Trabajo - Cobit Red de Salud

CURSO:

TALLER DE SEGURIDAD

PROYECTO:

APLICACIÓN DEL MARCO DE TRABAJO DE COBIT A LA RED DE SALUD DE LEONCIO PRADO

PRESENTADO POR:

ALVARADO RUIZ, ARNALDO JONATHAN. ACEVEDO ALIAGA, ALBERTO LUCIO.

Docente:

ING.: PANDO SOTO, BRIAN

Tingo María – Perú

1. INDICE

Contenido1. INDICE.............................................................................................................................................2

2. INTRODUCCION..............................................................................................................................4

3. OBJETIVOS......................................................................................................................................5

3.1. OBJETIVOS GENERALES...........................................................................................................5

3.2. OBJETIVOS ESPECIFICOS.........................................................................................................5

4. MARCO TEORICO............................................................................................................................6

4.1. COBIT.......................................................................................................................................6

4.1.1. ¿QUE ES COBIT?..............................................................................................................6

4.1.2. OBJETIVOS Y MISION......................................................................................................6

4.1.3. CARACTERISTICAS DE COBIT...........................................................................................7

4.1.4. BENEFICIOS DE IMPLEMENTAR COBIT............................................................................7

4.1.5. COBERTURA DE TRABAJO...............................................................................................7

4.1.6. VERSIONES....................................................................................................................11

4.2. GOBIERNO DE TI....................................................................................................................12

4.3. AREA DE ENFOQUE DEL GOBIERNO DE TI.............................................................................14

4.3.1. ALINEACIÓN ESTRATÉGICA...........................................................................................15

4.3.2. ENTREGA DE VALOR......................................................................................................15

4.3.3. ADMINISTRACIÓN DE RECURSOS.................................................................................15

4.3.4. ADMINISTRACIÓN DE RIESGOS.....................................................................................15

4.3.5. MEDICIÓN DEL DESEMPEÑO.........................................................................................15

4.4. RECURSOS EN TI....................................................................................................................16

4.5. NIVELES DE ACTIVIDAD DE TI................................................................................................16

4.6. CRITERIOS DE INFORMACION DE COBIT...............................................................................17

4.7. DOMINIOS DE COBIT.............................................................................................................18

4.7.1. DOMINIO 1: PLANEACION Y ORGANIZACIÓN (PO).......................................................18

4.7.2. DOMINIO 2: ADQUISICION DE IMPLANTACION (AI).....................................................19

5. DESCRIPCIÓN DE LA ORGANIZACIÓN...........................................................................................21

5.1. DESCRIPCIÓN DE LA ORGANIZACIÓN...................................................................................21

5.1.1. NOMBRE........................................................................................................................21

5.1.2. ANTECEDENTES HISTÓRICOS........................................................................................21

2

5.1.3. ORGANIGRAMA............................................................................................................22

5.1.4. UBICACIÓN GEOGRÁFICA..............................................................................................23

5.1.5. VISIÓN...........................................................................................................................23

5.1.6. MISIÓN..........................................................................................................................23

5.1.7. OBJETIVOS.....................................................................................................................23

6. MODELO DE MEJORES PRACTICAS UTILIZANDO COBIT...............................................................25

6.1. ENTENDIMIENTO DE LA INSTITUCIONAL...................................................................................25

6.2. IDENTIFICACION DE DOMINIOS DE COBIT.................................................................................26

6.3. IDENTIFICACION Y PROPUESTA DE SOLUCION DE LAS ACTIVIDADES.......................................29

6.4. MODELO DE MADUREZ DE COBIT.............................................................................................36

7. CONCLUSIONES.............................................................................................................................38

8. BIBLIOGRAFIA...............................................................................................................................39

3

2. INTRODUCCIONEn los últimos años se ha debatido mucho sobre la aportación de valor de los departamentos de informática de una empresa. A pesar de los esfuerzos de evolución del de los directores de sistemas de información, la evolución real de sus funciones en los últimos años ha sido muy limitada. Nos encontramos, ante directivos TIC más concienciados de su rol como directivos, pero con una posición de las TIC dentro de las compañías estancada en su rol tradicional.

Podemos dividir a los directores de sistemas entre aquellos que tienen un rol fundamentalmente de provisión de servicios TIC y aquellos que se encuentran en el camino de asumir un rol de transformación. El rol de TI, no puede ser el mismo en todas las compañías: hay empresas en las que la información es su principal materia prima y otras en las que la información es una herramienta más o menos necesaria pero subalterna.

4

3. OBJETIVOS

3.1. OBJETIVOS GENERALES Presentar la estructura básica de la aplicación de COBIT a la institución de la

RED DE SALUD DE LEONCIO PRADO.

3.2. OBJETIVOS ESPECIFICOS

Dar a conocer conceptos teóricos sobre el marco de referencia COBIT. Dar a conocer sobre las definiciones de COBIT. Definiciones sobre el Gobierno de TI. Dar a conocer las ares de enfoques del Gobierno de TI. Definiciones sobre los recursos en TI. Dar a conocer los niveles de actividades de TI. Dar a conocer los criterios de información de COBIT. Presentar un caso práctico, en este caso la aplicación de COBIT a la RED DE

SALUD DE LEONCIO PRADO.

5

4. MARCO TEORICO4.1. COBIT

4.1.1. ¿QUE ES COBIT?Sus siglas en ingles “Control Objectives for Information and Related Technology”, que significa “Objetivos de control para la Información y Tecnologías relacionadas”.

Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto de Gobernanza de las Tecnologías de la

Información (ITGI).

Es un marco de referencia para la dirección de TI y Gobierno de TI, así como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. COBIT permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI.

COBIT es una herramienta para dar soporte al gobierno de TI al brindar un marco de trabajo que garantiza que:

TI está alineada con el negocio. TI habilita al negocio y maximiza los beneficios. Los recursos de TI se usan de manera responsable. Los riesgos de TI se administran apropiadamente.

4.1.2. OBJETIVOS Y MISION4.1.2.1. OBJETIVOS

Brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan.

Suministrar herramientas para supervisar todas las actividades relacionadas con TI.

Desarrollar de políticas claras y buenas prácticas para la gestión de TI. Gestionar los riesgos de TI y asegurar el cumplimiento, la continuidad,

seguridad y privacidad. Desarrollar una estructura de control de las TI, basada en los objetivos de

control.

6

4.1.2.2. MISIONInvestigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.

4.1.3. CARACTERISTICAS DE COBIT Orientado al negocio. Basado en una revisión crítica y analítica de las tareas y actividades en TI. Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

4.1.4. BENEFICIOS DE IMPLEMENTAR COBIT Mejor alineación, con base en su enfoque de negocios. Una visión, entendible para la gerencia, de lo que hace TI. Propiedad y responsabilidades claras, con base en su orientación a procesos. Aceptación general de terceros y reguladores. Entendimiento compartido entre todos los Interesados, con base en un

lenguaje común. Cumplimiento de los requerimientos COSO para el ambiente de control de TI.

4.1.5. COBERTURA DE TRABAJOCOBIT se enfoca en qué se requiere para lograr una administración y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estándares y mejores prácticas más detallados de TI. COBIT actúa como un integrador de todos estos materiales guía, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que también se alinea con los requerimientos de gobierno y de negocios.

COSO (y marcos de trabajo compatibles similares) es generalmente aceptado como el marco de trabajo de control interno para las empresas. COBIT es el marco de trabajo de control interno generalmente aceptado para TI.

El marco de referencia de ITIL (Biblioteca de Infraestructura de Tecnologías de Información) complementa al marco de referencia COBIT, pues habla de la mejora de las áreas de TI, COBIT desde el punto de vista del gobierno corporativo e ITIL desde el punto de vista de los servicios mapeados a los procesos de negocio y sus habilitadores de infraestructura correspondientes. Es decir COBIT es el “que” e ITIL es el “como”.

7

ISO 9000 designa un conjunto de normas sobre calidad y gestión continua de calidadISO 27000 Estándar de seguridad que contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener un SGSI.

FUENTE: Control y Auditoria de Berrocal Barrios, Frank.

4.1.5.1. MODELO DE MARCO DE TRABAJO DE COBITEl marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT.

8


9

Marco de Trabajo General de COBIT

10


4.1.6. VERSIONESCOBIT es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda que permite a los administradores unir los conceptos de requerimientos de control, consideraciones técnicas y riesgos del negocio. COBIT permite el desarrollo de una política clara y de buenas prácticas para control de TI a lo largo de las organizaciones.

Estuvo enfocado a la auditoria, porque el uso de estándares internacionales, las pautas y la investigación en las mejores prácticas condujeron al desarrollo de los objetivos del control.

COBIT v2.0: (1998) Estuvo enfocado al Control porque el análisis de fuentes internacionales dedicados a la compilación, revisión e incorporación apropiada de los estándares técnicos internacionales, códigos de la conducta, estándares de calidad, estándares profesionales, y los requisitos de la industria, se relacionan con el marco y con los objetivos del control.

COBIT v3.0: (2000) Estuvo enfocado a la Gestión/Gerencia pues porque consistió en proveer a la gerencia un uso del marco de referencia, para que de él pueda determinar las mejores opciones a ser puestas en práctica y las mejoras del control sobre su información y tecnología relacionada. Así como las pautas para la gerencia que incluyen modelos de madurez, factores críticos de éxito, indicadores dominantes dela meta e indicadores dominantes del funcionamiento relacionados con los objetivos del control.

Versión 4.0: (2005) Estuvo enfocada al Gobierno, porque acentúa el cumplimiento regulador, ayuda a las organizaciones a aumentar el valor logrado de TI, que permite la alineación y simplifica la puesta en práctica del Modelo COBIT.

Versión 4.1: (2007) Una actualización de COBIT 4.0, destacando los vínculos entre los objetivos del negocio y TI, y simplificando la implementación del marco de trabajo COBIT.

Versión 5.013: (Julio 2011) Promete ser un efectivo marco, completo, para el Gobierno Corporativo de TI, con sus tres ejes básicos de alineamiento, sincronización y contribución al valor y mitigación del riesgo, con una dosis extra de Seguridad de la Información y un catálogo de directrices de auditoría para un enfoque dirigido a la Gestión de Información.

11


4.2. GOBIERNO DE TIEl Gobierno es el método por medio del cual una organización es dirigida, administrada o controlada.

El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

Más aún, el gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que TI en la empresa soporta los objetivos del negocio. De esta manera, el gobierno de TI al máximo facilita que la empresa aproveche su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.

El Gobierno de TI es una parte integral de la gestión empresarial y las direcciones de la definición e implementación de procesos, estructuras y mecanismos de relación en la organización que permiten a las empresas y la gente de TI ejecutar sus

12

responsabilidades en apoyo de las empresas / alineación de TI y la creación de valor de negocio.

Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y los eventos no deseados serán prevenidos o detectado. Riesgo: El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de ocurrencia.

La necesidad de un marco de trabajo de control de control para el Gobierno de TIUn marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI

¿Por qué?Cada vez más, la alta dirección se está dando cuenta del impacto significativo, que la información puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI.Control y Auditoria de Sistemas

Además, el gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante incremento de requerimientos regulatorios.

¿Quién?Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades específicas:

Interesados dentro de la empresa que tienen interés en generar valor de las inversiones en TI: Aquellos que toman decisiones de inversiones, los que deciden respecto a los requerimientos y los que utilizan los servicios de TI.

Interesados internos y externos que proporcionan servicios de TI: Aquellos que administran la organización y los procesos de TI, los que desarrollan capacidades, y los que operan los servicios.

13

Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo, los que realizan funciones de cumplimiento y los que proporcionan servicios de aseguramiento.

¿Qué?Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales:

Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI.

Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido.

Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas.

Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en general para todos los Interesados.

Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos

4.3. AREA DE ENFOQUE DEL GOBIERNO DE TIEstas áreas de enfoque de gobierno de TI describen los tópicos en los que la dirección ejecutiva requiere poner atención para gobernar a TI en sus empresas. La dirección operacional usa procesos para organizar y administrar las actividades cotidianas de TI.

14


4.3.1. ALINEACIÓN ESTRATÉGICASe enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.

4.3.2. ENTREGA DE VALORSe refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI.

4.3.3. ADMINISTRACIÓN DE RECURSOSSe trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura.

4.3.4. ADMINISTRACIÓN DE RIESGOSRequiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.

4.3.5. MEDICIÓN DEL DESEMPEÑORastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el

15

uso, por ejemplo, de BALANCED SCORECARDS que traducen la estrategia en acción para lograr las metas que se puedan medir más allá del registro convencional.

4.4. RECURSOS EN TIPara responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada (ej., un sistema de planeación de recursos empresariales) para dar soporte a la capacidad del negocio (ej., implementando una cadena de suministro) que genere el resultado deseado (ej., mayores ventas y beneficios financieros).

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

Información: Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio. Son todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.

Infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Personas: Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por OUTSOURCING o contratadas, de acuerdo a como se requieran.

4.5. NIVELES DE ACTIVIDAD DE TI Dominios: Agrupación natural de procesos, normalmente corresponden a una

responsabilidad organizacional. Consta de 4 Dominios.

Procesos: Conjuntos de actividades unidas con delimitación o cortes de control. Consta de 34 procesos.

16

Actividades: Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas. Consta de 220 objetivos de control.

4.6. CRITERIOS DE INFORMACION DE COBITPara satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:

FUENTE: Control y Auditoria de Berrocal Barrios, Frank. La efectividad: Tiene que ver con que la información sea relevante y

pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

La eficiencia: Consiste en que la información sea generada optimizando los recursos (más productivo y económico).

La confidencialidad: Se refiere a la protección de información sensitiva contra revelación no autorizada.

La integridad: Está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

17

La disponibilidad: Se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne con la protección de los recursos y las capacidades necesarias asociadas.

El cumplimiento: Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

La confiabilidad: Significa proporcionar la información apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.

4.7. DOMINIOS DE COBIT

A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos.

COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aún más, se pueden combinar como se necesite por cada empresa.

4.7.1. DOMINIO 1: PLANEACION Y ORGANIZACIÓN (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:

¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de

TI? ¿Se entienden y administran los riesgos de TI?

18

¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

4.7.2. DOMINIO 2: ADQUISICION DE IMPLANTACION (AI)Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:

¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?

¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?

¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio?

4.7.3. DOMINIO 3: ENTREGA DE SERVICIOS Y SOPORTE (DS)Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:

¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?

¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera

productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la

disponibilidad?

4.7.4. DOMINIO 4: MONITOREAR Y EVALUAR (ME)Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia:

¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?

19

¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del

negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

20

5. DESCRIPCIÓN DE LA ORGANIZACIÓN5.1. DESCRIPCIÓN DE LA ORGANIZACIÓN

5.1.1. NOMBRERED DE SALUD LEONCIO PRADO.

5.1.2. ANTECEDENTES HISTÓRICOSLa Red de Salud Leoncio Prado es un órgano desconcentrado de la Dirección Regional de Salud Huánuco, cuya organización y funciones están establecidos en su Reglamento de Organización y Funciones aprobado mediante Resolución Ejecutiva Regional Nº 480-2006-GRH/PR. La Red de Salud Leoncio Prado es la encargada de brindar y garantizar la atención de salud a la población de su jurisdicción, tendiente a la reducción significativa de las principales causas de morbilidad y mortalidad. Para ello las unidades orgánicas de la Red coordinan, proponen y realizan acciones en coordinación con la Dirección Regional de Salud, Direcciones Sectoriales, Gobierno Local y sociedad organizada. En la jurisdicción de la Provincia de Leoncio Prado y Puerto Inca, así como los distritos de Monzón y Chaclla, el sistema organizativo que estaba implementado hasta el 31 de diciembre del 2002 era el de la UTES Tingo María como cabecera de Red de Salud y al mismo tiempo constituido como Unidad Ejecutora 401; bajo este sistema, la UTES Tingo María estaba a cargo de los 74 establecimientos periféricos o rurales de salud y un Hospital de apoyo en la ciudad de Tingo María.

Los resultados principalmente en las zonas periféricas no fueron positivos; las poblaciones rurales afectadas por la pobreza, inequidad, exclusión social, centralismo, desigualdad de oportunidades, presión social y sin proyecto de vida, hace que se realicen cambio de paradigmas de atención en salud; en 1997 se realizan diferentes gestiones locales y regionales de salud, plantean la necesidad de separación presupuestal, es decir, la creación de otra Unidad Ejecutora para atender la periferia, después de muchos intentos finalmente en julio del año 2002, el Consejo Transitorio de Administración Regional (CTAR) declara procedente la creación de la nueva Unidad Ejecutora 403 – Leoncio Prado en base a la Directiva del Ministerio de Economía y Finanzas Nº 006-2002-EF/76.01.

21

5.1.3. ORGANIGRAMA

Ilustración 1: Organigrama de la Red de Salud Leoncio Prado

5.1.4. UBICACIÓN GEOGRÁFICADEPARTAMENTO: HUÁNUCO.PROVINCIA: LEONCIO PRADO.DISTRITO: RUPA RUPA.ENTIDAD: Av. Ucayali N° 940.ALTITUD: 648 m.s.n.m.TEMPERATURAS: Máxima de 35 °C – Mínima de 17 °C.

5.1.5. VISIÓNLa Red de Salud Leoncio Prado será una institución líder en la Región Huánuco, con servicio de salud que brindan una atención integral, con calidad, calidez, equidad y accesibilidad universal; motivando a nuestra población para que se comprometa y participe en las acciones de salud a través de sus micro redes eficientemente articuladas.

5.1.6. MISIÓNSer una institución líder que coordina y brinda servicios de salud con recursos humanos competitivos para satisfacer necesidades de salud con calidad; promoviendo la integración intercultural y entornos de vida saludables, en coordinación con las instituciones representativas y comunidades organizadas, priorizando los sectores que poseen menores oportunidades de acceder a los servicios de salud.

5.1.7. OBJETIVOSa) OBJETIVOS FUNCIONALES

Alcanzar los resultados esperados en la visión, misión y objetivos estratégicos y funcionales de su ámbito geográfico cumpliendo las políticas y normas sectoriales de salud.

Establecer los objetivos, metas y estrategias de salud de corto, mediano y largo plazo en materia de salud y a nivel sectorial de la Dirección de Red de Salud, en el marco de las normas vigentes, para implementar los planes estratégicos sectoriales y regionales de salud y gestionar la asignación de recursos necesarios ante los órganos y organismos competentes.

Identificar y proponer a la Dirección de Salud, los proyectos para la creación, mejoramiento y ampliación de la capacidad instalada de la infraestructura de salud en nuestro ámbito geográfico, en el marco del planeamiento estratégico de la inversión a nivel sectorial y regional.

Lograr los objetivos de atención integral a la salud de la población asignada. Establecer los órganos desconcentrados para la atención de salud de mediana y

baja complejidad para la población asignada y referenciada, en el marco del planeamiento estratégico regional y nacional de salud y del sistema de referencia y contrareferencias.

Establecer la mejora continua de los procesos de promoción, protección, recuperación y rehabilitación de la salud de la población asignada.

23

Dirigir y coordinar la movilización y desmovilización parcial o total, que el ministerio de salud o la Dirección Regional de Salud haya dispuesto para la atención de la salud de la población declarada en emergencia por epidemias o desastres.

Identificar los objetivos, metas y estrategias de prevención, intervención y control de emergencias y desastres en su ámbito geográfico y asignar a las entidades públicas y privadas del sector, las responsabilidades de acción inmediata, soporte logístico y apoyo de recursos humanos, según las normas y procedimiento que se establezcan.

Disponer las medidas necesarias y oportunas para proteger y recuperar la salud de la población afectada por situaciones de emergencia y desastres en el ámbito de la correspondiente.

Lograr el compromiso y trabajo en equipo de los funcionarios y directivos a cargo de las unidades orgánicas, para crear la mística, sinergia y cultura organizacional necesaria para desarrollar el planeamiento, organización y gestión en la Dirección de Red de Salud.

6. MODELO DE MEJORES PRACTICAS UTILIZANDO COBIT24

6.1. ENTENDIMIENTO DE LA INSTITUCIONALLa institución de RED DE SALUD DE LEOCIO PRADO se encarga de velar por los diversos procesos y servicios que se viene dando en la provincia de LEONCIO PRADO en cuanto al control y administración de las Microredes que cada uno poseen postas periféricas en donde se atienden a las personas prestando servicios como: control de gestantes, vacunación, servicios de medicina entre otros.

La institución posee un ambiente no muy adecuando ya que es un poco chico o angosto. En el área de Estadística y Informática se observó que poseen aplicación comerciales desatendidas y sin licencia, ya que la institución ha efectuado la instalación de aplicativos comerciales en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.No poseen un sistema de información para los tramites documentarios por lo tanto los registros son manuales y deben estar en contante ordenamiento, de lo contrario al momento de buscar estos documentos será dificultosos.

25

6.2. IDENTIFICACION DE DOMINIOS DE COBIT

ITEM P.O. A.E. D.S. M.E. PRIORIDAD1 No posee un sistema de información para un trámite documentario por lo que se les

aumento los registros de documentos realizadas para diversas operaciones.X X MEDIA

2Falta de proactividad por parte del personal quien labora y cumple solo con sus labores más no aporta en otras labores más en la institución. No hay concentración y motivación por parte del personal que labora en la institución.

X X MEDIA

3 Poseen aplicaciones comerciales desatendidas y sin licencia. X X ALTA

4El presupuesto para asuntos de tecnología de información es administrado el área de ODI (Oficina de desarrollo Informático) y no por el área de Estadística y Informática, que tiene que preparar por ello una hoja de cálculo con el detalle de las inversiones efectuadas.

X ALTA

5 Existen algunos proyectos que han sido patrocinados por las áreas usuarias de la Compañía las cuales no han concluido y se han reprogramado para el año 2014.

X MEDIA

6 Ausencia de políticas y procedimientos formalmente establecidos y documentados que normen las labores realizadas por el personal a cargo de cada actividad en dicha organización.

X ALTA

7En nuestra revisión de los controles relacionados con la administración de los recursos de cómputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cómputo asignados a los usuarios de la organización.

X MEDIA

8 La Compañía ha efectuado la instalación de software comercial en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.

X X ALTA

9 La compañía no cuenta con un plan de mantenimiento preventivo de los equipos de cómputo. X X MEDIA

10

Hemos observado que la Compañía viene efectuando charlas informativas de capacitación a los usuarios finales, sobre temas relacionados con la seguridad de la información y con los manejos de los sistemas de información creados por el área de Estadística y Sistemas; sin embargo, observamos que el 30% de los personales invitados asisten para informarse sobre estos temas.

X ALTA

11 No se guardan copias de respaldo de información en un lugar externo a las instalaciones de la Compañía.

X ALTA

12 Algunos de los servidores principales de la red de datos, tales como el Servidor SIGA y SIAF se encuentran instalados en un área que puede ser fácilmente accedida por intrusos externos.

X ALTA

26

13 Algunos códigos de acceso cuya fecha de expiración es muy antigua, y aún se mantienen activos en el sistema que manejen como el SIGA y el SIAF.

X X BAJA

14 De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

X X X X

15 a). No se ha elaborado una metodología de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal.

X X ALTA

16

b). No se ha asignado un nivel de prioridad de atención a las solicitudes de desarrollo y/o cambio a los sistemas de información. Asimismo, no se determina una fecha estimada de entrega del trabajo, y esfuerzos adicionales deben realizarse para lograr completar la información faltante.

X ALTA

17 c). La documentación técnica preparada por los analistas y programadores de sistemas no es uniforme y depende del criterio y experiencia que tiene cada persona.

X MEDIA

18 d). Los manuales técnicos y de usuarios han sido preparados sin tener en consideración estándares mínimos de documentación.

X MEDIA

19 En los controles relacionados con la continuidad del procesamiento de datos y obtención de copias de respaldo del área de estadística y sistemas, observamos lo siguiente:

X X

20a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentación formal que confirme y autorice el movimiento de los medios de almacenamiento.

X X BAJA

21b). La ubicación final de los dispositivos de respaldo en los centros de cómputo principal y alterno, no permite identificar rápidamente a los dispositivos existentes por la ausencia de referencias claras que así lo permitan y ayuden a una rápida selección de los mismos.

X X MEDIA

22 En los controles relacionados con la administración de los recursos de cómputo asignados a las áreas usuarias, y observamos lo siguiente:

X X

23a). El inventario de equipos de cómputo actual solo incluye el número total de equipos y periféricos, y no tiene un nivel de detalle que permita determinar el número de serie, especificaciones técnicas, área y usuario asignado.

X ALTA

24b). Una relación de los programas y software instalados en las estaciones de trabajo de las áreas usuarias no ha sido preparado. Asimismo, no se tienen identificados los programas instalados no autorizados.

X MEDIA

25 En nuestra revisión de los controles relacionados con la administración de los recursos de cómputo hemos observado que actualmente no se lleva un control actualizado del inventario

X ALTA

27

de equipos de cómputo asignados a los usuarios de la organización.

26 No ha diseñado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperación y reanudación del procesamiento computarizado.

X X ALTA

28

6.3. IDENTIFICACION Y PROPUESTA DE SOLUCION DE LAS ACTIVIDADES

6.3.1. PLNIFICAR Y ORGANIZAR

SITUACIONES PROBLEMA

29

SITUACIONES INMEDIATA A SOLUCIONAR

30

ITEM PRIORIDADP.O. – 1 No posee un sistema de información para un trámite documentario por lo que se les aumento los registros de

documentos realizadas para diversas operaciones.MEDIA

P.O. – 2 Falta de proactividad por parte del personal quien labora y cumple solo con sus labores más no aporta en otras labores más en la institución. No hay concentración y motivación por parte del personal que labora en la institución.

MEDIA

P.O. – 4El presupuesto para asuntos de tecnología de información es administrado el área de ODI (Oficina de desarrollo Informático) y no por el área de Estadística y Informática, que tiene que preparar por ello una hoja de cálculo con el detalle de las inversiones efectuadas.

ALTA

P.O. - 6 Ausencia de políticas y procedimientos formalmente establecidos y documentados que normen las labores realizadas por el personal a cargo de cada actividad en dicha organización.

ALTA

P.O. – 9 La compañía no cuenta con un plan de mantenimiento preventivo de los equipos de cómputo. MEDIA

P.O. – 14 De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

P.O. - 15 a). No se ha elaborado una metodología de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal.

ALTA

P.O. - 19 En los controles relacionados con la continuidad del procesamiento de datos y obtención de copias de respaldo del área de estadística y sistemas, observamos lo siguiente:

P.O. – 20a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentación formal que confirme y autorice el movimiento de los medios de almacenamiento.

BAJA

P.O. - 21b). La ubicación final de los dispositivos de respaldo en los centros de cómputo principal y alterno, no permite identificar rápidamente a los dispositivos existentes por la ausencia de referencias claras que así lo permitan y ayuden a una rápida selección de los mismos.

MEDIA

P.O. – 22 En los controles relacionados con la administración de los recursos de cómputo asignados a las áreas usuarias, y observamos lo siguiente:

P.O. – 24 b). Una relación de los programas y software instalados en las estaciones de trabajo de las áreas usuarias no ha sido preparado. Asimismo, no se tienen identificados los programas instalados no autorizados.

MEDIA

P.O. – 26 No ha diseñado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperación y reanudación del procesamiento computarizado.

ALTA

ITEM SOLUCION INMEDIATA PRIORIDAD

P.O. – 4

El presupuesto para asuntos de tecnología de información es administrado el área de ODI (Oficina de desarrollo Informático) y no por el área de Estadística y Informática, que tiene que preparar por ello una hoja de cálculo con el detalle de las inversiones efectuadas.

Para que haya viabilidad y una buena administración del recurso económico el Departamento Informática tiene que planificar y documentarlo, ya que ellos tienen un conocimiento mayor de las tecnologías de información

ALTA

P.O. - 6

Ausencia de políticas y procedimientos formalmente establecidos y documentados que normen las labores realizadas por el personal a cargo de cada actividad en dicha organización.

Se necesita planificar y hacer un plan de procesos laborales donde se indican las actividades que debe de realizar el personal en la organización, y todo aquello para tener un orden y de una manera controlar al personal.

ALTA

P.O. – 14De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

P.O. - 15

a). No se ha elaborado una metodología de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal.

El área de informática necesita elaborar una metodología de desarrollo estándar para la construcción de sus sistemas de información.

ALTA

P.O. – 26

No ha diseñado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperación y reanudación del procesamiento computarizado.

Urgente se debe de planificar y diseñar este plan de contingencia para así tener un soporte y una recuperación de recursos importantes para la organización

ALTA

6.3.3. ADQUIRI E IMPLEMENTAR

SITUACIONES PROBLEMAS

ITEM PRIORIDADA.E. – 1 No posee un sistema de información para un trámite documentario por lo que se les aumento los registros de

documentos realizadas para diversas operaciones.MEDIA

A.E. – 3 Poseen aplicaciones comerciales desatendidas y sin licencia. ALTA

A.E. – 12 Algunos de los servidores principales de la red de datos, tales como el Servidor SIGA y SIAF se encuentran instalados en un área que puede ser fácilmente accedida por intrusos externos.

ALTA

A.E. – 13 Algunos códigos de acceso cuya fecha de expiración es muy antigua, y aún se mantienen activos en el sistema que manejen como el SIGA y el SIAF.

BAJA

A.E. – 14 De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

A.E. – 15 a). No se ha elaborado una metodología de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal.

ALTA

A.E. – 17 c). La documentación técnica preparada por los analistas y programadores de sistemas no es uniforme y depende del criterio y experiencia que tiene cada persona.

MEDIA

SITUACIONES INMEDIATAS A SOLUCIONAR31

ITEM SOLUCION INMEDIATA PRIORIDADA.E. – 3

Poseen aplicaciones comerciales desatendidas y sin licencia.

Implementar una política de uso de software, presupuestar e implementarlo, esto por medio del área de informática de la red de salud.

ALTA

A.E. – 12

Algunos de los servidores principales de la red de datos, tales como el Servidor SIGA y SIAF se encuentran instalados en un área que puede ser fácilmente accedida por intrusos externos.

Se debe de implementar medidas de seguridad frente a este problema, de lo contrario nuestro recurso más importante que es la información será vulnerada frente a personas que podrían interactuar, malversar y destruir con nuestra información.

ALTA

A.E. – 14De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

A.E. – 15

a). No se ha elaborado una metodología de desarrollo de sistemas formalmente establecida y documentada que comprenda las actividades a seguir por el personal.

El área de informática necesita elaborar una metodología de desarrollo estándar para la construcción de sus sistemas de información.

ALTA

6.3.4. ENTREGA Y SOPORTE


ITEM PRIORIDADD.S. – 3 Poseen aplicaciones comerciales desatendidas y sin licencia. ALTA

D.S. – 8 La Compañía ha efectuado la instalación de software comercial en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.

ALTA

D.S. – 9 La compañía no cuenta con un plan de mantenimiento preventivo de los equipos de cómputo. MEDIAD.S. – 11 No se guardan copias de respaldo de información en un lugar externo a las instalaciones de la Compañía. ALTA

D.S. – 13 Algunos códigos de acceso cuya fecha de expiración es muy antigua, y aún se mantienen activos en el sistema que manejen como el SIGA y el SIAF.

BAJA

D.S. – 14 De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información,

32

hemos determinado lo siguiente:

D.S. – 16b). No se ha asignado un nivel de prioridad de atención a las solicitudes de desarrollo y/o cambio a los sistemas de información. Asimismo, no se determina una fecha estimada de entrega del trabajo, y esfuerzos adicionales deben realizarse para lograr completar la información faltante.

ALTA

D.S. – 19 En los controles relacionados con la continuidad del procesamiento de datos y obtención de copias de respaldo del área de estadística y sistemas, observamos lo siguiente:

D.S. – 20a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentación formal que confirme y autorice el movimiento de los medios de almacenamiento.

BAJA

D.S. – 21b). La ubicación final de los dispositivos de respaldo en los centros de cómputo principal y alterno, no permite identificar rápidamente a los dispositivos existentes por la ausencia de referencias claras que así lo permitan y ayuden a una rápida selección de los mismos.

MEDIA

SITUACIONES INMEDIATAS A SOLUCIONAR

ITEM PRIORIDADD.S. – 3

Poseen aplicaciones comerciales desatendidas y sin licencia.


ALTA

D.S. – 8La Compañía ha efectuado la instalación de software comercial en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.


ALTA

D.S. – 11

No se guardan copias de respaldo de información en un lugar externo a las instalaciones de la Compañía.

El área de informática debe de definir, un lugar externo para el almacenamiento del respaldo de la información, el cual debe ser de total confianza definidas por políticas internas.

ALTA

D.S. – 14De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

D.S. – 16 b). No se ha asignado un nivel de prioridad de atención a las solicitudes de desarrollo y/o cambio a

Rediseñar el MOF de la organización en cuanto a las actividades y las regularidades que corresponde cada una

ALTA

33

los sistemas de información. Asimismo, no se determina una fecha estimada de entrega del trabajo, y esfuerzos adicionales deben realizarse para lograr completar la información faltante.

de ellas. Para parametrizar y estandarizar los procesos y se puedan cumplir a cabalidad.

D.S. – 19

En los controles relacionados con la continuidad del procesamiento de datos y obtención de copias de respaldo del área de estadística y sistemas, observamos lo siguiente:

D.S. – 20

a). Durante el proceso de traslado de dispositivos de respaldo entre los centros de procesamiento principal y alterno, se ha determinado la ausencia de documentación formal que confirme y autorice el movimiento de los medios de almacenamiento.

Planificar e implementar políticas de uso de datos dentro de la organización, los fines y medios por el cual se realiza el movimiento y definirlos consecuentemente a las directrices de la organización.

ALTA

MONITOREO Y EVALUAR


ITEM PRIORIDADM.E. – 2 Falta de proactividad por parte del personal quien labora y cumple solo con sus labores más no aporta en otras

labores más en la institución. No hay concentración y motivación por parte del personal que labora en la institución.MEDIA

M.E. – 5 Existen algunos proyectos que han sido patrocinados por las áreas usuarias de la Compañía las cuales no han concluido y se han reprogramado para el año 2014.

MEDIA

M.E. – 7En nuestra revisión de los controles relacionados con la administración de los recursos de cómputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cómputo asignados a los usuarios de la organización.

MEDIA

M.E. – 8 La Compañía ha efectuado la instalación de software comercial en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.

ALTA

M.E. – 9 La compañía no cuenta con un plan de mantenimiento preventivo de los equipos de cómputo. MEDIA

M.E. – 10


ALTA

34

M.E. – 14 De la revisión de los controles relacionados con el proceso de desarrollo y cambio a los sistemas de información, hemos determinado lo siguiente:

M.E. – 18 d). Los manuales técnicos y de usuarios han sido preparados sin tener en consideración estándares mínimos de documentación.

MEDIA

M.E. – 22 En los controles relacionados con la administración de los recursos de cómputo asignados a las áreas usuarias, y observamos lo siguiente:

M.E. – 23 a). El inventario de equipos de cómputo actual solo incluye el número total de equipos y periféricos, y no tiene un nivel de detalle que permita determinar el número de serie, especificaciones técnicas, área y usuario asignado.

ALTA

M.E. – 25En nuestra revisión de los controles relacionados con la administración de los recursos de cómputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cómputo asignados a los usuarios de la organización.

ALTA

M.E. – 26 No ha diseñado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperación y reanudación del procesamiento computarizado.

ALTA

SITUACIONES INMEDIATAS A SOLUCIONAR

ITEM SOLUCION INMEDIATA PRIORIDADM.E. – 8

La Compañía ha efectuado la instalación de software comercial en sus computadores en un número mayor a las licencias adquiridas o en modo pirata.


ALTA

M.E. – 10


El área de RRHH debe realizar una campaña de sensibilización en el uso de las Tics, dentro de la organización para su mayor difusión y plasme el nivel de implicancia que tiene dentro de ella.

ALTA

M.E. – 22

En los controles relacionados con la administración de los recursos de cómputo asignados a las áreas usuarias, y observamos lo siguiente:

M.E. a). El inventario de equipos de cómputo actual solo incluye El área de Patrimonio debe redefinir los parámetros que ALTA

35

– 23el número total de equipos y periféricos, y no tiene un nivel de detalle que permita determinar el número de serie, especificaciones técnicas, área y usuario asignado.

contempla la plantilla de consideración de almacén, para su mejor estructura y contemple datos necesarios.

M.E. – 25

En nuestra revisión de los controles relacionados con la administración de los recursos de cómputo hemos observado que actualmente no se lleva un control actualizado del inventario de equipos de cómputo asignados a los usuarios de la organización.

El área de patrimonio debe organizar los periodos de inventario de acuerdo al ingreso de materiales y recursos a la institución para mantenerlos actualizados.

ALTA

M.E. – 26

No ha diseñado e implementado un Plan de Contingencias en caso de Desastres que incluya procedimientos de recuperación y reanudación del procesamiento computarizado.

Diseñar un plan de contramedidas por el Área de planificación, en el cual contemple tanto la seguridad de la información como el de los recursos.

ALTA

6.4. MODELO DE MADUREZ DE COBIT

EMPRESA: “RED SALUD”- LEONCIO PRADO FECHA DIAGNOSTICO: 25-07-2013MODELO DE MADUREZ

DOMINIOS NIVEL DE MADUREZITEM INEXISTENTE INICIAL REPETIBLE DEFINIDO MEDIBLE OPTI

MIZADOPO.-4 XPO.-6 XPO.-15 XPO.-20 XPO26 X

AI.-3 XAI.-15 X

DS.-3 XDS.-8 XDS.-11 XDS.-16 X

36

DS.-20 X

ME.-8 XME.-10 XME.-23 XME.-25 XME.-26 X

Se puede concluir entonces, que la Organización se encuentra en un nivel de madurez inexistente-inicial el cual se debe atender inmediatamente, ya que se trata de los procesos o actividades más importantes y de impacto en la organización.

INEXISTENTE INICIAL REPETIBLE DEFINIDO MEDIBLE OPTIMIZADO

0 1 2 3 4 5SITUACION ACTUAL

37

7. CONCLUSIONES

COBIT ha sido desarrollado y es mantenido por un instituto de investigación sin ánimo de lucro, tomando la experiencia de los miembros de sus asociaciones afiliadas, de los expertos de la industria, y de los profesionales de control y seguridad.

• Su contenido se basa en una investigación continua sobre las mejores prácticas de TI y se le da un mantenimiento continuo, proporcionando así un recurso objetivo y práctico para todo tipo de usuario.

• COBIT se basa en el análisis y armonización de estándares y mejores prácticas de TI existentes y se adapta a principios de gobierno generalmente aceptados.

• COBIT no proporciona medidas de resultado para las metas de negocio.

39

8. BIBLIOGRAFIA http://manuelgross.bligoo.com/content/view/693596/Uso-estrategico-de-las-TICs-en-las-

empresas-del-futuro.html. http://www.es.globaltalentnews.com/reflexion/tribunas/1935/El-nuevo-rol-de-los-

profesionales-de-las-TIC.html http://www.esan.edu.pe/conexion/actualidad/2011/10/14/que-tan-importante-resulta-la-ti-

en-las-empresas/ http://www.cioal.com/2011/07/27/los-6-nuevos-roles-en-las-areas-de-ti/ http://www.cioal.com/2011/03/09/los-cuatro-roles-claves-de-la-nueva-generacion-de-cios/ http://www.esan.edu.pe/conexion/actualidad/2011/11/14/de-gerente-de-ti-a-cio-una-

evolucion-necesaria-en-el-peru/ BOLETIN MENSUAL DEL AMBITO SAP E IT. CIO 2.0 - El nuevo rol del Director de Tecnologías de Información. ROL DE LA INFRAESTRUCTURA DE TI EN LAS ORGANIZACIONES - Harold Castro, Ph.D

[email protected]. Universidad de los Andes Departamento de Ingeniería de Sistemas Grupo COMIT: Comunicaciones y Tecnología de Información.

40

mailto:[email protected]

http://www.esan.edu.pe/conexion/actualidad/2011/11/14/de-gerente-de-ti-a-cio-una-evolucion-necesaria-en-el-peru/

http://www.esan.edu.pe/conexion/actualidad/2011/11/14/de-gerente-de-ti-a-cio-una-evolucion-necesaria-en-el-peru/

http://www.cioal.com/2011/03/09/los-cuatro-roles-claves-de-la-nueva-generacion-de-cios/

http://www.cioal.com/2011/07/27/los-6-nuevos-roles-en-las-areas-de-ti/

http://www.esan.edu.pe/conexion/actualidad/2011/10/14/que-tan-importante-resulta-la-ti-en-las-empresas/

http://www.esan.edu.pe/conexion/actualidad/2011/10/14/que-tan-importante-resulta-la-ti-en-las-empresas/

http://www.es.globaltalentnews.com/reflexion/tribunas/1935/El-nuevo-rol-de-los-profesionales-de-las-TIC.html

http://www.es.globaltalentnews.com/reflexion/tribunas/1935/El-nuevo-rol-de-los-profesionales-de-las-TIC.html

http://manuelgross.bligoo.com/content/view/693596/Uso-estrategico-de-las-TICs-en-las-empresas-del-futuro.html

http://manuelgross.bligoo.com/content/view/693596/Uso-estrategico-de-las-TICs-en-las-empresas-del-futuro.html

Trabajo - Cobit Red de Salud

Documents

Transcript of Trabajo - Cobit Red de Salud