UNIVERSIDAD DE COSTA RICA SISTEMA DE ESTUDIOS DE POSGRADO GUÍA DE BUENAS PRÁCTICAS PARA LA GESTIÓN DEL DEPARTAMENTO DE TI EN EMPRESA DE VENTA DE EQUIPOS ELÉCTRICOS SEGÚN EN EL MARCO DE REFERENCIA COBIT 2019 Trabajo final de investigación aplicada, sometido a la consideración de la Comisión del Programa de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional, para optar al grado y título de Maestría Profesional en Tecnologías de Información y Comunicación para la Gestión Organizacional ESTRELLA LÓPEZ LÓPEZ Ciudad Universitaria Rodrigo Facio, Costa Rica 2024 ii DEDICATORIA Quiero dedicarle mi trabajo a Dios porque sembró en mi esa semillita de no rendirme a pesar de las tempestades, de mantenerme en pie a pesar de que había cansancio, por tomarme mi mano y no soltarla hasta que este sueño fuera posible. Por último, a mis padres, quienes me han dado grandes enseñanzas, consejos y momentos que han ido moldeando a la persona que soy hoy. iii AGRADECIMIENTOS Primeramente, agradezco a Dios por ser guía, darme la persistencia y la fuerza que necesito para lograr una meta más en mi vida. Además, agradezco a la Universidad de Costa Rica por permitirme crecer como profesional darme ese apoyo para continuar en este camino, a mi tutor Mag. Verny Fernández Castro por su tiempo, sus consejos, motivación y orientación en el desarrollo del trabajo, a los lectores M.Sc. Francisco Blanco Chavarría y M.Sc. José Paz Barahona por sus aportes en la investigación. También, estoy muy agradecida con la empresa de venta de equipos eléctricos por darme la oportunidad de llevar a cabo el trabajo de investigación en su organización. Finalmente, agradezco a mi familia por escucharme y darme su apoyo para continuar, a mi pareja por estar en cada paso motivándome. iv HOJA DE APROBACIÓN Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional de la Universidad de Costa Rica, como requisito parcial para optar el grado y título en Maestría Profesional en Tecnologías de Información y Comunicación para la Gestión Organizacional”. _____________________________________________ M.Sc. James Mcintosh Molina Representante de la Decana Sistema de Estudios de Posgrado _____________________________________________ M.Sc. Verni Fernández Castro Profesor Guía _____________________________________________ M.Sc. Francisco Blanco Chavarría Lector _____________________________________________ M.Sc. José Paz Barahona Lector ___________________________________________ M.Sc. Yorleny Salas Araya Directora programa de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional ___________________________________________ Estrella López López Sustentante v TABLA DE CONTENIDO DEDICATORIA ............................................................................................................................ ii AGRADECIMIENTOS ................................................................................................................ iii HOJA DE APROBACIÓN ........................................................................................................... iv RESUMEN EN ESPAÑOL ........................................................................................................ viii ABSTRACT .................................................................................................................................. ix LISTA DE CUADROS .................................................................................................................. x LISTA DE TABLAS .................................................................................................................... xi LISTA DE FIGURAS .................................................................................................................. xii LISTA ABREVIATURAS ......................................................................................................... xiii LICENCIA DE PUBLICACIÓN ................................................................................................ xiv 1. PRIMER CAPÍTULO: INTRODUCCIÓN ................................................................................ 1 1.1. Problema.......................................................................................................................... 1 1.2. Justificación ..................................................................................................................... 4 1.3. Antecedentes ................................................................................................................... 5 1.4. Objetivos ......................................................................................................................... 8 1.4.1. Objetivo General ....................................................................................................................... 8 1.4.2. Objetivos Específicos ................................................................................................................ 8 2. SEGUNDO CAPÍTULO: MARCO TEÓRICO ....................................................................... 10 2.1. Marco referencial .......................................................................................................... 10 2.1.1. Descripción de la organización y su entorno ........................................................................... 10 2.2. Marco conceptual .......................................................................................................... 12 2.2.1. Tecnologías de Información (TI) ............................................................................................. 12 2.2.2. Seguridad Informática ............................................................................................................. 13 2.2.3. Elementos importantes en el departamento de TI ................................................................... 15 2.2.4. Marcos de referencia ............................................................................................................... 16 2.2.5. Las aplicaciones empresariales ................................................................................................ 21 2.2.6. Transformación Digital ........................................................................................................... 22 2.2.7. Consideraciones en el correcto funcionamiento de empresas que ofrecen servicios .............. 23 2.2.8. Modelo Carter 10’s .................................................................................................................. 24 2.2.9. Solicitud de servicio ................................................................................................................ 25 3. TERCER CAPÍTULO: MARCO METODOLÓGICO ............................................................ 27 3.1. Diseño de investigación ................................................................................................ 27 vi 3.1.1. Tipo de investigación .............................................................................................................. 28 3.1.2. Método y enfoque de investigación ......................................................................................... 28 3.2. Población de estudio...................................................................................................... 28 3.3. Fuente de Información .................................................................................................. 29 3.3.1. Fuente primaria ........................................................................................................................ 29 3.3.2. Fuente secundaria .................................................................................................................... 29 3.4. Técnicas e instrumentos de recolección de información ............................................... 30 3.5. Análisis de datos............................................................................................................ 31 4. CUARTO CAPÍTULO: PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI EN LA ORGANIZACIÓN .................................................................................................................................. 33 4.1. Departamento de TI ....................................................................................................... 33 4.1.1. Estructura organizativa del departamento ............................................................................... 33 4.1.2. Procesos del departamento de TI ............................................................................................. 33 4.1.3. Funciones del departamento de TI .......................................................................................... 34 5. QUINTO CAPÍTULO: EVALUACIÓN DE LOS PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI, A PARTIR DE COBIT 2019 ........................................................................... 37 5.1. Resultado de la evaluación de COBIT 2019 en la empresa de equipos electrónicos .... 41 5.1.1. Evaluación por dominio .......................................................................................................... 41 5.1.2. Evaluación por objetivos ......................................................................................................... 42 5.1.3. Evaluación por procesos de control ......................................................................................... 43 6. SEXTO CAPÍTULO: GUÍA DE BUENAS PRÁCTICAS PARA EL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN DE EQUIPOS ELÉCTRICOS ..................................................................... 50 6.1. Alinear, Planificar y Organizar ..................................................................................... 50 6.1.1. APO01 Gestionar el Marco de Gestión de TI .......................................................................... 50 6.1.2. APO10 Gestionar los proveedores .......................................................................................... 61 6.1.3. APO13 Gestionar la seguridad ................................................................................................ 63 6.2. Entregar, Dar servicio y Soporte ................................................................................... 68 6.2.1. DSS02 Gestionar las peticiones y los incidentes del servicio. ................................................ 68 6.2.2. DSS04 Gestionar la continuidad ............................................................................................. 73 6.2.3. DSS05 Gestionar los servicios de seguridad ........................................................................... 83 7. SÉPTIMO CAPÍTULO: CONCLUSIONES Y RECOMENDACIONES ............................... 96 7.1. Conclusiones ................................................................................................................. 96 7.2. Recomendaciones .......................................................................................................... 97 8. ANEXOS .................................................................................................................................. 99 8.1. Anexo 1: Guía de observación realizada en la organización. ....................................... 99 vii 8.2. Anexo 2: Formulario de Entrevista ............................................................................. 100 8.3. Anexo 3: Cuestionario sobre procesos que lleva a cabo el departamento de TI ......... 100 8.4. Anexo 4: Tabulación de preguntas abiertas del cuestionario sobre procesos que llevan a cabo en el departamento de TI .................................................................................................... 101 8.5. Anexo 5: Cuestionario de evaluación de COBIT 2019 en la organización ................ 103 8.6. Anexo 6: Plantilla Planificación Estratégica TI .......................................................... 112 8.7. Anexo 7: Plantilla Matriz RACI.................................................................................. 112 8.8. Anexo 8: Herramienta Fortalezas, Oportunidades, Debilidades y Amenazas (FODA) 112 8.9. Anexo 9: Herramienta de la rueda de las competencias.............................................. 113 8.10. Anexo10: Herramienta de Sistema de evaluación 360° .............................................. 114 8.11. Anexo 11: Herramienta de Necesidades basadas en la pirámide de Maslow ............. 115 8.12. Anexo 12: Acuerdo de nivel de servicio ..................................................................... 115 8.13. Anexo 13: Plantilla de tratamiento de riesgos ............................................................. 116 8.14. Anexo 14: Solicitud de servicio .................................................................................. 116 8.15. Anexo 15: Plantilla de Matriz de partes Interesadas ................................................... 116 9. BIBLIOGRAFÍA .................................................................................................................... 117 viii RESUMEN EN ESPAÑOL El objetivo de la presente investigación es desarrollar una guía de mejora para el departamento de TI en una organización de venta de equipos eléctricos a partir del marco COBIT 2019, el cual va a permitir brindar buenas prácticas en el departamento de TI. La investigación realizada es de tipo aplicada, cuyo diseño utilizado es el estudio de caso, a partir de la documentación creada de una auditoría realizada en la organización, también, se extrae la información de cuestionarios, entrevista y observación directa. A partir de los resultados proporcionados por los instrumentos aplicados, se hizo la elección de los dominios, objetivos y prácticas que se trabajaron del marco de referencia COBIT 2019, una vez que se determinó cuáles son, se elaboró la guía. Se concluye que es necesario llevar a cabo este tipo de estudios, ya que así las empresas pueden conocer su situación y donde pueden llegar a mejorar, además que brinda la posibilidad de tomar medidas que generen resultados positivos cuando se apliquen. Además, se debe considerar que el marco de referencia COBIT 2019 puede ser utilizado por empresas pequeñas o grandes ya que para cada una generara beneficios si se pone en práctica. ix ABSTRACT The objective of this research is to develop an improvement guide for the IT department in an electrical equipment sales organization based on the COBIT 2019 framework, which will provide good practices in the IT department. The research conducted is of applied type, which the design used is the case study, which, was given from the documentation created from an audit conducted in the organization, also, information is extracted from questionnaires, interview and direct observation. From the results provided by the instruments applied, the choice of the domains, objectives and practices of the COBIT 2019 framework was made, once it was determined what they are, the guide was elaborated. It is concluded that it is necessary to carry out this type of studies, since this way the companies can know their situation and where they can improve, and it also provides the possibility of taking measures that generate positive results when applied. In addition, it should be considered that the COBIT 2019 framework can be used by small or large companies, as it will generate benefits for each one if it is put into practice. x LISTA DE CUADROS Cuadro 1. Población de estudio ....................................................................................................... 28 Cuadro 2. Objetos de estudio y sus especificaciones ...................................................................... 29 Cuadro 3. Marco metodológico que se utilizará para cumplir los objetivos de la investigación .... 31 xi LISTA DE TABLAS Tabla 1. Objetivos del dominio Evaluar, Dirigir y Monitorizar (EDM) ......................................... 19 Tabla 2. Objetivos de los dominios de gestión ................................................................................ 19 Tabla 3. Procesos que se tomarán del dominio de APO .................................................................. 38 Tabla 4. Procesos que se tomarán del dominio de BAI ................................................................... 39 Tabla 5. Procesos que se tomarán del dominio de DSS .................................................................. 40 Tabla 6. Plan de acción de práctica de gestión: APO01.05 ............................................................. 50 Tabla 7. Plan de acción de práctica de gestión: APO01.06 ............................................................. 54 Tabla 8. Plan de acción de práctica de gestión: APO01.08 ............................................................. 57 Tabla 9. Plan de acción de práctica de gestión: APO01.09 ............................................................. 59 Tabla 10. Plan de acción de práctica de gestión: APO10.01 ........................................................... 61 Tabla 11. Plan de acción de práctica de gestión: APO13.02 ........................................................... 63 Tabla 12. Plan de acción de práctica de gestión: APO13.03 ........................................................... 66 Tabla 13. Plan de acción de práctica de gestión: DSS02.01............................................................ 69 Tabla 14. Plan de acción de práctica de gestión: DSS02.02............................................................ 71 Tabla 15. Plan de acción de práctica de gestión: DSS02.06............................................................ 73 Tabla 16.Plan de acción de práctica de gestión: DSS04.01............................................................. 74 Tabla 17. Plan de acción de práctica de gestión: DSS04.02............................................................ 77 Tabla 18. Plan de acción de práctica de gestión: DSS04.03............................................................ 80 Tabla 19. Plan de acción de práctica de gestión: DSS05.02............................................................ 83 Tabla 20. Plan de acción de práctica de gestión: DSS05.03............................................................ 87 Tabla 21. Plan de acción de práctica de gestión: DSS05.04............................................................ 89 Tabla 22. Plan de acción de práctica de gestión: DSS05.05............................................................ 93 xii LISTA DE FIGURAS Figura 1. Organigrama de la empresa .............................................................................................. 11 Figura 2. Procesos de los dominios que participan en la seguridad de la información ................... 14 Figura 3. Factores de diseño de COBIT .......................................................................................... 17 Figura 4. Principios de sistema de gobierno .................................................................................... 18 Figura 5. Principios de marco de gobierno ...................................................................................... 18 Figura 6. Cadena de suministro ....................................................................................................... 22 Figura 7. Diagrama de flujo del servicio técnico............................................................................. 35 Figura 8. Selección de los dominios de COBIT y su enfoque ......................................................... 37 Figura 9. Objetivos seleccionados por dominio .............................................................................. 38 Figura 10. Evaluación de los dominios seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. .......................................................................................... 38 Figura 11. Evaluación de los objetivos del dominio de Alinear, Planificar y Organizar seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos ....... 42 Figura 12. Evaluación de los objetivos de dominio Entrega, Servicio y Soporte del marco COBIT 2019 aplicado a la organización de equipos eléctricos ............................................................ 43 Figura 13. Evaluación de los procesos del objetivo APO01 Gestionar el Marco de Gestión de TI seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. ...... 44 Figura 14. Evaluación de los procesos del objetivo APO02 Gestionar la estrategia seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. .............................. 45 Figura 15. Evaluación de los procesos del objetivo APO10 Gestionar los proveedores seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. ...... 45 Figura 16. Evaluación de los procesos del objetivo APO13 Gestionar la Seguridad seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. .............................. 46 Figura 17. Evaluación de los procesos del objetivo BAI04 Gestionar la Disponibilidad y la Capacidad seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos................................................................................................................................... 47 Figura 18. Evaluación de los procesos del objetivo DSS02 Gestionar las Peticiones y los Incidentes del Servicio seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos ..................................................................................................................... 48 Figura 19. Evaluación de los procesos del objetivo DSS04 Gestionar la Continuidad seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. .............................. 48 Figura 20. Evaluación de los procesos del objetivo DSS05 Gestionar los Servicios de Seguridad seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. ...... 49 xiii LISTA ABREVIATURAS • CIO: Chief Information Officer traducido como director de información. Es un rol que se encarga del área de informática de una empresa. • I&T: se usa en este documento para referirse a toda la información que la empresa genera, procesa y usa para alcanzar sus objetivos, así como la tecnología que lo hace posible en toda la empresa. xiv LICENCIA DE PUBLICACIÓN 1 1. PRIMER CAPÍTULO: INTRODUCCIÓN En este primer capítulo se desarrolla la problemática, se describe la justificación del por qué es importante llevar a cabo la investigación. Además, se presentan una serie de antecedentes que permiten ubicar al lector en otras situaciones similares que han tenido diversas empresas con respecto al tema investigado. Para finalizar, se muestran los objetivos por desarrollar a lo largo del trabajo. 1.1. Problema La incorporación de herramientas o sistemas que permiten la agilización y automatización de los procesos de una empresa ha tomado fuerza e importancia a través de los años. Debido a esto se busca la forma de centralizar su uso, creando así áreas más específicas en la empresa. Según López y Martí (2014) en los años ochenta del siglo XX, las organizaciones empezaron a incorporar el departamento de Tecnologías de Información (TI) de una forma abrupta y desordenada. Primeramente, inició con la adquisición de la infraestructura, además de incorporar herramientas tecnológicas para cada una de las áreas. Así mismo, la necesidad de contar con un departamento de TI no cambia a pesar de los años y la forma en la que se lleva a cabo su creación se mantiene, ya que no existe información centralizada que indique los pasos para dar inicio. Esta área se va desarrollando de acuerdo con las necesidades de la organización, por ejemplo, adquieren equipos tecnológicos y sistemas que ayuden al desarrollo de sus actividades, a como crece la empresa, se agregan más elementos. López y Martí (2014) destacan que encontrar un departamento TI con eficacia y eficiencia en la ejecución de sus funciones y alineado con la estrategia de la empresa, no es fácil, se requiere de ciertos conocimientos que se adquieren al utilizar herramientas o marcos de referencia que permite evaluar la alineación de TI con los objetivos de la organización. Cabe resaltar la relevancia en la claridad de los objetivos de TI y la alineación con la organización. No se debería tener un departamento que no vaya acorde a las metas planteadas por la empresa, ya que irían por caminos diferentes, sería muy difícil generar avances positivos, además se estaría perdiendo una ventaja competitiva si no se logra explotar su potencial. 2 Por ello, es necesario la concepción de un departamento de TI, que estructure, planifique, administre y decida de manera prudente la utilización de los recursos, así como la infraestructura tecnológica, la información, las aplicaciones para que la empresa satisfaga sus necesidades (López & Martí, 2014). No obstante, la creación de un área de TI no significa que al llevar a cabo su implementación sea la más correcta o bajo estándares de buenas prácticas. El uso de cierta tecnología no garantiza el éxito para una institución, ante esto se deben utilizar marcos o soluciones convenientes que mejoren la forma de realizar los procesos de cada departamento (Argueta, 2006). Así mismo, involucrar la tecnología no asegura que las empresas vayan a obtener una ventaja, debido a que se requiere de una serie de reglas que permitirán su correcto funcionamiento, primeramente, se debe conocer las acciones y operaciones, además, contar con una estructura detallada de lo que se requiere en tecnología y la acción que se va a implementar, todo con el fin de no llevar a cabo acciones precipitadas o abruptas (Galo, 2018). La organización en donde se desarrolla el trabajo de investigación aplicada se seguirá denominando empresa de venta de equipos eléctricos. Se resguarda su nombre debido a un acuerdo de confidencialidad. Esta institución tiene 27 años de estar operando en el mercado, dio sus primeros pasos en el área de TI cuando contrató personal para que se encargara de brindarles tercerización de servicios, por lo que se instaló infraestructura, equipos y el cableado para la conexión de redes. Además, contrataron ingenieros eléctricos para continuar con funciones tecnológicas en áreas como la utilización de sistemas para solicitar informes por medio de consultas en las bases de datos y realizar ciertas actividades relacionadas a la tecnología como la adquisición de herramientas de CRM de Microsoft y el ERP de Softland. Después de un tiempo, específicamente, en el 2020, se adquirieron los servicios de una empresa encargada de auditar los estados financieros y parte de la estructura del control interno, cuyo trabajo se realizó en distintas etapas. En la primera etapa hicieron la evaluación en el área financiera, después de finalizar ese proceso se enfocaron en una revisión general del área de tecnología la cual abarcó el ambiente de control de TI, su objetivo fue realizar un análisis general de los sistemas utilizados. Al continuar en la segunda etapa, la empresa contratada quería realizar implementaciones o 3 ajustes del estudio, pero sin antes decir cuáles serían los beneficios de llevarlo a cabo, debido a lo anterior, la implementación que se realizaría se canceló, ya que la institución decidió prescindir de los servicios de la compañía contratada. La empresa ha intentado poner en práctica pautas de la evaluación previa contratada, como por ejemplo trabajar con la metodología scrum y agregar el grupo de trabajo a nuevo personal para que se encargue de funciones más específicas sobre los sistemas con los que cuenta el actual espacio de trabajo de TI, además llevar a cabo la documentación sobre la autorización de accesos a los diferentes sistemas, es decir contar con el mapeo de los usuarios que tiene acceso, además del rol. Por estos motivos, recientemente se determinó la necesidad de contratar personal especializado en el área de informática para trabajar en las bases de datos y los servicios que ofrecen a sus clientes. Por ello, en la actualidad, cuentan con un área de tecnología, sin embargo, a partir del estudio de auditoría se encontraron varias deficiencias, se destacan las siguientes: • En los sistemas evaluados se tienen varias cuentas con privilegios administrativos. • La falta de mapeo de las personas encargadas de dichos accesos. • Existen cuentas de usuarios genéricas. • Problemas con las contraseñas, ya que no existe configuración para que tengan vencimiento y un límite de intentos. • No presenta un registro de bitácora debidamente configurado, no obstante, no son fiscalizados. • Carencia de actualizaciones de seguridad en los sistemas. • No existe documentación sobre el plan de continuidad del negocio, contingencias informáticas y del procedimiento de las restauraciones de los respaldos de la información. • No se cuenta con un plan integral de seguridad de la información. • Falta ejecución y documentación de un análisis de vulnerabilidades de la infraestructura, plataforma tecnológica, de políticas y procedimientos de administración control de los recursos de información. • Inexistencia de un monitoreo sobre los diferentes tareas y acuerdos de servicios (SLA) de los proveedores de servicios en el área de TI. 4 Un factor que agrava la situación es el trabajo que se realiza bajo la marcha, abriendo paso a un análisis apresurado, es decir, se hicieron modificaciones de acuerdo con las necesidades del manejo de datos, optimización de procesos que surgieron en su momento, sin realizar un análisis del impacto y la forma en la que se debería desarrollar. Esta acción llega a generar consecuencias como mala distribución de los recursos, pérdida de oportunidad de realizar flujos de trabajo más efectivos y de calidad, además que no se contemple la seguridad de sus sistemas por reducir el tiempo en las soluciones de los procesos (Argueta, 2006). 1.2. Justificación La implementación de las TI en la mayoría de las organizaciones ha dado la oportunidad de generar una ventaja competitiva con respecto a otras, debido al valor que genera en el negocio, si se implementan de manera adecuada (Cano & García, 2018). Por lo tanto, es de importancia poder determinar los beneficios que una empresa puede obtener de las TI, no solo la forma en cómo se lleva a cabo, sino establecer los lineamientos y estrategias para estructurar un departamento de TI. Esto se logra a partir de marcos ya establecidos y estudiados que pueden dar una guía para el área de tecnología. Por lo tanto, a partir de los problemas expuestos por la auditoría y la forma en la que se ha concebido el área de tecnología, se debe considerar realizar un nuevo estudio a partir del marco COBIT 2019 de los procesos y las funciones que se tiene actualmente, ya que han pasado dos años desde que se presentaron estas vulnerabilidades y en este departamento los cambios siempre son constantes. Al llevarlo a cabo, se quiere que la empresa pueda tener oportunidades de mejora, ya sean en el equipo de TI, una correcta gestión de las herramientas tecnológicas y la implementación de nuevas que ayuden a la empresa a generar ventaja competitiva en el mercado. La utilización de marcos como COBIT 2019 permite evaluar los procesos que lleva a cabo el departamento, esto con el fin de alcanzar las buenas prácticas. Para lograr correctas implementaciones, COBIT 2019 permitirá conseguir una política entendible y transparente para el manejo de las TI en una empresa. Además, se centra en la regulación para que esta se cumpla y brinda la oportunidad de contar con un valor agregado en el departamento de TI, aunque COBIT trabaja en todas las áreas de la institución (Huayhua & Romero, 2019). 5 La evaluación de COBIT 2019 en el departamento de TI en la empresa de venta de equipos eléctricos va a permitir identificar fortalezas y debilidades en la gestión de TI, además, conocer cuáles son los puntos en los que debe enforcarse para potenciar dicho departamento, entre ellos están alinear los objetivos de TI con los objetivos de la organización, desarrollar valor y proporcionar beneficios a las personas interesadas, optimizar los riesgos al grado de obtener tolerancias aceptables, cuantificar el desempeño del departamento y coordinar los recursos (Hernández, 2018), esta investigación va a marcar pautas, elementos y acciones en las que debe ir trabajando, ya que a partir de la evaluación se elaborará un plan que le permitirá trabajar en los procesos y actividades que requiere modificaciones. Por esta razón se quiere realizar una evaluación del departamento de TI que permita descubrir las posibilidades que tiene la empresa de mejorar sus procesos y funciones en esta área, además de recomendar buenas prácticas para brindarle un valor agregado en la gestión y seguridad de los sistemas de la organización. 1.3. Antecedentes En una empresa, las TI gestionan técnicas relacionadas a computadoras y medios de comunicación mediante equipos tecnológicos, permiten el intercambio de comunicación entre clientes y negocios, ya sea de forma interna como externa, así como actividades y funciones que se llevan a cabo en su desarrollo (Argueta, 2006). Se han involucrado en los procesos y acciones de las organizaciones como la forma en la que ofrece los servicios a sus clientes, creación de informes y reportes, automatización de actividades, entre otros (Cortés, 2017). A pesar de no contar con un departamento de TI, las organizaciones cuentan con tecnologías de información o cierto software que les proporciona agilización en sus actividades. Ciertas funciones y procesos se han llegado a automatizar, se ha dejado las hojas electrónicas para el ingreso de datos y ahora se cuenta con sistemas desarrollados específicamente para esto, se sustituye el papel utilizando documentos electrónicos, abriendo la posibilidad de cambiar la forma de almacenaje, dejando de lado los ampos para tener servidores. Además, la forma de dar a conocer la empresa o negocios se transforma, generando el desarrollo de sitios web y empleos de publicidad digital. 6 Por estas razones, las empresas buscan un acercamiento a las TI, debido a las ventajas competitivas a adquirir mayor captación y fidelidad de los clientes, reconocimiento de imagen de la institución, agilización de los recursos, funciones y operaciones, además la diversificación en el mercado debido al desarrollo de nuevos productos y servicios (Gorbe, 2007). Las organizaciones ven la necesidad de replantearse la estructura, la utilización de los recursos, y la forma en la que llevan a cabo las operaciones para así iniciar su incorporación en el campo tecnológico (Hoyos & Valencia, 2012). De hecho, las organizaciones andan en busca de una transformación digital, generando un cambio de pensamiento en la forma de desarrollar sus actividades diarias, se traslada e involucra la tecnología en los procesos, dejando atrás la forma tradicional o manual de hacer las funciones para pasar a la agilización, estandarización y el consumo de menos tiempo en el trabajo. Hay que enfatizar que, al involucrar tecnología, se debe llevar a cabo un análisis y tener conocimiento sobre el campo, por ello, se debe considerar realizar un estudio de la empresa y sus necesidades para saber qué es lo más adecuado, debido a que cada organización es diferente. Además, es un proceso que requiere de tiempo y ciertos marcos que nos van a brindar una guía para ir condicionando de manera correcta un departamento de TI. Cuando ya se cuenta con ciertas bases, lo mejor es analizar lo que se tiene para que, a partir de ahí, tener claridad e iniciar con las mejoras. Las empresas priorizan o le dan más valor al “cómo” y le restan importancia al “qué”, cuando el primer paso debe ser el “qué”, al comprender el propósito se descubre cuáles son los puntos y las áreas en las que se debe enfocar, una vez que se logre, se continua con la ejecución para disminuir o erradicar el problema (Argueta, 2006). Del mismo modo, existen estudios internacionales como nacionales que dan a conocer la utilización de los marcos de referencia en el área de tecnología de una organización. Por ejemplo Ati (2018), como parte de su investigación en el Centro de Procesamiento de Datos (CPD) de la carrera de Ingeniería en Ciencias de la Computación de la Universidad Politécnica Salesiana, diseñó un plan para la continuidad del negocio y recuperación ante desastres utilizando los marcos COBIT, ITIL y la norma ISO 22301. En la metodología utilizó como base las mejores prácticas de los marcos de referencia y la norma seleccionada. Para obtener 7 información de la institución, realizó una entrevista con el administrador del CPD, además, analizó los escenarios de la infraestructura de TI a nivel físico y lógico, sin dejar atrás la continuidad del negocio. La investigación evidenció la necesidad de intervenir en el tema de prevención, mitigación, corrección y prevención de los desastres en sitios donde se almacenan y procesan los datos. Además, se lograron identificar factores que pueden ocasionar la probabilidad de interrupciones de la continuidad de negocio. Así mismo, Hidalgo (2015), realizó un diagnóstico y una evaluación de controles basándose en la norma ISO/IEC 27001 y DS5 en una institución pública financiera de Costa Rica. También evaluó los riesgos de TI y la gestión de seguridad considerando el marco de referencia COBIT 5, con el fin de determinar el grado de alineación y en nivel de madurez que tiene el sistema de gestión de seguridad de la información (SGSI) con respecto a las pautas de la norma. Para su elaboración desarrolló plantillas de preguntas abiertas referentes a las normas y pautas, estas se aplicaron mediante entrevistas, de acuerdo con las preguntas se seleccionaba a la persona encuestada. Realizó un análisis de la información y generó un informe. El autor señala la necesidad que tiene la institución de utilizar marcos de control, en especial COBIT, con fin de gestionar las tecnologías de información y saber el nivel de madurez inicial de organización. Se concluyó que el nivel de madurez de la organización es inicial debido a que el sistema de gestión de la seguridad de la información no posee una alineación con el estándar internacional ISO27001:2013. Por su parte, Arce (2021) diseñó un modelo de gobierno y gestión de TI para el Instituto Costarricense del Deporte y Recreación (ICODER) basado en el marco COBIT 2019, para aplicarlo en la mejora de la gestión empresarial. El autor realiza un análisis minucioso de la organización, lo cual le permitió llevar a cabo el diseño de un modelo de gobierno y gestión que le brindó soporte a la institución y además cubrió sus necesidades. Esto se logró a partir de entrevistas, sesiones de trabajo, además la consulta de información de fuentes primarias y secundarias. El diseño a partir del modelo COBIT 2019 le permitió a la organización la integración de las tecnologías de una mejor manera, además conocer la perspectiva de la empresa, así como los diferentes problemas, el funcionamiento de TI y sus necesidades. Por lo que adquirieron un mayor conocimiento de su entorno empresarial y el aporte que genera TI para la institución. 8 Por otro lado, Cortés (2021) realizó una evaluación mediante el marco COBIT 2019 del modelo de gestión TIC de la Municipalidad de Carrillo durante el periodo 2020-2021 debido a la implementación de los procesos de migración de sistemas operativos e informáticos. Se utilizaron como instrumentos observación directa y entrevista. Los resultados evidenciaron lo siguiente: en la protección contra software malicioso la organización está realizando proyectos de migración de sistemas operativos, además implementan mecanismos de protección. En la parte de vulnerabilidades no se gestiona las vulnerabilidades por lo que le recomiendan levantar métricas y documentación para tener la información. Concluye que, al evaluar el modelo de gestión de las TIC, permitió conocer brechas y oportunidades de mejora en la confrontación de sus acciones con respecto a lo estipulado por el marco. Además, la situación actual de los procesos evaluados les permitió marcar un precedente, es decir, un punto de partida para futuras evaluaciones y comparaciones con los datos históricos para así dar seguimiento a las acciones prioritarias. De igual forma, Villafuerte (2021) elaboró una estrategia para el manejo de políticas de seguridad informática en una municipalidad de la Región Chorotega, con el fin de minimizar el riesgo y asegurar la integridad del software y la información. Realizó encuestas y una observación de participantes, los instrumentos fueron cuestionarios y una guía de observación. Los resultados evidenciaron que en la municipalidad se tiene problemas con la compra de equipos, debilidades en los antivirus, necesidad de capacitaciones, actualización de tecnología. Se concluyó la existencia de manuales de procedimientos y políticas de seguridad, lo que faltaba era la comunicación con los funcionarios. 1.4. Objetivos 1.4.1. Objetivo General Desarrollar una guía de mejora para el departamento de TI en una empresa de venta de equipos eléctricos mediante el marco de referencia COBIT 2019, con el fin de proporcionar buenas prácticas en distintas áreas de la gestión de TI. 1.4.2. Objetivos Específicos • Identificar los procesos y funciones del departamento de TI para conocer el funcionamiento del área. 9 • Evaluar mediante COBIT 2019 los procesos y funciones del departamento de TI, con el fin de identificar las fortalezas y debilidades de su gestión. • Elaborar una guía de buenas prácticas para el departamento de TI, con el fin de recomendar oportunidades de mejora en funciones, procesos y seguridad. 10 2. SEGUNDO CAPÍTULO: MARCO TEÓRICO En este segundo capítulo se desarrolla el marco teórico, este se divide en dos grupos, el marco referencial el cual permite conocer más acerca de la organización, por ello se menciona lo siguiente: descripción de la organización y su entorno, su estructura organizacional, actividades que desarrolla. En el marco conceptual se describen los conceptos relacionados a la tecnología, elementos necesarios para el departamento de TI, marco de referencia, sistemas de aplicaciones empresariales, planes de continuidad, las cuales son fundamentales para la adecuada comprensión del trabajo de investigación. 2.1. Marco referencial 2.1.1. Descripción de la organización y su entorno 2.1.1.1. Descripción de la organización La empresa de venta de equipos eléctricos fue creada alrededor de la década de los años 90. Su enfoque se centra en brindar equipos eléctricos que marquen la diferencia de manera efectiva en el campo de la energía, favoreciendo a la población y el ambiente. La organización constantemente se enfoca en innovar y especializarse, está comprometida día con día a brindar en el mercado opciones de servicios de una alta ingeniería, todo esto lo consigue buscando y utilizando tecnologías que brinden eficiencia, por ello, le permite abrir una gama de posibilidades en el mundo para lograr liderar en el campo de la energía. Por lo tanto, buscan asumir retos y ser propulsores de nuevas soluciones en el campo tecnológico, creando así nuevas formas que permitan generar un cambio positivo en el sector. La organización para cumplir con lo propuesto comienza a trabajar en el campo de la innovación en energía, de la mano de asesorías, servicios y la participación de equipos modernos y de calidad, para brindarle a los clientes las herramientas correctas con el fin de que puedan alcanzar sus objetivos. 2.1.1.2. Entorno donde se desenvuelve La organización se dedica a la venta de equipos para la medición eléctrica, además ofrece servicios como digitalización y desarrollo de aplicaciones, proyectos de subestaciones, soluciones de mantenimiento y gestión para las empresas que se encargan de la generación de electricidad. 11 El mercado en el que se enfoca se encuentra en un continuo cambio hacia las nuevas herramientas que ofrecen los fabricantes de equipos de medición y de gestión, donde se integran el internet de las cosas (IoT) en los equipos, lo que obliga a la empresa a no contar con solo personal de ingeniería eléctrica, sino a pensar en colaboradores con conocimiento en informática para ayudar a subsanar el cambio de equipos nuevos en el medio, también esto propicio que la organización explorará otros áreas como lo es el desarrollo de software y servicios relacionados a este. 2.1.1.3. Estructura organizacional La empresa, como se mencionó con anterioridad, es pequeña, por ello su estructura organizacional cuenta con pocos departamentos que conviven para mantener a la empresa en el mercado, dicha estructura se compone de la siguiente manera: Como se observa en la Figura 1, las distintas ramas tienen a su cargo varios departamentos, donde el de TI está a cargo del gerente de financiero, lo cual no tiene aún en la empresa un gerente de TI que sería lo ideal. Figura 1. Organigrama de la empresa Fuente: Proporcionado por la empresa. 12 2.1.1.4. Actividades de desarrollo Las principales actividades de desarrollo de la empresa se basan en la venta de equipos eléctricos, como medidores, equipos de media y alta tensión, además, de venta de soporte para el mantenimiento y la previsión de riesgos eléctricos, así como sistemas de gestión eléctrica. 2.2. Marco conceptual 2.2.1. Tecnologías de Información (TI) Las tecnologías de información se centran en dispositivos informáticos que permiten la comunicación, se utilizan con el fin de intercambiar información entre los clientes y las relaciones del negocio tanto interno y externo, además de los procesos que se llevan a cabo en la organización (Argueta, 2006). Por lo tanto, al involucrar TI en las actividades de una organización permite contar con mejoras en la parte de la administración e integración en los procesos de información. También, minimiza el consumo de tiempo de las personas que se involucran en las actividades, además se descartan acciones que puedan generar pérdida de productividad y sea un obstáculo para alcanzar soluciones a problemas de manera más rápida, ágil y en el menor tiempo posible (Argueta, 2006). Las empresas para tener éxito deben estar constantemente cambiando la forma en la que realizan sus procesos, pues esto va a permitir que puedan ir generando ventajas competitivas sobre otras, ya que su forma de trabajo puede llegar a ser más efectiva, eficiente y de forma automatizada lo que va a generar menos personas participando en el proceso y menos enfoque en actividades que no lo requieren. Según Argueta (2006) las TI “nos ayudan a conocer mejor el medio tanto interno como externo de nuestro negocio, para así detectar nuestras debilidades y potencialidades, atacarlas, y lograr una ventaja comparativa con respecto a las demás empresas del ramo” (p. 2). 2.2.1.1. Gestión de Tecnologías de la Información La gestión de tecnologías de la información o gestión de TI, consiste en el seguimiento y la administración de los sistemas de tecnología de la información (hardware, software y redes) de una empresa. Su función principal es la eficiencia en el funcionamiento de los sistemas de información (IBM, s.f.). 13 En la opinión de Palomino (2022) se trata de un proceso de supervisión de todo lo relacionado a las herramientas de TI utilizadas por una organización. Dicho con palabras de Red Hat (2018) la gestión de TI se enfoca en la coordinación de los recursos como sistemas, plataformas, personas y además entornos de TI. A partir de esta acción se busca la automatización en los procesos de la organización ya que es un elemento estratégico en la modernización y la transformación digital. 2.2.1.2. Importancia de la Gestión de Tecnologías de Información en las empresas Los beneficios que proporcionar la gestión de TI en una organización va desde el mejoramiento de los niveles de productividad hasta la reducción de costos y la garantía de más seguridad. Debido al uso de las nuevas tecnologías que buscan acelerar los procesos productivos mediante el aumento de su eficiencia, además de tener acceso a más sistemas de seguridad informáticos (Palomino, 2022). 2.2.2. Seguridad Informática Para mencionar el concepto de seguridad informática se debe tener claro el concepto de seguridad y lo que abarca. Primeramente, seguridad es la ausencia de riesgo y en ella se asocian cuatro acciones; prevenir, transferir, mitigar y aceptar el riesgo. Por ello, busca gestionar los riesgos a partir de las acciones anteriormente mencionadas (Romero et al., 2018). Por lo tanto, la seguridad informática se define como una disciplina que se encarga de construir y brindar normas, procedimientos, métodos y técnicas, con el propósito de obtener sistemas de información con mayor seguridad, conservando la integridad de los datos y la confiabilidad de estos (Avenía, 2017). Su principal función es minimizar los riesgos, los cuales ingresan de distintas formas y de cualquier lugar, por ejemplo, entrada de datos, dispositivos con información, los usuarios y por los protocolos que se utilizan (Romero et al., 2018). Al final existen diversas estrategias para poder llegar a vulnerar un programa o un dispositivo, ya que todo está en constante actividad, es decir, la información que se almacena es de acceso, a los dispositivos se les otros elementos, ya sea para almacenar o transportar. Las personas acceden provocando que administren información muy sensible, además de sus accesos, dejando ahí una puerta para que sean la pieza de entrada para los sistemas. 14 Entonces, la seguridad informática tiene como objetivo “proteger los valiosos recursos informáticos de la organización, tales como la información, hardware o software. A través de la adopción de las medidas adecuadas…” (Avenía, 2017). Los pilares de la seguridad informática son: integridad, confidencialidad y disponibilidad. Calderón (2015) define cada uno de los elementos de la siguiente manera: • Integridad: El contenido de los datos debe ser el mismo, siempre y cuando este sea modificado por alguien con autorización. Es decir, la información debe estar intacta y contar con consistencia, desde el momento de su concepción, hasta su modificación con permisos de autorización. • Confidencialidad: Brindarle acceso a la información solo a los usuarios que cuentan con autorización. La divulgación debe ser restringida y fiscalizada. • Disponibilidad: La información debe ser accesible en el momento en que un usuario con autorización la solicite. La seguridad informática según Mendoza (2015) para el marco de COBIT se evidencia en COBIT 5 en sus documentos de seguridad de la información (COBIT 5 for Information Security), estos consisten en sentar bases para mejores prácticas en el ámbito de la protección de la información para cualquier nivel de la organización y son complementos para los procesos de los dominios que brinda COBIT, estos consisten en una guía en el sistema de gestión de la seguridad se aprecian en la Figura 2. Figura 2. Procesos de los dominios que participan en la seguridad de la información Fuente: Elaboración propia Alineación, planeación y organización APO13 Gestión de la seguridad Entrega, soporte y servicio DSS04 Gestión de la continuidad DSS05 Gestión de los servicios de seguridad 15 Estos procesos también se encuentran en COBIT 2019, se encuentra en los mismos dominios. Según ISACA (2018) el APO13 Gestión de la Seguridad consiste en “mantener el impacto y existencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo de la empresa “(p.34), procura que la organización no se vea afectada por las situaciones de riesgo, además al materializarse pueda estar entre los niveles establecidos. En cuanto al DSS04 Gestión de la continuidad “Adaptarse rápidamente, continuar las operaciones del negocio y mantener la disponibilidad de los recursos y la información a un nivel aceptable para la empresa en caso de una interrupción significativa (como amenazas, oportunidades, demandas)” (ISACA, 2018, p.35), por último, DSS05 Gestionar los servicios de seguridad ”minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad de la información” (ISACA, 2018, p.35). 2.2.3. Elementos importantes en el departamento de TI 2.2.3.1. Objetivos de TI Para facilitar este proceso de recolección, comunicación y toma de decisiones, las empresas se apoyan de las tecnologías, creando en ellas un nuevo departamento, el cual pueda gestionar de forma diferente los procesos y actividades que realizan las organizaciones. De acuerdo con Cano (2017), “las TIC son un elemento clave para hacer que nuestro trabajo sea más productivo: agilizando las comunicaciones, sustentando el trabajo en equipo, gestionando las existencias, realizando análisis financieros, y promocionando nuestros productos en el mercado” (p.504), como se puede apreciar, las TIC se van a encontrar en toda la empresa, es decir, que para las organizaciones que lo han implementado no solo afecta a un departamento, sino a todos los departamentos. Las TIC se han vuelto tan importantes cuando se implementa que existe la posibilidad que si no se maneja adecuadamente puede hacer que la empresa deje de operar debido al grado de incorporación que se tiene. Por ello, las “TIC son la fuente principal de información para la empresa y la información es un recurso estratégico muy importante que sustenta las funciones claves y los procesos de toma de decisiones” (Slusarczyk & Morales, 2016, p.39). Por lo tanto, si se considera darle un buen uso y optar por todas las medidas necesarias para su correcta implementación se obtendrán ventajas como: “la modernización y agilización de los procesos, incrementar los niveles de productividad y, en definitiva, aumentar la 16 competitividad de la empresa en un mercado cada vez más globalizado, y en consecuencia mucho más competitivo” (Gorbe, 2017, p.26). 2.2.3.2. Control Interno Estupiñán (2006) afirma sobre el control interno lo siguiente: El control interno se define como un proceso, ejecutado por la junta directiva o consejo de administración de una entidad, por su grupo directivo (gerencial) y por el resto del personal, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres siguientes categorías de objetivos: efectividad y eficiencia de las operaciones, suficiencia y confiabilidad de la información financiera y cumplimiento de las leyes y regulaciones aplicables. (p.25) Según Calle et al (2020) el control interno Se define como un proceso de gestión dinámico e integrado, que propone y adecua altos estándares de seguridad, con relación a los objetivos operacionales, de información y cumplimiento, su función es inherente a la organización y dirección institucional, promoviendo las condiciones necesarias del equipo de trabajo, para causar un mejor desempeño del funcionamiento de la empresa. El control interno (CI) es el elemento fundamental de la administración que debe estar presente en todas las organizaciones, independientemente de su tipo y conformación. La importancia radica desde el punto de vista de administrar, es decir: no se puede planear, organizar, administrar sin control, por lo tanto, el CI comprende un plan de la organización que permite realizar procedimientos coordinados adoptados por una organización para verificar la razonabilidad y confiabilidad de la información financiera. (p.432 – p.433) 2.2.4. Marcos de referencia 2.2.4.1. COBIT 2019 Según ISACA (2018) “COBIT es un marco para el gobierno y la gestión de las tecnologías de la información de la empresa, dirigido a toda la empresa” (p.13). Cuando se tiene pensando la utilización de COBIT se debe considerar que es un marco que nos permitirá integrarlo o utilizarlo en toda la organización, ya que este también se enfoca en otras áreas. 17 “El marco de referencia COBIT hace una distinción clara entre gobierno y gestión. Estas dos disciplinas abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven diferentes propósitos” (ISACA, 2018, p.13). Factores de diseño Para posicionar a una empresa y que esta tenga éxito en su trabajo necesita considerar en su diseño y desarrollo de sistema de gobierno los factores de diseño, esto se puede apreciar en la Figura 3. Áreas de enfoque En el marco de COBIT se indican las áreas principales en las que se puede desarrollar las cuales son: pymes, desarrollo/operación, riesgos, seguridad. Principios COBIT 2019 cuenta con nueve principios, los cuales están divididos en dos grupos sistema de gobierno y marco de gobierno. En el sistema de gobierno se pueden observar los seis principios, los cuales son fundamentales para llevar a cabo un sistema para la información y tecnología de la organización, se puede ver en la Figura 4. Figura 3. Factores de diseño de COBIT Fuente: Adaptado de COBIT 2019 (p.23), por ISACA, 2018. 18 El marco de gobierno abarca tres principios, a partir de este se puede se utilizar para construir el sistema de gobierno se puede apreciar en la Figura 5. Figura 5. Principios de marco de gobierno Fuente: Adaptado de COBIT 2019 (p.18), por ISACA, 2018. Objetivos de Gobierno y Gestión Los objetivos de gobierno se encuentran distribuido en un solo dominio el cual consiste en: Evaluar, Dirigir y Monitorizar (EDM), “evalúa las opciones estratégicas, direcciona a la alta Figura 4. Principios de sistema de gobierno Fuente: Adaptado de COBIT 2019 (p.17), por ISACA, 2018. 19 gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia” (ISACA, 2018, p.20). En la Tabla 1 de puede observar cuales son los objetivos pertenecientes al dominio. Tabla 1. Objetivos del dominio Evaluar, Dirigir y Monitorizar (EDM) Dominio Objetivos Evaluar, Dirigir y Monitorizar (EDM) EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EDM02 Asegurar la Entrega de Beneficio EDM03 Asegurar la Optimización del Riesgo EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia hacia las Partes Interesadas Fuente: Elaboración propia Según ISACA (20180,) los objetivos de gestión se encuentran asociados o distribuidos en los cuatro dominios pertenecientes a este, entre ellos están: Alinear, Planificar y Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar, Dar servicio y Soporte (DSS) y Monitorizar, Evaluar y Valorar (MEA). En la Tabla 2 de puede observar cuáles son los objetivos pertenecientes a los dominios mencionados anteriormente. Tabla 2. Objetivos de los dominios de gestión Dominios Objetivos Alinear, Planificar y Organizar (APO) APO01 Gestionar el Marco de Gestión de TI APO02 Gestionar la Estrategia APO03 Administrar la Arquitectura Empresarial APO04 Gestionar la Innovación APO05 Gestionar la Cartera APO06 Gestionar el Presupuesto y los Costes APO07 Gestionar los Recursos Humanos APO08 Gestionar las Relaciones APO09 Gestionar los Acuerdos de Servicio 20 APO10 Gestionar los Proveedores APO11 Gestionar la Calidad APO12 Gestionar el Riesgo APO13 Gestionar la Seguridad APO14 Datos gestionados Construir, Adquirir e Implementar (BAI) BAI01 Gestionar los Programas y Proyectos BAI02 Gestionar la Definición de Requisitos BAI03 Gestionar la Identificación y la Construcción de Soluciones BAI04 Gestionar la Disponibilidad y la Capacidad BAI05 Gestionar la Habilitación del Cambio Organizativo BAI06 Gestionar los Cambio BAI07 Gestionar la Aceptación del Cambio y de la Transición BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración BAI11 Proyectos gestionados Entregar, Dar servicio y Soporte (DSS) DSS01 Gestionarlas Operaciones DSS02 Gestionar las Peticiones y los Incidentes del Servicio DSS03 Gestionar los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de Seguridad DSS06 Gestionar los Controles de los Procesos de la Empresa Monitorizar, Evaluar y Valorar (MEA) MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad 21 MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos MEA04 Aseguramiento gestionado Fuente: Elaboración propia 2.2.5. Las aplicaciones empresariales 2.2.5.1. Sistema de Gestión de las relaciones con los clientes (CRM) Según Sánchez & Moral (2019) Customer Relationship Management (CRM) o su traducción en español Gestión de las relaciones con los clientes consiste en la integración de datos de clientes guardado en diferentes sitios de información, estos se verifican y son accesibles en cualquier momento que se requiera y por cualquier medio de interacción con el cliente, por ejemplo, celular, correo electrónico red social y loca físico de la tienda. Existen diferentes tipos de CRM, aplicaciones operativas, analíticas y colaborativas, el uso de estas va a depender del objetivo de la organización. Al adquirir la operativas se tendrá un acercamiento cara a cara con el cliente, ya que sus funciones están asociadas a ofrecer apoyo a los vendedores, además de servicio al cliente. Las aplicaciones analíticas reciben información de las operativas con el fin de analizarla y apoyar a la empresa en la inteligencia empresarial. 2.2.5.2. Sistemas de planificación de recursos empresariales (ERP) Según Sánchez & Moral (2019) Enterprise Resource Planning (ERP) o su traducción en español Sistemas de planificación de recursos empresariales consiste en un sistema que se encarga de centralizar el flujo de datos de la organización en un solo sistema, realizando la integración y la coordinación de estos y generando apoyo en las distintas áreas que existen. Este tipo de sistema se vende por módulos o grupos, lo cual permite que su adquisición sea escalable y de acuerdo con las necesidades de la organización, además puede ser integrado y utilizado con los sistemas CRM. Los módulos que lo componen permiten la automatización e integración de las distintas áreas de la empresa como, contabilidad, ventas, finanzas, compras, recursos humanos entre otras. El sistema obtiene la información de las áreas y las guarda en una única base de datos. Por lo que permite ingresar la información en una única plataforma, además conserva la integridad 22 y la unicidad de la información de los departamentos, lo que es beneficioso, porque se evita datos duplicados e información repetida en los diferentes sistemas de la organización (Huerta & Zuzuarregui, 2015). 2.2.5.3. Sistemas de Administración de la Cadena de Suministros (SCM) Según Laudon & Laudon (2014) Supply Chain Management o su traducción en español Sistemas de Administración de la Cadena de Suministro consiste en sistemas de interorganizacionales, ya que automatiza el flujo de información mediante los limites organizacionales. Además, contribuye al proceso que realiza una empresa en relación con la cadena de suministro, va desde el origen, en este caso sería la producción hasta finalizar con el consumo como se aprecia en la Figura 6. Este sistema permite que las variables del tiempo y costo reduzcan de forma considerable, permitiendo que se dé una disminución de costos en el transporte y la fabricación, además de acuerdo con la información que almacenan los gerentes pueden tomar decisiones informadas y certeras sobre esta área. 2.2.5.4. Sistemas de administración del conocimiento (KMS) Según Laudon & Laudon (2014) Knowledge Management System o su traducción en español Sistemas de Administración del conocimiento consiste en recolectar información sobre el conocimiento de fuentes externas e internas, además, la experiencia de empresarial, con el fin de tenerla disponible en cualquier parte y cada vez que lo necesiten para ir mejorando los procesos y las decisiones por parte de la gerencia. Con ellos se da una correcta administración de los procesos, a partir de ahí capturan y aplican el conocimiento y la experiencia. 2.2.6. Transformación Digital La transformación digital se define como un conjunto de acciones que permiten mejorar y modernizar la mayoría de las actividades que desarrolla la organización, a partir del uso de tecnologías, la empresa podría desarrollar una ventaja competitiva sobre las demás. Al decidir implementar o ingresar al proceso de transformación digital se necesita que la organización Figura 6. Cadena de suministro Fuente: Elaboración Propia 23 interiorice el modelo de negocios, las acciones y la estrategia tecnológica que implementa, ya que esto provoca un cambio de cultura (AMETIC, s.f). 2.2.7. Consideraciones en el correcto funcionamiento de empresas que ofrecen servicios 2.2.7.1. Plan de continuidad del negocio El plan de continuidad del negocio es un documento que contiene información del funcionamiento de la organización en caso de suspensión inesperada de los servicios. Es más completo que otros del mismo tipo, ya que contiene planes de contingencias de negocios, de recursos humanos, activos y socios (IBM Services, 2020). Cada uno de los planes anteriormente mencionadas debe considerar un actuar específico, es decir, al llevarse a cabo, se tomarán acciones y caminos diferentes para evacuar la situación, ya que se desarrollan planes específicos para diversas circunstancias, esto debido a las diferencias en las áreas que se puedan presentar (Protege tu empresa, s.f). Un plan de negocio debe contar con un elemento esencial para su funcionamiento, el cual es un plan de recuperación tras desastres que contiene "estrategias para manejar interrupciones de TI en redes, servidores, sistemas personales y dispositivos móviles" (IBM Services, 2020). 2.2.7.2. Plan de contingencias informáticas El plan de contingencia consiste en llevar a cabo procedimientos fuera de lo común con el fin de no detener el funcionamiento de la organización. Es decir, se quiere mantener la operabilidad a pesar de presentarse alguna eventualidad ya sea en funciones internas o externas. Estos planes constan de cuatro etapas: evaluación, planificación, pruebas de viabilidad y ejecución. Se recomienda contar con una planificación a pesar de no contar con ningún inconveniente, con el fin de estar preparados cuando se presente. Este plan debe estar anuente al cambio, por lo que debe actualizarse periódica (Mellado, 2014). 2.2.7.3. Acuerdo de nivel de servicio (SLA) Un acuerdo de nivel de servicio (SLA) se define como un acuerdo antes de adquirir un servicio se realiza en la mayoría de los casos entre un prestador de servicio, ya sea por voz, datos, video u otro, y la persona u organización interesada en adquirir el servicio planteado (Chang et al, 2008). También se le conoce como el Service Level Agreement (SLA) traducido Acuerdo de Nivel de Servicio consiste en un documento anexado al contrato de prestación de servicios el cual 24 contiene información acerca de las condiciones y los parámetros que comprometen al proveedor a cumplir niveles de calidad de servicio frente al cliente (Acens Technologies S.A, s.f). Según Acens Technologies S.A (s.f) los elementos que debe tener el SLA son los siguientes: • Características del servicio. • Tiempo transcurrido desde la firma del pedido o contrato hasta la entrega o puesta en marcha del servicio. • Atención al cliente, como se debe proceder frente a incidencias, la actuación del soporte técnico y el tiempo para asegurar la calidad del servicio. • Tiempo de respuesta. • Condiciones del mantenimiento. • Garantía y compensaciones, cuando incumplan con el contrato. Importancia del acuerdo de nivel de servicio El acuerdo de nivel de servicio les asegura a los clientes y a los proveedores que se ha entendido lo definido o pautado, además de la calidad del servicio que se va a brindar (Mangaly, 2022). Para el cliente, este documento genera tranquilidad, ya que asegura que los servicios que se acordaron se cumplan, además, estos deben ajustarse a las necesidades de la organización. El SLA dicta las normas y mediciones para cada servicio (Mangaly, 2022). En cuanto al proveedor, le permite la comunicación clara, concisa y precisa entre él y el cliente dejando de lado los malentendidos, en caso de que se presentara alguno, se pueden tomar las medidas definidas en este ya que ofrece un respaldo para el cliente (Mangaly, 2022). 2.2.8. Modelo Carter 10’s Ray Carter, director de DPSS Consultants escribió un artículo en 1995 en “Purchasing and Supply Management” sobre las 7 C’s de la Evaluación de Proveedores, y luego añadió 3 c’s más, que son: • Capacidad: ¿El proveedor tiene la capacidad de entregar lo que ofrece? 25 El proveedor al que se quiere contratar tiene los recursos necesarios para cumplir con las peticiones y los requisitos que tiene la organización. • Competencia: ¿El proveedor puede completar la tarea en un periodo de tiempo determinado? El proveedor es competente para llevar a cabo las actividades de la organización. • Consistencia: ¿El proveedor ofrece los mismos resultados constantes? El servicio o producto que brinda mantiene la misma calidad en cualquier momento, es decir no hay variación en lo que ofrece. • Control del proceso: ¿El proveedor ofrece flexibilidad y tiene un control sistemático sobre su proceso? • Compromiso con la calidad: ¿Existe un sistema establecido por el proveedor que verifique la gestión de la calidad? • Cash (efectivo): ¿El proveedor es independiente financieramente o trabaja con la participación de terceros? • Costo: ¿Los productos y servicios que ofrece son rentables? • Cultura: ¿El proveedor tiene buena cultura laboral y una buena reputación en el mercado? • Clean (limpio): ¿El proveedor tiene licencia legal para realizar el trabajo que te ofrece? • Communication efficiency (eficiencia en la comunicación): ¿El proveedor cuenta con los medios de comunicación necesarios para responder a las consultas que se le hacen? 2.2.9. Solicitud de servicio Para la solitud del servicio se consideran los siguientes componentes: • Esquema de clasificación de incidentes Zendesk (2023) considera la guía del marco de ITIL: ▪ Hardware (Computador sin funcionamiento). ▪ Software (Programa defectuoso). ▪ Red (Problemas de conexión). ▪ Seguridad (intento de intrusión en los sistemas informáticos de la organización). https://www.questionpro.com/blog/es/cultura-laboral/ 26 • Esquema de priorización de incidentes, Zendesk (2023) considera las siguientes categorías a partir del marco de ITIL: o Impacto: ¿Cómo afecta el incidente al negocio? o Urgencia: ¿Cuánto tiempo de tolerancia se tiene para resolver el problema? o Prioridad: La rapidez con la que se requiere una solución. Para estimar este elemento se debe considerar el impacto y la urgencia. • Pasos para seguir en una solicitud Según Zendesk (2023) los siguientes pasos mencionados en el marco de ITIL son: ▪ Propuesta: Presentar la solicitud del servicio. ▪ Evaluación: Se entiende la solicitud, se determina el grado de urgencia, los recursos y las herramientas que se requiere. ▪ Cumplimiento: Se lleva a cabo la gestión de la solicitud. ▪ Finalización: La solicitud se cierra y se archiva. ▪ Seguimiento. • Los criterios para el registro de problemas se consideran las siguientes variables que menciona Zendesk (2023) a partir del marco de ITIL: ▪ Título o número de ID ▪ Descripción ▪ Fecha ▪ Quien gestiona el incidente 27 3. TERCER CAPÍTULO: MARCO METODOLÓGICO En este tercer capítulo se desarrolla el marco metodológico utilizado para llevar a cabo la investigación aplicada. Se incluye el diseño, enfoque, tipo de investigación, población y muestras, fuentes de información consultadas, técnicas e instrumentos utilizados para recolectar datos, además el análisis de estos. 3.1. Diseño de investigación El diseño de investigación que se utilizó para la TFIA es el método de estudio de caso, debido a que se requiere conocer de forma detallada los procesos y las funciones del departamento de TI de la empresa seleccionada. Durán (2012) considera lo siguiente: El Estudio de Caso (EC) es una forma de abordar un hecho, fenómeno, acontecimiento o situación particular de manera profunda y en su contexto, lo que permite una mayor comprensión de su complejidad y, por lo tanto, el mayor aprendizaje del caso en estudio. Utiliza múltiples fuentes de datos y métodos, es transparadigmático y transdisciplinario. Por lo tanto, el estudio de caso es un diseño de investigación que permite un involucramiento más cercano y enriquecedor, permite adquirir conocimiento de una forma diferente y más completa, generando resultados favorables en las investigaciones. Yin (2014 como se citó en Ramírez, Riva y Cardona, 2019) afirma lo siguiente: El estudio de caso como estrategia metodológica es una herramienta útil en la investigación, y su validez radica en que a través del mismo se mide y registra la conducta de las personas incluidas en el fenómeno estudiado, mientras que los métodos cuantitativos sólo se centran en información verbal adquirida a través de encuestas por cuestionarios. Por ello, cuando se da la utilización de un estudio de caso, no solo se centra en una única forma de recaudación de información como se aprecia en los métodos cuantitativos, más bien se puede ampliar considerando así el objeto de estudio, así como la forma de interactuar las personas con respecto a este, en él se puede apreciar el lado cualitativo para recopilar este tipo de información. 28 3.1.1. Tipo de investigación El tipo de investigación que se utilizó para la realización de la TFIA se considera como investigación aplicada. Según Muntané (2010) este tipo de trabajo consiste en aplicar o utilizar los conocimientos que se adquieren en la investigación. Además, para su desarrollo tiene como dependencia los resultados y avances que proporciona la investigación básica. Se le conoce como práctica y empírica. Su mayor importancia radica en las consecuencias prácticas que se origina a partir de su construcción. 3.1.2. Método y enfoque de investigación La presente TFIA utilizó en el método y enfoque el tipo mixto, es decir tanto lo cuantitativo, como lo cualitativo, ya que se considera necesario para el desarrollo de esta, además cada una proporciona valor, a pesar de sus diferencias. 3.2. Población de estudio La población de estudio este compuesto por tres personas que laboran en la organización. Se observa con mayor detalle en el cuadro 1. También, se requirió el estudio de ciertos procesos y funcionalidades para visualizar el flujo de trabajo en el departamento de TI. Se observa con mayor detalle en el cuadro 2. Cuadro 1. Población de estudio Persona Puesto Persona 1 Ingeniero eléctrico Persona 2 Ingeniero en sistemas Persona 3 Gerente administrativo y financiero Fuente: Elaboración Propia 29 3.3. Fuente de Información 3.3.1. Fuente primaria Las fuentes primarias que se utilizaron para el desarrollo de la investigación consistieron en las siguientes: • Entrevista • Observación • Documentación del análisis desarrollado anteriormente por una empresa externa. • Cuestionario 3.3.2. Fuente secundaria Las fuentes secundarias que se utilizaron para el desarrollo de la investigación consistieron en las siguientes: • Marco COBIT 2019 • ISO 27001 • COBIT 2019, Kit de herramientas de diseño • COBIT 2019, Marco de Referencia, Introducción y Metodología • COBIT 2019, Diseño de una solución de Gobierno de Información y Tecnología • Tesis relacionadas a: Cuadro 2. Objetos de estudio y sus especificaciones Objeto de estudio Especificaciones Sistemas CRM de Microsoft y el ERP de Softland. Seguridad Accesos de personas autorizadas en los sistemas. Configuraciones de seguridad. Actualizaciones. Documentación Bitácora. Plan de continuidad y de contingencias. Infraestructura y plataforma tecnológica Políticas y procedimientos de administración de control de los recursos de información. Fuente: Elaboración Propia 30 o Propuesta del modelo de implementación del gobierno de TI. o Impacto de las tecnologías de la información en los negocios. o Modelo de gobierno y gestión de TI basado en el marco de referencia COBIT 2019. o Continuidad de negocio basada en COBIT. o Evaluación por medio de COBIT 2019. • Bases de datos utilizadas: o Kérwá repositorio institucional de la Universidad de Costa Rica ▪ COBIT 2019. ▪ Evaluación del marco COBIT 2019. ▪ Modelo de implementación COBIT 2019. o Dialnet ▪ TIC. ▪ Modelo de TIC. ▪ Marco de referencia COBIT 2019. ▪ Tecnologías de Información. ▪ Plan de contingencia. 3.4. Técnicas e instrumentos de recolección de información Las técnicas que se utilizaron en la investigación son las siguientes: • Observación directa con el fin de observar los sistemas, las configuraciones, funciones y procesos que realizan. Asimismo, ver la forma en la que se encuentra estructurado en la organización. Igualmente, se quiere conocer y entender como realizan ciertos procesos y actividades que no requieren de la presencia de los participantes de la entrevista, para ello se contó una guía de observación que contemple los escenarios para evaluar en TI. • Entrevista, a una persona de la organización, encargada de área de soporte técnico, se hizo de manera individual, además se utilizó un blog de notas para anotar la información. • Cuestionario, para recopilar la información del cuestionario se utilizó un Excel, se envió por correo electrónico a una persona de la organización, encargada del departamento de TI, se realizó con el fin de recabar información de manera más específica, se utilizó preguntas cerradas. 31 • Revisión documental, se revisó la documentación del marco COBIT 2019 e ISO 27001, la documentación de la auditoría proporcionada por la organización. 3.5. Análisis de datos En el análisis de datos se tiene como objetivo recabar información como la siguiente: • Tipos de procesos y las funciones que se realizan en el departamento de TI. • A partir del marco COBIT 2019 analizar y buscar las mejores prácticas para la organización. • Obtener el mapeo de los procesos. • Finalizar la guía de buenas prácticas para el departamento de TI. Cuadro resumen del planteamiento metodológico Cuadro 3. Marco metodológico que se utilizará para cumplir los objetivos de la investigación Objetivos Fuente de Información Instrumentos Análisis de datos Identificar los procesos y funciones del departamento de TI para conocer el funcionamiento del área. Tres personas: un ingeniero eléctrico, un ingeniero en sistemas y por último, una con el cargo administrativo y financiero. Una persona de soporte técnico. - Entrevista - Observación directa. - Cuestionario Recopilar los procesos y funciones del departamento de TI. 32 Evaluar mediante COBIT 2019 los procesos y funciones del departamento de TI, con el fin de identificar las fortalezas y debilidades de su gestión. Procesos y las funciones del departamento de TI a partir de la información proporcionada del objetivo anterior. A partir de la revisión documental del marco de trabajo COBIT se realiza un análisis de contenido de la información. Además, del análisis del cuestionario. A partir de los objetivos brindados por COBIT 2019 se genera una evaluación de la organización. Elaborar una guía de buenas prácticas para el departamento de TI con el fin de recomendar oportunidades de mejora en funciones, procesos y seguridad. Resultado de la evaluación del marco. Análisis de contenido de la información. Una guía de buenas prácticas ordenada de acuerdo con el resultado de probabilidad e impacto en la organización. Fuente: Elaboración propia 33 4. CUARTO CAPÍTULO: PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI EN LA ORGANIZACIÓN En este cuarto capítulo se desarrolla el primer objetivo de la investigación, consiste en identificar los procesos y funciones del departamento de TI a nivel interno (gestionar la infraestructura tecnología, seguridad en la red y los datos, soporte técnico a los colaboradores, gestión de sistemas de comunicación interno o externo) para conocer el funcionamiento del área dentro de la organización. Por ello, antes de comenzar es importante conocer más acerca de la organización, el capítulo estará desarrollado de la siguiente manera: se conocerá el departamento de TI, estructura organizacional del área, procesos y funciones, herramientas utilizadas. 4.1. Departamento de TI 4.1.1. Estructura organizativa del departamento El área está constituida solo por una persona, la cual se encarga de gestionar todo lo relacionado a TI, desde configurar los correos electrónicos de la organización, la entrega de equipo, reparación de equipos, gestión de las plataformas que usa la empresa y demás funciones. Y como se mencionó con anterioridad se debe responder al gerente de financiero ya que es un departamento nuevo y no tienen aún una gerencia correspondiente al departamento de TI como tal. 4.1.2. Procesos del departamento de TI En el departamento de TI realizan varios procesos como los siguientes: peticiones hacia el personal de TI, entrega del equipo tecnológico y gestión de tecnologías de la información TI, cada proceso será explicado a continuación. • Peticiones hacia el personal de TI: se compone de las peticiones que tienen los colaboradores de la empresa hacia el personal de TI, se hace por medio de solicitudes, por lo general escritas y por medio de correo electrónico, o bien de forma verbal, dependiendo del proceso por llevar a cabo. Es decir, si es para la compra de algún equipo o bien para reparación de un equipo se debe hacer mediante el correo, expresando la solicitud puntual, para que se dé el visto bueno 34 por parte del gerente a cargo del departamento, pero si es solo por algún inconveniente menor, se gestiona sin la compra extra, por lo que se hace de forma verbal. • Entrega del equipo tecnológico: consiste en proporcionarles a los colaboradores el equipo necesario para cumplir con sus labores, para realizar el proceso correctamente cuentan con un documento que les permite tener garantía y hacer constar que el equipo entregado está en perfectas condiciones para usarse. • Gestión de tecnología de información TI: se tiene la fiscalización tanto del hardware y el software de los equipos que se ponen a disposición de los colaboradores, así como la seguridad ofrecida por los proveedores de distintas herramientas que utiliza la organización. Para llevar a cabo este proceso utilizan un documento que indica requisitos que se debe cumplir. 4.1.3. Funciones del departamento de TI El personal de TI cuenta con varias funciones, las principales que desarrollan son: servicio técnico, administración de las herramientas utilizadas en el departamento de TI, gestión de equipos informáticos y seguridad, cada proceso será explicado a continuación. • Servicio técnico: para llevar a cabo el proceso de servicio técnico se le solicita al cliente que registre una solicitud, él ingresa nombre, asunto, descripción, nivel de importancia (la prioridad si es 1, 2, 3) en el sistema Portal del CRM de Microsoft. Luego el sistema envía un correo a la persona administradora, ella asigna el caso a el técnico que tiene conocimiento y es responsable del cliente. El técnico recibe una notificación del caso (se le indica a la persona por medio de Teams sobre el caso asignado). En el proceso lo primero que se realiza, es saber cómo proceder (llamada, correo, Teams, cita), en este caso, se tienen diferentes actividades para desarrollar e involucrar al cliente con el fin de conocer más acerca de lo solicitado. Una vez que resuelve el caso o la solicitud, se envía un correo para el cliente y el administrador del CRM. Por último, la finalización del caso se da cuando la persona que abrió la solicitud le da el visto bueno mediante un correo o cuando se reactiva nuevamente el caso por disconformidad en la solución utilizada. 35 Una representación ilustrativa del servicio técnico mencionada anteriormente se puede ver en la Figura 7. • Administración de las herramientas utilizadas en el departamento de TI: el área de TI cuenta con un cuarto de servidores donde se encuentran los servidores físicos, a su vez la administración de los servidores en la nube, además del software que usa la compañía. También se cuenta con sistemas de administración para las cuentas y contraseñas de la organización, a su vez de los recursos para la compra de equipo necesario para los colaboradores y de los implementos necesarios de la oficina como lo pueden ser impresoras, equipo electrónico o bien para los mismos servidores. • Seguridad: La organización cuenta con un cuarto pequeño donde tiene los servidores que se encuentran en uso, además en él también tiene otros dispositivos como herramientas, piezas de cómputo y materiales. Cada uno de estos equipos se encuentran monitorizados por una cámara de seguridad. Para ingresar al cuarto cualquier persona que lo requiera o lo necesite puede tener acceso a este. Es decir, no se requiere ningún tipo de autorización, tampoco se lleva un registro, ni se Figura 7. Diagrama de flujo del servicio técnico Fuente: Elaboración Propia 36 solicita una descripción del motivo del ingreso, solo se requiere de la necesidad de entrar para tener acceso al lugar. Seguridad de los sistemas: para la seguridad de TI en los sistemas realizan actualizaciones para protegerlos de software malicioso. Además, toman medidas en los correos y las descargas que realizan los colaboradores con el fin de evitar ataque de spyware y el phishing. Por esta razón, la empresa concientiza a los trabajadores de los peligros a los que se pueden exponer si cuentan con un mal manejo de las contraseñas, el uso inadecuado del correo y el ingreso de páginas web peligrosas. En menor medida conocen o investigan acerca de las nuevas amenazas de seguridad que hay en el mercado, por ende, de los consejos y los protocolos que deben considerarse al enfrentarse a estos nuevos peligros. Seguridad de la red: Poseen configuraciones de seguridad en el equipo de red y un control del tráfico entrante y saliente de la red, además aplican un mecanismo de filtrado como el firewall, con el fin de detectar intrusos. Realizan un esfuerzo en la aplicación de protocolos de seguridad en las conexiones de red, aunque puede mejorarse. • Gestión de equipos informáticos Los dispositivos se encuentran asociados a cada colaborador mediante un documento que se da al inicio de la entrega del equipo. Además, las computadoras o ciertos activos no cuentan con una placa de identificación, con el fin de controlar el activo y en caso de pérdida o de robo pueda identificarse. 4.1.4. Tratamiento de la información y los dispositivos de la organización 4.1.4.1. Tratamiento de la información La información sensible no posee un tratamiento diferente a los documentos públicos o no confidenciales, por ello su acceso no es controlado ni se encuentra definido para ciertos trabajadores. 37 5. QUINTO CAPÍTULO: EVALUACIÓN DE LOS PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI, A PARTIR DE COBIT 2019 Para llevar a cabo la selección de dominios en esta investigación se debe tomar en cuenta que COBIT está conformado por cinco dominios: Evaluar, dirigir y monitorizar (EDM), Alinear, planificar y organizar (APO), Construir, adquirir y monitorizar (BAI), Entregar, dar servicio y soporte (DSS), Monitorizar, evaluar y valoras (MEA). De los cuales se trabajará con dos de ellos, debido a su enfoque en los procesos y a los temas que para la organización son más relevantes, cada uno de los procesos de dominios son elegidos debido al crecimiento que tiene la organización si bien es cierto el departamento de TI es pequeño y no sé encuentra totalmente definido es un punto de partida para realizar una evaluación. El objetivo es que lleven a ejecución las mejores prácticas, además antes de aplicar cambios o realizar modificaciones se debe tener un panorama amplio y estos procesos les permite contemplar lo que se requiere para empezar las bases de un departamento de TI, se visualizan en la Figura 8. Para llevar a cabo esta elección se consideró la auditoría que previamente se le realizó a la organización por parte de una empresa externa. A partir del documento proporcionado se analizaron los puntos donde se tienen mayores debilidades y se encajaron con los dominios que posee COBIT, pero esto se empieza a desglosar más cuando se da la observación de los objetivos, ya que cada uno conforma el dominio y se dividen en diferentes pautas. En la Figura 9 se puede observar los objetivos seleccionados por dominio. Figura 8. Selección de los dominios de COBIT y su enfoque Fuente: Elaboración Propia • Se enfoca en la organización general, la estrategia y actividades de apoyo para las I&T. Alinear, planificar y organizar (APO) • Consiste en la definición, adquisión e implementación de soluciones de I&T y su integración en los procesos de negocio. Construir, adquirir y monitorizar (BAI) • Se encarga de la ejecución operativa y el soporte de los servicios de I&T, incluida la seguridad. Entregar, dar servicio y soporte (DSS) 38 Cada uno de estos objetivos esta subdividido en otros puntos de los cuales se eligieron los de mayor interés para la organización. Dominio 1: Selección de procesos de Alinear, planificar y organizar (APO), ver la tabla 3. Tabla 3. Procesos que se tomarán del dominio de APO APO01 Gestionar el Marco de Gestión de TI • APO01.01 Diseñar el sistema de gestión para la I&T de la institución. • APO01.02 Gestionar la comunicación de los objetivos, dirección y decisiones tomadas. • APO01.03 Gestionar la implementación de procesos. • APO01.04 Definir e implementar las estructuras organizativas. • APO01.05 Establecer roles y responsabilidades • APO01.06 Optimizar la ubicación de la función de TI. • APO01.07 Definir la propiedad de la información (datos) y del sistema de información. Figura 9. Objetivos seleccionados por dominio Fuente: Elaboración Propia Figura 10. Evaluación de los dominios seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. Alinear, planificar y organizar (APO) • APO01 Gestionar el Marco de Gestión de TI. • APO02 Gestionar la estrategia. • APO10 Gestionar los proveedores. • APO13 Gestionar la seguridad. Construir, adquirir y monitorizar (BAI) • BAI04 Gestionar la disponibilidad y la capacidad. Entregar, dar servicio y soporte (DSS) • DSS02 Gestionar las peticiones y los incidentes de servicio. • DSS04 Gestionar la continuidad. • DSS05 Gestionar los servicios de seguridad. 39 • APO01.08 Definir las habilidades y competencias objetivo. • APO01.09 Definir y comunicar políticas y procedimientos. • APO01.10 Definir e implementar la infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión. APO02 Gestionar la estrategia • APO02.01 Comprender el contexto y la dirección de la empresa. • APO02.02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa. • APO02.03 Definir las capacidades digitales objetivo. • APO02.05 Definir el plan estratégico y el mapa de ruta. APO10 Gestionar los proveedores • APO10.01 Identificar y evaluar los contratos y las relaciones con los proveedores. • APO10.04 Gestionar el riesgo de los proveedores. APO13 Gestionar la Seguridad • APO13.01 Establecer y mantener una información gestión de seguridad (SGSI). • APO13.02 Definir y administrar una seguridad de la información y riesgo de privacidad plan de tratamiento. • APO13.03 Supervisar y revisar la información gestión de seguridad (SGSI). Fuente: Elaboración Propia Dominio 2: Selección de procesos de Construir, adquirir y monitorizar (BAI), ver la tabla 4. Tabla 4. Procesos que se tomarán del dominio de BAI BAI04 Gestionar la Disponibilidad y la Capacidad • BAI04.02 Evaluar el impacto en el negocio. 40 • BAI04.03 Planificar los requisitos de los servicios nuevos o modificados. • BAI04.05 Investigar y resolver los problemas de disponibilidad, rendimiento y capacidad. Fuente: Elaboración Propia Dominio 3: Selección de procesos de Entregar, dar servicio y soporte (DSS), ver la tabla 5. Tabla 5. Procesos que se tomarán del dominio de DSS DSS02 Gestionar las Peticiones y los Incidentes del Servicio • DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de servicio. • DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes. • DSS02.06 Cerrar las peticiones de servicio y los incidentes. DSS04 Gestionar la Continuidad • DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance. • DSS04.02 Mantener la resiliencia del negocio. • DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio. DSS05 Gestionar los Servicios de Seguridad • DSS05.01 Proteger contra software malicioso. • DSS05.02 Gestionar la seguridad de la conectividad y de la red. • DSS05.03 Gestionar la seguridad de endpoint. • DSS05.04 Gestionar la identidad del usuario y el acceso lógico. • DSS05.05 Gestionar el acceso físico a los activos de I&T. Fuente: Elaboración Propia 41 5.1. Resultado de la evaluación de COBIT 2019 en la empresa de equipos electrónicos Para ejecutar la información mencionada anteriormente, se aplicaron cuestionarios que contienen preguntas acerca de los objetivos de COBIT 2019 elegidos, ellos abarcan consultas sobre el grado de los procesos y funciones que se aplican en la organización, nos permite tener el conocimiento para saber en qué condiciones está la empresa asociados en los puntos elegidos del marco COBIT 2019. Los resultados obtenidos se exponen en los siguientes grupos: evaluación por dominio, evaluación por subobjetivos de control y evaluación por objetivos. 5.1.1. Evaluación por dominio La evaluación de dominios se puede ver en la Figura 10, donde se aprecia los dominios seleccionados, la cantidad de objetivos que se tomaron en consideración, por último, el resultado que se da al evaluar la organización, este es representado por el porcentaje. Según los resultados que se muestra en la Figura 10, se tiene que el dominio con menor cumplimiento del objetivo es el de entregar, servicio y soporte con un porcentaje de 49%, lo que deja en evidencia problemas en la parte de seguridad, falta de planes de continuidad de negocio, gestión de peticiones e incidentes de servicio. Figura 10. Evaluación de los dominios seleccionados del marco COBIT 2019 aplicado a la organización de equipos eléctricos. Fuente: Elaboración Propia Alinear, planificar y organizar Entrega, Servicio y Soporte Construir, adquirir e implementar Porcentaje 61% 49% 78% Cantidad de objetivos 4 3 1 61% 49% 78%4 3 1 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 42 Por otro lado, el objetivo con mayor cumplimiento es construir, adquirir e implementar con un 78%, es mayor al 70%, por lo tanto, es uno de los dominios que se encuentran en el rango aceptable para el marco de trabajo COBIT 2019. 5.1.2. Evaluación por objetivos En la evaluación que se realizó se presentan los objetivos por dominio que fueron seleccionados, cada uno cuenta con el porcentaje de cumplimiento que tiene en la organización. 5.1.2.1. Alinear, Planificar y Organizar Como se puede apreciar en la Figura 11 el objetivo con menor cumplimiento es el APO10 Gestionar los Proveedores con un 48% con respecto a las demás, lo que indica que el departamento no tiene una estrecha relación con los proveedores de servicio, ya que presentan desconocimientos de los contratos que han adquirido, no hay un control o una documentación sobre los servicios adquiridos y la