John Enmanuel Tobar Litardo *
Manuel Mesias León Borja **
Galo Wilfrido Tobar Farias ***
Universidad Tecnológica Empresarial de Guayaquil, Ecuador
jetobar1@hotmail.comResumen
El presente estudio esta focalizado en analizar los riesgos de TI que inciden en la operatividad del Sistema Académico del Instituto Tecnológico Superior Juan Bautista Aguirre en el desarrollo organizacional, éste análisis tiene como base la evaluación segun la normativa COBIT, en la cual se determino la funcionalidad entre los objetivos estrategicos del proyecto ya implementado del sistema de gestión académico con los objetivos corporativos, objetivos de TI y los riesgos de TI. En consecuencia los resultados obtenidos valoraran en forma porcentual el nivel de riesgo potencial.
Palabras clave: Innovación, Desarrollo Organizacional, COBIT, Sistema de Gestión Académica, Tecnologías de la Información, Riesgos de TI.
Abstract
The present paper is focused on analyzing the IT risks that affect the operation of the Academic System of the Higher Technological Institute Juan Bautista Aguirre in the organizational development, this analysis is based on the evaluation according to the COBIT norm, in which it was determined the functionality between the strategic objectives of the project already implemented of the academic management system with corporate objectives, IT objectives and IT risks. Consequently, the results obtained will assess in percentage form the level of potential risk.
Keywords: Innovation, Organizational Development, COBIT, Academic Management System, Information Technologies, IT Risks.
Para citar este artículo puede utilizar el siguiente formato:
John Enmanuel Tobar Litardo, Manuel Mesias León Borja y Galo Wilfrido Tobar Farias (2018): “Evaluación Cobit para el análisis de riesgos en el departamento de tecnologías de la información y comunicación del Instituto Tecnológico Superior Juan Bautista Aguirre”, Revista Contribuciones a las Ciencias Sociales, (enero-marzo 2018). En línea:
http://www.eumed.net/rev/cccss/2018/01/evaluacion-cobit-riesgos.html
http://hdl.handle.net/20.500.11763/cccss1801evaluacion-cobit-riesgos
En la actualidad la competitividad se desarrolla en entorno al uso y aplicación de las tecnologías en función del cumplimiento del desempeño y alcance de los procesos y objetivos estratégicos en el modelo de gestión implementado en las organizaciones, según Marulanda, López y Cuesta (2009) la gestión de tecnología es lo que ofrece una ventaja competitiva o un factor diferencial con especial énfasis en los procesos y gestiones a los riesgos derivados del uso de Tecnología de la Información. Por lo tanto quienes están a cargo de administrar las organizaciones, deben ser formados no sólo en el ámbito tecnológico y metodológico de las tecnologías de información, sino además en lo referente a la gerencia de las Tecnologías de la Información (TI).
Según Bonillo (2004) en el contexto de los riesgos identificados en las TI y en todo el proceso en el que está involucrado el software, antes de ser aplicado por los usuarios, determina los factores más influyentes y que se encuentran integrados, tales como: Las entidades, los atributos y las relaciones que afectan principalmente a la organización. Sin embargo, en las Instituciones de Educación Superior (IES), Fernández y Llorens (2017) describen que el principal motivo por el que se decide implantar un sistema de gobierno TI es la estrecha relación y armonía entre los objetivos de las TI con los objetivos estratégicos de la IES. Sin embargo, la implementación del gobierno de las TI presenta una reducción considerable de costes y al incremento de la eficiencia no son las primeras razones que se fundamentan la implantación.
Según Velázquez, Puentes y Pérez (2015) el mayor problema se enfoca en el poco conocimiento de las herramientas que presentan las TI, existe una probabilidad de error considerable. Aunque, la mayoría de IES cuentan con procesos estandarizados, documentados, bien difundidos a través de entrenamiento formal, el problema radica en el criterio para la adopción al formato digital por medio de plataformas virtuales. En consecuencia la funcionalidad y la efectividad en cuanto las relaciones humanas deben estar enfocado en la participación común de todos los miembros quienes conforman la organización o tienen un objetivo común.
Objetivo General
Analizar el riesgo de la información por medio de la evaluación COBIT para el departamento de Tecnologías de la Información del Instituto Tecnológico Superior Juan Bautista Aguirre.
Objetivos Específicos
En concordancia con los objetivos estratégicos del departamento de TI, la información debe cumplir con ciertos criterios de control, a los cuales COBIT se refiere como requerimientos del negocio para la información. Relacionados como criterios amplios de calidad, fiduciario y seguridad, se definen siete criterios (ver figura 1) distintos de información (ISACA, 2012).
Por lo tanto, la aplicación de la normativa COBIT como modelo de Gobierno aporta de forma correcta la intensificación de los controles sobre los procesos que se basan en desarrollo de la Gestión de Servicio, Cambios, Adquisición y mantenimiento del Sistema, COBIT tiene una función de eliminar o mitigar los riesgos dependiendo de su impacto dentro del Gobierno de TI (Poggio, 2013). Sin embargo ante estas acciones de deben de analizar las necesidades de las partes interesadas en función de los principios de COBIT 5.
Según Pérez y García (2014) Los procesos de TI establecidos por COBIT, están alineados al modelo de gestión de planeación estratégica como el Cuadro de Mando integral (CMI), para que sea factible el desarrollo del mismo. Sin embargo, en el caso de Instituciones de Educación Superior (IES), es recomendable que estas cuenten con un modelo de gestión capaz de alinear las perspectivas estratégicas del CMI a las pertinencias del sistema de educación superior. Para desarrollar la adaptación de dicho modelo, Apaza (2010) presenta una propuesta en la que las perspectivas estratégicas del CMI se modifican a las nuevas perspectivas estratégicas para IES, estableciendo un nuevo modelo como el Cuadro de Mando Institucional. Este análisis comparativo fundamenta desde las perspectivas generales de la educación superior la posibilidad de realizar un análisis COBIT que identifique y mida el nivel de riesgo en una IES, a continuación se presenta la adaptación del modelo.
En consecuencia al establecer el modelo determinado para la IES, es imperativo contar con indicadores que midan el desempeño de los objetivos establecidos en el plan estratégico y en el caso de Ecuador quien decide los indicadores para IES públicos en el sentido de la evaluación institucional, el Consejo de Evaluación, Acreditación y Aseguramiento de la Calidad de la Educación Superior (CEAACES) determina en el Informe General de la Evaluación de los Institutos Superiores Técnicos y Tecnológicos presentado en el 2016 los cincuenta indicadores aplicados, para este estudio los indicadores que se enfocan en los procesos del departamento de TI son los siguientes:
En concordancia con los indicadores determinados por CEAACES y el nivel de importancia en la seguridad de la información Solarte, Enríquez y Benavides (2015) detalla las vulnerabilidades de las TI y que se presentan en las IES:
Sin embargo, desde el entorno de los docentes existen una gama de problemáticas, según Valverde y Garrido (1999) la falta de medios y recursos técnicos; el excesivo número de alumnos y la necesidad de adecuarse a las necesidades individuales; la escasez de materiales específicos de calidad; la reorganización de la dedicación temporal; los necesarios cambios institucionales y de gestión o el desconocimiento de los usos didácticos de las tic, entre otros. También se han aumentado los ataques a los sistemas informáticos, lo que ha llevado a las empresas a buscar estrategias que les permitan ejecutar análisis que prevengan, controlen y reduzcan los riesgos asociados a la violación o vulnerabilidad de la información tales como la capacitación continua del personal ante las diferentes actualizaciones del sistema, de esta forma se desarrolla un compromiso en la organización ante dificultades tecnológicas (Abril, Pulido, & Bohada, 2013).
Según García (2011) las IES evolucionan en entornos digitales por tendencia social, imperativa legal y necesidad de evolucionar para no extinguirse. Pese a todos los problemas, las IES que implementan la gobernabilidad de TI es una tendencia que se desarrollará plenamente de aquí a 2020. La gestión electrónica y todo lo que se deriva y se relaciona con ella no puede retrasarse al contrario cada vez se enriquecerá con más servicios pese a los numerosos problemas que irán surgiendo, especialmente de interoperabilidad entre sistemas. En consecuencia, los usuarios deben considerar la necesidad de buscar alternativas en conjunto alineado al desarrollo organizacional.
Por lo tanto según Díaz, Pérez y Proenza (2014) ante los diferentes factores y riesgos TI que inciden en el desarrollo organizacional es imperativo desarrollar un plan de capacitación que garantice la adecuada preparación de los usuarios que usarán la herramienta para que aprovechen al máximo las facilidades que brindan las herramientas tecnológicas en función de la innovación y desarrollo de la IES.
En la actualidad todas las organizaciones se desarrollan en la era de la información, por lo tanto la evolución tecnológica ha crecido en los últimos años de forma exponencial, sin embargo, las Instituciones de Educación Superior (IES), como nicho de la innovación no se puede quedar atrás. Este efecto obliga crear una imagen corporativa diferente, con presencia en la web y por medio de plataformas virtuales que dinamicen los procesos académicos y administrativos de forma eficiente y con la capacidad de presentar una información veraz y segura, esta última variable, representa el enfoque o la problemática del presente estudio.
En consecuencia a los factores que implican desarrollar la normativa COBIT en función del modelo de gestión o planeación estratégica, el Instituto Tecnológico Superior Juan Bautista Aguirre (ITSJBA), cuenta con un modelo de gestión de procesos aplicado al modelo del Cuadro de Mando Institucional (Ver figura 4) en la cual desarrollaron perspectivas estratégicas alineadas al modelo de gestión para universidades en el Ecuador propuesto por el Consejo de Educación Superior (CES) y concatenado con los indicadores determinados por el CEAACES, de esta forma se muestra la funcionalidad de la evaluación COBIT al departamento de TI (Tobar, Campí, De Lucas, & Solís, 2017).
El Instituto Tecnológico Superior Juan Bautista Aguirre, está implementado una plataforma virtual en la cual administra información de mucha importancia y confidencial como actas de calificación, matriculación, evaluación docente, mes o currículos, etc., debido al crecimiento de la población estudiantil, ya no fue factible seguir con la misma metodología de guardar la información desarrollada en cada periodo académico.
Por lo tanto con dicha plataforma se analizaron la siguiente problemática:
En la actualidad se lleva la ejecución de todos los procesos con ayuda de herramientas ofimáticas de Microsoft como Word y Excel, con esta última respaldan la información relevante para el Instituto. Además el segundo respaldo lo generan de manera física en cada registro o acta de estudiantes y docentes, almacenándolos en carpetas o también conocidos como folders.
Debido a este problema el usuario tiene que esperar un tiempo considerado hasta que se encuentre el documento que ha sido solicitado, este tiempo varia de unos minutos a tener que regresar otro día; dando así una insatisfacción al usuario y creando un ambiente laboral muy tenso debido al manejo de gran cantidad de hojas y la necesidad de tener información de manera efectiva. También al tener los datos almacenados en papel corren el riesgo que con el tiempo este material se deteriore y se pierda la información del estudiante o docente.
La justificación de este proyecto se basa exclusivamente en la necesidad que tienen los administradores, docentes y estudiantes del Instituto Tecnológico Superior Juan Bautista Aguirre, en optimizar el tiempo de respuesta en el ingreso y entrega de documentos, con el fin de mantener la información más accesible, organizada y protegida para la toma de decisiones con mayor rapidez y de forma acertada para los diferentes departamentos que lo conforman.
Uno de los beneficios que tendría éste proyecto es la optimización de recursos y tiempo de respuesta en la entrega de documentos, puesto que al aplicar este software; se dejaría de tener que comprar carpetas o también conocidos como folders donde se encuentran almacenados los documentos de los estudiantes o docentes, además, se reduciría las horas administrativas por parte de los docentes dando como resultado la optimización de tiempo para poderlo aplicar en diferentes áreas como vinculación, pasantías o investigación que conllevaría a una mejora continua al desarrollo organizacional de la institución.
El soporte digital es muy potente, pero es preciso organizar opciones amigables para facilitar la búsqueda de información y el acceso a los servicios que puede llegar a ofrecer.
Herramientas Tecnológicas
Para el desarrollo e implementación del Sistema de Gestión Académica, se utilizará los siguientes programas:
Este proyecto se está desarrollado para trabajar de manera online. A continuación se presentan algunos atributos de la plataforma.
Módulos Del Proyecto
El proyecto consta de los siguientes módulos de los cuales se detalla los nombres de las personas responsables de desarrollo, con el avance respectivo del mismo:
Cada uno de los módulos mencionados con anterioridad, se relacionan entre sí de tal manera que la integralidad de los procesos que se ejecutan dentro de la Institución se las puede gestionar por medio de una sola Herramienta Tecnológica.
Las aplicaciones implementadas y las que están por implementarse, se realizará los respectivos mantenimientos por cada uno de las personas responsables de la creación o desarrollo; tomando en cuenta siempre la mejora contínua de cada uno de ellas.
Glosario de términos
COBIT
(Control Objectives Control Objectives for Information and related Technology) es la normativa aceptada internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. Este modelo utiliza para implementar el gobierno de IT y mejorar los controles de IT.
Cuadro de Mando Integral (CMI)
El Cuadro de Mando Integral (CMI) es una herramienta de gestión que mide y evalúa el desempeño de los procesos y objetivos estratégicos alineados a perspectivas estratégicas en la organización y es utiliza por la gerencia general porque ofrece por medio de sistemas de información gerencial evaluar el desempeño de la empresa en tiempo real.
Cuadro de Mando Institucional
En la adaptación del Cuadro de Mando Integral desarrollado por Norton y Kaplan en 1993, este modelo modifica las perspectivas estratégicas en función con la naturaleza de la organización porque la mayoría son instituciones sin fines de lucro o pertenecen al sector social como las Instituciones de Educación Superior.
Riesgos de TI
La evaluación de riesgo identifica situaciones que podrían tener un impacto negativo en los procesos críticos, e intenta cuantificar el impacto y probabilidad de ocurrencia.
Seguridad de la Información
La seguridad de la información es el conjunto de medidas que previenen a las organizaciones y los sistemas tecnológicos resguardando y protegiendo la información de agentes externos e internos que quieran sustraer de forma ilegal la confidencialidad, la disponibilidad e integridad de datos.
Tecnologías de la Información (TI)
Es la terminología que se encuentra enfocado con el almacenamiento, protección, procesamiento y transmisión de la información. E decir enmarca todo lo relacionado con la informática, la electrónica y las telecomunicaciones. Los avances tecnológicos como el Internet, las comunicaciones móviles, los satélites, etc.
3. METODOLOGÍA DE LA INVESTIGACIÓN
La metodología empleada en el estudio fue con un enfoque cualitativo y cuantitativo (mixto), debido la construcción cuantitativa de pesos en los diferentes procesos de análisis de los objetivos específicos de la IES y los que determina COBIT, también del análisis interpretativo de información otorgada por los miembros del departamento de TIC´S en función de la seguridad de la información. El diseño de la investigación fue el no experimental transeccional, por lo que se realizó durante los periodos académicos 2017-2018 y respetando los parámetros establecidos por la normativa internacional COBIT.
Por lo tanto el alcance de la investigación fue descriptivo, por lo que se analizó los factores que influyen en la problemática de los riesgos en la información y que esta debe estar relacionada con el desarrollo organizacional. Sin embargo, para recopilar la información necesaria para el estudio, se lo realizo con la técnica documental y de campo, esto por la razón que cada área departamental incluida TIC´S debe dar los puntos de vista necesarios para determinar los riesgos y la construcción de los mismo y en consecuencia las acciones necesarias para mitigar el riesgo.
El instrumento de recolección de información se lo realizo con la metodología de acción participativa en la cual se realizó un taller en conjunto con los líderes y responsables de cada área para determinar la calificación en cada parámetro que COBIT determina.
Según el instructivo para la implementación COBIT desarrollado por ISACA (2012); determina en la segunda fase en la cual evalúa en qué condiciones se encuentra la organización con respecto a la seguridad de la TI, para la identificación de los riesgos potenciales como se presenta en la siguiente tabla.
En congruencia con el análisis de la implementación de sistema de gestión académico del ITSJBA, se desarrolla un análisis de riesgo, enfocándose desde los objetivos de la empresa con los objetivos corporativo de COBIT, como se presenta a continuación.
El análisis de la tabla 4 permite identificar la relación con los objetivos corporativos de COBIT, identifica una estrecha relación con cinco objetivos corporativos, ya que esto presentó una mayor puntuación. Los objetivos corporativos COBIT determinados por la evaluación están enfocado en primera instancia en desarrollar una cultura de servicio al cliente
Luego pasa a contrastar dichos objetivos identificados con los objetivos que presentan los procesos que desarrolla el departamento de TI según la normativa COBIT (Ver la tabla 5).
En la tabla 5 describe la relación existente entre los objetivos corporativos de COBIT y los objetivos TI, se considera los objetivos corporativos con mayor puntuación como se analizó en la tabla 3. Este análisis se puede identificar a cuatro objetivos de TI con mayor porcentaje de relación, que buscan el desarrollo de convenios institucionales en función de préstamo de laboratorios y herramientas tecnológicas que faciliten la optimización de los recursos con base legal en las políticas internas del ITSJBA.
En la tabla 6, se identificaron los riesgos por medio de mesas de trabajo con los desarrolladores de TI, estos profesionales detectaron los riesgos potenciales y que están alineados con los objetivos estratégicos de la empresa. Sin embargo este análisis permitió determinar los procesos ideales para mitigar dichos riesgos.
Matriz de riesgo
En consecuencia con los resultados obtenidos con la tabla 6 en referencia a los riesgos potenciales en el departamento de TI, el siguiente paso es analizar la problemática y determinar el plan de acción que sea el más idóneo y en el cual se identifique los responsables en la ejecución del mismo (Ver tabla 7).
Como factores determinantes entre la relación de los objetivos del ITSJBA y de los planteados por COBIT, se deduce que existe una relación con los el ambiente de trabajo el cual debe de enfocarse en fomentar la producción tecnológica, la atención al usuario y optimización de recursos y procesos de producción del departamento de TI.
El segundo análisis comparativo planteo como resultados la necesidad de gestionar recursos por medio de la realización de convenios, debido a que el ITSJBA no cuenta con infraestructura propia, de esta forma se pueden generar con normalidad las diferentes actividades académicas y administrativas de forma óptima.
La última fase del estudio está en definir los riesgos potenciales que enfrenta las TI, estos resultados están relacionados principalmente en la comunicación con las autoridades y miembros del departamento de TI para cumplir los diferentes proyectos planteados y con los recursos físicos y de talento humano por medio de la autogestión y la capacitación continua respectivamente y dirigido a miembros de TI y los usuarios.
Abril, A., Pulido, J., & Bohada, J. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA. Revista Ciencia, Innovación y Tecnología (RCIYT) , 29-53.
Apaza, M. (2010). Balanced Scorecard Gerencia estratégica y del Valor. Breña: Pacífico Editores.
Bonillo, P. (2004). Evaluation system model for remote control software. Serbiluz, 123-134.
Consejo de Educación Superior. (2017). ces.gob.ec. Obtenido de file:///C:/Users/user/Downloads/Presentaci%C3%B3n%20de%20PowerPoint.pdf
Díaz, Y., Pérez, Y., & Proenza, D. (2014). Sistema para la Gestión de la Información de Seguridad Informática en la Universidad de Ciencias Médicas de Holguín/ System for the Management of the Information of Informatics Security at the Medical Sciences University of Holguín. Holguín Ciencias, 1-14.
Fernández, A., & LLorens, F. (2017). Gobierno de las TI para Universidades. Repositorio Institucional de la Universidad de Alicante.
García, F. (2011). La Universidad de la próxima década: La Universidad Digital. Salamanca: gredos.
ISACA. (2012). COBIT.
Marulanda, C., López, M., & Cuesta, C. (2009). MODELOS DE DESARROLLO PARA GOBIERNO TI . Universidad Tecnológica de Pereira, 185-190.
Mello, F. A. (2004). DESARROLLO ORGANIZACIONAL ENFOQUE INTEGRAL. BALDERAS 95, MEXICO, DF: EDITORIAL LIMUSA.
Pérez, P., & García, L. (2014). La construcción de un cuadro de mando integral de tecnologías de la información en una empresa. Visión de futuro.
Poggio, J. (2013). IT MANAGEMENT MODEL FOR FINANCIAL REPORT. Journal of Information Systems and Technology Management, 597-620.
Solarte, F., Enriquez, E., & Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica ESPOL, 492-507.
Tobar, J., Campí, I., De Lucas, L., & Solís, M. (2017). Modelo de Gestión por Procesos en base al CMI. Universidad y Sociedad.
Valverde, J., & Garrido, M. (1999). El Impacto de las Tecnologías de la Información y Comunicación en los roles de docentes universitarios. Revista electrónica Interuniversitaria de formación del profesorado, 543-554.
Velásquez, T., Puentes, A., & Pérez, Y. (2015). Un enfoque de buenas prácticas de gobierno corporativo de TI. Revista Tecnura, 159-169.
*Ingeniero Comercial y Empresarial, Magister en Sistemas de Información Gerencial Coordinador Académico de Tecnología en Contabilidad Bancaria Instituto Tecnológico Superior “Juan Bautista Aguirre”, jetobar1@hotmail.com