proyecto línea de investigación
Post on 01-Dec-2015
110 Views
Preview:
TRANSCRIPT
Escuela de Ingenier ía de Sistemas
LINEA DE INVESTIGACION DE LA ESCUELA DE INGENIERIA DE
SISTEMAS
“PERFIL DE LA GESTION DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES EN LAS MYPES DE LA REGION DE ANCASH”
DOCENTE INVESTIGADOR: MG. MARIO FERNANDO RAMOS MOSCOL
CHIMBOTE- PERU
AGOSTO 2010
Índice de contenido1. Planteamiento de la investigación.....................................................................................................41.1. Planteamiento del problema...........................................................................................................41.1.1. Caracterización del problema......................................................................................................41.1.2. Enunciado del problema:.............................................................................................................51.2. Objetivos de la investigación.........................................................................................................51.2.1 Objetivo general..........................................................................................................................51.2.2. Objetivos específicos..................................................................................................................51.3. Justificación de la Investigación....................................................................................................62. Marco teórico y conceptual..............................................................................................................72.1. Antecedentes..................................................................................................................................72.1.1. A nivel internacional...................................................................................................................72.1.2 Antecedentes a Nivel Nacional..................................................................................................102.2. Bases teóricas...............................................................................................................................112.2.1. Pequeñas y microempresas........................................................................................................112.2.1.1.Orígenes y expansión de las MYPES......................................................................................112.2.1.2 Definición................................................................................................................................112.2.1.3. Áreas de actividad de una MYPE..........................................................................................122.2.1.4. Características de una MYPE.................................................................................................132.2.2. Las Tecnologías de Información y comunicaciones (TICs)......................................................142.2.2.1. Definición...............................................................................................................................142.2.2.2. Áreas de aplicación de las TICs.............................................................................................142.2.2.3. Beneficios que aportan las TICs............................................................................................152.2.2.3. Principales TICs utilizadas en las empresas..........................................................................152.2.2.5. Perfil de uso de las TICs en las MYPES...............................................................................182.2.3. Las TICs y las MYPES.............................................................................................................202.2.3.1. Utilidad de las TICs en las MYPES.......................................................................................212.2.3.2. Aplicaciones de TICs en las MYPES....................................................................................212.2.3.3. Criterios para incorporar las TICs en la gestión de las MYPES...........................................212.2.3.4. Las TICs y su importancia estratégica para las MYPES en la globalización........................222.3. Marco conceptual........................................................................................................................232.3.1 El gobierno de las TICs – COBIT.............................................................................................232.3.2. La entrega del servicio – ITIL..................................................................................................242.3.3. La seguridad – ISO 17999........................................................................................................243. Sistema de hipótesis........................................................................................................................253.1. Hipótesis principal.......................................................................................................................253.2. Hipótesis específicas...................................................................................................................254. Metodología....................................................................................................................................254.1. Subproyectos de investigación.....................................................................................................254.2. Tipo y Nivel de investigación......................................................................................................254.2.1 Tipo de Investigación.................................................................................................................254.2.2. Nivel de la Investigación ..........................................................................................................264.3. Diseño de la Investigación...........................................................................................................264.4. Población y muestra.....................................................................................................................264.5. Definición operacional de las variables en estudio.....................................................................274.5.1. Variables principales.................................................................................................................274.5.1.1. Planeamiento y organización..................................................................................................27
4.5.1.2. Adquisición e implementación...............................................................................................304.5.1.3. Entrega y soporte ...................................................................................................................314.5.1.4. Monitorear y evaluar .............................................................................................................344.5.2. Variables Intervinientes............................................................................................................354.6. Técnica e Instrumentos de medición...........................................................................................444.6.1. Técnica......................................................................................................................................444.6.2. Instrumentos.............................................................................................................................444.7. Plan de análisis.............................................................................................................................455. Bibliografía.....................................................................................................................................45Anexo 01. ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DE ACUERDO AL MODELO COBIT..............................................................................................................................51Anexo 02. ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DOMINIO “PLANEAMIENTO Y ORGANIZACION” SEGUN EL MODELO COBIT...................................57Anexo 03. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “ADQUIRIR E IMPLEMENTAR” SEGUN EL MODELO COBIT.......................................................................74Anexo 04. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “ENTREGA DEL SERVICIO Y SOPORTE” SEGUN EL MODELO COBIT......................................................85Anexo 05. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “MONITOREO Y EVALUACION” SEGUN EL MODELO COBIT.............................................102
PERFIL DE GESTION DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES EN LAS MYPES DE LA REGION ANCASH
1. Planteamiento de la investigación
1.1. Planteamiento del problema
1.1.1. Caracterización del problema
Según el Dr. Pere Marquez (1) refiriéndose a la tecnología: “Sus principales
aportaciones a las actividades humanas se concretan en una serie de funciones que nos
facilitan la realización de nuestros trabajos porque, sean éstos los que sean, siempre
requieren una cierta información para realizarlo, un determinado proceso de datos y a
menudo también la comunicación con otras personas; y esto es precisamente lo que nos
ofrecen las TIC”.
La gestión de las tecnologías ha tomado diversos matices en función de la
disponibilidad de las mismas, actualmente el quehacer empresarial se soporta en ellas y
se requiere por lo tanto modelos adecuados para gestionar la información con criterios de
eficiencia, eficacia, confidencialidad, integridad, disponibilidad y fiabilidad cumpliendo las
normativa tanto interna como externa a la empresa.
Posteriormente con el advenimiento de Internet el proceso se realiza en servidores
distribuidos por todo el mundo y actualmente se brindan servicios en los espacios
personales, profesionales e institucionales.
Si bien es cierto que se han evidenciado muchos beneficios del uso de las tecnologías,
también se han suscitado una serie de problemas que ponen en riesgo la información y
como consecuencia la prestación del servicio.
En la página de Techweek (2) se evidencia diez posibles problemas de las tecnologías:
la red empresarial se convierte en medio de conversación ajena a la empresa entre el
personal, los usuarios acceden a servicios externos ajenos a la actividad de la empresa,
se transmiten por la red datos confidenciales no encriptados, las aplicaciones web tienen
muchos agujeros de seguridad, problemas con las bases de datos -espacio insuficientes,
no auditadas, inseguras, etc – problemas con los IPs, problemas de gestión, entre otros
La página de Ibermática (3) tratando el tema de oportunidades y amenazas sociales de
las TICs concluye “El desarrollo que aportan las TIC transforma poderosamente los
modos de vida y la actividad laboral y profesional. Sin embargo, no hay una suficiente
conciencia práctica a la hora de abordar esos cambios, ni en la dirección a emprender ni
en la urgencia de los mismos.”
El procesamiento de la información ha tenido diferentes enfoques en función de la
tecnología del momento. Inicialmente la información se procesaba en los llamados
“centros de cómputo” por lotes, identificando los procesos de digitación, validación,
procesamiento e impresión de reportes.
Con la aparición de los computadores personales las empresas iniciaron un proceso de
descentralización del tratamiento de información y con ello demandaron software
especializado para las funciones de contabilidad, facturación, almacén, pago de
remuneraciones, etc. dejando de lado el objetivo de las empresa. En estos tiempos se
privilegiaban las funciones administrativas afectando el servicio o producción de la
empresa.
La problemática de las tecnologías es mundial y genera nuevas formas de
dependencia. Según un estudio (4) de la UIT (Unión internacional de telecomunicaciones)
la tecnología crece en un 30% manteniendo una brecha digital paralela entre los países
desarrollados y los menos favorecidos, para minimizar este problema se ha implementado
un Plan Marshall (5) de las tecnología para África.
Salazar (6) comenta ”Las TICs agregan valor a las actividades operacionales y de
gestión empresarial en general y permite a las empresas obtener ventajas competitivas,
permanecer en el mercado y centrarse en su negocio”.
En este sentido la información es un gran eje sobre el que giran muchas actividades del
quehacer humano. Desde la aparición de las computadoras se inició una revolución en el
tratamiento y uso de la información en las organizaciones. La experiencia de las
empresas respecto al uso de las tecnologías ha sido muy variada en cuanto a la
satisfacción del servicio, sin embargo es una necesidad de la que no se puede prescindir,
prácticamente no hay empresas que no utilice computadoras.
1.1.2. Enunciado del problema:
De lo mencionado en el ítem anterior se plantea el siguiente problema de investigación
¿Cuál es el perfil de la gestión de las TICs que tienen las MYPES de la Región Ancash?
1.2. Objetivos de la investigación
1.2.1 Objetivo generalDescribir el perfil de la gestión de las TICs en las MYPES de la Región Ancash.
1.2.2. Objetivos específicos
Describir el perfil del planeamiento y organización de tecnologías en las MYPES de la
Región Ancash.
Describir el perfil de la adquisición e implementación de tecnologías en las MYPES de la
Región Ancash.
Describir el perfil de la entrega del servicio de tecnologías en las MYPES de la Región
Ancash.
Describir el perfil del monitoreo y control de tecnologías en las MYPES de la Región
Ancash.
1.3. Justificación de la Investigación
El Instituto tecnológico de Galecia (7) que mantiene un proyecto de planificación para
15 MYPES indica que “La Planificación Estratégica es el proceso mediante el que una
empresa define cuál es la posición deseada para el futuro y de qué manera pretende
alcanzarla”.
Planificar está relacionado con el diseño de un modelo de gestión de TICs que tenga
como objetivo estratégico el de apoyar al logro de objetivos institucionales o
empresariales. En este sentido este estudio determinará en que medida las tecnologías
están orientadas a soportar los objetivos estratégicos empresariales en el marco de la
gestión de calidad.
Desde el punto de vista financiero, Gloria Medina (8) cita a John Davies, Vicepresidente
de mercadeo y ventas de Intel Corporation, quien en una conferencia que brindó en la
Cámara de comercio de Lima recomendó al gobierno peruano la inversión en TICs porque
“invertir en tecnología ayuda a los gobiernos y empresas a generar un mayor desarrollo
económico.” En este sentido es conveniente mantener los niveles de inversión
relacionados con la adquisición de soluciones tecnológicas en valores aceptables y
rentables por la rápida obsolescencia debido a su evolución. Este estudio permitirá
conocer los mecanismos para adquisición de tecnologías.
Los continuos cambios en las tecnologías genera a su vez repercusiones en el servicio
entregado a los usuarios afectando su productividad, calidad y agilidad.
El manual de atención al usuario (9) de la biblioteca de la Universidad de Cantabria cita
a la autora Darlene E Weingand "El excelente servicio al cliente es más que una meta,
más que un ideal y más de la jerga de los años 90. Se trata, en su forma más básica, la
buena la práctica empresarial” y agrega que “el servicio al cliente es el eje
alrededor de la cual todas las demás operaciones debe girar” y presenta un conjunto de
prácticas de atención al usuario ubicándolo en el centro del servicio. Llevando esta
reflexión al ambiente informático este estudio determinará de que manera el cliente de las
TICs percibe el servicio que como consecuencia inmediata se refleja en el servicio o
producto ofertado por la empresa.
El presente estudio cobra importancia toda vez que se pretende identificar y describir
los factores que afectan la planificación y organización, adquisición de tecnologías,
entrega del servicio y monitoreo del servicio informático en las empresas del medio, con el
objetivo de contribuir al direccionamiento del uso de las TICs y de buenas prácticas, por
otro lado permitirá conocer las TICs a un nivel aceptable por los empresarios.
Se ha considerado el modelo COBIT para este trabajo porquer su misión es
precisamente “Investigar, desarrollar, hacer público y promover un marco de control de
gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por
parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de
TI y profesionales de aseguramiento.”
La alta dirección se está dando cuenta del impacto significativo que tiene la
información en el éxito de la empresa, por lo tanto se espera que las TICs generen un
valor agregado y sea aprovechada como ventaja competitiva, en este sentido COBIT
como marco referencial basado en buenas prácticas permite:
•Asegurar el logro de objetivos tecnológicos y empresariales..•Flexibilidad para aprender y adaptarse a los cambios tecnológicos y empresariales•Manejo juicioso de mitigación de los riesgos tecnológicos•Reconocer las oportunidades y actuar de acuerdo a ellas.•Alinear las estrategia de TI con la estrategia del negocio.•Estructuras organizacionales que faciliten la implementación de estrategias y el logro de las metas.•Crear relaciones beneficiosas entre el negocio, las TI y los socios externos.•Organizar las actividades emmpresariales en un modelo de procesos generalmente aceptado.•Valorar el desempeño de la TI en comparación con la competencia (Benchmarking)2. Marco teórico y conceptual2.1. Antecedentes2.1.1. A nivel internacional
Torres (10) en su tesis doctoral “Acumulación y socialización de capacidades durante la
gestión tecnológica: Caso CEMEX” tiene como objetivo “Analizar el proceso de gestión y
socialización de capacidades en CEMEX (Cementos Mexicanos), siendo la pregunta que
guía la investigación “Cómo se gestionan y socializan capacidades en una gran empresa
Mexicana? y las conclusiones se relacionan con la estandarización de procesos,
fusionando prácticas y procesos con tecnología, codificando y difundiendo conocimiento
en forma de estándares proceso, redes de trabajo virtual
Tancredi et al (11) en su tesis “Gobernabilidad de las políticas de gestión educativa
universitaria y las tecnologías asociadas. Parte II”. Tiene como objetivo “Analizar las
políticas de gestión educativa universitaria, según sus modos de gobernabilidad en
niveles y procesos de toma de decisiones en un período bianual en el ámbito de la
Universidad Nacional de Cuyo”, y las conclusiones generan conocimiento en aspectos de
universidad y contexto, implicancia en los conceptos de politica, gobierno, gobernabilidad,
organización y administración-gestión y enfoque de toma de decisiones.
Bravo (12) en su tesis “Visión sistemática aplicada a la gestión de procesos” el objetivo
de la investigación es “Analizar la aplicación de las herramientas que provee la visión
sistémica en la gestión de procesos.”, y presenta como conclusiones la factibilidad,
productividad y conveniencia social de aplicaciones con herramientas sistémicas con las
siguientes características: cambio en forma integral, procesos en una perspectiva histórica
que permita rescatar aprendizajes, gestión de procesos como proyectos con un ciclo de
vida y etapas, trabajar con un mapa de procesos, por el enfoque holístico que provee,
describir los procesos con la nueva generación de flujogramas de información, cuidar que
los procesos y actividades agreguen valor.
Ramirez (13) en su tesis “Rol y contribución de los sistemas de planificación de los
recursos de la empresa (ERP)” tiene como objetivo definir un modelo para implementar
exitósamente un ERP en enpresas de la realidad chilena basado en cuatro dimensiones
básicas: calidad de sistemas, calidad de información, calidad de servicio y beneficios
netos y soportado en 8 factores críticos de éxito: Planificación estratégica de los sistemas
de información, Compromiso ejecutivo, Gestión de proyecto, Habilidades en tecnologías
de información, Habilidades en procesos de negocio, Entrenamiento en ERP, Aprendizaje,
Predisposición para el cambio. La conclusión del estudio comfirma el impacto positivo de
los factores críticos de éxito en la implementación de ERP. Este estudio es importante
para nuestro trabajo porque sigue un marco metodológico semejante al nuestro, con la
diferencia que aquí se propone un modelo y nosotros usamos el modelo COBIT
propuesto como buenas prácticas.
Espinosa (14) en su tesis doctoral “Tecnología y modernización estratégica en la
administración pública local: análisis de las estrategias de administración electrónica en
los municipios españoles” presenta las siguientes conclusiones: la irrupción de las TICS
en las organizaciones enfrenta un nuevo modelo de competencia y de gestión, el interés
por el estudio de las tendencias de administración electrónica va en aumento, Internet
ofrece al mundo de los negocios una nueva infraestructura practicamente universal, de
gran capacidad y con múltiples funciones.
Iturbe (15) en su trabajo de tesis “Análisis del impacto de la eficiencia empresarial de
las nuevas tecnologías de la información y comunicaciones sobre la PYME industrial
Vasca” analiza de manera exhaustiva las alternativas tecnológicas puesta a disposición de
las organizaciones industriales para la optimización de recurso información y estudia el
grado de implantación de las TIC en las organizaciones industriales caracterizadas por su
tamaño, actividad industrial, actividad exportadora y por su ubicación geográfica. Por
último se analiza el grado de impacto de las tecnologías estudiadas en distintos aspectos
de gestión vinculados con las funciones clave en las empresas industriales.
En el año 2004, en el Ayuntamiento de Murcia (España), el Instituto de Marketing y
Estudios S.L. (IMAES), realizó un trabajo de investigación (16) titulado “Conocimiento y
utilización de las tecnologías de la información y la comunicación (TIC) en los
emprendedores y microempresas apoyadas por el Proyecto MICRO”, el cual se centró en
la captación de información acerca de la disponibilidad de medios de tecnologías de la
información y comunicación (TICs) en las empresas estudiadas, la sensibilidad sobre el
uso de éstas nuevas tecnologías, su conocimiento, formación para su manejo correcto,
entre otros; obteniéndose importantes resultados acerca del conocimiento y uso de las
TICs según la actividad de la empresa, el número de trabajadores, el sexo y la edad de
las personas entrevistadas. Este estudio concluyó, entre otros puntos, que existe un grado
de conocimiento, entre medio y medio alto, de las TICs, y que sólo el 7.7% de personas
no tienen grado de conocimiento alguno al respecto.
En el año 2005, International Development Research Centre y Editorial Tecnológica de
Costa Rica (17) realizaron un estudio denominado “TICs en las PYMES de
Centroamérica”, el cual concluye que el 50%, 46%, 32%, 25% y 36% de las
microempresas de Costa Rica, El Salvador, Guatemala, Honduras y Nicaragua
respectivamente presentan algún grado de adopción de TICs. Asimismo el 73%, 74%,
24%, 45% y 48% de las pequeñas empresas de Costa Rica, El Salvador, Guatemala,
Honduras y Nicaragua respectivamente presentan algún grado de adopción de TICs.
En el año 2006, el Ministerio de Economía de Chile (18) realizó un estudio denominado
“Acceso y uso de las TICs en las empresas chilenas”, el cual determinó que el 71% de las
pequeñas empresas chilenas cuentan con computadores, Éste porcentaje aumenta al
92% en las pequeñas y medianas empresas. Asimismo el 62% de las pequeñas empresas
cuenta con conexión a internet y sólo el 22.4% cuenta con una página web. En el caso de
las pequeñas y medianas empresas, el 87% cuenta con conexión a internet y el 43.8%
cuenta con una página web.
En el año 2007, se realizó un estudio denominado “La competencia de las PYMES en
Las Segovias (Nicaragua)” (19), el cual, entre otros puntos, concluye que el 29% de las
microempresas de Nicaragua tienen acceso a las computadoras; este porcentaje sube a
40% en el caso de las pequeñas empresas, el 16% de las microempresas de ese país
tienen acceso a Internet; aumentando al 18% en el caso de las pequeñas empresas. Sólo
el 1% de las microempresas cuentan con una página web de su empresa, mientras que el
7% de las pequeñas empresas cuenta con ésta tecnología.
En el año 2007, la Agenda Nacional de la Sociedad de la Información y el
Conocimiento de Guatemala (20) realizó el denominado “Plan de reducción de la brecha,
de inclusión y de alineación digital, a los planes de crecimiento económico y de desarrollo
social del país”, el cual permitió determinar que el 32% de las microempresas de ése país
cuentan con computadoras, mientras que sólo el 2% cuenta con una página web. En el
caso de las pequeñas empresas, el 24% cuenta con computadoras y sólo el 2% cuenta
con página web.
Las instituciones ISACA (Information System Audit and Control Association) junto con el
ITGI (Governance Institute) han desarrollado volúmenes de información de COBIT a
traveś de informes, manuales y modelos en diferentes versiones que constituyen
antecedentes de primera mano. Tienen entre sus colaboradores, desarrolladores y
revisores a mas 300 representantes de las empresas mas importantes del mundo que
utilizan COBIT como modelo de gestión de TI (Información documentada en todos los
libros oficiales de COBIT). El IT Governance Institute realiza encuestas a nivel de América
Latina siendo el objetivo de la mismas evaluar en el ámbito global las prioridades y
acciones que se estaban realizando en lo relativo a gestión de TI y las necesidades que
se plantean en cuanto a herramientas y servicios que aseguren una correcta
implementación con COBIT.
2.1.2 Antecedentes a Nivel Nacional
Joo (21) en su tesis “Análisis y propuesta de gestión pedagógica y administrativa de las
TICs, para construir espacios que generen conocimiento en el colegio Champagnat”
rescata el uso y gestión de TICs orientada al servicio educativo. Esta tesis es importante
para nuestro estudio porque presenta un esquema de investigación del uso de TICS con
un enfoque de procesos, lo que se evidencia en que la mayoría de las conclusiones
referencian la presencia o ausencia de procedimientos para usar las TICs en procesos
educativos.
En el año 2005, el Centro de Promoción de la Pequeña y Microempresa (PROMPyme),
realizó en el Perú un estudio denominado “Identificación de necesidades de las Mypes
con respecto a las Tecnologías de la Información y Comunicaciones (TIC)” (22), el cual
tuvo como uno de sus objetivos determinar la utilización de los sistemas de información y
del equipamiento informático de la MYPE, como herramientas para la gestión empresarial.
Este estudio llegó a la conclusión de que el 50% del personal de las MYPES tiene un nivel
bajo (básico) de conocimiento de las TICs.
En el año 2005 se realizó un estudio en las Municipalidades Provinciales de Trujillo y
Piura denominado “Manejo de las tecnologías de información y comunicación” (23), el
cual determinó que el 70% de los funcionarios de la Municipalidad Provincial de Trujillo
opina que se encuentran bastante avanzado el proceso de estandarización de éstas
tecnologías, el 10% consideran que se encuentra avanzado, el 13.33% poco avanzado y
6.67% sin avance alguno en la estandarización de las TICs. En la Municipalidad Provincial
de Piura estos porcentajes cambian al 41.67% (bastante avanzado), 33.33% (avanzado),
16.67% 16 (poco avanzado) y 8.33% (sin avance).
2.2. Bases teóricas
2.2.1. Pequeñas y microempresas
2.2.1.1.Orígenes y expansión de las MYPES
En el Perú, al igual que la mayoría de países de Latinoamérica, se ha observado en los
últimos años un importante incremento del número de micro y pequeñas empresas
(MYPES), debido principalmente a los siguientes factores (24):
a. Reformas económicas. La fuerte crisis económica experimentada en nuestro país
desde la década pasada, obligó a realizar cambios estructurales de gran magnitud,
tanto en los aspectos económicos, políticos como sociales; desencadenando un alto
crecimiento del nivel de desempleo.
b. Reducción del aparato estatal. Las reformas que se implantaron en nuestro país,
incluyeron la reducción del aparato estatal que llevo consigo que una importante
cantidad de empleados estatales tuvieran que pasar al lado de los desempleados,
agudizando la problemática social que de por si generaron las reformas económicas.
Es el sector de las pequeñas y micro empresas el que contribuyo a amortiguar
eventuales problemas sociales al dirigirse los trabajadores despedidos de empresas
públicas y privadas a crear sus propias unidades productivas.
En los últimos años se observa un fuerte interés de los demás sectores y en especial
del gobierno al sector de la pequeña y micro empresa, habiéndose dado disposiciones
que buscan por un lado fomentar el empleo a través de la creación de nuevas MYPES y
por otro lado enrumbarlas dentro del aspecto formal.
2.2.1.2 Definición
La Ley 28015 – Ley de promoción y formalización de la micro y pequeña empresa, en
su artículo 2do. define a la micro y pequeña empresa como “la unidad económica
constituida por una persona natural o jurídica, bajo cualquier forma de organización o
gestión empresarial contemplada en la legislación vigente, que tiene como objeto
desarrollar actividades de extracción, transformación, producción, comercialización de
bienes o prestación de servicios” (24).
Existen dos modalidades de MYPES: la microempresa y la pequeña empresa, las
cuales son diferenciadas por diferentes entidades en función al número de trabajadores,
monto de ventas anuales, monto en activos fijos. Según Yacsahuache (24), las
definiciones más acertadas son las siguientes:
La comisión de promoción de la pequeña y microempresa PromPyme del Ministerio de
Trabajo y Promoción del Empleo hace la diferenciación entre micro y pequeña empresa
según el número de trabajadores y en monto de activos fijos – expresado en unidades
impositivas tributarias (UIT). La microempresa es aquella que tiene entre 1 a 10
trabajadores y un monto de activos fijos de hasta 150 UIT. La pequeña empresa es
aquella que tiene de 1 a 50 trabajadores y un monto de activos entre 150 y 850 UIT.
El Ministerio de Industria, Turismo, Integración y Negociaciones Comerciales
internacionales (MITINCI) diferencia ambas modalidades por el número de trabajadores y
las ventas anuales. La microempresa es aquella que tiene no más de 10 trabajadores y
realiza ventas anuales inferiores a las 12 UIT.
La pequeña empresa tiene no más de 20 trabajadores y realiza ventas anuales entre
12 a 25 UIT.
Por su parte la Superintendencia de Banca y Seguros (SBS) y la CorpoRación
Financiera de Desarrollo S.A. (COFIDE), hacen una diferenciación entre micro y pequeña
empresa de acuerdo a los montos de sus activos fijos y las ventas anuales (expresados
ambos en dólares americanos). La microempresa es aquella que tiene activos fijos hasta
por US$ 20000 y ventas anuales menores a US$ 40000. La pequeña empresa tiene
activos fijos entre US$ 20000 a US$ 300000 y ventas anuales entre US$ 40000 a US$
750000 (24).
2.2.1.3. Áreas de actividad de una MYPE
Las áreas de actividades y funciones de una MYPE pueden clasificarse en (25):
1.Investigación y desarrollo: Investigación, Desarrollo, Ingeniería de productos.
2.Producción: Ingeniería de fábrica, Ingeniería industrial, Compras, planificación y control
de la producción, Fabricación, Control de calidad.
3.Comercialización: Investigación de mercado, Publicidad, Promoción de ventas,
Planeamiento de ventas, Operaciones de ventas, Distribución física.
4.Finanzas y control: Finanzas, Control.
5.Administración de personal: Reclutamiento, Administración de sueldos y jornales,
Relaciones industriales, Planeamiento y desarrollo de la información, Servicios para
empleados.
6.Relaciones externas: Comunicaciones e información, Coordinación de actividades
públicas.
7.Legales: Secretaría, Legales
2.2.1.4. Características de una MYPE
Según Yacsahuache (24), una MYPE presenta las siguientes características:
•Constituyen una alta fuente de generación de empleo. Existe alrededor de 3.1 millones
de MYPES: 1.7 millones de MYPES urbanas y 1.4 millones de MYPES rurales.
•Dan ocupación al 74% de la PEA (5.6 millones de trabajadores). Alta Contribución Al
PBI. Las MYPES contribuyen con el 43% del PBI: MYPES urbanas con 34% y MYPES
rurales con 9%.
•Poseen una alta tasa de informalidad, ya que sólo el 18% de MYPES posee RUC.
•El 78% de las MYPES urbanas están organizadas como “persona natural con negocio
propio”. El 75% de las MYPES urbanas no cuenta con licencia de funcionamiento.
•La mayoría de las personas del sector MYPES pertenecen a niveles socio económicos
bajos. El ingreso aportado por la unidad productiva representa el principal o único ingreso
familiar.
•Existe una estrecha relación capital trabajo, ya que la persona que aporta el capital es la
misma que trabaja, confundiéndose la fuente de financiamiento de la empresa y la familia.
•Los trabajadores realizan múltiples funciones y el proceso de toma decisiones está
centralizado, dándose que el empresario realiza funciones de gestión y producción.
•Tienen un escaso acceso al crédito, debido a que:
◦Son consideradas como de muy alto riesgo.
◦Disponen de insuficiente documentación contable – financiera.
◦No poseen el nivel y tipo de garantías exigidas.
◦Las instituciones financieras no han desarrollado una tecnología adecuada para su
atención.
•Poseen una escasa capacidad empresarial, lo que se debe a una cultura empresarial
incipiente. El 70% de las MYPES que inician sus actividades desaparecen en el primer
año de operación.
•Incipiente desarrollo tecnológico, debido a que cuentan con escasos recursos
tecnológicos. Poseen maquinarias y equipos obsoletos, lo que da como resultado una
baja productividad. No existen sistemas de producción para operaciones a pequeña
escala.
•El sector MYPES no es un grupo homogéneo, son muchas las diferencias que existen
entre las diversas unidades que conforman este sector, por lo cual cualquier tratamiento
tiene que ser diferenciado en función al: nivel de crecimiento, acumulación ampliada,
acumulación simple, subsistencia, gestión y organización, actividad económica. Se
observa que las MYPES urbanas se concentran en los sectores de: comercio, servicios,
transporte e industria.
2.2.2. Las Tecnologías de Información y comunicaciones (TICs)
2.2.2.1. Definición
Inicialmente se hablaba del término “tecnologías de la información”, el cuál se definía
como el conjunto de tecnologías relacionadas con las actividades de hardware, software y
servicios informáticos, es decir, todas aquellas tecnologías cuyo objetivo sea tratar o
procesar información (25).
En los últimos años se ha dado un paso hacia delante y se han incluido aquellas
tecnologías que tienen como fin difundir o comunicar esta información y compartir
conocimiento, así, ahora se habla de Tecnologías de la Información y de las
Comunicaciones. Este resultado ampliado conocido como TICs es la denominación
genérica que abarca las Tecnologías de la Información, las actividades de equipos y
servicios de comunicaciones y las personas. El creciente uso de este acrónimo es una
medida del acelerado fenómeno de convergencia entre información y comunicaciones
(25).
Las TICs, como herramienta que son, permiten realizar básicamente tres funciones
(25):
a)Obtener más información en mucho menos tiempo, e incluso obtener información que
no será posible obtener de otra manera.
b)Procesar esa información de una manera más creativa, completa, rápida y confiable .
c)Comunicarnos con más personas más efectiva y eficientemente.
2.2.2.2. Áreas de aplicación de las TICs
Las TICS se aplican en las siguientes áreas de una empresa (26):
a)Administrativa: Contable, financiera, procedimientos, ERP.
b)Procesos productivos: CAD, CAM, entrega de productos.
c)Relaciones Externas: Mercadeo y CRM, proveedores y SChM, aliados, confidencialidad.
d)Control y Evaluación Gerencial: Sistemas de información y MIS, gestión de calidad,
formación del equipo humano.
2.2.2.3. Beneficios que aportan las TICs
Las empresas tienen un objetivo claro: producir beneficios ofreciendo productos y
servicios de valor para los que los adquieren. Por tanto, todo lo que hagan en relación con
la sociedad de la información tiene que encajar con su razón de ser.
Hay muchas formas en que las empresas se beneficiarán, y no sólo las nuevas
empresas nacidas para Internet, sino también las tradicionales (25):
•Crear el sitio web de empresa. El simple hecho de "no estar en Internet” va a generar
cada vez más dudas sobre la credibilidad de una empresa.
•Identificar, dentro de cada sector, pero también dentro de cada empresa, formas de usar
las TICs que produzcan aumento de ingresos o reducción de costos; es decir, mejora de
la competitividad.
•Desarrollar una oferta de servicios y aplicaciones electrónicas.
•Recordar que donde suelen estar más claros los beneficios de aplicación de las TIC es
en los procesos internos de empresa. Hasta las empresas más tradicionales pueden
conseguir mejoras de productividad por esta vía y seguramente se verán obligadas a
hacerlo por sus competidores.
•No retraerse ante las innovaciones por miedo a las complicaciones que todo cambio
acarrea. Las empresas no pueden permitir que la inercia y la comodidad a corto plazo
sean las que marquen su estrategia de futuro.
•Convencer a las personas de que el uso de las nuevas tecnologías no sólo será
inevitable, sino también beneficioso para ellos mismos y conseguir que todas ellas
adquieran la formación mínima para usar las nuevas herramientas, optimizará su trabajo y
evitará tareas de poco valor añadido.
2.2.2.3. Principales TICs utilizadas en las empresas
Las principales tecnologías de la información y comunicaciones que utiliza una
empresa son: Internet, comercio electrónico, telecomunicaciones básicas, aplicación de
las TICs en la industria y, por último, gestión de la innovación (25).
a)Internet ha supuesto una revolución sin precedentes en el mundo de la informática y de
las comunicaciones.
Desde el punto de vista técnico, se puede definir internet como un inmenso conjunto de
redes de ordenadores que se encuentran interconectadas entre sí, dando lugar a la mayor
red de redes de ámbito mundial (25).
b)El Comercio Electrónico incluye actividades muy diversas como el intercambio de
bienes y servicios, el suministro on line de contenido digital, la transferencia electrónica de
fondos, las compras públicas, los servicios postventa, actividades de promoción y
publicidad de productos y servicios, campañas de imagen de las organizaciones,
marketing en general, facilitación de los contactos entre los agentes de comercio,
seguimiento e investigación de mercados, concursos electrónicos y soporte para la
compartición de negocios (27).
El ebusiness incluye las conexiones de ventas electrónicas a otras partes de una
organización que se relacionen internamente con las finanzas, provisión de personal, la
comercialización, el servicio de cliente, y externamente a los clientes, a los proveedores y
a la gerencia en última instancia.
Por tanto, se hablará de ecommerce como la transacción en sí a través de medios
electrónicos (internet, intranet, dispositivos móviles), y se hará referencia a ebusiness
como todas las posibilidades para mejorar los resultados empresariales incorporando
internet y las TIC en los procesos organizacionales.
Las empresas adoptan el comercio electrónico con el fin de mejorar su organización,
esperando que tales mejoras produzcan tres beneficios principalmente (28):
◦Mejor servicio a clientes.
◦Mejores relaciones con los proveedores y la comunidad financiera; y
◦Mayor rendimiento de las inversiones de los accionistas y dueños.
Los principales tipos de comercio electrónico son business to consumer, business
to business y otros tipos de comercio electrónico (29):
a)Business to consumer (B2C). Está enfocado hacia la realización de transacciones
comerciales entre los consumidores y una empresa, siendo el más comúnmente
conocido. Ejemplo (paradigmático): www.amazon.com.
b)Business to business (B2B). Está enfocado hacia la realización de transacciones
comerciales entre dos empresas. La colaboración puede “trascender” a los departamentos
comerciales. Es el que genera un mayor volumen de negocio. Ejemplo: emisión de
pedidos para una fábrica de coches.
c)Otros tipos de comercio electrónico:
◦Facilitar las relaciones de las personas o empresas con la administración (por
ejemplo:IRPF).
◦Apoyar las relaciones entre empleados (B2E) o unidades de la misma empresa o
institución (por ejemplo: directo.uniovi.es).
c)Telecomunicaciones básicas. En nuestro entorno actual es cada vez más frecuente
escuchar multitud de términos relacionados con el sector de las Telecomunicaciones.
Las telecomunicaciones básicas incluyen todos los servicios de telecomunicaciones, tanto
públicos como privados, que suponen la transmisión de extremo a extremo de la
información facilitada por los clientes (30).
La prestación de los servicios de telecomunicaciones básicas se realiza: mediante el
suministro transfronterizo y mediante el establecimiento de empresas extranjeras o de una
presencia comercial, incluida la posibilidad de ser propietario y explotar la infraestructura
independiente de redes de telecomunicaciones. Son ejemplos de servicios de
telecomunicaciones básicas (30):
◦Servicios de teléfono.
◦Servicios de transmisión de datos con conmutación de paquetes.
◦Servicios de transmisión de datos con conmutación de circuitos.
◦Servicios de télex.
◦Servicios de telégrafo.
◦Servicios de facsímil.
◦Servicios de circuitos privados arrendados.
◦Otros servicios.
▪Servicios analógicos/digitales de telefonía móvil/celular.
▪Servicios móviles de transmisión de datos.
▪Servicios de radiobúsqueda.
▪Servicios de comunicación personal.
▪Servicios móviles por satélite (incluidos, por ejemplo, telefonía, datos, radiobúsqueda y/o
servicios de comunicación personal).
▪Servicios fijos por satélite.
▪Servicios de terminales de muy pequeña cobertura.
▪Servicios de estación terrestre de acceso.
▪Servicios de teleconferencia.
▪Servicios de transmisión de vídeo.
▪Servicios de radiotelefonía con concentración de enlaces.
d)Aplicaciones de las TICs en la Industria. En los últimos años se ha producido una rápida
expansión y evolución de la tecnología de los sistemas de información para empresas. Sin
embargo, el estado de los sistemas informáticos de las organizaciones no ha
evolucionado con sus necesidades. La mayor parte de empresas tienen programas
insuficientes, con características tecnológicas atrasadas y no hacen sino automatizar
algunas de las funciones básicas de la organización. Los cambios producidos por el boom
de las nuevas tecnologías han obligado a muchas empresas a tomar serias decisiones
para adaptarse a estos cambios (25). Existen diversas soluciones que se podrán aplicar
en función de las necesidades concretas de cada caso: redes locales, trabajo
colaborativo, ingeniería (CAD, CAM), gestión y producción (ERP), clientes y comunicación
(CRM), etc. (25).
e)Gestión de la innovación. La Innovación Tecnológica constituye una estrategia clave
dirigida al desarrollo de nuevos procesos y productos, mediante la generación,
transferencia, incorporación y adaptación de tecnologías. La Innovación es producto de la
creatividad y del empleo eficaz de las herramientas de ciencia y tecnología, sin embargo,
también requiere una organización y gestión de los Sistemas de Innovación en la
Empresa (25).
Habrá que tener en cuenta los criterios y consideraciones para realizar una correcta
planificación estratégica de la Innovación, cómo gestionar el conocimiento y qué
metodología seguir para realizar una vigilancia tecnológica que permita a la Empresa
mantenerse al día en cuanto a las últimas tecnologías (25).
2.2.2.5. Perfil de uso de las TICs en las MYPES
Según la Sociedad de la Promoción y Reconversión Industrial SPRI (31), las Mypes
presentan los siguientes Perfiles de uso de las TICs, cada uno con características
precisas:
a)Ofimática
◦Utilización de las TICs clásicas (teléfono y fax) en la comunicación con nuestros clientes,
proveedores, la Administración Pública, etc.
◦El computador personal, con sus aplicaciones básicas (procesador de textos y hoja de
cálculo) es la herramienta de trabajo para las tareas de administración.
◦No se considera internet y el correo electrónico como un canal de relación o
comunicación.
◦Internet es considerado un costo y no una oportunidad de mejora para el negocio.
b)Información
◦Empiezan a ser conocidas las ventajas que las nuevas tecnología pueden aportar a la
empresa, centrándose en la incorporación del correo electrónico como medio de
comunicación y en Internet como nuevo canal para dar a conocer la compañía y sus
productos y facilitar la obtención de información.
◦Los sistemas de información internos se desarrollan en las Áreas de contabilidad y de
gestión de personal fundamentalmente.
◦En general, no se dispone de sistemas de información para las áreaUniversidad
Nacional Mayor de San Marcos. Curso de Administración de MYPES claves.
a)Interacción
◦Las TICs y fundamentalmente Internet se utilizan para entablar un diálogo con nuestros
clientes, proveedores, etc.
◦Existe por lo tanto un intercambio de información aunque la transacción económica
(compraventa) se sigue produciendo por el canal tradicional.
◦La empresa va avanzando en su automatización, incorporando sistemas de información
para alguna de las áreas clave (ventas, producción, compras y/o logística).
◦Sin embargo, estas aplicaciones todavía no están integradas entre sí, por lo que se da
un cierto tratamiento manual de la información.
b)Transacción
◦Se empiezan a realizar transacciones económicas (compraventa) con clientes y
proveedores a través de Internet.
◦La empresa va avanzando en la integración de sus sistemas de información internos.
◦Adicionalmente existe cierta integración entre los sistemas internos y externos, pese a
que todavía persisten “islas” de información, informaciones duplicadas, etc.
c)Digitalización
◦Existe una integración de todas las operaciones de la cadena de valor (desde la compra
hasta el servicio postventa). Asimismo la empresa está integrada y colabora con agentes
externos (clientes, proveedores).
◦Se puede hablar en esta fase de una organización en tiempo real, que es capaz de
entender y anticiparse a las necesidades de sus clientes, personalizando sus productos y
servicios y entregándolos en el menor tiempo posible.
En nuestro trabajo proponemos definir un perfil basado en el modelo COBIT que prioriza
el enfoque de procesos y loss criterios de madurez en el uso de las TICs.
2.2.3. Las TICs y las MYPES
El desarrollo en los últimos años de las tecnologías de la información y comunicaciones
(TICs) está transformando paulatinamente la forma de actuar y relacionarnos en los
ámbitos económico, social, político y educativo. Este impacto es claramente visible en el
mundo empresarial, donde Internet y las demás TICs, con su capacidad prácticamente
ilimitada de obtener, almacenar, procesar y compartir información, están configurando un
nuevo entorno competitivo en el que (33):
•Las barreras geográficas se difuminan, facilitando el acceso a un mercado más amplio
pero favoreciendo también una mayor presión competitiva.
•Los clientes son cada vez más exigentes y esperan un producto/servicio más
personalizado.
•Los tiempos de respuesta se acortan, lo que hace necesario contar con una mayor
capacidad y velocidad en el procesamiento de la información y en la generación y
compartición de conocimiento.
•La posibilidad y necesidad de colaborar con otros agentes económicos se acrecienta.
En este contexto, las tecnologías de la información y comunicación ofrecen grandes
oportunidades para mejorar la eficiencia y diferenciación de las empresas, que éstas
deben saber aprovechar.
De este modo, las TICs ofrecen, entre otras, la posibilidad de (33):
•Ampliar la base del negocio, en la medida en que la venta a través de Internet puede
facilitar la entrada a nuevos mercados geográficos o nuevos grupos de clientes.
•Reducir costes y tiempos, aprovechando la capacidad de las nuevas tecnologías de
automatizar los procesos internos (compra, almacén, gestión comercial, etc.).
•Mejorar la calidad del servicio ofrecido, a través de una mayor disponibilidad y velocidad
del mismo.
•Intensificar la colaboración con proveedores y clientes para mejorar el diseño de
productos, optimizar los procesos de compra o venta, etc.
•Agilizar la relación con las Administraciones, entidades financieras, etc.
•Las MYPES no son ajenas a las oportunidades y retos que las TICs generan. Sin
embargo, cada empresa, en función de su tamaño y actividad, deberá adoptar soluciones
diferentes en este campo.
2.2.3.1. Utilidad de las TICs en las MYPES
Las TIC pueden ser incorporadas al propio proceso productivo de las MYPES. Sin duda
existen ya equipos de manufactura textil de pequeña escala que pueden ser controlados
por computadora, o maquinaria de envasado, o incluso toda la rama de pequeños
servicios TIC a nivel local: fotocopiadora, escaneados, etc., que hacen de las TIC el
centro mismo del negocio de algunas MYPES. Aplicar las TIC de manera racional en la
gestión de las MYPES permite mejorar la eficiencia de la misma y además debe permitirle
establecer una mejor relación con los clientes (33).
2.2.3.2. Aplicaciones de TICs en las MYPES
En una MYPE, las TICS pueden ser usadas para (34):
•Mejorar el mercadeo de nuestros productos: vía Web, correo electrónico, telemarketing,
etc.
•Establecer nuevos canales de comunicación con los clientes (fax, correo electrónico,
teléfono). Así la bodega de la esquina puede implementar un servicio de Delivery.
•Simplificar los mecanismos de compra y venta. Se puede ingresar a las pagina de los
proveedores y ordenar ciertos productos pagando a través de la propia Internet.
•Control de inventarios a través de simples aplicaciones de hoja de cálculo que permitan
saber en el día el stock de productos.
•Facturación, de manera que se tenga al día el flujo de ingresos y egresos.
•Podemos añadirle movilidad al negocio a través del celular.
•Establecer alianzas o cadenas virtuales con otras MYPE que permitan atender a clientes
aun cuando la MYPE requerida no provea el servicio o producto.
•Ahora también podemos entrar en el mundo del comercio electrónico y cerrar tratos
desde una cabina, o verificar si se ha hecho un deposito en el banco y si se le ha pagado
o no a algún proveedor.
Las aplicaciones están en aumento y pueden llegar a marearnos si no establecemos
claramente algunos criterios para su incorporación en el negocio. En algunos casos la
incorporación de las TIC deberá contar con la intermediación o asistencia técnica de
especialistas, pero en muchos casos son de directa y fácil aplicación por las MYPE (33).
2.2.3.3. Criterios para incorporar las TICs en la gestión de las MYPES
Los criterios que se deben tomar en cuenta para incorporar las TICs en la gestión de
MYPES son (34):
•Identificar una necesidad / problema.Hay que adoptar una solución sabiendo antes cual
es la necesidad o problema que se quiere atender. Es muy caro para las MYPE adoptar
tecnología por moda.
•Buscar la tecnología apropiada.No siempre lo mas avanzado en tecnología responderá
mejor a una necesidad concreta. Hay que asesorarse respecto de cual es la tecnología
mas adecuada para los fines perseguidos.
•Planificar su incorporación. Adoptar una solución tecnológica requiere de un proceso de
adopción que debe ser planificado, de manera tal que la pequeña o microempresa no
pierda su capacidad de operación. Hay que prever un periodo de entrenamiento en el uso,
un periodo de aplicación de prueba y luego incorporarla definitivamente en la gestión.
•Evaluar y comparar los resultados. En cada etapa de la adopción hay que tener claridad
respecto de que resultados se esperan alcanzar. De esa forma podremos evaluar cuan
positiva ha sido la adopción y si se esta resolviendo el problema o no. Es importante es
esta etapa comparar los resultados obtenidos por otras MYPE y aprender de ellas.
•Darle continuidad a la aplicación. Si se ha obtenido éxito o se esta obteniendo, es muy
importante mantener la aplicación de manera que se incorpore definitivamente en la
practica de gestión de la MYPE. Si se ha establecido un nuevo canal de comunicación
con clientes a través del correo electrónico, ese canal no se debe descuidar, pues a la
primera falla se pondrá en riesgo todos los beneficios obtenidos.
2.2.3.4. Las TICs y su importancia estratégica para las MYPES en la globalización
Actualmente es conocida la importancia que tienen las Tecnologías de Información y
Comunicación (TICs) y el uso que se hace de ellas en todas las organizaciones,
independientemente de que sean estas pequeñas, medianas o grandes empresas. La
importancia trasciende en la medida en que las organizaciones, por su tamaño, giro y
sector, son capaces de incorporar a su estrategia competitiva, TICs como ecommerce y
ebusiness (35).
Las TICs representan un área de oportunidad para las MYPES. El desafío consiste en
que necesariamente estas empresas tendrán que adoptar e incorporar de manera
estratégica esta tecnología a su organización (36).
Por lo que para tener éxito en el siglo XXI, las empresas tienen que aprovechar la
tecnología de la información, especialmente la Internet. Con internet y world wide web
(www), surge una herramienta para forjar una relación más cercana con el cliente (37).
Dentro de las ventajas específicas que se generan con las TIC, se mencionan los
aumentos a la productividad como resultado de la mejora de procesos, la creación de
valor para clientes y empleados de la organización y la creación de ventaja sobre la
competencia (38).
Ante la apertura de los mercados mundiales muchas organizaciones se ven afectadas,
lo que genera una reestructuración masiva en cada sector de negocios. Por tanto, con el
mercado en constante cambio, no existe la seguridad de que las empresas establezcan
una ventaja competitiva de forma permanente. En los tiempos actuales ninguna empresa
puede estancarse y vivir del éxito del pasado, cada día debe emprender una investigación
acerca de su nuevo ambiente para competir sobre bases sólidas.
De allí la importancia por aceptar y comprender el efecto de la globalización en las
MYPES a fin de que desarrollen un mejor desempeño en el entorno global.
2.3. Marco conceptual
2.3.1 El gobierno de las TICs – COBIT
El gobierno de las TICs ES “Una estructura de relaciones y procesos para dirigir y
controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor
mientras se balancean los riesgos versus el retorno sobre TI y sus procesos” (39). COBIT
es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente
entre los requerimientos de control, aspectos técnicos y riesgos de negocio.
COBIT habilita el desarrollo de una política clara y de buenas prácticas de control de TI
a través de organizaciones, a nivel mundial. El objetivo de COBIT es proporcionar estos
objetivos de control, dentro del marco referencial definido, y obtener la aprobación y el
apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de riesgos asociados con tecnología de información y
con tecnologías relacionadas (40).
COBIT se orienta tanto a la gestión como al control y auditoría de TICs.
Desde el punto de vista del control y auditoría COBIT provee las Directrices de
Auditoría ofrecen una herramienta complementaria para la fácil aplicación del Marco
Referencial y los Objetivos de Control COBIT dentro de las actividades de auditoría y
evaluación. El propósito de las Directrices de Auditoría es contar con una estructura
sencilla para auditar y evaluar controles, con base en prácticas de auditoría generalmente
aceptadas y compatibles con el esquema global COBIT. (40)
Desde el punto de vista de gestión COBIT provee un conjunto de directrices
gerenciales que son genéricas y que están orientadas a la acción con el fin de resolver
los tipos siguientes de preocupaciones de la administración (41):
•Medición del desempeño - ¿Cuáles son los indicadores de un buen desempeño?
•Determinación del perfil de control de TI—¿Qué es importante? ¿Cuáles son los
Factores Críticos de Éxito para el control?
•Conocimiento/concientización—¿Cuáles son los riesgos de no alcanzar nuestros
objetivos?
•Benchmarking—¿Qué hacen los demás? ¿Cómo medimos y comparamos?
El marco referencial de COBIT está estructurado en 04 dominios, 34 procesos y 300
objetivos de control. Cada uno de ellos puede ser tratado como variables y se utilizan en
el presente estudio. (42)
2.3.2. La entrega del servicio – ITIL
Un servicio es un medio de entregar valor a los clientes facilitando resultados que ellos
requieren sin riesgos y a costos específicos. Mientras que la administración del servicio es
un conjunto de capacidades organizacionales para proporcionar valor a los clientes en
forma de servicios. Las capacidades organizacionales incluyen procesos, métodos,
funciones, roles y actividades que un proveedor debe disponer para entregar un servicio
de TI a sus clientes. (43)
ITIL Es un marco de referencia que describe buenas prácticas para la administración
de servicio de TI. Proporciona un marco para el gobierno de TI enfocado a medir la
continuidad del servicio y mejora de la calidad desde la perspectiva de la empresa y del
cliente. (43)
La primera versión de ITIL consistía de 31 libros, la segunda de 7 y la tercera cubre 5
libros del ciclo de vida: estrategia, diseño, transición, operación y mejora continua del
servicio.
2.3.3. La seguridad – ISO 17999
La seguridad es un activo que, como otros activos importantes del negocio, tiene valor
para la organización y requiere en consecuencia una protección adecuada. Esto es muy
importante en el creciente ambiente interconectado de negocios. Cómo resultado de esta
creciente interconectividad, la información esta expuesta a un mayor rango de amenazas
y vulnerablidades. (44)
La seguridad de la información protege a esta de un amplio rango de amenazas para
asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades del negocio. (44)
La seguridad de la información se consigue implantando un conjunto adecuado de
controles que pueden ser políticas, prácticas, procedimientos, estructuras organizativas, y
funciones de software y hardware. Estos controles necesitan ser establecidos,
implementados, monitoreados, revisados y mejorados donde sea necesario, para
asegurar que se cumplan los objetivos específicos de seguridad y negocios de la
organización. (44)
3. Sistema de hipótesis
3.1. Hipótesis principal.
El perfil de la gestión de las Tecnologías de la información y las comunicaciones en las
empresas de la región Ancash es Ad-Hoc de acuerdo al modelo COBIT.
3.2. Hipótesis específicas.
1.El perfil de la gestión de la Planificación y Organización de las TICs en las empresas de
la región Ancash es Ad-Hoc de acuerdo al modelo COBIT.
2.El perfil de la gestión de Adquisición e Implementación de las TICs en las empresas de
la región Ancash es Ad-Hoc de acuerdo al modelo COBIT.
3.El perfil de la gestión de la Entrega del Servicio de las TICs en las empresas de la
región Ancash es Ad-Hoc de acuerdo al modelo COBIT.
4.El perfil de la gestión del Monitoreo y Control de las TICs en las empresas de la región
Ancash es Ad-Hoc de acuerdo al modelo COBIT.
4. Metodología
4.1. Subproyectos de investigación
El presente estudio propone el desarrollo de subproyectos basados en el perfil de
gestión de TICS en MYPES usando el modelo COBIT para ello se hace combinaciòn de
dominios de COBIT y tipo de empresa siguiendo el criterio: Uno o varios dominios para
aplicar en una o varias MYPES, se puede estudiar un dominio aplicado a un conjunto de
empresas o los cuatro dominios a una empresa.
DOMINIOS COBIT TIPO DE EMPRESA
Planeamiento y organización Empresas que por el número de trabajadores tengan la característica de MYPE, y que se Adquisición e implementación
encuentren en alguno de los sectores pesqueros, comercial, industrial, agrario, metalmecánico, salud, gobierno local o regional, sector público o privado en general
Entrega del servicio
Monitoreo y evaluación
4.2. Tipo y Nivel de investigación
4.2.1 Tipo de Investigación
El presente estudio por el grado de cuantificación reúne las condiciones de una
investigación cuantitativa.
4.2.2. Nivel de la Investigación
De acuerdo a la naturaleza del estudio de la investigación, reúne por su nivel, las
características de un estudio descriptivo.
4.3. Diseño de la Investigación
Diseño no experimental, transversal, de una sola casilla
ESQUEMA
4.4. Población y muestra
Población
La población estará constituida por el total empresas que operan en la Región Ancash.
Muestra
Se utilizará el muestreo no probabilístico, por cuotas, por que se requiere una
cuidadosa y controlada elección de los sujetos con las características especificadas en el
planteamiento del problema.
Unidad de análisis
Las unidades de análisis son cada una de las empresas que operan en la Región
Ancash.
Para la selección de cada unidad de análisis se realizará primero un listado de
REGION ANCASH
O
CONTEXTO
Empresasde la Región Ancash
MEntorno cara a cara
empresas, y posteriormente se visitará cada una de ellas.
Criterios de Inclusión y Exclusión
•Inclusión:
◦Empresas que tengan actividad en la Región Ancash,
◦Empresas que tengan capacidad de decisión en la gestión informática.
◦No interesa el rubro o servicio ofrecido.
◦Aceptación escrita de participar en el estudio
•Exclusión:
◦Empresas que no tengan servicios informáticos.
◦Empresas cuyas gerencias informáticas estén fuera de la Región Ancash.
4.5. Definición operacional de las variables en estudio
4.5.1. Variables principales
Las variables del estudio corresponden a las cuatro dimensiones del modelos COBIT:
•Planeeamiento y organización.
•Adquisición e implementación.
•Entrega del servicio.
•Monitoreo y evaluación.
4.5.1.1. Planeamiento y organización
Es el conjunto de estrategias y las tácticas, y la manera en que TI contribuye al logro de
los objetivos del negocio. Este dominio cubre los siguientes cuestionamientos típicos de la
gerencia:
•¿Están alineadas las estrategias de TI y del negocio?
•¿La empresa está alcanzando un uso óptimo de sus recursos?
•¿Entienden todas las personas dentro de la organización los objetivos de TI?
•¿Se entienden y administran los riesgos de TI?
•¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
tiene las siguientes dimensiones:
1. Planeamiento estratégico. La planeación estratégica de TI es necesaria para
gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del
negocio. La función de TI y los interesados del negocio son responsables de asegurar que
el valor óptimo se consigue desde los proyectos y el portafolio de servicios. El plan
estratégico mejora la comprensión de los interesados clave de las oportunidades y
limitaciones de TI, evalúa el desempeño actual, identifica la capacidad y los
requerimientos de recursos humanos, y clarifica el nivel de investigación requerido. La
estrategia de negocio y prioridades se reflejarán en portafolios y se ejecutarán por los
planes estratégicos de TI, que especifican objetivos concisos, planes de acción y tareas
que están comprendidas y aceptadas tanto por el negocio como por TI.
2. Arquitectura de la información. La función de sistemas de información debe crear y
actualizar de forma regular un modelo de información del negocio y definir los sistemas
apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un
diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la
organización, el esquema de clasificación de datos y los niveles de seguridad. Este
proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se
proporciona información confiable y segura, y permite racionalizar los recursos de los
sistemas de información para igualarse con las estrategias del negocio. Este proceso de
TI también es necesario para incrementar la responsabilidad sobre la integridad y
seguridad de los datos y para mejorar la efectividad y control de la información compartida
a lo largo de las aplicaciones y de las entidades.
3. Dirección tecnológica. La función de servicios de información debe determinar la
dirección tecnológica para dar soporte al negocio. Esto requiere de la creación de un plan
de infraestructura tecnológica y de un comité de arquitectura que establezca y administre
expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de
productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma
regular y abarca aspectos tales como arquitectura de sistemas, dirección tecnológica,
planes de adquisición, estándares, estrategias de migración y contingencias. Esto permite
contar con respuestas oportunas a cambios en el ambiente competitivo, economías de
escala para consecución de personal de sistemas de información e inversiones, así como
una interoperabilidad mejorada de las plataformas y de las aplicaciones.
4. Procesos, organización y relaciones de TI. Una organización de TI se debe definir
tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas,
autoridad, roles, responsabilidades y supervisión. La organización está embebida en un
marco de trabajo de procesos de TI que asegure la transparencia y el control, así como el
involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico
debe garantizar la vigilancia del consejo directivo sobre TI, y uno ó más comités de
dirección, en los cuales participen tanto el negocio como TI, deben determinar las
prioridades de los recursos de TI alineados con las necesidades del negocio. Deben
existir procesos, políticas de administración y procedimientos para todas las funciones,
con atención específica en el control, el aseguramiento de la calidad, la administración de
riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la
segregación de funciones. Para garantizar el soporte oportuno de los requerimientos del
negocio, TI se debe involucrar en los procesos importantes de decisión.
5. Inversión en TI. Establecer y mantener un marco de trabajo para administrar los
programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del
presupuesto, un proceso presupuestal formal y administración contra ese presupuesto.
Los interesados (stakeholders) son consultados para identificar y controlar los costos y
beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y tomar
medidas correctivas según sean necesarias. El proceso fomenta la asociación entre TI y
los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda
transparencia y responsabilidad dentro del costo total de la propiedad, la materialización
de los beneficios del negocio y el retorno sobre las inversiones en TI.
6. Aspiraciones de la gerencia. La dirección debe elaborar un marco de trabajo de
control empresarial para TI, y definir y comunicar las políticas. Un programa de
comunicación continua se debe implementar para articular la misión, los objetivos de
servicio, las políticas y procedimientos, etc., aprobados y apoyados por la dirección. La
comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el
entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el
cumplimiento de las leyes y reglamentos relevantes.
7. Recursos humanos de TI. Adquirir, mantener y motivar una fuerza de trabajo para la
creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas
definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del
desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas
son activos importantes, y el ambiente de gobierno y de control interno depende
fuertemente de la motivación y competencia del personal.
8. Calidad. Se debe elaborar y mantener un sistema de administración de calidad, el cual
incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por
medio de la planeación, implantación y mantenimiento del sistema de administración de
calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los
requerimientos de calidad se deben manifestar y documentar con indicadores
cuantificables y alcanzables. La mejora continua se logra por medio del constante
monitoreo, corrección de desviaciones y la comunicación de los resultados a los
interesados. La administración de calidad es esencial para garantizar que TI está dando
valor al negocio, mejora continua y transparencia para los interesados.
9. Riesgos de TI. Crear y dar mantenimiento a un marco de trabajo de administración de
riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI,
estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre las
metas de la organización, causado por algún evento no planeado se debe identificar,
analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar
los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser
entendible para los Interesados (stakeholders) y se debe expresar en términos
financieros, para permitirles alinear los riesgos a un nivel aceptable de tolerancia.
10. Proyectos de TI. Establecer un marco de trabajo de administración de programas y
proyectos para la administración de todos los proyectos de TI establecidos. El marco de
trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos
los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos,
definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases,
aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y post-
implantación después de la instalación para garantizar la administración de los riesgos del
proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos
inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento
del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de
los proyectos, y maximiza la contribución a los programas de inversión facilitados por TI.
4.5.1.2. Adquisición e implementación.
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos del
negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto
por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la
gerencia:
•¿Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
•¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
•¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
•¿Los cambios no afectarán a las operaciones actuales del negocio?
Tiene las siguientes dimensiones:
1. Soluciones automatizadas. La necesidad de una nueva aplicación o función requiere
de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio
se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las
necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad
tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye
con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las
organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al
mismo tiempo facilitan el logro de los objetivos del negocio.
2. Software aplicativo. Las aplicaciones deben estar disponibles de acuerdo con los
requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión
apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones
apoyar la operatividad del negocio de forma apropiada con las aplicaciones
automatizadas correctas.
3. Infraestructura tecnológica. Las organizaciones deben contar con procesos para
adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un
enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del
negocio.
4. Operación y uso. El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generación de documentación y manuales para usuarios y para
TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
5. Recursos de TI. Se deben suministrar recursos TI, incluyendo personas, hardware,
software y servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de
TI que se requieren de una manera oportuna y rentable.
6. Cambios. Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción,
deben administrarse formalmente y controladamente. Los cambios (incluyendo
procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y
autorizar previo a la implantación y revisar contra los resultados planeados después de la
implantación. Esto garantiza la reducción de riesgos que impactan negativamente la
estabilidad o integridad del ambiente de producción.
7. Instalación y certificación. Los nuevos sistemas necesitan estar funcionales una vez
que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente
dedicado con datos de prueba relevantes, definir la transición e instrucciones de
migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la
post-implantación. Esto garantiza que los sistemas operativos estén en línea con las
expectativas convenidas y con los resultados.
4.5.1.3. Entrega y soporte Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la
prestación del servicio, la administración de la seguridad y de la continuidad, el soporte
del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
Por lo general cubre las siguientes preguntas de la gerencia:
•¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
•¿Están optimizados los costos de TI?
•¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y
segura?
•¿Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
Tiene las siguientes dimensiones:
1. Niveles de servicio. Contar con una definición documentada y un acuerdo de servicios
de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia
de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también
incluye el monitoreo y la notificación oportuna a los Interesados (stakeholders) sobre el
cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los
servicios de TI y los requerimientos de negocio relacionados.
2. Servicios de terceros. La necesidad de asegurar que los servicios provistos por
terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de
administración de terceros. Este proceso se logra por medio de una clara definición de
roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la
revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva
administración de los servicios de terceros minimiza los riesgos del negocio asociados
con proveedores que no se desempeñan de forma adecuada.
3. Desempeño y capacidad. La necesidad de administrar el desempeño y la capacidad
de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño
actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las
necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento
y contingencias. Este proceso brinda la seguridad de que los recursos de información que
soportan los requerimientos del negocio están disponibles de manera continua.
4. Continuidad del servicio. La necesidad de brindar continuidad en los servicios de TI
requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos
fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad.
Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de
interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del
negocio.
5. Seguridad de los sistemas. La necesidad de mantener la integridad de la información
y de proteger los activos de TI, requiere de un proceso de administración de la seguridad.
Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad
también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar
acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una
efectiva administración de la seguridad protege todos los activos de TI para minimizar el
impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
6. Costos. La necesidad de un sistema justo y equitativo para asignar costos de TI al
negocio, requiere de una medición precisa y un acuerdo con los usuarios del negocio
sobre una asignación justa. Este proceso incluye la construcción y operación de un
sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un
sistema equitativo de costos permite al negocio tomar decisiones más informadas
respectos al uso de los servicios de TI.
7. Capacitación. Para una educación efectiva de todos los usuarios de sistemas de TI,
incluyendo aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este
proceso incluye la definición y ejecución de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de
entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales como las
medidas de seguridad de los usuarios.
8. Mesa de servicios e incidentes. Responder de manera oportuna y efectiva a las
consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien
diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso
incluye la creación de una función de mesa de servicio con registro, escalamiento de
incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del
negocio incluyen el incremento en la productividad gracias a la resolución rápida de
consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre
entrenamiento a los usuarios) a través de un proceso de reporte efectivo.
9. Configuración. Garantizar la integridad de las configuraciones de hardware y software
requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este
proceso incluye la recolección de información de la configuración inicial, el
establecimiento de normas, la verificación y auditoría de la información de la configuración
y la actualización del repositorio de configuración conforme se necesite. Una efectiva
administración de la configuración facilita una mayor disponibilidad, minimiza los
problemas de producción y resuelve los problemas más rápido.
10. Problemas. Una efectiva administración de problemas requiere la identificación y
clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de
problemas. El proceso de administración de problemas también incluye la identificación de
recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión
del estatus de las acciones correctivas. Un efectivo proceso de administración de
problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y
satisfacción del usuario.
11. Datos. Una efectiva administración de datos requiere de la identificación de
requerimientos de datos. El proceso de administración de información también incluye el
establecimiento de procedimientos efectivos para administrar la librería de medios, el
respaldo y la recuperación de datos y la eliminación apropiada de medios. Una efectiva
administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la
información del negocio.
12. Ambiente físico. La protección del equipo de cómputo y del personal, requiere de
instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente
físico incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de
cómputo y al personal.
13. Operaciones. Un procesamiento de información completo y apropiado requiere de
una efectiva administración del procesamiento de datos y del mantenimiento del
hardware. Este proceso incluye la definición de políticas y procedimientos de operación
para una administración efectiva del procesamiento programado, protección de datos de
salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.
Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y
reduce los retrasos en el trabajo y los costos operativos de TI.
4.5.1.4. Monitorear y evaluar
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de
la gerencia:
•¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde?
•¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
•¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
•¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Tiene las siguientes dimensiones:
1. Desempeño de TI. Una efectiva administración del desempeño de TI requiere un
proceso de monitoreo. El proceso incluye la definición de indicadores de desempeño
relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas
cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas
correctas se hagan y que estén de acuerdo con el conjunto de direcciones y políticas.
2. Control interno. Establecer un programa de control interno efectivo para TI requiere un
proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las
excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de
terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad
respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y
regulaciones aplicables.
3. Requerimientos externos. Una supervisión efectiva del cumplimiento regulatorio
requiere del establecimiento de un proceso independiente de revisión para garantizar el
cumplimiento de las leyes y regulaciones. Este proceso incluye la definición de un
declaración de auditoría, independencia de los auditores, ética y estándares
profesionales, planeación, desempeño del trabajo de auditoría y reportes y seguimiento a
las actividades de auditoría. El propósito de este proceso es proporcionar un
aseguramiento positivo relativo al cumplimiento de TI de las leyes y regulaciones.
4. Gobierno de TI. El establecimiento de un marco de trabajo de gobierno efectivo,
incluye la definición de estructuras, procesos, liderazgo, roles y responsabilidades
organizacionales para garantizar así que las inversiones empresariales en TI estén
alineadas y de acuerdo con las estrategias y objetivos empresariales.
4.5.2. Variables Intervinientes
Características Socio-económicas-tecnológicas:
•Número de trabajadores. Número de trabajadores en toda la empresa.
•Monto de ventas anuales. Cantidad anual de ventas expresada en soles.
•Monto en activos fijos. Cantidad de activos fijos expresada en soles.
•Número de trabajadores en TICs. Número de trabajadores dedicados a las TICs.
•Monto de inversión anual en TICS. Cantidad de inversión en TICs expresados en soles.
•Número de servicios TICs. Número de servicios en TICs, instalados en servidores de
red.
•Número de aplicaciones software. Número de aplicaciones software.
•Tipo de licenciamiento de software. Tipo de licenciamiento de software (privado, libre).
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE PLANIFICACION Y ORGANIZACION VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA
DE MEDICIÓN
DEFINICIÓN OPERACIONAL
Planificación y organización de las TI
Es el conjunto de
estrategias y tácticas, y
la manera en que TI
contribuye al logro de
los objetivos del
negocio
Plan estratégico de TI
-Elabora plan estratégico de TI-Elabora plan táctico de TI-Elabora portafolios de proyectos de
TI-Elabora portafolios de servicios de T-Define estrategia de contratación
externa de TI-Define estrategia de adquisición de
TI
Ordinal
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Arquitectura de la información
-Tiene esquema de clasificación de datos
-Elabora plan de sistemas del negocio optimizado
-Define diccionario de datos-Define arquitectura de la información-Asigna clasificación de datos-Define procedimientos y
herramientas de clasificación
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Dirección tecnológica
-Busca oportunidades tecnológicas-Utiliza estándares tecnológicos-Realiza actualizaciones del estado
de la tecnología-Tiene plan de infraestructura
tecnológica-Define requerimientos de
infraestructura
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Procesos, organización y relaciones de TI.
-Define marco de trabajo de TI-Asigna dueños de sistemas
documentados-Reglamenta la organización y
relaciones de TI-Define marco de procesos, roles y
responsabilidades documentados
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Inversión en TI. -Genera reportes de costo/beneficio-Mantiene presupuestos de TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Aspiraciones de la gerencia.
-Define un marco de control empresarial para TI
-Declara políticas para TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Recursos humanos de TI.
-Declara políticas y define procedimientos de recursos humanos de TI
-Utiliza una matriz de habilidades de TI
-Describe los puestos de trabajo-Evalúa aptitudes y habilidades de los
usuarios-Establece los requerimientos de
entrenamiento-Define los roles y responsabilidades
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Calidad. -Utiliza estándares de adquisición-Utiliza estándares de desarrollo-Define requerimientos de estándares
y métricas de calidad-Adopta medidas para la mejora de la
InexistenteInicialIntuitivoDefinidoAdministrado
calidad OptimizadoRiesgos de TI. -Realiza evaluación de riesgos
-Genera reportes de riesgos-Formula directrices de administración
de riesgos de TI-Formula planes de acciones
correctivas para riesgos de TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Proyectos de TI.
-Genera reportes de desempeño de proyectos
-Formula el plan de administración de riesgos del proyecto
-Propone directrices de administración del proyecto
-Formula planes detallados del proyecto
-Mantiene actualizado el portafolio de proyectos de TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ADQUISICIÓN E IMPLEMENTACION VARIABLE DEFINCIÓN
CONCEPTUALDIMENSIONES INDICADORES ESCALA DE
MEDICIÓNDEFINICIÓN
OPERACIONAL
Adquisición e implementación de TI
Es la identificación
de las soluciones
de TI que deben
ser desarrolladas o
adquiridas,
implementadas y
actualizadas e
integradas en los
procesos del
negocio.
Soluciones automatizadas
-Elabora un estudio de factibilidad de los requerimientos del negocio
Ordinal
InexistenteInicialIntuitivoDefinidoAdministradoOptimizadoSoftware
aplicativo-Especifica los controles de seguridad
de la aplicación-Conoce la aplicación y el paquete de
software-Toma decisiones para la adquisición-Tiene SLAS planeados
anticipadamente-Especifica la disponibilidad,
continuidad y recuperación.
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Infraestructura tecnológica
-Toma decisiones de adquisición-Tiene un sistema configurado para
realizar prueba/instalación-Define requerimientos de ambiente
físico-Mantiene actualizados la tecnología
en base a estándares.-Define requerimientos de monitoreo
del sistema-Conoce la infraestructura-Tiene OLAS planeados
anticipadamente
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Operación y uso.
-Utiliza manuales de usuario, de operación, de soporte, técnicos y de administración
-Define requerimientos de transferencia de conocimiento para implantación de soluciones
-Materiales de entrenamiento
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Recursos de TI.
-Define requerimientos de administración de la relación con terceros
-Identifica artículos provistos-Reglamenta los arreglos
contractuales
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Cambios. -Describe el proceso de cambio-Genera reporte de estatus de cambio-Define la autorización de cambio
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Instalación de soluciones
-Registra los componentes de configuración liberados
-Registra los errores conocidos y aceptados
-Registra la liberación a producción-Registra la liberación de software y
plan de distribución-Realiza revisiones posteriores a la
liberación-Monitorea el control interno
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ENTREGA Y SOPORTE VARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE
MEDICIÓNDEFINICIÓN
OPERACIONAL
Entregar y dar soporte de TI
Es el conjunto de
actividades de
entrega en sí de los
servicios requeridos,
lo que incluye la
prestación del
servicio, la
administración de la
seguridad y de la
continuidad, el
soporte del servicio a
los usuarios, la
administración de los
datos y de las
instalaciones
operativas.
Niveles del servicio
-Genera reporte de revisión de contrato-Genera reporte de desempeño de los
procesos-Define requerimiento de servicios
nuevos / actualizaciones-Define y utiliza SLAS-Define y utiliza OLAS-Mantiene actualizado el portafolio de
servicios
Ordinal
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Servicios de terceros
-Genera reporte de desempeño de los procesos
-Recibe un catálogo del proveedor-Recibe información de los riesgos del
proveedor
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Desempeño y capacidad
-Tiene información del desempeño y capacidad
-Formula un plan de desempeño y capacidad
-Registra los cambios requeridos-Genera reportes de desempeño del
proceso
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Continuidad del servicio
-Analiza los resultados de las pruebas de contingencia
-Define la criticidad de puntos de configuración de TI
-Formula un plan de almacenamiento de respaldos y de protección
-Define los umbrales de incidente/desastre
-Define los requerimientos de servicios contra desastres, incluyendo roles y responsabilidades
-Genera reporte de desempeño de los procesos
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Seguridad de los sistemas
-Define los incidentes de seguridad-Define requerimientos específicos de
entrenamiento sobre conciencia de seguridad
-Genera reportes de desempeño del proceso
-Establece los cambios de seguridad requeridos
-Analiza las amenazas y vulnerabilidades de seguridad
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Costos -Se asegura el financiamiento de TI-Genera reportes de desempeño del
proceso
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Entrenamiento
-Se actualiza la documentación requerida
-Genera reportes de desempeño del proceso
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Mesa de servicio e incidentes.
-Existen solicitudes de servicio/cambio-Genera reportes de incidentes-Genera reportes de desempeño del
proceso-Genera reportes de satisfacción de
usuarios
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Configuració -Define la configuración de TI / detalle Inexistente
n de activos-Conoce los RFC (donde y como aplicar
el parche)-Genera reportes de desempeño del
proceso
InicialIntuitivoDefinidoAdministradoOptimizado
Problemas. -Existen solicitudes de cambio-Registro de problemas-Genera reportes de desempeño del
proceso-Registro de problemas conocidos,
errores conocidos y soluciones alternas
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Datos. -Genera reportes de desempeño del proceso
-Existen instrucciones del operador para administración de datos
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Ambiente físico.
-Genera reportes de desempeño del proceso
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Operaciones -Existen tickets de incidentes-Se mantiene una bitácora de errores-Genera reportes de desempeño del
proceso
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE MONITOREO Y EVALUACIONVARIABLE DEFINCIÓN CONCEPTUAL DIMENSIONES INDICADORES ESCALA DE
MEDICIÓNDEFINICIÓN
OPERACIONAL
Monitoreo y evaluación del servicio de TI
Es la evaluación
periódica de los
procesos de TI en
cuanto a su calidad y
cumplimiento de los
requerimientos de
control. Abarca la
administración del
desempeño, el
monitoreo del control
interno, el cumplimiento
regulatorio y la
aplicación del gobierno.
Desempeño de TI
-Se mantienen indicadores de desempeño a planeación de TI
-Control de planes de acciones correctivas
-Registro de tendencias y eventos de riesgos históricos
-Genera reporte de desempeño de procesos
Ordinal
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Control interno
-Genera reporte sobre la efectividad de los controles de TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Requerimientos externos
-Existe un catálogo de requerimientos legales y regulatorios relacionados con la prestación de servicios de TI
-Genera reporte sobre el cumplimiento de las actividades de TI con los requerimientos externos legales y regulatorios
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
Gobierno de TI
-Se utilizan mejoras al marco de trabajo de los procesos
-Genera reportes de estatus del gobierno de TI
-Se consiguen los resultados de negocios esperados de la inversiones en TI
-existe una dirección estratégica empresarial para TI
-Se evidencia un compromiso empresarial por los riesgos de TI
InexistenteInicialIntuitivoDefinidoAdministradoOptimizado
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE CARACTERÍSTICAS SOCIO-ECONOMICAS-TECNOLOGICAS
VARIABLES DEFINCIÓN CONCEPTUA
L
DIMENSIONES INDICADOR ESCALA DE MEDICIÓN
DEFINICIÓN OPERACIONAL
Características socio-
económicas-tecnológicas
Son las características socio-económica
s-tecnológic
as
Número de trabajadores
- Número de trabajadores en la empresa Rango 1..100
Monto de ventas anuales
- Cantidad anual de ventas expresada en soles 1,000...
Monto en activos fijos
- Cantidad de activos fijos expresada en soles 1,000...
Número de trabajadores
en TICs
- Número de trabajadores dedicados a las TICs 1..100
Monto de inversión anual en
TICS
- Cantidad de inversión en TICs expresados en soles
1,000...
Número de servicios
TICs
- Número de servicios en TICs, instalados en servidores de red.
1..20
Número de aplicaciones
software
- Número de aplicaciones software 1..20
Tipo de licenciamientode software
- Tipo de licenciamiento de software (privado, libre)
Cualitativonominal
PrivadoLibre
4.6. Técnica e Instrumentos de medición.
4.6.1. Técnica
Se utilizará la técnica de la encuesta
4.6.2. Instrumentos
Los instrumentos serán aplicados en las MYPES que conforman la muestra.
a)Cuestionario de gestión de las TICs en las empresas
Para la medición del nivel de gestión de las TICs en las MYPES se utilizarán
cuestionarios obtenidos de la estructura del modelo COBIT. En el caso de los
subproyectos en los que se aplica los cuatros dominios se utiliza un
cuestionario de 34 preguntas (Anexo 01) y en el caso de subproyectos en los
que se aplica sobre un solo dominio se utiliza el cuestionario correspondiente
que se presenta en los Anexos del 2 al 5.
Los mencionados cuestionarios no requieren ser validados por cuanto COBIT
constituye una buena práctica de reconocimiento mundial. Los perfiles de
gestión de TICs se establecerán tomando como referencia el modelo de
madurez propuesto por COBIT que considera de manera general:
0. Inexistente. No se aplican procesos administrativos en lo absoluto para
gestionar la TICs..
1. Inicial / Ad hoc. Los procesos de TICs son Ad hoc y desorganizados. Son
informales.
2. Repetible pero intuitivo. Los procesos de TICs siguen un patrón regular.
Siguen técnicas tradicionales no documentadas.
3. Proceso definido y documentado. Los procesos de TICs se documentan y
comunican.
4. Administrado y medible. Los procesos de TICs se monitorean y miden.
5. Optimizado. Las buenas prácticas se siguen y automatizan.
b)Características socio-económicas-tecnológicas
Para la recogida de los datos socio-económico-tecnológico, se empleará un
formato donde se identifica las variables de las empresas consideradas en el
estudio: número de trabajadores, monto de ventas anuales, monto en activos
fijos, número de trabajadores en TICs, monto de inversión anual en TICS,
número de servicios TICs, número de aplicaciones software, tipo de
licenciamiento de software.
4.7. Plan de análisis
Los datos obtenidos serán codificados y luego serán ingresados en una hoja de
cálculo del programa Open Office Calc.
Para el análisis de los datos se utilizará el programa estadístico SPSS (Statistical
Package for the Sciencies) con el cual se obtendrán los cuadros y gráficos de las
variables en estudio.
5. Bibliografía
(1)Marquez P. Las TICs y sus aportaciones a la sociedad. [Monografía en
Internet]. Barcelona. Universidad Autónoma de Barcelona, Departamento
de pedagogía aplicada. 08/23/03. [citada 2009 Nov 15]. [Una página
digital]. Disponible desde: http://www.pangea.org/peremarques/tic.htm
(2)TechLabs. Diez problemas de las TICs que probablemente no sabe que tiene.
[Artículo en Internet]. España. TechWeek. 08/07/20. [citada 2009 Nov 15].
[Una página digital]. Disponible desde:
http://www.techweek.es/voip-telefonia/tech-labs/1003271005401/diez-problemas-
tics-probablemente-no-sabe-tiene.1.html
(3)Ibermática. Evolución de las TIC: Oportunidades y amenazas sociales. [Artículo
en Internet]. España. Ibermática. 2006. [citada 2009 Nov 15]. [Una página
digital]. Disponible desde:
http://www.ibermatica.com/ibermatica/eventos/2006/mtevolucionticsoportunidadesam
enazas
(4)Coca J. Las TICs crecen en el mundo al 30% anual. [Artículo en Internet].
España. Telefónica. 2008. [citada 2009 Nov 15]. Disponible desde:
http://www.tendencias21.net/Las-TICs-crecen-en-el-mundo-al-30-anual_a3164.html
(5)Morales R. La UIT promueve un Plan Marshall de Internet para África. [Artículo
en Internet]. España. Telefónica. 2008. [citada 2009 Nov 15]. Disponible
desde:
http://www.tendencias21.net/La-UIT-promueve-un-Plan-Marshall-de-Internet-para-
africa_a1784.html
(1)Salazar C. Las TIC como herramienta a la gestión empresarial. [Artículo en
Internet]. Chile. Universidad Austral de Chile, Instituto Académico de
Administración. 2008. [citada 2009 Nov 15]. Disponible desde:
http://cibermundos.bligoo.com/content/view/145501
(2)Instituto Tecnológico de Galicia. PlaniGestión: Planificación estratégica en las
MYPES. [Artículo en Internet]. Galicia. Fundación Instituto Tecnológico de Galicia.
2008. [citada 2009 Nov 15]. Disponible desde:
http://www.itg.es/proyectos/detalle.php?IdProyecto=21
(3)Medina G. Inversión en TICs en el Perú. [Noticia en Internet]. Lima. Agencia Press
Perú. [citada 2009 Nov 15]. Disponible desde:
http://www.peruenvideos.com/intel-recomiendo-a-peru-invertir-en-las-tics/
(4) Manual de atención al cliente Biblioteca universidad Cantabria. [Manual en
Internet], Cantabria. Universidad de Cantabria, Biblioteca Universitaria. 2000. [citada
2009 Nov 15]. Disponible desde:
http://biblioteca.unirioja.es/rebiun/atencionusuario.pdf
(5)Torres C. Acumulación y socialización de capacidades durante la gestión
tecnológica: Caso CEMEX. [Tesis en Internet]. Edición electrónica gratuita. 2009.
[citada 2009 Nov 15]. Disponible desde:
http://www.eumed.net/tesis/2009/catg/ACUMULACION%20Y%20SOCIALIZACION
%20DE%20CAPACIDADES%20DURANTE%20LA%20GESTION20TECNOLOGICA
%20INTRODUCCION.htm
(6)Tancredi, Salmerón, Arenas, Grifouliere, Apaza, Fernandez, et al. Gobernabilidad
de las políticas de gestión educativa universitaria y las tecnologías asociadas. Parte
II. [Proyecto en Internet], Cuyo. Universidad Nacional de Cuyo, Secretaría de
ciencia, técnica y posgrado. 2007-2009. [citada 2009 Nov 15]. Disponible
desde:http://bdigital.uncu.edu.ar/objetos_digitales/1926/proyectotancredi2007-2009.p
df
(7)Bravo C. Visión sistemática aplicada a la gestión de procesos. [Tesis doctoral].
Chile. IEDE Chile/Universidad de Lleida. 2003.
(8)Ramirez P. Rol y contribución de los sistemas de planificación de los recursos de
la empresa (ERP). [Tesis doctoral]. Chile. Universidad de Playa Ancha. 2004.
(9)Espinosa J. Tecnología y modernización estratégica en la administración pública
local: análisis de las estrategias de administración electrónica en los municipios
españoles. [Tesis doctoral]. Alicante. Universidad de Alicante,
Departamento de Organización de Empresas. 2005.
(10)Iturbe L. Análisis del impacto de la eficiencia empresarial de las nuevas
tecnologías de la información y comunicaciones sobre la MYPE industrial vasca.
LARENA ITURBE IÑAKI. [Tesis doctoral]. Bilbao. ETS de ingeniería de Bilbao.
2005.
(11)Instituto de Marketing y Estudios S.L. Conocimiento y utilización de las
tecnologías de la información y la comunicación (TIC) en los emprendedores y
microempresas apoyadas por el proyecto MICRO [monografía en internet]. España:
Instituto de Marketing y Estudios S.L.. 2004 [citada 2009 Mar 4]. Disponible desde:
www.emicromurcia.com/micro/modules.phpname=Downloads&d_op=getit&lid=62
(12)International Development Research Centre. TICs en las MYPES de
Centroamérica. [monografía en internet]. Costa Rica. Editorial Tecnológica de Costa
Rica; 2005 [citada 2007 diciembre 14]. Disponible desde:
www.smecongress.net/congreso/Doc/SegConPYME/ppt/G1.IgnacioAlfaro.ppt
(13)Ministerio de Economía de Chile. Acceso y uso de las TICs en las empresas
chilenas [monografía en internet]. Chile: Ministerio de Economía de Chile – División
de Tecnologías de Información y Comunicación. 2006 [citada 2008 diciembre 14].
Disponible desde: http://www.rtcingenieros.cl/doc/estudio_2006.pdf
(14)Betanco J. La competencia de las PYMES en Las Segovias (Nicaragua)
[monografía en internet]. Nicaragua: [s.n]; 2007 [citada 2007 diciembre 14].
Disponible desde:
http://www.monografias.com/trabajos45/pymeslassegovias/pymeslassegovias.shtml
(15)Agenda Nacional de la Sociedad de la Información y el Conocimiento de
Guatemala. Plan de reducción de la brecha, de inclusión y de alineación digital, a los
planes de crecimiento económico y de desarrollo social del país [monografía en
internet]. Guatemala: Agenda Nacional de la Sociedad de la Información y el
Conocimiento de Guatemala; 2007 [citada 2007 diciembre 28]. Disponible desde:
www.ahciet.net/portales/1001/10058/10172/docs/GUATEMALA_REPORTE_FINAL_
NOV_2007_CSM.pdf
(16)Joo B. Análisis y propuesta de gestión pedagógica y administrativa de las TICs,
para construir espacios que generen conocimiento en el colegio Champagnat. [Tesis
pregrado]. Lima. [citada 2009 Nov 15]. Disponible desde:
http://tesis.pucp.edu.pe/tesis/ver/246
(17)Centro de Promoción de la Pequeña y Microempresa. PROMPyme. Identificación
de necesidades de las MYPE con respecto a las Tecnologías de la Información y
Comunicaciones [monografía en internet]. Perú: Centro de Promoción de la Pequeña
y Microempresa. PROMPyme; 2005 [citada 2007 marzo 8]. Disponible desde: http://
www.prompyme.gob.pe/upload/publicacion_219200683.pdf.
(18)Felipe P. Manejo de las tecnologías de la información y la comunicación
[monografía en internet]. Perú: [s.n]; 2005 [citada 2007 diciembre 28]. Disponible
desde:http://www.monografias.com/trabajos39/manejotecnologias/manejotecnologias
.shtml
(19)Yacsahuache M. Análisis del Financiamiento de las Pequeñas y Micro empresas
[monografía en internet]. Argentina: [s.n]; 2002 [citada 2007 marzo 14]. Disponible
desde: http://www.monografias.com/trabajos7/pyme/pyme.shtml
(20)Universidad Nacional Mayor de San Marcos. Curso de Administración de
MYPES. [monografía en internet]. Perú. Emagister. 2004 [citada 2007 marzo 22].
Disponible desde:
http://www.emagister.com/cursosgratis/emag_users/solicitudes/curso_gratis/dsp/dsp
_vcruzada_cursosgratis.cfmestadoMatUser=&id_centro=5795303005295756486666
6952674548&id_curso=65431010070957515249705354574565&id_tipocurso=16&id
_user=&mailuser=jeplasencia@hotmail.com&id_categ=231&haSidoAltaPush=N&idP
ush
(21)Ignacio J. Cómo maximizar el aprovechamiento e impacto de las TICs en las
Pymes [monografía en internet]. Costa Rica: CAATEC; 2006 [citada 2007 febrero
182007]. Disponible desde:
http://www.iberpymeonline.org/TIC0306/JoseIgnacioAlfaroFUNDACIONCAATEC.pdf
(22)Del Águila A. Comercio Electrónico y Estrategia Empresarial. 2 ed. México:
Editorial AlfaomegaRama; 2001.
(23)McLeod R. Sistemas de información gerencial. 7 ed. México: Editorial Pearson
Prentice Hall; 2000.
(24)García J. Introducción al comercio electrónico [monografía en internet]. España:
Departamento de Información de la Universidad de Oviedo; 2007. [citada 2007
marzo 27]. Disponible desde:
http://www.di.uniovi.es/~fanjul/ce/descargas/CETransparenciasTema1v2007.pdf
(25)Organización Mundial del Comercio [sede web]. España; 2002 [citada 2007 abril
3]. Servicios de Telecomunicaciones: Ambito de las Telecomunicaciones Básicas y
de los servicios con valor añadido. Disponible desde:
http://www.wto.org./spanish/tratop_s/serv_s/telecom_s/telecom_coverage_s.htm
(26)Sociedad para la Promoción y Reconversión Industrial SPRI. Guía de
Autodiagnóstico para Mypes en la utilización de las TICs [monografía en internet].
España: Sociedad para la Promoción y Reconversión Industrial SPRI; 2004 [citada
2007 febrero 24]. Disponible desde:
http://www.euskadi.net/eeuskadi/datos/docs/autodiagnostico.pdf
(27)Stallman R. Software Libre para una Sociedad Libre. 1 ed. España: Editores
Traficantes de Sueños; 2004.
(28)eNicaragua. Estudio empírico para evaluar el nivel de acceso, uso y grado de
adopción de las Tics por parte de las grandes y medianas empresas de Nicaragua
[monografía en internet]. Nicaragua. eNicaragua; 2005 [citada 2007 diciembre 28].
Disponible desde:
http://www.enicaragua.org.ni/SITE/enicaragua/files/Fileseg/encuestaTICempresaNic1
4marzo05.pdf
(29)Saravia M. Hacia una PYME eficiente y bien conectada. [monografía en internet].
Perú: Programa de Tecnología de la Información para el Desarrollo de ITDG; 2002
[citada 2007 abril 2]. Disponible desde:
http://www.solucionespracticas.org.pe/publicaciones/pdf/Hacia%20una%20PYME
%20eficiente%20y%20bien.pdf
(30)Pedraza N, Sánchez A. La importancia de la adopción de TIC en las pymes
mexicanas: Una propuesta metodológica [monografía en internet]. México:
Universidad Autónoma de Tamaulipas; 2005. [citada 2007 abril 2]. Disponible
desde:http://www.eumed.net/cursecon/ecolat/mx/2006/pmsagf.htm
(31)Coté L, Vecina M. The strategic management process in ebusiness Ivey
Business Journal Online [serie en internet]. 2005 [citada 2007 abril 2]; 3 (1).
Disponible en:
http://www.iveybusinessjournal.com/view_article.asp?intArticle_ID=561
(32)Jim C. Telecommunications can be strategic business tool. Computing Canada
[serie en internet]. 1995 [citada 2007 abril 2]; 1 (21): 26 33.
(33)Slywotzky A, Morrison D. Becoming a digital business: it's not about technology.
Strategy & Leadership. SouthWestern College. 2001; 1(29): 4.
(34)Comité directivo de COBIT y el IT Governance Instituite. Resumen ejecutivo.
3ra. Edición. Copyright 1996, 1998, 2000, de la Information Systems Audit and
Control Foundation (ISACF).
(35)Comité directivo de COBIT y el IT Governance Instituite. Directrices de auditoría.
2ra. Edición. Abril 1998. Copyright de la Information Systems Audit and Control
Foundation (ISACF).
(36)Comité directivo de COBIT y el IT Governance Instituite. Directrices gerenciales.
3ra. Edición. Julio 2000. Copyright de la Information Systems Audit and Control
Foundation (ISACF).
(37)Comité directivo de COBIT y el IT Governance Instituite. COBIT 4.1. Copyright
2007de la Information Systems Audit and Control Foundation (ISACF).
(38)An Introductory Overview of ITIL V3. Alison Cartlidge y otros. The UK Chapter of
the itSMF. 2007
(39)Norma Técnica Peruana NTP-ISO/IEC 1799-2007. 2da. ed. Comisión de
reglamentos técnicos y comerciales . INDECOPI. Lima Perú. 16-01-2007
Anexo 01. ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DE ACUERDO AL MODELO COBIT
(Estudio de los cuatro dominios)
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
Ejemplo:1.Existe un método de monitoreo? a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
DOMINIO 01: Planeamiento y organización 1.Se ha elaborado un Plan estratégico? a)No se elabora. b)La elaboración del plan estratégico se hace de manera informal. c)La elaboración del plan estratégico sigue técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para elaborar el plan estratégico. e)El procedimiento para elaborar el plan estratégico es monitoreado. f)El procedimiento para elaborar el plan estratégico está automatizado. 2.Existe un modelo de arquitectura de la información? a)No existe. b)La arquitectura de la información se modela de manera informal. c)La arquitectura de la información se modela utilizando técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para modelar la arquitectura de la información. e)El procedimiento para modelar la arquitectura de la información es monitoreado. f)El procedimiento para modelar la arquitectura de la información está automatizado.
3.Existe direccionamiento de la tecnologías de información? a)No existe. b)El direccionamiento de las tecnologías de información se hace de manera informal. c)El direccionamiento de las tecnologías de información se realiza utilizando técnicas tradicionales no
documentadas. d)Se ha definido y documentado un procedimiento para direccionar las tecnologías de información. e)El procedimiento para direccionar las tecnologías de información es monitoreado. f)El procedimiento para direccionar las tecnologías de información está automatizado.
4.Existe un marco de trabajo para los procesos, organización y relaciones de TI? a)No existe. b)El marco de trabajo es informal. c)El marco de trabajo sigue técnicas tradicionales no documentados. d)Se ha definido y documentado un procedimiento para el marco de trabajo de los procesos,
organización y relaciones de TI. e)El procedimiento para el marco de trabajo de los procesos, organización y relaciones de TI está
monitoreado. f)El procedimiento para el marco de trabajo de los procesos, organización y relaciones de TI está
automatizado 5.Se gestiona la inversión en TI?
a)No se gestiona. b)La inversión en TI se realiza de manera informal. c)La inversión en TI se realiza siguiendo técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para gestionar la inversión en TI. e)El procedimiento para gestionar la inversión en TI es monitoreado. f)El procedimiento para gestionar la inversión en TI está automatizado.
6.Existe un sistema de comunicación de las aspiraciones de la alta dirección? a)No existe. b)El sistema de comunicación de las aspiraciones de la alta dirección es informal. c)El sistema de comunicación de las aspiraciones de la alta dirección utiliza técnicas tradicionales no
documentadas. d)El sistema de comunicación de las aspiraciones de la alta dirección está definido y documentado en
un procedimiento e)El procedimiento que define el sistema de comunicación de las aspiraciones de la alta dirección es
monitoreado. f)El procedimiento que define el sistema de comunicación de las aspiraciones de la alta dirección
está automatizado. 7.Se gestionan los recursos humanos de TI?
a)No se gestionan. b)Los recursos humanos de TI se gestionan de manera informal. c)Los recursos humanos de TI se gestionan siguiendo técnicas tradicionales no documentadas. d)Los recursos humanos de TI se gestionan siguiendo un procedimiento definido y odcumentado. e)El procedimiento que gestiona los recursos de TI es monitoreado. f)El procedimiento que gestiona los recursos de TI está automatizado.
8.Existe un sistema de Gestión de la calidad? a)No existe. b)La calidad se gestiona de manera informal. c)La calidad se gestiona siguiendo técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para el sistema de gestión de la calidad. e)El procedimiento para el sistema de gestión de la calidad es monitoreado. f)El procedimiento para el sistema de gestión de la calidad está automatizado.
9.Existe administración de riesgos? a)No existe. b)La administración de riesgos es informal. c)La administración de riesgos se realiza con técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración de riesgos. e)El procedimiento para la administración de riesgos es monitoreado. f)El procedimiento para la administración de riesgos está automatizado.
10.Se gestionan proyectos de TI? a)No se gestionan b)Los proyectos de TI se gestionan de manera informal. c)La gestión de proyectos de TI utiliza técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para gestionar los proyectos de TI. e)El procedimiento para gestionar los proyectos de TI es monitoreado. f)El procedimiento para gestionar los proyectos de TI está automatizado.
DOMINIO 02: ADQUIRIR E IMPLANTAR 1.Se identifican soluciones automatizadas? a)No se identifican. b)Se identifican soluciones automatizadas de manera informal. c)Se identifican soluciones automatizadas utilizando técnicas tradicionales no documentadas. d)El procedimiento para identificar soluciones automatizadas está definido y documentado e)El procedimiento para identificar soluciones automatizadas está monitoreado. f)El procedimiento para identificar soluciones automatizadas está automatizado. 2.Se utiliza metodologias para desarrollar software aplicativo? a)No se utilizan metodologías. b)El software aplicativo se desarrolla de manera informal.
c)El desarrollo del software aplicativo utiliza técnicas tradicionales no documentadas. d)El desarrollo del software aplicativo se ha definido en un procedimiento documentado. e)El procedimiento para el desarrollo del software aplicativo está monitoreado. f)El procedimiento para el desarrollo del software aplicativo está automatizado. 3. Existe un Plan de infraestructura tecnológica? a)No existe. b)La infraestructura tecnológica se administra de manera informal. c)El plan de infraestructura tecnológica es informal. d)El plan de infraestructura tecnológica utiliza técnicas tradicionales no documentadas. e)El plan de infraestructura tecnológica ha sido definido en un procedimiento documentado. f)El procedimiento que define el plan de infraestructura tecnológica es monitoreado. g)El procedimiento que define el plan de infraestructura tecnológica está automatizado. 4.Existen manuales de operación y uso de los sistemas?. a)No existen. b)La operación y uso de los sistemas es informal. c)La operación y uso de los sistemas sigue técnicas tradicionales no documentadas. d)La operación y uso de los sistemas tiene un procedimiento definido y documentado. e)El procedimiento de operación y uso de los sistemas está monitoreado. f)El procedimiento de operación y uso de los sistemas está automatizado. 5.Se gestiona la adquisición de recursos de TI? a)No se gestiona. b)La adquisición de recursos de TI se realiza de manera informal. c)Para la adquisición de recursos de TI se utilizan técnicas tradicionales no documentadas. d)La adquisición de recursos de TI está gestionada con un proceso definido y documentado. e)El procedimiento para la adquisición de recursos de TI se monitorea. f)El procedimiento para la adquisición de recursos de TI está automatizado. 6.Se realiza administración de cambios? a)No se realiza. b)La administración de cambios se realiza de manera informal. c)La administración de cambios se realiza utilizando técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración de cambios. e)El procedimiento para la administración de cambios está monitoreado. f)El procedimiento para la administración de cambios está automatizado. 7.La instalación de soluciones y cambios son gestionadas? a)No se gestionan. b)La instalación de soluciones y cambios se realiza de manera informal. c)Para la instalación de soluciones y cambios se siguen técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la instalación de soluciones y cambios. e)El procedimiento para la instalación de soluciones y cambios es monitoreado. f)El procedimiento para la instalación de soluciones y cambios esta automatizado.
DOMINIO 03: Entrega del servicio y soporte 1.Se definen y administran los niveles de servicios? a)No se definen ni administran. b)Los niveles de servicio se definen y administran de manera informal. c)Los niveles de servicio se definen y administran utilizando técnicas tradicionales no documentadas. d)Se ha definido un procedimiento para definir y administrar los niveles de servicio. e)El procedimiento para definir y administrar los niveles de servicio es monitoreado. f)El procedimiento para definir y administrar los niveles de servicio está automatizado. 2.Se administran los servicios por terceros? a)No se administran. b)Los servicios por terceros se administran de manera informal. c)Los servicios por terceros se administran siguiendo técnicas tradicionales no documentadas. d)Los servicios por terceros se administran siguiendo un procedimiento definido y documentado. e)El procedimiento para adiministrar los servicios de terceros es monitoreado. f)El procedimiento para adiministrar los servicios de terceros está automatizado.
3.Se administra el desempeño y la capacidad de las TI? a)No se administra. b)El desempeño y la capacidad de las TI se administra de manera informal. c)El desempeño y la capacidad de las TI se administra con técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para administrar el desempeño y la capacidad de las TI. e)El procedimiento para administrar el desempeño y la capacidad de las TI es monitoreado. f)El procedimiento para administrar el desempeño y la capacidad de las TI está automatizado. 4.Se garantiza la continuidad de los servicios de TI? a)No se garantiza. b)La continuidad de los servicios de TI se garantiza de manera informal. c)La continuidad de los servicios de TI se garantiza usando técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para garantizar la continuidad de los servicios de TI. e)El procedimiento para garantizar la continuidad de los servicios de TI es monitoreado. f)El procedimiento para garantizar la continuidad de los servicios de TI está documentado. 5.Se garantiza la seguridad de los sistemas? a)No se garantiza. b)La seguridad de los sistemas se garantiza de manera informal. c)La seguridad de los sistemas se garantiza siguiendo técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para garantizar la seguridad de los sistemas. e)El procedimiento para garantizar la seguridad de los sistemas es monitoreado. f)El procedimiento para garantizar la seguridad de los sistemas está automatizado. 6.Se identifican y asignan costos de TI. a)No se identifican ni se asignan costos de TI. b)La identificación y asignación de costos de TI es informal. c)La identificación y asignación de costos de TI usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la identificación y asignación de costos de TI. e)El procedimiento para la identificación y asignación de costos de TI es monitoreado. f)El procedimiento para la identificación y asignación de costos de TI está automatizado. 7.Se educa y entrena a los Usuarios? a)No se educa ni entrena a los usuarios. b)La educación y entrenamiento a los usuarios es informal. c)La educación y entrenamiento a los usuarios se realiza de manera tradicional y no documentada. d)Se ha definido y documentado un procedimiento para la educación y entrenamiento de los usuarios. e)El procedimiento para la educación y entrenamiento de los usuarios es monitoreado. f)El procedimiento para la educación y entrenamiento de los usuarios está automatizado. 8.Se administra la mesa de servicio y los incidentes. a)No se administra la mesa de servicio ni los incidentes. b)La administración de la mesa de servicio y los incidentes es informal. c)La administración de la mesa de servicio y los incidentes usa técnicas tradicionales no documentados. d)Se ha definido y documentado un procedimiento para la administración de la mesa de servicio y los incidentes. e)El procedimiento para la administración de la mesa de servicio y los incidentes es monitoreado. f)El procedimiento para la administración de la mesa de servicio y los incidentes está automatizado. 9.Se administra la configuración de las TI. a)No se administra la configuración de las TI. b)La administración de la configuración de las TI es informal. c)La administración de la configuración de las TI usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la configuración de las TI. e)El procedimiento para la configuración de las TI es monitoreado. f)El procedimiento para la configuración de las TI está automatizado. 10.Se administran los problemas? a)No se administran b)Los problemas de administran de manera informal. c)Para la administración de los problemas se usan técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la adminsitración de los problemas. e)El procedimiento para la adminsitración de los problemas es monitoreado. f)El procedimiento para la adminsitración de los problemas está automatizado. 11.Se administran los datos?
a)No se administran. b)La administración de datos es informal. c)La administración de datos usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración de datos. e)El procedimiento para la administración de datos es monitoreado. f)El procedimiento para la administración de datos está automatizado. 12.Se administra el ambiente físico. a)No se administra el ambiente físico. b)La administración del ambiente físico es informal. c)La administración del ambiente físico usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración del ambiente físico. e)El procedimiento para la administración del ambiente físico es monitoreado. f)El procedimiento para la administración del ambiente físico está automatizado. 13.Se administran las operaciones? a)No se administran las operaciones. b)La administración de las operaciones es informal. c)La administración de las operaciones usa técnicas tradicionales no documentadas. d)Se ha definido y documentado un procedimiento para la administración de las operaciones. e)El procedimiento para la administración de las opperaciones es monitoreado. f)El procedimiento para la administración de las operaciones está automatizado.
DOMINIO 04: Monitorear y evaluar 1.Existe un proceso para monitorear y evaluar el desempeño de TI? a)No existe b)El monitoreo y evaluación del desempeño de TI es informal. c)Para el monitoreo y evaluación del desempeño de TI se utilizan técnicas tradicionales y no se documenta. d)Para el monitoreo y evaluación del desempeño de TI se utiliza un procedimiento definido y documentado. e)El procedimiento para el monitoreo y evaluación del desempeño de TI está monitoreado. f)El procedimiento para el monitoreo y evaluación del desempeño de TI está automatizado. 2.Existe un proceso para monitorear y evaluar el control interno de TI? a)No existe b)El monitoreo y evaluación del control interno de TI es informal. c)Para el monitoreo y evaluación del control interno de TI se utilizan técnicas tradicionales y no se documenta. d)Para el monitoreo y evaluación del control interno de TI se utiliza un procedimiento definido y documentado. e)El procedimiento para el monitoreo y evaluación del control interno de TI está monitoreado. f)El procedimiento para el monitoreo y evaluación del control interno de TI está automatizado. 3.Está garantizado el cumplimiento de requerimientos externos (leyes, regulaciones, etc)? a)No está garantizado b)El cumplimiento de requerimientos externos es informal. c)Para garantizar el cumplimiento de requerimientos externos se utilizan técnicas tradicionales y no se documenta. d)Para garantizar el cumplimiento de requerimientos externos se utiliza un procedimiento definido y documentado. e)El procedimiento para para garantizar el cumplimiento de requerimientos externos está monitoreado. f)El procedimiento para para garantizar el cumplimiento de requerimientos externos está automatizado. 4.Se proporciona gobierno de TI? a)No se proporciona b)El gobierno de TI es informal. c)El gobierno de Ti se realiza con técnicas tradicionales y no se documenta. d)El gobierno de TI utiliza un procedimiento definido y documentado. e)El procedimiento que define el gobierno de TI está monitoreado. f)El procedimiento que define el gobierno de TI está automatizado.
Anexo 02. ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DOMINIO “PLANEAMIENTO Y
ORGANIZACION” SEGUN EL MODELO COBIT
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
Ejemplo:1.Existe un método de monitoreo?
a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
DOMINIO: Planeamiento y organización
PROCESO PO01. Plan estratégico1.Como se elabora el plan estratégico?a)No se elaborab)La elaboración del plan estratégico se realiza de manera informalc)La elaboración del plan estratégico con técnicas tradicionales y no es documentado.d)La elaboración del plan estratégico está definido y es documentadoe)El proceso de elaboración del plan estratégico es monitoreadof)El proceso de elaboración del plan estratégico esta automatizado.2.Están alineados los objetivos de TI, con los objetivos de la organización?a)No están alineadosb)Los objetivos de TI están alineados parcialmente.c)Los objetivos de TI no son consistentes con la estrategia global de la organización.d)Los objetivos de TI están definidos y se documentane)Los objetivos de TI son monitoreadosf)Los objetivos de TI está alineado a los objetivos de la organización3.Los sistemas de información contribuyen al logro de los objetivos del negocio?a)Los Sistemas de Información no contribuyen.b)Los Sistemas de Información no están alineados a los objetivos del negocioc)Los Sistemas de Información son inconsistentes con los objetivos del negocio.d)Los Sistemas de Información contribuyen parcialmente.e)Los Sistemas de Información están alineados a los objetivos del negociof)Los Sistemas de Información contribuyen al cumplimiento de los objetivos del negocio.4.Los procesos de TI garantizan que el portafolio de inversiones de TI contenga programas con casos de negocio sólidos?a)No garantizab)El portafolio de inversiones de TI, se realiza de manera informalc)El portafolio de inversiones de TI son inconsistentes y no se documentand)Los procesos de inversiones de TI están definidos y se documentae)Los procesos de inversiones TI se monitoreanf)Los procesos de inversiones TI estan automatizados
5.Los planes tácticos de TI derivan del plan estratégico?a)No derivanb)Los planes tácticos se realiza de manera informalc)Los planes tácticos derivan parcialmente del plan estratégico y no se documentand)Los planes tácticos derivan del plan estratégico y está documentadoe)Los planes tácticos de TI se monitoreaf)Los planes tácticos de TI esta automatizado6.El portafolio de inversiones de TI, garantiza que los objetivos de los programas den soporte al logro de los resultados?a)No existe portafolio de inversiones de TIb)El portafolio de inversiones de TI garantiza parcialmente el logro de los objetivosc)El portafolio de inversiones de TI no se documentad)Los procesos de inversiones TI utiliza procedimientos documentadose)Los procesos de inversiones de TI son monitoreadosf)Los procesos de inversiones de TI esta automatizado7.Las iniciativas de TI dan soporte a la misión y metas de la organización?a)No existe iniciativas de TIb)Las iniciativas de TI no están alineados las metas de la organizaciónc)Las iniciativas de TI no se sustentan con documentaciónd)Las iniciativas de TI se sustentan con documentacióne)El proceso de las iniciativas de TI se monitoreaf)El proceso de las iniciativas de TI se automatizan8.La reingeniería de las iniciativas de TI, reflejan cambios en la misión y metas de la organización?a)No existe reingeniería de TIb)La reingeniería de iniciativas de TI se realiza de manera informalc)La reingeniería de iniciativas de TI no está documentadad)La reingeniería de iniciativas de TI utiliza procedimientos documentadose)La reingeniería de iniciativas de TI se monitoreaf)La reingeniería de iniciativas de TI esta automatizado9.La reingeniería de los procesos de negocio están siendo consideradas y dirigidas adecuadamente en el proceso de planeación de TI.?a)No existe reingeniería de procesosb)La reingeniería de procesos de TI se realiza de manera informalc)La reingeniería de procesos de TI procedimientos no documentadosd)La reingeniería de procesos de TI se documentan y se comunicane)La reingeniería de procesos de TI se monitoreaf)La reingeniería de procesos de TI esta automatizado10.Existen puntos de revisión para asegurar que los objetivos de TI a corto y largo plazo continúan satisfaciendo los objetivos de la organización?a)No existe revisiónb)Los puntos de revisión se realiza de manera informal c)Los puntos de revisión se realiza siguiendo un patrón regulard)Los procesos de revisión de los objetivos de TI está documentadoe)Los proseos de revisión de los objetivos de TI es monitoreadof)Los proseos de revisión de los objetivos de TI esta automatizado11.Los planes de TI a corto y largo plazo, están dirigidos adecuadamente a los objetivos de la institución?a)No existen planes de TIb)Los planes de TI se realiza de manera informalc)Los planes de TI sigue un patrón regular, y no están alineados a los objetivos de la organizaciónd)Los planes de TI, solo se documentan, mas no están alineados a los objetivos de la organizacióne)Los procesos de los planes de TI son monitoreados.f)Los procesos de los planes de TI esta automatizado12.Los propietarios de procesos de TI llevan a cabo revisiones y aprobaciones formales?a)No se lleva acabo revisionesb)Las revisiones se realiza de manera informalc)El plan de revisión y aprobación sigue un patrón regulard)Los procesos de revisión y aprobación de TI es documentadoe)Los procesos de revisión y aprobación de TI es monitoreado
f)Los procesos de revisión y aprobación de TI esta automatizado
PO02. Arquitectura de la Información1.El modelo de arquitectura de información está alineado a los planes de TI.a)No está alineadob)El modelo de arquitectura de información está alineado parcialmentec)El modelo de arquitectura de información utiliza técnicas tradicionales no documentadas.d)El modelo de arquitectura de información utiliza procedimientos documentados.e)El proceso del modelo de arquitectura de información es monitoreadof)El proceso del modelo de arquitectura de información, está relacionado con los planes de TI.2.Como se elabora el diccionario de datos de TI?a)No se elaborab)La elaboración del diccionario de datos ocurre de manera informal.c)La elaboración del diccionario de dato sigue un patrón regulard)Los procesos de elaboración del diccionario de dato se documentane)Los procesos de elaboración del diccionario de dato es monitoreadof)Los proceso de elaboración del diccionario de dato esta automatizado3.Utiliza buenas prácticas para garantizar la integridad y consistencia de datos?a)No se utilizab)Utilizan técnicas tradicionalesc)Los procedimientos están definidos por no documentadosd)Los procedimientos están definidos y documentadose)Los procesos para garantizar la integridad de datos es monitoreadof)Los procesos para garantizar la integridad de datos esta automatizado4.Utiliza niveles apropiados de seguridad y controles de protección?a)No se utilizab)Se realiza de manera informalc)Los niveles de seguridad sigue una patrón regular, no documentadod)Los procesos de seguridad son documentados y se comunicane)Los procesos de seguridad son monitoreados y se midenf)Los procesos de seguridad esta automatizado5.Se han definido sistemas apropiados para el tratamiento de la información, de tal forma que permita la consistencia de datos?a)No se han definidob)El proceso de consistencia de datos se realiza de manera informalc)El proceso de consistencia de datos sigue un patrón regulard)El proceso de consistencia de datos se documenta y comunicae)El proceso de consistencia de datos es monitoreadof)El proceso de consistencia de datos esta automatizado.6.El modelo de arquitectura conserva consistencia con el largo plazo de las TI?a)No existe modelo de arquitecturab)El modelo de arquitectura se realiza de manera informalc)El modelo de arquitectura sigue un patrón regulard)El modelo de arquitectura conserva consistencia y es documentadoe)El modelo de arquitectura es monitoreado f)El modelo de arquitectura conserva consistencia, esta automatizado7.Los servicios de información aseguran la creación y actualización de un diccionario de datos corporativo?a)No existeb)La actualización del diccionario de datos se realiza de manera informalc)La actualización del diccionario sigue un patrónd)El proceso de actualización del diccionario de datos se documentae)El proceso de actualización del diccionario de datos es monitoreado y mediblef)El proceso de actualización del diccionario de datos esta automatizado8.Se han definido niveles de seguridad para la clasificación de datos identificados?a)No se han definido los niveles de seguridadb)Los niveles de seguridad para la clasificación de datos se realiza de manera informalc)Los niveles de seguridad para la clasificación de datos sigue un patrón
d)El proceso de los niveles de seguridad para la clasificación de datos se documentae)El proceso de los niveles de seguridad para la clasificación de datos se monitoreaf)El proceso de los niveles de seguridad para la clasificación de datos esta automatizado.9.Los niveles de seguridad representan el conjunto de medidas de seguridad y control apropiado para cada una de las clasificaciones?a)No existe niveles de seguridadb)Los niveles de seguridad se realiza de realiza de manera informalc)Los niveles de seguridad no son apropiadosd)El proceso de niveles de seguridad se documentane)El proceso de niveles de seguridad se monitoreaf)Los niveles de seguridad son los apropiados para cada una de las clasificaciones10.Se utiliza algún medio para distribuir el diccionario de datos para asegurar que este sea accesible para las áreas de desarrollo?a)No existeb)La distribución del diccionario de datos se realiza de manera informalc)La distribución del distribución de datos sigue un patrón y no se documentad)El proceso de distribución del diccionario de datos se documentae)El proceso de distribución del diccionario de datos se monitoreaf)El proceso de distribución del diccionario de datos esta automatizado11.Existe un proceso de autorización que requiera que el propietario de los datos autorice todos los accesos a éstos datos?a)No existeb)El proceso de autorización de datos se realiza de manera informalc)El proceso autorización de datos sigue un patrón regulard)El proceso de autorización de datos no utiliza procedimientos documentadose)Los procesos de autorización de datos es monitoreado y se midenf)Los procesos de autorización de datos esta automatizado12.El acceso a datos delicados, requiere de la aprobación de los propietarios de la información?a)No existeb)El acceso se realiza de manera informal.c)Este proceso sigue un patrón regular.d)Este proceso es documentado y mediblee)El acceso a los datos son monitoreados y se midenf)Se implementa las mejores prácticas de acceso a los datos delicados.PO03 Dirección tecnológica1.Se analizan las tecnologías existentes y emergentes, para determinar la dirección tecnológica?a)No se analizan las tecnologías existentesb)El desarrollo e implementación de tecnologías se realiza de manera informalc)El desarrollo e implementación de tecnologías se delega a personas que siguen procesos intuitivos.d)El proceso para definir la infraestructura tecnológica se documentae)El proceso para analizar las tecnólogas existentes y emergentes se monitoreaf)El proceso para analizar las tecnólogas existentes y emergentes esta automatizado2.El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI?a)El plan de infraestructura no está alienado a los planes estratégicos de TIb)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se realiza de manera informal.c)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI utiliza procedimientos no documentadosd)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se documentae)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI se monitoreaf)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI esta automatizado3.Se utiliza estándares tecnológicos para el diseño de arquitectura de TI?a)No se utiliza estándares para el diseño de la arquitectura de TIb)El diseño e implementación de la arquitectura tecnológica se realiza de manera informalc)El diseño de la arquitectura de TI utiliza procedimiento no documentadosd)El diseño de la arquitectura de TI se documentae)El proceso para el diseño de la arquitectura de TI se monitorea.f)El proceso para el diseño de la arquitectura de TI se automatiza
4.Como elabora la arquitectura de TI?a)No se elaborab)La arquitectura de TI se elabora de manera informalc)La elaboración de la arquitectura de TI utiliza procedimientos no documentadosd)La elaboración de la arquitectura de TI se documentae)El proceso del diseño de la arquitectura de TI, es monitoreadof)El proceso del diseño de la arquitectura de TI esta automatizado5.El plan de infraestructura tecnológica abarca la arquitectura de sistemasa)No existe plan de infraestructura tecnológicab)El plan de infraestructura tecnológica se considera en la arquitectura de sistemas de manera informalc)El plan de infraestructura tecnológica y de sistemas no está documentadod)El plan de infraestructura tecnológica y de sistemas se documentae)El plan de infraestructura tecnológica se monitoreaf)El plan de infraestructura tecnológica esta automatizado.6.El plan de infraestructura tecnológica abarca aspectos como dirección tecnológica?a)No existe plan de infraestructura tecnológica b)Los aspectos de dirección tecnológica se realiza de manera informalc)El plan de infraestructura tecnológica abarca aspectos de dirección, pero no es documentadod)El plan de infraestructura tecnológica abarca aspectos de dirección y se documentae)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección y es monitoreadof)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección, y esta automatizado7.El plan de infraestructura tecnológica abarca las estrategias de migración?a)No existe plan de infraestructura tecnológicab)Las estrategias de migración se realiza de manera informalc)Las estrategias de migración utiliza procedimientos no documentadosd)Las estrategias de migración se documentae)El proceso de estrategias de migración se monitoreaf)El proceso de estrategias de migración esta automatizado.8.Existe un plan de adquisición de hardware y software de tecnología de información?a)No existeb)La adquisición de hardware y software se realiza de manera informalc)La adquisición de hardware y software utiliza procedimientos no documentadosd)La adquisición de hardware y software se documentae)El procesos de adquisición de hardware y software se monitoreaf)El procesos de adquisición de hardware y software esta automatizado9.Existen políticas y procedimientos que aseguren que se considere la necesidad de evaluar el plan tecnológico para aspectos de contingencia?a)No existe políticas y procedimientos para evaluar el plan tecnológicob)La evaluación del plan tecnológico se realiza de manera informalc)La evaluación del plan tecnológico utiliza procedimientos no documentadosd)La evaluación del plan tecnológico se documenta.e)El proceso de evaluación del plan tecnológico se monitoreaf)El proceso de evaluación del plan tecnológico esta automatizado10.Los planes de adquisición de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica?a)No existe plan de adquisición b)El plan de adquisición de se realiza de manera informalc)La adquisición de software y hardware utiliza procedimientos nos documentadosd)La adquisición de software y hardware se documentae)El proceso de adquisición de software y hardware se monitoreaf)El proceso de adquisición de software y hardware esta automatizado.11.Existe un ambiente físico adecuado para alojar el hardware y software actualmente instalado?a)No existe un ambiente adecuadob)El ambiente para alojar el hardware se asigna de manera informalc)La selección de los ambientes para alojar el hardware utiliza procedimientos no documentados.d)La selección de los ambientes para alojar el hardware se documentae)El proceso de selección de ambientes para alojar el hardware se monitoreaf)El proceso de selección de ambientes para alojar el hardware esta automatizado
PO04. Procesos, organización y relaciones de TI.1.Se sigue un marco de trabajo para ejecutar el plan estratégico de TI?a)No sigue ningún patrón de trabajob)Para ejecutar el plan estratégico TI se realiza de manera informalc)La ejecución del plan estratégico TI utiliza procedimientos no documentados.d)La ejecución del plan estratégico TI se documentae)El proceso de ejecución del plan estratégico TI se monitoreaf)El proceso de ejecución del plan estratégico TI esta automatizado2.Se asignan roles y responsabilidades para el personal de TI?a)No se asignanb)Las responsabilidades se asignan de manera informalc)Para la asignación de roles y responsabilidades de TI se utiliza procedimientos no documentadosd)La asignación de roles y responsabilidades de TI se documentane)El proceso de asignación de responsabilidades de TI se monitorea.f)El proceso de asignación de responsabilidades de TI esta automatizado3.Están definidas las políticas y funciones de aseguramiento de la calidad?a)No están definidas.b)La definición de políticas de calidad se realiza de manera informalc)La definición de las políticas de TI utiliza procedimientos no documentadosd)La definición de las políticas de TI se documentae)Los procesos de definición de políticas de calidad se monitorea.f)Los procesos de definición de políticas de calidad esta automatizado4.Existen políticas y procedimientos que cubran la propiedad de los sistemas más importantes?a)No existenb)Las políticas para cubrir la propiedad de datos se realiza de manera informalc)Las políticas para cubrir la propiedad de datos utiliza procedimiento no documentadosd)Las políticas para cubrir la propiedad de datos se documentane)El proceso de políticas para cubrir la propiedad de datos se monitoreaf)El proceso de políticas para cubrir la propiedad de datos esta automatizado.5.Existen funciones y responsabilidades para procesos claves?a)No existen responsabilidades para procesos clavesb)Las responsabilidades para procesos claves se realiza de manera informalc)Las responsabilidades para procesos clave utiliza procedimientos no documentados.d)Los procesos de funciones y responsabilidades se documentan y comunicane)Las responsabilidades para los procesos claves se monitorea f)Las responsabilidades para los procesos claves esta automatizado6.Existen políticas para controlar las actividades de consultores y demás personal por contrato?a)No existenb)Las actividades de contratación se realiza de manera informalc)Las actividades y políticas de contratación de consultores utiliza procedimientos no documentadosd)Las actividades y políticas de contratación de consultores se documentae)El proceso para controlar las actividades de consultores se monitoreaf)El proceso para controlar las actividades de consultores esta automatizado.7.Se realiza revisiones de los logros organizacionales?a)No se realizab)Las revisiones de los logros institucionales se realiza de manera informalc)Las revisiones de los logros institucionales utiliza procedimientos no documentadosd)Las revisiones de los logros institucionales se documentae)El proceso de revisión de los logros institucionales se monitoreaf)El proceso de revisión de los logros institucionales esta automatizado?8.Se informa al personal sobre sus funciones y responsabilidades en relación a los sistemas de información?a)No se informab)La comunicación de las responsabilidades se realiza de manera informalc)La comunicación de las responsabilidades utiliza procedimientos no documentadosd)Las funciones y responsabilidades se documentan y se comunicane)El proceso de comunicación de las responsabilidades se monitorea.f)El proceso de comunicación de las responsabilidades esta automatizado9.Se realiza eventos para concientizar al personal respecto a la seguridad y control interno?
a)No se realizab)Los eventos de concientización al personal con respecto a seguridad se realiza de manera informalc)Los eventos de concientización al personal con respecto a seguridad utiliza procedimientos no documentadosd)Los eventos de concientización al personal con respecto a seguridad se documentae)Los procesos de eventos de concientización al personal con respecto a seguridad se monitoreaf)Los procesos de eventos de concientización al personal con respecto a seguridad esta automatizado10.Se asigna formalmente la responsabilidad lógica y física de la información aun gerente de seguridad de información?a)No existeb)La responsabilidad física y lógica a los sistema se realiza de manera informalc)La asignación de responsabilidad física y lógica a los sistemas de información utiliza procedimientos no documentadosd)La asignación de responsabilidad física y lógica a los sistemas de información se documentae)El proceso de asignación de responsabilidad física y lógica a los Sistemas se monitorea.f)El proceso de asignación de responsabilidad física y lógica a los Sistemas esta automatizado11.Existen procesos e indicadores de desempeño para determinar la efectividad y aceptación de la función de servicios de información?a)No existeb)Los procesos e indicadores de desempeño se realiza de manera informalc)Los indicadores de desempeño utiliza procedimientos no documentadosd)Los procesos e indicadores de desempeño se documentane)Los procesos e indicadores de desempeño se monitorean.f)Los procesos e indicadores de desempeño esta automatizado12.Existen políticas y funciones de aseguramiento de la calidad?a)No existeb)El aseguramiento de calidad se realiza de manera informalc)El aseguramiento de calidad utiliza procedimientos no documentadosd)El proceso de aseguramiento de calidad se documenta.e)El proceso de aseguramiento de calidad es monitoreada y se midenf)El proceso de aseguramiento de calidad es monitoreada esta automatizado
PO05. Inversión en TI1.El presupuesto de TI, es el adecuado para justificar el plan operativo anual?a)No existe presupuesto de TIb)El presupuesto de TI se justifica de manera informal.c)La justificación del presupuesto de TI utiliza procedimientos no documentados d)La justificación del presupuesto de TI para el plan operativo se documentae)El proceso de justificación del presupuesto de TI para el plan operativo se monitoreaf)El proceso de justificación del presupuesto de TI para el plan operativo esta automatizado.2.Los análisis de costo/beneficio llevados a cabo por la administración, son revisados adecuadamente?a)No existe análisis de costo/beneficio en TIb)El análisis de costo beneficio de TI se realiza de manera informalc)El análisis de costo beneficio de TI utiliza procedimientos no documentadosd)El análisis de costo beneficio de TI se documentae)El proceso de análisis de costo beneficio de TI se monitoreaf)El proceso de análisis de costo beneficio de TI esta automatizado.3.El proceso de elaboración del presupuesto de la función de servicios de información es consistente con el proceso de la organización?a)No existe presupuesto para la función de serviciosb)La elaboración del presupuesto para la función de servicios se realiza de manera informalc)La elaboración del presupuesto para la función de servicios utiliza procedimientos no documentadosd)La elaboración del presupuesto para la función de servicios se documentae)El procesos de elaboración del presupuesto para la función de servicios se monitoreaf)El proceso de elaboración del presupuesto para la función de servicios esta automatizado.4.Existe políticas y procedimientos para asegurar la preparación y la aprobación adecuada de un presupuesto operativo anual?a)No existe políticas ni procedimientos para elaborar el presupuesto de TIb)La elaboración del presupuesto operativo anual de TI se realiza de manera informal
c)La elaboración del presupuesto operativo anual de TI utiliza procedimientos no documentadosd)La elaboración del presupuesto operativo anual de TI se documentae)El proceso de elaboración del presupuesto operativo anual de TI se monitoreaf)El proceso de elaboración del presupuesto operativo anual de TI esta automatizado5.Existe políticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados?a)Los costos no son monitoreadosb)El monitoreo de los costos reales se realiza de manera informalc)El monitoreo de los costos reales utiliza procedimientos no documentadosd)El monitoreo de los costos reales se documentaEl proceso del monitoreo de los costos reales auditados y mediblese)El proceso de monitoreo de los costos reales esta automatizado6.El presupuesto de la TI es el adecuado para justificar el plan operativo anual?a)No existe presupuesto de TIb)La justificación del plan operativo se realiza de manera informalc)La justificación del plan operativo anual utiliza procedimientos no documentadosd)La justificación del plan operativo anual se documentae)El proceso de justificación del plan operativo anual se monitoreaf)El proceso de justificación del plan operativo anual esta automatizado7.El análisis de costo beneficio es revisado adecuadamente?a)El análisis de costo beneficio no es revisadob)El análisis de costo beneficio se revisa de manera informalc)El análisis de costo beneficio utiliza procedimientos no documentadosd)El análisis de costo beneficio se documentae)El proceso de análisis costo beneficio se monitoreaf)El proceso de análisis costo beneficio esta automatizado8.Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente?a)No existe uso de herramientasb)El uso de herramientas para monitorear los costos se realiza de manera informalc)El uso de herramientas para monitorear los costos usa procedimientos no documentadosd)El uso de herramientas para monitorear los costos se documentae)El procesos de monitorear los costos se evalúa y es mediblef)El procesos de monitorear los costos esta automatizado.9.Los beneficios derivados de TI son analizados?a)Los beneficios derivados de no son analizadosb)Los beneficios derivados de TI son analizados de manera informalc)Los beneficios derivados de TI son analizados, pero no utiliza procedimientos documentadosd)Los beneficios derivados de TI son analizados, se documentae)El proceso de análisis de los beneficios de TI se monitoreaf)El proceso de análisis de los beneficios de TI esta automatizado10.El proceso de elaboración del presupuesto está vinculado con la administración de las unidades más importantes que contribuyan a su preparación?a)El presupuesto no está vinculado a las unidades más importantesb)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se realiza de manera informal.c)El proceso de elaboración del presupuesto para vincular con las unidades más importantes utiliza procedimientos no documentadosd)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se documenta.e)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se monitoreaf)El proceso de elaboración del presupuesto para vincular con las unidades más importantes esta automatizado11.Se realiza una revisión detallada del presupuesto actual y del año inmediato anterior contra los resultados reales?a)No existe revisión b)La revisión del presupuesto del año inmediato anterior se realiza de manera informalc)La revisión del presupuesto del año inmediato anterior utiliza procedimientos no documentadosd)La revisión del presupuesto del año inmediato anterior se documentae)El proceso de revisión del presupuesto del año inmediato anterior se monitoreaf)El proceso de revisión del presupuesto del año inmediato anterior esta automatizado
12.Existe políticas y procedimientos de TI relacionadas con la elaboración del presupuesto y las actividades del costeo?a)No existeb)La elaboración del presupuesto y las actividades de costeo se realiza de manera informalc)La elaboración del presupuesto y las actividades de costeo utiliza procedimientos no documentadosd)La elaboración del presupuesto y las actividades de costeo se documentae)El proceso de elaboración del presupuesto y las actividades de costeo se monitoreaf)El proceso de elaboración del presupuesto y las actividades de costeo esta automatizado
PO06. Nivel de comunicación entre los miembros de TI1.Se da a conocer los objetivos del negocio y de TI a los interesados apropiados y a los usuarios de toda la organización?a)Los objetivos del negocio y de TI no se da a conocerb)Los objetivos del negocio y de TI se da a conocer de manera informalc)La comunicación de los objetivos del negocio y de TI, no se documentad)La comunicación de objetivos del negocio y de TI se documentae)Los procesos de comunicación de los objetivos de TI se monitoreaf)Los procesos de comunicación de los objetivos de TI esta automatizado2.Las políticas de TI se comunican a todo el personal relevante, y se refuerzan de tal forma que estén incluidas y sean parte integral de las operaciones?a)El personal desconoce la existencia de políticas de TIb)La comunicación de las políticas de TI al personal relevante se comunican de manera informalc)Para la comunicación de las políticas de TI al personal relevante se utiliza procedimiento no documentadosd)La comunicación de las políticas de TI al personal relevante se documentae)El proceso de comunicación de las políticas de TI al personal relevante se monitoreaf)El proceso de comunicación de las políticas de TI al personal relevante esta automatizado3.La alta gerencia promueve un ambiente de control positivo a través del ejemplo?a)No existe iniciativa para promover un ambiente positivob)Las iniciativas para promover un ambiente positivo se realiza de manera informalc)Las iniciativas para promover un ambiente positivo no se documentad)Las iniciativas para promover un ambiente positivo se documentae)Los procesos para promover un ambiente positivo se monitoreaf)Los procesos para promover un ambiente positivo esta automatizado4.Existe políticas y procedimientos organizacionales para asegurar que los recursos son asignados adecuadamente?a)No existe políticas ni procedimientos para asegurar que los recursos son asignados adecuadamenteb)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se realiza de manera informalc)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente no se documentad)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se documentae)Los procesos para asegurar que los recursos son asignados adecuadamente se monitoreaf)Los procesos para asegurar que los recursos son asignados adecuadamente esta automatizado5.Existe procedimientos apropiados para asegurar que el personal comprende las políticas y procedimientos implementadas?a)No existe procedimientos apropiadosb)Los procedimientos para asegurar la comprensión de las políticas se realiza de manera informalc)Los procedimientos para asegurar la comprensión de las políticas no se documentad)Los procedimientos para asegurar la comprensión de las políticas se documentae)Los procesos para asegurar la comprensión de las políticas se monitorea f)Los procesos para asegurar la comprensión de las políticas esta automatizado6.Existen procedimientos que consideren la necesidad de revisar y aprobar periódicamente estándares, directivas, políticas relacionados con TI?a)No existe procedimientos para revisar y aprobar las directivas relacionados con TIb)Los procedimientos para revisar y aprobar las directivas relacionados con TI se realiza de manera informalc)Los procedimientos para revisar y aprobar las directivas relacionados con TI no se documentad)Los procedimientos para revisar y aprobar las directivas relacionados con TI se documentae)Los procesos para revisar y aprobar las directivas relacionados con TI se monitoreaf)Los procesos para revisar y aprobar las directivas relacionados con TI esta automatizado
7.Las políticas de seguridad y control interno identifican el proceso de control de la revaluación de riesgos?a)Las políticas de seguridad no identifican el proceso de control de revaluación de riesgosb)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se realiza de manera informalc)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos no se documentad)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se documentae)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos se monitoreaf)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos esta automatizado.8.Existen políticas para asuntos especiales para documentar las decisiones administrativas sobre aplicaciones y tecnologías particulares?a)No existe políticas para asuntos especiales de TIb)Las políticas para asuntos especiales de TI se realiza de manera informalc)Las políticas para asuntos especiales de TI no se documentad)Las políticas para asuntos especiales de TI se documentae)Las procesos para asuntos especiales TI se monitorean y midenf)Los procesos para asuntos especiales de TI esta automatizado9.Existe el compromiso de la administración en cuanto a los recursos para formular, desarrollar y promulgar políticas?a)No existe compromiso por parte de la administraciónb)El compromiso por parte de la administración en cuanto a los recursos se realiza de manera informalc)El compromiso por parte de la administración en cuanto a los recursos no se documentad)El compromiso por parte de la administración en cuanto a los recursos se documentae)Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas se monitoreaf)Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas esta automatizado10.Existe procedimientos de medición para asegurar que los objetivos de la organización sean alcanzados?a)No existe procedimientos de mediciónb)Los procedimientos de medición de objetivos se realiza de manera informalc)Los procedimientos de medición de objetivos no se documentad)Los procedimientos de medición de objetivos se documentae)Los procesos para medir los objetivos alcanzado se monitoreaf)Los procesos para medir los objetivos alcanzado esta automatizado
PO07. Recursos humanos de TI.1.Están definidos los procesos para reclutar y seleccionar personal?a)No están definidosb)El reclutamiento y selección de personal se realiza de manera informalc)El reclutamiento y selección de personal no se documentad)El reclutamiento y selección de personal se documentae)El proceso de reclutamiento y selección de personal se monitoreaf)El proceso de reclutamiento y selección de personal esta automatizado.2.La administración está comprometida con la capacitación y el desarrollo profesional de los empleados?a)No existe compromiso por parte de la administración para la capacitación del personalb)La administración capacita al personal de manera informalc)La capacitación del personal no se documentald)La capacitación del personal se documentae)Los procesos de capacitación al personal se monitoreaf)Los procesos de capacitación al personal esta automatizado.3.Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia?a)No se realiza evaluaciones del desempeño al personal de TI.b)Las evaluaciones se realiza de manera informalc)Las evaluaciones se utiliza procedimientos no documentadosd)Las evaluaciones se documentae)Los procesos de evaluación del personal se monitoreanf)Los procesos de evaluación del personal esta automatizado4.Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes?a)No se utilizan criterios para seleccionar personal del TIb)Los criterios utilizados para seleccionar personal de TI no son los adecuadosc)Los criterios utilizados para seleccionar personal de TI no se documenta
d)Los criterios utilizados para seleccionar personal de TI se documentae)El proceso para seleccionar personal para cubrir vacantes se monitoreaf)El proceso para seleccionar personal para cubrir vacantes esta automatizado5.La administración y los empleados aceptan el proceso de competencia del puesto?a)No aceptanb)La aceptación del proceso de competencia del puesto se realiza de manera informalc)El proceso de aceptación de competencia del puesto no se documentad)El proceso de aceptación de competencia del puesto se documentae)El proceso de aceptación de competencia del puesto se monitoreaf)El proceso de aceptación de competencia del puesto esta automatizado6.Los programas de entrenamiento son consistentes con los requerimientos de la organización relacionados con la educación?a)No existe programas de entrenamientob)Los programas de entrenamiento se realiza de manera informalc)Los programas de entrenamiento son consistentes con los requerimientos, pero no se documentad)Los programas de entrenamiento se documentae)El proceso de programas de entrenamiento se monitoreaf)El proceso de programas de entrenamiento esta automatizado7.Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia para la posición?a)No existe evaluaciónb)La evaluación de empleados se realiza de manera informalc)La evaluación de los empleados no se documentad)La evaluación de los empleados se documentae)El proceso de evaluación de empleados se monitoreaf)El proceso de evaluación de empleados esta automatizado8.Las políticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables?a)No existen políticas ni procedimientosb)Las políticas y procedimientos de recursos humanos no son coherentes con las leyes laboralesc)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales, pero no se documentad)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales y se documentae)Los procesos de recursos humanos concuerdan con las leyes laborales y se monitoreaf)Los procesos de recursos humanos esta automatizado9.Se realiza talleres de pruebas de inteligencia emocional?a)No se realizab)Los talleres de prueba de inteligencia emocional se realiza de manera informalc)Los talleres de prueba de inteligencia emocional no se documentad)Los talleres de prueba de inteligencia emocional se documentae)Los procesos de prueba de inteligencia emocional se monitoreaf)Los procesos de prueba de inteligencia emocional esta automatizado10.Se realiza instrucción y entrega de materiales a los empleados contratados para que cumplan sus obligaciones eficiente?a)No se realiza ningún tipo de instrucciónb)La instrucción y entrega de materiales a los empleados se realiza de manera informalc)La instrucción y entrega de materiales a los empleados no se documentad)La instrucción y entrega de materiales a los empleados se documentae)El proceso de instrucción y entrega de materiales a los empleados se monitoreaf)El proceso de instrucción y entrega de materiales a los empleados esta automatizado11.Se realiza orientación a los nuevos empleados mediante talleres de capacitación y entrega de documentación con las normativas?a)No se realiza ningún tipo de orientaciónb)La orientación a los nuevos empleados se realiza de manera informalc)La orientación a los nuevos empleados no se documentad)La orientación a los nuevos empleados se documentae)El proceso de capacitación u orientación a los nuevos empleados se monitoreaf)El proceso de capacitación u orientación a los nuevos empleados esta automatizada.
PO08. Calidad1.Existen políticas y procedimientos para asegurar las acciones correctivas, para asegurar un cumplimiento continuo?a)No se revisa la calidad de los proyectosb)Las acciones correctivas de los proyectos se realiza de manera informalc)Las acciones correctivas de los proyectos no se documentad)Las acciones correctivas de los proyectos se documentae)El proceso para las acciones correctivas de los proyectos se monitoreaf)El proceso para las acciones correctivas de los proyectos esta automatizado2.En desarrollo de proyectos utilizan estándares de desarrollo de software?a)No utilizan ningún estándar.b)El desarrollo de proyectos de software se realiza de manera informalc)Los proyectos de software no se documentad)Los proyectos de software se documentae)Los procesos de desarrollo de software se monitoreaf)Los procesos de desarrollo de software esta automatizado3.Existe un sistema de gestión de calidad?a)No existe programas de calidadb)Los sistemas de calidad se realiza de manera informalc)Los sistemas de calidad no se documentad)Los sistemas de calidad se documentae)Los procesos de gestión calidad se monitoreaf)Los procesos de gestión de calidad esta automatizado4.Los proyectos son evaluados, monitoreados por el sistema de calidad.?a)No existe evaluación de proyectosb)La evaluación de proyectos se realiza de manera informalc)La evaluación de proyectos no se documentad)La evaluación de proyectos se documentae)Los procesos de evaluación de proyectos se monitoreaf)Los procesos de evaluación de proyectos esta automatizado5.Existen políticas y procedimientos para asegurar las acciones correctivas de los requerimientos externos?a)No existen requerimientos externosb)Los procedimientos de los requerimientos externos se realiza de manera informalc)Los procedimientos de los requerimientos externos no se documentad)Los procedimientos de los requerimientos externos se documentae)Los procesos para asegurar los requerimientos externos se monitoreaf)Los procesos para asegurar los requerimientos externos esta automatizado6.Existen políticas y procedimientos para asegurar que se proporcionan entrenamiento y educación en seguridad y salud a todos los empleados?a)No existe entrenamiento en seguridad y saludb)Los procedimiento de entrenamiento y educación en seguridad se realiza de manera informalc)Los procedimiento de entrenamiento y educación en seguridad no se documentad)Los procedimiento de entrenamiento y educación en seguridad se documentae)Los procesos de entrenamiento y educación en seguridad se monitoreaf)Los procesos de entrenamiento y educación en seguridad esta automatizado7.Existe políticas y procedimientos para monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad?a)No se monitorea el cumplimiento de las layes y regulaciones de seguridadb)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se realiza de manera informal.c)El monitoreo del cumplimiento de las layes y regulaciones de seguridad no se documentad)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se documentae)El proceso del cumplimiento de las layes y regulaciones de seguridad se monitoreaf)El proceso del cumplimiento de las layes y regulaciones de seguridad esta automatizado8.Existe políticas y procedimientos para proporcionar a la dirección un enfoque adecuado sobre confidencialidad de tal manera que todos los requerimiento legales caigan dentro de este alcance?a)No existe b)Los procedimientos son ad-hoc y desorganizadosc)Los procedimientos siguen un patrón regular
d)Los procedimientos se documentan y comunicane)Los procedimientos son monitoreados y se midenf)Se implementa las mejores prácticas en la implementación de políticas y procedimientos9.Existen políticas y procedimientos para asegurar el cumplimiento con los requerimientos de los contratos de seguros?a)No existeb)Los procedimientos son ad-hoc y desorganizadosc)Los procedimientos siguen un patrón regulard)Las políticas y procedimientos se documentane)Los procedimientos de contratos se monitorean y se midenf)Se implementa las mejores prácticas para asegurar el cumplimiento de los contratos de seguros10.Existe políticas y procedimientos para asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un contrato de seguros nuevo/modificado?a)No existeb)Los procedimientos son ad-hocc)Los procedimientos siguen un patrón regulard)Los procedimientos se documentan y se comunicane)Los procesos de actualización se monitorean y se midenf)Se implementa las mejores prácticas para realizar la actualización de contratos de seguros11.Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales?a)No existeb)Los procedimientos de seguridad son ad-hocc)Los procedimientos de seguridad siguen un patrónd)Los procedimientos de seguridad se documentan y se comunicane)Los procedimientos de seguridad se monitorean y se midenf)Se implementa las mejores prácticas de seguridad
PO09. Riesgos de TI1.Existe un marco referencial para la evaluación sistemática de riesgos?a)No existeb)Los riesgos de TI se toman en cuenta de manera ad-hocc)Existe un enfoque de evaluación de riesgos en desarrollo y se implementa a discreción de los gerentes del negociod)La metodología para la evaluación de riesgos es conveniente y solida.e)Existe medidas estándares para evaluar los riesgos.f)La evaluación de riesgos esta implementado en toda la organización y es bien administrado.2.El personal asignado a evaluación de riesgos esta adecuadamente calificado?a)No se realiza evaluación de riesgosb)El personal no está calificadoc)Le evaluación de riesgos se realiza de manera empíricad)El personal es capacitado parcialmente para el desempeño de dicha actividade)El personal asignado a evaluación de riesgos es evaluado constantef)Se implementa las mejores prácticas de la industria3.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas?a)No se realiza planes de acción para mitigar los riesgosb)Los riesgos se enfrenta de manera empíricac)No existe planes de contingenciad)Están definidos los planes de acción contra riesgos, pero son inconsistentese)Los planes de acciones contra riesgos son evaluados y monitoreadosf)Se implementan las mejores prácticas de la industria4.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas?a)No se realiza planes de acción para mitigar los riesgosb)Los riesgos se enfrenta de manera empíricac)No existe planes de contingenciad)Están definidos los planes de acción contra riesgos, pero son inconsistentese)Los planes de acciones contra riesgos son evaluados y monitoreados
f)Se implementan las mejores prácticas de la industria5.Los objetivos de toda la organización están incluidos en el proceso de identificación de riesgos?a)No están definidosb)Los objetivos no están incluidos en la identificación de riesgosc)Los procesos siguen un patrón regulard)Los procesos se documentan y comunicane)Los procesos son monitoreados y se midenf)Se implementa las mejores prácticas en la identificación de riesgos6.La documentación de riesgos incluye una descripción de la metodología de evaluación de riesgos?a)No existe documentaciónb)La documentación de riesgos se da de manera informalc)La documentación de riesgos sigue un patrón regulard)Los procesos de documentación de riesgos se documentan y se comunicane)Los procesos de documentación de riesgos se monitorean y se midenf)Se implementa las mejores prácticas en la evaluación de riesgos7.La documentación de riesgos incluye la identificación de exposiciones significativas y los riesgos correspondientes?a)No existeb)La documentación de riesgos es ad-hocc)La documentación de riesgos sigue patrón regulard)Los procesos de documentación de riesgos se documentan y se comunicane)Los procesos se monitorean y se midenf)Se implementa las mejores prácticas en los procesos de la documentación de riesgos8.Se incluye técnicas de probabilidad, frecuencia y análisis de amenazas en la identificación de riesgos?a)No existeb)Los procesos son ad-hoc y desorganizadosc)Los procesos de análisis de riesgos sigue un patrón regulard)Los procesos de análisis de riesgos se documentan y se comunicane)Los procesos de análisis de riesgos son monitoreados y se midenf)Se implementa las mejores prácticas en el análisis de riesgos9.Existe un enfoque cuantitativo y/o cualitativo formal para la identificación y medición de riesgos y amenazas?a)No existeb)Los procesos son ad-hoc y desorganizadosc)Los procesos de identificación de riesgos siguen un patrón regulard)Los procesos de identificación de riesgos se documentan y comunicane)Los procesos de identificación de riegos se monitorean y se midenf)Se implementa las mejores prácticas en la identificación de riesgos10.La aceptación de riesgo toma en cuenta el costo y la efectividad de implementar salvaguardas y controles?a)No existeb)No se toma en cuenta en los costosc)El proceso de aceptación de riesgos sigue un patrón regulard)El proceso de aceptación de riesgos se documentan y se comunicane)Los procesos de aceptación de riesgos son monitoreados y se midenf)Se implementa las mejores prácticas en los procesos de aceptación de riegos11.La aceptación de riesgo toma en cuenta la política organizacional?a)No existeb)No se toma en cuenta en las políticas c)El proceso de aceptación de riesgos sigue un patrón regulard)El proceso de aceptación de riesgos se documentan y se comunicane)Los procesos de aceptación de riesgos son monitoreados y se midenf)Se implementa las mejores prácticas en los procesos de aceptación de riegos en las política organizacional12.La aceptación de riesgo toma en cuenta la incertidumbre inherente al enfoque de evaluación de riesgos?a)No existeb)No se toma en cuenta en los costosc)El proceso de aceptación de riesgos sigue un patrón regulard)El proceso de aceptación de riesgos se documentan y se comunicane)Los procesos de aceptación de riesgos son monitoreados y se midenf)Se implementa las mejores prácticas en los procesos de identificación y medición de riegos
PO10. Proyectos de TI1.Se define metodologías de administración de proyectos, para cada proyecto emprendido?a)Desconocen el termino de metodologíasb)Los proyectos se gestiona de manera empíricac)El uso de metodologías se realiza de manera parciald)Los procesos se documentan y comunicane)La selección de las metodologías son evaluados para la gestión de proyectof)Se implementan las mejores prácticas de la industria.2.El compromiso, identificación de los miembros de TI, afecta la ejecución del proyecto dentro del contexto global?a)No existe compromiso con la instituciónb)El personal de TI no se identifica con la organizaciónc)No existe programas de motivación para el personal TId)La ejecución de los proyectos se retrasan por falta de compromiso del personale)El compromiso se da de forma parcialf)El personal se siente comprometida con la ejecución de los proyectos.3.Existe procedimientos para documentar el alcance del proyecto, como se relaciona con otros proyectos dentro del programa global?a)No existe b)Los proyectos no son planificadosc)El uso de metodologías para la gestión de proyectos se da de forma parcial.d)Los procesos están definidos, pero son inconsistentes.e)Los procedimientos están implementados y documentadosf)Se implementan las mejores prácticas de la industria4.Existe procedimientos definidos para la obtención de servicios, productos requeridos para cada proyecto?a)No existeb)La obtención de productos y servicios se da de manera ad-hocc)La obtención de productos se realiza de manera informal.d)Los procedimientos son documentados y comunicado a los usuarios responsables.e)Los procedimientos son evaluados y monitoreadosf)Se implementa las mejores prácticas de la industria.5.Existen políticas y procedimientos relacionados con los métodos de aseguramiento de la calidad?a)No existen b)No existe aseguramiento de la calidad de los proyectosc)Los proyectos se desarrolla utilizando técnicas tradicionales.d)Los políticas y procedimiento están definidos, pero aun no se implementane)Las políticas y procedimientos son evaluados y monitoreadosf)Se implementan las mejores prácticas en el aseguramiento de la calidad de los proyectos.6.Existe un sistema de control de cambios para cada proyecto., de tal modo que todos los cambios al proyecto se revisen, aprueben e incorporen de manera apropiada al plan del proyecto.?a)No existe.b)La gestión de cambios se realiza de manera informalc)Existe ideas básicas de utilizar un sistema de control de cambios.d)Las metodologías se documentan y se comunican.e)Los proyectos son monitoreados, evaluados.f)Se implementan las mejores prácticas en la gestión de cambios.7.Existen un plan de aseguramiento de la calidad del software?a)No existe un plan de aseguramientob)El software es probado, madurado de forma empírica.c)No se sigue ningún patrón de desarrollod)Se utiliza metodologías rígidas para el desarrolloe)Las metodologías son evaluadas para su implementaciónf)Se implementan las mejores prácticas de la industria, para el aseguramiento de la calidad del software8.Se especifica la base sobre la cual los miembros del personal son asignados a los proyectos?a)No existe una base para la asignación de personal a los proyectos.b)La asignación del personal en los proyectos, no se realiza en forma organizada.c)Se sigue un patrón para la asignación de personal.
d)Los procedimientos para la asignación de personal a los proyectos, se documentan y se comunicane)Los procedimientos son evaluadas para su implementaciónf)Se implementan las mejores prácticas de la industria, para la asignación de personal en los proyectos.9.Se define las responsabilidades y la autoridad de los miembros del equipo del proyecto?a)No existe definición de responsabilidades.b)La asignación de las responsabilidades de cada miembro del proyecto no son coherentesc)La asignación de las responsabilidades sigue un patrón regular.d)Los procedimientos para la definición de responsabilidades se documentan y se comunicane)Los procedimientos son monitoreados para su implementación.f)Se implementan las mejores prácticas de la industria, para la asignación de las responsabilidades de los miembros del proyecto.10.Se asegura la creación de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo?a)No existe.b)La definición de la naturaleza y de los alcances del proyecto, se realizan en forma desorganizada.c)Se sigue un patrón regular.d)Los procedimientos se documentan y comunican.e)Los procedimientos son evaluados y monitoreados para su implementación.f)Se implementan las mejores prácticas de la industria, para la definición de procedimientos.11.Los estudios de factibilidad de los proyectos propuestos son preparados y aprobados por la presidencia / gerencia?a)No existe un estudio de factibilidad.b)Los estudios de factibilidad se da de manera informal.c)El estudio de factibilidad sigue un patrón definido.d)Los procedimientos de estudios de factibilidad se documentan y comunicane)Los estudios de factibilidad de los proyectos son monitoreados y se miden.f)Se implementan las mejores prácticas de la industria, para el estudio de factibilidad de los proyectos propuestos.12.Existe documentación para cambios tecnológicos?a)No existe.b)Los procedimientos para los cambios tecnológicos son ad-hoc y desorganizados.c)Los procedimientos para los cambios tecnológicos sigue un patrón regular.d)Los procedimientos para los cambios tecnológicos se documentan y comunican.e)Los procedimientos para los cambios tecnológicos son monitoreados y medibles.f)Se implementan las mejores prácticas de la industria, para los cambios tecnológicos.
Anexo 03. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “ADQUIRIR E IMPLEMENTAR” SEGUN
EL MODELO COBIT
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
Ejemplo:1.Existe un método de monitoreo? a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
DOMINIO: ADQUIRIR E IMPLANTARAI01. Identificación de Soluciones Automatizadas 1.Se identifican claramente los requerimientos de soluciones a)No se identifican b)Se identifican por intuición. c)Se usa técnicas tradicionales para identificar d)Utiliza procedimientos documentados e)El proceso de identificación es monitoreado f)Se implementan las mejores técnicas de identificación de acuerdo a las normas, estándares y buenas prácticas. Está automatizado. 2.Se cuenta con un plan de soluciones alternativas a)No existen planes alternativos b)Los planes son adhoc o se improvisan c)Las soluciones alternativas se aplican en forma desordenada y no están alineados a los objetivos de la organización. d)Las soluciones se define con procesos documentados. e)Las soluciones alternativas están monitoreados. f)Las soluciones están dentro de las buenas prácticas. Está automatizado. 3.Se cuenta con una estrategia de adquisiciones a)No existen estrategias de adquisiciones b)Las estrategias son adhoc o se improvisan c)Las estrategias se aplican en forma desordenada y no están alineados a los objetivos de la organización. d)Las estrategias se definen con procesos documentados. e)Las estrategias de adquisiciones están monitoreados. f)La estrategia de adquisiciones cumplen con las normas, estándares y buenas practicas. Está automatizado. 4.Para identificar soluciones se realiza estudios de factibilidad técnica a)No se realizan estudios previos b)La factibilidad técnica se improvisan c)Las factibilidades técnicas no están alineados a los objetivos de la organización. d)Las factibilidades técnicas se definen con procesos documentos. e)Las factibilidades técnicas están monitoreados. f)Las factibilidades técnicas cumplen con las normas, estándares y buenas practicas. Está automatizado. 5.Para identificar soluciones se realiza estudios de factibilidad económica a)No se realizan estudios previos
b)Las factibilidades económica se improvisan c)No están alineados a los objetivos de la organización. d)Se definen con procesos documentados. e)Las factibilidades económicas están monitoreados. f)Las factibilidades económicas cumplen con las normas, estándares y buenas practicas. Está automatizado. 6.La arquitectura de la información es considerada en la identificación de soluciones a)No existe arquitectura de la información b)Es considerada de manera informal c)La arquitectura de la información no está alineada a los objetivos de la organización, no se documenta. d)Existe, está alineada, definida y documentada. e)La arquitectura de la información es monitoreada f)Se implementa las mejores prácticas y es considerada. Está automatizado. 7.Es considerada la Ergonomía en la identificación de soluciones a)No se considera b)La ergonomia se considera de manera informal c)La ergonomía se considera siguiendo técnicas tradicionales no documentadas. d)El proceso que considera la ergonomía está documentado e)El proceso que considera la ergonomía está monitoreado f)El proceso que considera la ergonomía sigue buenas prácticas y está automatizado. 8.Existe un control del abastecimiento de soluciones a)No existe b)Existe pero no se aplica el control efectivamente c)El control no se alinea a los objetivos de la organización d)El control está debidamente documentado e)El control es correctamente monitoreado f)El control cumple con las normas, estándares y buenas prácticas. Está automatizado. 9.Existe un plan de mantenimiento de software por terceras personas a)No existe b)Los procesos son improvisados c)Existe un patrón de mantenimiento del software d)Los procesos solo se documentan e)El plan está alineado parcialmente a los objetivos de la organización. f)El plan se realiza de acuerdo a las normas, estándares y buenas prácticas satisfaciendo los objetivos de la organización. Está automatizado. 10.Existe procedimientos o normas de aceptación de las Tecnologías a)No existen b)No están normados, se improvisan. c)Existen los procedimientos siguiendo un patrón, no están alineados a los objetivos de la organización y no se documentan d)Los procedimientos están definidos y se documentan. e)Los procedimientos son monitoreados y medibles. f)Los procedimientos están alineados adecuadamente a los objetivos de la organización y cumplen con las buenas practicas. Está automatizado.AI02. Software Aplicativo 1.Se aplica la misma metodología para el desarrollo de software nuevo que para mantenimiento de software existente. a)No existe b)Se aplican metodologías ad-hoc o se improvisan c)Se tiene documentada metodología pero no se utilizan d)La metodología se encuentra debidamente documentada e)La metodología se monitorea permanentemente f)La metodología está alineada con los objetivos del negocio y utiliza buenas prácticas. Está automatizado. 2.Existe un registro de los cambios significativos a sistemas actuales a)No existe b)Se usa técnicas tradicionales no estandarizadas c)Se usa técnicas basado en la experiencia / intuitivo. d)El registro está debidamente documentada y difundida e)El registro es monitoreado permanentemente
f)El registro cumple las normas, estándares y buenas prácticas. Está automatizado. 3.Las especificaciones de diseño son debidamente aprobadas. a)No existe este procedimiento b)No se aprueban c)Existe procedimiento de aprobación alineado a los objetivos del negocio. d)Existe procedimiento de aprobación debidamente documentando e)El procedimiento de aprobación es monitoreado f)La aprobación se realiza en base a los estándares y buenas prácticas. Está automatizado. 4.Se definen y documentan los Requerimientos de Archivos a)No existe este procedimiento b)Se define pero no se documentan c)Se define y documenta de acuerdo los objetivos del negocio. d)Existe procedimiento de aprobación debidamente documentando e)Estos procedimientos son monitoreado f)Se realizan en base a las normas, estándares y buenas prácticas. Está automatizado. 5.Se definen las especificaciones de Programas a)No se definen b)La definición son improvisadas o ad-hoc c)La validación de especificaciones siguen un patrón regular d)La definición de especificaciones se documentan y comunican e)Las especificaciones son monitoreados y medibles f)La definición de las especificaciones están basadas en las buenas prácticas. Está automatizado. 6.Se aplica un diseño para la recopilación de datos a)No existe b)Existe pero muchas veces no se aplica c)El diseño existe y sigue un patrón regular d)El diseño de recopilación de datos se documenta y comunica e)Los procesos son monitoreados y medibles f)El diseño se basa en los estándares y buenas prácticas. Está automatizado. 7.Se definen las interfaces con anterioridad a)No se definen b)La definición de interfaces son improvisadas o ad-hoc c)Las interfaces son definidas pero no aplicadas d)Las interfaces siguen un patrón definido e)Los procesos son monitoreados en forma permanente f)Los procesos están basados en los estándares y buenas prácticas. Está automatizado. 8.Se han definido y documentado los requerimientos de procesamiento a)No se han definido b)Los niveles de seguridad son ad-hoc c)Los niveles de seguridad siguen un patrón d)Los procesos de seguridad se documentan e)Los procesos se monitorean y se miden f)Se implementan las mejores prácticas para definir y documentar los requerimientos de procesamiento. Está automatizado. 9.Se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificación de sistemas a)No existe estos mecanismos de control y seguridad b)Los mecanismos de control y seguridad son ad-hoc c)Los mecanismos de control y seguridad no son apropiados d)Los procesos de control y seguridad se documentan e)Los procesos de control y seguridad se monitorean y se miden. f)Los procesos de control y seguridad son los apropiados para cada proyecto nuevo o modificación. Está automatizado. 10.Se preparan manuales adecuados de soporte y referencia para usuarios como parte del proceso de desarrollo o modificación de cada sistema a)No se preparan b)Se preparan de forma improvisada, ad-hoc y desorganizados c)Los manuales siguen un patrón regular
d)Los manuales están debidamente alineados a los objetivos de la organización e)El proceso de preparación de manuales es monitoreado. f)Se preparan cumpliendo estándares y las buenas prácticas. Está automatizado.AI03. Infraestructura Tecnológica 1.Existe un plan de adquisición de Infraestructura Tecnológica a)No existe b)Existe en un nivel inicial Ad-hoc c)No existe un plan o estrategia definida son intuitivos. d)El plan está alineado con los objetivos del negocio e)El plan adquisición está bien organizado y es monitoreado f)El plan es preventivo se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas. Está automatizado. 2.El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI a)No está alienado b)Existe un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura. c)La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos. d)Existe un plan de infraestructura tecnológica definido, documentado y bien difundido. e)Se han incluido buenas prácticas internas en el proceso f)El plan de infraestructura está alineado a los planes estratégicos y buenas practicas. Está automatizado. 3.Existen políticas de limitación para la posibilidad de acceso al software a)No existen b)Existen en un nivel inicial Ad-hoc c)No existen políticas definidas son intuitivos. d)Estas políticas están alineadas con los objetivos del negocio e)Las políticas de limitación están organizadas y monitoreadas f)El proceso se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas. Está automatizado. 4.El software es instalado y mantenido de acuerdo a los requerimientos a)No existe esta política b)Es instalado en forma ad-hoc c)Se realizan los procesos utilizando técnicas tradicionales d)Estos procesos se encuentran documentados e)Estos procesos son monitoreados f)Estos procesos son verificados, alineados a las políticas del negocio y a las buenas costumbres. Está automatizado. 5.Existen procedimientos para el mantenimiento preventivo de hardware a)No existe b)Existe en un nivel inicial Ad-hoc c)No existe procedimientos definidos son intuitivos. d)Los procedimientos está alineado con los objetivos del negocio e)Los procedimientos están bien organizados y monitoreados f)El procedimientos se alinean con los objetivos del negocio y se han desarrollado basado en las buenas prácticas. Está automatizado. 6.Se logra mantener la Infraestructura de TI integrada y estandarizada a)No existe b)La integración y estandarización son iniciales c)La estrategias siguen un patrón tradicional intuitivamente d)Las estrategias se documentan y comunican e)Las estrategias son debidamente monitoreadas f)La integridad y estandarización están alineadas a la dirección tecnológica y a las buenas prácticas. Está automatizado. 7.El plan de infraestructura tecnológica considera la agilidad de las TI a)No existe b)No existe estrategias de agilidad o son iniciales c)La estrategias de agilidad sigue un patrón tradicional d)Las estrategias se agilizan, se documentan y comunican e)Las estrategias son monitoreadas f)La agilidad de las TI está alineado a la dirección tecnológica y a las buenas prácticas. Está automatizado.
8.Los planes de adquisición de Infraestructura Tecnológica satisfacen las necesidades identificadas en el plan de infraestructura tecnológica a)No existe b)La satisfacción es parcial e intuitiva c)Los planes de adquisición siguen un patrón regular d)Los planes de adquisición se documentan y comunican e)La adquisición de IT son monitoreados f)Se implementa las mejores prácticas en la adquisición de IT. Está automatizado. 9.Todos los cambios en la Infraestructura son controlados de acuerdo con los procedimientos a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos son intuitivos d)Los procesos se documentan y comunican e)Los procedimientos y políticas son monitoreados f)Los cambios se controlan de acuerdo a los estándares y a las buenas prácticas. Está automatizado.AI04. Operación y Uso 1.Se elaboran manuales de usuario para el uso de los sistemas a)No existen b)Los manuales se elaboran de forma ad-hoc c)Los manuales son elaborados en forma intuitivos/experiencia d)Los manuales se documentan y se comunican e)Los manuales son debidamente monitoreados f)Los manuales son elaborados de acuerdo a los estándares y a las buenas prácticas. Está automatizado. 2.Se realizan sesiones de entrenamiento previo para el uso de sistemas a)No existen b)Los entrenamientos se realizan de forma ad-hoc c)Los entrenamientos se realizan en forma intuitiva d)Los entrenamientos se documentan y se difunden e)Los entrenamientos se monitorean f)Los entrenamiento se realizan de acuerdo a los estándares y a las buenas prácticas. Está automatizado. 3.Los manuales de usuario se actualizan de acuerdo a las modificaciones a los sistemas a)No existen actualizaciones a los manuales b)Las actualizaciones a los manuales se realizan ad-hoc c)Las actualizaciones a los manuales se realizan en forma intuitiva por experiencia d)Las actualizaciones a los manuales se realizan y se difunden e)Las actualizaciones a manuales son monitoreados f)Las actualizaciones cumplen con los estándares y con las buenas prácticas. Está automatizado. 4.Se elabora y entrega material de entrenamiento a)No existe material b)El material es realizado parcialmente / ad-hoc c)El material es elaborado siguiendo un patrón por experiencia d)El material se documenta y se difunden e)Los materiales de entrenamiento son monitoreados f)Los materiales cumplen con los objetivos del negocio, los estándares y con las buenas prácticas. Está automatizado. 5.Se garantiza la satisfacción del usuario final con buen nivel de servicio. a)No existe este procedimiento b)Se garantiza en forma parcial ad-hoc c)Se garantiza basados en la experiencia en forma intuitiva d)La satisfacción del cliente está alineada a los objetivos organizacionales e)La satisfacción del usuario es monitoreado f)La satisfacción del usuario está alineado a los objetivos organizacionales y de acuerdo a las buenas prácticas. Está automatizado. 6.Existen procedimientos de respaldo al realizarse una terminación anormal a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)Los procedimientos están definidos y alineados a los objetivos organizacionales
e)Los procedimientos de respaldo son monitoreados f)Los procedimientos de respaldo están acuerdo a las buenas prácticas. Está automatizado. 7.Existen procedimientos de reinicio y recuperación de datos a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)Los procedimientos están definidos y alineados a los objetivos organizacionales y se encuentran documentados e)Los procedimientos reinicio y recuperación son monitoreados f)Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado. 8.Existen planes de contingencia ante una posible pérdida de información de los sistemas a)No existe b)La contingencia se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva basadas en la experiencia d)Los planes de contingencia están definidos y alineados a los objetivos organizacionales e)Los planes de contingencia son monitoreados y medibles f)Los planes de contingencia son óptimos y están basados en las buenas prácticas. Está automatizado. 9.Se establecen contratos de soporte con personal especializado a)No existen b)El soporte se realiza ad-hoc y sin control c)El soporte está basado en la forma intuitiva y en la experiencia d)El soporte se alinea a los objetivos organizacionales e)El soporte es monitoreados por personal especializado f)Los contratos de soporte son óptimos y están basados en las buenas prácticas. Está automatizado. 10.Se realizan estadísticas del uso y operación de los sistemas para que sirvan de base a nuevas implementaciones a)No existe este proceso b)El proceso se realiza en forma inicial y desorganizada c)Las estadísticas se realizan en forma intuitiva/experiencia d)Las estadísticas se alinean a los objetivos organizacionales e)Las estadísticas son monitoreados por personal especializado f)Las estadísticas son óptimas y cumplen las buenas prácticas. Está automatizado.AI05. Adquirir Recursos de TI 1.Existe un control sobre las adquisiciones de Recursos de TI a)No existe b)Se realiza en forma parcial ad-hoc c)Se realiza en forma intuitiva d)El control está definido y alineado a los objetivos organización e)El control sobre las adquisición son monitoreados f)Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado. 2.Se aplican políticas que garanticen la satisfacción de los requerimientos del negocio a)No se aplican b)Se aplican en forma parcial ad-hoc c)Se aplican en forma intuitiva basados en la experiencia d)Las políticas están definidas y documentadas e)Las políticas son monitoreados por los especialistas del área f)Las políticas están alineadas con los objetivos del negocio y están implementadas basadas en las buenas prácticas. Está automatizado. 3.Se utiliza control sobre los servicios contratados que estén alineados a los objetivos de las organización a)No existe el control b)Se aplica en forma parcial ad-hoc c)Se aplica en forma intuitiva pero desordenada d)El control sobre los servicios están definidos y documentadas e)Los controles son monitoreados por los especialistas del área f)Los controles están alineadas a los objetivos organizacionales y están implementadas basadas en las buenas prácticas. Está automatizado. 4.Existe procedimientos para establecer, modificar y concluir contratos que apliquen a todos los proveedores. a)No existe
b)Los procesos son ad-hoc y desorganizados c)Los procesos siguen un patrón regular d)Las políticas se documentan y comunican e)Las políticas y procedimientos se monitorean f)Se implementa las mejores prácticas en la preparación de estos procedimientos. Está automatizado. 5.Está definido la revisión de contratos por parte del área legal y de TI a)No existe b)Los contratos se realizan en forma particular para cada caso c)Los contratos siguen un patrón basados en la experiencia d)Los contratos se documentan y se comunican e)Los contratos son monitoreados por los responsables f)Se implementa las mejores prácticas para la revisión de los contratos con proveedores o terceros. Está automatizado. 6.Existe una práctica justa y formal para garantizar que la selección de proveedores sea la mejor a)No existe b)La selección de proveedores no es la adecuada c)La selección sigue un patrón regular d)La selección se encuentra debidamente documentada e)El proceso de selección es monitoreado f)Se ha implementado las mejores prácticas para garantizar que la selección de proveedores sea la mejor. Está automatizado. 7.En los contratos con proveedores se considera claramente los requerimientos de los usuarios a)No son considerados b)Son considerados parcialmente c)Se consideran en forma muy general bajo un patrón regular d)Se consideran detalladamente y se documenta e)Los requerimientos y el contrato son monitoreados f)Se usa las mejores prácticas para garantizar que en los contratos se consideren los requerimientos de los usuarios. Está automatizado. 8.En la adquisición de software se garantiza que se protegen los intereses de la organización en todos los acuerdos contractuales. a)No se protegen b)Se protegen en forma parcial y particular c)La protección se realiza bajo un patrón regular d)La protección está alineada a los objetivos organizacionales e)Las protección es monitoreada por el área respectiva f)Se implementa las mejores prácticas para garantizar que se protejan los intereses de la organización. Está automatizado. 9.Existen políticas para hacer cumplir la propiedad y licenciamiento de propiedad intelectual a)No existen b)Existen políticas en forma parcial / ad-hoc c)Las políticas se aplican bajo un patrón regular d)Existen y están alineadas a los objetivos organizacionales e)Estas políticas son monitoreadas por el área respectiva f)Se implementa las mejores prácticas para garantizar que se cumplan con la propiedad intelectual. Está automatizado. 10.Están bien definidos los procedimientos y estándares de adquisición de los recursos de TI a)No existen b)Están definidos pero se aplican parcialmente / ad-hoc c)Los procedimientos siguen un patrón regular d)Los procedimientos se documentan y comunican e)Los procedimientos son monitoreados y se miden f)Se implementa la mejores prácticas para garantizar que se defina procedimientos y estándares de adquisición. Está automatizado.AI06. Administración de cambios 1.Existe y se utiliza una metodología para priorizar los requerimientos de cambios a)No existen b)Los requerimientos se realizan ad-hoc y desordenados
c)Los requerimientos se realizan de forma intuitiva/experiencia d)Los requerimientos se alinea a los objetivos organizacionales e)Los requerimientos son monitoreados permanentemente f)La prioridad de requerimientos se basan en buenas prácticas. Está automatizado. 2.Se consideran procedimientos de cambios de emergencia en manuales de operaciones a)No existen b)El procedimiento se realiza ad-hoc c)Los cambios de emergencia se realizan en forma intuitiva d)El procedimiento se alinea a los objetivos organizacionales e)Los cambios de emergencia se documentan y monitorean f)Este procedimiento se basan en buenas prácticas. Está automatizado. 3.La bitácora de control de cambios asegura que todos los cambios mostrados fueron resueltos a)No existe bitácora de control b)Las bitácoras de control son ad-hoc c)Las bitácoras se adecuan a un patrón regular y son intuitivas d)Las bitácoras de control están documentadas y se comunican e)El proceso de cambios son monitoreados por los especialistas f)La bitácora de control de cambios se adecua a los estándares y las buenas prácticas. Está automatizado. 4.Existen procedimientos de entradas y salidas para cambios a)No existen b)Los procedimientos son ad-hoc y desorganizados c)Las políticas y procedimientos sigue un patrón d)Los procedimientos se documentan y comunican e)Las políticas y procedimientos se monitorean adecuadamente f)Los procedimientos de entrada y salidas se implementan basados en las mejores prácticas. Está automatizado. 5.Los usuarios tienen conciencia de la necesidad de cumplir procedimientos formales de control de cambios a)No existe b)Los usuarios cumplen eventualmente / ad-hoc c)Los procedimientos de los usuarios siguen un patrón regular d)Los usuarios documentan y comunican el control de cambios e)El cumplimiento de los usuarios es monitoreado f)Los usuarios cumplen los procedimientos de acuerdo a los estándares y buenas prácticas en forma optimizada. Está automatizado. 6.Los tipos de análisis de cambios realizados al sistema, identifica las tendencias organizacionales. a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la identificación de las tendencias organizacionales. Está automatizado. 7.El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento y efectividad en el tiempo de respuesta a)No existe b)Los procesos se dan de manera ad-hoc c)Los procesos de estándares siguen un patrón d)Los procesos de cambios documentan e)Los procesos se monitorean y miden f)Se implemente las mejores prácticas para lograr mejoras en el conocimiento y efectividad en el tiempo de respuesta. Está automatizado. 8.El usuario está satisfecho con el resultado de los cambios solicitados - calendarización y costos a)No existe b)La satisfacción se da de manera ad-hoc c)La satisfacción sigue un patrón d)Quedan satisfechos y los documentan e)Los procesos se monitorean y miden
f)Se implementa las mejores prácticas para definir estándares, directivas políticas relacionados con TI. Está automatizado. 9.El proceso de administración de cambios está orientado a alcanzar los objetivos organizacionales a)No existe b)Los procesos son ad-hoc y desorganizados c)Los procesos sigue un patrón regular d)Las procesos se documentan y se comunican e)La administración de cambios se monitorean y miden f)Están alineados a los objetivos de la organización y están implementados basados en los estándares y buenas prácticas. Está automatizado. 10.Se aplican mediciones contra organizaciones de buenas prácticas sobre la administración de cambios a)No existe b)Se aplican mediciones eventualmente en forma desordenada c)Las mediciones siguen un patrón regular d)Las mediciones se documentan y se comunican e)Las mediciones se monitorean y se aplican f)Se implementa las mejores prácticas para desarrollar y promulgar políticas comparando con organizaciones externas. Está automatizado.AI07. Instalación y Acreditación de soluciones y cambios 1.Existen políticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas a)No existe estos procedimientos b)Se establecen estas políticas en forma parcial c)El proceso del ciclo de vida sigue un patrón regular d)Existe políticas y procedimientos y se documentan e)Existen políticas y procedimientos y son monitoreados f)Se implementa las mejores prácticas en la implementación de políticas y procedimientos. Está automatizado. 2.Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo a)No existe entrenamiento de usuarios b)Se realizo el entrenamiento en forma parcial / ad-hoc c)Los entrenamientos siguen un patrón regular d)Los entrenamientos se documentan y se miden e)Los entrenamientos son monitoreados por el área de TI f)Se implementa las mejores prácticas para garantizar que los entrenamientos de usuarios este alineada a los objetivos organizacionales. Está automatizado. 3.Existen metodologías de prueba antes de las instalaciones a)No existe b)Las metodologías son ad-hoc y desorganizados c)Las metodologías siguen un patrón regular d)Las metodologías se documentan y se comunican e)Las metodologías se monitorean y miden f)Están alineadas a los objetivos de la organización, están implementadas basados en los estándares y buenas prácticas. Está automatizado. 4.Existen varias librerías de desarrollo, prueba y producción para los sistemas en proceso a)No existen b)Existen pero son ad-hoc y desorganizadas c)Existen y siguen un patrón regular d)Existen , están debidamente documentadas y se comunican e)Existen y son monitoreados por los especialistas del área f)Existen y están alineadas a los objetivos de la organización, han sido implementadas bajo las buenas prácticas. Está automatizado. 5.Existen criterios predeterminados para probar el acierto, las fallas y la terminación de tentativas futuras a)No existen b)Existen pero son ad-hoc y desorganizadas c)Existen y siguen un patrón regular d)Existen , están debidamente documentadas y se comunican e)Existen y son monitoreados por los especialistas del área f)Existen y están alineadas a los objetivos de la organización, han sido implementadas bajo las buenas prácticas. Está automatizado.
6.Los planes de prueba para simulación de volúmenes, intervalos de proceso y disponibilidad y acreditación de salidas forman parte del proceso a)No existen b)Existen pero son ad-hoc y desorganizadas c)Los planes siguen un patrón regular d)Los planes están debidamente documentadas y se comunican e)Los planes son monitoreados por los especialistas del área f)Están alineados a los objetivos de la organización, forman parte del proceso y se basan en las buenas prácticas. Está automatizado. 7.Se ha establecido un ambiente de prueba separado para pruebas y cumple con seguridad, controles internos y cargas de trabajo para permitir pruebas acertadas a)No existen b)Las pruebas se realizan en ambientes improvisados c)Existe el ambiente y las pruebas siguen un patrón regular d)Existe ambiente y cumple con los objetivos organizacionales e)El ambiente es monitoreado por los especialistas del área f)Están alineados a los objetivos de la organización, cumple con los requisitos y se basan en las buenas prácticas. Está automatizado. 8.Los propietarios de los sistemas llevan a cabo una verificación detallada del proceso inicial del nuevo sistema para confirmar una transición exitosa. a)No existen b)Se realiza la verificación pero en forma parcial / ad-hoc c)Se realiza la verificación siguiendo un patrón regular d)Se realiza la verificación documentándola y comunicándola e)Este proceso es monitoreados por los especialistas del área f)Se realizan, están alineadas a los objetivos de la organización y han sido implementadas bajo las buenas prácticas. Está automatizado. 9.Las pruebas paralelas o piloto se consideran parte del plan a)No existen b)Las pruebas se consideran en forma parcial / ad-hoc c)Las prueba siguen un patrón regular d)Las pruebas están debidamente documentadas e)Los procesos son monitoreados por los especialistas del área f)Están alineados a los objetivos de la organización, forman parte del plan y se basan en las buenas prácticas. Está automatizado. 10.Existen procedimientos de control para asegurar la distribución oportuna y correcta, y la actualización de los componentes aprobados de la configuración. a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la distribución y correcta. Está automatizado 11.Existen procedimientos formales que aseguren la autorización, acondicionamiento, pruebas de regresión, distribución, transferencia de control, rastreo de estatus, procedimientos de respaldo y notificación de usuario a)No existe b)Los procedimientos de cambios son ad-hoc c)Los procedimientos de cambios siguen un patrón regular d)Los procedimientos se documentan e)Los procedimientos se monitorean y se miden f)Se implementan con las mejores prácticas para asegurar la distribución y correcta. Está automatizado.
Anexo 04. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “ENTREGA DEL SERVICIO Y
SOPORTE” SEGUN EL MODELO COBIT
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
Ejemplo:1.Existe un método de monitoreo? a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
DOMINIO: Entrega del servicio y soporte
DS01. Definir y administrar los niveles de servicios
1.¿Existe un Marco de trabajo definido? a)No existe un Marco de trabajo. b)El trabajo se realiza de manera informal. c)El trabajo se realiza con técnicas tradicionales no documentadas. d)El proceso del marco de trabajo está definido y documentado. e)El proceso del marco de trabajo se monitorea. f)El proceso del marco de trabajo está automatizado. 2.¿Existe un portafolio o catalogo de servicios? a)No existe un portafolio o catálogo de servicios. b)El catálogo de servicios se mantiene informalmente. c)El catálogo de servicios se mantiene con técnicas tradicionales no documentadas. d)El proceso del catálogo de servicios está definido y documentado. e)El proceso del catálogo de servicios se monitorea. f)El proceso del catálogo de servicios está automatizado. 3.Los requerimientos, muestran entendimiento común entre los usuarios y prestadores de servicios? a)No se definen los requerimientos. b)Los requerimientos se definen de manera informal. c)Los requerimientos se definen con técnicas tradicionales no documentadas. d)El proceso de requerimientos está definido y documentado. e)El proceso de requerimientos se monitorea. f)El proceso de requerimientos está automatizado. 4.Existen niveles de servicios, sustentados en el marco de trabajo? a)Los niveles de servicio no están sustentados en el marco de trabajo. b)Los niveles de servicio se sustentan de manera de manera informal. c)Los niveles de servicio se sustentan con técnicas tradicionales no documentadas. d)El proceso de sustentación de niveles de servicio está definido y documentado. e)El proceso de sustentación de niveles de servicio se monitorea. f)El proceso de sustentación de niveles de servicio está automatizado. 5.Los servicios que brinda el personal del área de TI, son óptimos? a)No existen servicios óptimos.
b)Los servicios que brinda el personal se realizan por intuición c)Los servicios que brindan el área de TI, no son documentados. d)Los servicios que brinda el área de TI, utilizan procedimientos documentados. e)Los servicios que brinda el personal de TI, son monitoreados. f)Los servicios que brinda el personal de TI están automatizados. 6.Existe monitoreo en las actividades que brinda el personal de TI? a)No existe monitoreo. b)El monitoreo se realizan de manera informal. c)El monitoreo se realiza pero no se documenta. d)El monitoreo utiliza procedimientos documentados. e)El proceso de monitoreo es auditado. f)El proceso de monitoreo es automatizado. 7.Existen niveles de servicios, medidos estadísticamente? a)No existen. b)La medición de los servicios se realiza de manera informal. c)La medición estadística de los servicios se establecen con técnicas tradicionales no documentadas. d)La medición estadística de los servicios se sustenta en procedimientos documentados. e)Los procesos de medición estadística de los servicios son monitoreados. f)Los procesos de medición estadística de los servicios están automatizados. 8.Existe actualización de datos de los prestadores de servicios? a)No existe. b)La actualización de datos de los prestadores de servicios, se realiza de manera informal. c)La actualización de datos de los prestadores de servicios, utilizan técnicas tradicionales no documentadas. d)La actualización de datos de los prestadores de servicios, utilizan procedimientos documentados. e)El proceso de actualización de datos de los prestadores de servicios se monitorea. f)El proceso de actualización de datos de los prestadores de servicios está automatizado. 9.Existe un plan de control de los servicios de TI? a)No existe plan de control. b)El control, se realizan de manera informal. c)El control de los servicios, utiliza técnicas tradicionales no documentadas. d)El control de los servicios, utilizan procedimientos documentados. e)El proceso de control de los servicios se monitorea. f)El proceso de control de los servicios se automatiza. 10.Existe un plan de mejora de los niveles de servicios? a)No existe plan de mejora. b)El plan de mejora, se realiza de manera informal. c)El plan de mejora, utiliza técnicas tradicionales no documentadas. d)El plan de mejora, utiliza procedimientos documentados. e)El proceso del plan de mejora se monitorea. f)El proceso del plan de mejora está automatizado.
DS02. Administrar los servicios por terceros
1.Existe agenda actualizada de los proveedores? a)No existe agenda actualizada. b)La actualización de la agenda, se realizan de manera informal. c)La actualización de la agenda, utiliza técnicas tradicionales no documentadas. d)La actualización de la agenda, utiliza procedimientos documentados. e)El proceso de actualización de la agenda se monitorea. f)El proceso de actualización de la agenda está automatizado. 2.Existe categorizaciones en la agenda de proveedores? a)No existe categorizaciones. b)Las categorizaciones, se realizan de manera informal. c)Las categorizaciones se realizan con técnicas tradicionales no documentadas. d)Las categorizaciones, utilizan procedimientos documentados. e)El proceso de categorizaciones de la agenda se monitorea. f)El proceso de categorizaciones de la agenda está automatizado. 3.Existen evaluación para la contratación de servicios de terceros?
a)No existen evaluaciones. b)Las evaluaciones, se realizan de manera informal. c)Las evaluaciones se realizan con técnicas tradicionales no documentadas. d)Las evaluaciones, utilizan procedimientos documentados. e)El proceso de evaluación se monitorea. f)El proceso de evaluación está automatizado. 4.Existe un control para asegurar la calidad de los servicios que brindan los terceros? a)No existe control de calidad. b)El control para asegurar la calidad, se realizan de manera informal. c)El control de calidad, se realizan con técnicas tradicionales no documentadas. d)El control de calidad, utilizan procedimientos documentados. e)El proceso de control de calidad de los servicios tercerizados se monitorea. f)El proceso de control de calidad de los servicios tercerizados está automatizado. 5.Existen penalidades por los no cumplimientos que brindan los terceros? a)No existen penalidades. b)Las penalidades, se realizan de manera informal. c)Las penalidades no son documentadas. d)Las penalidades, utilizan procedimientos documentados. e)El proceso de penalidades se monitorea. f)El proceso de penalidades está automatizado. 6.Se tiene un plan de contingencia, de los servicios que brindan los terceros? a)No existe plan de contingencia. b)El plan de contingencia, se realiza de manera informal. c)El plan de contingencia, no está documentado. d)El plan de contingencia, utiliza procedimientos documentados. e)El proceso del plan de contingencia se monitorea. f)El proceso del plan de contingencia está automatizado. 7.El área de TI. Está en la capacidad de evaluar los servicios que ofertan los proveedores? a)No está capacitada. b)La evaluación de los proveedores, se realiza de manera informal. c)La evaluación a los proveedores, no está documentada. d)La evaluación a los proveedores, utiliza procedimientos documentados. e)El proceso de evaluación a los proveedores se monitorea. f)El proceso de evaluación a los proveedores está automatizado. 8.El área de TI, está capacitado para administrar los servicios de los terceros? a)No está capacitada. b)La administración de servicios tercerizados, se realiza de manera informal. c)La administración de servicios tercerizados, no está documentada. d)La administración de servicios tercerizados, utiliza procedimientos documentados. e)El proceso de administración de servicios tercerizados se monitorea. f)El proceso de administración de servicios tercerizados está automatizado. 9.Existe factibilidad económica, en los servicios que brindan los terceros? a)No existe factibilidad económica. b)La factibilidad económica, se realiza de manera informal. c)La factibilidad económica, no está documentada. d)La factibilidad económica, utiliza procedimientos documentados. e)El proceso de factibilidad económica se monitorea. f)El proceso de factibilidad económica está automatizado. 10.Existe eficiencia en los servicios tercerizados? a)No existe eficiencia. b)La eficiencia, se mide de manera informal. c)La medición de la eficiencia, no está documentada. d)La medición de la eficiencia de los servicios tercerizados, tiene un proceso documentado. e)El proceso de medición de la eficiencia de los servicios tercerizados se monitorea. f)El proceso de medición de la eficiencia de los servicios tercerizados está automatizado.
DS03. Administrar el desempeño y la capacidad
1.Existe control del desempeño de las tecnologías de información a)No existe control del desempeño. b)El control del desempeño, se realiza de manera informal. c)El control del desempeño, no está documentado. d)El control del desempeño, tiene un proceso documentado. e)El proceso de control del desempeño se monitorea. f)El proceso de control del desempeño está automatizado. 2.Existen procesos para medir la capacidad de las tecnologías de información? a)No existen procesos para medir la capacidad. b)Los procesos para medir la capacidad, se realizan de manera informal c)Los procesos para medir la capacidad, no están documentados. d)Los procesos para medir la capacidad, están documentados. e)Los procesos para medir la capacidad se monitorea. f)Los procesos para medir la capacidad están automatizados. 3.El desempeño de las tecnologías de información, son justificables económicamente? a)El desempeño de las tecnologías de información, no son justificables económicamente. b)La justificación económica del desempeño de las tecnologías de información, se realiza de manera informal. c)La justificación económica del desempeño de las tecnologías de información, no se documenta. d)La justificación económica del desempeño de las tecnologías de información, tiene un proceso documentado. e)El proceso de justificación económica del desempeño de las tecnologías de información se monitorea. f)La justificación económica del desempeño de las tecnologías de información, está automatizado. 4.Los planes de capacidad y desempeño, utilizan técnicas apropiadas para el adecuado pronostico? a)No se realiza pronóstico de desempeño. b)El pronóstico de desempeño se realiza de manera informal. c)Las técnicas para el pronóstico de desempeño, no son documentadas. d)Las técnicas para el pronóstico de desempeño, tienen un proceso documentado e)El proceso de las técnicas para el pronóstico de desempeño, se monitorean. f)El proceso de las técnicas para el pronóstico de desempeño, están automatizadas. 5.Existe disponibilidad de equipos de TI? a)No existen disponibilidad de equipos de TI. b)La asignación de equipos de TI, se realiza de manera informal. c)La asignación de equipos de TI, no se documenta. d)La asignación de equipos de TI, tiene un proceso documentado e)La asignación de equipos de TI, se monitorea. f)La asignación de equipos de TI, está automatizada. 6.Existe suficiente capacidad para los servicios de red e Internet? a)No existen suficiente capacidad para los servicios. b)La capacidad de los servicios de red e Internet, se mide de manera informal. c)La medición de la capacidad de los servicios de red e Internet, no está documentada. d)La medición de la capacidad de los servicios de red e Internet, tiene un proceso documentado. e)El proceso de medición de la capacidad de los servicios de red e Internet, se monitorea. f)El proceso de medición de la capacidad de los servicios de red e Internet, está automatizada. 7.La capacidad de almacenamiento de información es óptima? a)No existe capacidad de almacenamiento. b)La capacidad de almacenamiento, se determina de manera informal por intuición. c)La capacidad de almacenamiento, no está documentado. d)La capacidad de almacenamiento, tiene un proceso documentado. e)El proceso de la capacidad de almacenamiento, se monitorea. f)El proceso de la capacidad de almacenamiento, utilizan buenas practicas. 8.Existen pronósticos para determinar el rendimiento de las comunicaciones internas? a)No existe pronósticos para determinar el rendimiento de las comunicaciones. b)El pronóstico para determinar el rendimiento de las comunicaciones, se realiza de manera informal. c)El pronóstico para determinar el rendimiento de las comunicaciones, no está documentado. d)El pronóstico para determinar el rendimiento de las comunicaciones, tiene un proceso documentado. e)El proceso para el pronóstico para determinar el rendimiento de las comunicaciones, se monitorea. f)El proceso para el pronóstico para determinar el rendimiento de las comunicaciones, está automatizado. 9.Existen evaluación para el rendimiento de los equipos tecnológicos?
a)No existe evaluación para el rendimiento de los equipos tecnológicos. b)La evaluación para el rendimiento de los equipos tecnológicos, se realiza de manera informal. c)La evaluación para el rendimiento de los equipos tecnológicos, no está documentada. d)La evaluación para el rendimiento de los equipos tecnológicos, tiene un proceso documentado. e)El proceso para la evaluación del rendimiento de los equipos tecnológicos, se monitorea. f)El proceso para la evaluación del rendimiento de los equipos tecnológicos, está automatizado. 10.Existe un programa de monitoreo para administrar el desempeño de las TIC? a)No existe programa de monitoreo para administrar el desempeño de las TIC. b)El programa de monitoreo para administrar el desempeño de las TIC, se realiza de manera informal. c)El programa de monitoreo para administrar el desempeño de las TIC, no está documentado. d)El programa de monitoreo para administrar el desempeño de las TIC tiene un proceso documentado. e)El proceso del programa para medir el desempeño es monitoreado. f)El proceso del programa para medir el desempeño está automatizado.
DS04. Garantizar la continuidad de los servicios
1.Existe un marco de trabajo para establecer la continuidad de las tecnologías de información? a)No existe marco de trabajo. b)La continuidad de las TI se establece de manera informal. c)La continuidad de las TI no está documentada. d)El marco de trabajo para establecer la continuidad de las tecnologías de información tiene un proceso docu-mentado. e)El proceso del marco de trabajo para establecer la continuidad de las tecnologías de información es monitorea-do. f)El proceso del marco de trabajo para establecer la continuidad de las tecnologías de información está automa-tizado. 2.Existen estrategias de planes de continuidad de las tecnologías de información? a)No existen estrategias de planes de continuidad de las TI. b)Los planes de continuidad de las TI se realizan de manera informal. c)Los planes de continuidad de las TI no estás documentados. d)Las estrategias de planes de continuidad de las TI tienen un proceso documentado. e)El proceso de las estrategias de planes de continuidad de las TI se monitorean. f)El proceso de las estrategias de planes de continuidad de las TI están automatizados. 3.Existe identificación de los procesos críticos, con respecto a las TI? a)No existen identificación de los procesos críticos de las TI. b)La identificación de procesos críticos de las TI se realiza de manera informal. c)La identificación de procesos críticos de las TI, no está documentada. d)La identificación de procesos críticos de las TI tiene un proceso documentado. e)El proceso de identificación de procesos críticos de las TI, se monitorea. f)El proceso de identificación de procesos críticos de las TI, está automatizado. 4.Se desarrollan servicios de pruebas y madurez de tecnología de información? a)No existen servicios de prueba y madurez de TI. b)El servicio de prueba y madurez de TI se realiza de manera informal. c)El servicio de prueba y madurez, no está documentado. d)El servicio de prueba y madurez, tiene un proceso documentado. e)El proceso del servicio de prueba y madurez, es monitoreado. f)El proceso del servicio de prueba y madurez, está automatizado. 5.Se garantiza la confidencialidad e integridad de la información? a)No existe confidencialidad e integridad de la información. b)La confidencialidad e integridad de la información, se garantiza de manera informal. c)La confidencialidad e integridad de la información, no está documentada. d)La confidencialidad e integridad de la información, tiene un proceso documentado. e)El proceso de confidencialidad e integridad de la información, es monitoreado. f)El proceso de confidencialidad e integridad de la información, está automatizado. 6.Existe capacidad de recuperación de las tecnologías de la información, en caso de dificultades tecnológicas o propias del área? a)No existe la capacidad de recuperación de las TI. b)La capacidad de recuperación, es informal.
c)La capacidad de recuperación, no está documentada. d)La capacidad de recuperación, tiene un proceso documentado. e)El proceso de capacidad de recuperación, es monitoreado. f)El proceso de capacidad de recuperación, está automatizado. 7.Existe un plan de servicio de mantenimiento de centro de información y equipos de TI, de respaldo? a)No existe un plan de servicio de mantenimiento. b)El plan de servicio de mantenimiento, se realiza de manera informal. c)El plan de servicio de mantenimiento, no está documentado. d)El plan de servicio de mantenimiento, tiene un proceso documentado. e)El proceso del plan de servicio de mantenimiento, es monitoreado. f)El proceso del plan de servicio de mantenimiento, está automatizado. 8.Posee sitio externo de almacenamiento de respaldo de archivos? a)No existe un sitio externo de almacenamiento de respaldo de archivos. b)El almacenamiento externo de respaldo de archivos, se realiza de manera informal. c)El almacenamiento externo de respaldo de archivos, no está documentado. d)El almacenamiento externo de respaldo de archivos, tiene un proceso documentado. e)El proceso de almacenamiento externo de respaldo de archivos, es monitoreado. f)El proceso de almacenamiento externo de respaldo de archivos, está automatizado. 9.Existen políticas de seguridad en el uso de la Red e Internet, para asegurar la continuidad de estos? a)No existe políticas de seguridad en el uso de la Red e Internet. b)Las políticas de seguridad en el uso de la Red e Internet, son informales. c)Las políticas de seguridad en el uso de la Red e Internet, no están documentadas. d)Las políticas de seguridad en el uso de la Red e Internet, tienen un proceso documentado. e)El proceso de las políticas de seguridad en el uso de la Red e Internet, es monitoreada. f)El proceso de las políticas de seguridad en el uso de la Red e Internet, está automatizado. 10.Existen plan de reanudación, de las TI, en caso de desastres naturales? a)No existe plan de reanudación de las TI. b)El plan de reanudación de las TI, se realiza de manera informal. c)El plan de reanudación de las TI, no está documentado. d)El plan de reanudación de las TI, tiene un proceso documentado. e)El proceso de reanudación de las TI, es monitoreado. f)El proceso de reanudación de las TI, está automatizado.
DS05. Garantizar la seguridad de los sistemas
1.Se gestionan medidas de seguridad de los sistemas de información? a)No existe gestión de seguridad de los SI. b)La gestión de seguridad de los SI, se realiza de manera informal. c)La gestión de seguridad de los SI, no está documentada. d)La gestión de seguridad de los SI, tiene un proceso documentado. e)El proceso de la gestión de seguridad de los SI, es monitoreado. f)El proceso de la gestión de seguridad de los SI, está automatizado. 2.La seguridad de los sistemas de información, están alineadas a los requerimientos y procesos de negocios? a)No existe alineación en la seguridad de SI, requerimientos y procesos del negocio. b)La alineación de la seguridad de SI, requerimientos y procesos del negocio, es informal. c)La alineación de la seguridad de SI, requerimientos y procesos del negocio, no está documentada. d)La alineación de la seguridad de SI, requerimientos y procesos del negocio, tiene un proceso documentado. e)El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio, es monitoreado. f)El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio, está automatizado. 3.Existen políticas de seguridad en cuanto a los sistemas de información? a)No existen políticas de seguridad con respecto a los SI. b)Las políticas de seguridad con respecto a los SI, son informales. c)Las políticas de seguridad con respecto a los SI, no están documentadas. d)Las políticas de seguridad con respecto a los SI, tienen un proceso documentado. e)El proceso de las políticas de seguridad con respecto a los SI, es monitoreado. f)El proceso de las políticas de seguridad con respecto a los SI, está automatizado. 4.Se administran la identidad de acceso a los sistemas de información?
a)No se administra el acceso a los SI. b)La administración de acceso a los SI, se realiza de manera informal. c)La administración de acceso a los SI, no está documentada. d)La administración de acceso a los SI, tiene un proceso documentado. e)El proceso de identificación de acceso a los SI, es monitoreado. f)El proceso de identificación de acceso a los SI, está automatizado. 5.Existe privilegios de los usuarios, respecto al uso de los sistemas de información? a)No existe privilegios de los usuarios para el uso de los SI. b)Los privilegios para el uso de los SI se administran de manera informal. c)Los privilegios para el uso de los SI, no están documentados. d)Los privilegios para el uso de los SI, tienen un proceso documentado. e)El proceso de los privilegios para el uso de los SI, es monitoreado. f)El proceso de los privilegios para el uso de los SI, está automatizado. 6.Existen identificación de incidentes de seguridad, respecto a los sistemas de información? a)No existe identificación de incidentes de seguridad de los SI. b)La identificación de incidentes de seguridad de los SI, se realiza de manera informal. c)La identificación de incidentes de seguridad de los SI, no está documentada. d)La identificación de incidentes de seguridad de los SI, tiene un proceso documentado. e)El proceso de identificación de incidentes de seguridad de los SI, es monitoreado. f)El proceso de identificación de incidentes de seguridad de los SI, está automatizado. 7.Existen Llaves Criptográficas, que permitan la seguridad de los sistemas de información? a)No existen llaves Criptográficas. b)Las llaves Criptográficas, son informales. c)Las llaves Criptográficas, no están documentadas. d)Las llaves Criptográficas, tienen un proceso documentado. e)El proceso de llaves Criptográficas, es monitoreado. f)El proceso de llaves Criptográficas, está automatizado. 8.Existe prevención, detección y corrección de Software malicioso, con respecto a la seguridad de los sistemas de información? a)No existe. b)Se realiza de manera informal. c)No se documenta. d)Tiene un proceso documentado. e)El proceso es monitoreado. f)El proceso está automatizado. 9.Existen planes de seguridad con respecto al sabotaje del uso de la información? a)No existen planes de seguridad respecto al sabotaje del uso de la información. b)La seguridad respecto al sabotaje del uso de la información, se realiza de manera informal. c)La seguridad respecto al sabotaje del uso de la información, no se documenta. d)La seguridad respecto al sabotaje del uso de la información, tiene un proceso documentado. e)El proceso de seguridad respecto al sabotaje del uso de la información, es monitoreado. f)El proceso de seguridad respecto al sabotaje del uso de la información, está automatizado. 10.Existen autenticación en el intercambio de la información, que se realizan mediante los sistemas? a)No existe autenticación en el intercambio de la información. b)La autenticación en el intercambio de la información, se realiza de manera informal. c)La autenticación en el intercambio de la información, no está documentada. d)La autenticación en el intercambio de la información, tiene un proceso documentado. e)El proceso de autenticación en el intercambio de la información, es monitoreado. f)El proceso de autenticación en el intercambio de la información, está automatizado.
DS06. Identificar y Asignar Costos
1.Existe una buena definición de los servicios, respecto a los procesos de negocios? a)No existe definición de los servicios. b)La definición de los servicios, se realiza de manera informal.
c)La definición de los servicios, no está documentada. d)La definición de los servicios, tiene un proceso documentado. e)El proceso de la definición de los servicios, es monitoreado. f)El proceso de la definición de los servicios, está automatizado. 2.Existe transparencia en los costos de las tecnologías de información? a)No existe trasparencia en los costos de TI. b)La transparencia de los costos de TI, se realiza de manera informal. c)La transparencia de los costos de TI, no está documentada. d)La transparencia de los costos de TI, tiene un proceso documentado. e)El proceso de transparencia de los costos de TI, es monitoreado. f)El proceso de la transparencia de los costos de TI, está automatizado. 3.Los servicios de TI, identifican los niveles de facturación? a)No existe identificación de niveles de facturación. b)La identificación de los niveles de facturación, se realiza de manera informal. c)La identificación de los niveles de facturación, no está documentada. d)La identificación de los niveles de facturación, tiene un proceso documentado. e)El proceso de la identificación de niveles de facturación, es monitoreado. f)El proceso de la identificación de niveles de facturación, es automatizado. 4.Existe inventario de las tecnologías de información? a)No existe inventario de tecnologías de información. b)Los inventarios de tecnologías de información, se realiza de manera informal. c)Los inventarios de tecnologías de información, no está documentada. d)Los inventarios de tecnologías de información, tiene un proceso documentado. e)El proceso de inventarios de tecnologías de información, es monitoreado. f)El proceso de inventarios de tecnologías de información, es automatizado. 5.Existen modelos definidos para las compras de las Tecnologías de Información? a)No existe modelos definidos para las compras de TI. b)La definición de modelos de TI, se realiza de manera informal. c)La definición de modelos de TI, no está documentada. d)La definición de modelos de TI, tiene un proceso documentado. e)El proceso de la definición modelos de TI, son monitoreadas. f)El proceso de la definición modelos de TI, es automatizado. 6.Existe análisis de presupuesto de las tecnologías de información? a)No existe análisis de presupuesto de TI. b)El análisis de presupuesto de TI, se realiza de manera informal. c)El análisis de presupuesto de TI, no está documentada. d)El análisis de presupuesto de TI, tiene un proceso documentado. e)El proceso de análisis de presupuesto de TI, son monitoreadas. f)El proceso de análisis de presupuesto de TI, es automatizado. 7.Existen modelación de costos por los servicios, que se ejecutan con las tecnologías de información? a)No existe modelación de costos por los servicios. b)La modelación de costos por los servicios, se realiza de manera informal. c)La modelación de costos por los servicios, no está documentada. d)La modelación de costos por los servicios, tiene un proceso documentado. e)El proceso de modelación de costos por servicios, son monitoreadas. f)El proceso de modelación de costos por servicios, son automatizado. 8.Los costos de servicios, garantizan la identificación de cargos por servicios de TI? a)No existe identificación de cargos de servicios de TI. b)La identificación por cargos de servicios de TI, se realiza de manera informal. c)La identificación por cargos de servicios de TI, no está documentada. d)La identificación por cargos de servicios de TI, tiene un proceso documentado. e)El proceso de identificación por cargos de servicios de TI, son monitoreadas. f)El proceso de identificación por cargos de servicios de TI, son automatizados. 9.Existe recargos, para los servicios de TI? a)No existe recargos por los servicios de TI.
b)Los recargos por los servicios de TI, se realiza de manera informal. c)Los recargos por los servicios de TI, no está documentada. d)Los recargos por los servicios de TI, tiene un proceso documentado. e)El proceso de recargos por servicios de TI, son monitoreadas. f)El proceso de recargos por servicios de TI, son automatizados. 10.Los usuarios, puedan verificar el cargo por los servicios de TI? a)No existe opción para verificar el cargo de servicios de TI. b)La verificación de cargo por servicios de TI, se realiza de manera informal c)La verificación de cargo por servicios de TI, no está documentada. d)La verificación de cargo por servicios de TI, tiene un proceso documentado. e)El proceso de verificación de cargo por servicios de TI, son monitoreadas. f)El proceso de verificación de cargo por servicios de TI, son automatizados.
DS07. Educar y Entrenar a los Usuarios.
1.Existen estrategias para entrenar y educar a los usuarios? a)No existen estrategias de entrenamiento y educación a los usuarios. b)Las estrategias de entrenamiento y educación, se realiza de manera informal c)Las estrategias de entrenamiento y educación, no está documentada. d)Las estrategias de entrenamiento y educación, tiene un proceso documentado. e)El proceso de estrategias de entrenamiento y educación, son monitoreadas. f)El proceso de estrategias de entrenamiento y educación, son automatizados. 2.Se identifican las necesidades de entrenamiento y educación? a)No existen identificación de necesidades. b)La identificación de necesidades, se realiza de manera informal. c)La identificación de necesidades, no está documentada. d)La identificación de necesidades, tiene un proceso documentado. e)El proceso de identificación de necesidades, son monitoreadas. f)El proceso de identificación de necesidades, son automatizados. 3.Existen programas de entrenamientos determinados para cada grupo? a)No existen programas de entrenamiento determinados. b)Los programas de entrenamiento determinados, se realiza de manera informal. c)Los programas de entrenamiento determinados, no está documentada. d)Los programas de entrenamiento determinados, tiene un proceso documentado e)El proceso de programas de entrenamientos, son monitoreadas. f)El proceso de programas de entrenamientos, son automatizados. 4.Existen programas de valores éticos, respecto a la seguridad de las tecnologías de información a)No existen programas de valores éticos de seguridad de TI. b)Los programas de valores éticos de seguridad de TI, se realiza de manera informal. c)Los programas de valores éticos de seguridad de TI, no está documentada. d)Los programas de valores éticos de seguridad de TI, tiene un proceso documenta do e)El proceso de programas de valores éticos de seguridad de TI, son monitoreadas. f)El proceso de programas de valores éticos de seguridad de TI, son automatizados. 5.Existen programas certificados, respecto al entrenamiento y educación de las tecnologías de información a)No existen programas certificados. b)Los programas certificados, se realiza de manera informal. c)Los programas certificados, no está documentada. d)Los programas certificados, tiene un proceso documentado. e)El proceso de los programas certificados, son monitoreadas. f)El proceso de los programas certificados, automatizados. 6.Se implementan capacitaciones, respecto a los cambios del Software e infraestructura tecnológica, que utiliza la institución? a)No se implementan capacitaciones respecto a los cambios. b)Las capacitaciones respecto a los cambios, se realiza de manera informal.
c)Las capacitaciones respecto a los cambios, no está documentada. d)Las capacitaciones respecto a los cambios, tiene un proceso documentado. e)El proceso de capacitaciones respecto a los cambios, son monitoreadas. f)El proceso de las capacitaciones respecto a los cambios, son automatizados. 7.Existe área encargada del entrenamiento de los usuarios? a)No existe área encargada para el entrenamiento de los usuarios. b)El entrenamiento de los usuarios, se realiza de manera informal. c)El entrenamiento de los usuarios, no está documentada. d)El entrenamiento de los usuarios, tiene un proceso documentado. e)El proceso de entrenamiento de los usuarios, es monitoreado. f)El proceso de entrenamiento de los usuarios, es automatizados. 8.Los manuales que utilizan el personal designado, para las capacitaciones son estructurados y didácticos? a)No existen manuales en las capacitaciones. b)La utilización de manuales en las capacitaciones, se realiza de manera informal. c)La utilización de manuales en las capacitaciones, no está documentada. d)La utilización de manuales en las capacitaciones, tiene un proceso documentado. e)El proceso de utilización de manuales en las capacitaciones, es monitoreado. f)El proceso de utilización de manuales en las capacitaciones, es automatizados. 9.Existe planificación de los eventos de entrenamiento? a)No existen planificación de los eventos de entrenamiento. b)La planificación de los eventos de entrenamiento, se realiza de manera informal. c)La planificación de los eventos de entrenamiento, no está documentada. d)La planificación de los eventos de entrenamiento, tiene un proceso documentado. e)El proceso de la planificación de los eventos de entrenamiento, son monitoreadas. f)El proceso de la planificación de los eventos de entrenamiento, son automatizados. 10.Existe evaluación del entrenamiento y educación impartida? a)No existen evaluación del entrenamiento y educación. b)La evaluación del entrenamiento y educación, se realiza de manera informal. c)La evaluación del entrenamiento y educación, no está documentada. d)La evaluación del entrenamiento y educación, tiene un proceso documentado. e)Los procesos de la evaluación del entrenamiento y educación, son monitoreada. f)Los procesos de la evaluación del entrenamiento y educación, son automatizados.
DS08. Administrar la Mesa de Servicio y los Incidentes.
1.Existe mesa de servicios, para establecer la comunicación con los usuarios de tecnologías de información? a)No existe mesa de servicios de comunicación. b)La mesa de servicios de comunicación, se realiza de manera informal. c)La mesa de servicios de comunicación, no está documentada. d)La mesa de servicios de comunicación, tiene un proceso documentado. e)Los procesos de la mesa de servicios para la comunicación, es monitoreada. f)Los procesos de la mesa de servicios para la comunicación, es automatizada. 2.Se registran los incidentes con respecto al uso de las tecnologías de información? a)No se registran los incidentes respecto al uso de las TI. b)Los incidentes del uso de las TI, se registran de manera informal. c)Los incidentes del uso de las TI, no está documentada. d)Los incidentes del uso de las TI, tiene un proceso documentado. e)Los procesos de los incidentes del uso de TI, son monitoreada. f)Los procesos de los incidentes del uso de TI, son automatizada. 3.Las consultas de los clientes, son analizados y derivados al personal adecuado del área de TI? a)Las consultas de los clientes no son analizados ni derivados. b)Las consultas de los clientes son analizados y derivados, de manera informal. c)Las consultas de los clientes son analizados y derivados, pero no está documentada. d)Las consultas de los clientes, tienen un proceso documentado. e)Los procesos de consultas de los clientes, son monitoreados. f)Los procesos de consultas de los clientes, son automatizados.
4.Existen clasificación de los incidentes, de los servicios de TI? a)No existen clasificación de incidentes. b)La clasificación de los incidentes, se realiza de manera informal. c)La clasificación de los incidentes, no es documentado. d)La clasificación de los incidentes, tiene un proceso documentado. e)Los procesos de clasificación de incidentes, son monitoreados. f)Los procesos de clasificación de incidentes, son automatizados. 5.Existe la capacidad inmediata para resolver los incidentes registrados en la mesa de servicios? a)No existe la capacidad inmediata para resolver incidentes. b)La capacidad inmediata para resolver incidentes, se realiza de manera informal. c)La capacidad inmediata para resolver incidentes, no es documentado. d)La capacidad inmediata para resolver incidentes, tiene un proceso documentado. e)Los procesos para resolver incidentes, son monitoreado. f)Los procesos para resolver incidentes, son automatizados. 6.Existe soluciones alternas, respecto a los incidentes registrados en la mesa de servicios? a)No existen soluciones alternas. b)Las soluciones alternas, se realiza de manera informal. c)Las soluciones alternas, no son documentado. d)Las soluciones alternas, tiene un proceso documentado. e)Los procesos para la solución alterna, son monitoreados. f)Los procesos para la solución alterna, son automatizados. 7.La mesa de servicios, registra los ciclos de vida de los servicios de TI? a)No existen registros de ciclos de vida de servicios de TI. b)El registro de ciclo de vida de servicios de TI, se realiza de manera informal. c)El registro de ciclo de vida de servicios de TI, no es documentado. d)El registro de ciclo de vida de servicios de TI, tiene un proceso documentado. e)El proceso del registro de ciclo de vida de servicios de TI, es monitoreado. f)El proceso del registro de ciclo de vida de servicios de TI, es automatizados. 8.Existe cierre de incidentes, en un acta correspondiente? a)No existe cierre de incidentes. b)El cierre de incidentes, se realiza de manera informal. c)El cierre de incidentes, no son documentados. d)El cierre de incidentes, tiene un proceso documentado. e)El proceso de cierre de incidentes, son monitoreados. f)El proceso de cierre de incidentes, son automatizados. 9.La mesa de servicios, permite analizar el desempeño de los servicios? a)No existe análisis de desempeño de servicios. b)El análisis de desempeño de servicios, se realiza de manera informal. c)El análisis de desempeño de servicios, no son documentados. d)El análisis de desempeño de servicios, tiene un proceso documentado. e)El proceso de análisis de desempeño de servicios, es monitoreado. f)El proceso de análisis de desempeño de servicios, es automatizados. 10.Existe identificación de las tendencias de servicios registrados, respecto a las tecnologías de información? a)No existe identificación de las tendencias de los servicios de TI. b)La identificación de las tendencias de los servicios de TI, se realiza de manera informal c)La identificación de tendencias de servicios de TI, no son documentados. d)La identificación de tendencias de servicios de TI, tiene un proceso documentado. e)Los procesos de identificación de tendencias de servicios de TI, son monitoreados. f)Los procesos de identificación de tendencias de servicios de TI, son automatizados.
DS09. Administrar la Configuración
1.Existen estandarización de las herramientas de configuración? a)No existe estandarización de herramientas. b)La estandarización de herramientas, se establece de manera informal. c)La estandarización de herramientas, no son documentados. d)La estandarización de herramientas, tiene un proceso documentado.
e)El proceso de estandarización de herramientas, son monitoreados. f)El proceso de estandarización de herramientas, son automatizados. 2.Existen repositorios de datos, para la configuración de la información? a)No existen repositorios de datos. b)El repositorios de datos, se establece de manera informal. c)El repositorio de datos, no son documentados. d)El repositorio de datos, tiene un proceso documentado. e)El proceso de repositorio de datos, es monitoreado. f)El proceso de repositorio de datos, es automatizado. 3.Existe una línea base de configuración? a)No existe una línea base de configuración. b)La línea base de configuración, se establece de manera informal. c)La línea base de configuración, no es documentado. d)La línea base de configuración, tiene un proceso documentado. e)Los procesos de línea base de configuración, es monitoreado. f)Los procesos de línea base de configuración, es automatizado. 4.Existe identificación de elementos de configuración? a)No existe identificación de elementos de configuración. b)La identificación de elementos de configuración, se realiza de manera informal. c)La identificación de elementos de configuración, no son documentados. d)La identificación de elementos de configuración, tiene un proceso documentado. e)Los procesos de la identificación de elementos de configuración, son monitoreados. f)Los procesos de la identificación de elementos de configuración, son automatizado. 5.Existe supervisión del mantenimiento de configuración? a)No existe supervisión del mantenimiento. b)La supervisión de mantenimiento, se realiza de manera informal. c)La supervisión de mantenimiento, no es documentado. d)La supervisión de mantenimiento, tiene un proceso documentado. e)Los procesos de supervisión de mantenimiento, son monitoreados. f)Los procesos de supervisión de mantenimiento, son automatizados. 6.Se registran los procesos de configuración? a)No se registran los procesos de configuración. b)El registro de procesos de configuración, se realiza de manera informal. c)El registro de procesos de configuración, no son documentados. d)El registro de procesos de configuración, tiene un proceso documentado. e)Los procesos de registro de configuración, es monitoreado. f)Los procesos de registro de configuración, es automatizado. 7.Existe gestión de configuración en los cambios de procedimientos? a)No existe gestión de configuración en los procedimientos. b)La gestión de configuración en los procedimientos, se realiza de manera informal. c)La gestión de configuración en los procedimientos, no es documentado. d)La gestión de configuración en los procedimientos, tiene un proceso documentado. e)Los procesos de gestión de configuración en los procedimientos, son monitoreados. f)Los procesos de gestión de configuración en los procedimientos, son automatizado. 8.Existe evaluación periódica de la gestión de configuración? a)No existe evaluación periódica de la configuración. b)La evaluación periódica de la configuración, se realiza de manera informal. c)La evaluación periódica de la configuración, no es documentado. d)La evaluación periódica de la configuración, tiene un proceso documentado. e)Los procesos de evaluación periódica de la configuración, son monitoreados f)Los procesos de evaluación periódica de la configuración, son automatizados. 9.Existe supervisión del Software que se utiliza? a)No existe supervisión del Software. b)La supervisión del Software, se realiza de manera informal. c)La supervisión del Software, no es documentado.
d)La supervisión del Software, tiene un proceso documentado. e)Los procesos de supervisión del Software, es monitoreado. f)Los procesos de supervisión del Software, es automatizado. 10.Existe proyección estadística, de los errores de configuración? a)No existe proyección estadística de los errores. b)La proyección estadística de los errores, se realiza de manera informal. c)La proyección estadística de los errores, no es documentado. d)La proyección estadística de los errores, tiene un proceso documentado. e)Los procesos de proyección estadística de los errores, son monitoreados. f)Los procesos de proyección estadística de los errores, son automatizados.
DS10. Administración de Problemas 1.Existe identificación de los problemas, relacionados a las tecnologías de información? a)No existe identificación de problemas de TI. b)La identificación de problemas de TI, se realiza de manera informal. c)La identificación de problemas de TI, no se documenta. d)La identificación de problemas de TI, tiene un proceso documentado. e)Los procesos de identificación de problemas de TI, son monitoreados. f)Los procesos de identificación de problemas de TI, son automatizados. 2.Los problemas, son clasificados de acuerdo a incidentes de las TI? a)No existe clasificación de incidentes de TI. b)La clasificación de incidentes de TI, se realiza de manera informal. c)La clasificación de incidentes de TI, no se documentan. d)La clasificación de incidentes de TI, tiene un proceso documentado. e)Los procesos de clasificación de incidentes de TI, son monitoreados. f)Los procesos de clasificación de incidentes de TI, son automatizados. 3.Los problemas, son categorizados de acuerdo a grupos y dominios? a)No existe categorización de grupos y dominios. b)La categorización de grupos y dominios, se realiza de manera informal. c)La categorización de grupos y dominios, no es documentado. d)La categorización de grupos y dominios, tiene un proceso documentado. e)El proceso de categorización de grupos y dominios, es monitoreado. f)El proceso de categorización de grupos y dominios, es automatizado. 4.Existe una data, para registrar los problemas de TI, de manera que permita una solución eficaz? a)No existe data de registro de problemas de TI. b)La data de registros de problemas de TI, se realiza de manera informal. c)La data de registros de problemas de TI, no son documentados. d)La data de registros de problemas de TI, tiene un proceso documentado. e)Los procesos de registros de problemas de TI, es monitoreada. f)Los procesos de registros de problemas de TI, es automatizada. 5.Existe rastreo y análisis de los problemas, ocasionados por las TI? a)No existe rastreo ni análisis de los problemas de TI. b)El rastreo y análisis de los problemas de TI, se realiza de manera informal. c)El rastreo y análisis de los problemas de TI, no es documentado. d)El rastreo y análisis de los problemas de TI, tienen un proceso documentado. e)Los procesos de rastreo y análisis de los problemas de TI, son monitoreados. f)Los procesos de rastreo y análisis de los problemas de TI, son automatizados. 6.Existe un plan de resolución de problemas de TI? a)No existe un plan de resolución de problemas de TI. b)El plan de resolución de problemas de TI, se realiza de manera informal. c)El plan de resolución de problemas de TI, no es documentado. d)El plan de resolución de problemas de TI, tiene un proceso documentado. e)Los procesos del plan de resolución de problemas de TI, son monitoreados. f)Los procesos del plan de resolución de problemas de TI, son automatizados. 7.Los problemas ocasionados por las TI, son monitoreados?
a)No existe monitoreo de problemas ocasionados por las TI. b)El monitoreo de problemas ocasionados por las TI, se realiza de manera informal. c)El monitoreo de problemas ocasionados por las TI, no son documentados. d)El monitoreo de problemas ocasionados por las TI, tiene un proceso documentado. e)El procesos de monitoreo de problemas ocasionados por las TI, son monitoreado. f)El procesos de monitoreo de problemas ocasionados por las TI, son automatizado. 8.Existen registros de cierre de problemas, relacionados a las tecnologías de información? a)No existe registro de cierre de problemas de TI. b)El registro de cierre de problemas de TI, se realiza de manera informal. c)El registro de cierre de problemas de TI, no es documentado. d)El registro de cierre de problemas de TI, tiene un proceso documentado. e)El proceso de registro de cierre de problemas de TI, es monitoreado. f)El proceso de registro de cierre de problemas de TI, es automatizado. 9.Existe administran de cambios, configuración y problemas, relacionados a las tecnologías de información? a)No existe administración de cambios de TI. b)La administración de cambios de TI, se realiza de manera informal. c)La administración de cambios de TI, no es documentada. d)La administración de cambios de TI, tiene un proceso documentado. e)Los procesos de administración de cambios de TI, es monitoreado. f)Los procesos de administración de cambios de TI, es automatizado. 10.Existe un plan de mejora, relacionados a las tecnologías de información? a)No existe plan de mejora de TI. b)El plan de mejora de TI, se realiza de manera informal. c)El plan de mejora de TI, no es documentada. d)El plan de mejora de TI, tiene un proceso documentado. e)Los procesos del plan de mejora de TI, es monitoreado. f)Los procesos del plan de mejora de TI, es automatizado.
DS11 Administración de Datos 1.Se establece mecanismos para garantizar la información recibida y procesada? a)No existe mecanismos para garantizar la información. b)Los mecanismos para garantizar la información, se realiza de manera informal. c)Los mecanismos para garantizar la información, no es documentado. d)Los mecanismos para garantizar la información, tienen procesos documentados. e)Los procesos para garantizar la información, son monitoreados. f)Los procesos para garantizar la información, son automatizados. 2.Existe acuerdos de almacenamiento y conservación de la información? a)No existe acuerdos de almacenamiento y conservación. b)Los acuerdos de almacenamiento y conservación, se realizan de manera informal. c)Los acuerdos de almacenamiento y conservación, no son documentados. d)Los acuerdos de almacenamiento y conservación, tienen un proceso documentado. e)Los procesos de almacenamiento y conservación, son monitoreados. f)Los procesos de almacenamiento y conservación, son automatizados. 3.Existe procedimientos para mantener y garantizar la integridad de los datos? a)No existe procedimientos para garantizar la integridad de los datos. b)Los procedimientos para garantizar la integridad, son de manera informal. c)Los procedimientos para garantizar la integridad, no son documentados d)Los procedimientos para garantizar la integridad, tienen un proceso documentado. e)Los procesos para garantizar la integridad de los datos, son monitoreados. f)Los procesos para garantizar la integridad de los datos, son automatizados. 4.Existe procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o trasferidos para otro uso? a)No existe procedimientos para el acceso a datos sensitivos. b)Los procedimientos para el acceso a datos sensitivos, se realizan de manera informal. c)Los procedimientos para el acceso a datos sensitivos, no son documentados. d)Los procedimientos para el acceso a datos sensitivos, tienen un proceso documentado. e)Los procedimientos de prevención para el acceso a datos sensitivos, son monitoreados.
f)Los procedimientos de prevención para el acceso a datos sensitivos, son automatizados 5.Existen políticas de respaldo y restauración de los sistemas, datos y configuraciones que estén alineados con los requerimientos del negocio y con el plan de continuidad? a)No existe políticas de respaldo y restauración b)Las políticas de respaldo y restauración, se realizan de manera informal. c)Las políticas de respaldo y restauración, no son documentados. d)Las políticas de respaldo y restauración, tienen un proceso documentado. e)Los procesos de políticas de respaldo y restauración, son monitoreados. f)Los procesos de políticas de respaldo y restauración, son automatizados. 6.Existe identificación para aplicar requerimientos de seguridad aplicables a la recepción, procesamiento alma-cenamiento físico? a)No existe aplicación de seguridad en el almacenamiento físico. b)La aplicación de seguridad en el almacenamiento físico, se realiza de manera informal. c)La aplicación de seguridad en el almacenamiento físico, no son documentadas. d)La aplicación de seguridad en el almacenamiento físico, tienen un proceso documentado. e)Los procesos de aplicación de seguridad en el almacenamiento físico, son monitoreados. f)Los procesos de aplicación de seguridad en el almacenamiento físico, son automatizados.
DS12. Administración del Ambiente Físico 1.El centro de datos toma en cuenta el riesgo asociado con desastres naturales causados y causados por el hom-bre? a)No toman en cuenta los riesgos asociados a los ambientes. b)Los riesgos asociados a los ambientes, se establecen de manera informal. c)Los riesgos asociados a los ambientes, no son documentados. d)Los riesgos asociados a los ambientes, tienen un proceso documentado. e)Los procesos de riesgos asociados a los ambientes, son monitoreados. f)Los procesos de riesgos asociados a los ambientes, son automatizados. 2.Existe políticas implementadas con respecto a la seguridad física alineadas con los requerimientos del nego-cio? a)No existen políticas de seguridad física del negocio. b)Las políticas de seguridad física del negocio, se establecen de manera informal. c)Las políticas de seguridad física del negocio, no son documentadas. d)Las políticas de seguridad física del negocio, tienen un proceso documentado. e)Los procedimientos de políticas de seguridad física del negocio, son monitoreadas. f)Los procedimientos de políticas de seguridad física del negocio, son automatizados. 3.Existe procedimientos para otorgar, limitar y revocar el acceso a los centros de información (centros de TI)? a)No existen limitación de acceso a los centros de TI. b)La limitación de acceso a los centros de TI, se realizan de manera informal. c)La limitación de acceso a los centros de TI, no son documentados. d)La limitación de acceso a los centros de TI, tienen un proceso documentado e)Los procedimientos de limitación a los centros de TI, son monitoreados. f)Los procedimientos de limitación a los centros de TI, son automatizados. 4.Existe políticas de protección contra factores ambientales (equipos especializados para monitorear y controlar el ambiente)? a)No existen políticas para proteger el medio ambiente. b)Las políticas de protección del medio ambiente, se establecen de manera informal. c)Las políticas de protección del medio ambiente, no son documentados. d)Las políticas de protección del medio ambiente, tienen un proceso documentado. e)Los procesos de políticas de protección del medio ambiente, son monitoreados. f)Los procesos de políticas de protección del medio ambiente, son automatizados. 5.Existe administración periódica de las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía? a)No existen administración periódica en la instalación de los equipos. b)La administración periódica en la instalación de los equipos, se realiza de manera informal.
c)La administración periódica en la instalación de los equipos, no son documentadas d)La administración periódica en la instalación de los equipos, tienen un proceso documentado. e)Los procesos de administración periódica en la instalación de los equipos, son monitoreados. f)Los procesos de administración periódica en la instalación de los equipos, son automatizados.
DS13. Administración de Operaciones 1.Existe marco referencial para implementar y mantener procedimientos estándar para las operaciones de TI y garantizar que el personal de operaciones está familiarizado con todas operaciones relativas a ellos? a)No existen marco referencial para las operaciones de TI. b)El marco referencial para las operaciones de TI, se establece de manera informal. c)El marco referencial para las operaciones de TI, no es documentado d)El marco referencial para las operaciones de TI, tiene un proceso documentado. e)Los procedimientos del marco referencial de operaciones de TI, son monitoreados. f)Los procedimientos del marco referencial de operaciones de TI, son automatizados. 2.Existe procedimientos para autorizar los programas iniciales así como los cambios a estos programas, para cumplir con los requerimientos del negocio? a)No existen procedimientos de autorización de cambios. b)Los procedimientos de autorización de cambios, se realizan de manera informal. c)Los procedimientos de autorización de cambios, no son documentadas d)Los procedimientos de autorización de cambios, tienen un proceso documentado. e)Los procedimientos de autorización de cambios, son monitoreados. f)Los procedimientos de autorización de cambios, son automatizados. 3.Existe políticas y procedimientos para monitorear la infraestructura de TI y los eventos relacionados? a)No existen políticas ni procedimientos, respecto a la infraestructura. b)Las políticas y procedimientos de infraestructura, se establecen de manera informal. c)Las políticas y procedimientos de infraestructura, no son documentadas d)Las políticas y procedimientos de infraestructura, tiene un proceso documentado. e)Los procedimientos y políticas de infraestructura y eventos, son monitoreadas f)Los procedimientos y políticas de infraestructura y eventos, son automatizadas. 4.Con el fin de salvaguardar la información, se ha definido resguardos físicos, prácticas de registro y adminis-tración de inventarios adecuados sobre los activos de TI más sensitivos? a)No se ha definido el resguardo físico de los activos de TI. b)El resguardo físico de los activos de TI, se realiza de manera informal. c)El resguardo físico de los activos de TI, no es documentado d)El resguardo físico de los activos de TI, tiene un proceso documentado. e)Los procesos de resguardo físico de los activos de TI, se monitorean. f)Los procesos de resguardo físico de los activos de TI, son automatizados. 5.Existe procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuen-cia y el impacto de las fallas o de la disminución del desempeño? a)No existen procedimientos para garantizar el mantenimiento de infraestructura. b)El mantenimiento de la infraestructura, se realizan de manera informal. c)El mantenimiento de la infraestructura, no son documentados. d)El mantenimiento de la infraestructura, tienen un proceso documentado. e)Los procedimientos para el mantenimiento de la infraestructura, son monitoreados. f)Los procedimientos para el mantenimiento de la infraestructura, son automatizados.
Anexo 05. ENCUESTA PARA MEDIR EL PERFIL GESTION DE TICS DOMINIO “MONITOREO Y EVALUACION” SEGUN
EL MODELO COBIT
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
Ejemplo:1.Existe un método de monitoreo? a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
DOMINIO: Monitorear y evaluar
PROCESO MO01. Monitorear y evaluar el desempeño de TI1.Qué enfoque tiene el monitoreo?a)No existe enfoque del monitoreob)Se realiza de manera informalc)Usa técnicas tradicionales no documentadasd)Utiliza procedimientos documentadose)El proceso de monitoreo es controlado y auditadof)El proceso de monitoreo está automatizado2.Cómo se recolectan los datos para el monitoreo?a)No se recolectan datos para el monitoreo.b)Existen datos de monitoreo generados de manera informal.c)Los datos de monitoreo se obtienen con técnicas tradicionales no documentadasd)Los datos de monitoreo se recolectan siguiendo un proceso documentadoe)El proceso de recolección de datos para el monitoreo es controlado y auditadof)El proceso de recolección de datos para el monitoreo está automatizado3.Existe un método de monitoreo?a)No existe método de monitoreo.b)El método de monitoreo se utiliza de manera informalc)Existe un método de monitoreo con técnicas tradicionales no documentadasd)El método de monitoreo está definido en un procedimiento documentadoe)El proceso del método de monitoreo es controlado y auditadof)El proceso del método de monitoreo está automatizado4.Se evalúa el desempeño?a)No se evalúa el desempeño.b)Se realizan evaluaciones esporádicas de manera informal.c)Existen procedimientos para realizar evaluación del desempeño con técnicas tradicionales no documentadasd)La evaluación del desempeño se realiza utilizando procedimientos documentadose)El proceso de evaluación del desempeño se monitoreaf)El proceso de evaluación del desempeño está automatizado5.Se elaboran reportes de desempeño?a)No se elaboran reportes de desempeño.b)Se elaboran reportes pero no se revisan solo se archivan de manera informal.c)Los reportes contienen el grado de logro de objetivos usando técnicas tradicionales no documentadas.
d)Los reportes de desempeño son elaborados siguiendo un procedimiento documentado.e)El proceso de elaboración de reportes de desempeño es monitoreadof)El proceso de elaboración de reportes de desempeño está automatizado6.Se realizan acciones correctivas?a)No se realizan acciones correctivasb)Las correciones se realizan de manera informalc)Las acciones correctivas se generan del monitoreo del desempeño, evaluación y reportes usando técnicas tradicionales no documentadas.d)Las acciones correctivas se establecen como producto de un procedimento documentadoe)El proceso para realizar acciones correctivas es monitoreadof)El proceso para realizar acciones correctivas está automatizado7.Qué documentos se tienen en cuenta para medir el desempeño?a)No se usan documentos para medir el desempeñob)Se solicitan documentos en forma esporádica de manera informal.c)Los documentos se han definido con técnicas tradicionales no documentadasd)Los documentos para medir el desempeño están definidos en un procedimiento documentade)El proceso que define los documentos para medir el desempeño es monitoreadof)El proceso que define los documentos para medir el desempeño está automatizado8.En qué documentos se refleja la medición del desempeño?a)No se generan documentos que reflejan la medición del desempeño.b)Los documentos se generan de acuerdo a la cirscunstancia de manera informalc)Se generan documentos usando técnicas tradicionales no documentadas, pero son archivados.d)Los documentos que reflejan la medición del desempeño están definidos en un procedimiento documentadoe)El proceso que define los documentos que reflejan la medición del desempeño es monitoreadof)El proceso que define los documentos que reflejan la medición del desempeño está automatizado9.Quienes participan en la evaluación del desempeño?a)Nadie realiza evaluación del desempeño.b)La realiza personal administrativo de manera informalc)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadasd)La participación del personal en la evaluación del desempeño está definida en un procedimiento documentadoe)El proceso de evaluación del desempeño es monitoreado.f)El proceso de evaluación del desempeño está automatizado.10.Existen procesos definidos para la evaluación del desempeño?a)No existen procesos para la evaluación del desempeñob)Los procesos se realizan de manera informalc)Existen un patrón para la evaluación del desempeño definido con técnicas tradicionales no documentadasd)Los procesos solo están documentadose)Los procesos están monitoreados.f)Los procesos están automatizados.
PROCESO MO02. Monitorear y evaluar el control interno11.Se monitoriza el marco de trabajo del control interno?.a)No se monitoriza el marco de trabajo del control interno.b)Se realizan actividades de monitoreo del marco de trabajo en forma esporádica y de manera informal.c)El marco de trabajo del control interno se monitorea usando técnicas tradicionales no documentadasd)El marco de trabajo del control interno se monitorea como producto de un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.12.Se realizan auditorias al marco de trabajo del control interno? a)No se realizan auditorias al marco de trabajo de control interno.b)Se realizan auditorías de manera informal solo cuando hay un problema.c)Las auditorias al marco de trabajo del control interno se realizan usando técnicas tradicionales no documentadasd)Las auditorias al marco de trabajo responden a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.13.Existen excepciones de control?
a)No existen excepciones de control.b)Se han identificado excepciones de control de manera informal.c)Existen excepciones de control definidas con técnicas tradicionales no documentadasd)Existe un procedimiento documentado para establecer excepciones de control.e)El proceso es monitoreado.f)El proceso está automatizado.14.Existe un proceso de autoevaluación?a)No existe proceso de autoevaluaciónb)Se realizan acciones esporádicas de manera informal.c)El proceso de autoevaluación está definido con técnicas tradicionales no documentadas.d)El proceso de autoevaluación está definido en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.15.Se asegura el control interno?a)No se asegura el control interno.b)Se realizan actividades de aseguramiento de manera informalc)El control interno se asegura con técnicas tradicionales no documentadasd)El aseguramiento del control interno está definido en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.16.Se evalúa el control interno de los proveedores de servicios externos?a)No existe evaluación del control interno de los proveedores de servicios externos.b)El control interno de los proveedores de servicios externos se evalúa de manera informal.c)El control interno de los proveedores de servicios externos se evalúa usando técnicas tradicionales no documentadasd)El control interno de los proveedores de servicios externos se evalúa como producto de un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.17.Se realizan medidas correctivas al marco de trabajo del control interno?a)No se realizan mediidas correctivas al marco de trabajo del control interno.b)Se realizan acciones correctivas al mareco de trabajo del control interno de manera informalc)Se usan técnicas tradicionales no documentadas para realizar acciones correctivas al marco de trabajo del control interno.d)Existe un procedimiento documentado que define como realizar acciones correctivas al marco de trabajo del control interno.e)El proceso es monitoreado.f)El proceso está automatizado.18.Se generan reportes del monitoreo y evaluación del marco de trabajo del control internoa)No se generan reportes del monitoreo y evaluación de marco de trabajo del control interno.b)Los documentos se generan de acuerdo a la cirscunstancia y de manera informalc)Se generan reportes usando técnicas tradicionales no documentadas y son archivados.d)Se generan reportes de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.19.Quienes participan en el monitoreo y evaluación del marco de trabajo del control interno?a)Nadie realiza monitoreo y evaluación del marco de trabajo del control interno.b)La realiza personal administrativo de manera informalc)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadasd)Se han definido los roles y responsabilidades en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.20.Existen procesos definidos para el monitoreo y evaluación del marco de trabajo del control interno?a)No existen procesos para monitorear y evaluar el marco de trabajo del control internob)Los procesos se realizan de manera informalc)Se han definido procesos usando técnicas tradicionales no documentadasd)Los procesos solo están documentadose)El proceso es monitoreado.
f)El proceso está automatizado.
PROCESO MO03. Garantizar el cumplimiento con requerimientos externos.
21.Se identifican los requerimientos de las leyes, regulaciones y cumplimientos contractuales con requerimientos externos?a)No se han identificado los requerimientos normativos de los requerimientos externosb)Se identifican de manera informal las leyes que respaldan el uso de TICs .c)Los requerimientos normativos se definen y realizan cumpliendo la nomatividad vigente siguiendo técnicas tradicionales no documentadas.d)Los requerimientos normativos se definen y realizan cumpliendo la nomatividad vigente de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.22.Se verifica la coherencia entre la normatividad y las políticas, estándares, procedimientos y metodologias de TI?a)No se verifica la coherencia entre la normatividad y los procesos organizacionales.b)Esporádicamente y de manera informal se revisa la coherencia entre la normatividad y los procedimientos de TI.c)Esporádicamente se revisa la coherencia entre normatividad y las políticas y estándares de TI usando técnicas tradicionales no documentadas.d)La coherencia entre la normatividad y las políticas, estándares, procedimientos y metodologías es revisada continuamente de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.23.Se evalúa el cumplimiento de los requerimientos externos?a)No se evalúa el cumplimiento de los requerimientos externosb)Esporádicamente y de manera informal se evalúa el cumplimiento de los requerimientos externos.c)Esporádicamente se se evalúa el cumplimiento de los requerimientos externos en las políticas y estándares de TI suguiendo técnicas tradicionales no documentadas.d)El cumplimiento de los requerimientos externos se evalúa siguiendo un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.24.Se asegura positivamente el cumplimiento?a)No se asegura el cumplimientob)La normatividad ha sido difundida oportunamente entre los dueños de procesos de manera informal.c)Se realizan auditorias eventuales sobre el cumplimiento de la normatividad de los dueños de procesos usando técnicas tradicionales no documentadas.d)Existe un procedimiento documentado de auditorias de cumplimiento de normas.e)El proceso es monitoreado.f)El proceso está automatizado.25.Se generan reportes de auditoria del cumplimiento de normasa)No se generan reportes de auditoria del cumplimiento de las normas.b)Se generan de acuerdo a la cirscunstancia y de manera informal.c)Se generan reportes usando técnicas tradicionales no documentadas y son archivados.d)Se generan reportes sobre el cumplimiento de normas de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.26.Qué documentos se tienen en cuenta para auditar el cumplimiento de normas?a)No se usan documentos para auditar el cumplimiento de normasb)Para realizar auditorias del cumplimiento de normas se solicitan documentos en forma esporádica y de manera informal.c)Los documentos para realizar auditorias de cumplimiento de normas se realiza con técnicas tradicionales no documentadasd)Los documentos para realizar auditorias de cumplimiento de normas están definidos en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.27.En qué documentos se refleja el cumplimiento de normas?
a)No existen documentos que sustenten el cumplimiento de normas.b)Los documentos se generan de acuerdo a la cirscunstancia y de manera informal.c)Los documentos que sustentan el cumplimiento de normas han sido definidos usando técnicas tradicionales no documentadas y son archivados.d)Los documentos que sustentan el cumplimiento de normas han sido definidos en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.28.Quienes participan en la evaluación del cumplimiento de normas?a)Nadie realiza evaluación del cumplimiento de normas.b)La realiza personal administrativo de manera informal.c)Se han definido los roles y responsabilidades usando técnicas tradicionales no documentadas.d)Se han definido los roles y responsabilidades en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.29.Existen procesos definidos para la evaluación del cumplimiento de normas?a)No existen procesos para la evaluación del cumplimiento de normas.b)Los procesos se realizan de manera informal.c)Existe un patrón para la evaluación del cumplimiento de normas usando técnicas tradicionales no documentadas.d)Existe un patrón para la evaluación del cumplimiento de normas de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.
PROCESO MO04. Proporcionar gobierno de TI.
1.Se establece un marco de gobierno de TI?a)No se ha definido un marco de gobierno de TI.b)Se ha definido de manera informal un marco de gobierno de TI con visión de control y gobierno corporativo.c)El marco de gobierno está definido usando técnicas tradicionales no documentadas.d)El marco de gobierno está definido en un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.2.Existe alineamiento estratégico de las TIa)No existe alineamiento estratégico de las TI.b)El alineamiento estratégico se define de manera informal.c)El alineamiento estratégico se realiza usando técnicas tradicionales no documentadas.d)El alineamiento estratégico se realiza de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.3.Las TI generan valor agregado?a)Las TI no generan valor agregado.b)El valor agregado de las TI se administra de manera informal.c)El valor agregado de las TI se administra usando técnicas tradicionales no documentadas.d)El valor agregado de las TI se administra siguiendo un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.4.Se administran recursos de TI?a)No se administran recursos de TI.b)Los recursos de TI se administran de manera informal.c)Los recursos de TI se administran usando técnicas tradicionales no documentadas.d)Los recursos de TI se administran de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.5.Se administran los riesgos de TI?a)No se administran los riesgos de Ti.b)Los riesgos de TI se administran de manera informal.c)Los riesgos de TI se administran usando técnicas tradicionales no documentadas.d)Los riesgos de TI se administran de acuerdo a un procedimiento documentado.
e)El proceso es monitoreado.f)El proceso está automatizado.6.Se mide el desempeño de TI?a)No se mide el desempeño de TI.b)La medición del desempeño de TI se realiza de manera informal.c)La medición del desempeño de TI se realiza usando técnicas tradicionales no documentadas.d)La medición del desempeño de TI se realiza de acuerdo a un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.7.Existe aseguramiento independiente?a)No existe aseguramiento independiente.b)El aseguramiento independiente se realiza de manera informal.c)El aseguramiento independiente se realiza usando técnicas tradicionales no documentadas.d)El aseguramiento independiente se realiza de acuerdo a un procedimiento documentado.e)El proceso es monitroreado.f)El proceso esta automatizado.8.En qué documentos se refleja el gobierno de TI?a)No existen documentos que sustentan el gobierno de TI.b)Los documentos que sustentan el gobierno de TI se generan de acuerdo a la cirscunstancia y de manera informal.c)Los documentos que sustentan el gobierno de TI se generan usando técnicas tradicionales, pero son archivados.d)Los documentos que sustentan el gobierno de TI se generan siguiendo un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está aautomatizado.9.Quienes participan en la evaluación del gobierno de TI?a)Nadie realiza evaluación del gobierno de TI.b)El personal que realiza la evaluación del gobierno de TI lo hace de manera informal.c)El personal que realiza la evaluación del gobierno de TI usa técnicas tradicionales no documentadas.d)El personal que realiza la evaluación del gobierno de TI sigue un procedimiento documentado.e)El proceso es monitoreado.f)El proceso está automatizado.10.Existen procesos definidos para el gobierno de TI?a)No existen procesos definidos para el gobierno de TI.b)Los procesos para el gobierno de TI se realizan de manera informal.c)Los procesos para el gobierno de TI usan técnicas tradicionales no documentadas.d)Los procesos para el gobierno de TI están documentados.e)El proceso es monitoreado.f)El proceso está automatizado.
top related