mantenimiento y supervisin de los sistemas y aplicaciones. 4) Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre. Alcance del Plan de Recuperacin El objetivo es restablecer en el menor tiempo posible el nivel de operacin normal del centro de procesamiento de la informacin, basndose en los planes de emergencia y de respaldo a los niveles del Centro de Cmputos y de los dems niveles. La responsabilidad sobre el Plan de Recuperacin es de la Administracin, la cual debe considerar la combinacin de todo su personal, equipos, datos, sistemas, comunicaciones y suministros. Activacin del Plan Decisin: Queda a juicio del Gerente de Administracin y Finanzas determinar la activacin del Plan de Desastres, y adems indicar el lugar alternativo de ejecucin del Respaldo y/o operacin de emergencia, basndose en las recomendaciones indicadas por ste. Duracin estimada: Los supervisores de cada rea determinarn la duracin estimada de la interrupcin del servicio, siendo un factor clave que podr sugerir continuar el procesamiento en el lugar afectado o proceder al traslado del procesamiento a un lugar alternativo.

Plan de respaldo del sistema de informacin.

I. Determinar los archivos a respaldar II. Programar el desarrollo del plan de respaldos III. Eleccin los recursos necesarios para proceder IV. Eleccin del mtodo de respaldo Seleccin del personal autorizado a efectuarlos Acondicionar los lugares destinados a albergar los respaldos V. Preparar un Programa de recuperacin

I.

Determinar los archivos a respaldar.

Copia de respaldo de sistema operativo. Sistema base de equipo central o servidores. Sistema base de usuarios. Arreglos temporales parches actualizaciones. Copia de respaldo de configuracin. De Hardware de servidores. De controladores de servidores. De comunicacin de servidores. De estructura de interna de redes. De Hardware de usuarios. De controladores de usuarios. Copia de respaldo de seguridad. De niveles de seguridad. De perfiles de grupo y usuarios. De recursos de usuarios. De recursos del sistema. Copia de respaldo de aplicaciones. Respaldo de archivos maestros. Respaldo de modificaciones de archivos maestros. Copia de programas enlatados o a medida. Copia de estandarizacin de sistema de oficina.

Copia de respaldo de archivos de datos. Da las aplicaciones por prioridad. De objetos del sistema. De objetos de los usuarios. De personalizacin de sistemas de usuarios. De archivos de datos de usuarios.

II.

Programar el desarrollo del plan de respaldos.

Con base a lo resuelto en el punto anterior, resulta que la COPIA DE RESPALDO DE ARCHIVOS DE DATOS, corresponde a las reas que se modificaran con mayor frecuencia. Con lo que la periodicidad de la realizacin de las copias se invierte respecto del orden considerado. La Programacin debe establecer con qu frecuencia se respaldaran cada conjunto de archivos, que mtodo de actualizacin se usara en cada caso y el nmero de copias simultneos que se har de cada conjunto; lo que dimensionara aproximadamente las necesidades en cuando a espacio de almacenamiento necesario. III. Eleccin los recursos necesarios para proceder.

Dispositivos e Insumos Tipos Bsicos De Almacenamiento Masivo Las tecnologas de almacenamiento masivo se pueden clasificar de distintas maneras. El sistema de almacenamiento subyacente (magntico, ptico o magneto_ptico), el tipo de unidad (fija o removible), el material del medio (cinta, disco rgido, disco flexible) y la interfaz de hardware (ATA, ATAPI, SCSI, USB, Fireware / IEEE 1394, Canal de Fibra) en forma conjunta definen las caractersticas de cada tecnologa. Los sistemas de almacenamiento tambin se distinguen en almacenamiento de conexin directa o almacenamiento conectado a la red. El almacenamiento de conexin directa incluye unidades de escritorio estndar que se instalan dentro de un gabinete de computadora o se cablean directamente al mismo. El almacenamiento conectado a la red por lo general abarca almacenamiento accesible a mltiples computadoras y que puede estar conectado a un servidor y se puede acceder a l por medio de protocolos de sistema de archivos especiales (por ejemplo: Sistema de Archivo de Red o Sistema de Archivo Comn de Internet) o puede ser parte de un sistema de almacenamiento que funciona en forma independiente de cualquier servidor en particular (por ejemplo, una Red SAN - Red de rea de Almacenamiento). Tecnologas: ptica Su primera aplicacin comercial masiva fue el superxitos CD de msica, que data de comienzos de la dcada de 1.980. Los fundamentos tcnicos que se utilizan son relativamente sencillos de entender: un haz lser va leyendo (o escribiendo) microscpicos agujeros en la superficie de un disco de material plstico, recubiertos a su vez por una capa transparente para su proteccin del polvo. Realmente, el mtodo es muy similar al usado en los antiguos discos de vinilo, excepto porque la informacin est guardada en formato digital (unos y ceros como valles y cumbres en la superficie del CD) en vez de analgico y por usar un lser como lector. El sistema no ha experimentado variaciones importantes hasta la aparicin del DVD, que tan slo ha cambiado la longitud de onda del lser, reducido el tamao de los agujeros y apretado los surcos para que quepa ms informacin en el mismo espacio. La principal caracterstica de los dispositivos pticos es su fiabilidad. No les afectan los campos magnticos, apenas les afectan la humedad ni el calor y pueden aguantar golpes importantes (siempre que su superficie est protegida). Sus problemas radican en una

velocidad no tan elevada como la de algunos dispositivos magnticos y en que precisan un cierto cuidado frente al polvo y en general cualquier imperfeccin en su superficie, por lo que es muy recomendable que dispongan de funda protectora. Los procedimientos de respaldo de informacin deben basarse en algn soporte fsico adecuado al tamao de los archivos a respaldar y a la velocidad necesaria para ejecutar los mismos sin ralentizar demasiado el sistema informtico, ni prolongando innecesariamente tales tareas. Si bien la cinta magntica ha sido tradicionalmente el medio ms idneo, debido a su bajo costo y su alta capacidad de almacenamiento, su lmite es la velocidad, al ser un medio de acceso secuencial. IV. Eleccin del mtodo de respaldo.

Registracin doble.

V.

Preparar un Programa de recuperacin.

1) Frente a la perdida de hardware, las alternativas existentes (Equipo duplicado, y/o equipos similares que puedan usarse (por alquiler de los mismos o de tiempo de procesamiento);

2) Prioridades para la restauracin de archivos, de acuerdo a las prdidas producidas, acceso a los soportes a utilizar; 3) Mtodos de comunicacin y de convocatoria del personal necesario y/o autorizado para ejecutar la restauracin. Una buena prctica, consiste en la realizacin de simulacros de restauracin, lo que permitira evidenciar la eficacia o no de todo el Plan de Respaldo y Recuperacin. Esto proporcionara, adems, tiempos, de actuacin y recuperacin, as como pautas para corregir desviaciones o fallas.