UNIVERSIDAD DE COSTA RICA SISTEMA DE ESTUDIOS DE POSGRADO EVALUACIÓN DE LA GESTIÓN DEL SERVICIO DE MESA DE AYUDA PARA TECNOLOGÍAS DE INFORMACIÓN Trabajo final de graduación sometido a la consideración de la Comisión del Programa de Estudios de Posgrado en Administración y Dirección de Empresas para optar al grado y título de Maestría Profesional en Auditoría de Tecnología de Información SUSTENTANTE Alicia Sancho Brenes Ciudad Universitaria Rodrigo Facio, Costa Rica 2015 ii Dedicatoria Dedico este trabajo en primera instancia a Dios que es quién me dio la vida y me lleva de su mano, para disfrutar de ella. Y a mi familia, que siempre ha estado a mi lado, en las situaciones difíciles y en los momentos de alegría, han compartido conmigo sus vidas, han sido mi apoyo, mi consejo, mi aliento y la razón de seguir adelante. iii Agradecimientos Agradezco a los profesores de esta maestría por toda la dedicación y esfuerzo que realizaron para trasmitir sus conocimientos. A los compañeros de la maestría por su colaboración y amistad que permitieron hacer más amenas las horas de aprendizaje, a pesar del cansancio. Al profesor guía y lectores que me colaboraron en la corrección y mejoramiento de este trabajo. iv “Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa de Estudios de Posgrado en Administración y Dirección de Empresas de la Universidad de Costa Rica, como requisito parcial para optar al grado y título de Maestría Profesional en Auditoría de Tecnología de Información.” ____________________________________________ Dr. Sergio Espinoza Guido Profesor Guía ____________________________________________ Máster Arturo Ramírez Hegg Lector (Profesor de Posgrado) ____________________________________________ Máster Javier Alfaro Valerio Lector de Empresa ____________________________________________ Dr. Aníbal Barquero Chacón Director Programa de Posgrado en Administración y Dirección de Empresas ____________________________________________ Alicia Sancho Brenes Sustentante v Tabla de Contenido Dedicatoria ................................................................................................................................ ii Agradecimientos .......................................................................................................................iii Resumen .................................................................................................................................. vii Tabla de Cuadros..................................................................................................................... viii Tabla de Imágenes .................................................................................................................... ix CAPÍTULO I. ASPECTOS GENERALES .......................................................................................... 1 1.1 Introducción .............................................................................................................. 1 1.2 Objetivos ................................................................................................................... 3 1.3 Alcance ...................................................................................................................... 4 1.4 Marco teórico ............................................................................................................ 4 1.5 Metodología ............................................................................................................ 10 CAPÍTULO II. PLANIFICACIÓN Y PLANTEAMIENTO DE PRUEBAS ............................................. 12 2.1 Introducción ............................................................................................................ 12 2.2 Comunicación de inicio de la Auditoría .................................................................. 13 2.3 Programa de Trabajo .............................................................................................. 14 2.4 Procedimientos de Conocimiento del Área ............................................................ 16 2.5 Identificación de Riesgos y Controles ..................................................................... 23 2.6 Programa de Trabajo- Etapa de Ejecución .............................................................. 32 CAPÍTULO III. APLICACIÓN DE PRUEBAS Y ANÁLISIS DE RESULTADOS ................................... 34 3.1 Introducción ............................................................................................................ 34 3.2 Aplicación de Pruebas ............................................................................................. 35 3.3 Análisis de Resultados ............................................................................................. 57 vi 3.3.1 Importancia de fortalecer el monitoreo de capacidades en servidores de datos 57 3.3.2 Conveniencia de fortalecer la gestión del Servicio de Mesa de Ayuda .............. 60 3.3.2.1 Importancia de aumentar los incidentes que se resuelven en el primer nivel ... 60 3.3.2.2 Conveniencia de establecer lineamientos sobre clasificación y priorización ..... 61 3.3.2.3 Necesidad de un adecuado registro de solicitudes en el sistema ...................... 63 3.3.2.4 Relevancia de completar y actualizar la Base de Conocimiento ......................... 64 3.3.2.5 Conveniencia de analizar las solicitudes para identificar situaciones perjudiciales 65 3.3.2.6 Necesidad de supervisar el desempeño del servicio .......................................... 66 CAPÍTULO IV. CONCLUSIONES Y RECOMENDACIONES ........................................................... 73 4.1. Conclusiones ........................................................................................................... 73 4.2. Recomendaciones ................................................................................................... 74 BIBLIOGRAFÍA .......................................................................................................................... 77 vii Resumen Se exponen los resultados más importantes de la evaluación de auditoría realizada al servicio de mesa de ayuda, las razones por las que se presentan las situaciones encontradas y los efectos asociados. Dentro de las áreas que se recomiendan fortalecer se encuentra la actividad de monitoreo de la capacidad de los servidores de datos, así como aspectos relacionados con la administración del servicio de mesa de ayuda. Finalmente se exponen las conclusiones y recomendaciones, con las cuales se pretende subsanar los aspectos susceptibles de mejora identificados. viii Tabla de Cuadros Tabla 1: Programa de Trabajo de Planificación ........................................... 14 Tabla 2: Cuestionario de Control Interno .....................................................19 Tabla 3: Análisis de Riesgo .......................................................................... 24 Tabla 4: Valoración de Riesgos ......................... ..........................................25 Tabla 5: Valores utilizados para Probabilidad e Impacto ............................. 26 Tabla 6: Calificación de la Funcionalidad de Controles ................................26 Tabla 7: Evaluación de Riesgos ...................................................................27 Tabla 8: Cuestionario de Controles ..............................................................28 Tabla 9: Asociación de Controles y Pruebas por Aplicar ............................. 30 Tabla 10: Programa de Trabajo de Ejecución ..............................................32 Tabla 11: Muestra utilizada en la Encuesta ..................................................48 Tabla 12: Datos Pregunta 1 ..........................................................................49 Tabla 13: Datos Pregunta 2 ..........................................................................50 Tabla 14: Datos Pregunta 3 ..........................................................................50 Tabla 15: Datos Pregunta 4 ..........................................................................51 ix Tabla de Imágenes Figura 1: Servidores de Datos con ocupación mayor al 70% ....................... 37 Figura 2: Ejemplo de Flujo de Tráfico de Red .............................................. 38 Figura 3: Solicitudes Resueltas en Nivel 1 ................................................... 40 Figura 4: Reporte de Solicitudes por Estado ................................................ 46 Figura 5: Ejemplo de Reporte de Solicitudes Pendientes ............................ 46 1 CAPÍTULO I. ASPECTOS GENERALES 1.1 Introducción Las tecnologías de información y comunicaciones (TIC) se han introducido en nuestras organizaciones gubernamentales con el objetivo de apoyar los procesos operativos, proporcionando facilidad y rapidez para ejecutar nuestras labores y obteniendo información para el apoyo de decisiones que permitan mejorar los procesos y obtener los objetivos propuestos. Por lo anterior, las TIC son un área de servicio y no un fin en sí mismas para estas organizaciones. La “Mesa de Ayuda” (Help Desk) o “Mesa de Servicio” (Service Desk), se refiere a un conjunto de servicios que ofrecen la posibilidad de gestionar y solucionar incidencias de manera integral, así como, la atención de requerimientos relacionados con las Tecnologías de Información y Comunicaciones. Es el punto único de contacto entre el proveedor de servicio y el usuario; el cual se encarga de administrar los incidentes y solicitudes de servicio, así como la comunicación con los usuarios. Esta interacción no sólo beneficia al usuario para obtener un mejor aprovechamiento de los servicios brindados por TIC y resolver los inconvenientes que puedan estar limitando la ejecución de sus labores, sino que le permite al área de TIC obtener información para orientar sus esfuerzos a las áreas de mayor demanda o necesidad para el usuario, así como tomar decisiones tendientes a la mejora continua de sus servicios. 2 Justificación Debido a la importante fuente de información que brinda este servicio para evaluar y medir el desempeño del área de TIC y su aporte real al logro de los objetivos de la organización, se hace de vital importancia su auditoría, de modo que las instancias superiores puedan determinar el aprovechamiento y retorno de las inversiones realizadas en las tecnologías de información y comunicaciones, los cuales representan un porcentaje considerable del presupuesto de la organización. Finalidad La finalidad del trabajo a realizar consiste en determinar si el servicio de mesa de ayuda que brinda la organización bajo evaluación, brinda todas las posibilidades de colaboración al usuario interno, de acuerdo con lo indicado en las normativa y sanas prácticas vigentes en la materia, si los incidentes o problemas se gestionan adecuadamente de inicio a fin y si la información obtenida, además de las recomendaciones indicadas por los usuarios, son aprovechadas para la mejora de los servicios y un mayor aprovechamiento de la tecnología disponible. Intereses profesionales El interés profesional en la ejecución de esta evaluación radica en la importancia de aplicar los conocimientos adquiridos en los diferentes cursos de la maestría en Auditoría de Tecnología de Información, con el propósito reforzar los conocimientos y comprender mejor sus alcances. Esto nos dará mayor seguridad y experiencia cuando nos soliciten una evaluación de este tipo en el campo profesional. 3 1.2 Objetivos Objetivo General Evaluar la gestión del servicio de mesa de ayuda, por medio de varios instrumentos, con el fin de determinar si satisface eficiente y eficazmente las solicitudes presentadas por los usuarios. Objetivos Específicos  Identificar procedimientos diferenciados en la atención de solicitudes especializadas como incidentes de seguridad y elevación de problemas, por medio del estudio de casos, con el propósito de determinar la existencia de acciones tendientes a mejorar la eficiencia y eficacia del proceso.  Identificar el establecimiento de acuerdos de servicio con los usuarios, por medio del análisis de casos, a fin de determinar su pertinencia de acuerdo con la capacidad tecnológica de la institución y nivel de cumplimiento.  Determinar la ejecución de evaluaciones de desempeño del servicio brindado, en relación con los tiempos de respuesta y efectividad en las soluciones, por medio de la revisión de estadísticas e informes de evaluación, con el propósito de determinar la mejora continua del servicio. 4 1.3 Alcance La evaluación comprenderá el análisis de los medios por los cuáles ingresan solicitudes al área de tecnologías de información y comunicaciones (TIC) y la forma en que se gestionan, considerando el tipo de solicitudes, procedimientos de atención y escalamiento a problemas, así como reportes de diferentes tipos de incidentes y solicitudes de mejora de los servicios. Considerará además, las estadísticas que lleva el Área de Tecnología de Información sobre la atención de solicitudes, tiempos de resolución, calidad del servicio brindado, su comunicación a instancias superiores de la organización y toma de decisiones relacionadas. Adicionalmente, se determinará la existencia de acuerdos de servicio con los usuarios, su nivel de cumplimiento y la capacidad real del área de TIC para cumplir con los acuerdos. La evaluación comprenderá la situación encontrada del 01 de diciembre del 2014 al 04 de marzo del 2015 y se circunscribe al área encargada de este servicio en San José, sin embargo, es importante considerar que desde este punto se registra y gestionan solicitudes de todo el territorio nacional. 1.4 Marco teórico Para la organización en la que se realiza la auditoría es obligante lo indicado por la Contraloría General de la República. En el manual de Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO- DFOE), se indica: 5 "4.4 Atención de requerimientos de los usuarios de TI La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia. 4.5 Manejo de incidentes La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario. 4.6 Administración de servicios prestados por terceros La organización debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe: a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones contratados a terceros. c. Vigilar que los servicios contratados sean congruentes con las políticas relativas a calidad, seguridad y seguimiento establecidas por la organización. d. Minimizar la dependencia de la organización respecto de los servicios contratados a un tercero. 6 e. Asignar a un responsable con las competencias necesarias que evalúe periódicamente la calidad y cumplimiento oportuno de los servicios contratados." También se consideraran mejores prácticas de la industria, relacionadas con el tema, que aunque no son obligantes para la organización, dan guías sobre acciones recomendables de observar para mejorar la eficiencia del servicio de mesa de ayuda. En el marco de sanas prácticas ITIL, se indica en relación con este tema: Gestión de Eventos Es el proceso de monitorear todos los procesos importantes que se produzcan para poder anticiparse a los problemas, resolverlos o incluso prevenirlos. Este es un proceso independiente del ciclo de vida. Gestión de Peticiones Es la encargada de atender las peticiones de los usuarios proporcionándoles información y acceso rápido a los servicios estándar de la organización. Como petición de servicio se entiende:  Solicitudes de información o consejo.  Peticiones de cambios estándar (por ejemplo: solicitud o cambio de contraseña).  Peticiones de acceso a servicios de TI o mejora de servicios. Gestión de Incidentes Tiene como objetivo resolver, de la manera más rápida y eficaz posible, cualquier incidente que cause una interrupción en el servicio. A diferencia 7 de la gestión de problemas, no analiza las causas subyacentes a un determinado incidente sino que busca restaurar el servicio. Gestión de Problemas Las funciones principales son:  Investigar las causas subyacentes a toda alteración, real o potencial del servicio de TI.  Determinar posibles soluciones a las mismas.  Proponer las peticiones de cambio necesarias para restablecer la calidad del servicio.  Realizar revisiones post-implementación para asegurar que los cambios han surtido los efectos buscados sin crear problemas de carácter secundario. En el compendio de sanas prácticas COBIT v5 de la ISACA, se indica en relación a este tema: APO05 Gestionar el Portafolio Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al 8 rendimiento de programas y servicios o al cambio en las prioridades corporativas. APO05.01 Establecer la mezcla del objetivo de inversión. APO05.02 Determinar la disponibilidad y las fuentes de fondos. APO05.03 Evaluar y seleccionar los programas a financiar. APO05.04 Supervisar, optimizar e informar sobre el rendimiento del portafolio de inversiones. APO05.05 Mantener los portafolios. APO05.06 Gestionar la consecución de beneficios. APO07 Gestionar los Recursos Humanos Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. 01 Mantener la dotación de personal suficiente y adecuado. 02 Identificar personal clave de TI 03 Mantener las habilidades y competencias del personal. AP009 Gestionar los acuerdos de servicio Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento. APO09.01 Identificar servicios TI. APO09.02 Catalogar servicios basados en TI. APO09.03 Definir y preparar acuerdos de servicio. APO09.04 Supervisar e informar de los niveles de servicio. 9 APO09.05 Revisar acuerdos de servicio y contratos. BAI04 Gestionar la Disponibilidad y la Capacidad Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados. BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y crear una línea de referencia. BAI04.02 Evaluar el impacto en el negocio. BAI04.03 Planificar requisitos de servicio nuevos o modificados. BAI04.04 Supervisar y revisar la disponibilidad y la capacidad. BAI04.05 Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. BAI06 Gestionar los Cambios Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación. BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio. BAI06.02 Gestionar cambios de emergencia. BAI06.03 Hacer seguimiento e informar de cambios de estado. BAI06.04 Cerrar y documentar los cambios. 10 DSS02 Gestionar peticiones e incidentes de servicio Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes. DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio. DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes. DSS02.03 Verificar, aprobar y resolver peticiones de servicio. DSS02.04 Investigar, diagnosticar y localizar incidentes. DSS02.05 Resolver y recuperarse de incidentes. DSS02.06 Cerrar peticiones de servicio e incidentes. DSS02.07 Seguir el estado y emitir informes. DSS03 Gestionar problemas Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora. DSS03.01 Identificar y clasificar problemas. DSS03.02 Investigar y diagnosticar problemas. DSS03.03 Levantar errores conocidos. DSS03.04 Resolver y cerrar problemas. DSS03.05 Realizar una gestión de problemas proactiva. 1.5 Metodología La evaluación corresponde a una auditoría de naturaleza operativa, específicamente sobre tecnologías de información. 11 Para la ejecución del trabajo de auditoría, se realizaron entrevistas con las personas relacionadas al tema y se aplicaron cuestionarios de control interno y sanas prácticas al personal, así como la revisión de documentación relacionada e información almacenada en sistemas de información. En los casos en los cuales se encontraron grandes cantidades de información en los sistemas automatizados, se revisaron muestras para identificar aspectos susceptibles de mejora. Debido a la naturaleza investigativa y demostrativa de la auditoría, la evaluación es totalmente cuantitativa, a fin que se disponga de la evidencia suficiente que respalde los hallazgos identificados. 12 CAPÍTULO II. PLANIFICACIÓN Y PLANTEAMIENTO DE PRUEBAS 2.1 Introducción En este capítulo se detalla la revisión realizada a la información obtenida sobre el proceso por evaluar, su estructura organizativa, recursos de que dispone, así como una evaluación general del sistema de control interno, con el propósito de enfocar la evaluación a las áreas de mayor riesgo. 13 2.2 Comunicación de inicio de la Auditoría 03 de diciembre del 2014 Señor Director Tecnologías de Información y Comunicación Estimado señor: Como es de su conocimiento, estaré realizando una auditoría para optar por el título de Máster en Auditoría de Tecnología de Información, en relación con la "Evaluación de la gestión del servicio de mesa de ayuda para tecnologías de información". Se contará con los objetivos, alcance y criterios de evaluación que ya fueron acordados oportunamente con su persona. En la eventualidad que surjan otros criterios de evaluación, se estará comunicando oportunamente por el medio que se estime pertinente. En virtud de lo anterior, mucho le agradeceré informar sobre el particular a quienes corresponda, a fin que me facilite su oportuna y debida colaboración para cumplir satisfactoriamente con dicho trabajo. Atentamente, MSc. Alicia Sancho Brenes Auditora Tecnología de Información 14 2.3 Programa de Trabajo Tabla # 1 P-01 Programa de Trabajo de Planificación Objetivos de la etapa de planificación:  Adquirir un conocimiento general del área auditada.  Establecer los criterios que servirán de base para la evaluación.  Determinar el ambiente de control interno del área, en lo que respecta al objeto del estudio de auditoría.  Identificar los principales riesgos y controles asociados del área auditada.  Establecer el tipo y alcance de las pruebas que se llevarán a cabo en la siguiente etapa.  Determinar si los objetivos y alcances establecidos están orientados hacia los riesgos más vulnerables. Tiempo Asignado: Total: 400 horas. Etapa de planificación: 110 horas Fecha de inicio: 08 de diciembre del 2014 N° Procedimientos de Auditoría Tiempo Referencia RT 1. Indague sobre la estructura, recursos humanos, tecnológicos y financieros asignados al proceso por auditar, a efecto de tener un conocimiento general del área objeto 16h P-02-01 15 de estudio. 2. Aplique un cuestionario a la jefatura o jefaturas del proceso para evaluar el ambiente de control interno, así como conocer las acciones que realiza la oficina para el mejoramiento del control interno. 32h P-02-02 3. Determine los riesgos asociados al área bajo estudio y aplique un cuestionario para determinar la atención de las mejores prácticas vigentes en la materia, con el propósito de conocer la suficiencia y pertinencia de los controles que se han establecido para minimizar dichos riesgos. 32h P-02-03 4. Analice los tipos de pruebas sugeridas para aplicar según los resultados del nivel de riesgo significante, con el propósito de establecer su pertinencia y el detalle de las pruebas a efectuar. 20h P-02-04 Fuente: Desarrollo propio. 16 2.4 Procedimientos de Conocimiento del Área P-02-01 REGISTRO DE TRABAJO ASUNTO: Revisión de la estructura organizativa y recursos disponibles para el servicio de mesa de ayuda. PROCEDIMIENTO RELACIONADO: 1. Indague sobre la estructura, recursos humanos, tecnológicos y financieros asignados al proceso por auditar, a efecto de tener un conocimiento general del área objeto de estudio. ------------------------------------------------------------------------------------------------------- DETALLE: Con el propósito de cumplir lo indicado en el procedimiento N° 1 del programa de trabajo, se procede a indagar sobre la estructura organizativa del área y recursos asociados, encontrándose lo siguiente: Personal: El proceso de mesa de ayuda se realiza en la Sección de Gestión que cuenta con una jefatura y 5 operarios bajo un mismo nivel jerárquico, los cuales se encuentran distribuidos en roles para atención de llamadas y atención por medio de correo electrónico, con el fin de contar con personal disponible en todo momento durante el horario laboral. Además, se cuenta con una persona encargada de dar soporte y mantenimiento a la herramienta automatizada. Cabe indicar que este es el primer nivel de atención, cuando un incidente o solicitud no puede ser resuelto fácilmente se escala a un segundo nivel, que corresponde con las secciones especializadas de Telemática, Sistemas de Información o Soporte Técnico. Las secciones de Telemática y Soporte Técnico cuentan con un jefe de sección, personal profesional y personal técnico, este último es el que en primera instancia atiende las solicitudes que vienen de la 17 mesa de ayuda, excepto que de antemano se identifique como un problema. La sección de Sistemas de Información, sólo cuenta con personal profesional, además de la jefatura y cada uno tiene asignado la atención de uno o más sistemas. Adicionalmente, en cada regional se atienden solicitudes e incidentes, en un primer nivel y para los casos especializados, generalmente se escalan a San José para su atención. Recursos tecnológicos: Se dispone de una herramienta (paquete comprado y posteriormente parametrizado), para el registro y seguimiento de solicitudes hasta su cierre, la cual incluye un módulo para el registro de solicitudes y quejas, y otro módulo de estadística para obtener información, como solicitudes atendidas por operador, descolgadas por operador, duración de llamadas, entre otros. Recursos financieros: se indicó que no se cuenta con una partida presupuestaria específica, a parte del correspondiente a los salarios del personal respectivo. Los avances tecnológicos se han obtenido por medio de excedentes o recursos sin usar de otras áreas. Sobre el proceso: Señalan que desde el inicio del proyecto hasta los años anteriores, se han enfocado en ampliar el servicio que inició con la atención de solicitudes de telemática, posteriormente de soporte técnico. Para este año, se enfocarán en el establecimiento de lineamientos para la atención de solicitudes, estandarización y métricas para el monitoreo respectivo. Conclusión: Se determinó que se cuenta con una estructura jerárquica definida, no se tienen recursos financieros propios, se dispone de una herramienta 18 automatizada para el registro de solicitudes y generación de estadísticas. Se está trabajando en el establecimiento de lineamientos, estandarización y métricas para el monitoreo del proceso. 19 P-02-02 REGISTRO DE TRABAJO ASUNTO: Indagar sobre aspectos del control interno del área bajo estudio. PROCEDIMIENTO RELACIONADO: 2. Aplique un cuestionario a la jefatura o jefaturas del proceso para evaluar el ambiente de control interno, así como conocer las acciones que realiza la oficina para el mejoramiento del control interno. ------------------------------------------------------------------------------------------------------- DETALLE: Con el propósito de cumplir con lo indicado en el procedimiento N° 2 del programa de trabajo, se realizan entrevistas con las jefaturas relacionadas al servicio de mesa de ayuda, a quiénes se les aplicó un cuestionario y se denotan los comentarios adicionales que aportaron y que se consideraron relevantes para el estudio, lo cual se presenta a continuación: Tabla # 2 Cuestionario Control Interno CONSULTAS MESA DE AYUDA RESPUESTAS EJE CUC IÓN S Í NO N/A OBSERVACIONES Gestión de Eventos 1 ¿Se monitorea la capacidad de almacenamiento y procesamiento de los equipos? X x ¿Hay una persona formalmente asignada? X ¿Se ha definido la frecuencia de monitoreo? x ¿Queda evidencia de la ejecución de esta labor? En ocasiones 2 ¿Se monitorea los anchos de banda de los enlaces de comunicación? X x ¿Hay una persona formalmente asignada? X ¿Se ha definido la frecuencia de monitoreo? x ¿Queda evidencia de la ejecución de esta labor? x 20 3 ¿Se monitorean las condiciones ambientales de operación de los equipos? X ¿Hay una persona formalmente asignada? X ¿Se ha definido la frecuencia de monitoreo? x ¿Queda evidencia de la ejecución de esta labor? x 4 ¿Se monitorea la actividad anormal de servicios? X x ¿Hay una persona formalmente asignada? X ¿Se ha definido la frecuencia de monitoreo? x ¿Queda evidencia de la ejecución de esta labor? x 5 ¿Se clasifican de eventos de acuerdo con las reglas del negocio? x x 6 ¿Se documentan los eventos? x Se atienden de inmediato y no se reporta x 7 ¿Se documentan las soluciones? x x 8 ¿Se cierran los eventos? x x 9 ¿Se llevan métricas de los eventos para la toma de decisiones? x x Gestión de Peticiones 10 ¿Se brindan menús de selección para el usuario? x 11 ¿Se brindan opciones de auto-ayuda? x 12 ¿Se registran las peticiones? X x ¿Hay una persona formalmente asignada? X 13 ¿Hay una clasificación de los tipos de peticiones? X x 14 ¿Se priorizan las peticiones? X x ¿Hay una persona formalmente asignada? X 15 ¿Se da un proceso de resolución y aprobación de las peticiones? X ¿Hay una persona formalmente asignada? X ¿Queda evidencia de la ejecución de esta labor? X 16 ¿Se escalan en caso de requerirse? X x ¿Hay una persona formalmente asignada? X ¿Queda evidencia de la ejecución de esta labor? X 17 ¿Se da un cierre de peticiones? X x 18 ¿Se llevan métricas por tipo? x x 19 ¿Hay un catalogo de servicios? x x 20 ¿Hay una gestión estándar de servicios? x x ¿Se han definido procedimientos para esta gestión? x 21 ¿Hay un punto único de contacto? x x Gestión de Incidentes 21 22 ¿Se cuenta con modelos de incidencias estándar? x 23 ¿Se tienen acuerdos de servicio con los usuarios (SLA)? x x ¿Se tienen documentados formalmente? x 24 ¿Se tienen clasificados los tipos de incidentes que se pueden presentar? x x 25 ¿Se registran los incidentes que ocurren? X x ¿Hay una persona formalmente asignada? X 26 ¿Se categorizan los incidentes? x x 27 ¿Se priorizan los incidentes? X x ¿Hay una persona formalmente asignada? X 28 ¿Se investiga, diagnóstica y localizan los incidentes? X x ¿Queda evidencia de la ejecución de esta labor? x 29 ¿Se escalan los incidentes que no se pueden resolver o vencen el SLA? X x ¿Hay una persona formalmente asignada? X 30 ¿Se informa de los incidentes de prioridad alta a las instancias superiores? x ¿Hay una persona formalmente asignada? x 31 ¿Se cierra debidamente el incidente una vez resuelto? X A veces no se da oportunamente x 32 ¿Se verifica que cuenta con la documentación completa y actualización de diagnóstico? x ¿Hay una persona formalmente asignada? x 33 ¿Se realiza una encuesta de satisfacción del usuario? X x 34 ¿Se llevan métricas de los incidentes? x Se llevan estadísticas x 35 ¿Se informa de las métricas de los incidentes? x Gestión de Problemas 35 ¿Se cuenta con modelos de problemas? x 36 ¿Se registran los problemas con detalle? X x ¿Hay una persona formalmente asignada? X 37 ¿Se categorizan los problemas? x x ¿Hay una sola persona formalmente asignada? x 38 ¿Se priorizan los problemas? X x ¿Hay una persona formalmente asignada? X 39 ¿Se investigan y diagnostican los problemas? X x ¿Queda evidencia de la ejecución de esta labor? x 40 ¿Se cierran los problemas? X x 22 41 ¿Se realiza una revisión para obtener lecciones aprendidas, establecer responsabilidades u otros? X x ¿Hay una persona formalmente asignada? x ¿Se documentan los resultados de esta labor? x 42 ¿Se llevan métricas de los problemas presentados? x x Fuente: Desarrollo propio. Análisis y Conclusiones del Ambiente de Control Interno: De la información recopilada se determinó con relación al control interno que hay aspectos por mejorar en cuanto a la estructura organizativa ya que los entrevistados consideran que no facilita la coordinación y el logro de los objetivos, además, se denota una carencia en lineamientos y procedimientos que establezcan con claridad lo que se debe realizar. Se identificó la necesidad de fortalecer la supervisión y seguimiento, con el establecimiento de indicadores y metas, así como informes o reportes gerenciales que permitan una toma de decisiones oportunas y acertadas. Adicionalmente, se evidenció la importancia de fortalecer los sistemas de información principalmente debido a la diversidad de marcas en los equipos que conforman la infraestructura. Finalmente, se identificó que el control interno es más fuerte en unas secciones que en otras, lo que denota una independencia en la forma de dirección entre ellas. 23 2.5 Identificación de Riesgos y Controles P-02-03 REGISTRO DE TRABAJO ASUNTO: Identificación y análisis de riesgos y controles. PROCEDIMIENTO RELACIONADO: 3. Determine los riesgos asociados al área bajo estudio y aplique un cuestionario para determinar la atención de las mejores prácticas vigentes en la materia, con el propósito de conocer la suficiencia y pertinencia de los controles que se han establecido para minimizar dichos riesgos. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 3 del programa de trabajo, se procede a indagar sobre los riesgos asociados al área bajo estudio y los controles existentes que mitiguen esos riesgos, encontrándose lo siguiente: 1. Dentro de los riesgos asociados a la mesa de ayuda se encuentran los siguientes:  Degradación o Interrupción de los servicios.  Ineficacia del proceso de registro y atención de incidentes y problemas. Como consecuencia se encuentran la pérdida económica y de imagen por los servicios que no se pudieron brindar, así como el retraso para el cumplimiento de las responsabilidades adquiridas. 2. Se procede a verificar la identificación y tratamiento que la administración ha dado a los riesgos de la mesa de ayuda, consultando la herramienta del 24 SEVRI (Sistema Específico de Valoración de Riesgos): Para el riesgo de "Degradación o interrupción del servicio", se identifica lo siguiente: Tabla # 3 Análisis de Riesgo Fuentes Efectos Alarma activación riesgo  Falta de hardware  Falta de software  Error Humano  Fallas en seguridad física y/o lógica  Uso indebido y/o excesivo de los servicios  Baja capacidad o falla de alguno de los componentes que facultan la prestación de los servicios.  Cambio de políticas Institucionales  Incendios, inundaciones, terremotos y demás accidentes o eventos naturales  Falla en las  Interrupción del servicio que prestan las oficinas a sus usuarios  Retraso en los procesos.  Disminución del flujo de la información a la que se le da acceso por estos servicios.  Insatisfacción de los usuarios internos y externos  Subutilización de recursos humanos y materiales  Lentitud en el acceso a páginas en internet  Correos que llegan con retraso o no llegan.  Incremento inusual en las colas de envío de los servidores de correo.  Incremento en los reportes de los usuarios.  Colapso de los servicios.  Discontinuidad en uno o varios servicios.  Alertas generadas por los protocolos 25 comunicaciones  Equipo generando exceso de tráfico en la red  Falta o falla de UPS y/o planta eléctrica de monitoreo de los equipos Fuente: Área de Tecnología de Información. Tabla # 4 Valoración del Riesgos Probabilidad Ocurrencia (Po) Impacto (I) Nivel Riesgo Inherente (Po x I) Justificación (Probabilidad e impacto) 20 5 100 Probabilidad: Se cuenta con mecanismos que limitan la degradación en estos servicios, no obstante se depende de otras variables externas, tal como los proveedores de servicio, entre otros, que podrían incidir en el servicio. Impacto: La Interrupción de uno o más servicios que prestan las oficinas a sus usuarios puede causar un retraso en las operaciones, provocando una disminución en el flujo de información a la que se le da acceso 26 por parte de los usuarios internos y externos, causando gran insatisfacción es estos. Fuente: Área de Tecnología de Información. Tabla # 5 Valores utilizados para Probabilidad e impacto Probabilidad Impacto Muy Probable 90% Muy Alto 5 Bastante Probable 70% Alto 4 Probable 50% Moderado 3 Poco Probable 30% Bajo 2 Improbable 10% Muy Bajo 1 Fuente: Área de Tecnología de Información. 3. Identificación de controles: Se revisa la identificación de controles realizada por la administración para el riesgo en cuestión: Tabla # 6 Calificación de la funcionalidad de los controles Controles Existentes Calificación Desviación Estándar Monitoreo de los Servicios 2,5 0,5 Monitoreo de Servidores 2 Monitoreo de enlaces a Internet 1,5 Monitoreo de la Infraestructura de 1,5 27 comunicaciones Monitoreo de condiciones ambientales de operación de los equipos 2,5 Fuente: Área de Tecnología de Información. Para calificar la funcionalidad, se utilizó la siguiente puntuación: 1: funciona; 2: funciona parcialmente; 3: no funciona o no existe. Tabla # 7 Evaluación del Riesgos por la Administración Priori dad Nivel riesgo inherente (P x I) Funcionalidad de los controles actuales Nivel de riesgo residual Justificación prioridad Result ado evalua ción 2 100 2 200 Se cuenta con mecanismos que limitan la degradación en estos servicios, no obstante se depende de otras variables externas, tal como los proveedores de servicio, entre otros, que podrían incidir en el servicio. Admini strar Fuente: Área de Tecnología de Información. 28 4. Aplicación de Cuestionario Sanas Prácticas Considerando que esta auditoría identificó una cantidad mayor de riesgos asociados al área, se elaboró y aplicó un cuestionario que contiene sanas prácticas recomendadas para la mesa de ayuda, a fin de identificar el apego de la administración, de lo cual se obtuvo el archivo adjunto: Tabla # 8 Cuestionario de Controles 29 Fuente: Desarrollo Propio. 30 P-02-04 REGISTRO DE TRABAJO ASUNTO: Definición de pruebas a aplicar en la etapa de ejecución. PROCEDIMIENTO RELACIONADO: 4. Analice los tipos de pruebas sugeridas para aplicar según los resultados del nivel de riesgo significante, con el propósito de establecer su pertinencia y el detalle de las pruebas a efectuar. ---------------------------------------------------------------------------------------------------- Con el propósito de cumplir con lo indicado en el procedimiento N° 4 del programa de trabajo, se revisa el cuestionario de controles y se eligen los aspectos que se desean profundizar en la etapa de Ejecución, de lo cual surge lo siguiente: Tabla # 9 Asociación de Controles y Pruebas por aplicar Riesgo Control Prueba Tipo Degradación o Interrupción de servicios Monitoreo de capacidades de infraestructura Revisar actividades de monitoreo. Cumplimiento Degradación o Interrupción de servicios Registro y atención de incidentes y problemas Revisar el proceso de atención de solicitudes de usuario. Cumplimiento Degradación o Interrupción de servicios Atención de problemas Analizar el proceso de identificación de problemas, tendencias y comportamientos Cumplimiento 31 anómalos. Ineficacia del proceso Atención de eventos e incidentes Averiguar sobre métricas e indicadores de desempeño y calidad del servicio Cumplimiento Ineficacia del proceso Revisar los medios de recepción y registro de solicitudes. Cumplimiento Degradación o Interrupción de servicios Analizar el catálogo de servicios y acuerdos con los usuarios. Ineficacia del proceso Comparar reportes, soluciones y lecciones aprendidas contra la documentación del sistema y base de conocimiento. Cumplimiento Fuente: Desarrollo propio. Conclusiones: Se concluye que las pruebas a aplicar en la Etapa de Ejecución son las indicadas en el cuadro anterior, a las cuales se les ajustará la redacción para cumplir con el formato designado. 32 2.6 Programa de Trabajo- Etapa de Ejecución Tabla # 10 E-01 Programa de Trabajo de Ejecución Objetivos de la etapa:  Determinar la efectividad de los controles.  Identificar las áreas expuestas al riesgo. Tiempo Asignado: Total: 400 horas. Etapa de planificación: 110 horas Etapa de Ejecución: 210 horas Etapa Comunicación Resultados: 80 horas Fecha de inicio: 13 de enero del 2015 N° Procedimientos Tiempo Referencia RT 1. Revise las actividades de monitoreo para determinar su completitud e identificación de eventos. 40 hrs E-02-01 2. Revise una muestra aleatoria de solicitudes que ingresan a la mesa de ayuda con el propósito de determinar los niveles de atención, escalamiento y estandarización, para determinar su pertinencia. 40 hrs E-02-02 3. Indague y analice el proceso de identificación de problemas, tendencias y comportamientos anómalos, para determinar su pertinencia y atención. 32 hrs E-02-03 4. Indague sobre el establecimiento de 32 hrs E-02-04 33 métricas e indicadores de desempeño y calidad del servicio, así como el proceso de toma de decisiones, incorporación de mejoras y comunicación a instancias superiores, a fin de verificar la mejora continua del proceso. 5. Indague sobre solicitudes que ingresan por fuera de la mesa de ayuda, con el propósito de determinar su ocurrencia y causas. 16 hrs E-02-05 6. Analice el catálogo de servicios y acuerdos con los usuarios, para determinar el nivel de entendimiento de las necesidades del usuario y su cumplimiento. 16 hrs E-02-06 7. Compare los reportes, soluciones y lecciones aprendidas de los casos contra la documentación del sistema y de la base de conocimiento, para determinar su adecuado registro y facilidad de consulta. 24 hrs E-02-07 Fuente: Desarrollo propio. 34 CAPÍTULO III. APLICACIÓN DE PRUEBAS Y ANÁLISIS DE RESULTADOS 3.1 Introducción En este capítulo se detallan los resultados de la aplicación de las pruebas de cumplimiento y sustantivas identificadas en el capitulo anterior, cuyos resultados se contrastarán con lo indicado por los criterios de evaluación, identificando los aspectos susceptibles de mejora y las razones por las cuales se presentan, con el propósito de proponer recomendaciones para la mejora del proceso. 35 3.2 Aplicación de Pruebas E-02-01 REGISTRO DE TRABAJO OBJETIVO: Revisar la pertinencia de las actividades de monitoreo realizadas por el Área de Tecnología de Información, en relación con los eventos que pueden producir incidentes o problemas en el desempeño de los servicios. CRITERIO:  Normas Técnicas de TI de la Contraloría General de la República: 4.2 Administración y operación de la plataforma tecnológica.  COBIT v5: BAI04 Gestión de la Disponibilidad y Capacidad.  ITIL v3: Gestión de Eventos. PROCEDIMIENTO RELACIONADO: 1. Indague sobre las actividades de monitoreo para determinar su completitud e identificación de eventos. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 1 del programa de trabajo de ejecución, se revisan las actividades de monitoreo que realiza la administración, estableciéndose lo siguiente: De acuerdo con el SEVRI del área de Tecnología de Información se realizan las siguientes actividades de monitoreo sobre la infraestructura tecnológica:  Monitoreo de Servicios Se revisa periódicamente el servicio de correo electrónico, en caso de presentarse situaciones anómalas como mensajes de tamaño excesivo o con destinatarios masivos, se comunica al jefe inmediato de empleado y en 36 caso reincidente se le suspende el servicio. No se tiene una frecuencia definida ni se deja constancia de la labor. Esto se realiza en la Sección de Soporte Técnico.  Monitoreo de Servidores Se tienen seleccionados los servidores de servicios más críticos, para conocer en el menor tiempo posible si se presenta alguna situación perjudicial. Aunque la herramienta de monitoreo permite supervisar todos los servidores, sólo se cuenta con 2 profesionales por lo que es muy difícil verificar el funcionamiento de la totalidad y se prefiere redirigir los esfuerzos a las áreas más críticas. Esta auditoría visitó la sala donde se realiza la actividad, a cargo de la Sección de Seguridad y monitoreo, determinando que hay varios servidores cuya capacidad de almacenamiento supera el 70% de línea de base definida por la administración, por lo que la herramienta los identifica de color rojo, dificultando determinar cuando hay un nuevo elemento en este color. Al consultar la justificación, señalan que es porque en estos servidores también se almacena datos de respaldos, debido a que se carece de suficiente espacio de almacenamiento. A continuación se presenta un reporte de los servidores que sobrepasan la línea base del 70% definido por la administración: 37 Figura #1 Servidores de Datos con ocupación mayor al 70% Fuente: Área de Tecnología de Información.  Monitoreo de Enlaces de Internet Se verifica que los enlaces con Internet estén activos y el porcentaje de ancho de banda utilizado. No se tiene una frecuencia definida ni se deja constancia de la labor. Esta labor la realiza la Sección de Telemática.  Monitoreo de la Infraestructura de comunicaciones Se verifica el estado de los enlaces de comunicación principales, que comprende enlaces entre sucursales, para verificar su funcionamiento y porcentaje de ancho de banda utilizado. No se tiene una frecuencia definida, ni se deja constancia de la labor. Esta labor la realiza la Sección de Telemática. 38 Figura #2 Ejemplo de Flujo de Tráfico de Red Fuente: Área de Tecnología de Información.  Monitoreo de condiciones ambientales de operación de los equipos Se verificó que en la sala de servidores hay dispositivos que indican el grado de temperatura de la sala. Se desconoce cada cuanto se revisa el estado, señalan que se consulta principalmente cuando se siente una diferencia en la temperatura. Conclusión Se identificaron aspectos susceptibles de mejora en cuanto a la disponibilidad de espacio de almacenamiento, lo cual dificulta identificar servidores con problemas. En general no se encontraron lineamientos o procedimientos que regulen la labor de monitoreo, se observa que esté repartida entre varias secciones, no se tiene una frecuencia definida, ni se deja constancia de la labor. No se encontró un registro de eventos o las fallas presentadas, así como de los tiempos de inactividad de los servicios. 39 E-02-02 REGISTRO DE TRABAJO OBJETIVO: Analizar el tratamiento que el Área de Tecnología de Información da a las solicitudes recibidas mediante la mesa de ayuda, con respecto a su clasificación, priorización y resolución. CRITERIO:  COBIT v5: APO07 Gestionar los Recursos Humanos. 01 Mantener la dotación de personal suficiente y adecuado. 03 Mantener las habilidades y competencias del personal.  DSS02 Gestionar peticiones e incidentes de servicio. 01 Definir esquemas de clasificación de incidentes y peticiones de servicio. 02 Registrar, clasificar y priorizar peticiones e incidentes. 06 Cerrar peticiones de servicio e incidentes. 07 Seguir el estado y emitir informes.  DSS03.01 Identificar y clasificar problemas.  ITIL v3: Gestión de Incidentes. PROCEDIMIENTO RELACIONADO: 2. Revise una muestra aleatoria de solicitudes que ingresan a la mesa de ayuda con el propósito de determinar los niveles de atención y escalamiento, para determinar su pertinencia. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 2 del programa de trabajo de ejecución, se procede a analizar la información obtenida mediante una muestra de solicitudes ingresadas a la mesa de ayuda, encontrándose lo siguiente: Atención de solicitudes: La atención de solicitudes por parte de la mesa de ayuda es muy básica, se da una atención primaria que resulta en el escalamiento al área 40 especializada para el 85% de los casos. Se identificó que en ocasiones se escalan incidentes a áreas equivocadas, porque se desconoce el área responsable de su solución. Figura #3 Solicitudes Resueltas en Nivel 1 Enero - Septiembre 2014 Fuente: Área de Tecnología de Información Se consultó sobre las razones y personal indica que no han recibido capacitación para conocer con mayor detalle los servicios que se brindan, así como para profundizar los conocimientos en algunas áreas especializadas. La jefatura a cargo de este servicio comenta que se atienden las solicitudes empíricamente hasta donde los conocimientos y el caso particular de servicio lo permitan. 41 Se identifica que ingresan solicitudes de asignación de permisos, los cuales evidencian que algunos sistemas mantienen dependencia con el área técnica para su administración. Escalamiento: Una vez que la solicitud es remitida al área de especialización, la solicitud ingresa como cualquier otra labor del personal, por cuanto no se tiene definidas medidas de priorización de solicitudes, tampoco se tienen clasificadas las solicitudes ni hay áreas de especialización del personal, a fin de distribuir las cargas de trabajo de la forma más equitativa posible. De acuerdo con lo indicado por la jefatura de la mesa de servicio, el tema se ha discutido a nivel de jefaturas de sección del Área de TI, sin embargo, no se ha logrado un consenso entre secciones sobre lo que debe o no, ser prioritario. Para el control de atención de las solicitudes, es el jefe del área quién monitorea cada cierto tiempo para verificar que las solicitudes se van atendiendo. Para la unidad de soporte técnico se indicó que no se tiene un control de si las solicitudes al finalizar, son cerradas en el sistema de mesa de ayuda, mientras que la unidad de telemática indica que sí se cierran las solicitudes pero en ocasiones se tardan días porque no hay tiempo para hacerlo de forma inmediata, máxime que en la mayoría de los casos se atienden en la oficina del usuario, lejos del acceso al sistema. También se identificó que hay información incorrecta o desactualizada, por ejemplo, hay fechas de cierre anteriores a las fechas de inicio. Finalmente, cuando un problema tarda más tiempo del esperado o deseado, no hay planes alternos para brindar continuidad del servicio, sino que se le pide al usuario paciencia hasta encontrar la solución. Hay planes de 42 contingencia que consisten básicamente en cambiar componentes o solicitar la asesoría de expertos. Coordinación: No se identificó una figura de autoridad o lineamientos de acatamiento obligatorio para coordinar, dar seguimiento, solicitar rendición de cuentas y establecer procedimientos de mejora de todo el proceso, lo que conlleva a la integración y coordinación entre el área de mesa de ayuda y las áreas especializadas. Conclusión:  Se requiere capacitar al personal de la mesa de servicio, a fin de ampliar el porcentaje de consultas que puedan atender, para que el área especializada pueda dedicar más tiempo a actividades de mejora de servicios e investigación.  Se requiere fortalecer la coordinación y supervisar de todo el proceso, desde la mesa de ayuda hasta las áreas especializadas.  No hay control del cierre de solicitudes o se hace días después por falta de tiempo.  Se carece de planes de continuidad para los servicios.  Se requiere fortalecer algunos sistemas de información con módulos de administración, a fin que el usuario administrador del sistema se independice del área técnica. 43 E-02-03 REGISTRO DE TRABAJO OBJETIVO: Verificar el grado de análisis que realiza el Área de Tecnología de Información a los problemas que se presentan, así como a la identificación de tendencias y comportamientos anómalos. CRITERIO:  Normas Técnicas de TI de la Contraloría General de la República: 4.5 Manejo de incidentes.  COBIT v5: DSS02.07 Seguir el estado y emitir de informes.  ITIL v3: Gestión de Problemas. PROCEDIMIENTO RELACIONADO: 3. Indague sobre el proceso de identificación de problemas, tendencias y comportamientos anómalos, para determinar su pertinencia y atención. ------------------------------------------------------------------------------------------------------- Con el propósito de cumplir con lo indicado en el procedimiento N° 3 del programa de trabajo de ejecución, se indaga sobre el análisis de datos relacionados al comportamiento, encontrándose lo siguiente: En la revisión de solicitudes realizada por esta auditoría se encontró que algunos usuarios reportaron incidentes que fueron causados por la falta de atención oportuna de otros incidentes ocurridos previamente, lo cual no fue posible detectar, sino hasta que se analizó cada caso. También se encontraron casos iguales que por ser atendidos por diferentes personas dificultó identificar con oportunidad que se trataba de una tendencia o aparición de un problema mayor y por tanto se dificultó su solución. 44 Adicionalmente, el personal señaló que cuando se presentan problemas que se resuelven ampliando la capacidad de procesamiento, de almacenamiento o de ancho de banda, así como situaciones que se origina desde equipos considerados viejos, se procede a proporcionar la capacidad adicional o nueva que se requiere, porque no consideran que valga la pena invertir tiempo en analizar como reducir la demanda específica. El gerente de TIC señala que carece de personal que se dedique a labores de análisis de datos porque deben atender las solicitudes diarias que se presentan. Al consultar a las diferentes jefaturas de sección, señalan que si se realizan análisis sobre situaciones recurrentes u otros comportamientos anómalos, sin embargo, esto se ve como parte de la atención diaria, por lo que no se deja constancia de esta labor. Conclusión Esta auditoría no pudo evidenciar procesos de análisis de información que permitan prever situaciones perjudiciales o identificar comportamientos anómalos que pudieran corresponder a violaciones de los lineamientos establecidos para el uso adecuado de los recursos tecnológicos por parte del personal. 45 E-02-04 REGISTRO DE TRABAJO OBJETIVO: Verificar que el Área de Tecnología de Información dispone de métricas e indicadores sobre el desempeño del servicio para posibilitar la mejora continua del proceso. CRITERIO: COBIT v5: MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad. PROCEDIMIENTO RELACIONADO: 4. Indague sobre el establecimiento de métricas e indicadores de desempeño del servicio, así como el proceso de toma de decisiones e incorporación de mejoras, a fin de verificar la mejora continua del proceso. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 4 del programa de trabajo de ejecución, se procede a indagar sobre métricas e indicadores de desempeño del servicio, encontrándose lo siguiente: Como indicadores de desempeño, indican la existencia de un reporte de estadísticas general que les permite ver la cantidad de solicitudes recibidas, atendidas y pendientes, así como los tiempos de duración para la atención, en el área de la mesa de servicio. 46 Figura #4 Reporte solicitudes por estado Enero - Septiembre 2014 Fuente: Sección Soporte Técnico Por su parte cada sección especializada tiene sus propios controles de rendimiento, en la Sección de Soporte Técnico, cada técnico lleva un listado de las solicitudes pendientes ordenadas de mayor a menor cantidad de días de atraso, en la Figura #1 se puede ver un extracto de dicho listado, ya que se suprimió información de carácter confidencial. Figura #5 Ejemplo reporte solicitudes pendientes Fuente: Sección Soporte Técnico En la Sección de Sistemas de Información se indicó que se les solicita a los líderes de proyecto un reporte mensual, por proyecto, de las actividades realizadas y pendientes de atención. Para el caso de incidentes en el funcionamiento de un sistema, la jefatura lo pasa al encargado pero lo deja 47 abierto en el correo electrónico y en cuanto recibe respuesta, lo elimina, señala que no suele pasar de un día. La jefatura de la Sección de Telemática manifiesta que periódicamente ingresa al sistema para revisar lo reportado por la mesa de servicio y su estado de atención. Se consulta si hay métricas que señalen si esos tiempos de duración son razonables, ya que hay consultas que tardan minutos mientras que otras tardan días, para lo cual indican que no, pero que se consideran razonables ya que hay solicitudes que son muy complejas como por ejemplo, las relacionadas con sistemas de información. Esta auditoría identificó un informe donde se analizaban las estadísticas del 2013 y 2014, el cual fue comunicado a la gerencia, sin embargo, no hay informes posteriores ni se logró evidenciar que se tomaran decisiones de mejora del proceso a partir de este informe. El informe contiene la cantidad de solicitudes recibidas y su estado, la cantidad de solicitudes atendidas por operador, el tipo de solicitud, solicitudes más frecuentes, entre otra información. Al respecto, el gerente del área de TIC señaló que estos informes no poseen información relevante que le faciliten la toma de decisiones para mejorar el servicio, sino, para darse por enterado. El gerente de TIC señala que carece de personal para determinar los indicadores y métricas que se requieren, ya que es una labor compleja y deben atenderse las solicitudes diarias que se presentan. 48 Por otra parte, se identificó que como parte de la atención de solicitudes no se mide el grado de satisfacción del usuario con el proceso, sin embargo, indican que han realizado encuestas de percepción, donde han salido muy bien calificados. Al respecto proporcionaron la siguiente encuesta: Datos de la encuesta: La encuesta se aplicó de junio a noviembre del 2014. En la siguiente tabla se muestran los lugares en que se aplicó y el porcentaje de respuestas. Tabla # 11 Muestra utilizada en la Encuesta Lugar Cantidad Encuestas No responde encuesta Cantidad personal % Encuestados San José 154 18 4950 20,8 Heredia 59 1 470 12,55 Alajuela 53 1 553 9,58 San Ramón 34 4 143 23,78 San Carlos 52 0 197 26,4 Grecia 21 2 83 25,3 Limón 49 0 543 9,02 Pococí 50 0 140 35,71 Cartago 57 3 459 12,42 Turrialba 24 1 99 24,24 TOTAL 553 30 7637 7,24 Fuente: Área de Tecnología de Información. Las encuestas fueron aplicadas tanto de forma personal como por teléfono o correo electrónico. La población de la encuesta es 7637 funcionarios, por lo que la muestra seleccionada representa un 7.25 % de la población. 49 A continuación se presentan las consultas que se consideraron de mayor relevancia para el estudio: 1. ¿Qué opina del servicio que recibe al llamar a la mesa de ayuda? Los siguientes resultados es la percepción que tiene el usuario, a nivel general. Tabla # 12 Datos pregunta 1 Fuente: Área de Tecnología de Información. 2. ¿Cómo lo atiende el técnico que toma el reporte por teléfono? Esta pregunta es para evaluar el trato de los operadores con los usuarios, a continuación se muestra la tabla con los resultados: 50 Tabla # 13 Datos pregunta 2 Fuente: Área de Tecnología de Información. 3. ¿Tratan de resolver el problema dándole indicaciones por teléfono? La tercera pregunta valora a los operadores, sobre la intensión de solucionar los casos al recibir la llamada (nivel 1). Tabla # 14 Datos pregunta 3 Fuente: Área de Tecnología de Información. 4. ¿Cuándo llama encuentra la línea disponible? Con esta pregunta se quiere conocer el grado de inmediatez para acceder al servicio: 51 Tabla # 15 Datos pregunta 4 Fuente: Área de Tecnología de Información. Al respecto, la encuesta señala las siguientes conclusiones: La percepción del usuario sobre el servicio tecnológico es buena en general, y se tiene una opinión generalizada que la atención es muy buena, pero generalmente aluden a los tiempos de respuesta, como un aspecto no satisfactorio. El usuario visualiza el servicio del Área de TI como un todo, aunque tiene claridad entre la función que realizan los operadores de la mesa de servicio y los técnicos de campo de las áreas especializadas, de ahí se puede determinar la satisfacción con el servicio que reciben de los operadores. Conclusión: Se carece de métricas que permitan determinar la calidad y oportunidad del servicio, así como, indicadores de desempeño que permitan identificar áreas susceptibles de mejora del proceso. 52 E-02-05 REGISTRO DE TRABAJO OBJETIVO: Verificar que todas las solicitudes de servicio que ingresan al Área de Tecnología de Información, se realicen por medio de la mesa de ayuda. CRITERIO:  COBIT V5: DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes.  ITIL v3: Gestión de Peticiones. PROCEDIMIENTO RELACIONADO: 5. Indague sobre solicitudes que ingresan por fuera del sistema, con el propósito de determinar su ocurrencia y causas. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 5 del programa de trabajo de ejecución, se indaga sobre la existencia de solicitudes que pudieran ingresar por fuera del sistema de mesa de servicio, encontrándose lo siguiente: De la indagación realizada se tuvo conocimiento que altos funcionarios de la organización realizan consultas de forma directa a las áreas especializadas o a la gerencia de TIC, por un asunto de status y cultura. Al respecto, el gerente de TIC señala que él prefiere que sea así, porque de este modo se asegura que la solicitud sea atendida con la mayor prioridad y calidad posible para no tener problemas con sus jefaturas. También se identifican solicitudes que ingresan de forma directa a técnicos o jefes de sección, provenientes de clientes frecuentes, con relaciones de 53 amistad o por considerarse de alta prioridad, los cuales tampoco se registran en el sistema. Adicionalmente, los eventos que se identifican por medio de mecanismos de monitoreo, no son reportados a la mesa de ayuda. Al respecto indican que no ven necesario su reporte o seguimiento, ya que se atienden a lo interno como parte del día a día. Esta auditoría considera que esto dificulta la mejora del servicio, ya que las estadísticas que se emiten están sesgadas considerando que no contempla la totalidad de los incidentes que se presentan. Además, se debe ir creando la cultura que la atención debe ser la misma si la solicitud ingresa por la mesa de servicio, para lo cual se requiere definir un procedimiento de prioridad de atención de solicitudes. Esta situación ha provocado también que la alta gerencia visualice al área de TIC como un área de servicio y no como un área estratégica. Conclusión: No todas las solicitudes son atendidas y registradas mediante el sistema de la mesa de servicio, lo que provoca un sesgo en la información generada por el sistema. 54 E-02-06 REGISTRO DE TRABAJO OBJETIVO: Verificar que el Área de Tecnología de Información dispone de un catálogo de servicios y los acuerdos correspondientes con los usuarios. CRITERIO:  Normas Técnicas de la Contraloría General de la República. 4.1 Definición y administración de acuerdos de servicio.  COBIT v5: APO05. Gestionar el Portafolio. APO09 Gestionar los acuerdos de servicio. PROCEDIMIENTO RELACIONADO: 6. Analice el catálogo de servicios y acuerdos con los usuarios, para determinar el nivel de entendimiento de las necesidades del usuario y su cumplimiento. ------------------------------------------------------------------------------------------------------- Con el propósito de cumplir con lo indicado en el procedimiento N° 6 del programa de trabajo de ejecución, se indaga sobre la existencia de acuerdos de servicio, encontrándose lo siguiente: De las consultas realizadas, se determinó que no existen acuerdos con los usuarios en relación con tiempos de respuesta o calidad de los servicios que se brindan. El área de TIC señala que ellos hacen el mayor esfuerzo por resolver los incidentes que se presentan, en el mejor tiempo posible, por cuanto son concientes de la dependencia que los usuarios tienen de los recursos tecnológicos para la ejecución de sus labores, por lo que no ven necesario contar con tiempos predefinidos. Tampoco se cuenta con planes de continuidad que permitan implementar una solución alterna en caso que una solución tarde más de lo esperado. 55 Conclusión: Se carece de acuerdo de servicios con los usuarios y de planes de continuidad en caso que el servicio no se pueda re establecer en un tiempo prudencial. E-02-07 REGISTRO DE TRABAJO ASUNTO: Revisar que el Área de Tecnología de Información posee una base de conocimientos que le facilite la identificación de errores recurrentes y la resolución de los mismos. CRITERIO: COBIT v5: DSS03.03 Levantar errores conocidos. PROCEDIMIENTO RELACIONADO: 7. Compare los reportes, soluciones y lecciones aprendidas de los casos contra la documentación del sistema y la base de conocimiento, para determinar su adecuado registro y facilidad de consulta. ------------------------------------------------------------------------------------------------------ Con el propósito de cumplir con lo indicado en el procedimiento N° 7 del programa de trabajo de ejecución, se compara la información registrada en el sistema con los reportes, base de conocimiento y soluciones implementadas, encontrándose lo siguiente: La información relacionada con los reportes de incidentes se registra correctamente en el sistema, por parte del personal de la mesa de ayuda, sin embargo, se determinó que las solicitudes que se escalan a unidades especializadas, no siempre son cerradas con oportunidad una vez atendidas. 56 El equipo a cargo de la mesa de ayuda contiene un documento que hace la función de base de conocimiento, sin embargo, corresponde a un archivo de Microsoft Word, en donde es difícil ubicar una solución, debido a la falta de organización, identificándose por un título referenciado a un índice. En ocasiones, un caso puede estar relacionado con diferentes temas pero sólo se representa uno de los temas en el título, por lo que es difícil asociarlo con otros. No se han establecido los campos necesarios a documentar, por lo que, en ocasiones se limitan a una descripción somera del caso y la solución, quedando dudas de sus áreas de aplicación. Adicionalmente, se evidenció que no todas las soluciones o lecciones aprendidas se registran, ya que es utilizado solamente por el personal de la mesa de ayuda pero no por las áreas especializadas, además que se registran sólo los casos que, a criterio del personal, son más relevantes o complejos. Cabe indicar que no se dispone de un responsable que vele por el adecuado registro y clasificación. Conclusión: El documento de base de conocimiento no facilita su consulta, además de que no se registran todas las soluciones o lecciones aprendidas que genera una revisión o investigación. 57 3.3 Análisis de Resultados Se presenta a continuación el análisis de los hallazgos identificados durante la evaluación. 3.3.1 Importancia de fortalecer el monitoreo de capacidades en servidores de datos El Área de Tecnología de Información monitorea las capacidades de procesamiento y almacenamiento de los recursos tecnológicos que considera de mayor criticidad o relevancia para la organización, sin embargo, esta labor está repartida entre varias secciones, no se tiene una frecuencia definida, ni se deja constancia de la labor. Los eventos que se identifican en esta labor no son reportados ni registrados como parte del servicio de mesa de ayuda. Al respecto, se determinó que no dispone de información histórica ni reportes de comportamiento sobre la capacidad de los equipos que permitan realizar un análisis posterior, excepto cuando se quiere analizar un caso específico que se esté presentando de forma temporal. Cuando se presentan interrupciones del servicio o se detecta que un servicio está por fallar, se aplican las medidas contingentes definidas. Cabe indicar que no existen estadísticas que indiquen la frecuencia de estos fallos o los tiempos de inactividad de los servicios, además que estos eventos no son registrados en la mesa de ayuda. En relación con las líneas base, se determinó que se ha definido un 70% como límite superior de capacidad de almacenamiento de los servidores de 58 datos, sin embargo, existen equipos con porcentajes superiores en disco duro, sin que se haya tomado medidas para resolverlo. Sobre este tema, la jefatura del área a cargo de los servidores de datos manifestó que esta situación se presenta por falta de espacio de almacenamiento para los respaldos de información, para lo cual se utiliza el espacio disponible de los servidores de menor actividad. El Manual de Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), de la Contraloría General de la República, indica: "4.2 Administración y operación de la plataforma tecnológica La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas." La razón por la cual se presenta la situación de comentario, obedece a una falta de planificación en la administración de las capacidades de los equipos tecnológicos, identificándose aspectos tales como:  Desconocimiento de las necesidades reales. Se carece de acuerdos de servicio donde se establezcan las necesidades de los usuarios, cuáles son los rangos de tolerancia en la degradación del servicio, cuál es el impacto en sus labores con la interrupción del servicio; en contraposición con los recursos con que dispone la organización; a fin de obtener el mejor aprovechamiento de los recursos. 59  Ausencia de planes y lineamientos formales. Se ha realizado valiosos esfuerzos por ir definiendo aspectos relacionados con la administración de la capacidad de los equipos, como la identificación de equipos a monitorear y la definición de líneas base de capacidad; sin embargo, estas iniciativas resultan en esfuerzos aislados, por cuanto, no se han definido como lineamientos formalmente establecidos. Adicionalmente, no se han definidos responsables, planes de acción, procedimientos y reportes de resultados, que deben ejecutarse en el proceso de monitoreo y ante situaciones especiales como la presencia de una alerta. Como consecuencia de las situaciones mencionadas se pueden presentar las siguientes situaciones:  Inadecuado insumo de información para facilitar los procesos de atención de contingencias, continuidad del servicio, diagnóstico y resolución de incidentes y problemas, debido a falta de información sobre las capacidades requeridas por los equipos. Esto provoca atraso en las labores e insatisfacción del usuario por interrupciones o lentitud de un servicio.  Desaprovechamiento de recursos, tanto humanos como de la herramienta de monitoreo, por la existencia de servidores en condiciones criticas ya conocidas y no resueltas, lo que dificulta la capacidad humana de revisar y analizar la información de una cantidad mayor de sistemas, así como, identificar nuevas situaciones de riesgo.  Dificultad en la planificación de necesidades futuras y toma de decisiones oportunas, por ausencia de datos históricos y del comportamiento en la demanda de los servicios. Esto puede acarrear gastos innecesarios por la 60 compra de equipos con premura o el desaprovechamiento de los disponibles. 3.3.2 Conveniencia de fortalecer la gestión del Servicio de Mesa de Ayuda Se presenta a continuación los resultados relacionados con la gestión del servicio de mesa de ayuda: 3.3.2.1 Importancia de aumentar los incidentes que se resuelven en el primer nivel La atención de solicitudes por parte de la mesa de ayuda es muy básica, se da una atención primaria que resulta en el escalamiento al área especializada para el 85% de los casos. Se identificó que en ocasiones se escalan incidentes a áreas equivocadas, porque se desconoce el área competente para su solución. La jefatura a cargo comenta que se atienden las solicitudes hasta donde los conocimientos y el caso particular de servicio lo permitan. De acuerdo con el marco de referencia de buenas prácticas para el control de las Tecnologías de Información, COBIT, en su versión 5 indica: "APO07 Gestionar los Recursos Humanos Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. 61 APO07.01 Mantener la dotación de personal suficiente y adecuado. Evaluar las necesidades de personal en forma regular o en cambios importantes en la empresa, operativos o en los entornos para asegurar que la empresa tiene suficientes recursos humanos para apoyar las metas y objetivos empresariales. El personal incluye recursos tanto internos como externos. APO07.03 Mantener las habilidades y competencias del personal. Definir y gestionar las habilidades y competencias necesarias del personal. Verificar regularmente que el personal tenga las competencias necesarias para cumplir con sus funciones sobre la base de su educación, formación y/o experiencia y verificar que estas competencias se mantienen, con programas de capacitación y certificación en su caso. Proporcionar a los empleados aprendizaje permanente y oportunidades para mantener sus conocimientos, habilidades y competencias al nivel requerido para conseguir las metas empresariales." 3.3.2.2 Conveniencia de establecer lineamientos sobre clasificación y priorización Cada área atiende las solicitudes de acuerdo a sus criterios. Los operadores de la mesa de servicio, asignan y atienden las solicitudes según el orden de ingreso, sin embargo, en las diferentes secciones participantes no necesariamente es así, ya que, se atiende según el criterio de los técnicos a los cuales se les asigna cada solicitud. 62 De acuerdo con lo indicado por la jefatura de la mesa de servicio, el tema se ha discutido a nivel de jefaturas de sección del Área de TI, sin embargo, no se ha logrado un consenso entre secciones sobre lo que debe o no, ser prioritario El marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5, indica: “DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio. Definir esquemas y modelos de clasificación de incidentes y peticiones de servicio." "DSS03.01 Identificar y clasificar problemas. Definir e implementar criterios y procedimientos para informar de los problemas identificados, incluyendo clasificación, categorización y priorización de problemas." "DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes. Identificar, registrar y clasificar peticiones de servicio e incidentes, y asignar una prioridad según la criticidad del negocio y los acuerdos de servicio. Actividades: 1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser manejada de manera efectiva y se mantenga un registro histórico completo." 63 3.3.2.3 Necesidad de un adecuado registro de solicitudes en el sistema Existe información incorrecta o desactualizada en el sistema, por ejemplo, hay fechas de cierre anteriores a las fechas de inicio, existen solicitudes resueltas que en el sistema permanecen pendientes, entre otros; lo cual genera información y estadísticas poco confiables. Los responsables indicaron que no siempre les es posible actualizar el sistema de forma oportuna, ya que algunas solicitudes son atendidas en el lugar donde se encuentra el usuario, lejos del sistema de mesa de ayuda. Por otra parte, los operadores de la mesa de servicio reciben las solicitudes de soporte técnico, telemática y sistemas de información, mediante teléfono e intranet, y son registradas en el sistema utilizado para dichos efectos, sin embargo, se evidenció que existen solicitudes que se realizan directamente a los diferentes técnicos o Jefes de Sección que no son registradas; por lo que la información contenida en el sistema no cuenta con todas las solicitudes de servicio realizadas. Al respecto, la jefatura del Área de TI señaló que algunas de estas solicitudes vienen de la alta gerencia, las cuales deben ser atendidas con mayor prioridad y calidad, por lo que considera adecuado que no sigan el mismo procedimiento de registro del resto de solicitudes El marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5, indica: 64 "DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes. [...] Actividades: 1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser manejada de manera efectiva y se mantenga un registro histórico completo." "DSS02.06 Cerrar peticiones de servicio e incidentes. Verificar la satisfactoria resolución de incidentes y/o satisfactorio cumplimiento de peticiones, y cierre." "DSS02.07 Seguir el estado y emitir informes. Hacer seguimiento, analizar e informar de incidentes y tendencias de cumplimiento de peticiones, regularmente, para proporcionar información para la mejora continua." 3.3.2.4 Relevancia de completar y actualizar la Base de Conocimiento Para facilitar el diagnóstico y resolución de casos, los operadores de la mesa de servicio utilizan un documento denominado “Base de Conocimiento”, que contiene la información de los asuntos resueltos y lecciones aprendidas y se va actualizando conforme se presentan nuevos casos, sin embargo, las áreas especializadas del proceso no realimentan dicho documento con los casos que ellos resuelven. Por lo anterior, la Base de Conocimiento se encuentra limitada, adicionalmente, no se cuenta con un responsable para la clasificación de 65 solicitudes que permita registrarlos y ubicarlos con facilidad. El documento corresponde a un texto plano que dificulta aplicar criterios de búsqueda. De acuerdo con el marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5, indica: "DSS03.03 Levantar errores conocidos. Tan pronto como las causas raíz de los problemas se hayan identificado, crear registros de errores conocidos y una solución temporal apropiada, e identificar soluciones potenciales." 3.3.2.5 Conveniencia de analizar las solicitudes para identificar situaciones perjudiciales De acuerdo con la información a la que tuvo acceso esta auditoría, en el Área de Tecnología de Información no se realizan procesos de análisis de información formales que permitan prever situaciones perjudiciales, problemas recurrentes o identificar comportamientos anómalos que pudieran corresponder a violaciones de los lineamientos establecidos para el uso adecuado de los recursos tecnológicos por parte del personal. Al consultar a las diferentes jefaturas de sección, señalan que se realizan análisis sobre situaciones recurrentes u otros comportamientos anómalos, sin embargo, esto se ve como parte de la atención diaria, por lo que no se deja constancia de esta labor. Es criterio de esta auditoría que aunque en la atención diaria se requiere análisis, es necesaria una labor más formal para casos más complejos. 66 Al respecto, el Manual de Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), de la Contraloría General de la República, indica: "4.5 Manejo de incidentes La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario." Por su parte, el marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5, indica: “DSS02.07 Seguir el estado y emitir informes. [...] Actividades [...] "3. Analizar incidentes y peticiones de servicio por categoría y tipo para establecer tendencias e identificar patrones de asuntos recurrentes, infracciones de ANSs o ineficiencias. Utilizar la información como entrada a la planificación de la mejora continua. 3.3.2.6 Necesidad de supervisar el desempeño del servicio De acuerdo con las indagaciones realizadas se determinó que en el Área de Tecnología de Información no hay un proceso definido para evaluar el desempeño del servicio de atención de incidentes y problemas, al respecto se evidenció la carencia de los siguientes elementos: 67  Un procedimiento uniforme para el seguimiento de solicitudes por parte de las jefaturas de sección. Mientras en una de las secciones se revisa esporádicamente el estado de las solicitudes en el sistema, otra lo hace fuera del sistema junto con otras solicitudes y en otra no se revisan las solicitudes pendientes. El marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5 indica: "DSS02.07 Seguir el estado y emitir informes. Hacer seguimiento, analizar e informar de incidentes y tendencias de cumplimiento de peticiones, regularmente, para proporcionar información para la mejora continua."  Métricas que permitan calificar la eficiencia y eficacia del servicio. Se evidenció que los tiempos de resolución varían de minutos a días, sin que se cuente con criterios sobre la idoneidad de estos tiempos. Aunado al establecimiento de métricas, falta de definir indicadores de desempeño que permitan dar un seguimiento a la calidad y oportunidad del servicio. El equipo a cargo de la mesa de ayuda brinda un reporte de estadísticas, sin embargo, el gerente señala que no es información que le permita tomar decisiones para mejorar el servicio. Lo que se ha utilizado hasta el momento, para calificar el servicio es el reporte de solicitudes pendientes y la aplicación de encuestas a los usuarios, a fin de conocer su grado de satisfacción. El marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5 indica: 68 "MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos. Supervisar que los procesos se están realizando acorde al rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada."  Acuerdos de servicio con los usuarios en relación con los tiempos de respuesta o calidad de los servicios que se brindan, tampoco se cuenta con planes de continuidad que permitan implementar una solución alterna en caso que una solución tarde más de lo esperado. La jefatura del Área de TIC señaló que hacen el mayor esfuerzo por resolver los incidentes que se presentan en el mejor tiempo posible, por cuanto son concientes de la dependencia que los usuarios tienen de los recursos tecnológicos para la ejecución de sus labores, por lo que no ven necesario establecer tiempos predefinidos con los usuarios. En el manual de Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), de la Contraloría General de la República, se indica: "4.1 Definición y administración de acuerdos de servicio La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Función de TI según sus capacidades. 69 El jerarca y la Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluación del desempeño. Para ello deben: a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad. b. Contar con una determinación clara y completa de los servicios y sus atributos, y analizar su costo y beneficio. c. Definir con claridad las responsabilidades de las partes y su sujeción a las condiciones establecidas. d. Establecer los procedimientos para la formalización de los acuerdos y la incorporación de cambios en ellos. e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos. f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con terceros. Por su parte, el marco de referencia de buenas prácticas para el control de las Tecnologías de Información COBIT en su versión 5 indica: "DSS04.02 Mantener una estrategia de continuidad Evaluar las opciones de gestión de la continuidad de negocio y escoger una estrategia de continuidad viable y efectiva en coste, que pueda asegurar la continuidad y recuperación de la empresa frente a un desastre u otro incidente mayor o disrupción." 70 Como causa general de las situaciones antes descritas se identifica una inadecuada estructura organizativa que no responde a las necesidades reales del servicio que se brinda. En las áreas especializadas se encuentra personal técnico que atiende solicitudes de baja complejidad pero su ubicación provoca el escalado de las solicitudes, dificultad en la supervisión y seguimiento de solicitudes, así como el ingreso de solicitudes por fuera del sistema, esto por encontrarse en diferentes secciones. Aunado a lo anterior, la estructura organizativa ha dificultado establecer lineamientos y procedimientos estandarizados para todo el servicio, así como la definición de métricas e indicadores de gestión. Como efecto general de las situaciones comentadas, se identifica la ineficiencia del proceso, produciendo las siguientes consecuencias:  Aumento en los tiempos de atención y retraso en la labores: Debido a la poca cantidad de solicitudes que se atienden en la mesa de ayuda, se debe consumir un tiempo mayor en el escalamiento de las solicitudes, por lo que terminan siendo analizadas en al menos dos ocasiones. Esto aumenta la carga de trabajo de las áreas especializadas, dejando de atender aspectos estratégicos o de mayor impacto en solicitudes de un menor nivel, además, se pierde el objetivo de la mesa de servicio, ya que resulta un paso administrativo más. 71 Por otra parte, la ausencia de un análisis de los incidentes y problemas que se presentan, dificulta detectar tendencias inadecuadas, comportamientos anómalos que podrían estar asociada a amenazas de seguridad, el origen de problemas que podrían ser prevenidos o reducidos de forma temprana, lo que conlleva a una reducción importante de costos para la organización y reduce la ocurrencia de interrupciones o baja calidad de los servicios.  Desaprovechamiento de Recursos: El hecho que el sistema no cuente con toda la información de las solicitudes que se presentan, genera inconsistencias en las estadísticas y reportes sobre las solicitudes de servicio reportadas. Esto produce que el sistema no brinde los beneficios esperados, y con ello se pierda el potencial de la herramienta y la inversión realizada. Desaprovechamiento del tiempo de los especialistas resolviendo situaciones que ya fueron resueltas anteriormente, debido a la dificultad de consultar como se han tratado casos similares y determinar causas probables, entre otros. También se da un desaprovechamiento de los recursos, al no tener una adecuada priorización de solicitudes, que permita asignar los escasos recursos a los incidentes de mayor impacto para el usuario.  Insatisfacción de los usuarios: La falta de una atención oportuna produce la insatisfacción de los usuarios, los cuales buscan de forma directa que los especialistas les atiendan su solicitud, esto dificulta la administración del servicio y provoca que las jefaturas no puedan enfocarse en temas estratégicos de su competencia. 72  Dificultad para mejora continua del servicio: La falta de medición de los servicios, así como comparar su desempeño contra las necesidades de los usuarios, dificulta determinar las acciones que se requieren implantar para mejorar el servicio, así como determinar si estas acciones están dando el resultado esperado. La mejora continua permite un desempeño cada vez mejor del Área de TIC y un aprovechamiento mayor de los recursos tecnológicos por parte de los usuarios, en el desempeño de sus labores. 73 CAPÍTULO IV. CONCLUSIONES Y RECOMENDACIONES 4.1. Conclusiones De la evaluación realizada se obtienen las siguientes conclusiones: 1. La gestión del servicio de mesa de ayuda no satisface eficiente y eficazmente las solicitudes presentadas por los usuarios, por cuanto se evidencia debilidad en el sistema de control interno principalmente debido a que la estructura organizativa no responde a las necesidades de los usuarios. 2. Hay una ausencia de lineamientos y procedimientos formalmente establecidos que faciliten la gestión, en cuanto a la diferenciación y tratamiento que se debe dar en la atención de las diferentes solicitudes de los usuarios, como incidentes de seguridad y elevación de problemas. 3. Se carece de acuerdos de servicio que permitan identificar las necesidades reales de los usuarios, así como su tolerancia a fallas y medidas de continuidad, a fin de minimizar la afectación de las interrupciones de los servicios tecnológicos en sus labores, de acuerdo con la capacidad tecnológica institucional. 4. No se identificaron evaluaciones de medición del desempeño, seguimiento y control del servicio brindado, por medio de indicadores, métricas, estadísticas o informes de evaluación, para valorar la calidad 74 del proceso y proveer decisiones de mejora continua en el mejor aprovechamiento de los recursos institucionales. 4.2. Recomendaciones De acuerdo con los resultados obtenidos durante la evaluación, se recomiendan las siguientes acciones, al Área de Tecnología de Información y Comunicación: 1. Establecer un mecanismo que permita disponer de personal con mayor conocimiento en los servicios que se brindan, a fin de aumentar el porcentaje de incidentes que se resuelven sin necesidad de escalarlos a áreas especializadas. 2. Establecer lineamientos y enviarlos a la gerencia de Tecnología de Información y Comunicación para su aprobación y comunicación oficial, en procedimientos tales como: a. Establecer criterios de clasificación y priorización de los incidentes y problemas que se presentan en las diversas solicitudes de servicio, de acuerdo a las necesidades y requerimientos de la organización, a fin de que estas sean respetadas por todos los participantes del proceso. b. Verificar que la Base de Conocimiento sea alimentada por todos los involucrados en el proceso, para lo cual es necesario asignar un responsable de administrarla. Adicionalmente, analizar la factibilidad de implementar la Base de Conocimiento, en alguna herramienta que facilite su indexación por medio de palabras claves que permitan búsquedas rápidas y eficientes. 75 c. Realizar una campaña publicitaria continua que incentive a todo el personal, a utilizar únicamente las vías de registro autorizadas para la solicitud de servicios, independientemente del rango jerárquico del solicitante. d. Registrar en el sistema todas las solicitudes de servicio, independientemente del medio en que se obtenga; con el fin de contar con una sola fuente de información para el registro, control y seguimiento. Al respecto es importante concienciar al personal de TI a utilizar únicamente las vías de registro autorizadas, así como explicarle a los usuarios los procedimientos respectivos. e. Establecer procedimientos uniformes entre las diferentes involucrados del proceso, que permitan un adecuado control y seguimiento de las solicitudes de servicio registradas por parte de las jefaturas correspondientes. 3. Establecer indicadores de desempeño que permitan dar seguimiento a los aspectos que se consideren más críticos para tomar decisiones de mejora que aseguren razonablemente la calidad, oportunidad y eficiencia del servicio. 4. Establecer métricas que permitan calificar los resultados obtenidos en los indicadores de desempeño que se definan, a fin de determinar si las acciones de mejora que se implantan están dando el resultado esperado. 5. Definir acuerdos de servicio con los usuarios, donde se de un balance entre lo que espera y necesita el usuario, con respecto a la capacidad que tiene el área de tecnologías de información y comunicación para 76 brindarlo. 6. Desarrollar planes de continuidad que permitan ser implementados en caso de problemas complejos de resolver, a fin que el usuario sufra la menor afectación por el incidente. 7. Establecer mecanismos de análisis de datos que permitan identificar de forma temprana la ocurrencia de problemas, tendencias inapropiadas o comportamientos anómalos o no autorizados. Dejar evidencia de esta actividad. 8. Establecer lineamientos y procedimientos para el proceso de monitoreo, de modo que se establezcan los responsables de esta labor, frecuencia de la misma y reportes de resultados, estadísticas, fallas, comportamientos y tiempos de inactividad de los servicios. 9. Gestionar lo necesario, a fin que se disponga de recursos suficientes para el almacenamiento de los respaldos de información y los servidores de datos respeten las líneas bases definidas. 10. Definir acuerdos de servicio con los usuarios, con el propósito de conocer sus necesidades, cuáles son los rangos de tolerancia e impacto en las labores ante interrupciones o degradaciones del servicio, con el propósito de establecer las métricas e indicadores requeridos en el desempeño de los servicios. 77 BIBLIOGRAFÍA  Contraloría General de la República, (2007). Manual de Normas técnicas para la gestión y el control de las Tecnologías de Información. San José, Costa Rica.  Contraloría General de la República, (2004). Manual de normas para el ejercicio de la Auditoría Interna en el sector público. San José, Costa Rica.  Contraloría General de la República, (2014). Manual de normas generales de Auditoría Interna para el sector público. San José, Costa Rica.  ISACA. (2012). COBIT. versión 5. ISBN 978-1-60420-285-4, Estados Unidos.  Office of Government Commerce. (2009). ITIL. Operación del Servicio. ISBN 978-011-3311150-7, Reino Unido.