CURSO: TALLER DE SEGURIDAD PROYECTO:

APLICACIN DEL MARCO DE TRABAJO DE COBIT A LA RED DE SALUD DE LEONCIO PRADO

PRESENTADO POR: ALVARADO RUIZ, ARNALDO JONATHAN. ACEVEDO ALIAGA, ALBERTO LUCIO.

Docente: ING.: PANDO SOTO, BRIAN Tingo Mara Per

1. INDICE Contenido
1. 2. 3. INDICE............................................................................................................................................... 2 INTRODUCCION................................................................................................................................ 4 OBJETIVOS ........................................................................................................................................ 5 3.1. 3.2. 4. OBJETIVOS GENERALES............................................................................................................ 5 OBJETIVOS ESPECIFICOS .......................................................................................................... 5

MARCO TEORICO ............................................................................................................................. 6 4.1. COBIT ........................................................................................................................................ 6 QUE ES COBIT? ............................................................................................................... 6 OBJETIVOS Y MISION ....................................................................................................... 6 CARACTERISTICAS DE COBIT ............................................................................................ 7 BENEFICIOS DE IMPLEMENTAR COBIT ............................................................................ 7 COBERTURA DE TRABAJO ................................................................................................ 7 VERSIONES ..................................................................................................................... 11

4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.1.6. 4.2. 4.3.

GOBIERNO DE TI..................................................................................................................... 12 AREA DE ENFOQUE DEL GOBIERNO DE TI ............................................................................. 14 ALINEACIN ESTRATGICA ............................................................................................ 15 ENTREGA DE VALOR....................................................................................................... 15 ADMINISTRACIN DE RECURSOS .................................................................................. 15 ADMINISTRACIN DE RIESGOS ..................................................................................... 15 MEDICIN DEL DESEMPEO ......................................................................................... 15

4.3.1. 4.3.2. 4.3.3. 4.3.4. 4.3.5. 4.4. 4.5. 4.6. 4.7.

RECURSOS EN TI ..................................................................................................................... 16 NIVELES DE ACTIVIDAD DE TI ................................................................................................ 16 CRITERIOS DE INFORMACION DE COBIT ............................................................................... 17 DOMINIOS DE COBIT.............................................................................................................. 18 DOMINIO 1: PLANEACION Y ORGANIZACIN (PO) ....................................................... 18 DOMINIO 2: ADQUISICION DE IMPLANTACION (AI) ..................................................... 19

4.7.1. 4.7.2. 5.

DESCRIPCIN DE LA ORGANIZACIN ............................................................................................ 21 5.1. DESCRIPCIN DE LA ORGANIZACIN .................................................................................... 21

5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.1.6. 5.1.7. 6.

NOMBRE ......................................................................................................................... 21 ANTECEDENTES HISTRICOS ......................................................................................... 21 ORGANIGRAMA ............................................................................................................. 22 UBICACIN GEOGRFICA .............................................................................................. 23 VISIN ............................................................................................................................ 23 MISIN ........................................................................................................................... 23 OBJETIVOS ...................................................................................................................... 23

MODELO DE MEJORES PRACTICAS UTILIZANDO COBIT ............................................................... 25 6.1. ENTENDIMIENTO DE LA INSTITUCIONAL ................................................................................... 25 6.2. IDENTIFICACION DE DOMINIOS DE COBIT ................................................................................. 26 6.3. IDENTIFICACION Y PROPUESTA DE SOLUCION DE LAS ACTIVIDADES ....................................... 29 6.4. MODELO DE MADUREZ DE COBIT .............................................................................................. 36

7. 8.

CONCLUSIONES .............................................................................................................................. 38 BIBLIOGRAFIA ................................................................................................................................ 39

2. INTRODUCCION
En los ltimos aos se ha debatido mucho sobre la aportacin de valor de los departamentos de informtica de una empresa. A pesar de los esfuerzos de evolucin del de los directores de sistemas de informacin, la evolucin real de sus funciones en los ltimos aos ha sido muy limitada. Nos encontramos, ante directivos TIC ms concienciados de su rol como directivos, pero con una posicin de las TIC dentro de las compaas estancada en su rol tradicional. Podemos dividir a los directores de sistemas entre aquellos que tienen un rol fundamentalmente de provisin de servicios TIC y aquellos que se encuentran en el camino de asumir un rol de transformacin. El rol de TI, no puede ser el mismo en todas las compaas: hay empresas en las que la informacin es su principal materia prima y otras en las que la informacin es una herramienta ms o menos necesaria pero subalterna.

3. OBJETIVOS
3.1. OBJETIVOS GENERALES
Presentar la estructura bsica de la aplicacin de COBIT a la institucin de la RED DE SALUD DE LEONCIO PRADO.

3.2.

OBJETIVOS ESPECIFICOS
Dar a conocer conceptos tericos sobre el marco de referencia COBIT. Dar a conocer sobre las definiciones de COBIT. Definiciones sobre el Gobierno de TI. Dar a conocer las ares de enfoques del Gobierno de TI. Definiciones sobre los recursos en TI. Dar a conocer los niveles de actividades de TI. Dar a conocer los criterios de informacin de COBIT. Presentar un caso prctico, en este caso la aplicacin de COBIT a la RED DE SALUD DE LEONCIO PRADO.

4. MARCO TEORICO
4.1.
4.1.1.

COBIT
QUE ES COBIT? Sus siglas en ingles Control Objectives for Information and Related Technology, que significa Objetivos de control para la Informacin y Tecnologas relacionadas. Es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA), y el Instituto de Gobernanza de las Tecnologas de la Informacin (ITGI).

Es un marco de referencia para la direccin de TI y Gobierno de TI, as como tambin de herramientas de soporte que permite a la alta direccin reducir la brecha entre las necesidades de control, cuestiones tcnicas y los riesgos del negocio. COBIT permite el desarrollo de polticas claras y buenas prcticas para el control de TI en las organizaciones. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI. COBIT es una herramienta para dar soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI est alineada con el negocio. TI habilita al negocio y maximiza los beneficios. Los recursos de TI se usan de manera responsable. Los riesgos de TI se administran apropiadamente. 4.1.2. OBJETIVOS Y MISION 4.1.2.1. OBJETIVOS Brindar a la Alta Direccin de una compaa confianza en los sistemas de informacin y en la informacin que estos produzcan. Suministrar herramientas para supervisar todas las actividades relacionadas con TI. Desarrollar de polticas claras y buenas prcticas para la gestin de TI. Gestionar los riesgos de TI y asegurar el cumplimiento, la continuidad, seguridad y privacidad. Desarrollar una estructura de control de las TI, basada en los objetivos de control.

4.1.2.2.

MISION Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.

4.1.3.

CARACTERISTICAS DE COBIT Orientado al negocio. Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA). BENEFICIOS DE IMPLEMENTAR COBIT Mejor alineacin, con base en su enfoque de negocios. Una visin, entendible para la gerencia, de lo que hace TI. Propiedad y responsabilidades claras, con base en su orientacin a procesos. Aceptacin general de terceros y reguladores. Entendimiento compartido entre todos los Interesados, con base en un lenguaje comn. Cumplimiento de los requerimientos COSO para el ambiente de control de TI. COBERTURA DE TRABAJO COBIT se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detallados de TI. COBIT acta como un integrador de todos estos materiales gua, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambin se alinea con los requerimientos de gobierno y de negocios. COSO (y marcos de trabajo compatibles similares) es generalmente aceptado como el marco de trabajo de control interno para las empresas. COBIT es el marco de trabajo de control interno generalmente aceptado para TI. El marco de referencia de ITIL (Biblioteca de Infraestructura de Tecnologas de Informacin) complementa al marco de referencia COBIT, pues habla de la mejora de las reas de TI, COBIT desde el punto de vista del gobierno corporativo e ITIL desde el punto de vista de los servicios mapeados a los procesos de negocio y sus habilitadores de infraestructura correspondientes. Es decir COBIT es el que e ITIL es el como. ISO 9000 designa un conjunto de normas sobre calidad y gestin continua de calidad

4.1.4.

4.1.5.

ISO 27000 Estndar de seguridad que contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener un SGSI.

FUENTE: Control y Auditoria de Berrocal Barrios, Frank. 4.1.5.1. MODELO DE MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de informacin y de gobierno a los objetivos de la funcin de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las mtricas KGI y KPI de COBIT.

FUENTE: Control y Auditoria de Berrocal Barrios, Frank.

Marco de Trabajo General de COBIT

FUENTE: Control y Auditoria de Berrocal Barrios, Frank. 10

4.1.6.

VERSIONES COBIT es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda que permite a los administradores unir los conceptos de requerimientos de control, consideraciones tcnicas y riesgos del negocio. COBIT permite el desarrollo de una poltica clara y de buenas prcticas para control de TI a lo largo de las organizaciones. Estuvo enfocado a la auditoria, porque el uso de estndares internacionales, las pautas y la investigacin en las mejores prcticas condujeron al desarrollo de los objetivos del control. COBIT v2.0: (1998) Estuvo enfocado al Control porque el anlisis de fuentes internacionales dedicados a la compilacin, revisin e incorporacin apropiada de los estndares tcnicos internacionales, cdigos de la conducta, estndares de calidad, estndares profesionales, y los requisitos de la industria, se relacionan con el marco y con los objetivos del control. COBIT v3.0: (2000) Estuvo enfocado a la Gestin/Gerencia pues porque consisti en proveer a la gerencia un uso del marco de referencia, para que de l pueda determinar las mejores opciones a ser puestas en prctica y las mejoras del control sobre su informacin y tecnologa relacionada. As como las pautas para la gerencia que incluyen modelos de madurez, factores crticos de xito, indicadores dominantes dela meta e indicadores dominantes del funcionamiento relacionados con los objetivos del control. Versin 4.0: (2005) Estuvo enfocada al Gobierno, porque acenta el cumplimiento regulador, ayuda a las organizaciones a aumentar el valor logrado de TI, que permite la alineacin y simplifica la puesta en prctica del Modelo COBIT. Versin 4.1: (2007) Una actualizacin de COBIT 4.0, destacando los vnculos entre los objetivos del negocio y TI, y simplificando la implementacin del marco de trabajo COBIT. Versin 5.013: (Julio 2011) Promete ser un efectivo marco, completo, para el Gobierno Corporativo de TI, con sus tres ejes bsicos de alineamiento, sincronizacin y contribucin al valor y mitigacin del riesgo, con una dosis extra de Seguridad de la Informacin y un catlogo de directrices de auditora para un enfoque dirigido a la Gestin de Informacin.

11

FUENTE: Control y Auditoria de Berrocal Barrios, Frank.

4.2.

GOBIERNO DE TI
El Gobierno es el mtodo por medio del cual una organizacin es dirigida, administrada o controlada. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales. Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para garantizar que TI en la empresa soporta los objetivos del negocio. De esta manera, el gobierno de TI al mximo facilita que la empresa aproveche su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. El Gobierno de TI es una parte integral de la gestin empresarial y las direcciones de la definicin e implementacin de procesos, estructuras y mecanismos de relacin en la organizacin que permiten a las empresas y la gente de TI ejecutar sus responsabilidades en apoyo de las empresas / alineacin de TI y la creacin de valor de negocio.

12

Control: Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proporcionar una garanta razonable de que los objetivos del negocio se alcanzarn y los eventos no deseados sern prevenidos o detectado. Riesgo: El potencial de que una amenaza especfica explote las debilidades de un activo o grupo de activos para ocasionar prdida y/o dao a los activos. Por lo general se mide por medio de una combinacin del impacto y la probabilidad de ocurrencia. La necesidad de un marco de trabajo de control de control para el Gobierno de TI Un marco de control para el Gobierno TI define las razones de por qu se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI Por qu? Cada vez ms, la alta direccin se est dando cuenta del impacto significativo, que la informacin puede tener en el xito de una empresa. La direccin espera un alto entendimiento de la manera en que la tecnologa de informacin (TI) es operada y de la posibilidad de que sea aprovechada con xito para tener una ventaja competitiva. Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI. Control y Auditoria de Sistemas Adems, el gobierno y los marcos de trabajo de control estn siendo parte de las mejores prcticas de la administracin de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios. Quin? Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades especficas: Interesados dentro de la empresa que tienen inters en generar valor de las inversiones en TI: Aquellos que toman decisiones de inversiones, los que deciden respecto a los requerimientos y los que utilizan los servicios de TI. Interesados internos y externos que proporcionan servicios de TI: Aquellos que administran la organizacin y los procesos de TI, los que desarrollan capacidades, y los que operan los servicios. Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad,

13

privacidad y/o riesgo, los que realizan funciones de cumplimiento y los que proporcionan servicios de aseguramiento. Qu? Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineacin entre las metas de negocio y de TI. Establecer una orientacin a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fcil navegacin en el contenido. Ser generalmente aceptable al ser consistente con las mejores prcticas y estndares de TI aceptados, y que sea independiente de tecnologas especficas. Proporcionar un lenguaje comn, con un juego de trminos y definiciones que sean comprensibles en general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estndares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos

4.3.

AREA DE ENFOQUE DEL GOBIERNO DE TI

Estas reas de enfoque de gobierno de TI describen los tpicos en los que la direccin ejecutiva requiere poner atencin para gobernar a TI en sus empresas. La direccin operacional usa procesos para organizar y administrar las actividades cotidianas de TI.

14

FUENTE: Control y Auditoria de Berrocal Barrios, Frank. 4.3.1. ALINEACIN ESTRATGICA Se enfoca en garantizar el vnculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. 4.3.2. ENTREGA DE VALOR Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los costos y en brindar el valor intrnseco de la TI. 4.3.3. ADMINISTRACIN DE RECURSOS Se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de TI, aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin de conocimiento y de infraestructura. 4.3.4. ADMINISTRACIN DE RIESGOS Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin. 4.3.5. MEDICIN DEL DESEMPEO Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el

15

uso, por ejemplo, de BALANCED SCORECARDS que traducen la estrategia en accin para lograr las metas que se puedan medir ms all del registro convencional.

4.4.

RECURSOS EN TI
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada (ej., un sistema de planeacin de recursos empresariales) para dar soporte a la capacidad del negocio (ej., implementando una cadena de suministro) que genere el resultado deseado (ej., mayores ventas y beneficios financieros). En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin. Informacin: Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que son utilizados por el negocio. Son todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Infraestructura: Es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Personas: Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por OUTSOURCING o contratadas, de acuerdo a como se requieran.

4.5.

NIVELES DE ACTIVIDAD DE TI
Dominios: Agrupacin natural de procesos, normalmente corresponden a una responsabilidad organizacional. Consta de 4 Dominios. Procesos: Conjuntos de actividades unidas con delimitacin o cortes de control. Consta de 34 procesos.

16

Actividades: Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas. Consta de 220 objetivos de control.

4.6.

CRITERIOS DE INFORMACION DE COBIT

Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de informacin:

FUENTE: Control y Auditoria de Berrocal Barrios, Frank. La efectividad: Tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia: Consiste en que la informacin sea generada optimizando los recursos (ms productivo y econmico). La confidencialidad: Se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. La integridad: Est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. 17

La disponibilidad: Se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne con la proteccin de los recursos y las capacidades necesarias asociadas. El cumplimiento: Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. La confiabilidad: Significa proporcionar la informacin apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.

4.7.

DOMINIOS DE COBIT
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. Mientras la mayora de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayora tienen los mismos procesos clave, pocas tienen la misma estructura de procesos. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, an ms, se pueden combinar como se necesite por cada empresa.

4.7.1. DOMINIO 1: PLANEACION Y ORGANIZACIN (PO) Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? 18

Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

4.7.2. DOMINIO 2: ADQUISICION DE IMPLANTACION (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarn a las operaciones actuales del negocio? 4.7.3. DOMINIO 3: ENTREGA DE SERVICIOS Y SOPORTE (DS) Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 4.7.4. DOMINIO 4: MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? 19

 La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

20

5. DESCRIPCIN DE LA ORGANIZACIN 5.1. DESCRIPCIN DE LA ORGANIZACIN

5.1.1. NOMBRE
RED DE SALUD LEONCIO PRADO.

5.1.2. ANTECEDENTES HISTRICOS

La Red de Salud Leoncio Prado es un rgano desconcentrado de la Direccin Regional de Salud Hunuco, cuya organizacin y funciones estn establecidos en su Reglamento de Organizacin y Funciones aprobado mediante Resolucin Ejecutiva Regional N 480-2006-GRH/PR. La Red de Salud Leoncio Prado es la encargada de brindar y garantizar la atencin de salud a la poblacin de su jurisdiccin, tendiente a la reduccin significativa de las principales causas de morbilidad y mortalidad. Para ello las unidades orgnicas de la Red coordinan, proponen y realizan acciones en coordinacin con la Direccin Regional de Salud, Direcciones Sectoriales, Gobierno Local y sociedad organizada. En la jurisdiccin de la Provincia de Leoncio Prado y Puerto Inca, as como los distritos de Monzn y Chaclla, el sistema organizativo que estaba implementado hasta el 31 de diciembre del 2002 era el de la UTES Tingo Mara como cabecera de Red de Salud y al mismo tiempo constituido como Unidad Ejecutora 401; bajo este sistema, la UTES Tingo Mara estaba a cargo de los 74 establecimientos perifricos o rurales de salud y un Hospital de apoyo en la ciudad de Tingo Mara.

Los resultados principalmente en las zonas perifricas no fueron positivos; las poblaciones rurales afectadas por la pobreza, inequidad, exclusin social, centralismo, desigualdad de oportunidades, presin social y sin proyecto de vida, hace que se realicen cambio de paradigmas de atencin en salud; en 1997 se realizan diferentes gestiones locales y regionales de salud, plantean la necesidad de separacin presupuestal, es decir, la creacin de otra Unidad Ejecutora para atender la periferia, despus de muchos intentos finalmente en julio del ao 2002, el Consejo Transitorio de Administracin Regional (CTAR) declara procedente la creacin de la nueva Unidad Ejecutora 403 Leoncio Prado en base a la Directiva del Ministerio de Economa y Finanzas N 006-2002-EF/76.01.

21

5.1.3. ORGANIGRAMA

Ilustracin 1: Organigrama de la Red de Salud Leoncio Prado

5.1.4. UBICACIN GEOGRFICA DEPARTAMENTO: PROVINCIA: DISTRITO: ENTIDAD: ALTITUD: TEMPERATURAS:

HUNUCO. LEONCIO PRADO. RUPA RUPA. Av. Ucayali N 940. 648 m.s.n.m. Mxima de 35 C Mnima de 17 C.

5.1.5. VISIN La Red de Salud Leoncio Prado ser una institucin lder en la Regin Hunuco, con servicio de salud que brindan una atencin integral, con calidad, calidez, equidad y accesibilidad universal; motivando a nuestra poblacin para que se comprometa y participe en las acciones de salud a travs de sus micro redes eficientemente articuladas. 5.1.6. MISIN Ser una institucin lder que coordina y brinda servicios de salud con recursos humanos competitivos para satisfacer necesidades de salud con calidad; promoviendo la integracin intercultural y entornos de vida saludables, en coordinacin con las instituciones representativas y comunidades organizadas, priorizando los sectores que poseen menores oportunidades de acceder a los servicios de salud.

5.1.7. OBJETIVOS a) OBJETIVOS FUNCIONALES

Alcanzar los resultados esperados en la visin, misin y objetivos estratgicos y funcionales de su mbito geogrfico cumpliendo las polticas y normas sectoriales de salud. Establecer los objetivos, metas y estrategias de salud de corto, mediano y largo plazo en materia de salud y a nivel sectorial de la Direccin de Red de Salud, en el marco de las normas vigentes, para implementar los planes estratgicos sectoriales y regionales de salud y gestionar la asignacin de recursos necesarios ante los rganos y organismos competentes. Identificar y proponer a la Direccin de Salud, los proyectos para la creacin, mejoramiento y ampliacin de la capacidad instalada de la infraestructura de salud en nuestro mbito geogrfico, en el marco del planeamiento estratgico de la inversin a nivel sectorial y regional. Lograr los objetivos de atencin integral a la salud de la poblacin asignada. Establecer los rganos desconcentrados para la atencin de salud de mediana y baja complejidad para la poblacin asignada y referenciada, en el marco del planeamiento estratgico regional y nacional de salud y del sistema de referencia y contrareferencias. Establecer la mejora continua de los procesos de promocin, proteccin, recuperacin y rehabilitacin de la salud de la poblacin asignada.

23

 Dirigir y coordinar la movilizacin y desmovilizacin parcial o total, que el ministerio de salud o la Direccin Regional de Salud haya dispuesto para la atencin de la salud de la poblacin declarada en emergencia por epidemias o desastres. Identificar los objetivos, metas y estrategias de prevencin, intervencin y control de emergencias y desastres en su mbito geogrfico y asignar a las entidades pblicas y privadas del sector, las responsabilidades de accin inmediata, soporte logstico y apoyo de recursos humanos, segn las normas y procedimiento que se establezcan. Disponer las medidas necesarias y oportunas para proteger y recuperar la salud de la poblacin afectada por situaciones de emergencia y desastres en el mbito de la correspondiente. Lograr el compromiso y trabajo en equipo de los funcionarios y directivos a cargo de las unidades orgnicas, para crear la mstica, sinergia y cultura organizacional necesaria para desarrollar el planeamiento, organizacin y gestin en la Direccin de Red de Salud.

24

6. MODELO DE MEJORES PRACTICAS UTILIZANDO COBIT 6.1. ENTENDIMIENTO DE LA INSTITUCIONAL

La institucin de RED DE SALUD DE LEOCIO PRADO se encarga de velar por los diversos procesos y servicios que se viene dando en la provincia de LEONCIO PRADO en cuanto al control y administracin de las Microredes que cada uno poseen postas perifricas en donde se atienden a las personas prestando servicios como: control de gestantes, vacunacin, servicios de medicina entre otros. La institucin posee un ambiente no muy adecuando ya que es un poco chico o angosto. En el rea de Estadstica y Informtica se observ que poseen aplicacin comerciales desatendidas y sin licencia, ya que la institucin ha efectuado la instalacin de aplicativos comerciales en sus computadores en un nmero mayor a las licencias adquiridas o en modo pirata. No poseen un sistema de informacin para los tramites documentarios por lo tanto los registros son manuales y deben estar en contante ordenamiento, de lo contrario al momento de buscar estos documentos ser dificultosos.

25

6.2. IDENTIFICACION DE DOMINIOS DE COBIT

ITEM
No posee un sistema de informacin para un trmite documentario por lo que se les aumento los registros de documentos realizadas para diversas operaciones. Falta de proactividad por parte del personal quien labora y cumple solo con sus labores ms 2 no aporta en otras labores ms en la institucin. No hay concentracin y motivacin por parte del personal que labora en la institucin. 3 Poseen aplicaciones comerciales desatendidas y sin licencia. El presupuesto para asuntos de tecnologa de informacin es administrado el rea de ODI 4 (Oficina de desarrollo Informtico) y no por el rea de Estadstica y Informtica, que tiene que preparar por ello una hoja de clculo con el detalle de las inversiones efectuadas. Existen algunos proyectos que han sido patrocinados por las reas usuarias de la Compaa 5 las cuales no han concluido y se han reprogramado para el ao 2014. Ausencia de polticas y procedimientos formalmente establecidos y documentados que 6 normen las labores realizadas por el personal a cargo de cada actividad en dicha organizacin. En nuestra revisin de los controles relacionados con la administracin de los recursos de 7 cmputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cmputo asignados a los usuarios de la organizacin. La Compaa ha efectuado la instalacin de software comercial en sus computadores en un 8 nmero mayor a las licencias adquiridas o en modo pirata. 9 La compaa no cuenta con un plan de mantenimiento preventivo de los equipos de cmputo. Hemos observado que la Compaa viene efectuando charlas informativas de capacitacin a los usuarios finales, sobre temas relacionados con la seguridad de la informacin y con los 10 manejos de los sistemas de informacin creados por el rea de Estadstica y Sistemas; sin embargo, observamos que el 30% de los personales invitados asisten para informarse sobre estos temas. No se guardan copias de respaldo de informacin en un lugar externo a las instalaciones de la 11 Compaa. Algunos de los servidores principales de la red de datos, tales como el Servidor SIGA y SIAF se 12 encuentran instalados en un rea que puede ser fcilmente accedida por intrusos externos. 1

P.O. A.E. D.S. M.E. PRIORIDAD

X X X X MEDIA MEDIA

X X

ALTA ALTA

X X X

MEDIA ALTA MEDIA

X X

X X X

ALTA MEDIA ALTA

X X

ALTA ALTA 26

13 14 15

16

17 18 19 20

21 22 23

24 25

Algunos cdigos de acceso cuya fecha de expiracin es muy antigua, y an se mantienen activos en el sistema que manejen como el SIGA y el SIAF. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: a). No se ha elaborado una metodologa de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal. b). No se ha asignado un nivel de prioridad de atencin a las solicitudes de desarrollo y/o cambio a los sistemas de informacin. Asimismo, no se determina una fecha estimada de entrega del trabajo, y esfuerzos adicionales deben realizarse para lograr completar la informacin faltante. c). La documentacin tcnica preparada por los analistas y programadores de sistemas no es uniforme y depende del criterio y experiencia que tiene cada persona. d). Los manuales tcnicos y de usuarios han sido preparados sin tener en consideracin estndares mnimos de documentacin. En los controles relacionados con la continuidad del procesamiento de datos y obtencin de copias de respaldo del rea de estadstica y sistemas, observamos lo siguiente: a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentacin formal que confirme y autorice el movimiento de los medios de almacenamiento. b). La ubicacin final de los dispositivos de respaldo en los centros de cmputo principal y alterno, no permite identificar rpidamente a los dispositivos existentes por la ausencia de referencias claras que as lo permitan y ayuden a una rpida seleccin de los mismos. En los controles relacionados con la administracin de los recursos de cmputo asignados a las reas usuarias, y observamos lo siguiente: a). El inventario de equipos de cmputo actual solo incluye el nmero total de equipos y perifricos, y no tiene un nivel de detalle que permita determinar el nmero de serie, especificaciones tcnicas, rea y usuario asignado. b). Una relacin de los programas y software instalados en las estaciones de trabajo de las reas usuarias no ha sido preparado. Asimismo, no se tienen identificados los programas instalados no autorizados. En nuestra revisin de los controles relacionados con la administracin de los recursos de cmputo hemos observado que actualmente no se lleva un control actualizado del inventario

X X X X X

X X X

BAJA

ALTA X ALTA

X X X X X X

MEDIA MEDIA

BAJA

MEDIA

X X ALTA

MEDIA

ALTA

27

de equipos de cmputo asignados a los usuarios de la organizacin. No ha diseado e implementado un Plan de Contingencias en caso de Desastres que incluya 26 procedimientos de recuperacin y reanudacin del procesamiento computarizado.

ALTA

28

6.3. IDENTIFICACION Y PROPUESTA DE SOLUCION DE LAS ACTIVIDADES

6.3.1. PLNIFICAR Y ORGANIZAR SITUACIONES PROBLEMA

ITEM
P.O. 1 P.O. 2 P.O. 4 P.O. - 6 P.O. 9 P.O. 14 P.O. - 15 P.O. - 19 P.O. 20 No posee un sistema de informacin para un trmite documentario por lo que se les aumento los registros de documentos realizadas para diversas operaciones. Falta de proactividad por parte del personal quien labora y cumple solo con sus labores ms no aporta en otras labores ms en la institucin. No hay concentracin y motivacin por parte del personal que labora en la institucin. El presupuesto para asuntos de tecnologa de informacin es administrado el rea de ODI (Oficina de desarrollo Informtico) y no por el rea de Estadstica y Informtica, que tiene que preparar por ello una hoja de clculo con el detalle de las inversiones efectuadas. Ausencia de polticas y procedimientos formalmente establecidos y documentados que normen las labores realizadas por el personal a cargo de cada actividad en dicha organizacin. La compaa no cuenta con un plan de mantenimiento preventivo de los equipos de cmputo. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: a). No se ha elaborado una metodologa de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal. En los controles relacionados con la continuidad del procesamiento de datos y obtencin de copias de respaldo del rea de estadstica y sistemas, observamos lo siguiente: a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentacin formal que confirme y autorice el movimiento de los medios de almacenamiento. b). La ubicacin final de los dispositivos de respaldo en los centros de cmputo principal y alterno, no permite identificar rpidamente a los dispositivos existentes por la ausencia de referencias claras que as lo permitan y ayuden a una rpida seleccin de los mismos. En los controles relacionados con la administracin de los recursos de cmputo asignados a las reas usuarias, y

PRIORIDAD
MEDIA MEDIA ALTA

ALTA MEDIA

ALTA

BAJA

MEDIA

P.O. - 21 P.O. 22

29

P.O. 24 P.O. 26

observamos lo siguiente: b). Una relacin de los programas y software instalados en las estaciones de trabajo de las reas usuarias no ha sido preparado. Asimismo, no se tienen identificados los programas instalados no autorizados. No ha diseado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperacin y reanudacin del procesamiento computarizado. SITUACIONES INMEDIATA A SOLUCIONAR

MEDIA ALTA

ITEM
P.O. 4 El presupuesto para asuntos de tecnologa de informacin es administrado el rea de ODI (Oficina de desarrollo Informtico) y no por el rea de Estadstica y Informtica, que tiene que preparar por ello una hoja de clculo con el detalle de las inversiones efectuadas. Ausencia de polticas y procedimientos formalmente establecidos y documentados que normen las labores realizadas por el personal a cargo de cada actividad en dicha organizacin.

SOLUCION INMEDIATA
Para que haya viabilidad y una buena administracin del recurso econmico el Departamento Informtica tiene que planificar y documentarlo, ya que ellos tienen un conocimiento mayor de las tecnologas de informacin Se necesita planificar y hacer un plan de procesos laborales donde se indican las actividades que debe de realizar el personal en la organizacin, y todo aquello para tener un orden y de una manera controlar al personal.

PRIORIDAD
ALTA

ALTA

P.O. - 6

P.O. 14

P.O. - 15

P.O. 26

De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: a). No se ha elaborado una metodologa de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal. No ha diseado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperacin y reanudacin del procesamiento computarizado.

El rea de informtica necesita elaborar una metodologa de desarrollo estndar para la construccin de sus sistemas de informacin. Urgente se debe de planificar y disear este plan de contingencia para as tener un soporte y una recuperacin de recursos importantes para la organizacin

ALTA

ALTA

30

6.3.3. ADQUIRI E IMPLEMENTAR SITUACIONES PROBLEMAS

ITEM
A.E. 1 A.E. 3 A.E. 12 A.E. 13 A.E. 14 A.E. 15 A.E. 17 No posee un sistema de informacin para un trmite documentario por lo que se les aumento los registros de documentos realizadas para diversas operaciones. Poseen aplicaciones comerciales desatendidas y sin licencia. Algunos de los servidores principales de la red de datos, tales como el Servidor SIGA y SIAF se encuentran instalados en un rea que puede ser fcilmente accedida por intrusos externos. Algunos cdigos de acceso cuya fecha de expiracin es muy antigua, y an se mantienen activos en el sistema que manejen como el SIGA y el SIAF. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: a). No se ha elaborado una metodologa de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal. c). La documentacin tcnica preparada por los analistas y programadores de sistemas no es uniforme y depende del criterio y experiencia que tiene cada persona. SITUACIONES INMEDIATAS A SOLUCIONAR

PRIORIDAD
MEDIA ALTA ALTA BAJA

ALTA MEDIA

ITEM
A.E. 3 Poseen aplicaciones comerciales desatendidas y sin licencia.

SOLUCION INMEDIATA

PRIORIDAD

A.E. 12

Implementar una poltica de uso de software, ALTA presupuestar e implementarlo, esto por medio del rea de informtica de la red de salud. Algunos de los servidores principales de la red de datos, Se debe de implementar medidas de seguridad frente a ALTA tales como el Servidor SIGA y SIAF se encuentran este problema, de lo contrario nuestro recurso ms instalados en un rea que puede ser fcilmente accedida importante que es la informacin ser vulnerada frente a por intrusos externos. personas que podran interactuar, malversar y destruir con nuestra informacin. 31

A.E. 14

A.E. 15

De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: a). No se ha elaborado una metodologa de desarrollo El rea de informtica necesita elaborar una de sistemas formalmente establecida y documentada metodologa de desarrollo estndar para la construccin que comprenda las actividades a seguir por el personal. de sus sistemas de informacin.

ALTA

6.3.4. ENTREGA Y SOPORTE SITUACIONES PROBLEMAS

ITEM
D.S. 3 D.S. 8 D.S. 9 D.S. 11 D.S. 13 D.S. 14 D.S. 16 D.S. 19 D.S. 20 D.S. 21 Poseen aplicaciones comerciales desatendidas y sin licencia. La Compaa ha efectuado la instalacin de software comercial en sus computadores en un nmero mayor a las licencias adquiridas o en modo pirata. La compaa no cuenta con un plan de mantenimiento preventivo de los equipos de cmputo. No se guardan copias de respaldo de informacin en un lugar externo a las instalaciones de la Compaa. Algunos cdigos de acceso cuya fecha de expiracin es muy antigua, y an se mantienen activos en el sistema que manejen como el SIGA y el SIAF. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: b). No se ha asignado un nivel de prioridad de atencin a las solicitudes de desarrollo y/o cambio a los sistemas de informacin. Asimismo, no se determina una fecha estimada de entrega del trabajo, y esfuerzos adicionales deben realizarse para lograr completar la informacin faltante. En los controles relacionados con la continuidad del procesamiento de datos y obtencin de copias de respaldo del rea de estadstica y sistemas, observamos lo siguiente: a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentacin formal que confirme y autorice el movimiento de los medios de almacenamiento. b). La ubicacin final de los dispositivos de respaldo en los centros de cmputo principal y alterno, no permite identificar rpidamente a los dispositivos existentes por la ausencia de referencias claras que as lo permitan y

PRIORIDAD
ALTA ALTA MEDIA ALTA BAJA

ALTA

BAJA

MEDIA 32

ayuden a una rpida seleccin de los mismos. SITUACIONES INMEDIATAS A SOLUCIONAR

ITEM
D.S. 3 Poseen aplicaciones comerciales desatendidas y sin licencia.

PRIORIDAD

D.S. 8

D.S. 11

D.S. 14

D.S. 16

D.S. 19

D.S. 20

Implementar una poltica de uso de software, ALTA presupuestar e implementarlo, esto por medio del rea de informtica de la red de salud. La Compaa ha efectuado la instalacin de software Implementar una poltica de uso de software, ALTA comercial en sus computadores en un nmero mayor a las presupuestar e implementarlo, esto por medio del rea de licencias adquiridas o en modo pirata. informtica de la red de salud. No se guardan copias de respaldo de informacin en un El rea de informtica debe de definir, un lugar externo ALTA lugar externo a las instalaciones de la Compaa. para el almacenamiento del respaldo de la informacin, el cual debe ser de total confianza definidas por polticas internas. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: b). No se ha asignado un nivel de prioridad de atencin Redisear el MOF de la organizacin en cuanto a las ALTA a las solicitudes de desarrollo y/o cambio a los sistemas actividades y las regularidades que corresponde cada una de informacin. Asimismo, no se determina una fecha de ellas. Para parametrizar y estandarizar los procesos y estimada de entrega del trabajo, y esfuerzos se puedan cumplir a cabalidad. adicionales deben realizarse para lograr completar la informacin faltante. En los controles relacionados con la continuidad del procesamiento de datos y obtencin de copias de respaldo del rea de estadstica y sistemas, observamos lo siguiente: a). Durante el proceso de traslado de dispositivos de Planificar e implementar polticas de uso de datos dentro ALTA respaldo entre los centros de procesamiento principal de la organizacin, los fines y medios por el cual se realiza y alterno, se ha determinado la ausencia de el movimiento y definirlos consecuentemente a las 33

documentacin formal que confirme y autorice el directrices de la organizacin. movimiento de los medios de almacenamiento. MONITOREO Y EVALUAR SITUACIONES PROBLEMAS

ITEM
M.E. 2 M.E. 5 M.E. 7 M.E. 8 M.E. 9 M.E. 10 Falta de proactividad por parte del personal quien labora y cumple solo con sus labores ms no aporta en otras labores ms en la institucin. No hay concentracin y motivacin por parte del personal que labora en la institucin. Existen algunos proyectos que han sido patrocinados por las reas usuarias de la Compaa las cuales no han concluido y se han reprogramado para el ao 2014. En nuestra revisin de los controles relacionados con la administracin de los recursos de cmputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cmputo asignados a los usuarios de la organizacin. La Compaa ha efectuado la instalacin de software comercial en sus computadores en un nmero mayor a las licencias adquiridas o en modo pirata. La compaa no cuenta con un plan de mantenimiento preventivo de los equipos de cmputo. Hemos observado que la Compaa viene efectuando charlas informativas de capacitacin a los usuarios finales, sobre temas relacionados con la seguridad de la informacin y con los manejos de los sistemas de informacin creados por el rea de Estadstica y Sistemas; sin embargo, observamos que el 30% de los personales invitados asisten para informarse sobre estos temas. De la revisin de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de informacin, hemos determinado lo siguiente: d). Los manuales tcnicos y de usuarios han sido preparados sin tener en consideracin estndares mnimos de documentacin. En los controles relacionados con la administracin de los recursos de cmputo asignados a las reas usuarias, y observamos lo siguiente: a). El inventario de equipos de cmputo actual solo incluye el nmero total de equipos y perifricos, y no tiene un nivel de detalle que permita determinar el nmero de serie, especificaciones tcnicas, rea y usuario asignado. En nuestra revisin de los controles relacionados con la administracin de los recursos de cmputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cmputo asignados a los usuarios de la organizacin.

PRIORIDAD
MEDIA MEDIA MEDIA

ALTA MEDIA ALTA

M.E. 14 M.E. 18 M.E. 22 M.E. 23 M.E. 25

MEDIA

ALTA ALTA

34

M.E. 26

No ha diseado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de ALTA recuperacin y reanudacin del procesamiento computarizado.

SITUACIONES INMEDIATAS A SOLUCIONAR

ITEM
M.E. 8 La Compaa ha efectuado la instalacin de software comercial en sus computadores en un nmero mayor a las licencias adquiridas o en modo pirata. Hemos observado que la Compaa viene efectuando charlas informativas de capacitacin a los usuarios finales, sobre temas relacionados con la seguridad de la informacin y con los manejos de los sistemas de informacin creados por el rea de Estadstica y Sistemas; sin embargo, observamos que el 30% de los personales invitados asisten para informarse sobre estos temas. En los controles relacionados con la administracin de los recursos de cmputo asignados a las reas usuarias, y observamos lo siguiente: a). El inventario de equipos de cmputo actual solo incluye el nmero total de equipos y perifricos, y no tiene un nivel de detalle que permita determinar el nmero de serie, especificaciones tcnicas, rea y usuario asignado. En nuestra revisin de los controles relacionados con la administracin de los recursos de cmputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cmputo asignados a los usuarios de la organizacin. No ha diseado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperacin y reanudacin del procesamiento computarizado.

SOLUCION INMEDIATA

PRIORIDAD

M.E. 10

Implementar una poltica de uso de software, ALTA presupuestar e implementarlo, esto por medio del rea de informtica de la red de salud. El rea de RRHH debe realizar una campaa de ALTA sensibilizacin en el uso de las Tics, dentro de la organizacin para su mayor difusin y plasme el nivel de implicancia que tiene dentro de ella.

M.E. 22 M.E. 23

El rea de Patrimonio debe redefinir los parmetros que contempla la plantilla de consideracin de almacn, para su mejor estructura y contemple datos necesarios. El rea de patrimonio debe organizar los periodos de inventario de acuerdo al ingreso de materiales y recursos a la institucin para mantenerlos actualizados.

ALTA

ALTA

M.E. 25

M.E. 26

Disear un plan de contramedidas por el rea de planificacin, en el cual contemple tanto la seguridad de la informacin como el de los recursos.

ALTA

35

6.4. MODELO DE MADUREZ DE COBIT

EMPRESA: RED SALUD- LEONCIO PRADO DOMINIOS
ITEM PO.-4 PO.-6 PO.-15 PO.-20 PO26 AI.-3 AI.-15 DS.-3 DS.-8 DS.-11 DS.-16 DS.-20 ME.-8 ME.-10 ME.-23 ME.-25 ME.-26 INEXISTENTE X X X X X INICIAL

FECHA DIAGNOSTICO: 25-07-2013 MODELO DE MADUREZ NIVEL DE MADUREZ

REPETIBLE DEFINIDO MEDIBLE OPTIMIZADO

X X X X X X X X X X X X

36

Se puede concluir entonces, que la Organizacin se encuentra en un nivel de madurez inexistente-inicial el cual se debe atender inmediatamente, ya que se trata de los procesos o actividades ms importantes y de impacto en la organizacin.

INEXISTENTE

INICIAL

REPETIBLE

DEFINIDO

MEDIBLE

OPTIMIZADO

0 SITUACION ACTUAL

37

7. CONCLUSIONES
COBIT ha sido desarrollado y es mantenido por un instituto de investigacin sin nimo de lucro, tomando la experiencia de los miembros de sus asociaciones afiliadas, de los expertos de la industria, y de los profesionales de control y seguridad. Su contenido se basa en una investigacin continua sobre las mejores prcticas de TI y se le da un mantenimiento continuo, proporcionando as un recurso objetivo y prctico para todo tipo de usuario. COBIT se basa en el anlisis y armonizacin de estndares y mejores prcticas de TI existentes y se adapta a principios de gobierno generalmente aceptados. COBIT no proporciona medidas de resultado para las metas de negocio.

38

8. BIBLIOGRAFIA
http://manuelgross.bligoo.com/content/view/693596/Uso-estrategico-de-las-TICs-en-lasempresas-del-futuro.html. http://www.es.globaltalentnews.com/reflexion/tribunas/1935/El-nuevo-rol-de-losprofesionales-de-las-TIC.html http://www.esan.edu.pe/conexion/actualidad/2011/10/14/que-tan-importante-resulta-la-tien-las-empresas/ http://www.cioal.com/2011/07/27/los-6-nuevos-roles-en-las-areas-de-ti/ http://www.cioal.com/2011/03/09/los-cuatro-roles-claves-de-la-nueva-generacion-de-cios/ http://www.esan.edu.pe/conexion/actualidad/2011/11/14/de-gerente-de-ti-a-cio-unaevolucion-necesaria-en-el-peru/ BOLETIN MENSUAL DEL AMBITO SAP E IT. CIO 2.0 - El nuevo rol del Director de Tecnologas de Informacin. ROL DE LA INFRAESTRUCTURA DE TI EN LAS ORGANIZACIONES - Harold Castro, Ph.D hcastro@uniandes.edu.co. Universidad de los Andes Departamento de Ingeniera de Sistemas Grupo COMIT: Comunicaciones y Tecnologa de Informacin.

39