Observatorio de la Economía Latinoamericana

 


Revista académica de economía
con el Número Internacional Normalizado de
Publicaciones Seriadas  ISSN 1696-8352

 

Economía de Cuba

 

EVALUACIÓN DE LA GESTIÓN DE LAS TI EN LA EMPRESA ELÉCTRICA VILLA CLARA

Miguel Méndez López (CV)
miguelml@uclv.edu.cu



INTRODUCCIÓN

Las tecnologías de la información (TI) constituyen un elemento crítico para el éxito de muchas organizaciones. En ocasiones su existencia determina totalmente la ejecución de los procesos de negocio de una empresa, en otras pueden convertirse en un elemento diferenciador para los resultados obtenidos, aumentando la calidad y efectividad del bien o servicio brindado; o por otro lado, pueden verse como un elemento para facilitar la realización de algunas actividades de apoyo. En cualquier caso es indudable el valor que en la actualidad revisten para las empresas. Es por esto que se hace necesario evaluar y mejorar la gestión de estos recursos, para que así contribuyan de manera efectiva a elevar el nivel de competitividad de las organizaciones.

En este artículo se realiza una evaluación de la gestión de TI a la Empresa Eléctrica de Villa Clara, Cuba; aplicando un procedimiento que considera la alineación de estos recursos a los objetivos de negocio, la administración de los riesgos y beneficios asociados, integrando herramientas como la gestión de procesos, la gestión de riesgos, la alineación estratégica de TI y el cuadro de mando integral.
 

Para ver el artículo completo en formato pdf comprimido zip pulse aquí


Para citar este artículo puede utilizar el siguiente formato:

Méndez López, M.: Evaluación de la Gestión de las TI en la Empresa Eléctrica Villa Clara, en Observatorio de la Economía Latinoamericana, Nº 151, 2011. Texto completo en http://www.eumed.net/cursecon/ecolat/cu/2011/


CONFORMACIÓN DEL EQUIPO DE TRABAJO

Como proceso previo a la realización de la evaluación de la gestión de las TI en la empresa se desarrolló la conformación del equipo de trabajo encargado de realizar dicha evaluación. En este caso los miembros del equipo de trabajo coincidentemente son los autores del trabajo todos cursantes de la maestría de Informática para la Gestión Medioambiental.

Para el desarrollo del mismo los miembros del equipo realizaran indistintamente funciones de búsqueda, recopilación y análisis de información mediante métodos de consulta de documentos, entrevistas y aplicación de encuestas. La mayor parte de la información será brindada por un grupo de expertos seleccionados dentro de la entidad por su vinculación con los productos y servicios de TI tanto como proveedores de estos o como clientes de los mismos.

Para la determinación del número de expertos (M) se utiliza la siguiente expresión:

Asumiendo que:

• i (nivel de precisión deseado) = 0.2.

• P(Proporción estimada de errores de los expertos) = 0.05.

• K(Constante cuyo valor está asociado al nivel de confianza elegido)=6.6564.

Obtenemos M=7.90 expertos.

Lo que implica que se necesitarían 8 expertos, los cuales fueron escogidos tomando en cuenta la representatividad de las áreas implicadas en la gestión de las TI y los principales clientes internos de los procesos fundamentales de la empresa que tienen una fuerte relación con el uso de las TI en su desempeño.

DATOS GENERALES DE LA ORGANIZACIÓN

La Empresa Eléctrica de Villa Clara, en forma abreviada EEVC, a todos los efectos legales integrada a la Unión Eléctrica (UNE), subordinada al Ministerio de la Industria Básica (MINBAS), ostenta personalidad jurídica propia y patrimonio independiente, fue creada por Resolución No. 73 de fecha 23 de febrero de 2001, quedó debidamente inscripta en el Registro Estatal de Empresas y Unidades Presupuestadas (REEUP) con código 105.0.09087 y tiene dirección postal en Finca Áncora, entre Sub-planta y Fábrica de Pienso, Santa Clara, Villa Clara.

La fuerza laboral está compuesta por más de 1700 trabajadores, de los cuales el 22.2 % son mujeres. Los mismos se desglosan por categoría ocupacional de la siguiente manera:

• Dirigentes: 2.1 %

• Técnicos: 38.1 %

• Administrativos: 5.7 %

• Servicios: 11.5 %

• Operarios: 42.2 %

Desde el punto de vista de nivel de escolaridad existen 377 graduados del nivel superior, fundamentalmente de las especialidades de Ingeniería Eléctrica, Mecánica, Automática, Química, Industrial, Informática, así como Licenciados en Economía y Contabilidad. Se compone además por 520 Técnicos Medio.

La empresa tiene un universo de 265 295 clientes a lo largo y ancho de toda la provincia de los cuales 11 658 pertenecen al sector estatal y el resto 253637 pertenecen al sector residencial.

Mediante la resolución No. 652/04 del MEP se modificó el objeto social de la UNE y en uno de sus resuelvo se establece el objeto empresarial de la Empresa Eléctrica Villa Clara el cual establece las funciones y servicios autorizados a realizar entre los que se destacan los siguientes:

• Transmitir, distribuir y comercializar de forma mayorista la energía eléctrica en moneda nacional y divisa y de forma minorista en moneda nacional.

• Generar, trasmitir, distribuir y comercializar de forma mayorista energía eléctrica en moneda nacional y divisa y de forma minorista en moneda nacional.

• Prestar servicios de proyecto y de ingeniería, en moneda nacional; de construcción, desmantelamiento, montaje, reparación y mantenimiento a instalaciones eléctricas aéreas y soterradas al sistema de la Unión Eléctrica en moneda nacional ya otras entidades en moneda nacional y divisa.

• Realizar trabajos de corrección, del factor de potencia, acomodo y control de carga, al sistema de la Unión Eléctrica en moneda nacional y a otras entidades en moneda nacional y divisa.

• Brindar servicios técnicos relacionados con el uso eficiente de la energía eléctrica y para las redes eléctricas al sistema de la Unión Eléctrica en moneda nacional y a otras entidades en moneda nacional y divisa.

• Realizar proyectos de electrificación, mejoras y modernización de redes eléctricas así como de iluminación exterior e interior en moneda nacional.

ESTRUCTURA ORGANIZATIVA DE LA EMPRESA

Para el cumplimiento de sus funciones la Empresa Eléctrica Villa Clara la integra las siguientes direcciones y unidades empresariales:

• Dirección

• Dirección de Desarrollo

• Dirección de Recurso Humano

• Dirección de Contabilidad y Finanzas

• Dirección Técnica

• Dirección de Generación

• 28 Unidades De Base Empresariales

• 3 Direcciones Integradas de Proyectos (DIP)

OBJETIVOS Y PROCESOS DEL NEGOCIO

MISIÓN

Generar, transmitir, distribuir y comercializar la energía eléctrica con eficiencia y de forma oportuna, para satisfacer a todos sus clientes, mediante el empleo de métodos y técnicas avanzadas, con un nivel de profesionalidad que garantice el éxito de los objetivos previstos.

VISIÓN

Brinda el servicio eléctrico para la plena satisfacción de todos sus clientes, combinando tecnología de punta con una fuerza de trabajo altamente profesional. Liderar en Cuba la calidad del servicio prestado a nuestros clientes al tener los menores índices de afectados, al ser lo más rápidos y eficientes en atender nuestros reclamos, al brindar la mejor atención personalizada a nuestros clientes que garantice su bienestar y ser con nuestros esfuerzos los mejores.

POLÍTICA DE CALIDAD DE LA EMPRESA

La Empresa Eléctrica Villa Clara, dedicada a la generación, transmisión, distribución y comercialización de energía eléctrica, ha implementado un Sistema de Gestión Integrado que tiene como política, satisfacer a sus clientes, preservar el medio ambiente, y eliminar o minimizar los riesgos para sus trabajadores y otras partes interesadas.

Para ello, la alta dirección se compromete a:

• cumplir los requisitos de los cliente,

• cumplir la legislación vigente y aplicable a sus actividades,

• disminuir los riesgos laborales,

• prevenir la contaminación ambiental,

• utilizar racional y eficazmente los recursos asignados fomentando el ahorro energético,

• realizar la calibración de contadores de energía eléctrica y ensayos químicos aplicando las buena prácticas profesionales, cumpliendo los requisitos de la NC ISO/IEC 17025:2006 y del órgano acreditador,

• disponer de un personal calificado y motivado, conocedor de sus obligaciones y responsabilidades individuales, sobre la base de la mejora continua de su desempeño laboral, y revisar y mejorar continuamente el Sistema de Gestión Integrado.

• Valores

PROCESOS DE NEGOCIO

Para que las organizaciones funcionen con eficiencia, tienen que identificar y aplicar muchos procesos interrelacionados. Por lo general, el elemento de salida de un proceso se convertirá directamente en el elemento de entrada del proceso siguiente. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en procesos”.

La norma ISO 9000:2005 aconseja la adopción del enfoque basado en procesos para gestionar una organización ya que elimina las barreras entre diferentes áreas funcionales y unifica sus enfoques hacia las metas principales de la organización, elimina la política tradicional de trincheras. También permite la apropiada gestión de las interfaces entre los distintos procesos.

El Sistema de Gestión orientado a un enfoque de procesos tiene identificado un grupo de procesos de negocio, lo cuales se clasifican en estratégicos, operativos y de apoyo tal y como se relacionan a continuación:

• Procesos Estratégicos.

o Gestión Estratégica.

o Gestión Estratégica del Sistema.

• Procesos Operativos.

o Operación del SEN.

o Generación Distribuida.

o Generación de Emergencia.

o Transmisión y Distribución.

o Comercialización.

o Atención al Cliente.

o Cayo Santa María

• Procesos de Apoyo.

o Contabilidad y Finanzas.

o Informática y Comunicaciones.

o Abastecimiento.

o Recursos Humanos.

o Servicios Generales.

o Transporte.

o Portadores Energéticos.

ÁREAS DE RESULTADOS CLAVES

Todos los procesos mencionados dentro del sistema de gestión son importantes, no obstante analizando lo establecido en la misión y el objeto social es que establecemos que las áreas de resultados claves de la empresa son las áreas de Generación, Transmisión y Distribución, Comercialización y Despacho (operación del SEN).

FACTORES CLAVES DEL ÉXITO

Los factores claves de éxito son los elementos que le permiten alcanzar los objetivos trazados y distinguen a la empresa.

Entre los factores clave del éxito que se encuentran presente en los trabajadores de la empresa tenemos los siguientes:

• Compromiso con la calidad.

• Atención al cliente.

• Espíritu de servicio.

• Espíritu de equipo triunfador.

• Productividad.

• Cumplir los planes de trabajo.

• Honor de ser trabajador eléctrico.

• La innovación.

• Rentabilidad de los costos.

• Orden y respeto de las reglas.

VALORES COMPARTIDOS

Los valores compartidos son modos de conducta adecuados o necesarios para llegar a conseguir nuestras finalidades o valores existenciales.

Los valores compartidos absorben la complejidad organizativa, orientan la visión estratégica y aumentan el compromiso profesional, a la vez que constituyen una herramienta que permite identificar, promover y legitimar el tipo de cambio organizacional para lograr la implementación de la dirección estratégica en las empresas.

Entre los valores compartidos que están presentes en la Empresa Eléctrica de Villa Clara tenemos:

• Compromiso con la revolución y el partido.

• Sentido de pertenencia.

• Cooperación.

• Confiabilidad.

• Disciplina.

• Profesionalidad.

• Consagración.

• Honestidad.

• Honradez.

• Creatividad.

• Iniciativa.

• Superación continua.

• Laboriosidad.

• Cultura de detalle.

• Sentido de la urgencia.

• Dignidad profesional.

• Honor.

• Prestigio social.

• Integridad.

• Solidaridad.

INDICADORES FUNDAMENTALES

Los principales indicadores de desempeño que permiten evaluar el cumplimiento de la misión de la empresa para con sus clientes son:

• Tiempo de Interrupción por Usuario (TIU).

• % Disponibilidad de la Generación.

• Consumo Específico Bruto de la Generación.

• % Pérdidas Acumuladas.

• % Recaudación en Moneda Nacional.

• % Recaudación en Divisa.

• Índice de Satisfacción del Cliente.

ANÁLISIS DE LOS RECURSOS DE TI Y SU ALINEACIÓN A LOS OBJETIVOS DE NEGOCIO DE LA ORGANIZACIÓN

Los recursos de TI con que cuenta la empresa se encuentran presentes en todas las áreas de la organización. Estos aportan eficiencia en el procesamiento de volúmenes considerables de información, así como a la automatización de la totalidad del flujo informativo de la empresa.

Los recursos vinculados a la informática (computadoras personales y servidores) se encuentran interconectados por intermedio de una red de área amplia (WAN) que abarca todas las dependencias de la empresa dispersas en todo el territorio de la provincia. Para conformar esta red se dispone de varios enlaces de transmisión de datos arrendados al proveedor de datos de ETECSA que interconecta las subredes de área local (LAN) de cada dependencia. Sobre esta WAN se ofrecen servicios a los sistemas de gestión, correo electrónico, acceso a intranet e internet, FTP, mensajería instantánea corporativa, etc. En todas las dependencias existen impresoras aunque estas no llegan a tener relación 1:1 con las estaciones de trabajo.

Los recursos de comunicaciones de igual manera están presentes en toda la organización, aunque estos tienen mayor uso en las UEB localizadas en la cabecera provincial y en las vinculadas a los trabajos en las redes eléctricas. Los sistemas de comunicaciones por radio de FM son propios de la entidad y las comunicaciones por trunking son mediante el servicio del proveedor Movitel. Las comunicaciones por celular son mediante el servicio del proveedor Cubacel. Las comunicaciones telefónicas internas son gestionadas a través de las pizarras propias y las externas usando la red pública de ETECSA.

El personal interno vinculado al desarrollo, implementación, mantenimiento y gestión de las TI dentro de la entidad se encuentra concentrado en la UEB Informática y Comunicaciones, el resto del personal de la empresa es cliente de los servicios brindados por esta UEB.

INVENTARIO DE LOS RECURSOS DE TI DE LA ORGANIZACIÓN

En la tabla que se muestra a continuación se detallan los recursos de TI de que dispone la empresa clasificándose en infraestructura, aplicación o personal. De igual forma se establece el impacto de cada uno de ellos para el negocio. La columna cantidad específica cuantos recursos del mismo tipo existen en un área determinada a los efectos de acortar el tamaño de la tabla.

CLASIFICACIÓN DE LOS RECURSOS DE TI EN FUNCIÓN DE SU IMPACTO EN EL NEGOCIO

En el inventario de los recursos TI de la organización de clasificó el impacto individual de cada uno en los procesos de negocio.

Partiendo de estos datos calculamos el impacto en el negocio de cada tipo de recurso según la clasificación establecida en el inventario valiéndonos del índice relativo del tipo de recurso como se muestra en la siguiente tabla.

Analizando los resultados expuestos en la tabla llegamos a la conclusión de que los tres tipos de recursos (aplicaciones, infraestructura y personal) tienen impactos fuertes en los procesos de negocio y en todos los casos con magnitudes similares y por encima del 50%, siendo las aplicaciones las que impactan con más fortaleza en el negocio.

Como se puede apreciar en los datos la clasificación global del impacto de las TI en la organización es fuerte.

EVALUACIÓN DE LOS PROCESOS DE NEGOCIO EN FUNCIÓN DE SU GRADO DE DEPENDENCIA DE TI

La evaluación de los procesos de negocios en función de su grado de dependencia de las TI se llevó a cabo partiendo de los procesos identificados como parte del sistema de gestión y teniendo en cuenta su clasificación en estratégicos, operativos y de apoyo. Los expertos evaluación la dependencia de estos y a partir de esta valoración se determinó que en sentido general existe una dependencia fuerte de las TI.

Es cierto que existe un grupo de procesos para los cuales el grado de dependencia puede ser considerado como medio e incluso alguno como débil, como son los casos de abastecimiento, contabilidad y finanzas, transporte y servicios generales, pero los procesos operativos fundamentales de la empresa entre los que se encuentran comercialización, operación del SEN, transmisión y distribución; y generación distribuida tienen una dependencia fuerte debido a que las TI son indispensables para la ejecución de estos procesos de negocio.

CORRESPONDENCIA ENTRE LOS RECURSOS DE TI Y LOS REQUERIMIENTOS DE LA ORGANIZACIÓN

Una vez realizada la clasificación de los recursos en función de su impacto en el negocio y la evaluación de los procesos de negocio en función de su grado de dependencia de TI, procedemos a analizar la alineación entre ambos aspectos para diagnosticar la situación actual de la organización al respecto.

Debido a que el impacto de los recursos de TI en la organización se determinó que es fuerte y de igual forma los procesos de negocios tienen una fuerte dependencia de las TI se puede decir que existe una adecuada alineación entre estos aspectos para lograr la satisfacer los requerimientos de la organización. No obstante se debe continuar mejorando la gestión de los recursos TI, e incluso se continua innovando e identificando oportunidades para la inversión en nuevos recursos de TI que permitan que los objetivos de la organización se cumplan con mayor eficiencia y eficacia.

ANÁLISIS DE LOS RIESGOS DE TI Y SU ADMINISTRACIÓN

ESTABLECER EL CONTEXTO ESTRATÉGICO DE RIESGOS

El análisis de los riesgos de TI comienza por establecer el alcance de la gestión de riesgos de TI dentro de la organización e identificar los recursos críticos de TI. A partir de la clasificación realizada en la etapa anterior y tomando en cuenta los recursos clasificados como de fuerte impacto se determinan cuales son críticos. Todo el proceso de determinación de los recursos críticos se basa en la experiencia y consideraciones de los expertos.

IDENTIFICAR AMENAZAS

Las amenazas identificadas y documentadas en el Plan de Seguridad Informática de la empresa son las siguientes:

No Amenazas

1 Contaminación con programas malignos

2 Fallas de software

3 Fallas de hardware

4 Falla de climatización

5 Falla de las comunicaciones

6 Fallas de fluido eléctrico

7 Error de operación

8 Robo o hurto de tecnologías informáticas o sus componentes

9 Acceso no autorizado a Internet

10 Fuga de Información

11 Incendios

IDENTIFICAR VULNERABILIDADES

Asociadas a las amenazas identificadas existen un grupo de vulnerabilidades que pueden ser explotadas por las fuentes de amenazas.

A continuación relacionamos las principales vulnerabilidades encontradas durante el desarrollo de este análisis.

No Vulnerabilidad

1 Existe un elevado número de trabajadores que poseen dispositivos extraíbles (memorias flash, HDD externos).

2 Elevado volumen de tráfico de correo y navegación en intranet e internet

3 Fallas de software debido contaminación con virus, o errores en su funcionamiento debido a datos corruptos.

4 Deficiente mantenimiento y envejecimiento de los activos informáticos. (Fallas de hardware)

5 Climatización inadecuada o deficiente. (Falla de climatización)

6 Servicios de transmisión de datos arrendado a tercero. (Falla de las comunicaciones)

7 Locales que presentan consumos superiores a las capacidades de diseño de los locales y no presentan sistema de respaldo adecuados. (Fallas de fluido eléctrico)

8 Todos los operarios de las TI no están debidamente capacitados. (Error de operación)

9 Locales con deficiente protección física. (Robo o hurto de tecnologías informáticas o sus componentes) .

10 Inexperiencia de los usuarios y solo se restringe el acceso a un grupo de dominios conocidos pero se tiene acceso a todos los demás. (Consulta de información no autorizada en Internet)

11 La mayoría de las PC tienen habilitado los puertos USB y torres de CD/DVD. (Posibles fugas de información).

12 Instalaciones eléctricas inadecuadas, sobrecargadas y con posibilidades de cortocircuitos. (Incendios)

ANALIZAR CONTROLES

En la empresa existen múltiples mecanismos de control implementados para hacer frente a las amenazas para las TI. Entre estos mecanismos existen algunos que son de naturaleza técnica y se implementan en el hardware y el software a utilizar y otros son de índole no técnico y están relacionados con procedimientos, barreras de protección física o cuestiones de índole organizativa. A continuación se irá haciendo referencia a solo algunos de estos controles.

Todas las estaciones de trabajo y servidores están soportados en sistemas operativos Windows, principalmente Windows XP para las estaciones de trabajo y Windows 2003 para los servidores. Existe un dominio con Directorio Activo del cual todas las estaciones de trabajo y servidores son parte, a excepción de los localizados en subredes remotas de las UEB Municipales. Existe un servidor de actualizaciones de Windows y todas las PC por política de dominio se mantienen actualizadas con los parches de seguridad más recientes. De igual forma se tiene instalado el paquete Kaspersky Antivirus versión 6 en todas las PC de la empresa e implementado los mecanismos de actualización automática diaria. Los usuarios no tienen privilegios suficientes para desinstalar o detener la protección permanente del antivirus.

El equipamiento en explotación presenta diferentes niveles de envejecimiento, no obstante existe un plan que garantiza al menos dos mantenimientos preventivos al año y mantenimientos contra averías en cualquier momento.

Las áreas donde se agrupan los medios que resultan más críticos para el desempeño de la empresa cuentan con sistemas de climatización adecuados como son los casos de los locales de servidores, la UEB Despacho y las Salas de Control de las Centrales Eléctricas. Existen otras áreas que poseen climatización la cual es usada de acuerdo con las regulaciones energéticas establecidas.

Los sistemas de comunicaciones de datos funcionan de manera estable y solo se presentan problemas puntuales en los enlaces a las UEB municipales que viajan por la red de ETECSA y generalmente se deben a daños en los equipos terminales productos de condiciones anormales en el suministros de energía.

Para contrarrestar los fallos de energía los puntos vitales de los locales de servidores y la UEB Despacho poseen sistemas de respaldo ininterrumpido con vitalidad de varias horas y además cuenta con un grupo electrógeno de emergencia. En el resto de las áreas la mayoría de las PC cuentan son UPS que les eviten daños por apagados bruscos ante fallos de alimentación.

El uso de internet solo está permitido a personal autorizado expresamente por el Director General, protegido mediante firewall que registra todas las incidencias de cada usuario las que son revisadas periódicamente por el especialista de seguridad informática y son conservados por determinado tiempo. Debido a esta política de acceso y monitoreo del uso es poco probable el acceso y consulta de información no autorizada.

Cada usuario de las TI está obligado a hacer uso de las mismas mediante una cuenta de usuario personalizada y el momento de solicitarla firma un acta de compromiso donde se compromete a cumplir con las regulaciones establecidas en el Plan de Seguridad Informática de la empresa.

Para evitar la fuga de información sensible se establece que toda información clasificada debe ser procesada en estaciones de trabajo separadas de la red y las copias deben permanecer salvaguardadas en dispositivos externos en poder de los responsables de la información.

Para hacer frente a posibles incendios cada área cuenta con extintores estratégicamente distribuidos y serviciados. Además de establecer la creación de brigadas contra incendios, las cuales se capacitan y tienen la responsabilidad entre otras cosas de detectar y eliminar posibles condiciones de riesgo de incendio.

Para enfrentar posibles robos de equipamiento se establece que los locales deben poseer condiciones de seguridad, deben poseer sistemas de alarmas, sellaje, enrejado y/o servicios de personal de seguridad según sea el caso. Por otra parte se establece que el traslado de un medio de un área a otra o al taller debe hacerse amparado en el correspondiente documento de movimiento de medio básico y siempre que sea posible protegido por el embalaje correspondiente para evitar daños durante la transportación

NIVEL DE PROBABILIDAD DE ACTUACIÓN DE LAS AMENAZAS

Partiendo de los recursos declarados como críticos para el negocio, así como las amenazas, vulnerabilidades y controles existentes determinamos los niveles de probabilidades de que las amenazas actúen sobre los recursos críticos teniendo en cuenta el criterio de los expertos que intervienen en la investigación. En la siguiente tabla se muestra las probabilidades de ocurrencia determinadas para cada par recurso/amenaza. Para la misma de ponderaron los valores de la escala (bajo, medio y alto) con equivalentes numéricos (0.1, 0.3 y 0.5) respectivamente.

Analizando los resultados plasmados en la tabla se puede observar que en sentido general el nivel de probabilidad de actuación de las amenazas es bajo, con un valor de 0.18, siendo las amenazas de Fallo de Hardware y Fallos de Climatización aquellas que tienen un mayor nivel de probabilidad de actuar con valores de 0.47 y 0.44 respectivamente, muy cercanos a la cota alta de la escala. Esto está influenciado principalmente por el hecho de que existe parte del equipamiento con cierto grado de envejecimiento, no todos los locales tienen niveles de climatización adecuados e incluso algunos que si los tienen por política de ahorro energético son usados en niveles inferiores a los recomendados. Por otra parte, solo una pequeña parte de las instalaciones (locales de servidores y centrales eléctricas) tienen sistemas de aterramiento, el resto carecen de los mismos.

IMPACTO DE LA ACTUACIÓN DE LAS AMENAZAS SOBRE LAS VULNERABILIDADES EN LOS RECURSOS CRÍTICOS

Otro de los aspectos a tener en cuenta es el análisis del impacto que representa para los procesos de negocios la actuación de las amenazas sobre los recursos catalogados como críticos. Para realizar este análisis se tomó como referencia un grupo de aspectos que se relacionan a continuación:

Función: Importancia de la tarea que cumplen los bienes Informáticos.

Costo: Valor y uso de los bienes Informáticos.

Imagen: Repercusión que ocasionaría la pérdida del activo o Recurso.

Confidencialidad: Necesidad de proteger la información que se obtiene de ellos.

Integridad: Necesidad de que la información no se modifique o destruya.

Disponibilidad: Que los servicios que se esperen puedan ser siempre obtenidos.

Partiendo de la valoración en una escala de 0-100, de estos aspectos por parte de los expertos para cada uno de los recursos críticos se obtienen los resultados plasmados en la siguiente tabla.

En los datos se puede ver que en sentido general los recursos críticos tienen un impacto fuerte en el negocio y por consiguiente la magnitud del impacto por la actuación de las amenazas sobre las vulnerabilidades sería igualmente alta. También se puede apreciar que los mayores impactos se encuentran en los recursos 1, 2,3 que se corresponden con los servidores, las PC vinculadas a los procesos de comercialización, operación del SEN y generación distribuida. Estos procesos son procesos operativos fundamentales dentro de los procesos de negocio de la empresa.

DETERMINAR NIVEL DE RIESGO

La determinación del nivel de riesgo la realizamos partiendo de los niveles de probabilidad y las magnitudes de los impactos determinados en los epígrafes anteriores. Como en lugar de trabajar con valores de cualitativos (Alto, Medio, Bajo) hicimos uso de valores numéricos entonces podemos determinar el valor de riesgo mediante la siguiente expresión:

NR = NP * MI

Donde:

• NR: Nivel de Riesgo (1≤ NR ≤100)

• NP: Nivel de Probabilidad (0≤ NP ≤1)

• MI: Magnitud de Impacto (1≤ MI ≤100)

Por tanto:

NR = 0.18 * 83.3 = 14.99

El valor obtenido como nivel de riesgo, 14.99, clasifica como un nivel de riesgo bajo. Para enfrentar esto la empresa tiene que implementar mecanismos de control y acciones correctivas que permitan mitigar y hacer frente a estas amenazas. Siempre existe una parte del riesgo con el cual será necesario convivir a corto plazo hasta tanto la empresa disponga de los recursos necesarios para realizar inversiones que permitan minimizarlo o eliminarlo.

RECOMENDAR CONTROLES

En el Plan de Seguridad Informática se relaciona un amplio espectro de controles para enfrentar las amenazas existentes por lo tanto en este epígrafe mencionaremos algunos que si bien están establecidos no llegan a aplicarse en toda su magnitud.

• Cumplimentar el plan de mantenimiento de los activos con rigurosidad.

• Dotar a todos las PC, con énfasis en aquellas consideradas como recursos críticos, con UPS que regulen voltaje, proteja contra sobretensiones y respalden para evitar apagones bruscos por falta repentina de energía eléctrica.

• Realizar un estudio de los componentes que más fallan y en dependencia de la disponibilidad financiera y de los proveedores crear un pequeño stock que permitan reparar en el menor tiempo posible una averia de hardware.

• Implementar una infraestructura de virtualización para los servidores, con duplicación de los servicios críticos y balanceo de cargas de forma que se incremente la disponibilidad de los servicios y se aproveche mejor el equipamiento actual y futuro.

• Separar físicamente la red de gestión administrativa de la red de gestión operativa. En esta red de gestión operativa se agrupan los servicios que tiene mayores requerimientos de seguridad y disponibilidad.

• Climatizar todos los locales donde de usen medios informáticos de forma intensiva.

• Salvar y mantener a buen recaudo las copias de seguridad de todas las bases de datos corporativas, a la vez de que se implemente un servicio corporativo para que los usuarios reguarden las informaciones o documentos que tienen en sus estaciones de trabajo de forma segura y centralizada.

• Sistematizar la confección y actualización de los expedientes de cada medio informático de la empresa, desglosado al detalle, y con su correspondiente acta de entrega.

• Sistematizar el uso del sellaje de los medios informáticos y su revisión periódica.

• Exigir que cualquier traslado de medio informático esté amparado por su correspondiente movimiento de medio básico.

• Mantener todas las PC con antivirus (Kaspersky o NOD32) actualizado, con el centinela activado y sin la posibilidad de que el usuario pueda desactivarlo.

• Mantener en todas las PC de la red el SO Windows actualizado con los parches de seguridad más reciente.

• Monitorear el acceso y uso de la navegación a internet y del correo internacional.

• Garantizar en todos los locales donde existan medios informáticos la debida protección física.

Como se mencionó anteriormente, estos son solo algunos de los mecanismos de control necesarios, pero para más detalles se puede consultar el referido plan de seguridad donde se recogen con mayor amplitud.

CARACTERIZACIÓN DEL GRADO DE SATISFACCIÓN DE LOS TRABAJADORES CON LOS RECURSOS Y SERVICIOS DE TI

Para la caracterización del grado de satisfacción de los trabajadores con los recursos y servicios de TI que brinda la empresa nos hemos apoyado en la realización de la encuesta que aparece en el Anexo 1. La misma no fue posible aplicarla al 100% de los trabajadores por razones de tiempo, dispersión geográfica y escasez de papel para reproducirla. Por lo tanto se aplicó a una muestra que abarco 38 trabajadores de los cuales 31 (82%) son técnicos y 7 (18%) son dirigentes. En el caso de los dirigentes, se aprovechó una sesión del Consejo de la Administración para aplicar la encuesta. Desde el punto de vista de áreas se aplicó a UEBs Despacho, Clientes, Servicios, Centro de Formación y Desarrollo, Inversiones y las Direcciones Funcionales (RRHH, Economía, Desarrollo, Comercial y Técnica).

En el aspecto de la infraestructura de TI solo el 5% tiene insatisfacción relacionada con la disponibilidad y la correspondencia infraestructura- necesidades. El resto de los trabajadores encuestados está satisfecho (46%) o medianamente satisfecho (49%).

El software de que dispone la entidad para apoyar el trabajo satisface al 63% de los encuestados y satisface medianamente al 35% quedando solamente un 2% insatisfecho principalmente por indisponibilidad del mismo, localizado principalmente en el software de gestión económica SISCONT5 el cual presenta aún muchas fallas ante las cuales se detiene su uso y se envía una salva de la base de datos al soporte técnico de los desarrolladores para su solución. Durante todo ese proceso el software se mantiene indisponible.

Con relación a la calidad de los servicios existe un 9% que lo cataloga como baja, mientras que el 40 y 49% lo cataloga como alto y medio respectivamente. Dentro del porciento que cataloga los servicios como de baja calidad resalta el servicio de internet como el más negativo debido a que el ancho de banda contratado es extremadamente bajo con respecto a la demanda, 128kbps con CIR ¼, a pesar de que el acceso a este servicio está limitado solamente a personal autorizado por la Dirección General de la empresa.

En el apartado de los servicios de TI, el 36 y 52% plantea estas satisfecho o medianamente satisfecho respectivamente, mientras que un 13% plantea estar insatisfecho principalmente por cuestiones relacionados con la calidad y frecuencia de los mantenimientos.

En los otros aspectos encuestados podemos concluir que la satisfacción con la atención brindada por el personal de TI presenta un 97% entre satisfecho y medianamente satisfecho y solo un 3% presenta insatisfacción. Respecto a los mecanismos para reportar los problemas de TI un 90% planteo satisfacción en alguna medida y solo un 8% está insatisfecho. Los aspectos que mayores niveles de insatisfacción presentan son los relacionados con la capacitación en el puesto de trabajo, la correspondencia de esta con las necesidades y la existencia de manuales y documentación para el uso de las TI con 24, 24, y 34% de encuestados insatisfechos. En el tema del interés de la dirección por la capacitación solo el 16% dijo estas satisfecho mientras que el 84% dijo tener alguna insatisfacción.

Solo el 3% de los encuestados expreso que su jefe inmediato no toma nunca en cuenta sus criterios o sugerencias respecto al uso de las TI, mientras que el 71% expreso que nunca antes la empresa había evaluado la calidad de las TI.

En sentido general solo un 5% manifestó estar insatisfecho con los recursos y servicios de TI, un 21% está satisfecho y el 71% restante está medianamente satisfecho.

Entre las sugerencias u opiniones más reiteradas se encuentran la demanda de servicios de internet para mayor número de trabajadores y con más calidad en este servicio, elevar el límite de tamaños para los mensajes de correo, insuficiente servicio telefónico hacia el exterior de la empresa y demandas de capacitación en el uso de las TI.

REALIZACIÓN DEL DIAGNÓSTICO DE MADUREZ DE LOS OBJETIVOS DE CONTROL DE TI

DEFINIR LOS DOMINIOS Y OBJETIVOS DE CONTROL A DIAGNOSTICAR Y SUS NIVELES DE MADUREZ

Para realizar la evaluación de la gestión de TI en la empresa se escogieron los dominios y objetivos de control y se determinaron los niveles de madurez de cada uno acorde con la escala establecida en COBIT y los criterios de los expertos.

EVALUACIÓN DE LA GESTIÓN DE TI EN LA ORGANIZACIÓN

EVALUACIÓN DE LOS DOMINIOS Y OBJETIVOS DE CONTROL. DETERMINACIÓN DEL INDICADOR IGTI

Partiendo de los dominios y objetivos de control y sus niveles de madurez establecidos en el epígrafe anterior procederemos a realizar la evaluación de la gestión de TI en la empresa.

Para esto tomando el criterio de los expertos se establece el peso o importancia relativa de cada dominio y objetivo de control y a partir de esto se obtiene la evaluación de cada uno y finalmente calculamos el indicador IGTI.

Una vez calculado el IGTI entonces determinamos que porciento representa la evaluación de cada dominio respecto al indicador y en función de este valor aplicamos la escala cualitativa de evaluación de la gestión de TI.

Como se puede apreciar en la evaluación de los dominios no existe un balance adecuado entre estos al existir un dominio, Entrega y Soporte, que presenta una evaluación de nivel 2: Definido, mientras que el dominio Adquisición e Implantación presenta evaluación de nivel 1: Inicial y los dos restante presentan evaluaciones de nivel 0: Inexistente.

Este resultado está vinculado a las funciones de procesos de apoyo que asumen las TI dentro de los procesos de negocio fundamentales de la empresa. Esto implica que la mayor demanda de productos y servicios de TI en la empresa está enfocado a la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativas por lo tanto es lógico que sea el dominio de Entrega y Soporte el de mayor evaluación.

ELABORACIÓN DEL INFORME DE EVALUACIÓN

A partir de los resultados obtenidos en las etapas precedentes en este paso realizaremos a modo de evaluación final la valoración de los análisis realizados en el análisis de los recursos de TI y su alineación a los objetivos de negocio, el análisis de la administración de los riesgos TI, el análisis de la caracterización de la satisfacción de los trabajadores y una relación de los dominios y objetivos de control que reflejaron mayores dificultades en la evaluación de la gestión. En el mismo se señalaran los principales problemas que afectan los mismos.

LOS RECURSOS DE TI Y SU ALINEACIÓN A LOS OBJETIVOS DE NEGOCIOS

En el análisis de los recursos de TI y su alineación con los procesos de negocio se determinó que tanto el impacto de las TI en el negocio como la dependencia de los procesos de negocio de las TI son fuertes y en correspondencia existe una alineación adecuada entre estos por lo cual se debe mantener y/o mejorar la gestión de TI. Es bueno señalar que el contexto de la empresa, en el marco actual de la Revolución Energética y la situación económica nacional e internacional, es sumamente dinámico en cuanto a la introducción de nuevas tecnologías y misiones por lo tanto de le debe prestar atención a los nuevos cambio y requerimientos en función de que la gestión de las TI se adapte a estos y se convierta en factor importante en la consecución de los objetivos de negocio.

ANÁLISIS DE LA ADMINISTRACIÓN DE LOS RIESGOS DE TI

Al realizar el análisis de riesgo a partir de los recursos críticos y las amenazas y vulnerabilidades de estos llegamos a la conclusión de que el nivel de riesgo de TI de la empresa es bajo.

No obstante a este nivel de riesgo bajo de deben tomar acciones e invertir en recursos para disminuir aún más las probabilidades de que se produzcan afectaciones a los productos y servicios de TI por actuación de algunas de las amenazas. Ejemplo de estas posibles acciones son:

• Crear las condiciones de climatización adecuadas en las dependencias que no las tengan.

• Aterrar y normalizar las instalaciones eléctricas de toda la oficinal con dificultades en este sentido que son muchas.

• Separar físicamente la red operativa de la red de gestión.

• Pasar los servidores fundamentales hacia una infraestructura de virtualización que ofrezca mejor aprovechamiento de los recursos y mayor disponibilidad y menores tiempos de recuperación ante fallas con mayor independencia del hardware.

CARACTERIZACIÓN DE LA SATISFACCIÓN DE LOS TRABAJADORES CON LOS RECURSOS Y SERVICIOS DE TI

Como se analizó con anterioridad, la satisfacción de los trabajadores alcanza niveles de satisfecho o medianamente satisfecho en un elevado por ciento de los trabajadores. No obstante se deben acometer acciones para mejorar los niveles de satisfacción actuales. Estas acciones deben estar relacionadas con las principales insatisfacciones recogidas y podemos mencionar las siguientes:

• Desarrollar acciones de capacitación sobre el uso de las TI.

• Divulgar por todas las vías posibles la política de la UNE para el uso de internet y el correo internacional.

• Divulgar los derechos y deberes de los usuarios en el uso seguro de las TI y los aspectos contenidos en las Res. 187 del MIC.

• Velar por el cumplimiento con calidad de los planes de mantenimiento a las TI.

DOMINIOS Y OBJETIVOS DE CONTROL Y SU EVALUACIÓN

En el análisis de los objetivos y dominios de control llegamos que los de mayores grado de dificultades fueron: Monitorear y evaluar, seguido por Planear y Organizar y Adquisición e implantación.

En el caso de Monitorear y evaluar la empresa tiene que hacer énfasis en los aspectos que permitan evaluar constantemente el desempeño de las TI para en función de los resultados de la evaluación emprender acciones de mejoras, por lo tanto es sumamente importante que se mejore el desempeño en los aspectos relacionados a este dominio.

Los otros dominios con dificultades, Planear y Organizar y Adquisición e implantación, también deben ser analizados de forma que se pueden mejorar en lo posible el desempeño de estos. No obstante lo anterior, es bueno señalar que los aspectos tácticos y estratégicos así como las inversiones y las adopciones de nuevas tecnologías con incidencias profundas en los aspectos de negocio no son aspectos que generalmente se analicen a nivel de empresa ya que se deciden en el organismo superior, en este caso la Unión Eléctrica.

PROPUESTA DE MEDIDAS CORRECTIVAS, PREVENTIVAS Y/O DE MEJORA

Durante el desarrollo del trabajo se han mencionado medidas correctivas, preventivas y/o de mejora que se pueden o deben implementar a los efectos de lograr mejores desempeño de los productos y servicios de TI, así como la gestión de estos. Como parte de esta etapa resumiremos todas estas medidas las cuales se detallan a continuación.

• Cumplimentar el plan de mantenimiento de los activos con rigurosidad.

• Dotar a todos las PC, con énfasis en aquellas consideradas como recursos críticos, con UPS que regulen voltaje, proteja contra sobretensiones y respalden para evitar apagones bruscos por falta repentina de energía eléctrica.

• Realizar un estudio de los componentes que más fallan y en dependencia de la disponibilidad financiera y de los proveedores crear un pequeño stock que permitan reparar en el menor tiempo posible una avería de hardware.

• Implementar una infraestructura de virtualización para los servidores, con duplicación de los servicios críticos y balanceo de cargas de forma que se incremente la disponibilidad de los servicios y se aproveche mejor el equipamiento actual y futuro.

• Separar físicamente la red de gestión administrativa de la red de gestión operativa. En esta red de gestión operativa se agrupan los servicios que tiene mayores requerimientos de seguridad y disponibilidad.

• Climatizar todos los locales donde de usen medios informáticos de forma intensiva.

• Salvar y mantener a buen recaudo las copias de seguridad de todas las bases de datos corporativas, a la vez de que se implemente un servicio corporativo para que los usuarios reguarden las informaciones o documentos que tienen en sus estaciones de trabajo de forma segura y centralizada.

• Sistematizar la confección y actualización de los expedientes de cada medio informático de la empresa, desglosado al detalle, y con su correspondiente acta de entrega.

• Sistematizar el uso del sellaje de los medios informáticos y su revisión periódica.

• Exigir que cualquier traslado de medio informático esté amparado por su correspondiente movimiento de medio básico.

• Mantener todas las PC con antivirus (Kaspersky o NOD32) actualizado, con el centinela activado y sin la posibilidad de que el usuario pueda desactivarlo.

• Mantener en todas las PC de la red el SO Windows actualizado con los parches de seguridad más reciente.

• Monitorear el acceso y uso de la navegación a internet y del correo internacional.

• Garantizar en todos los locales donde existan medios informáticos la debida protección física.

• Desarrollar acciones de capacitación sobre el uso de las TI.

• Divulgar por todas las vías posibles la política de la UNE para el uso de internet y el correo internacional.

• Divulgar los derechos y deberes de los usuarios en el uso seguro de las TI y los aspectos contenidos en las Res. 187 del MIC.

BIBLIOGRAFÍA

• Resolución N. 39/2002 del MIC, Cuba, “Políticas de Seguridad Informática del MIC”

• Resolución n. 127 del MIC, Cuba, “Reglamento de Seguridad para las Tecnologías de la Información”

• Plan de Seguridad Informática, Empresa Eléctrica Villa Clara, Cod. OV-PG 0401

• Manual de Calidad, Empresa Eléctrica Villa Clara, Cod. OV-MC

• Rojas Córsico , Ivana S., Trabajo de Auditoria: Normas COBIT, http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml?monosearch

• COBIT 4.1, IT Governance Institute, http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf

• Pérez Lorences, P.: “Procedimiento para evaluar y mejorar la gestión de tecnologías de la información en empresas cubanas”, Tesis de maestría en Informática Empresarial, Universidad Central de Las Villas, Villa Clara, 2010.


Grupo EUMEDNET de la Universidad de Málaga Mensajes cristianos

Venta, Reparación y Liberación de Teléfonos Móviles
Enciclopedia Virtual
Biblioteca Virtual
Servicios