Envía por correo este artículo 
Gestión de Gobierno de TI basado en COBIT 2019, para el Colegio de Bachillerato "Sara Serrano de Maridueña"
IT Governance Management based on COBIT 2019, for the Colegio de Bachillerato "Sara Serrano de Maridueña"
Gestão da Governança de TI com base no COBIT 2019, para o Colégio "Sara Serrano de Maridueña"
Correspondencia: diego.alvarado.46@est.ucacue.edu.ec
Ciencias de la Salud
Artículo de investigación
*Recibido: 30 de Septiembre de 2021 *Aceptado: 30 de Octubre de 2021 * Publicado: 10 de Noviembre de 2021
I. Ingeniero de Sistemas, Estudiante de Posgrados. Universidad Católica de Cuenca, Cuenca, Ecuador.
II. Magíster en Evaluación y Auditoría de Sistema Tecnológicos, Unidad Académica de Posgrados, Universidad Católica de Cuenca, Cuenca, Ecuador.
Resumen
COBIT creado por ISACA es una herramienta de Gestión y Gobierno de TI muy utilizada y recomendada por los auditores y gerentes de organizaciones que han implementado su marco de Gobierno. El presente artículo es el resultado de proponer un plan de TI basado en COBIT en su versión 2019, determinando las acciones a tomar en cuenta según el marco de referencia. Se inicia desde un análisis de la situación actual de la institución y se levantan los procesos existentes en el área de TI, se aplican los procedimientos COBIT con el fin de determinar mediante lo analizado con anterioridad que objetivos de gobierno y gestión se acopla a lo que la institución necesita, se alinea los procesos levantados con los objetivos seleccionados y por último se plantea los procesos o procedimientos bajo una propuesta basados en el marco de referencia, con el fin de mejorar los procesos, recursos, tiempo y roles dentro de la organización.
Palabras clave: COBIT; ISACA; herramienta de gestión y gobierno de TI; marco de referencia; auditores; Plan de TI.
Abstract
COBIT created by ISACA is an IT Governance and Management tool widely used and recommended by auditors and managers of organizations that have implemented its Governance framework. This article is the result of proposing an IT plan based on COBIT in its 2019 version, determining the actions to take into account according to the reference framework. It starts from an analysis of the current situation of the institution and the existing processes in the IT area are raised, COBIT procedures are applied in order to determine through what has been previously analyzed which government and management objectives are coupled with what the institution needs, the processes raised are aligned with the selected objectives and finally the processes or procedures are raised under a proposal based on the frame of reference, in order to improve the processes, resources, time and roles within the organization.
Keywords: COBIT; ISACA; management and governance tool; framework; auditors; IT plan.
Resumo
O COBIT criado pela ISACA é uma ferramenta de Governança e Gestão de TI amplamente utilizada e recomendada por auditores e gestores de organizações que implementaram sua estrutura de Governança. Este artigo é o resultado da proposição de um plano de TI baseado no COBIT em sua versão 2019, determinando as ações a serem consideradas de acordo com o referencial. Parte-se de uma análise da situação atual da instituição e levantam-se os processos existentes na área de TI, são aplicados os procedimentos do COBIT a fim de determinar através do que foi analisado anteriormente quais objetivos de governo e gestão estão atrelados ao que a instituição necessita, o os processos levantados são alinhados com os objetivos selecionados e, por fim, os processos ou procedimentos são levantados sob uma proposta baseada no quadro de referência, a fim de melhorar os processos, recursos, tempo e funções dentro da organização.
Palavras-chave: COBIT; ISACA; Ferramenta de governança e gestão de TI; ponto de referência; auditores; Plano de TI.
Introducción
En los últimos años ha sido muy cámbiate el área educativa en aspectos importantes a partir de la Constitución de 2008, de la Ley Orgánica de Educación Intercultural de 2011 y del Plan Nacional del Buen Vivir 2009-2013, bajo este contexto se aplicó una nueva reforma en las distintas instituciones educativas (MARIDUEÑA, 2018).
En la actualidad existen varias instituciones educativas que han utilizado COBIT 2019 como herramienta para el mejoramiento de sus procesos, como se describe a continuación:
En el año 2018, se publicó un artículo científico referente a las buenas prácticas en el uso de tecnologías de la información y comunicación (TIC) en universidades ecuatorianas, de acuerdo al estudio realizado se basaba en que son pocas universidades del Ecuador que se enfocan en fortalecer el área de TI y vincularla a los objetivos de la organización, como unas alternativas a esta problemática se planteó contar con un comité de TI y que se pueda aplicar un modelo de Gobierno y Gestión de TI formal (Paredes-Parada, 2018).
En el año 2019, se publicó un artículo científico referente al aplicar un Modelo de Gobierno y Gestión de Tecnologías de Información (TI), basado en COBIT 2019 e ITIL 4 para la Universidad Católica de Cuenca, de acuerdo al estudio realizado se estableció un modelo de Gobierno y Gestión de tecnología basados en marcos de referencia de COBIT y ITIL, el mismo que permitió adoptar una estrategia para la implementación de los procesos recomendados por los mismos, utilizando la metodología de la cascada de metas, para lograr el alineamiento de los objetivos de TI con los objetivos institucionales (Amón & Zhindón, 2020).
En el año 2020, mediante un proyecto de tesis de la Universidad Católica del Ecuador, se planteó realizar una guía de implementación del conocimiento basado en COBIT 2019 para el departamento de TI, obteniendo resultados positivos y permitiendo mejorar el procesamiento de los datos y los procesos con alternativas como mesas de ayuda (ANTONIO, 2020).
El Colegio de Bachillerato “Sara Serrano de Maridueña” siendo una organización de educación pública que tiene como finalidad plantar y fortalecer los principios, valores y capacidades de sus estudiantes para enfrentar un mundo cambiante y competitivo de manera creativa, en el marco del entendimiento mutuo y el respeto intercultural a la comunidad, fue reformada con nuevas estructuras y procesos con el fin de mejorar y optimizar tiempo y recursos en el área de la TIC en la educación (MARIDUEÑA, 2018).
La incorporación y funcionamiento de las tecnologías de la información es ilimitada en todos los ámbitos en especial en el educativo. El colegio de bachillerato “Sara Serrano de Maridueña” es indispensable en sus jornadas laborales diarias el uso de las TI para sus procesos internos como comunicación mediante plataformas digitales a la planta docente y externas como comunicación con la plataforma educativa del estado.
COBIT es un marco de referencia para el gobierno y la gestión de la información y la tecnología, dirigido a toda la empresa, define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, habilidades e infraestructura; con COBIT al definir un diseño de gobierno permitiría a la empresa u organización observar y definir los aspectos importantes dentro de la institución para crear un sistema de gobierno adecuado (ISACA, 2019b).
El presente artículo brinda un aporte de gran importancia enfocado en el área de Gestión y Gobierno de TI con un marco de referencia COBIT 2019 alineado a los objetivos principales de una institución educativa. Permitiendo contestar la siguiente pregunta investigativa, ¿Cuál es el procedimiento adecuado de gestión y gobierno de TI para solventar problemas de manejos de los datos, asignación de roles, reducción de costos, manejo de la información para el Colegio de Bachillerato “Sara Serrano de Maridueña” ?, para dar respuesta a la pregunta de investigación se realiza las siguientes fases:
Análisis.- Se empieza con un diagnóstico de la situación actual con el que permitirá conocer los procesos a ser reestructurados en la institución educativa y los procesos COBIT de la versión 2019 que se puede aplicar para el presente caso de estudio; como parte de esta fase se toma en consideración un artículo de revisión sistemática.
Diseño.- Permite mediante la situación actual poder seleccionar los procesos del marco de referencia que se acoplan a las necesidades de la institución.
Implementación.- Por último, se elabora el modelo de Gestión de TI como propuesta con las recomendaciones a implementar basadas en COBIT.
Metodología
Para el presente artículo se utilizó el método Inductivo que va de lo general a lo particular, permitiendo así poder hacer una retroalimentación en cada fase y requerimientos del proyecto, la cual se compone de tres fases: análisis, identificación y elaboración del plan Gestión de TI.
Análisis.– En la fase de análisis se realiza un diagnóstico de la situación actual de la organización y del marco de referencia COBIT 2019 con el fin de determinar los mejores procedimientos a realizar dentro de la institución mediante una revisión sistemática de literatura.
Diseño.– Mediante la situación actual de la organización y de COBIT 2019, se selecciona los procesos que se acoplan a las necesidades de la organización.
Elaboración.– Se realiza un plan estratégico de mejoras que permita acoplar los objetivos de la organización con los procesos COBIT en la versión 2019 y permita definir de manera ordenada los procedimientos.
Situación Actual
En el presente apartado se detalla la situación actual del Colegio de Bachillerato “Sara Serrano de Maridueña” y son únicamente para estrictos usos en el presente artículo, se presenta el procedimiento a seguir para poder elaborar un plan de gestión de TI en base a COBIT 2019 en las instituciones educativas.
Análisis
El Colegio de Bachillerato “Sara Serrano de Maridueña” ubicada en la ciudad de Huaquillas, es una institución pública que ofrece a los jóvenes y adolescentes del cantón Huaquillas los tres años de Educación Básica, Básica Superior; y, el Bachillerato General Unificado con sus dos tipos: el Bachillerato General Unificado en Ciencias y, el Bachillerato Técnico Polivalente en Contabilidad y Administración, para lograr las ofertas académicas la institución cuenta con recursos humanos y tecnológicos.
Tabla 1. Datos informativos institucionales
|
DATOS INFORMATIVOS |
|
|
Acuerdo de creación: |
Nº 3256 del 11 de abril de 1986 |
|
Distrito educativo: |
Z07D05 |
|
Circuito educativo: |
07D05C06 |
|
Nivel: |
Educación Básica Superior / Bachillerato |
|
Ubicación |
Cantón Huaquillas, Parroquia Milton Reyes |
|
Zona: |
Urbana |
|
Jornada: |
Vespertina |
|
Nº de Aulas/ clases |
12 |
|
Laboratorio Qui-bio |
1 |
|
Aula de computación |
1 (31 computadoras) |
|
Biblioteca virtual |
1 (1 Proyector) |
|
Personal administrativo y docentes |
26 |
|
Estudiantes |
604 |
Fuente (Autor)
Identificación de los activos institucionales
Los activos son el recurso con valor para la organización con el fin de generar un beneficio a futuro, dentro del laboratorio de TI se realiza el levantamiento de los activos actuales, como se muestra en la siguiente tabla.
Tabla 2. Equipos Tecnológicos
|
INVENTARIO DEL EQUIPO TECNOLOGICO |
|
|
Infraestructura |
Cantidad |
|
Computadoras de escritorio: |
31 |
|
Proyector: |
1 |
|
Impresoras |
1 |
|
Equipos de telecomunicaciones: |
1 |
|
Escáner: |
1 |
Fuente (Autor)
Como se muestra en la tabla existen en la actualidad 31 computadoras de escritorio entre ellas la que es asignada al profesor, al igual dentro del área de videoconferencia cuentan de 1 proyector e impresora, es importante afirmar que todos los equipos tecnológicos cuentan con sus licencias y se encuentran operativas.
En la actualidad el área de tecnología de la información y comunicación se encuentra dirigida por el ing. Jhony Jara, bajo la coordinación de rectorado a cargo de la ing. Violeta Delgado, aunque las distintas áreas de la institución no dependen directamente del área de tecnología, si ofrece soporte ante cualquier eventualidad en cada una de las áreas de la organización.
Figura 1. Organico Estructural
Levantamiento de procesos
Para el desarrollo del presente trabajo se realizó el diagnóstico de la situación actual de la organización y del centro de cómputo del área de TI; por el momento en el área de TI se brinda una serie de servicios que se han implementado en función de las necesidades y actividades que se conllevan a diario, como se muestra a continuación en la siguiente tabla, los servicios ofertados por TI dentro de su estructura institucional.
Tabla 3. Servicio de TI ofertados
|
SERVICIO |
NOMBRE DEL SERVICIO |
|
Servicio 1 |
Servicio de Mantenimiento Preventivo |
|
Servicio 2 |
Servicio de Mantenimiento Correctivo |
|
Servicio 3 |
Servicio de Préstamo de equipos informáticos |
Fuente (Autor)
Los servicios de TI no están plasmados momentáneamente como procesos, por lo cual el levantamiento de procesos es elaborado por el presente autor; al momento el centro de cómputo cuenta con 3 servicios activos (tabla 3), de los cuales se detalla a continuación el detalle de cada servicio existente y los procedimientos correspondientes establecidos, como se muestra a continuación en las siguientes tablas.
Tabla 4. Levantamiento de procesos sobre Mantenimiento de Equipos Informáticos
|
DETALLE DEL SERVICIO |
|
|
Nombre |
Mantenimiento Preventivo |
|
Descripción |
Brindar el mantenimiento obligatorio por cada periodo de 6 meses para el correcto funcionamiento de los aplicativos y el equipo informático. |
|
Estado |
Activo – Operativo |
|
Versión |
01 |
|
Fecha de iniciación |
2014 |
|
Fecha de finalización |
En funcionamiento en la actualidad |
|
Soporte |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Soporte para modificaciones |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Propietario |
Colegio de Bachillerato "Sara Serrano de Maridueña" |
|
Clientes |
La comunidad |
|
INTRODUCCIÓN |
|
|
El equipamiento que existe en la actualidad en la institución educativa es de gama media. |
|
|
ALCANCE |
|
|
Proceso Inicia con: |
a) Proceso inicia con la planificación anual del mantenimiento preventivo b) Ejecución de los trabajos en los tiempos propuestos |
|
Proceso termina con: |
a)
Recepción de los equipos para el mantenimiento preventivo |
|
OBJETIVO |
|
|
Mantener los equipos informáticos operativos en su totalidad, para evitar complicaciones o molestias al usuario final |
|
|
SERVICIO CONTIENE |
|
|
a) Existe una
planificación sobre la actualización de equipos informáticos |
|
|
EXCLUSIONES |
|
|
a) Reparación de equipos |
|
|
CARACTERISTICAS GENERALES |
|
|
Responsable |
Ing. Jhony Jara |
|
Clientes |
Toda la planta docente y estudiantil de la institución |
|
Servicios Relacionados |
a) Bases de Datos |
|
Entradas |
a) Requerimiento de licenciamiento de Software y Hardware |
|
Entregables |
a) Informe de diagnóstico cada 6 meses |
|
Funciones |
a) Actualización de Software |
Fuente (Autor)
Tabla 5. Levantamiento de los procesos sobre la corrección de los equipos informáticos.
|
DETALLE DEL SERVICIO |
|
|
Nombre |
Mantenimiento Correctivo |
|
Descripción |
Realizar el procedimiento de reparación a los equipos informáticos institucionales |
|
Estado |
Activo – Operativo |
|
Versión |
01 |
|
Fecha de iniciación |
2014 |
|
Fecha de finalización |
En funcionamiento en la actualidad |
|
Soporte |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Soporte para modificaciones |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Propietario |
Colegio de Bachillerato "Sara Serrano de Maridueña" |
|
Clientes |
La comunidad |
|
INTRODUCCIÓN |
|
|
El equipamiento que existe en la actualidad en la institución educativa es gama media |
|
|
ALCANCE |
|
|
Proceso Inicia con: |
a) Proceso inicia con una planificación de los equipos con daños
y que están fuera de operación. |
|
Proceso termina con: |
a) Recepción de los equipos para procedimiento de reparación
ante daños. |
|
OBJETIVO |
|
|
Mantener los equipos informáticos operativos en su totalidad, para evitar complicaciones o molestias al usuario final |
|
|
SERVICIO CONTIENE |
|
|
a) Existe una planificación sobre las reparaciones de los equipos informáticos |
|
|
EXCLUSIONES |
|
|
a) Mantenimiento de los equipos informáticos b) Prestación de equipos informáticos |
|
|
CARACTERISTICAS GENERALES |
|
|
Responsable |
Ing. Jhony Jara |
|
Clientes |
Toda la planta docente y estudiantil de la institución |
|
Servicios Relacionados |
a) Soporte a servicios técnicos |
|
Entradas |
a) Equipos informáticos con daños técnicos |
|
Entregables |
a) Informe de reparaciones realizadas cada 6 meses |
|
Funciones |
a) Reparación de Hardware |
Fuente (Autor)
Tabla 6. Levantamiento del proceso sobre las prestaciones de los equipos informáticos
|
DETALLE DEL SERVICIO |
|
|
Nombre |
Prestaciones de equipos informáticos |
|
Descripción |
Llevar un registro de las maquinas disponibles y usuarios que utilizan el equipo informático |
|
Estado |
Activo – Operativo |
|
Versión |
01 |
|
Fecha de iniciación |
2014 |
|
Fecha de finalización |
En funcionamiento en la actualidad |
|
Soporte |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Soporte para modificaciones |
Coordinador del centro de cómputo (Ing. Jhony Jara) |
|
Propietario |
Colegio de Bachillerato "Sara Serrano de Maridueña" |
|
Clientes |
La comunidad (docentes y estudiantes) |
|
INTRODUCCIÓN |
|
|
Se conlleva un registro de las maquinas disponibles y usos de los equipos informáticos en el centro de computo |
|
|
ALCANCE |
|
|
Proceso Inicia con: |
a) Proceso empieza con un registro de máquinas disponibles en el centro de cómputo. |
|
Proceso termina con: |
a) Recepción de cada usuario que accede al servicio de un equipo
informático dentro del centro de cómputo. |
|
OBJETIVO |
|
|
Mantener los equipos informáticos operativos en su totalidad, para evitar complicaciones o molestias al usuario final |
|
|
SERVICIO CONTIENE |
|
|
a) Existe una organización estructural en el centro de computo con el fin de identificar equipos disponibles para el usuario final |
|
|
EXCLUSIONES |
|
|
a) Mantenimiento de equipos informáticos b) Reparación de equipos informáticos |
|
|
CARACTERISTICAS GENERALES |
|
|
Responsable |
Ing. Jhony Jara |
|
Clientes |
Toda la planta docente y estudiantil de la institución |
|
Entradas |
a) Equipos informáticos y usuarios |
|
Entregables |
a) Informe de prestaciones de equipos informáticos |
|
Funciones |
a) Control y monitoreo de los equipos informáticos y sus funcionalidades. |
Fuente (Autor)
El levantamiento de los procesos es parte fundamental del presente artículo, con el fin de planificar los objetivos a aplicar con el marco de referencia COBIT 2019.
Análisis del marco de Referencia COBIT 2019
Desde su nacimiento en la comunidad de auditorías de TI, COBIT ha pasado a ser un marco de gobierno y gestión más amplio y bien definido, estableciéndose como un marco generalmente aceptado para el gobierno de TI. En la actualidad COBIT tiene la versión 2019 que mejora a las versiones anteriores en áreas como la flexibilidad y apertura, actualidad y relevancia, aplicación prescriptiva, gestión del desempeño de TI (ISACA, 2019a).
En la familia de productos de COBIT 2019 es abierta y diseñada para la personalización, disponible en diferentes en diferentes ámbitos y publicaciones como:
· El Marco de referencia COBIT 2019: Introducción y metodología: donde presenta lo conceptos fundamentales de COBIT.
· El Marco de referencia COBIT 2019: Objetivos de gobierno y gestión: donde se describe de forma exhaustiva los 40 objetivos de gobierno y gestión.
· La guía de diseño de COBIT 2019 Diseño de una solución de Gobierno de información y tecnología.
· La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología
Se muestra a continuación en la figura 1 una visión general de COBIT 2019 y muestra los aspectos distintos.
Figura 2. Generalidades de COBIT 2019
Fuente (ISACA, 2019a)
COBIT 2019 está basado en COBIT 5 y otras fuentes fiables, COBIT esta alineado con una serie de estándares y marcos relacionados, en el futuro se acudirá a su comunidad de usuario para que propongan actualizaciones de contenido, que serán aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las ultimas actualizaciones (ISACA, 2019a).
Los objetivos de gobierno y de gestión se agrupan en cinco dominios. Los dominios se nombran mediante verbos que expresen el propósito clave y las áreas de actividad del objetivo que tienen, como se muestra a continuación:
· Los objetivos de gobierno se agrupan en el dominio evaluar, dirigir y monitorizar. En este dominio el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estratégica.
· Los objetivos de gestión se agrupan en cuatro dominios:
o Alinear, Planificar y Organizar (APO)
o Construir, Adquirir E implementar (BAI)
o Entregar, Dar servicio y soporte (DSS)
o Monitorizar, Evaluar y Valorar (MEA)
Figura 3. Modelo Core de COBIT 2019
Fuente (ISACA, 2019a)
Diseño del Sistema de gobierno personalizado basado en COBIT 2019
Para elaborar el diseño del sistema de gobierno basados en COBIT 2019 se compone de 4 etapas, de las cuales se convierten en recomendaciones basadas en lograr un sistema de gobierno de TI, como se muestra a continuación las fases en la siguiente figura.
Figura 4. Flujo de trabajo del sistema de gobierno
Fuente (ISACA, 2019a)
Estrategia Empresarial
Para utilizar los estándares y procesos del marco de referencia, es necesario especificar los procedimientos que fueron levantados con anterioridad bajo el estándar COBIT en su versión 2019, como se muestra a continuación en la siguiente tabla.
Tabla 7. Procesos bajo el prototipo COBIT 2019 (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
PROTOTIPO DE LA ESTRATEGIA COBIT 2019 |
ESTRATEGIAS CBSSM 2019 |
|
Crecimiento / Adquisición |
Mejora de los procesos de mantenimiento, arreglo y prestación de equipos informáticos Consolidar la imagen institucional y calidad educativa por parte de la planta docente y estudiantes Establecer procesos y procedimientos institucionales que relacionen con el área de TI a fin de optimización de recursos |
|
Innovación / Diferenciación |
Mejorar el clima laboral, adaptación a los procesos de modernización y cultura organizacional Mejorar la capacidad de protección ante posibles ataques informáticos |
|
Liderazgo en costes |
Consolidar mesas de trabajo en la que sea tomada en cuenta el área de TI como primordial y más aún para la adquisición de equipos informáticos. |
|
Servicio al cliente/ Estabilidad |
Presentar nuevos procesos o procedimientos que no estén fuera de lo posible de acuerdo a las normas y políticas de la institución educativa Calificación de la atención al usuario final, con el fin de mejorar la asistencia de los servicios prestados a la comunidad. |
Metas empresariales
Las estrategias empresariales se logran mediante la aplicación de las metas empresariales, de los cuales se definen a continuación del cuadro de mando integral (Balanced Scorecard) con respecto a metas financieras, de clientes, internas y crecimiento.
Tabla
8.
Metas empresariales (ISACA; Marco de referencia COBIT 2019: Objetivos de
gobierno y gestión, 2018)
|
REFERENCIA |
DIMENSIÓN DEL CUADRO DE MANDO INTEGRADO (BALANCED SCORECARD, BSC) |
METAS EMPRESARIALES |
|
EG01 |
Financiera |
Calidad de la información financiera |
|
EG02 |
Cliente |
Cultura de servicio orientada al cliente |
|
EG03 |
Cliente |
Calidad de la información de gestión |
|
EG04 |
Interna |
Optimización del costo de los procesos del negocio |
|
EG05 |
Interna |
Cumplimiento de las políticas internas |
|
EG06 |
Crecimiento |
Gestión de programas de transformación digital |
Perfil de riesgo de TI
Un proceso fundamental dentro de la guía COBIT en su versión 2019 es poder identificar el riesgo en la organización, en primer lugar, se identifica que tan probable y el tamaño del impacto del riesgo que el marco de referencia COBIT establece para el área de TI, a partir del análisis se categorizan los riesgos como muy alto, alto, normal y bajo dentro de la institución educativa en el área de TI.
En las siguientes figuras se muestran los resultados del análisis y la categorización del riesgo, con los siguientes resultados.
Figura 5. Importancia de cada categoría genérica del riesgo de TI (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
En la figura 6 muestra el impacto y la probabilidad de cada riesgo establecido por la normativa COBIT y categorizado por los siguientes colores como lo muestra la figura 7.
Figura 6. Categorización del riesgo (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
En resultado del análisis del riesgo permite observar que los peligros muy altos son 12 que representa el 63.15 % de los riesgos totales, de igual forma se representa 4 riesgos altos que son el 21.05%, también se muestra 2 riesgos considerados normales y 1 riesgo considerado bajo. Por lo cual la institución educativa dentro del departamento de TI tiene 16 riesgos de suma prioridad por su alto grado de impacto, y se debe tomar en consideración implementar controles en esos puntos importantes dentro de la organización.
Evaluación de procesos
Es importante tener en claro que el proceso de aplicar COBIT en una organización o institución parte desde un inicio analizando los objetivos de la organización, metas, riesgos, problemas y determinando que objetivos del marco de gobierno son los adecuados para la organización, en este apartado se especifica los procedimientos COBIT a utilizar y adaptarlos a la institución educativa.
Los objetivos de gobierno y gestión de COBIT en su versión 2019 se dividen en 5 subgrupos EDM, APO, BAI, DSS y MEA detallados con anterioridad, los objetivos a aplicar son los que se encuentras dentro del subgrupo referente a entregar, dar servicio y soporte (DSS) que se encuentran los objetivos enlistados a continuación:
· Gestionar las operaciones
· Gestionar las peticiones y los incidentes del servicio
· Gestionar los problemas
· Gestionar la continuidad
· Gestionar los servicios de seguridad
· Gestionar los controles de los procesos de negocio
Por lo cual se procede a plantear el objetivo orientado al servicio y soporte de TI en la organización según el marco de referencia COBIT.
Gestionar las operaciones. DSS01
Descripción:
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de I&T, internos y externalizados. Incluir la ejecución de procedimiento de operación estándar predefinidos y las actividades de supervisión requeridas. (ISACA, 2019b).
Propósito:
Proporcionar los resultados de los productos y servicios operativo de I&T según lo planeado (ISACA, 2019b).
Metas y métricas:
El objetivo DSS01 es garantizar la secuencia de una serie de metas y métricas empresariales como se describe en la siguiente tabla 9.
Tabla 9. Metas empresariales (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
METAS EMPRESARIALES |
|||
|
METAS EMPRESARIALES |
METAS DE ALINEAMIENTO |
||
|
EG01 |
Portafolio de productos y servicios competitivos |
AG05 |
Prestación de servicios de I&T conforme a los requisitos del negocio |
|
EG08 |
Optimización de la funcionalidad de procesos del negocio interno |
|
|
Una vez establecidas las metas de COBIT 2019, se detallan las métricas y las fórmulas para medir el proceso, como lo muestra la tabla 10.
Tabla 10. Métricas para metas empresariales (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
METRICAS MODELO PARA METAS EMPRESARIALES |
||
|
EG01 |
Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado. |
|
|
Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente. |
|
|
|
Porcentaje de productos y servicios que proporcionan una ventaja competitiva. |
|
|
|
Plazo de comercialización para nuevos productos y servicios. |
No. de días de entrega |
|
|
EG08 |
Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso empresarial. |
|
|
Niveles de satisfacción de los clientes con las capacidades de prestación de servicios. |
||
|
Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro. |
||
|
EG05 |
Porcentaje de partes interesadas del negocio satisfechas con la prestación de servicios de I&T que cumplen los niveles de servicios acordados. |
|
|
Número de interrupciones del negocio debido a incidentes de servicios de I&T. |
No. de interrupciones del negocio debido a incidentes. |
|
|
Porcentaje de usuarios satisfechos con la calidad de la prestación de servicios de I&T. |
|
|
|
Porcentaje de partes interesadas del negocio satisfechas con la prestación de servicios de I&T que cumplen los niveles de servicios acordados. |
|
|
|
Número de interrupciones del negocio debido a incidentes de servicios de I&T. |
No. de interrupciones del negocio debido a incidentes. |
|
|
Porcentaje de usuarios satisfechos con la calidad de la prestación de servicios de I&T. |
|
|
|
Porcentaje de partes interesadas del negocio satisfechas con la prestación de servicios de I&T que cumplen los niveles de servicios acordados. |
|
|
Proceso:
DSS01.01 Ejecutar procedimientos operativos
Mantener y ejecutar procedimientos y tareas operativas de manera confiable y consistente.
Métricas recomendables por el modelo: De las métricas establecidas por COBIT 2019, se define la fórmula de cálculo para medir el proceso.
Métricas COBIT 2019
· Número de incidentes causados por problemas operativos
· Número de procedimientos operativos no estándar ejecutados
Actividades
Se describen a continuación las siguientes actividades establecidas por COBIT de las cuales se debe acoplar al plan de trabajo de la institución educativa, como se muestra en la siguiente tabla.
Tabla 11. Actividades del procedimiento para ejecutar procedimientos operativos (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Actv. |
Actividad |
Nivel de capacidad |
Actividad en la institución educativa |
|
1 |
Desarrollar y mantener los procedimientos operativos y las actividades relacionadas para respaldar todos los servicios prestados |
2 |
La institución educativa deberá crear y mantener los procesos documentados con el fin de respaldar el procedimiento de los servicios o gestión administrativas que realiza. |
|
2 |
Mantener un calendario de las actividades operativas y ejecutar las actividades |
2 |
Para cumplir con todas las actividades asignadas y el control de las ejecutadas es necesario que se cuente con una asignación de tickets por proceso a realizar con el fin de controlar el tiempo y finalización de las actividades asignadas. |
|
3 |
Comprobar que todos los datos esperados para su procesamiento se reciban y procesen de forma completa, precisa y en el plazo debido. Entregar el producto conforme a los requisitos de la empresa. Soportar las necesidades de reinicios y reprocesamientos. Asegurar que los usuarios reciban productos adecuados de forma segura y en el plazo debido. |
3 |
|
|
4 |
Gestionar el rendimiento y throughput de las actividades programadas |
4 |
Contar con mesas de ayuda para ofrecer respuestas y soluciones rápidas acerca del soporte técnico. |
|
5 |
Monitorizar los incidentes y problemas relacionados con los procedimientos operativos y realizar las acciones adecuadas para mejorar la confiabilidad de las tareas operativas ejecutadas. |
5 |
Mediante un registro de actividades se puede detallar observaciones y problemas encontrados, con el fin de mejorar las actividades que se ejecutan dentro de la institución. |
DSS01.02 Gestionar servicios tercerizados de I&T
Gestionar la operación de los servicios tercerizados de I&T para mantener la protección de la información empresarial y la confiabilidad de la provisión del servicio.
Métricas recomendables por el modelo: De las métricas establecidas por COBIT 2019, se define la fórmula de cálculo para medir el proceso.
Métricas COBIT 2019
· Número de KPI específicos / SMART incluidos en los contratos de externalización.
· Frecuencia de falla del socio subcontratista para cumplir con los PKI
Actividades
Se describen a continuación las siguientes actividades establecidas por COBIT de las cuales se debe acoplar al plan de trabajo de la institución educativa, como se muestra en la siguiente tabla.
Tabla 12. Actividades sobre la gestión de servicios tercerizados de I&T (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Actv. |
Actividad |
Nivel de capacidad |
Actividad en la institución educativa |
|
1 |
Asegurar que los requisitos de los procesos de seguridad de la información de la empresa cumplan con los contratos y SLA de hosting de terceros o proveedores de servicios. |
3 |
Es importante contar con estatus tanto internos como externos que se topen temas como contratos externos a otras empresas. |
|
2 |
Asegurar que los requisitos de procesamiento operacional del negocio y de TI de la empresa y las prioridades para la prestación de servicios cumplan con los contratos y SLA de hosting de terceros o proveedores de servicios. |
||
|
3 |
Integrar los procesos de gestión de TI internos críticos con los de los proveedores de servicios externalizados. Esto debería cubrir, por ejemplo, la planificación de rendimiento y capacidad, gestión del cambio, gestión de la configuración, solicitud de servicios y gestión de incidentes, gestión de problemas, gestión de la seguridad, continuidad del negocio y monitorización del rendimiento y reporte del proceso. |
||
|
4 |
Planificar una auditoría independiente y el aseguramiento de los entornos operacionales de proveedores que proporcionen servicios externalizados para confirmar que se han abordado de forma adecuada los requisitos acordados. |
4 |
|
DSS01.03 Monitorizar la infraestructura de I&T
Monitorizar la infraestructura de I&T y eventos relacionados. Almacenar suficiente información cronológica en los logs de operación que permita la reconstrucción y revisión de las secuencias temporales de las operaciones y otras actividades asociadas o que apoyan las operaciones.
Métricas recomendables por el modelo: De las métricas establecidas por COBIT 2019, se define la fórmula de cálculo para medir el proceso.
Métricas COBIT 2019
· Porcentajes de tipos de eventos operativos críticos cubiertos por sistemas de detección automática.
· Porcentaje de activos de infraestructura monitorizados conforme a la criticidad del servicio y la relación entre los elementos de configuración y servicios que dependen de ellos.
Actividades
Se describen a continuación las siguientes actividades establecidas por COBIT de las cuales se recomiendan a la institución educativa aplicarlas, como se muestra en la siguiente tabla.
Tabla 13. Actividades sobre el proceso de monitorizar la infraestructura de I&T (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Actv. |
Actividad |
Nivel de capacidad |
Actividad en la institución educativa |
|
1 |
Registrar los eventos. Identificar el nivel de formación que debe registrarse, conforme a una consideración de riesgo y rendimiento. |
2 |
|
|
2 |
Identificar y mantener una lista de activos de infraestructura que deben monitorizarse conforme a la criticidad del servicio y la relación entre los elementos de configuración y servicios que dependen de ellos |
3 |
Es importante contar con una lista de activos importantes que deben monitorizarse con el fin de que los servicios de TI no decaigan. |
|
3 |
Definir e implementar reglas que identifiquen y registren incumplimientos de umbrales y los estados de eventos. Encontrar un equilibrio entre la generación de eventos menores insignificantes y eventos significativos para que los registros de eventos no estén sobrecargados de información innecesaria. |
||
|
4 |
Producir registros de eventos y conservarlos durante un periodo de tiempo adecuado para que ayuden en futuras investigaciones. |
||
|
5 |
Garantizar que se creen tickets de incidentes en el plazo debido a la hora de monitorizar desviaciones identificadas en los umbrales definidos. |
||
|
6 |
Establecer procedimientos para monitorizar los registros de eventos. Llevar a cabo revisiones regulares. |
4 |
|
DSS01.04 Gestionar el medio ambiente
Mantener medidas de protección contra los factores medioambientales. Instalar equipos y dispositivos especializados para monitorizar y controlar el medio ambiente.
Métricas recomendables por el modelo: De las métricas establecidas por COBIT 2019, se define la fórmula de cálculo para medir el proceso.
Métricas COBIT 2019
· Número de personas capacitadas para responder a los procedimientos de alarma medioambiental.
· Número de escenarios de riesgo definidos para las amenazas medioambientales.
Actividades
Se describen a continuación las siguientes actividades establecidas por COBIT en su versión 2019, de las cuales se debe acoplar a la infraestructura y normativa de la institución educativa, como se muestra en la siguiente tabla.
Tabla 14. Actividades sobre el proceso de gestionar el medioambiente (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Actv. |
Actividad |
Nivel de capacidad |
Actividad en la institución educativa |
|
1 |
Identificar los desastres naturales y los causados por el hombre que podrían ocurrir en el área en la que se encuentran las instalaciones de TI. Evaluar el efecto potencial en las instalaciones de TI. |
2 |
Es importante contar con un plan preventivo ante amenazas ambientales para el área de TI y de la organización. |
|
2 |
Identificar cómo el equipo de I&T, incluido el equipo móvil y el off-site, se protege de las amenazas medioambientales. Asegurar que la política limita o excluye el consumo de comida, bebida y fumar en áreas sensibles, y prohibir el almacenamiento de artículos de papelería y otros suministros que suponen un peligro de incendio en las salas de ordenadores. |
Procedimiento importante a tomar en cuenta es instalar señaléticas preventivas sobre las amenazas ambientales y las prohibiciones de peligro para el área de T&I y la organización. |
|
|
3 |
Mantener los centros de TI y salas de servidores limpios y seguros en todo momento (es decir, sin desorden, papel, cajas de cartón, papeleras llenas, productos químicos o materiales inflamables). |
|
|
|
4 |
Situar y construir las instalaciones de TI para minimizar y mitigar la susceptibilidad a las amenazas medioambientales (p. ej., robo, aire, incendio, humo, agua, vibración, terrorismo, vandalismo, químicos, explosivos). Considerar zonas de seguridad y/o células ignífugas específicas (p. ej., ubicar los entornos/servidores de producción y desarrollo apartado uno del otro). |
3 |
|
|
5 |
Comparar las medidas y planes de contingencia con los requisitos de las políticas de seguros y los resultados del informe. Abordar los puntos de incumplimiento en el plazo debido. |
|
|
|
6 |
Responder a las alarmas medioambientales y a otras notificaciones. Documentar y probar los procedimientos, lo cual debería incluir la priorización de alarmas y contacto con las autoridades de respuesta a emergencia locales. Capacitar al personal en estos procedimientos. |
|
|
|
7 |
Monitorizar y mantener regularmente dispositivos que detecten proactivamente amenazas medioambientales (p. ej., fuego, agua, humo, humedad). |
4 |
Como parte preventiva es importante contar con detectores de humo, sensores de humedad, temperatura con el fin de evitar desgracias. |
DSS01.05 Gestionar las instalaciones
Gestionar las instalaciones, incluidos los equipos de suministro eléctrico y comunicaciones, alineados con las leyes y reglamentos existentes, los requisitos técnicos y del negocio, las especificaciones del proveedor, y las directrices de salud y seguridad.
Métricas recomendables por el modelo: De las métricas establecidas por COBIT 2019, se define la fórmula de cálculo para medir el proceso.
Métricas COBIT 2019
· Tiempo transcurrido desde la última prueba del suministro de energía ininterrumpida.
· Número de personas formadas en el área de salud y seguridad.
Actividades
Se describen a continuación las siguientes actividades establecidas por COBIT en su versión 2019, de las cuales se debe acoplar a la infraestructura y normativa de la institución educativa, como se muestra en la siguiente tabla.
Tabla 15. Actividades sobre el proceso de gestionar las instalaciones (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Actv. |
Actividad |
Nivel de capacidad |
Actividad en la institución educativa |
|
1 |
Examinar los requisitos de protección de las instalaciones de TI con respecto a las fluctuaciones y cortes eléctricos, junto con otros requisitos de planificación de continuidad del negocio. Procurar un equipo de suministro ininterrumpido adecuado (p. ej., baterías, generadores) para respaldar la planificación de continuación del negocio. |
2 |
Es importante que la institución educativa cuente con un Plan de Prevención de Riesgos Eléctricos con el fin de prevenir perdidas tanto de información como de equipos eléctricos en la institución educativa. |
|
2 |
Probar regularmente los mecanismos de suministro eléctrico ininterrumpidos. Asegurar que la electricidad pueda cambiar a otra fuente de alimentación sin ningún efecto significativo en las operaciones del negocio. |
||
|
3 |
Asegurar que las instalaciones que acogen los sistemas de I&T cuenten con más de una fuente para las utilidades de servicios dependientes (p. ej., electricidad, telecomunicaciones, agua, gas). Separar la entrada física de cada utilidad de servicio. |
||
|
4 |
Confirmar que el cableado exterior de la instalación de TI se sitúe bajo tierra o tenga una protección alternativa adecuada. Determinar que el cableado de la instalación de TI se encuentre en conductos seguros, y el acceso a armarios de cableado esté restringido a personal autorizado. Proteger el cableado adecuadamente frente al daño causado por el fuego, el humo, el agua, la intercepción y la interferencia. |
||
|
5 |
Asegurar que el cableado y los parches de cableado físico (datos y teléfono) estén estructurados y organizados. Las estructuras de cableado y conducción deberían estar documentadas (p. ej., diagramas de cableado y planos de construcción). |
||
|
6 |
Educar al personal de forma regular sobre la legislación, las regulaciones y directrices en salud y seguridad relevantes Educar al personal sobre simulacros de incendio y rescate para garantizar el conocimiento y las acciones tomadas en caso de fuego o incidentes similares. |
||
|
7 |
Asegurar que las instalaciones y el equipo de TI se mantengan conforme a los intervalos y especificaciones de servicio recomendados por el proveedor. Asegurar que el mantenimiento se realice solo por personal autorizado |
3 |
Es necesario contar con un plan de mantenimiento preventivo y correctivo para los equipos de TI y los responsables, este plan es necesario actualizarlo anualmente. |
|
8 |
Analizar los sistemas de alojamiento de alta disponibilidad de las instalaciones para comprobar redundancia y requisitos de cableado a prueba de fallos (externo e interno). |
||
|
9 |
Asegurar que las instalaciones de TI cumplen con la legislación, regulaciones y, directrices de salud y seguridad y, las especificaciones de proveedores relevantes. |
||
|
10 |
Registrar, monitorizar, gestionar y resolver incidentes en las instalaciones en línea con el proceso de gestión de incidentes de I&T. Poner a disposición informes sobre incidentes en las instalaciones que la legislación y las regulaciones obligan a hacer públicos. |
4 |
|
|
11 |
Analizar las alteraciones físicas de las instalaciones de TI para reevaluar el riesgo medioambiental (p. ej., daño por fuego o agua). Informar los resultados de este análisis a la dirección de instalaciones y continuidad del negocio. |
|
Estructuras organizativas
Mediante la matriz RACI que define COBIT, establece las responsabilidades en cada actor dentro de la institución educativa, en la tabla se especifica por letras la asignación como se describe a continuación la letra R (responsabilidad), A (autoridad), C (consultor), I (informado) el resultado se puede observar en la siguiente tabla 16.
Tabla 16. Matriz de responsabilidades (ISACA, Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
|
Director de operaciones |
Director de TI |
Director de tecnología |
Jefe de operación de TI |
Gestor de seguridad de la información |
Director de privacidad |
|
DSSO1.01 Ejecutar procedimientos operativos |
R |
A |
R |
R |
|
|
|
DSSO1.02 Gestionar servicios tercerizados de I&T |
|
A |
R |
R |
R |
R |
|
DSSO1.03 Monitorizar la infraestructura de I&T |
|
R |
A |
R |
R |
|
|
DSSO1.04 Gestionar el medioambiente |
|
R |
A |
R |
R |
|
|
DSSO1.05 Gestionar las instalaciones |
|
R |
A |
R |
R |
|
Flujo y elementos de comunicación
Mediante el flujo de elementos de comunicación se indica la práctica de los procesos que componen el objetivo DSS01 con entradas y salidas, como lo muestra la siguiente tabla 17.
Tabla 17. Flujo de elementos y comunicación (Adaptado de ISACA, Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
PRACTICA DE GESTIÓN |
ENTRADAS |
SALIDAS |
||
|
DE |
DESCRIPCIÓN |
DESCRIPCIÓN |
A |
|
|
DSS01.01 Ejecutar procedimientos operativos |
BAI05.05 Habilitar la operación y el uso |
Plan de operación y uso |
Registro de copias de seguridad |
Interna |
|
Calendario operativo |
Interna |
|||
|
DSS01.02 Gestionar servicios tercerizados de I&T |
APO09.03 Definir y preparar acuerdos de servicio |
SLA (acuerdos de nivel de servicio) OLA (acuerdos de nivel operativo) |
Planes independientes de aseguramiento |
MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en riesgos |
|
BAI05.05 Habilitar la operación y el uso |
|
|||
|
DSS01.03 Monitorizar la infraestructura de I&T |
BAI03.11 Definir productos y servicios de TI y mantener el portafolio de servicios |
Definiciones de servicios |
Reglas de monitorización de activos y estados de eventos |
DSS02.01 Definir esquemas de clasificación para incidentes y peticiones de servicios DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes |
|
Tickets de incidentes |
DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes |
|||
|
Logs de eventos |
Interna |
|||
|
DSS01.04 Gestionar el medioambiente |
|
|
Políticas medioambientales |
APO01.09 Definir y comunicar políticas y procedimientos |
|
Informe de políticas de seguros |
MEA03.03 Confirmar el cumplimiento externo |
|||
|
DSS01.05 Gestionar las instalaciones |
|
|
Conciencia de salud y seguridad |
Interna |
|
Informes de evaluación de instalaciones |
MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad |
|||
Personas, habilidades y competencias
Mediante COBIT en base al Skills Framework for the Information Age V6, definen las personas, habilidades y competencias que se requieren para alcanzar el objetivo DSS01, como se muestra a continuación.
Tabla 18. Personas, habilidades y competencias (ISACA; Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
HABILIDAD |
REFERENCIA DETALLADA |
|
Administración de base de datos |
DBAD |
|
Gestión de instalaciones |
DCMA |
|
Infraestructura de TI |
ITOP |
|
Métodos y herramientas |
METL |
|
Prestación de servicios |
SERVICE DELIVERY |
|
Gestión de almacenamiento |
STMG |
Políticas y procedimientos
En las políticas propuestas por COBIT va enfocada siempre a cumplir con el objetivo de gobierno y gestión, como se muestra a continuación un nombre y la descripción en la siguiente tabla.
Tabla 19. Políticas y procedimientos (ISACA, Marco de referencia COBIT 2019: Objetivos de gobierno y gestión, 2018)
|
Política relevante |
Descripción |
|
Política de gestión de servicios |
Proporciona dirección y directrices para garantizar la gestión e implementación efectiva de todos los servicios de I&T para satisfacer los requisitos del negocio y del cliente, dentro de un marco de mediciones del rendimiento. Cubre la gestión de riesgos relacionado con los servicios de I&T. (El marco ITIL V3 ofrece directrices detalladas para la gestión de servicios y la optimización del riesgo relacionada con los servicios.) |
Cultura, ética y comportamiento
En el ámbito de la cultura, ética y comportamiento COBIT define el siguiente elemento cultural clave.
· Crear una cultura habitual de excelencia en toda la organización. Animar a los empleados a sobresalir. Crear un entorno en el que los procedimientos operativos ofrezcan (más que) los servicios necesarios mientras que permitan a los empleados cuestionar el statu quo y probar nuevas ideas. Gestionar la excelencia operativa a través del compromiso de los empleados y la mejora continua. Aplicar el enfoque centrado en el cliente (tanto para clientes internos y externos).
Servicios, infraestructura y aplicaciones
Dentro de los servicios e infraestructura de una institución, COBIT 2019 define los siguientes servicios:
· Servicios de alojamiento en la nube
· Herramientas de monitorización de infraestructura
· Herramientas de supervisión del nivel de servicio.
Discusión
Es importante mencionar que el presente articulo evidencia la necesidad de aplicar controles y políticas tanto de seguridad de la información como la mejora de procesos en una institución educativa, para llegar al análisis de los resultados obtenidos primero se realizó un estudio preliminar en la institución educativa bajo la autorización de rectorado, donde se analizó la parte de TI dentro de la institución, tratamiento de la información y la relación de TI basado en el trabajo en equipo, el levantamiento de la información se la realizo mediante entrevistas aplicadas al área del rectorado y de TI.
Los resultados obtenidos dan respuesta al objetivo principal de la investigación demostrando que con la utilización de COBIT en su versión 2019 permite mejorar los procesos administrativos como el manejo de datos, asignación de roles, reducción de costos y manejo de la información para el Colegio de Bachillerato “Sara Serrano de Maridueña”. Si bien los límites del presente articulo abarcan hasta una propuesta basada en una pequeña parte de los procesos y herramientas COBIT en el ámbito educativo, se seleccionó los objetivos más acordes a la organización teniendo en cuenta que es una institución educativa publica, en la cual se obtuvo procesos de mejora en la parte operativa, en la gestión tercerizada de servicios, formas de monitorizar la infraestructura de TI, la gestión del medio ambiente y las instalaciones como lo muestra la siguiente tabla.
Tabla 20. Lista de Procesos COBIT en la gestión de operaciones
|
GESTION DE OPERACIONES |
|
|
Ejecutar procedimientos operativos |
La institución educativa deberá crear y mantener los procesos documentados con el fin de respaldar el procedimiento de los servicios o gestión administrativas que realiza. |
|
Para cumplir con todas las actividades asignadas y el control de las ejecutadas es necesario que se cuente con una asignación de tickets por proceso a realizar con el fin de controlar el tiempo y finalización de las actividades asignadas. |
|
|
Contar con mesas de ayuda para ofrecer respuestas y soluciones rápidas acerca del soporte técnico. |
|
|
Mediante un registro de actividades se puede detallar observaciones y problemas encontrados, con el fin de mejorar las actividades que se ejecutan dentro de la institución. |
|
|
Gestionar servicios tercerizados de TI |
Es importante contar con estatus tanto internos como externos que se topen temas como contratos externos a otras empresas. |
|
Monitorizar la infraestructura de TI |
Es importante contar con una lista de activos importantes que deben monitorizarse con el fin de que los servicios de TI no decaigan. |
|
Gestionar el medio ambiente |
Es importante contar con un plan preventivo ante amenazas ambientales para el área de TI y de la organización. |
|
Procedimiento importante a tomar en cuenta es instalar señaléticas preventivas sobre las amenazas ambientales y las prohibiciones de peligro para el área de T&I y la organización. |
|
|
Como parte preventiva es importante contar con detectores de humo, sensores de humedad, temperatura con el fin de evitar desgracias. |
|
|
Gestionar las instalaciones |
Es importante que la institución educativa cuente con un Plan de Prevención de Riesgos Eléctricos con el fin de prevenir perdidas tanto de información como de equipos eléctricos en la institución educativa. |
|
Es necesario contar con un plan de mantenimiento preventivo y correctivo para los equipos de TI y los responsables, este plan es necesario actualizarlo anualmente. |
|
Fuente (Autor)
De los resultados obtenidos de la presente investigación, se puede deducir que los objetivos COBIT no solo se enfocan en el área de empresa u organizaciones, si no también permiten aplicar mejoras tanto de procesos, recursos o seguridad de la información del área de TI en instituciones enfocadas en la educación.
Metodología
Con respecto a la investigación cualitativa señalan que: La investigación cualitativa es un tipo de investigación que depende de la recopilación de datos verbales, de conducta u observaciones que pueden interpretarse de una forma subjetiva. (Blasco & Pérez, 2007). Mediante este tipo de investigación se recopilarán los datos mediante la indagación en diferentes fuentes de información, la misma que será analizada de manera subjetiva; además, de proveer una visión sobre los aspectos específicos del problema. Asimismo, se analizarán diferentes puntos de vista sobre conceptos teóricos y prácticos, la aplicación a través del tiempo y sobre la acción constitucional de hábeas corpus que han sido adoptadas durante el estado de excepción declarado mediante el Decreto ejecutivo emitido por el presidente de la República por el estado de emergencia sanitaria declarado por la Organización Mundial de la Salud por el virus COVID-19.
El alcance de la investigación ha sido descriptivo, Bernal (2010) señala: “es la capacidad para seleccionar las características fundamentales del objeto de estudio y su descripción detallada de las partes, categorías o clases de ese objeto” (p.113). Por lo tanto, carácter descriptivo, permitirá describir diversos casos en los que se haya o no aplicado el hábeas corpus para aquellas personas que no obedecieron los horarios de toque de queda establecido en el primer decreto ejecutivo emitido por el presidente de la República, además de los diferente pasos y factores que influyen para que un juez favorezca a la aplicación de este dentro de un juicio.
La metodología que se utilizó en este trabajo de investigación es el deductivo – inductivo, al respecto Bernal (2010) señala: “Este método de razonamiento consiste en tomar conclusiones generales para obtener explicaciones particulares. El método se inicia con el análisis de los postulados, teoremas, leyes, principios, etcétera, de aplicación universal y de comprobada validez, para aplicarlos a soluciones o hechos particulares” (p.59).
El método inductivo, se utilizará para realizar un análisis al debido procedimiento de hábeas corpus y poder emitir un criterio para su aplicación en personas que se encuentran en prisión preventiva por no acatar los respectivos horarios de toque de queda, basado en el primer decreto ejecutivo declarado. En lo referente al método deductivo se utiliza principalmente el análisis y razonamiento para poder emitir conclusiones de aplicación de carácter general que se originan a partir de hechos particulares que son aceptados como válidos, este estudio comienza como individual de aquellos hechos y se plantean conclusiones universales que son establecidas como leyes, fundamentos de una determinada teoría (Bernal, 2010). Se han analizó las diferentes leyes emitidas por el Estados Ecuatoriano en cuanto al hábeas corpus y la prisión preventiva.
También se aplicó el método analítico que consiste en la descomposición de un todo en partes para relacionar cada una de ellas. Según Bernal (2010) “Estudia los hechos partiendo de la descomposición del objeto de estudio en cada una de sus partes para estudiarlas en forma individual y luego se integran esas partes para estudiarlas de manera integral” (p.60). Es decir, se indagará en el documento oficial del Decreto Ejecutivo sobre las disposiciones emitidas sobre el estado excepción, para separarlos por partes y analizar los puntos relacionados al hábeas corpus y la privación de libertad.
La técnica utilizada es la entrevista que se encuentra guiada a establecer un contacto directo con aquellas personas que son consideradas fuente de información y que, a diferencia de la encuesta, la entrevista tiene como principal objetivo obtener información que sea de interés para el trabajo de investigación (Bernal, 2010).
Análisis e interpretación de resultados de la entrevista
Para el efecto de la investigación se realizará una entrevista con preguntas abiertas y cerradas a un juez y dos abogados de la provincia de Tungurahua.
¿Considera o no que el propósito del hábeas corpus es exclusivamente proteger el derecho de libertad de una persona privada de ella?
De las personas encuestadas, el total de estas manifestó que consideran que el propósito del hábeas corpus es exclusivamente proteger el derecho de libertad de una persona privada de ella.
Con respecto a la prisión preventiva ¿cree que el Estado de Excepción violentó el derecho a la libertad?
De las personas entrevistadas; el total de ellas consideran que los derechos de los privados de la libertad no fueron violentados por el Estado de excepción.
¿Cómo debería enfocarse el Hábeas Corpus frente a la actual pandemia?
Las personas entrevistadas expresaron que, es necesario que se aplique oportunamente y enfocado a las personas detenidas injustamente, en especial en casos en que las personas cometen infracciones por desconocimiento. Además, supieron manifestar que hay que tener un plan de contingencia mediante el cual asegure la factibilidad de realización de dicho proceso; tomando en cuenta que, si bien un infractor cometió una falta, la economía actual no permite que una persona esté recluida por violar el toque de queda. También comentaron que, en lo que debería enfocarse el Hábeas Corpus en la actual pandemia es que, al momento de dicha acción hay que regirnos a las normas dispuestas por el Estado, y para que se dé la liberación de un infractor considerar todos los aspectos que la actual pandemia afecta.
¿Sabe usted cuales son los principios constitucionales que amparan el Hábeas Corpus?
Los entrevistados, expresaron que, los principios constitucionales que amparan el Hábeas Corpus son aquellos valores que permite el ejercicio de derecho a la libertad de los seres humanos, a la integridad física y psicológica y el derecho a la vida. También explicaron que el Hábeas Corpus es una garantía que consiste en proteger el derecho de la libertad y sus principios constitucionales son aquellos donde anteponen la integridad física y psicológica de las personas. Finalmente dijeron que es una garantía que permite ejercer el derecho de la libertad, dentro de este derecho están los principios constitucionales tales como precautelar la integridad física y psicológica de las personas.
¿Cree usted que al momento decretar el Estado de Excepción y el toque de queda, se esperó tener tantos detenidos los primeros días?
Uno de los entrevistados comentó que: escuchó que fueron cerca de mil detenidos, considero que es una cifra alarmante para tan pocos días; otro expresó que la desobediencia de la gente resulta impresionante frente a las alarmantes cifras de contagios y fallecidos a causa de la pandemia. Finalmente, la última persona entrevistada comentó que son cifras altas, sin embargo, considero que el estado sí previó eso, no obstante, no estuvo preparado para enfrentarlo.
¿En qué cuestión una aprehensión puede convertirse en objeto de Hábeas Corpus?
Los entrevistados supieron manifestar que la aprehensión puede convertirse en objeto de Hábeas Corpus en el caso que se realice una detención ilícita mediante un ente Judicial o no Judicial; asimismo en el posible caso que se vulnere o atente con la libertad personal o exista amenaza, también se sabe que pueden existir varios casos especialmente cuando se le delimite a libertad personal sobre el cual este pueda interponerse por parte del agraviado. Además, es aplicable en los casos en los que se violente la libertad y al mismo tiempo aquellos a los que se vulneren las garantías procesales o la evidencia de una posible violación de este derecho.
Conclusiones
· Para la mejora de procesos dentro de la institución educativa es importante tomar en cuenta las siguientes áreas como la de ejecución de operaciones, la gestión de servicios tercerizados, monitorización de la infraestructura de TI, gestión del medio ambiente y de las instalaciones.
· Dentro de cada proceso a implementar se plantean las métricas para medir el límite del proceso con su fórmula respectiva.
· COBIT 2019 ofrece 40 objetivos que pueden ser aplicados en cualquier organización, cada organización puede aplicar los objetivos que mayor le convengan y obtener el mejor provecho, pueden ser muy diferentes a los aplicados en este artículo.
· Es importante tomar en cuenta que antes de aplicar COBIT en cualquier organización es importante respetar el proceso que parte de un análisis de la organización, metas y objetivos para después evaluar mediante los procedimientos COBIT que objetivos se va a utilizar.
Referencias
1. Amón, J., & Zhindón, M. (2020). Modelo de Gobierno y Gestión de TI, basado en COBIT 2019 e ITIL 4, para laUniversidad Católica de Cuenca. Fipcaec, 5(16), 218–239.
2. ANTONIO, F. T. L. (2020). “IMPLEMENTACIÓN EN LA PONTIFICIA UNIVERSIDAD CATÓLICA SEDE ESMERALDAS DEL PROCESO DE ADMINISTRACIÓN DE CONOCIMIENTO BASADO EN COBIT.
3. ISACA. (2019a). Introducción y metodología COBIT2019.
4. ISACA. (2019b). Objetivos de gobierno y gestión COBIT2019.
5. MARIDUEÑA, S. S. DE. (2018). PROYECTO EDUCATIVO INSTITUCIONAL (PEI). 2014–2018.
6. Paredes-Parada, W. (2018). Buenas prácticas en el uso de tecnologías de la información y comunicación (TIC) en universidades ecuatorianas. Ciencia, Docencia y Tecnología, 29(Vol29No57), 176–200. https://doi.org/10.33255/2957/301
© 2021 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)
(https://creativecommons.org/licenses/by-nc-sa/4.0/).
Enlaces de Referencia
- Por el momento, no existen enlaces de referencia
Polo del Conocimiento
Revista Científico-Académica Multidisciplinaria
ISSN: 2550-682X
Casa Editora del Polo
Manta - Ecuador
Dirección: Ciudadela El Palmar, II Etapa, Manta - Manabí - Ecuador.
Código Postal: 130801
Teléfonos: 056051775/0991871420
Email: polodelconocimientorevista@gmail.com / director@polodelconocimiento.com
URL: https://www.polodelconocimiento.com/
