Observatorio de la Economía Latinoamericana

 


Revista académica de economía
con el Número Internacional Normalizado de
Publicaciones Seriadas  ISSN 1696-8352

 

Economía de Cuba

 

PROCEDIMIENTO PARA LA EVALUACIÓN DE LA GESTIÓN DE TI 

 

Gonzalo Alfredo López Turiño
galopez@sumt.ssp.sld.cu
Dayana Jomarrón Rodríguez
George Lemas Hernández
Lieslie Gerrero Rosado

 

Introducción

Siendo las tecnologías de información el núcleo de las empresas competitivas del siglo actual, más aún con el enfoque hacia el cumplimiento de regulaciones y la gestión del riesgo, las organizaciones actuales deben trabajar activamente en implementar un Gobierno de TI (Tecnología de la información).

En su definición más simple es contar con un dominio tal de todos los recursos de TI que permita tomar las mejores decisiones para la empresa asegurando que las inversiones sean maximizadas, estén alineadas con la estrategia del negocio, entreguen valor y manejándose dentro de un riesgo tolerable.

Toda organización, grande o pequeña, necesita una manera de asegurar que las funciones de TI apoyen a la estrategia y objetivos de la organización.

Con el fin de que las empresas puedan tener Gobiernos de TI alineados con los objetivos de los negocios es que se implementan distintas herramientas. Para conocer como se encuentra la UEB OBE Trinidad con la alineación y manejo de las TI se procede a través de una evaluación dar respuesta a esta interrogante.

Esta presentación expone todo el proceso evaluativo de las TI en la empresa.
 

Para ver el artículo completo en formato pdf comprimido zip pulse aquí


Para citar este artículo puede utilizar el siguiente formato:

López Turiño, Jomarrón Rodríguez, Lemas Hernández y Gerrero Rosado: "Procedimiento para la evaluación de la Gestión de TI" en Observatorio de la Economía Latinoamericana, Nº 143, 2011. Texto completo en http://www.eumed.net/cursecon/ecolat/cu/2011/


Desarrollo

Etapa 1: Conformación del equipo de trabajo

Lo primero que se debe realizar antes de plantearse comenzar a procesar la evaluación de la gestión de TI es la selección del equipo de trabajo ya que en dependencia del personal que se escoja así será el éxito del trabajo a realizar.

1.1 Definir estructura del equipo de trabajo

Luego de hacer la conformación del equipo de trabajo lo segundo es escoger de manera cuidadosa las personas que compondrán este grupo. En este caso la mayoría de las personas que componen el equipo son especialistas en la gestión de TI, miembros del proceso de TI en la empresa y el director de la misma el cual nos ayudara en la puesta en práctica del procedimiento y nos ayudara a comprender todos los niveles de la empresa.

1.2 Determinar cantidad de miembros y seleccionar el personal

El equipo de trabajo va a estar constituido por 7 personas, 2 especialistas de la gestión de TI en la empresa, 5 especialistas de TI externos a la institución y un miembro de la dirección de la empresa, el cual nos va a ayudar en el procedimiento de la evaluación.

1.3 Asignación de responsabilidades y tareas a realizar

Es importante establecer líneas claras de autoridad, objetivos bien delimitados y una asignación de tareas bien definida a la hora de poner en práctica la evaluación par que cada miembro del equipo este claro de lo que le toca.

Las tareas que se definieron fueron las siguientes:

• Organizar y dirigir la realización de cada etapa del procedimiento. (Jefe del equipo: Gonzalo López)

• Recopilar la información necesaria para desarrollar cada una de las etapas.(Dayana Jomarrón y Roiky Rodríguez)

• Aplicar los instrumentos diseñados y realizar los cálculos establecidos.(Andy Morfa y Leslie Guerrero)

• Elaborar los informes de resultados y proponer las acciones de mejora. (Osniel Fariñas y George Lemas)

• Reportar el consenso de los hallazgos y propuestas de mejora a la dirección de la empresa. (Gonzalo López)

• Algunas otras funciones de este grupo son:

o Establecer el alineamiento de TI con la estrategia general de negocios

o Establecer las necesidades de los recursos de TI y de la infraestructura para poder cumplir con los objetivos de negocio

o Brindan los mecanismos adecuados para optimizar los costos de las TI

o Brindar recomendaciones respecto a riesgos, de las inversiones en TI

1.4 Capacitación del equipo de trabajo

Sin importar el rol que se juegue en el equipo, en orden de funcionar efectivamente es muy importante que se conozcan algunas etapas de vital importancia del proyecto. A continuación se muestra en la siguiente tabla las características principales de cada etapa del desarrollo y construcción del proyecto.

Etapa Explicación

Formación El equipo se encuentra con la necesidad de compenetrarse, lograr un entendimiento común en su objetivo y límites. Se crearon las relaciones así como la creación de confianza. Además se llevo a cabo la capacitación del los miembros del equipo de trabajo en el empleo de los instrumentos metodológicos propuestos y en algunos contenidos teóricos como la gestión de TI, los riesgos de TI (estos dos primeros aspectos para el directivo de la empresa el cual no tiene conocimiento de la gestión de TI) y el modelo Cobit. Esta capacitación se llevo a cabo por especialistas en las temáticas antes mencionadas.

Normalización Luego de la formación el equipo se enfrenta con la creación de cohesión y unidad, se identifican los roles para cada uno de los miembros del equipo, se identifican las expectaciones de los miembros y el compromiso se incrementa.

Tormenta El equipo se reúne para debatir todas las tareas a realizar y para intercambiar opiniones.

Tabla 1. Etapas del proyecto

Etapa 2: Caracterización general de la organización objeto de estudio

2.1 Describir los datos generales de la organización

La UEB OBE Trinidad se constituyó el 23 de febrero 1999 por Resolución Ministerial Nº 10-1999.

La OBE Trinidad presta servicio de distribución y comercialización de energía eléctrica con carácter de servicio público o de libre contratación dentro de su área de concesión, así como la generación eléctrica, transmisión y distribución en los sistemas aislados donde se cuente con las autorizaciones respectivas.

Están incluidos en el objeto social, todos los actos relacionados con el mismo, incluyendo la contratación de diseño o ejecución de cualquier tipo de estudios u obras vinculadas a las actividades eléctricas, así como la importación, fabricación y comercialización de bienes y servicios que se requieran para la generación, transmisión o distribución de energía eléctrica.

Brindan servicio de energía eléctrica a más de 26 459 clientes en el municipio de Trinidad y sus alrededores, estimándose una cobertura del servicio del 98.1%.

El sistema de subtransmisión de la UEB OBE Trinidad está conformado por 10 subestaciones de distribución, las cuales se encuentran interconectadas a través de 14 líneas de subtansmisión con una longitud total de 82 km.

En cuanto a redes de distribución se tienen 40 alimentadores primarios con niveles de tensión de 13 kV y 22 kV, cubriendo una longitud de 204 km, en los cuales están instalados 1218 transformadores de distribución, que alimentan a 193 km de redes secundarias.

Objeto Social: La UEB OBE Trinidad tiene como objeto social la generación, transmisión, distribución y comercialización de la energía eléctrica a todos los clientes radicados en el marco del municipio.

Estructura organizativa:

Fig. 1 Organigrama de la UEB OBE Trinidad

Clientes principales:

Esta es una empresa de servicios que comercializa la energía eléctrica, con un significado distinto para cada tipo de cliente:

• A la industria: se le vende materia prima.

• Al sector de servicio: para satisfacer el ocio.

• Al sector residencial: se contribuye a incrementar la calidad de vida.

La entidad basa su política de mercadotecnia en las cuestiones siguientes:

Se cuenta con una infraestructura en redes eléctricas que permiten distribuir el servicio eléctrico prácticamente en todo el territorio del municipio (98.l % de electrificación).

 4 Subestaciones de Transmisión con 144 MVA instalados.

 3827 kilómetros de líneas en todos los niveles.

 94 Subestaciones de Subtransmisión.

 4700 Transformadores de Distribución.

La OBE dispone de una infraestructura en equipos, grupos de trabajo, transporte y técnicos que garantiza una operación confiable de nuestras redes, así como cumplir los planes de mantenimiento y modernización de todos los elementos que conforman el sistema eléctrico.

Alta preparación técnica y profesional del personal para cumplir con calidad todas las tareas correspondientes a la razón de ser de la empresa.

2.2 Identificar los objetivos y procesos del negocio

Visión, Misión y Valores

Todo el potencial humano de la organización trabaja orientándose hacia una misma dirección, reconociendo y teniendo como grandes referentes a la visión y misión institucionales, así como a los valores que orientan sus decisiones e inspiran su conducta.

Visión

Ser empresa de referencia en el país en cuanto a la calidad del servicio eléctrico.

Misión

Generar, distribuir y comercializar energía eléctrica al menor costo posible garantizando que la calidad del servicio satisfaga las expectativas de los clientes; contamos con personal altamente preparado y comprometido con la organización.

Objetivos Estratégicos Generales

Como consecuencia del análisis realizado a los factores externos e internos (Matriz FODA), La UEB OBE Trinidad para el logro de su Misión y Visión define los siguientes objetivos estratégicos generales, los mismos que se enmarcan dentro de las perspectivas del Tablero de Gestión Estratégico:

Generar valor y mejorar la rentabilidad de la empresa.

En la UEB OBE Trinidad cada una de las actividades que se desarrollan debe estar orientada a la creación del valor, esto en función de la declaración de su misión institucional.

Consolidar la imagen institucional en nuestros clientes.

Es necesario que la empresa fortalezca su imagen corporativa como una organización con excelencia en la calidad del servicio eléctrico, consolidando los canales de comunicación para lograr un mayor acercamiento con el cliente.

Mejorar la aplicación de los procesos y recursos disponibles en la empresa.

Optimizar las oportunidades y recursos que dispone la organización para redefinir los procesos que permitan obtener mejores y mayores resultados.

Fortalecer el desarrollo del personal y de la organización.

Es primordial en la empresa desarrollar una nueva cultura organizacional para fortalecer las competencias y habilidades del personal, mejorando las comunicaciones, para lograr el cumplimiento de los objetivos propuestos.

En el cuadro siguiente se muestra la relación entre los Objetivos Estratégicos Generales y los Objetivos Estratégicos Específicos que los soportan.

Perspectiva Objetivos Estratégicos Generales Objetivos Estratégicos Específicos

Financiera F1 Generar valor y mejorar la rentabilidad de la empresa. F1.1 Mejorar la rentabilidad de la empresa.

Clientes

C1

Consolidar la imagen institucional en nuestros clientes y en la comunidad. C1.1 Nuevos servicios

C1.2 Mejorar la calidad y confiabilidad del servicio.

C1.3 Participar en actividades sociales de

la comunidad.

Procesos

Internos

I1

Mejorar la aplicación de los procesos y recursos disponibles en la empresa. I1.1 Implementar un Sistema Integrado de

Gestión bajo los lineamientos de la

Norma ISO.

I1.2 Mejorar e integrar el sistema de información de la empresa.

I1.3 Aplicar nuevas tecnologías en la gestión.

Personal

P1

Fortalecer el desarrollo del personal y de la organización. P1.1 Mejorar el Desarrollo Organizacional.

P1.2 Repotenciar capacidades y competencias del personal.

P1.3 Optimizar el planeamiento estratégico como herramienta de gestión.

Tabla 1. Objetivos Estratégicos Generales y Específicos de la empresa

Factores Internos Claves de Éxito.

La UEB OBE Trinidad ha identificado los siguientes factores clave de éxito:

Actitud de cambio.

Predisposición de los empleados de la empresa en lograr cambios personales y en la organización para que ésta se desarrolle.

Liderazgo en el Equipo de Dirección.

Se lograrán mejores resultados en el contexto de que el equipo de dirección asuma de manera eficiente y eficaz sus responsabilidades tomando decisiones con carácter técnico en pro de mejores niveles de gestión.

Compromiso identificación con la organización.

Se requiere que en la empresa se refuercen los vínculos de comunicación y coordinación de manera que se asuman nuevos y mejores compromisos con la organización.

Orientación por las personas.

Es necesario que la dirección de la empresa oriente sus esfuerzos a mejorar las consideraciones con el personal que en ella labora.

Áreas de resultados claves

En la fig. 1 se muestran todas las áreas de la empresa las cuales desempeñan un valor importante en el funcionamiento de la misma debido a que por separado no cumplen un papel significativo ahora cuando se completan todas trabajan como un todo, pero hay que reconocer que en toda empresa existen las denominadas áreas de resultados claves esto no hace que las demás sean menos importante, lo que nos dice esto es que son por así decirlo las áreas rectoras de la empresa sin las cuales las empresa pierde su razón de ser, estas áreas son el comercial, economía y operaciones.

Valores Institucionales

Los valores definen el conjunto de principios, creencias y reglas que enmarcan la gestión de la organización. Constituyen la filosofía institucional y el soporte de la cultura organizacional.

El objetivo básico de la definición de valores corporativos es el de tener un marco de referencia que inspire y regule la vida de la organización.

Nuestros Valores

La UEB OBE Trinidad, se comprometen a cumplir cada uno de los lineamientos estratégicos, permitiendo siempre el crecimiento, desarrollo y bienestar del personal, promoviendo los siguientes valores:

Probidad y Vocación de Servicio

Actuar con rectitud, honradez y honestidad, satisfaciendo los intereses legítimos de la empresa, sus clientes y la sociedad en su conjunto, y desechando el provecho o ventaja personal. Profesar y practicar un claro rechazo a la corrupción en todos los ámbitos de desempeño de la Empresa y cumplir cabalmente con las normas vigentes.

Lealtad y Obediencia

Actuar con fidelidad y solidaridad hacia todos los miembros de la empresa, cumpliendo las órdenes que le imparta el superior jerárquico competente, en la medida que reúnan las formalidades del caso y tengan por objeto la realización de actos de servicio que se vinculen con las labores a su cargo, salvo los supuestos de arbitrariedad o ilegalidad manifiestas, los cuales deberá poner en conocimiento de la administración de la empresa. Asimismo, actuar con reserva y diligencia en el manejo de la información que conoce.

Idoneidad

Desenvolverse con aptitud técnica, legal y moral, en el desempeño de su labor. Capacitándose permanentemente para el debido cumplimiento de sus labores.

Veracidad y Transparencia

Expresarse con autenticidad en las relaciones funcionales con todos los miembros de la empresa y con terceros.

Puntualidad, Respeto y Disciplina

Participar en las actividades de la empresa y en el entorno, con eficiencia y eficacia, con respeto y disciplina.

Efectividad y Trabajo en Equipo

Es el compromiso que asume todo trabajador para desarrollar cada una de las labores con calidad; eficiencia y eficacia, buscando siempre los resultados más adecuados y oportunos.

Indicadores Claves de Resultados

Para cada uno de los Objetivos Estratégicos Específicos se han planteado indicadores que permitan medir su cumplimiento o logro. A continuación se presentan los indicadores definidos por cada Objetivo Estratégico Específico.

Perspectiva Objetivos Estratégicos Generales Objetivos Estratégicos Específicos Indicadores

Financiera

F1

Generar valor y mejorar la

rentabilidad de la empresa.

F1.1

Mejorar la rentabilidad de la empresa. F1.1.a Índice ROI (cálculo de la rentabilidad)

F1.1.b Índice EVA(valor económico)

C1.1.a Servicios implementados

Clientes

C1

Consolidar la imagen institucional en nuestros clientes y en la comunidad. C1.1 Nuevos servicios C1.2.a Calidad del servicio

C1.2 Mejorar la calidad y confiabilidad del servicio. C1.2.c Satisfacción del Cliente

C1.3.a Eventos participativos

C1.3

Participar en actividades sociales de la comunidad. C1.3.b Percepción de imagen

C1.3.c Iniciativas de la empresa

I1.1.a Proyectos de inversión ejecutados

Procesos

Internos

I1

Mejorar la aplicación de los

procesos y recursos disponibles en la empresa.

I1.1 Implementar un Sistema Integrado de Gestión bajo los lineamientos de la Norma ISO. I1.2.a Pérdidas de energía

I1.2 Mejorar e integrar el sistema de información de la empresa. I1.3.a Procesos implementados

I1.3 Aplicar nuevas tecnologías en la gestión. I1.4.a Sistemas integrados

I1.4 Mejorar e integrar el sistema de información de la empresa. I1.5.a Tecnologías implementadas

I1.5 Aplicar nuevas tecnologías en la

gestión. P1.1.a Clima organizacional

Personal

P1

Fortalecer el desarrollo del personal y de la organización.

P1.1 Mejorar el Desarrollo Organizacional. P1.1.b Desempeño del personal

P1.2.a Iniciativas de Mejora

P1.2 Repotenciar capacidades y competencias del personal. P1.3.a Impacto de la capacitación

P1.3 Optimizar el planeamiento estratégico como herramienta de gestión. P1.3.b Seguimiento a la ejecución del PE

P1.3.c Control de gestión

Tabla 2. Indicadores definidos por cada Objetivo Estratégico Específico.

Etapa 3: Análisis de los recursos de TI y su alineación a los objetivos de negocio de la organización

3.1 Efectuar un inventario de los recursos de TI de la organización

No Recurso Clasificación Descripción

breve Proceso(s) relacionado(s) Impacto

Aplicación Infraestructura Personal Fuerte Medio Débil

1 PC x Se utiliza para registrar todos los nuevos servicios de electricidad

Propiedades pc

2,67 gigahertz Intel Celeron

512 RAM Sucursal Trinidad

x

2 PC x En ella se registran todos los cobros hechos en ventanilla

Propiedades pc

2,67 gigahertz Intel Celeron

512 RAM Sucursal Trinidad

x

3 PC x Se conecta al sigeco para el cobro de la electricidad

Propiedades pc

2,67 gigahertz Intel Celeron

512 RAM Sucursal Trinidad

x

4 PC x Se conecta al sigeco para el cobro de la electricidad

Propiedades pc

2,80 gigahertz Intel Celeron

256 RAM Sucursal Trinidad

x

5 Impresora x Se imprimen todos los reportes diarios obtenidos del sigeco

Propiedades pc

HP LaserJet P1006 Sucursal Trinidad

x

6 PC x Lleva a través del Map Info la localización de todos los Nulé y el control de los transformadores además de conocer donde se encuentran cada uno

Propiedades pc

2,50 gigahertz Intel Pentium 4

1,0 GB RAM Dpto. Técnico

x

7 PC x A través del Radial se lleva el control de los presupuesto de inversiones de las redes eléctricas

Propiedades pc

3,07 gigahertz Intel Pentium 4

512 RAM Dpto. Técnico

x

8 PC x A través del Radial se realiza el ajuste de los presupuesto de inversiones de las redes eléctricas

Propiedades pc

3,40 gigahertz Intel Pentium D

512 RAM Dpto. Técnico

x

9 PC x A través del Radial se realiza el ajuste de los presupuesto de inversiones de las redes eléctricas

Propiedades pc

1,60 gigahertz Intel Celeron 420

512 RAM Dpto. Técnico

x

10 Laptop x Se utiliza en la inspección de las líneas para conocer la posición exacta de los transformadores y nulé

Propiedades pc

1,80 gigahertz Intel Core2 Duo

1,0 GB RAM Dpto. Técnico

x

11 Impresora x Se imprimen todos los presupuesto de inversiones

Propiedades:

Epson FX-1180

Dpto. Técnico

x

12 Impresora x Se imprimen presupuestos, mapas y otros doc.

Propiedades:

Epson FX-1180 Dpto. Técnico

x

13 PC x Se lleva el inventario

Propiedades pc

1.87 gigahertz Intel Core 2 Duo

1,0 GB RAM Dpto. Economía

x

14 PC x Se pasan las nominas al sistema

Propiedades pc

1,60 gigahertz Intel Celeron 420

512 RAM Dpto. Economía

x

15 PC x Se conecta al siscont para registrar los activos

Propiedades pc

1,60 gigahertz Intel Celeron 420

512 RAM Dpto. Economía

x

16 Impresora x Se imprimen las nominas

Propiedades:

EPSON FX-2190 Dpto. Economía

x

17 Impresora x Se imprime el balance general

Propiedades:

Epson LX-300+ Dpto. Economía

x

18 Impresora x Se imprimen documentos de cualquier índole

Propiedades:

HP LaserJet P1006 Dpto. Economía

x

19 PC x Se conecta al sigeco y se lleva a cabo la facturación

Propiedades pc

1,70 gigahertz Intel Celeron

256 RAM Dpto. Comercial

x

20 PC x Conectada al sigeco se pasa la información de los tpl

Propiedades pc

2,67 gigahertz Intel Celeron

512 RAM Dpto. Comercial

x

21 PC x Se revisan todos los subsistemas del sigeco

Propiedades pc

2,40 gigahertz Intel Celeron

512 RAM Dpto. Comercial

x

22 Impresora x Se imprimen la información de las rutas pasadas por el tpl al sistema

Propiedades:

Epson FX-1180 Dpto. Comercial

x

23 Impresora x Se imprimen documentos de cualquier índole

Propiedades:

Epson FX-1180 Dpto. Comercial

x

24 PC Se procesa toda la información concerniente a RR.HH

Propiedades pc

2,80 gigahertz Intel Celeron

512 RAM Dpto. RR.HH

x

25 Impresora x Se imprime toda la información concerniente a RR.HH

Propiedades:

Epson FX-1180 Dpto. RR.HH

x

26 PC En esta se realizan funciones de cualquier tipo

Propiedades pc

2,53 gigahertz Intel Pentium Dual-Core

1,0 GB RAM Dirección

x

27 PC x Con ella se realizan trabajos de reparación.

Servidor del kaspersky

Propiedades pc

2,53 gigahertz Intel Pentium Dual-Core

2,0 GB RAM Dirección

x

28 PC x Se monitorea todo lo concerniente a la seguridad informática

Propiedades pc

1.87 gigahertz Intel Core 2 Duo

1,0 GB RAM Dirección

x

29 PC x Servidor de todos los sistemas grandes el siscont, sigeco y el sigere

Propiedades pc

2,53 gigahertz Intel Pentium Dual-Core

2,0 GB RAM Dirección

x

29 Impresora x Se imprimen documentos de cualquier índole

Propiedades:

HP LaserJet P1006 Dirección

x

30 Esp. en Seguridad Informática x Atiende todo lo concerniente a la seguridad informática y a la admon. de la red Dirección x

31 Técnico Informático x Atiende todo lo que tiene que ver con el mantenimiento de las pc y los sistemas. Dirección x

32 SISCONT 4

x Sistema Contabilidad

Propiedades sft

Programado en Forprot, BD SQL Server Dpto. Economía x

33 SISCONT 5 x Sistema de contabilidad donde se lleva las nominas

Propiedades:

Programado en Forprot, BD SQL Server

33 SIGECO x Sistema Gestión Comercial

Propiedades sft

Programado en Forprot, BD SQL Server Dpto. Comercial x

SIGERE Sistema de Gestión de Redes Eléctricas

Propiedades:

Programado en Visual Studio, BD SQL Server

Dpto. Operaciones

34 Software Map Info x Sistema que contiene los mapas de las redes eléctricas Dpto. Operaciones x

35 Software Radial x Sistema que contiene los presupuestos de las inversiones Dpto. Operaciones x

39 BD SQL Server x Es la base de los sistemas sigeco, sigere siscont Dpto. Comercial

Dpto. Economía x

40 Forprot x Aplicación del sistema sigeco Dpto. Comercial x

41 Office 2003 x Software utilizado para hacer tanto Word, Excel y acces Todos los dptos x

42 Software ScadaTdad x Sistema que recoge todos los clientes pendiente a indemnizar por equipos rotos Dirección x

43 Webmail x Es el mayor canal de comunicación para las info. rápidas Todos los dptos x

Tabla 3: Modelo de inventario para los recursos de TI

A partir del inventario de los recursos de TI de la OBE Trinidad se procedió a realizar la clasificación general por cada tipo de recurso (consultar anexo 1) lo cual arrojo los siguientes resultados que tanto las aplicaciones como, la infraestructura y el personal de TI tiene un impacto alto en el negocio.

Y de manera general se puede decir que el impacto de los recursos de TI en la OBE Trinidad es fuerte.

3.3 Evaluar los procesos de negocio en función de su grado de dependencia de TI

Para llevar a cabo la evaluación de los proceso de negocio lo primero es conocer cuáles son los procesos con que cuenta la OBE para después clasificarlos en dependencia de cómo inciden estos en la empresa.

Después de llevar a cabo el análisis anteriormente mencionado se pudo llegar a la conclusión de que el grado de dependencia de los recursos de TI en la OBE se clasifica de medio debido a que estas se utilizan en un gran número de actividades, y su interrupción o ausencia dificulta el alcance de los objetivos. Las TI añaden valor en el proceso de negocio, y son enfocadas en productos y servicios que sirven de apoyo. Pero no son imprescindibles para que la empresa logre alcanzar los objetivos estratégicos.

3.4 Correspondencia entre los recursos de TI y los requerimientos de la organización en función de sus objetivos de negocio

Una vez realizada la clasificación de los recursos en función de su impacto en el negocio y la evaluación de los procesos de negocio en función de su grado de dependencia de TI se llego a la conclusión que la alineación de TI en la OBE no es la adecuada y por lo tanto deben identificarse las oportunidades que ofrecen TI y valorar como los procesos de negocio de la OBE pueden aprovechar estas potencialidades.

Etapa 4: Análisis de los riesgos de TI y su administración

1. Establecer el contexto estratégico de riesgos

Para comenzar el análisis de los riesgos de TI en la empresa lo primero que se hizo fue identificar los recursos críticos de TI. Esto se obtuvo después de obtener el inventario de los recursos de TI, en el que de los 43 recursos existentes hay 20 que están clasificados de fuertes sobre los objetivos del negocio y de estos 7 son denominados de críticos debido a que basada en el nivel de protección que se requiere para mantener la disponibilidad, confidencialidad e integridad de los mismos además esto se complementó con entrevistas a los diferentes dueños de los sistemas de TI.

2. Identificar amenazas

Para determinar los riesgos de TI hubo que llevar a cabo un análisis exhaustivo de los registros de historiales de reportes de violación de la seguridad de los sistemas en la empresa así como el registro de reportes de incidentes ocurridos en años anteriores en la empresa. Y para que el análisis fuera más exacto se realizaron entrevistas tanto al personal de TI que labora en la empresa como a los usuarios.

De todo esto se pudo sacar la siguiente conclusión. No son muchas ni tan graves las amenazas que afectan a la UEB OBE Trinidad pero esto no significa que no las haya, a continuación se hacen referencia a las mismas:

• Daños en el ambiente: el fuego es una de las catástrofes más significativas y más controlables. Estos fuegos pueden ocurrir en el mismo lugar donde están las computadoras, pero usualmente se originan en áreas adyacentes y se extienden hacia esa área. El fuego, humo y agua pueden dañar severamente los sistemas informáticos y hasta dejarlos inutilizables.

• Cortes de energía eléctrica o transmisión de electricidad: Las altas y bajas de tensión pueden tener consecuencias graves y los cortes de energía pueden causar pérdidas de datos y de capacidades operacionales si no se implementan los sistemas de prevención adecuados.

• Desastres naturales y otras amenazas físicas: inundaciones y otros incidentes similares tienen poca probabilidad de suceso, pero consecuencias muy graves y demandan una planificación de seguridad.

• Interrupciones por movimientos civiles: actos de terrorismo deben estar entre los riesgos bajo control.

• Introducción de código dañino: virus, gusanos, y demás códigos que son considerados malignos pueden ser introducidos al sistema informático por medios muy diversos. Pueden causar hasta una completa inoperabilidad durante el tiempo necesario para identificar, aislar y remover ese código. Ese tipo de código puede ser introducido por programas legítimos e información autenticada.

• Acceso a la red por parte de personal ajeno a la entidad: Ocurre cuando se accede a un ordenador o servidor por personal no autorizado.

• Robo de Equipamiento o Componentes: El robo puede involucrar todo un equipo o parte del mismo.

Estos riesgos deben encontrar frente de batalla del lado de los controles implementados en los sistemas informáticos. Los controles se dividen en dos grandes grupos: Controles Físicos y Controles Lógicos. Los primeros restringen el acceso físico a áreas informáticas y equipos y los segundos restringen el acceso lógico, o acceso a través de una interface.

3. Identificar vulnerabilidades

Realmente la seguridad es la facultad de estar a salvo de algún riesgo o amenaza. Desde este punto de vista la seguridad total es muy difícil de lograr, puesto que implicaría describir todos los riesgos y amenazas a que puede verse sometido el sistema. Lo que se manifiesta en los sistemas no es la seguridad, sino más bien la inseguridad o vulnerabilidad. No se puede hablar de un sistema informático totalmente seguro, sino más bien de uno en el que no se conocen tipos de ataques que puedan vulnerarlo, debido a que se han establecido medidas contra ellos.

Para facilitar la identificación de las vulnerabilidades, se realizo un estudio por todas las áreas de la empresa para conocer la situación de cada una de ellas en el manejo de las TI. De este estudio se pudo conocer con exactitud todas las vulnerabilidades existentes, estas son:

Instalación por defecto de aplicaciones. Muchos programas pueden realizar una instalación en la que la seguridad no es un factor determinante. Es importante revisar todas las configuraciones antes de poner la máquina accesible en la red.

Cuentas de usuario sin contraseña o con contraseña fácilmente identificable. Muchos sistemas disponen de una única línea de defensa: la contraseña del usuario. Es importante que todas las cuentas existentes dispongan de una contraseña y que esta sea robusta y no fácilmente identificable, por personas o programas. Igualmente algunos sistemas y aplicaciones crean cuentas de usuario en los que se asignan contraseñas por omisión que son conocidas.

Copias de seguridad no existentes o incompletas. Hay una certeza evidente: tarde o temprano ocurrirá un incidente que nos obligue a utilizar la copia de seguridad. Es importante que éstas se realicen, sean verificadas y que existan métodos documentados y probados para restaurar los datos.

Registro de actividad no existente o incompleto. La prevención de los incidentes de seguridad es importante, pero mucho más es poder detectarlos lo antes posible.

Vulnerabilidad física de la entidad. No todas las áreas de la empresa se encuentran en muy buen estado constructivo.

Seguridad de la entidad. La seguridad en el área de la Sucursal Trinidad, no es la más óptima ya que no están implementados todos los mecanismos de protección.

Analizar controles

Para que una empresa pueda controlar bien sus recursos de TI conociendo ya sus amenazas y vulnerabilidades tiene que tener implementados controles tanto físicos como lógicos sobre los sistemas de información.

A continuación se dan a conocer todos los controles implementados por la empresa:

1. Utilizar las tecnologías de información solo en interés de la entidad.

2. Está prohibido introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres, excepto aquellas aplicaciones destinadas a la comprobación del sistema para uso por especialistas expresamente autorizados por la dirección de la misma. En ningún caso este tipo de programas o información se expondrá mediante las tecnologías para su libre acceso.

3. Los usuarios de las tecnologías de la información están en la obligación de informar de inmediato cualquier incidente de seguridad, debilidad o amenaza a sistemas o servicios y las direcciones correspondientes exigirán su cumplimiento.

4. Existirán los productos antivirus necesario para descontaminación de los virus

5. Se prohíbe el diseño, la distribución o intercambio de códigos de virus informáticos u otros programas malignos

6. Estará actualizado el control de las tecnologías a través de los expedientes técnicos de cada una de ellas y será responsabilidad de los activistas de cada área mantener actualizados estos expedientes.

7. A la información oficial se le da el tratamiento de acuerdo a lo establecido en el Decreto Ley 199/99 y se clasifica por la Lista Interna del Organismo.

8. Los privilegios y derechos de acceso a los activos de la información están en dependencia al trabajo a realizar siempre basada en una política de mínimos privilegios.

9. Se mantendrá un efectivo control de acceso a las tecnologías informática incluyendo el acceso remoto.

10. Estará prohibido la manipulación , copia de datos y programas a personas ajena a la entidad

11. Es responsabilidad de cada jefe de área el cuidado y la custodia de la tecnología de la información en su área.

4. Determinar nivel de probabilidad

Después de haber realizado el análisis de las fuentes de amenazas, las vulnerabilidades, la existencia y efectividad de controles de TI se puede determinar el nivel de probabilidad de que una amenaza actúe sobre una vulnerabilidad.

Se determino que el nivel de probabilidad para la valoración de riesgos es bajo debido a que a partir de las amenazas y vulnerabilidades se planearon los controles que serán imprentados en la organización.

5. Analizar impacto

Después de realizar un análisis exhaustivo y conocer tanto las amenazas como las vulnerabilidades que posee la organización se realizó un análisis de los problemas que podría afrontar la entidad si una amenaza actuara sobre una vulnerabilidad.

Aquí se mencionarán posibles escenarios:

1. En caso de que haya daños en el ambiente, desastres naturales y otras amenazas físicas pueden afectar a la entidad debido a que no todas las áreas que poseen recursos de TI se encuentran en buen estado lo que puede resultar en pérdidas de algunos recursos. Además en este caso si no existen adecuadas medidas de seguridad física para las copias de resguardo, las mismas pueden dañarse lo que podrá causar serios problemas a la hora de recuperar toda la información perdida. Esta amenaza puede tener una magnitud alta, media o baja en dependencia del área que afecte, ya que no todas las áreas están equipadas con la misma TI, si la amenaza afecta áreas claves las perdidas pueden ser cuantiosas tanto de recursos como de información, en total las pérdidas se valoran en más de 10 503 cuc.

2. Si se introdujera un código dañino en cualquier pc como todas estas están conectadas en red pueden afectar a aquellos programas o sistemas que se instalen por defecto y que no se le revise después la seguridad pues la mayoría de estos software se instalan y no se les revisa si la seguridad es la adecuada y en caso de que esto no sea así modificarla, si esto ocurriera puede tener un impacto bajo pues se perdería tiempo en volver a restaurar el sistema para comenzar a trabajar.

3. En el caso de que una persona ajena a la entidad acceda a la misma a través de la red y que no exista un registro de actividad que monitoree todo lo que pasa puede afectar la reputación de la empresa así como la confidencialidad del sistema. En este caso el impacto sería bajo pero eso no quita que no sea importante, pues puede ocasionar perdida de información de importancia alta.

4. Otra amenaza que puede ocurrir es el robo de algún recursos de TI, a esto da lugar que no existan todas las medidas de seguridad a utilizar como las alarmas, las cuales dan señales de personal no autorizado en el área. Esta amenaza puede tener un impacto alto, medio o bajo en dependencia de las perdidas.

6. Recomendar controles

Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y atentados lo cual hace que sea necesario replantear la seguridad con que cuenta hasta ahora la organización.

Lo primero es que los directivos cojan conciencia de que la seguridad informática es de vital importancia en la empresa aunque sea crea que ninguna amenaza puede atacar.

A continuación se hará mención de algunos controles recomendados:

• Reconocer la necesidad de establecer normas de seguridad para los datos, políticas, normas y directrices.

• Comprender que el papel que desempeñan en la organización, está relacionado con la seguridad del ciclo de vida del sistema de información.

• Establecer una planificación formalizada para la seguridad informática.

• Definición de una política de monitorización y auditoria del sistema.

• Monitorizar el cumplimiento de la política, revisarla y mejorarla cada vez que se detecte un problema.

• Crear un plan de contingencia para cuando falle el sistema, no por si este lo hace.

• Aspectos relacionados con la recuperación:

1. Identificación del origen del ataque y de los daños causados.

2. Toma de medidas a posteriori contra el atacante.

Tenemos que contar con una buena política de copias de seguridad la cual debe contemplar:

• Qué tipos de backups se realizan: completos o incrementales.

• Con qué frecuencia se realiza cada tipo de backup.

• Cuántas copias se realizan y dónde se guardan.

• Durante cuánto tiempo se guardan las copias.

Etapa 5: Caracterización del grado de satisfacción de los trabajadores con los recursos y servicios de TI

Para conocer el grado de satisfacción de los trabajadores con los recursos y servicios de TI, para poder evaluar los procesos de gestión de TI se aplico una encuesta (Anexo 2) a varios trabajadores de la organización, esta encuesta se aplicó de forma aleatoria, o sea se cogieron trabajadores de las diferentes áreas (Técnico, Comercial, Economía, RR.HH, Dirección, Sucursal) que comprende a la OBE para tener una visión general del grado de satisfacción.

A continuación en los siguientes gráficos se muestran los resultados arrojados por la encuesta:

Graf 1. Grado de satisfacción con relación a la Infraestructura de TI

Graf 2. Grado de satisfacción con relación a los software facilitados por la empresa para apoyar el trabajo.

Graf 3. Valoración de manera general la calidad de los servicios de TI expuestos en el graf provistos por la empresa.

Graf 4. Grado de satisfacción con relación a los servicios de TI que provee la empresa para apoyar el trabajo

Graf 5. Grado de satisfacción con relación a los aspectos expuestos en la graf.

Graf 6. Su jefe inmediato superior acepta las sugerencias que

se le hacen respecto al uso y necesidad de TI para su trabajo.

Graf 7. La empresa ha evaluado antes su opinión

sobre la calidad de los recursos y servicios de TI.

Graf 8. Su satisfacción con los recursos y servicios de TI.

Etapa 6: Realización del diagnóstico de madurez de los objetivos de control de TI

En la UEB OBE Trinidad se definieron los 4 dominios de Cobit y los objetivos de control por cada uno de ellos, esta selección se hizo a partir de un análisis exhaustivo de los procesos de la empresa.

Dominio Planificación y Organización

P01 Definir un Plan Estratégico de TI

P03. Determinar la Dirección Tecnológica.

P04. Definir los Procesos, Organización y Relaciones de TI.

P05. Administrar la Inversión en TI.

P09. Evaluar y Administrar los Riesgos de TI.

Adquisición e Implementación

AI2 Adquirir y Mantener Software Aplicativo

AI3 Adquirir y Mantener Infraestructura Tecnológica

AI5 Adquirir Recursos de TI

Entrega y Soporte

DS1 Definir y Administrar los Niveles de Servicio

DS4 Garantizar la Continuidad del Servicio

DS5 Garantizar la Seguridad de los Sistemas

DS6 Identificar y Asignar Costos

DS7 Educar y Entrenar a los Usuarios

Monitorear y Evaluar

ME1 Monitorear y Evaluar el Desempeño de TI

ME2 Monitorear y Evaluar el Control Interno

ME4 Proporcionar Gobierno de TI

6.1 Realizar la recopilación, verificación y análisis de información

Para el logro de nuestro objetivo no solo con la aplicación de la entrevista a los trabajadores es necesario para arribar a una conclusión si bien es una parte importante, además de esto se utilizaron y analizaron los siguientes medios para que las conclusiones fueran más completas:

1. Decreto ley, resoluciones, lineamientos, políticas y mapas de responsabilidad emitidos por: Comité Ejecutivo Consejo de Ministros República de Cuba, Ministerio de la Informática y las Comunicaciones y la Empresa de Telecomunicaciones de Cuba.

6.2 Determinar el nivel de madurez de cada objetivo de control

En la siguiente tabla se hizo un análisis de los objetivos de control y los niveles de madurez de los mismos y teniendo en cuenta los resultados obtenidos a través de las entrevista se le dio el orden de prioridad que le corresponde a cada objetivo de control. Esto se muestra en la siguiente tabla:

Dominio

No. OC

Objetivos de Control Medición

x OC Breve descripción por medición

Planificación y Organización P01

Definir un Plan Estratégico de TI

2 Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización.

P03 Determinar la Dirección Tecnológica

4 La estrategia de recursos humanos está alineada con la dirección tecnológica, para garantizar que el equipo de TI pueda administrar los cambios tecnológicos.

P04 Definir los Procesos, Organización y Relaciones de TI

3 Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI.

P05

Administrar la Inversión en TI

4 Las diferencias en el presupuesto se identifican y se resuelven. Se realizan análisis formales de costos que cubren los costos directos e indirectos de las operaciones existentes, así como propuestas de inversiones, considerando todos los costos a lo largo del ciclo completo de vida.

P09 Evaluar y Administrar los Riesgos de TI

3 La administración de riesgos sigue un proceso definido, el cual está documentado. El entrenamiento sobre administración de riesgos está disponible para todo el personal.

Adquisición e Implementación

AI2

Adquirir y Mantener Software Aplicativo

3 Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio.

AI3

Adquirir y Mantener Infraestructura Tecnológica

3 El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente.

AI5 Adquirir Recursos de TI

3 La administración de TI comunica la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI.

Entrega y Soporte

DS1 Definir y Administrar los Niveles de Servicio 3 Las responsabilidades están bien definidas pero con autoridad discrecional. El proceso de desarrollo del acuerdo de niveles de servicio está en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente.

DS4 Garantizar la Continuidad del Servicio 4 Se brinda habilitación formal y obligatoria sobre los procesos de continuidad. Se implementan regularmente buenas prácticas de disponibilidad de los sistemas. Las prácticas de disponibilidad y la planeación de la continuidad de los servicios tienen influencia una sobre la otra

DS5 Garantizar la Seguridad de los Sistemas

4 Las políticas y prácticas de seguridad se complementan con referencias de seguridad específicas.

DS6 Identificar y Asignar Costos

2 Hay un entendimiento general de los costos globales de los servicios de información, pero no hay una distribución de costos por usuario, cliente, departamento, grupos de usuarios, funciones de servicio, proyectos o entregables

DS7 Educar y Entrenar a los Usuarios

3 La mayoría de los procesos de entrenamiento y educación son monitoreados, pero no todas las desviaciones son susceptibles de detección por parte de la empresa.

Monitorear y Evaluar

ME1 Monitorear y Evaluar el Desempeño de TI

3 Las evaluaciones todavía se realizan al nivel de procesos y proyectos individuales de TI y no están integradas a través de todos los procesos.

ME2

Monitorear y Evaluar el Control Interno 4 La dirección de la empresa tiene implantado un marco de trabajo para el monitoreo del control interno de TI.

ME4 Proporcionar Gobierno de TI 2 Los procesos de TI seleccionados se identifican para ser mejorados con base en decisiones individuales. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organización.

Tabla 5. Nivel de madurez de cada objetivo de control

Etapa 7: Evaluación de la gestión de TI en la organización

7.1 Determinación de la importancia relativa de los dominios y objetivos de control

Después de haber determinado el nivel de madurez de los objetivo de control correspondiente a cada dominio se debe determinar la importancia relativa de cada uno de los dominios así como de los objetivos de control correspondiente a cada uno de estos.

Lo primero que se debe hacer para determinar la importancia relativa es constituir un grupo de expertos, los cuales se van a encargar de asignar a los dominios y objetivos de control un orden de prioridad, en este caso para los dominios “de 1 a 4”, y a los objetivos de control en dependencia de cuantos sean por dominio “de 1 hasta el número máximo de objetivos de control”, según el nivel de importancia que poseen para el experto, de forma tal que el valor “1” representa el de menor importancia.

Decir que el grupo de expertos se constituye confeccionando una lista inicial de personas posibles que cumplan los requisitos para ser expertos en la materia a trabajar.

Luego se realiza una valoración sobre el nivel de experiencia, evaluando de esta forma los niveles de conocimientos que poseen sobre la materia. (Anexo 3).

Ya después de haber constituido el grupo de expertos y que estos hayan asignado el orden de prioridad tanto a los dominios como a los objetivos de control se determina si hay concordancia o no en el juicio de estos procesando la información emitida en el SPSS utilizando el coeficiente de concordancia de Kendall y la prueba de hipótesis (Anexo 4).

Todo lo anteriormente dicho arrojó los siguientes resultados:

Orden de prioridad de los dominios

Graf 9. Planificación y Organización

Graf 10. Adquisición e Implementación

Graf 11. Entrega y Soporte

Graf 12. Monitorear y Evaluar

En las siguientes tablas se puede apreciar el nivel de importancia que tiene cada objetivo de control para los expertos.

Tabla 6. Prueba de Kendall de los dominios

Tabla 7. Prueba de Kendall de los Obj. de Control del Dominio PO

Tabla 8. Prueba de Kendall de los Obj. de Control del Dominio AI

Tabla 9. Prueba de Kendall de los Obj. de Control del Dominio DS

Tabla 10. Prueba de Kendall de los Obj. de Control del Dominio ME

7.2 Evaluación de los dominios y objetivos de control

Después de haber realizado la prueba Kendall se realiza la evaluación de los objetivos de control arrojando los siguientes resultados.

Expertos 1 2 3 4 5 6 7

Objetivos de Control WPO NMPO EOCPO RDPO

Definir un Plan Estratégico de TI 5 5 5 5 4 5 5 0,3 2 0,13 0,60

Determinar la Dirección Tecnológica 4 4 4 4 5 4 4 0,3 4 0,21

Definir los Procesos, Organización y Relaciones de TI 3 3 3 3 2 3 3 0,2 3 0,12

Administrar la Inversión en TI 1 1 2 2 1 1 2 0,1 4 0,05

Evaluar y Administrar los Riesgos de TI 2 2 1 1 3 2 2 0,1 3 0,08

Tabla 11. Evaluación de los Objetivos de Control del Dominio PO

Expertos 1 2 3 4 5 6 7

Objetivos de Control WAI NMAI EOCAI RDAI

Adquirir y Mantener Software Aplicativo 2 2 2 2 2 3 2 0,3 3 0,20 0,60

Adquirir y Mantener Infraestructura Tecnológica 3 3 3 3 3 2 3 0,5 3 0,30

Adquirir Recursos de TI 1 1 1 1 1 1 1 0,2 3 0,10

Tabla 12. Evaluación de los Objetivos de Control del Dominio AI

Expertos 1 2 3 4 5 6 7

Objetivos de Control WDS NMDS EOCDS RDDS

Definir y Administrar los Niveles de Servicio 2 2 2 3 2 1 2 0,1 3 0,08 0,71

Garantizar la Continuidad del Servicio 4 4 4 4 5 4 4 0,3 4 0,21

Garantizar la Seguridad de los Sistemas 5 5 5 5 4 5 5 0,3 4 0,27

Identificar y Asignar Costos 1 1 1 1 2 1 1 0,1 2 0,03

Educar y Entrenar a los Usuarios 3 3 3 3 2 3 2 0,2 3 0,12

Tabla 13. Evaluación de los Objetivos de Control del Dominio DS

Expertos 1 2 3 4 5 6 7

Objetivos de Control WME NMME EOCME RDME

Monitorear y Evaluar el Desempeño de TI 3 3 3 2 3 3 3 0,5 3 0,30 0,63

Monitorear y Evaluar el Control Interno 2 2 2 3 2 1 2 0,3 4 0,27

Proporcionar Gobierno de TI 1 1 1 1 1 2 1 0,2 2 0,07

Tabla 14. Evaluación de los Objetivos de Control del Dominio ME

Expertos 1 2 3 4 5 6 7

Objetivos de Control Wdg RDdg EDg IGII

Planificación y Organización 4 3 4 4 4 4 4 0,4 0,60 24,0 63,6

Adquisición e Implementación 2 2 2 2 3 2 3 0,2 0,60 12,0

Entrega y Soporte 3 4 3 3 3 3 3 0,3 0,71 21,3

Monitorear y Evaluar 1 1 2 1 1 2 1 0,1 0,63 6,3

Tabla 15 .Evaluación de los dominios

Después de analizar todos los datos representados en las tablas anteriores se llego a la conclusión que se puede evaluar la gestión de TI de la OBE Trinidad de nivel 3 o sea REPETIBLE además de tener en cuenta los siguientes aspectos que reafirman esto:

 Existe el entendimiento de la necesidad de actuar. La gerencia es más formal y estructurada en su comunicación.

 Surge el uso de buenas prácticas. Los procesos, políticas y procedimientos están definidos y documentados para todas las actividades clave.

 Existe un plan para el uso y estandarización de las herramientas para automatizar el proceso. Se usan herramientas por su propósito básico, pero pueden no estar de acuerdo al plan acordado, y

 Se definen y documentan los requerimientos y habilidades para todas las áreas. Existe un plan de entrenamiento formal pero todavía se basa en iniciativas individuales.

 La responsabilidad y la rendición de cuentas sobre los procesos están definidas y se han identificado a los dueños de los procesos de negocio.

 Se establecen algunas mediciones y metas de efectividad, pero no se comunican, y existe una relación clara con las metas del negocio. Surgen los procesos de medición pero no se aplican de modo consistente.

Para observar el nivel que representa la evaluación del dominio respecto a su evaluación ideal y de manera similar la evaluación de cada objetivo de control dentro de su dominio.

La realización de los radares de control permitió a los especialistas analizar las brechas existentes conociendo de este modo los elementos de peores resultados.

Las figuras a continuación muestran los radares de control elaborados de cada objetivo de control por dominio.

Fig 2. Radar de Control de los Dominios

Fig 3. Radar de los Obj. De Control del Dominio PO Fig 4. Radar de los Obj. De Control del Dominio AI

Fig 5 . Radar de los Obj. De Control del Dominio DS Fig 6. Radar de los Obj. De Control del Dominio ME

A continuación se muestra un grafico de Causa-Efecto en el cual se reflejan por dominios los objetivos de control que presentaron dificultades considerando su nivel de madurez.

Figura 6: Diagrama Causa – Efecto del Nivel de la Gestión de TI

8 Elaboración del informe de evaluación

Basándonos en el análisis realizado a la situación informacional de la OBE Trinidad, en cuanto al uso de las tecnologías y sistemas de información y su vinculación con la estrategia del negocio, a partir de los resultados arrojados con entrevistas, la revisión documental, el estudio del sistema de información vigente, la observación, se puso de manifiesto la importancia y el impacto que debe de tener para el logro de la excelencia, la satisfacción de los clientes el perfeccionamiento de la tecnología de la información en el centro y el vinculo estrecho entre las Tecnologías y Sistemas de Información con la proyección estratégica de la OBE Trinidad.

Teniendo en cuenta lo anteriormente señalado podemos arribar a las siguientes conclusiones:

Los Sistemas y las Tecnologías de la Información no forman parte del primer nivel de la OBE Trinidad y no son factor imprescindible a la hora de definir la estrategia de la unidad de negocio.

No todos los directivos poseen los conocimientos necesarios sobre los Sistemas y Tecnologías de la información y su impacto en la OBE.

La falta de una cultura informacional en la OBE trae como consecuencia la creencia que esta actividad compete solo a algunos miembros de la organización así como solo a determinadas áreas funcionales.

La OBE carece de un Sistema de Gestión de Información encargado de gestionar la información dirigida a la toma de decisiones que opere con eficacia y eficiencia, aunque nominalmente existan profesionales informáticos.

Después de conocer las principales eficiencias que presenta la OBE se hacen las siguientes recomendaciones.

Para lograr un estrecho vínculo entre la estrategia de la OBE con los lineamientos estratégicos de las Tecnologías y los Sistemas de Información y que estos cumplan con los objetivos de ser exitosos en transmitir información y conocimientos e influir significativamente en la gestión y en el desarrollo de OBE se propone las siguientes recomendaciones:

Participación activa y simultánea de los responsables de las Tecnologías y los Sistemas de Información y directivos de la organización en la elaboración de la Proyección Estratégica de la OBE.

Elaborar las premisas para la aplicación de la Gestión del Conocimiento en toda la OBE. Esto incluiría, entre otros aspectos, la aplicación de todo un conjunto de herramientas puestas en función del aprendizaje en la intranet de la OBE, la cual actuaría como plataforma de intercambio de información. Algunas de estas herramientas son:

1. Gestión de la Información.

2. Gestión de la Documentación

3. Gestión de los Recursos Humanos.

4. Gestión de la Comunicación y el Aprendizaje Organizacional.

5. Organización Empresarial.

Proyectar una estrategia organizacional en relación con la información, donde se estimule la participación de los especialistas y directivos en la recogida, procesamiento, análisis, y difusión de la información, con tareas muy bien definidas.

Diseñar una nueva intranet que responda a las exigencias siguientes:

1. Ser una verdadera plataforma de intercambio de información y conocimiento para todos los miembros de la organización.

2. Garantizar la accesibilidad a las informaciones contenidas en la misma a través de procedimientos amigables con el usuario.

3. Un sistema que garantice la seguridad, integridad y disponibilidad de la información en todo momento.

Bibliografía

 David A. Klein, "The Strategic Management of Intellectual Capital", Butterworth-Heinemann, EEUU, 1998

 Harold Koontz & Heinz Weihrich, "Administración: Una perspective global", McGraw Hill, España, 1995

 Timothy Christian Lethbridge, "Practical Techniques for Organizing and Measuring Knowledge", Canadá, 1994.

 Cobit. http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/

TaggedPageDisplay.cfm&TPLID=55&ContentID=31519

 Resolución No. 39/2002 del MIC “Políticas de seguridad Informática en el MIC”.

 Resolución Ministerial Nº 10-1999

 Políticas de Informática de la Empresa Eléctrica Provincial. Código: COD. PSI.01

 Resolución No. 127 /2007

 Decreto Ley 199/99

Anexo

Anexo No. 1

Índice relativo de las aplicaciones según su clasificación

Aplicación IRRAF IRRAM IRRAD

55 27 9

Índice relativo de las infraestructuras según su clasificación

Infraestructura IRRIF IRRIM IRRID

40 33 27

Índice relativo del personal según su clasificación

Personal IRRPF IRRPM IRRPD

100 0 0

Tabla. Índice relativo de los recursos de TI según su clasificación

A: Aplicación I: Infraestructura P: Personal

F: Fuerte M: Medio D: Débil

Índice relativo global de los recursos de TI

Total de recursos IRTIF IRTIM IRTID

47 33 21

Tabla. Índice relativo global de todos los recursos de TI según su clasificación

Anexo No. 2

Encuesta diseñada para caracterizar la satisfacción del personal con los recursos y servicios de TI.

Estimado compañero(a): Estamos realizando una valoración de la calidad de los recursos y servicios de tecnologías de la información (TI) en su organización, con el fin de mejorar la gestión de los mismos. Por favor marque una de las opciones de respuesta a las preguntas planteadas. Agradecemos de antemano su colaboración.

Nota: Considere que los recursos de TI incluyen aplicaciones, infraestructura y el personal de soporte de TI.

Área de trabajo: __________________________ Categoría ocupacional_________________________

Definición de respuestas: S= Satisfecho, MS= Medianamente Satisfecho, I= Insatisfecho

Definición de respuestas: A= Alta, M= Media, B= Baja

1. Con relación a la infraestructura de TI, señale en qué medida se encuentra usted satisfecho con:

S MS I

a) La calidad de la infraestructura de TI que usted utiliza. _________________________________

b) Disponibilidad de la infraestructura de TI para realizar su trabajo. ________________________

c) La correspondencia entre las características de la infraestructura de TI y sus necesidades de trabajo. _______________________________________________________________________________

2. Con relación a los software facilitados por la empresa para apoyar su trabajo, señale en qué medida se encuentra usted satisfecho con:

S MS I

a) La calidad de los software de TI. _____________________________________________

b) La correspondencia entre las funcionalidades que brindan los software y sus necesidades de trabajo. __________________________________________________________________

c) Disponibilidad de la información que ofrecen los sistemas de TI existentes. ____________

3. Valore de manera general la calidad de los siguientes servicios de TI provistos por la empresa.

A M B

a) Servicios de correo ____________________________________________________________

b) Servicios de conectividad _____________________________________________________

c) Internet _____________________________________________________________________

d) FTP ________________________________________________________________________

e) Antivirus _____________________________________________________________________

f) Actualizaciones de SO Windows __________________________________________________

g) Señale otros y valore ___________________________________________________________

4. Con relación a los servicios de TI que provee la empresa para apoyar su trabajo, señale en qué medida se medida se encuentra usted satisfecho con:

S MS I

a) Correspondencia entre los servicios que se ofrecen y sus necesidades de trabajo.__ ______

b) La disponibilidad de los servicios._______________________________________________

c) La calidad de los mantenimientos que recibe su activo informático. ____________________

d) La frecuencia de los mantenimientos que recibe su activo informático. _________________

___________________________

5. Señale en qué medida se encuentra usted satisfecho con los aspectos siguientes:

S MS I

a) La atención que le brinda el personal de TI a partir del tiempo que demora en dar respuesta a sus solicitudes por interrupción. ________________________________________________

b) Los mecanismos para reportar los problemas e incidencias relacionados con TI.__________

c) La capacitación que se le brinda para usar las TI en su puesto de trabajo. ______________

d) La correspondencia entre la capacitación brindada y sus necesidades reales.____________

e) El interés de la dirección de la empresa con respecto a la capacitación para el uso de TI. __

f) La existencia de manuales de ayuda u otra documentación para apoyar el uso de las aplicaciones de TI

6. ¿Su jefe inmediato superior acepta las sugerencias que Ud. y sus compañeros le hacen respecto al uso y necesidad de TI para su trabajo?

Siempre En ocasiones Nunca

7. La empresa ha evaluado antes su opinión sobre la calidad de los recursos y servicios de TI?

Sí No

8. Su satisfacción con los recursos y servicios de TI es:

Alta Media Baja

9. A continuación puede emitir cualquier sugerencia u opinión que Ud. desee expresar, con relación a la gestión de los recursos y servicios de TI en su empresa.

Anexo No. 3

----------------- ENCUESTA PARA SELECCIONAR EXPERTOS ---------------------

Estimado especialista:

Con vistas a evaluar el grado de efectividad de un procedimiento general para evaluar la gestión de TI en la UEB OBE Trinidad, necesitamos seleccionar los especialistas que en calidad de expertos brindarán los criterios y a través de ellos tomar importantes y valiosas decisiones.

Para realizar la selección de expertos necesitamos saber los elementos que nos permitan conocer el grado de competencia que tiene usted en la materia y por ello necesitamos que responda al siguiente test.

I.-Evalúe el nivel de conocimiento que usted posee, en una escala de 0 a 10, en aspectos relacionados con la Gestión de TI, considerando 0 como no poseer conocimiento en la materia y en orden creciente de competencia hasta 10, que significaría una elevada preparación.

0 1 2 3 4 5 6 7 8 9 10

II.-Para determinar cuáles fuentes han contribuido a la preparación que usted posee en el tema, le solicitamos llenar la siguiente tabla.

Fuentes de argumentación Grado de influencia de cada una de las fuentes en sus criterios

A (Alto) M (Medio) B(Bajo)

Análisis teóricos realizados por usted

Su experiencia en el tema

Trabajos de autores nacionales consultados

Trabajos de autores extranjeros consultados

Su propio conocimiento del estado del problema en el extranjero

Su intuición

De antemano le agradecemos la colaboración brindada.

---------------------- FIN DE ENCUESTA PARA SELECCIONAR EXPERTOS ---------

La continuidad del proceso de selección se puede ver aquí.

Metodología para validar los expertos.(Consultar el excel)

Para determinar las prioridades de los problemas se determinó el número necesario de expertos con la expresión siguiente:

(1)

Donde:

nE: # de expertos a participar.

i : nivel de precisión deseado.

p: proporción estimada de errores de los expertos

k : constante cuyo valor está asociado al nivel de confianza elegido.

1 – α: nivel de confianza.

Anexo No. 4

Con la aplicación del Coeficiente de Concordancia de Kendall W se definen las hipótesis siguientes para cada una de las dimensiones de Orientación a los Dominios y Objetivos de Control:

Hipótesis

H0: Las estimaciones de los expertos no están relacionadas.

H1: Las estimaciones de los expertos están relacionadas, es decir, el acuerdo entre los mismos es más alto que el que resultaría del azar.

Nivel de Significación. α= 0.05

Definición de la importancia relativa de cada indicador (Método de Expertos)

Conclusiones: Como en todos los casos Asymp. Sig. es menor que α= 0.05 entonces rechazamos la hipótesis H0. Podemos afirmar que las estimaciones de los expertos están relacionadas y que el grado de acuerdo es altamente significativo. Como Kendall W sugiere que la ordenación mejor de la estimación “verdadera” es proporcionada, cuando W es significativa, por el orden de las diversas sumas de rangos, R. Si uno acepta el criterio de que los diversos expertos han coincidido, la mejor ordenación del orden “verdadero” de los indicadores es suministrado por el orden de las sumas de rangos.

El Coeficiente de Concordancia de Kendall W tiene aplicaciones especiales porque provee un método modelo para la ordenación de indicadores de acuerdo al consenso cuando no hay un orden objetivo de los mismos. En la siguiente tabla se define el orden de los indicadores por cada dimensión suministrado por el orden de las sumas de rangos.


Grupo EUMEDNET de la Universidad de Málaga Mensajes cristianos

Venta, Reparación y Liberación de Teléfonos Móviles
Enciclopedia Virtual
Biblioteca Virtual
Servicios