ESCUELA POLITECNICA NACIONAL FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA MARCOS DE GESTION DE TECNOLOGIAS DE INFORMACION ANALISIS DEL MARCO DE GESTION DE COBIT 2019 TRABAJO DE INTEGRACION CURRICULAR PRESENTADO COMO REQUISITO PARA LA OBTENCION DEL TITULO DE INGENIERO EN TECNOLOGIAS DE LA INFORMACION JOSE LUIS RAMOS MASACHE jose.ramos01@[Link] DIRECTOR: [Link]. XAVIER ALEXANDER CALDERON HINOJOSA [Link]@[Link] Quito, febrero 2022CERTIFICACIONES Yo, José Luis Ramos Masache, declaro que el trabajo de integracién curricular aqui descrito es de mi autoria; que no ha sido previamente presentada para ningtn grado o calificacion profesional; y, que he consultado las referencias bibliograficas que se incluyen en este documento. JOSE LUIS RAMOS Certifico que el presente trabajo de integracién curricular fue desarroliado por José Luis Ramos Masache, bajo mi supervision. [Link]. Xavier Calderén Hinojosa DIRECTORDECLARACION DE AUTORIA A través de la presente declaracién, afirmo que el trabajo de integracién curricular aqui descrito, asi como el producto resultante del mismo, son publicos y estaran a disposiciéon de la comunidad a través del repositorio institucional de la Escuela Politécnica Nacional; sin embargo, la titularidad de los derechos patrimoniales nos corresponde a los autores que hemos contri ido en el desarrollo del presente trabajo; observando para el efecto las disposiciones establecidas por el érgano competente en propiedad intelectual, la normativa interna y demas normas. José Luis Ramos [Link]. Xavier CalderénINDICE DE CONTENIDO CERTIFICACIONES... eee pees DECLARACION DE AUTORIA. " INDICE DE CONTENIDO All RESUMEN. ABSTRACT...... 1. INTRODUCCION... 1.1 OBJETIVO GENERAL 1.2 OBJETIVOS ESPECIFICOS. 1.3. ALCANCE.......... 1.4 MARCO TEORICO... 1.4.1. MARCO DE REFERENCIA COBIT 5.0 (2012). [Link] Principios COBIT 5.0 14.1.2 Metas de COBIT 5.0... [Link], Dominios de COBIT 5.0 [Link] Niveles de capacidad COBIT 5.0 de los procesos.. 1.4.2 MARCO DE REFERENCIA DE COBIT 2019 [Link] Principios para un Sistema de Gobierno COBIT 2019. [Link] Principios para un Marco de Gobierno... [Link]. Metas de COBIT 2019 [Link] Dominios de COBIT 2019 [Link] Niveles de capacidad COBIT 2019 de los proceso: 1.4.26 Componentes de COBIT 2019 2 METODOLOGIA.... 2.1 COMPARATIVA DE LOS MARCOS DE REFERENCIA DE COBIT 5 “5.0y 2019. 12 2.2 DESCRIPCION DEL INSTITUTO TECNOLOGICO SUCRE........ 2.3 SERVICIOS PRINCIPALES DEL INSTITUTO ....0.- seven 2.4 ESTRUCTURA ORGANICO FUNCIONAL DEL INSTITUTO. 17 2.41 DESCRIPCION DE LA UNIDAD DE TECNOLOGIAS DE INFORMACION DEL INSTITUTO. .18 2.5 ESTUDIO DE GOBIERNO Y GESTION DE COBIT 2019 PARA EL INSTITUTO.. 2.6 PROCESOS DE COBIT 2019 PARA EL INSTITUTO, 2.6.1 PROCESOS DE GOBIERNO. 2.6.2 PROCESOS DE GESTION27 34 32 33 PROCESOS PROPUESTOS PARA EL INSTITUTO...nsrrnn RESULTADOS, CONCLUSIONES Y RECOMENDACIONES.... RESULTADOS DE LOS PROCESOS PROPUESTOS DE MODELO CORE COBIT 2019... CONCLUSIONES nen evnenenn nnnnnnnnnnnnnnnnnnnnnn 46 RECOMENDACIONES... REFERENCIAS BIBLOGRAFICAS. ANEXOS.INDICE DE FIGURAS Figura 1.1 Objetivo de Gobierno de COBIT 5.0 “creacién de valor”... Figura 1.2 Catalizadores corporativos COBIT 5.0. Figura 1.3 Cascada de las metas de COBIT 5.0.0. sssnnnnnnnnnnn Figura 1.4 Las éreas claves de gestién y gobierno de COBIT 6.0. Figura 1.5 Niveles de capacidad de COBIT 5.0 de los procesos Figura 1.6 Cascada de las metas de COBIT 2019... soe 10 10 Figura 1.7 Dominios de COBIT 2019... 7 Figura 1.8 Capacidad de los procesos de COBIT 2019, Fry Figura 1.9 Componentes de COBIT 2019... 1. Figura 2.1 Comparacin de los principios de COBIT 5.0 y 2019... B Figura 2.2 Principios de marco de gobierno COBIT 5.0 y 2019 Figura 2.3 Dominios de COBIT 5.0 y 2019 Figura 2.4 Diagrama organico funcional del Instituto Tecnolégico SUpETIOF un meue 17 Figura 2.5 Organigrama interno de la Unidad de TIC del INStitUtO ..nrnmnnnnonnnnne 18 Figura 2.6 Cuarto de maquinas del Instituto Tecnolégico Sucre... . sone 19 Figura 2.7 Resultados de la encuesta al Instituto pregunta 6 2a Figura 2.8 Resultados de la encuesta al Instituto pregunta 9 .. 21 Figura 2.9 Resultados de la encuesta al Instituto pregunta 11... 2 Figura 2.10 Resultados de la encuesta al Instituto pregunta 12..... : sone 22 Figura 2.11 Identificaci6n de las metas de alineamiento para €l INStitUtO....nnnumnrnne 23 Figura 2.12 Diagrama de actividades del proceso de gobierno EDM04 ....usumnnne 27 Figura 2.13 Procesos de gestién del Modelo Core de COBIT 2019 28 Figura 2.14 Diagrama de actividades del proceso de gestion APO13 sees BL Figura 2.15 Diagrama de actividades del proceso de gestion MEAQ3 «nm e384 Figura 2.16 Diagrama de actividades del proceso de gestién BAIO6.... Figura 2.17 Diagrama de actividades del proceso de gestion DSS05 40 Figura 3.1 Grafico de los resultados de las 8 preguntas... sn Figura 3.2 Resultados de la encuesta a la Unidad de TIC pregunta ts. AB Figura 3.3 Resultados de la encuesta a la Unidad de TIC pregunta 3... sone MA Figura 3.4 Resultados de la encuesta a la Unidad de TIC pregunta 7 44 Figura 3.5 Resultados de la encuesta a la Unidad de TIC pregunta 8 ....0numwunnnnne 4SINDICE DE TABLA Tabla 1.1 Definicién de gestion y gobierno de COBIT 5.0. 5 Tabla 1.2 Areas mejoradas de COBIT 2019 Tabla 1.3 Principios de Marco de Gobierno COBIT 2019. Tabla 2.1 Principios de COBIT 5.0 y 2019 Tabla 2.2 Metas de COBIT 5.0 y 2019. Tabla 2.3 Capacidad de los procesos de las dos versiones de COBIT .. 12 13, 14 Tabla 2.4 Catalizadores de COBIT 5.0 y componentes de COBIT 2019 . 15 Tabla 2.5 Principales diferencias entre COBIT 5.0 y 2019 16 Tabla 2.6 Matriz RACI del proceso de gobierno EDM04 eo ee 225 Tabla 2.7 Actividades del proceso EDM04 26 Tabla 2.8 Matriz RACI del proceso de gestion APO13. 28 Tabla 2.9 Actividades del proceso APO13... Tabla 2.10 Matriz RACI del proceso MEA03. 32 Tabla 2.11 Actividades del proceso MEAQ3.... ee 33 Tabla 2.12 Evaluacién de madurez de las actividades de! BAIO6.01.. 35 ) Tabla 2.13 Evaluacion de madurez de las actividades de! BAIO6.03. . 36 Tabla 2.14 Evaluacion de madurez de las actividades del DSS05.02 38 Tabla 2.15 Evaluacion de madurez de las actividades del DSS05.03 239 Tabla 2.16 Evaluacién de madurez de las actividades del DSS05.07 239 Tabla 3.1 Los procesos de COBIT 2019 con las metas de alineacién y empresariales del Instituto Tecnolégico Sucre so - ssesenennnnnnennn Ad Tabla 3.2 Resultados de las 8 preguntas 42 Tabla 3.3 Resultados de las preguntas 2.4,5,6 de la encuesta 45 vlRESUMEN Este trabajo de integracién tiene como propésito realizar un andlisis sobre los Marcos de Gestion COBIT 5.0 y 2019 por lo cual se pretende comparar estas dos versiones de COBIT, ‘se analizaran los cambios que presenta la nueva version con respecto a la anterior version, se realizaré un estudio de los principios, metas, dominios y niveles de capacidad de los procesos. En el segundo capitulo se presentan tablas comparativas de las versiones de COBIT también se estuc ‘a y analizaré la situacién actual de la Unidad de Tecnologias de la Informacion y Comunicacién (TIC) del Instituto para conocer cudi es el contexto actual de las Tecnologias de la Informacion (Tl) y entender cudl es su estructura una vez analizado la situacién del Instituto y detallando su funcionamiento de las TI, se procederan a describir los procesos de COBIT 2019 en base a los estudios realizados del Instituto, estos procesos se basan en el modelo de CORE COBIT 2019 los cuales tienen dominios y se los seleccionara para elaborar la Matriz RACI (Responsable, Autoridad, Consultor ¢ Informado) también se realizar una propuesta de algunos procesos escogidos de los dominios de COBIT 2019 que el Instituto Tecnolégico Sure (ITS) podria adoptar. En el tercer capitulo se presenta un anal con los resultados que se obtuvieron de una encuesta a la Unidad de TIC ademas de elaborar las conclusiones y recomendaciones ‘como aprendizaje que se obtuvo al realizar este trabajo. PALABRAS CLAVE: COBIT, RACI, Marco de Gestion, Tecnologias de la Informacion (TI), Modelo de CORE, TIC (Tecnologias de la Informacion y Comunicacién), Instituto Tecnolégico Suore (ITS). vilABSTRACT This present work its purpose is to perform an analysis of the COBIT 5.0 and 2019 Frameworks furthermore it is intended to compere these two versions of COBIT, it will procced to do an analysis of changes in this new version with respect to the previous version it will perform a study of the principles, goals, domains, and capability levels of processes. In the second chapter it will present comparative tables of the two versions of COBIT, also it will study and analyze the actual situation of the Institute's ITC (information and Communication Technologies) department to know which it is actual position of TI (Information Technologies), and it knows its IT structure after to analyze and detailing their function of IT department, it will describe processes of COBIT 2019 in based on the studies will do of Institute, these processes have a base of Core COBIT the RACI Matrix (Responsible, Authority, Consultant and Informed) also it will do a proposal 2019 model which have five domains. The processes selected and it will des« of the different process it selected of domains COBIT 2019, that the Instituto Tecnol6gico ‘Sucre (ITS) could accept. In the third chapter it will perform an analyst result of the surveys of IT department also it will do conclusions and recommendations as apprenticeship it got by doing this work. KEYWORDS: COBIT, RACI, Frameworks, Information Technologies (IT), Core Model, Information and Communication Technologies (ICT), Instituto Tecnolégico Sucre (ITS). vill4. INTRODUCCION Las Tecnologias de la Informacién (T!) aportan un papel importante en el funcionamiento de las empresas, instituciones educativas y centros de investigacién. En las compafias medianas o pequefias, por lo general no existe una responsabilidad de la gerencia en temas de TI y su valor tiene una apreciacién baja. COBIT (Control Objectives For Information and Related Technologies) sirve para tener un sistema de gestién y gobierno para las empresas grandes, medianas 0 pequefias, y asi puedan alcanzar sus objetivos basandose en el gobierno de TI [1]. COBIT se utiliza para guiar y administrar TI, esta disefiado como una herramienta de soporte y permite solucionar los problemas del riesgo comercial, procesos de TI, etc. Las empresas utilizan COBIT 2019 para tener un gobierno empresarial de TI y brindan una orientacién adicional para tener un sistema de gobierno que se adapte a las necesidades de las compaiiias [2]. Actualiza los estandares, marcos y los niveles de procesos de madurez permite saber que tan bien se esta ejecutando y completando el proceso, agrega nuevos objetivos que se ajustan al desarrollo de TI de las compafiias 13} El Instituto Tecnolégico Sucre ofrece ocho carreras-duales, ademés cuentan con un centro de idiomas, estén en un proceso con el propésito de ser una Institucién Superior Universitaria, por lo tanto, se encuentra en un proyecto digital como la contratacién de nuevos servicios que son: data center virtual, servicios en la nube, enlace datos, sistemas de respaldos, etc. Las instituciones tecnolégicas del pais generalmente tienen poco conocimiento en las Tecnologias de la Informacién incluso aplican sus propias soluciones con poca participacién en las TI. Como resultado, a menudo estén sujetos a incidentes asociados con TI, como errores en los sistemas informaticos, pérdida de datos, etc., que pueden afectar a los servicios, generar malestar en los estudiantes, personal administrativo, docentes y pueden generar un impacto negativo en las instituciones. COBIT propone varios procesos de gestion y gobierno, también detalla actividades de los procesos y asocia cada actividad con un nivel de capacidad del proceso. Estos procesos guiarn a la Unidad de TIC del Instituto a mejorar las debilidades que se tengan en el departamento, COBIT define varios pasos que se pueden seguir incluso estandares y recomendaciones. El Instituto puede usar COBIT 5.0 silo desea ya que es un marco que muchas empresas han utilizado en los ultimos afios porque la guia relacionada con el proceso contiene toda la informacién requerida para hacerlo [4].1.1 OBJETIVO GENERAL + Analizar el Marco de Gestién de COBIT 2019 para un Instituto. 1.2. OBJETIVOS ESPECIFICOS Analizar los fundamentos tedricos del marco de gestién de COBIT 5.0 y 2019. + Desarrollar una propuesta de los procesos seleccionados de los dominios del Modelo CORE de COBIT 2019 para un Instituto. © Realizar un analisis de los resultados obtenidos de los procesos propuestos de COBIT 2019 para un Instituto a través de una encuesta. 1.3 ALCANCE El presente trabajo de integracién se analizaran los marcos de gestién de COBIT 5.0 y 2019, también se elaboraré una propuesta de los procesos seleccionados de los dominios del Modelo CORE de COBIT 2019 que se podrian aplicar a la Unidad de Tecnologias de la Informacién y Comunicacién (TIC) del Instituto Tecnolégico Sucre. Se realizara un estudio de los fundamentos tedricos de las uiltimas versiones del marco de referencia de COBIT 5.0 (2012) y 2019, sus principios, metas, dor capacidad de los procesos. Ademas, se realizara una comparativa entre las dos ultimas versiones tanto de COBIT 5.0 (2012) y 2018 para conocer los cambios que se han dado ios y niveles de en estas dos versiones de este marco de referencia. Luego de dicho estudio, se procederé a describir la situacién actual de la Unidad de TIC que tiene el Instituto Tecnolégico Sucre en base a entrevistas 0 documentacién entregadas por el personal autorizado por el Instituto y a través de una encuesta se obtendra informacion para conocer las debilidades de la Unidad de TIC. ‘Se describirdn los procesos seleccionados de los dominios del Modelo CORE de COBIT 2019 acorde a las necesidades 0 debilidades de la Unidad de TIC del Instituto Tecnolégico Sucre. También, se describiran las actividades de los procesos y se elaborarén las diferentes matrices RACI (Responsable, Autoridad, Consultor e Informado) de los procesos del Modelo CORE, de los siguientes dominios para la Unidad de TIC del Instituto: ‘+ EDM (Evaluate, Direct and Monitor). ‘* APO (Align, Plan and Organize). ‘* BAI (Build, Acquire and Implement). * DSS (Deliver, Service and Support). ‘+ MEA (Monitor, Evaluate and Assess) 2Se elaborara una propuesta de los procesos seleccionados de los dominios del modelo Core de COBIT 2019 para la Unidad de TIC del Instituto Tecnolégico Sucre. Ademas, se realizara una discusién de los resultados obtenidos de una encuesta al personal del Instituto sobre los procesos propuestos que se seleccionaron de los dominios COBIT 2019 que el Instituto Tecnolégico Sucre podria aplicar para la Unidad de TIC y se explicaran estos resultados en la documentacién. ESTE TRABAJO DE INTEGRACION CURRICULAR NO TIENE COMPONENTE PRACTICO O PRODUCTO FINAL DEMOSTRABLE. 1.4 MARCO TEORICO 1.4.1. MARCO DE REFERENCIA COBIT 5.0 (2012) COBIT 5.0 facilita un marco de trabajo para que las compafias puedan lograr sus objetivos de gestién y gobierno de TI corporativos, apoya alos negocios que tengan un nuevo valor en las TI, sosteniendo un equilibrio entre los recursos de las empresas, creacién de valor y los niveles de riesgos con su optimizacién [5]. Tiene una guia que posibilita a las TI ser gestionadas y gobernadas por la totalidad de la compajiia incorpora al negocio de un extremo a otro [6]. [Link]. Principios COBIT 5.0 A continuacién, se explican los conceptos de los 5 principios de COBIT 5.0. Principio 1 - Satisfacer las Necesidades de las Partes Interesadas EI principio ayuda a las empresas a crear un valor empresarial por medio del uso de TI para obtener beneficio reduciendo el riesgo con un costo eficiente, en la figura 1.1 se indican los 3 enfoques del Objetivo “Creacién de Valor” [6] bev de Goble: Crescin de Valor eet Objetivo de Gobierno: Creacién de Valor fee me Co porn roa been Figura 1.1 Objetivo de Gobiemo de COBIT 5.0 “creacién de valor” [6]Principio 2 - Cubrir la Empresa Extremo a Extremo Proporciona la cobertura de un extremo a otro de la compaiiia, que contiene todos los procesos empresariales, incluidas los servicios de TI internos, extemos y las areas funcionales, que estan relacionadas con la gestion y gobierno de las TI [6]. Principio 3 - Aplicar un Marco de Referencia Unico Integrado COBIT 5.0 tiene un exclusive marco de referencia ya que integra marcos, estandares y las précticas relacionadas con las TI, principalmente sirve como una base para la gestion y gobierno de TI a la organizacién y suministra una arquitectura basica para organizar la guia de los materiales (6) Principio 4 - Hacer Posible un Enfoque Holistico En COBIT 5.0 se especifican varias herramientas para facilitar la aplicacién del sistema de gestion y gobierno de TI empresarial basado en 7 catalizadores. Los catalizadores en este caso permiten influir colectiva e individualmente en la gestién y gobierno de las ‘compafiias. Estos son impulsados por una cascada de metas, en la figura 1.2 se indican cuales son los catalizadores de COBIT 5.0 [6]. Seek eee aU jura 1.2 Catalizadores corporativos COBIT 5.0 [6] Principio 5 - Separar el Gobierno de la Gestion COBIT 5 realiza una separacién muy notoria entre la gestién y gobierno, ya que ambos conceptos implican diferentes propésitos y estructuras organizativas, como se indica en la tabla 1.1 el concepto de gobierno y gestion [6].Tabla 1.1 Defini In de gestion y gobierno de COBIT 5.0 Gobierno permite evaluar_—las_- Gestion ejecuta, planifica y construye las condiciones, capacidades y necesidades actividades de acuerdo con las de las partes interesadas, ademas deben direcciones establecidas para alcanzar lograr los objetivos corporativos. La los objetivos de TI de las compajias [6]. direccion debe establecer estos objetivos por medio de toma de decisiones y su priorizacién. Ademas, debe evaluar la efectividad y cumplimiento de las direcciones y metas acordadas [6]. [Link] Metas de COBIT 5.0 COBIT 5.0 y sus metas traducen las necesidades que tienen las partes interesadas en metas relacionadas con las TI y metas corporativas, ya que por medio de la traduccion se obtienen metas especificas para todas sus dreas y los niveles que tiene la compaiiia ademas las partes interesadas deben cumplir con los requisitos y objetivos generales (6), Estas metas tienen tres componentes para que exista una relacién entre la optimizacion de riesgos, recursos y realizacién de beneficios de los objetivos de gobierno, la letra “P” muestra una asociacién esencial y “S" muestra una asociacién secundaria que no es muy importante [6]. La cascada de metas posibilta priorizar la implementacion, mejorar y asegurar la gestion de TI de las compafiias, estas organizaciones se basan en los objetivos corporativos (estratégicos), la estructura de la cascada de metas de COBIT 5.0 se indica en la figura 1.3 [7] Figura 1.3 Cascada de las metas de COBIT 5.0 [6]Metas corporativas y relacionadas con las TI de COBIT 5.0 COBIT 5.0 tiene 17 metas corporativas y se enfoca en 4 areas como el cliente, crecimiento, financiera y aprendizaje también determina 17 metas relacionadas con las TI como se muestran en el ANEXO | {6}. [Link] Dominios de COBIT 5.0 COBIT 5 define varios procesos de gestién y gobierno, todos orientados a lograr los objetivos tanto de grandes compafiias con un numero importante de procesos, como de pequefias empresas con menos procesos en la figura 1.4 se indican los dominios de COBIT 5.0 [6]. Figura 1.4 Las dreas claves de gestién y gobierno de COBIT 5.0 [6] Los dominios COBIT 5.0 de la gestion y gobierno se clasifican en 37 procesos, son una guia que integra una referencia para examinar y determinar cémo se encuentran la gestién de las TI actualmente en las compafiias. En el ANEXO Il se muestran los 37 procesos de COBIT 5.0 de los dominios de gestién y gobierno [6},[7]. Los procesos de gestién y gobierno cada uno de ellos contiene una descripcién y explicacién del propésito general del proceso. Estos componentes son claves para ‘examinar cual es el desemperio de una compajia [6]. COBIT 5.0 y sus procesos tienen una base para concretar las métricas y sus objetivos. Ademds, cada uno de los procesos contienen practicas especificas de gestién con su descripcién y acciones, los cuales se utilizan para realizar una evaluacion 0 diagnéstico real de las TI de cualquier compania (8) [Link] Niveles de capacidad COBIT 5.0 de los procesos [6] COBIT 5.0 tiene un enfoque para evaluar las brechas existentes, se desea llevar a cabo diferencias significativas en el rendimiento de una actividad para lograr con el nivel 6esperado, basado en los procesos de capacidad del modelo que usa la norma ISO/ EC. 15504 (Ingenieria de software-evaluacién de procesos). Por medio de estos niveles COBIT 5.0 permitira determinar el desempefio de cualquier proceso de gestién o gobierno para identificar las dreas a mejorar. En la figura 1.5 se describen los niveles de capacidad de COBIT 5.0 de los procesos [6]. Nivel 0 Proceso incompleto. I proceso no alcanza su propésito. En} te nivel, no hay ninguna evidencia de ingin logro sistematico del propésito del (0050. Nivel 3 Proceso establecido. proceso. gestionado—_deserto| intesiormente esta ahora implementado} sSando un proceso definido que es capaz| Nivel 1 Proceso ejecutado. I proceso implementado akanza sul ropésito, En este caso se logra el propésito| fe! proceso. Nivel 2 Proceso gestionado. 1 proceso _ejecutado escrito lanteriormente est4 ya Implementado de} forma gestionada y los resultados de su jecucion estén establecidos, controtados| ‘mantenidos apropiadamente. fe alcanzar sus resultados de proceso v Nivel 4 Proceso predecible. Nivel 5 Proceso optimizado. I proceso descrito anteriormente ahora sel IEl proceso descrito_anteriormente es jecuta dentro de limites definidos para| jejorado de forma continua para cumpli Icanzar Sus resultados de proceso. on los metas empresariales presentes y turos. Figura 1.5 Niveles de capacidad de COBIT 5.0 de los procesos [6] 1.4.2 MARCO DE REFERENCIA DE COBIT 2019 COBIT 2019 y su marco de referencia se denomina gobierno de la informacién y tecnologias de las compaiiias ya que se enfoca en la importancia de la informacién, tecnologia y empresa para alcanzar todo el potencial tecnolégico. Se encarga de optimizar el gobierno de TI ademas reconoce las oportunidades y construye fortalezas. Hay nuevos conceptos, en los factores de disefio y areas de enfoque, brindan alguna orientacién para adecuar a las necesidades de las compaiiias [9] Gobierno de la Informacién y Tecnologia de las Empresas (EGIT) se encarga de la elaboracién y mitigacién, ademas de los riesgos comerciales derivados del valor que viene de la transformacién digital. Se pueden conseguir 3 resultados después de su implementacién del EGIT como la optimizacién del riesgo, recursos y realizacion de beneficios [9]. COBIT 2019 establece una mejora en las siguientes areas a continuacién ena tabla 1.2 se los detalla.Tabla 1.2 Areas mejoradas de COBIT 2019 Areas Descripcién Flexibilidad y COBIT y su arquitectura abierta le permite agregar nuevas apertura. areas de enfoque o modificar las existentes sin afectar directamente la estructura y el contenido del modelo central de COBIT [9]. Vigencia y EI modelo de COBIT admite la referencia y alineacién de los pertinencia. conceptos de otras fuentes (como los estandares de TI actuales y las regulaciones de cumplimiento) [9] Aplicacién COBIT y su modelo conceptual esta estructurado y presentado prescriptiva. de tal manera que su instanciacién para un sistema de gobierno de TI individual se considera su prescripcién [9] Lagestién del El marco del modelo de gestidn del desemperio de COBIT esta rendimiento de TI. _integrado en el modelo conceptual. Se introducen conceptos de madurez y capacidad para alinearios mejor con el CMMI (Capability Maturity Model Integration) [9] [Link] Pri ios para un Sistema de Gobierno COBIT 2019 [9] Se describen los conceptos de los 6 principios de COBIT 2019. Principio 1 - Valor para a las Partes Interesadas Las compafiias necesitan que el sistema de gobierno satisfaga a las partes interesadas y sus necesidades también se beneficie del uso de las TI. Este valor muestra el balance de los beneficios, riesgos y recursos requeridos por la compaiiia para implementar su estrategia y sistema de gobierno. El sistema de gestién de TI en una compaiifa puede ser de diferentes tipos y constar de muchos componentes que pueden funcionar como un todo. Principio 3 - Sistema de Gobierno Dinamico EI sistema de gobierno puede ser dindmico esto explica que cuando los factores de disefio cambian como la tecnologia, es necesario considerar los cambios, que impacto tendran en el sistema EGIT. La visién dinamica del sistema conducira a un sistema EGIT mejorado y sostenible para un futuro. Principio 4 - Separar Gobierno de Gestion El gobierno y su sistema deben diferenciar entre las estructuras, actividades de gestion y gobierno principalmente. * Gobierno: Se asegura de examinar al gobiemo y sus necesidades de las compafias para establecer los objetivos de las compaiiias ya que realiza un equilibrio entre el desempefio y cumplimiento,‘* Gestién: Monitorea, ejecuta y construye las actividades que estan alineadas por el cuerpo de gobierno para conseguir que se cumpian los objetivos. Principio 5 - Ajustado a la Necesidad Empresarial Un sistema de gobierno debe adaptarse al negocio y sus necesidades, usando el disefio de los elementos conjuntamente como medidas para priorizar y personalizar los componentes del sistema. jistema de Gobierno Extremo a Extremo Principio 6 - El gobiemo y su sistema deben enfocarse en toda la compafila de principio a fin y n para que la centrarse en toda la tecnologia y su procesamiento de la informa compajiia pueda lograr sus objetivos, independientemente de su estado. [Link]. Principios para un Marco de Gobierno [9] ‘Se muestran los principios para un marco de gobernabilidad que se utilizan para elaborar un Sistema de Gobierno, en la tabla 1.3 se los describen. Tabla 1.3 Principios de Marco de Gobierno COBIT 2019 Principio Descripcion 7, Basado en un | El gobierno con su marco se guia conceplualmente en su modelo conceptual modelo y establece las relaciones y sus componentes que son claves para asegurar la maxima consistencia [9]. 2. Abierto y flexible El gobierno y su sistema es flexible y abierto. Debe brindar la capacidad de tener nuevo contenido y afrontar los problemas de la manera mas ajustable, manteniendo la consistencia y coherencia [9] 3. Alineado con los El gobierno y su sistema estd relacionado a las principales principales normas, marcos y regulaciones pertinentes [9]. estandares [Link] Metas de COBIT 2019 [9] COBIT 2019 y sus metas se asocian con los objetivos de la compafiia y son importantes en el plan del gobierno y su sistema. Los objetivos empresariales son claros, concisos, reducidos y actuales, ahora son 13 metas. Los objetivos de alineacién se centran en asociar todos los esfuerzos de TI con los objetivos de la compaiiia y son 13 metas. En la figura 1.6 se observa la cascada de las metas y en el ANEXO III se indican las metas empresariales y alineacién de TI de COBIT 2019.Figura 1.6 Cascada de las metas de COBIT 2019 [9] [Link] Dominios de COBIT 2019 [9] Describen los cambios en los procesos de COBIT 2019 de los objetivos gestién y gobierno, ademds se incrementan los ntimeros de los procesos ahora en total son 40, en la figura 1.7 se indican cuales son los dominios en COBIT 2019 [9] OBJETIVOS DE GOBIERNO: Tiene} * Evaluar, Dirigir y un dominio que evaltia las opciones | Monitorizar (EDM) estratégicas Alinear, Planificar y Organizar (APO) Construir, Adquirir e Implementar (BAI) Entreger, Dar Servicio y Soporte (DSS) Monitorizar, Evaluar y Valorar (MEA) OBJETIVOS DE GESTION: Los objetivos se agrupan en cuatro dominios Figura 1.7 Dominios de COBIT 2019 [9] La direccion ejecutiva suele ser el responsable de los procesos de gobierno, mientras que los mandos superiores y medios se encargan de los procesos de gestion. Los objetivos de gestin y gobierno tienen relacién con un grupo de componentes especificos y sus procesos, ademas deben lograr cumplir un cierto niimero de objetivos de gestién y gobiemo para las metas, en el ANEXO IV se observan los 40 procesos del Modelo CORE de COBIT 2019 [9]. ‘© Un objetivo de gobierno siempre se relaciona con un proceso de gobierno. © Unobjetivo de gestion siempre se relaciona con un proceso de gestion. [Link] Niveles de capacidad COBIT 2019 de los procesos [9] COBIT 2019 y sus procesos se basan en la capacidad del CMMI, los procesos de cada gestién y gobierno funcionan en distintos niveles de capacidad de 0 a 5. La capacidad y su nivel es una medida de qué tan bien se esta ejecutando y completando el proceso. 10En la figura 1.8 se indican las caracteristicas generales de los procesos y sus niveles. Nivel 1 Inicial: Ei proceso mas 0 menos cumple su propésito a través de un grupo de actividades incompletas. Nivel 0 Incompleto: Falta de cualquier capacidad basica, enfoque incompleto ppara hacer frente al propdsito. Nivel 3 Definido: E! proceso cumple de Nivel 2 Gestionado: €1 proceso cumple su luna manera organizada usando activos propésito a través de un grupo de actividades organizacionales. basicas, aunque completas. ¥ five 4 Guanttatva: ’ proceso cumple es ‘ta ben defnio se mide su Mele Oeiletie: eso aire y desempeto. Figura 1.8 Capacidad de los procesos de COBIT 2019 [9] [Link] Componentes de COBIT 2019 [9] Los objetivos de gestién y gobiemo de la compaiiia deben adaptase y mantener un sistema de algunos componentes. Los componentes contribuyen a las buenas operaciones del gobierno de una manera individual y colectivamente, también interactdan entre si para tener un gobierno holistico para TI, en la figura 1.9 se los desoriben a los componentes. ese N EN N / \ N Figura 1.9 Componentes de COBIT 2019 Los componentes pueden ser genéricos o variantes. + Componentes Genéricos: Son parte del nticleo del Modelo de COBIT 2019, ellos necesitan tener una adecuacién para aplicar a una situacion en especifico. ‘+ Componentes Variantes: Se adaptan al propésito especifico 0 contexto, a2. METODOLOGIA 2.1 COMPARATIVA DE LOS MARCOS DE REFERENCIA DE COBIT 5.0 y 2019. En COBIT 5.0 tiene cinco principios de gobemanza a diferencia de COBIT 2019 que tiene seis principios de sistema de gobierno. Los principios del gobierno operan para asegurar que las partes interesadas y sus necesidades se los examine en base de los objetivos de la compafia, para ajustar liderazgo con la toma de decisiones y su priorizacién, en la tabla 2.1 se describen a los principios de cada versién de COBIT [9] Tabla 2.1 Principios de COBIT 5.0 y 2019 Principios de COBIT 5.0 Satisfacer las Necesidades de las Partes Interesadas: Este principio genera un valor de las TI para mejorar el uso de los recursos de las compaiias [6] Cubrir la Empresa de un Extremo a Otro: El principio abarca la compafiia de un extremo a otfo, no se enfoca tnicamente en area de TI, sino también, en otras como financiero, recursos, etc. [6]. Hacer Posible un Enfoque Holistico: El principio usa algunas herramientas que pueden influir de distintas maneras en los objetivos de TI [6]. Separar la Gestion del Gobierno: Se diferencia entre la gestion y gobiemo para realizar distintas actividades, propésitos, etc. [6] Aplicar un Marco de Referencia Unico Integrado: Este principio se enfoca en las normas y marcos como ISO/IEC 9000 [6] Principios del Sistema de Gobierno COBIT 2019 Valor para a las Partes Interesadas: No hay una gran diferencia, igual crea un valor de Tl para el equilibrio de los recursos de la empresa. [9]. Sistema de Gobierno de un Extremo a Otro: No existe un gran cambio, igual cubre toda empresa de un extremo a otro y se enfoca en cumplir los objetivos de TI, también, las areas como seguridad, tecnologias, ete. [9]. Enfoque Holistico: En cambio el principio utiliza una serie de componentes para trabajar de manera global en un sistema de gobiemo [9] Separar Gobierno de Gestién: No hay Un gran cambio, igual sigue diferenciando entre las actividades, estructuras, de la gestion y gobierno [9]. Sistema de Gobierno Dindmico: Se diferencia porque crea un sistema dinamico, los factores de disefio cambian y se debe considerar en el sistema de EGIT [9} Ajustado a la Necesidad Empresarial: En cambio este principio se adapta a la necesidad de las compaiiias [9]. Existe un cambio principal ya que en COBIT 2019 crea dos principios nuevos como el “Sistema de Gobierno Dinamico” y “Ajustado a la Necesidad Empresarial’ y elimina el 12 ipio 3 de COBIT 5.0 como se detalla en la siguiente figura 2.1 [6],{9].Principio de COBIT 2019: Alustado a la lecesidad Empresarial rincipio de COBIT 6.0: Aplicar un (arco de Referencia Unico Integrado * Es dinamico Alineado a Marcos y Normas * Se debe considerar el impacto de los cambios en el sistema de EGIT Permite a las empresas user un marco de gestion y gobiemo Integrador El sistema de EGIT es viable y con garantia Principio de COBIT 2019: Sistema de Gobiemo| namic [ Se adapta a la compafiia y sus necesidades Uiza varies factors para prorza ypersonalzar (es components ae gobierno Figura 2.1 Comparacién de los principios de COBIT 5.0 y 2019 Otro cambio principal en COBIT 5.0, no existen principios de “Marco de Gobierno” mientras que en COBIT 2019 agrega tres nuevos principios como se indica en la siguiente figura 2.2. Principios para _ un eer "Sterne N Cost 2018 = Bosade en modelo \ concep “Abert yfeible = Alneado con os pincnpalcscoandares Marco de Gobierno COBITE.O . ~ Ninguno Figura 2.2 Principios de marco de gobierno COBIT 5.0 y 2019 Diferencias entre las Metas de COBIT 5.0 y COBIT 2019. Existen algunos cambios en las metas de COBIT 2019 se reducen de 17 a 13, se detallan las caracteristicas de las metas de las versiones de COBIT en la tabla 2.2. Tabla 2.2 Metas de COBIT 5.0 y 2019 Metas COBIT 5.0 Metas COBIT 2019 Metas corporativas de negocio: Estas Metas corporativas: Se diferencian metas permiten optimizar y mantener un porque las metas tienen un nuevo enfoque gobiemo de TI, ademds su propésito es ya se basan en 4 fundamentos [13]: mejorar los objetivos de TI de las * Consolidadas compafiias y en total son 17 metas de « Reducidas negocio [6],{8]. © Actualizadas « Revisadas Se reducen de 17 a 13 metas. 13Metas corporativas_ a metas relacionadas con las TI: Para lograr estas metas, se asocian con los procesos de COBIT, ademas usan algunos catalizadores y en total son 17 metas Metas de alineacién: En cambio estas metas se esfuerzan en asociar con TI, los objetivos de la empresa también usan varios componentes de COBIT 2019 y ahora son 13 metas [13] (6.18) Domi ios de COBIT 5.0 y COBIT 2019. Hay un incremento en los procesos de COBIT 2019 a 40 procesos mientras que en COBIT 5.0 solo son 37 procesos, en la figura 2.3 se los describe AO objetivos para el Gobierno y Gestion] je la TH ), Modelo del Nacleo COBIT objetivos de Gobierno 5 objetivos de Gestion: 7 procesos para el Gobiemo y Gestién jela Tl (lodelo de Referencia de Procesos 5 procesos area de Gobierno 12 procesos area de Gestion areal ‘oBieTIvOS + APO 14 objetivos + BAI 11 objetivos + DSS 06 objetivos + MEA 04 objetivos + APO 13 procesos * BAI 10 procesos + DSS 06 procesos + MEA 03 procesos Figura 2.3 Dominios de COBIT 5.0 y 2019 Niveles de los procesos de la capacidad de COBIT 5.0 y 2019. En COBIT 2019 la capacidad de los procesos esta basado en el CMMI, Ios niveles de capacidad y madurez se miden entre 0 y 5, a diferencia que los niveles de capacidad en COBIT 5.0 se basa la ISO/IEC 15504. En la tabla 2.3 se describe los niveles y madurez de cada version de COBIT [6},{9],{10]. Tabla 2.3 Capacidad de los procesos de las dos versiones de COBIT Capacidad de procesos COBIT 5.0 basado en ISO/IEC 15504 Nivel 5 Optimizado: Se enfoca en lograr las metas de negocios actuales y futuros (6 Nivel 4 Predecible: Opera en los limites para lograr los resultados [6]. Nivel 3 Establecido: El proceso esta definido para los alcanzar sus objetivos (6) Nivel 2 Gestionado: Es controlado, ademas los resultados deben ser mantenidos y establecidos [6] Nivel 1 Ejecutado: El proceso debe alcanza el objetivo de T! [6]. Capacidad de procesos COBIT 2019 basado en CMMI Nivel 5 Optimizado: Se diferencia porque se mide el rendimiento del proceso para alcanzar su propésito [9]. Nivel 4 Cuantitativa: En cambio, el proceso esta implementado para cumplir los objetivos de TI [9]. Nivel 3 Definido: EI proceso esta aprobado para lograr su propésito [9]. Nivel 2 Gestionado: En este nivel el proceso esta definido para cumplir con su propésito [9]. Nivel 1 Inicial: Se diferencia por que el proceso aun no cumple con el propésito [9]. 14Nivel 0 Incompleto: El proceso no logra | Nivel 0 Incompleto: El proceso no logra los objetivos [6] completamente los objetivos de gestion y gobierno [9]. Catalizadores COBIT 5.0 vs Componentes COBIT 2019. En COBIT 5.0 los catalizadores son elementos que permiten formar un sistema de gestion y gobierno de TI, mientras en COBIT 2019 ahora se llaman componentes que constituyen aun sistema de gobierno empresarial e interactuan para construir un sistema global para las TI en la tabla 2.4 se los describen (6],(9] Tabla 2.4 Catalizadores de COBIT 5.0 y componentes de COBIT 2019 eee is Principios, marcos de referencia y politicas: Son catalizadores para tener un correcto comportamiento y deseado en guias de las gestiones de cada dia [6]. Procesos: Se refieren conjuntamente a las actividades y practicas para lograr objetivos especificos y ofrecer los resultados que respalden generalmente a las metas asociadas con T! [6] Estructuras organizativas: __ Asume decisiones claves para la compafiia [6] Comportamiento, ética y cultura: Los individuos de la compaiiia son minimizados para obtener el éxito de las actividades de gestion y gobierno (6) Informacion: Contiene toda la informacion de la compafiia ya que es necesaria para su organizacién [6] Infraestructura, servicios y aplicaciones: Integra las tecnologias, aplicaciones y la infraestructura que generan la empresa [6]. Competencias, personas y habilidades: Intervienen y son indispensables para lograr elaborar todas las actividades, también para aceptar las acciones correctas (6] 7 Componentes del sistema de gobierno COBIT 2019 Procedimientos y politicas: En cambio se enlista las _politicas importantes con su descripcién para conseguir el objetivo [9]. Procesos: Se diferencian, porque tiene una lista sobre la gestién 0 gobierno y sus practicas con las métricas respectivas y las actividades de los niveles de capacidad [9]. Estructuras: Son formas importantes para las decisiones que toma de la compariia [9] Comportamiento. y cultura: Son componentes culturales y de entendimiento para lograr el objetivo (9]. Informacion: No hay cambios, porque se encarga de la informacion de la compafiia para tener el funcionamiento de forma eficaz para la empresa y su sistema de gobiemo [9]. Servicios infraestructura y aplicaciones: Se distingue, porque para obtener el soporte del objetivo se debe tener una lista de herramientas, plataformas y practicas [9] Competencias, personas, habilidades: Son importantes las actividades para el éxito del gobierno y gestién, porque se debe realizar una buena ejecucién de —decisiones, acciones y correcciones para las actividades [9]. Diferencias entre los marcos de referencia entre COBIT 5.0 y 2019 En la tabla 2.5 se detallan las diferencias entre las versiones de COBIT {1 1],12},[13}. 15Tabla 2.5 Principales diferencias entre COBIT 5.0 y 2019 COBIT 5.0 Cinco principios de gobierno. 37 procesos para la gestion y gobierno de laTl El concepto de “Administrar’ se usa en la gestion y sus procesos. El concepto de “Asegurar’ se usa en el gobierno y sus procesos. Los marcos de gobernanza en COBIT 5.0 no existen. En COBIT 5.0 losniveles de capacidad de la gestién de rendimiento se basan en la ISONEC. Los catalizadores estan COBIT 5.0. No tiene factores de disefio. Las metas de negocios y relacionadas con la TI son 17 en total. incluidos en OBIT 2019 Seis principios de gobierno. 40 procesos para el gobierno y gestion de la 1 El concepto “Gara gobierno y sus procesos. El concepto "Gestionar’ se usa para la gestion y Sus procesos. ‘Agrega 3 principios del marco de gobernanza. se usa para el La gestién de rendimiento de niveles de capacidad se basa en el CMMI, se miden entre Oy 5. Los catalizadores en COBIT 2019 se llaman componentes. En COBIT 2019 tiene factores de disefio. Las metas empresariales y alineacién son 13 metas, 2.2 DESCRIPCION DEL INSTITUTO TECNOLOGICO SUCRE El Instituto Tecnolégico de Sucre es una institucién superior que tiene como misién formar profesionales innovadores en diversas areas del pais como el sector productivo con el objetivo de mejorar la calidad de vida de la sociedad a través del conocimiento y promover cambios en la productividad laboral mediante la aplicacién de los avances tecnolégicos y contribuir al desarrollo de la matriz productiva del pais [14]. Mision '* Formamos profesionales competentes con espiritu emprendedor, capaces de contribuir al desarrollo integral del pais [14] Ser una Institucién Superior Universitaria con estandares de calidad académica @ innovacién, reconocida a nivel nacional con proyecoién intemacional [14]. Objetivos Estratégicos [14] Incrementar los esténdares de calidad Institucional. Alcanzar la excelencia académica, organizacional y tecnolégica que permita la condicién de Instituto Superior Universitario. ‘Afianzar la institucién a nivel nacional con proyeccién internacional. 162.3 SERVICIOS PRINCIPALES DEL INSTITUTO El Instituto Superior Tecnoldgico SUCRE forma profesionales calificados de alto nivel en todo el pais, ofreciendo ocho carreras-duales y tradici nales. Ademds, busca mejorar al pais brindando educacién de calidad a través de las carreras y procesos acreditados, y alineando su oferta académica con los sectores estratégicos del pais, y sus necesidades de los grupos prioritarios y areas de interés pubblico [14]. 2.4 ESTRUCTURA ORGANICO FUNCIONAL DEL INSTITUTO La estructura orgénica y funcional del Instituto Tecnolégico Superior Sucre est distribuida por niveles, encabezado por el Organo Colegiado Superior seguido por el Rectorado. Este esquema presenta los distintos niveles de autoridad que tiene el Instituto. En la figura 2.4 se presenta el Tecnolégico Sucre. grama Organico Funcional de! Instituto Figura 2.4 Diagrama orgénico funcional del Instituto Tecnolégico Superior [14] 72.4.1 DESCRIPCION DE LA UNIDAD DE TECNOLOGIAS DE INFORMACION DEL INSTITUTO. La Unidad de Tecnologias de Ia Informacion y Comunicacién (TIC) del Instituto, es la encargada de garantizar la operacién, disponibilidad, integridad y confidencialidad de la infraestructura tecnol6gica. Las personas encargadas son las siguientes [15]: * Coordinador de TI: Ing. Danilo Miniguano. ‘© Gestién Ambiental: Ing. Rodrigo Revelo. © Marketing: Ing. Jorge Yanez. © Desarrollo de Software: Ing. René Matango. * Electricidad: Ing. Miguel Naranjo. ‘+ Electromecanica: Ing. Yadira Franco. La Ingeniera Alejandra Sarzosa es la coordinadora de los procesos del Instituto. En la figura 2.5 se indica el organigrama interno de la Unidad de TIC del Instituto [15]. ‘wap oc asic ‘ordre maar l | + acme pata ae. || = . tnerovenae ||| “ecnn ||| emcerasonn: || ganemrceain || masa ppemanery mene Medan secant" || iccecaen || Soenonmes || occur sc Hi panioraia ong Rearge Reve ‘ng ban bocen ng Mage Naro “7 * ne et re acres + Gemeente mon || amas Figura 2.5 Organigrama interno de la Unidad de TIC del Instituto [15] Las responsabilidades de la Unidad de TIC del Instituto son [15]: » Implementar una plataforma institucional para automatizar los procesos institucionales. + Brindar mantenimiento de los recursos tecnolégicos y soporte técnico del Instituto Tecnolégico Sucre. 18* Capacitar y asesorar a las déreas administrativas, académicas, de asesoria y de apoyo en temas relacionados a las TI * Velar por disponibilidad y seguridad de la informacién generada por el Instituto Superior Universitario. * Desarrollar, crear, plantar, disefiar y administrar el sistema de estadi informacion. En la figura 2.6 se observa el cuarto de maquinas en donde se administran los servicios tecnolégicos del Instituto [16] jura 2.6 Cuarto de maquinas del Instituto Tecnolégico Sucre [16] Servicios en la Unidad de TIC del Instituto. El Instituto Tecnolégico Sucre ha disefiado un Sistema Informdtico de Gestion (SIG) admi trative y académico, ademas el procesamiento de la informacién es automatizado en la institucién educativa. El SIG se actualiza cada dia y en tiempo real, ademas, mantiene de manera efectiva el Aseguramiento Interno de la Calidad (AIC). La flexibilidad de su disefio posibilita adecuarse a las carreras y especificidades institucionales. La gestién de documentos se lleva a cabo con la ayuda de herramientas informaticas que estén integradas en el SIG y en Ultima instancia es un sistema independiente [17]. El Instituto usa las Tecnologias de la Informacion y la Comunicacién para optimizar la evaluacién de los estudiantes y el proceso de aprendizaje. Fomentan el desarrollo de habilidades motoras y sensoriales mediante el uso de simuladores y realidad virtual; formar e incentiva a los alumnos a ut ar las TIC para buscar informacién, desarrollar proyectos, productos y resolver problemas en su propio entomo [17]. 19Sistema Auténomo de Gestién Académica (SAGA) es un sistema informatico del Instituto y contiene una plataforma para la revision de notas académicas del estudiante y Su informacién, también el sistema SAGA permite la administracién académica de los docentes para las asistencias, notas de los alumnos, seguimiento y control institucional (171. EI Instituto tecnolégico Sucre cuenta con varios servidores como el VMware vSphere 6 Enterprise Plus disponibles para algunos aplicativos de servicio, servidor Moodle y servidor Alfresco también en el ANEXO V se indica el diagrama ldgico de RED de datos del Instituto [18]. 2.5 ESTUDIO DE GOBIERNO Y GESTION DE COBIT 2019 PARA EL INSTITUTO EI Marco de COBIT 2019 y sus 7 componentes de sistemas de gestién y gobierno con los 40 objetivos estén muy bien detallados y definidos, usan buenas practicas que son beneficiosas para cualquier compajiia, independientemente de la empresa, tamafio y sector [19] El Instituto Tecnolégico Sucre cuenta con una pequefia Unidad de TIC que tiene algunos sistemas, como paginas del Instituto, sistema SAGA, etc. La Ingeniera Alejandra ‘Sarzosa en una reunién detallé que anteriormente el Instituto no contaba con un sistema propio tecnolégico por lo cual arrendaban estos servicios, posteriormente con el avance tecnolégico del Instituto ya cuenta su propio sistema SAGA con el manejo de notas, correo institucional, Moodle, etc., para los estudiantes, profesores y autoridades, pero también se encuentran en el disefio del nuevo sistema SAGA por parte del Ingeniero Edison Meneses para los servicios tecnolégicos del Instituto. Puntos débiles analizados de la Unidad Tecnologias de Informacion del Instituto (17},{20]. En el siguiente listado se indican algunos de los problemas identificados en el Unidad de TI del Instituto: ‘+ Algunos docentes no interactuan con los sistemas de gestién insti '* Recursos de TI insuficientes en la Unidad '* Poco personal de TI en la Instituci6n. + La Institucién y los sistemas que se manejan no cuentan con la seguridad en el flujo de trabajo que se administran. + No se mantienen evidencias de aplicacién de las herramientas informaticas de forma sistematica en las materias. 20* No cuentan con a actualizacién de la propuesta e informe de resultados de la aplicacién de las herramientas informaticas en las materias. Por medio de una encuesta como se indica en el ANEXO Vill realizada al personal de! Instituto con el objetivo de estudiar la situacién actual de TI, dentro de los resultados mas destacados de la encuesta a la Unidad de TIC, la pregunta 2 con un 72.2% afirma que cuenta con una planificacién de Gestion de TI, en la pregunta 3 con un porcentaje 54.5% afirma que no tiene un mecanismo de seguridad en las redes de datos. En la Unidad de TIC si cuentan un mecanismo para poder restaurar los servicios después de ataque informacién por lo cual si cuentan un sistema de seguridad en sus servicios de Tlcomo se muestra la pregunta 6 en la figura 2.7 con un 81.8% que lo afirma. 6. 2Eldepartamento de TI tiene un mecanisme para restaurar los servicios de Tl en un ataque informatica? Figura 2.7 Resultados de la encuesta al Instituto pregunta 6 En la pregunta 9 se observa que las autoridades si participan en un modelo de gobierno de TI con un 45.5% que lo afirman, como se muestra en la figura 2.8, pero no existe una gran mayoria entonces por lo cual deben patticipar para apoyar en implementar un. gobierno y gestién de TI 9. {Las Autoridades de Instituto apoyan al Gobierno y Gestién de TI? 11 respuestas © semore © asi Sempre @ nce Figura 2.8 Resultados de la encuesta al Instituto pregunta 9 21Otro punto que se analizé es que los estudiantes con un resultado del 45.5% siempre reportan las afectaciones que tienen en los servicios tecnolégicos, y con un 54.5%, los estudiantes a veces lo reportan, como se indica la pregunta 11 en la figura 2.9, por lo cual no hay una gran diferencia, la continuidad de los servicios tecnolégicos del Instituto deben mejorar y disminuir los reportes de las afectaciones de los servicios tecnolégicos. 11. 2Los estudiantes reportan afectaciones en sus servicios tecnolégicos del Instituto? Figura 2.9 Resultados de la encuesta al Instituto pregunta 11 En la pregunta 12 se observa que a veces los estudiantes reportan sobre caidas de los servicios con un 72.7% que lo afirman, es un buen resultado como se muestra en la figura 2.10, pero el Instituto si debe mejorar para disminuir las quejas de los alumnos. 12. {Qué tan frecuente son las quejas de los estudiantes por las caidas de los servicios tecnoligicos del Instituto? asi Semone @ runes Figura 2.10 Resultados de la encuesta al Instituto pregunta 12 Después de analizar todos los resultados de las respuestas de la encuesta como se muestra en el ANEXO IX se han seleccionado las areas de COBIT 2019 que son: el Crecimiento y Cliente ya que el Instituto se encuentra en la innovacién de los servicios de TI con la creacién del nuevo sistema SAGA y ademas los estudiantes si reportan sobre las afectaciones de los servicios de! Instituto como se observa en la figura 2.9, 22una vez que se identificaron estas éreas se procede a seleccionar de COBIT 2019 las metas empresariales (ver ANEXO Il). Se han escogido dos metas empresariales, la primera EGO6 (Continuidad y disponibilidad del servicio del negocio) y la segunda EG13 (Innovacién de productos y negocios). En base al relacionamiento como se indica en el ANEXO VI realizado con las metas empresariales EG06 y EG13 se han identificado 7 metas de alineamiento para el Instituto en la figura 2.11 se indican cudles son estas metas. Metas de Alineamiento G02: Gestion de riesgo relacionado con TI GOS: Prestacidn de servicios de TI cconforme a los requisitos del negocio ‘AGO7: Seguridad de la informacién, infraestructura de procesamiento y ‘aplicaciones, y privacidad [EGO6: Continuidad y cisponibilidad del servicio del negocio Metas Metas de Alineamiento Empresariales ‘AGO6: Agilidad para convertir los requisitos del COBIT 2019 negocio en soluciones operativas AGO8: Habilitar y dar soporte a pracesos de negocio easuniatesgacinite pasar wcecoie y negocios fexceder el presupuesto que cumplen con los aan eaahoree fomicad ols: Covoumene eeronge rithes pa Figura 2.11 Identificacién de las metas de alineamiento para el Instituto Una vez identificadas las metas de alineamiento se han seleccionado dos metas que son: AGO7 y AGO8 para posteriormente seleccionar los procesos de los dominios del Modelo Core COBIT 2019 en base al relacionamiento de las metas de alineamiento y los procesos, (ver ANEXO VII). 2.6 PROCESOS DE COBIT 2019 PARA EL INSTITUTO Para la implementacién de los procesos de los dominios del Modelo Core COBIT 2019 se propone los siguientes pasos con el propésito tener un gobiemo de TI y su modelo de COBIT 2019 para el Instituto [21} + Analizar la situacion de TI del Instituto Tecnolégico Sucre. Se requiere un andlisis inicial para estudiar la forma de gestién y el funcionamiento de TI del Instituto Tecnolégico Sucre. + Encontrar varias del lades de la Ut lad de TIC del Instituto. 23En la Unidad de TIC del Instituto debe suministrar informacién para identificar problemas y cambios ya que permiten ayudar a establecer todos los procesos indispensables para mejorar la gestion de TI + Establecer en la Unidad de TIC las metas de gestion de TI. Este paso implica definir las metas de gestion y gobierno de TI en base analisis, encuestas o documentacién de la Unidad de TIC y luego definir los procesos necesarios para lograr esas metas. * Determinar todos los procesos especificos que se van a aplicar. Una vez que se estudiaron las debilidades de TI que se analizaron anteriormente y que deben cubrir, se establecen todos los procesos indispensables para la aplicacién de la gestion de TI y su sistema. * Priorizar la aplicacién de los procesos del dominio del Modelo CORE COBIT 2019. Debe haber un orden en aplicacién de los procesos de los dominios de COBIT segtin el Instituto y la gestién de la Unidad de TIC. * Establecer los roles de responsabilidad de la matriz RACI para cada proceso y los recursos necesarios. En la matriz RACI que permite ordenar los roles de un proyecto como herramienta, se identifican los recursos requeridos para lograr los objetivos e implementar los procesos, asi como los responsables de realizar las diversas actividades que componen cada proceso. Responsable (R): Es la persona comprometida en realizar la tarea. Aprobador (A): Es la persona que rinda cuentas sobre la tarea y verifica el cumplimiento en tiempo y forma. Consultado (C): Son los encargados que tiene informacién importante para la ejecucién de la tarea. Informado (1): Son los encargados de recibir la informacién sobre los avances de las tareas. ‘+ Ejecutar el proceso para el sistema de gestién de TI del Instituto. Aplicar planes de mejora para los procesos y alcanzar los objetivos de TI para alcanzar con las necesidades de T! del Instituto. 242.6.1 PROCESOS DE GOBIERNO El dominio Evaluar, Dirigir y Monitorizar (EDM) y sus procesos del gobierno evalan, orientan y monitorean el logro del liderazgo sobre las opciones estratégicas [23] Para el Instituto Tecnoldgico Sucre se han seleccionado 1 de los 5 procesos de COBIT 2019. EDM04: Asegurar la optimizaci6n del riesgo Se explica el concepto para comprender el proceso EDMO4 y las actividades que el Instituto podria aplicar. Concepto del proceso EDM04 Asegurar que se tengan suficientes y adecuados recursos relacionadas con TI (tecnologia, personas y procesos) para el Instituto [22],[23). Matriz RACI del proceso EDMO4 En la tabla de 2.6 se elabora la matriz RACI del proceso EDM04 para la Unidad de TIC del Instituto indicando los roles que se realiza en cada proceso [22] [25]. Tabla 2.6 Matriz RACI del proceso de gobierno EDM04 g Practica clave de gobierno EDMO04.01: Evaluar la gestién de recursos. EDM04.02: gestion recursos. EDM04.03: A 1 c R R ic Monitorizar la gestion de recursos. Vicerrectorado estratégica Procesos del Instituto del Instituto Sucre de TIC del In: | Operador del Sistema de TIC 2 & = é o a 2 3 . 3 g 3 Ba 6 R 2) Coordinador de TIC >| Rectorado } Coordinador de La matriz RACI del proceso EDM04 como se muestra en la tabla 2.6, se analiz6 e indica 108 roles de los procesos que podrian llevarse a cabo para tener recursos adecuados de Tl ya que el coordinador de TIC, operador de software y sistema del Instituto son los responsables de los procesos EDM04.01 y EDM04.03, ellos deben analizar las 25necesidades de los recursos de TI (personas, procesos y tecnologia) del Instituto, ademas de monitorizar estos procesos e identificar los problemas y proponer una solucién. La persona encargada de aprobar la implementacién de los procesos para la Unidad de TIC es el Rector como la maxima autoridad del Instituto. La coordinacién estratégica es responsable de! proceso EDMO04.02 ya que debe asegurar que los recursos sean usados de una manera éptima para evitar que exista un mal uso. Actividades. Las siguientes actividades son buenas précticas que pueden aprovechar la Unidad de TIC del Instituto para poder aplicarlas como se indica en la tabla 2.7. Tabla 2.7 Actividades del proceso EDMO4 EDMO04.01 Evaluar la gestion de recursos ‘* El Instituto debe proporcionar recursos relacionados con TI como: ‘+ Recursos Tecnolégicos (Videolean es un software que permite observar videos tutoriales de las clases para los estudiantes; ASLFS es un sitio web para almacenar varios recursos como articulos, guias de laboratorios, para las clases presenciales y virtuales, etc.) * Recursos Humanos (Una persona que gestione la seguridad de la informacién, un director de tecnologias digitales, etc.). + También deben tener en cuenta las necesidades futuras de los recursos de TI (como el aumento del ancho de banda, dispositivos loT (Internet of Things), etc.) ‘+ La Unidad de TIC debe analizar y adoptar un plan de recursos tecnolégicos (como un sistema informético con cédigos de barras para libros, guias de laboratorio y dispositivos, control _de SLAs, cambios en los servidores del Instituto, automatizacién de la biblioteca, etc.), EDM04.02 Dirigir la gestion de recursos El coordinador de TIC Ing. Miniguano debe designar responsabilidades al personal de la Unidad de TIC para la implementacién del plan de recursos tecnolégicos. EDM04.03 Monitorizar la gestion de recursos La coordinacién estratégica del Instituto debe supervisar posibles disminuciones. en los recursos de TI (como reduccién del presupuesto a la Unidad de TIC, personal, dispositivos, servidores, etc.) y proponer algunas soluciones ante estas posibles causas. Nivel de capacidad esperado del 2 proceso EDMO4 En la figura 2.12 se indica el diagrama de actividades del proceso EDMO4 para el Instituto [22]. 26Coordinador de TIC identificar los problemas) [sobre los recursos de TI Hel Instituto ‘Operador de Software analizar la causa y_presentar| Boluciones de los problemas de los Fecursos relacionados con TI Coordinacién Estratégica Operador de Software jotificar la adaptacion de) in pian de estrategias del jos recursos de TI Proporcionar recursos| ide TI para el Instituto Coordinador de TIC Rector del Instituto Establecer ta gestion del lecursos y capacidades de TI para satistacer la necesidades, He Instituto Examinar y adoptar las estrategias del plan de recursos de TI Figura 2.12 Diagrama de actividades del proceso de gobierno EDM04 En la figura 2.12 se realiza el diagrama con el propésito de realizar las actividades que fueron analizadas y seleccionadas del proceso EDM04, también se detalla a las personas del Instituto encargadas de estas actividades, se comienza con identificar los problemas de los procesos del TI del Instituto que esta a cargo del Coordinador de TIC, posteriormente se analiza la causa de los problemas de los procesos de TI para finalmente llegar a la tltima actividad de analizar y permitir las estrategias del plan de recursos de TI por parte del Rector, este diagrama se lo deberia aplicar a la Unidad de TIC del Instituto ya que como se indicé en la entrevista, el Instituto esta en un proceso de mejorar sus servicios tecnolégicos por cual este objetivo de gobierno le permite gestionar los recursos relacionados con TI (persona, procesos y tecnologia). 2.6.2. PROCESOS DE GESTION COBIT 2019 establece que la gestién de TI y sus procesos entregan requisitos de altos niveles para la gestién eficaz y practicas de TI empresarial [25]. Para el Instituto Tecnolégico Sucre se han seleccionado 2 procesos de gestién del Modelo Core de COBIT 2019 como se detalla en la figura 2.13. 27Alinear, Planificar y Organizar (APO) APO13: Gestionar la Seguridad Monitorizar, evaluar y valorar (MEA) ‘>| MEA03 Gestionar el cumplimiento de los requisitos externos Figura 2.13 Procesos de gestion del Modelo Core de COBIT 2019 APO13: Gestionar la Seguridad Se explica las actividades del proceso APO13 que pueden implementar la Unidad de TIC y el concepto para entender el proceso. Concepto del proceso APO13 Establecer, realizar y monitorizar un Sistema de Gestion de Seguridad de la Informacién (SGSI) [22},[25]. Matriz RACI del proceso APO13 En la tabla de 2.8 se realiza la matriz RACI del proceso APO13 para la Unidad de TIC del Instituto indicando los roles que se realiza en cada proceso [22),[25]. Tabla 2.8 Matriz RACI del proceso de gestién APO13, es 2 s Bo 2g 5 SF = B g 3 2 | Z ££ B8e (°F = © ts Qe oS 2 3 $ ss 2 2 3 8 Bg? (83 5 g 8 8218 3 S $ gio33s (ee go 8 5 8 ee ae Bk a 8 £ 88 68 os ‘APO13.01: R c ReeaaC R Establecer sostener el (SGSI). ‘APO13.02: Detallary A [1 c 1 R c R gestionar un plan de tratamiento de riesgos de seguridad de la informacion y privacidad. 28APO13.03: Revisar y|1 | I t R R R monitorizar el (SGSI). La matriz RACI del proceso APO13 como se muestra en la tabla 2.7, se analiz6 e indica los roles de los procesos que podrian llevarse a cabo para gestionar la seguridad en el Instituto, ademas el Instituto cuenta con su propio mecanismo de seguridad. El coordinador de TIC, operador de software y sistema del Instituto son los responsables de los procesos APO13.01 y AP013.02, ellos se deben encargar del sistema de gestion. de seguridad para que este sea estandarizado, formal y continuo, también deben implementar mejorar la seguridad en base a las necesidades y riesgos de la Unidad de TIC. La persona encargada de aprobar o cambiar la implementacién del Sistema SGSI para el Unidad de TIC es el Rector como la maxima autoridad del Instituto. La Unidad de TIC del Instituto es la responsable del proceso APO13.03 ya que debe recopilar y examinar y mejorar la efectividad de la seguridad y el sistema de gestion Actividades. En la tabla 2.9 se detallan las siguientes actividades que la Unidad de TIC del Instituto podria aplicar. Tabla 2.9 Actividades del proceso APO13 ‘APO13.01 Establecer y sostener un (SGSI) * Elcoordinador de TIC del Instituto puede definir un plan del SGSI para los sistemas tecnolégicos del Instituto con el propésito de mejorar la seguridad, analizar posibles amenazas de a informacién. este plan puede basarse en el estandar de la ISO/IEC 27001, también deben realizar cdlculos de probabilidad tomando en cuenta incidentes recurrentes, violacién de la informacién para identificar los posibles riesgos. + La Unidad de TIC del Instituto debe ajustar el plan del SGSI en base a los recursos econémicos y tecnolégicos ademas deben tomar en cuenta los activos (como servidores, routers, APs, computadores, etc.) y sus posibles degradaciones también en base a graficos en la indisponibilidad del Sistema SAGA, Moodle, etc. + Una vez establecido y ajustado el plan de! SGSI el Rector del Instituto como maxima autoridad debe aprobarlo, para aplicar o modificar el SGSI ‘+ Elcoordinador de TIC debe notificar responsabilidades y roles que deben cumplit el personal de la Unidad de TIC del Instituto como el Ingeniero René Matango (Desarrollador del Software), Ingeniero Jorge Yanez (Marketing), etc., para aplicar el plan del SGSI. ‘APO13.02 Detallar y gestionar un plan de tratamiento de riesgos de seguridad 29La Unidad de TIC debe implementar un plan de riesgos de seguridad de la informacion en base a la norma ISO/IEC 27005, deben enfocarse en 3 pasos importantes: + Determinar el riesgo, ‘+ Valorar el riesgo. ‘+ Evaluar el riesgo (Si la probabilidad esta entre el (11-100%) deben revisar y controlar el riesgo, si es muy baja la probabilidad (0-10%) pueden realizar solo un analisis del riesgo y por titimo finalizar todos los casos generados), + El Coordinador de TIC debe incluir en el plan las siguientes secciones para evaluar los riesgos y determinar sus respectivas soluciones: ‘+ Redes de datos del Instituto. ‘+ Sistemas tecnolégicos y hardware de la Unidad de TIC. + _Infraestructura del Instituto. ‘APO13.03 Revisar y monitorizar el (SGSI) + El operador del sistema de TIC debe realizar re medir su eficacia en base a nuevas amenazas, modificaciones de los sistemas SAGA, posibles violaciones de Ia red de datos, incidentes en la seguridad de la informacion del Instituto, etc. * En la Unidad de TIC podrian usar el software OPENKM que permite determinar y seleccionar por medio de cédigos de barras toda la documentacién que genera el SGSI, cuando se realicen mediciones de la eficacia y ajustes del plan de seguridad de la informacion, etc. Nivel de capacidad esperado del 2 proceso APO13 En la figura 2.14 se indica el diagrama de actividades del proceso APO13 para el Instituto. 30[Definir el alcance del sistema de gestion] de seguridad de la informacion (SGSI) ‘Obtener Ia autorizacion de las autoridades para implementar, operar 0 cambiar el SGS| Coordinador de TIC Definir os roles y responsabllidades de la gestion de seguridad Coordinador de TIC Operador del Sistema jesarrollar y proporcionar un plat de seguridad de riesgos y soluciones ‘Operador del Sistema Integrar la _planificacion) limplementacién y monitorizacion de| los procedimientos de seguridad de a [informacion y privacidad Registrar acciones y eventos del rendimiento del SGSI Coordinador de TIC Realizar periddicamente una revisién de la gestion del SGSI Figura 2.14 Diagrama de actividades del proceso de gestién AP013 En la figura 2.14 se realiza el diagrama con el propésito de realizar las actividades que fueron analizadas y seleccionadas del proceso AP013, también se detalla a las personas del Instituto encargadas de estas actividades, deben establecer los limites y alcance del ‘SGSI para obtener la autorizacién del rector para implementar o cambiar este sistema, posteriormente se debe llegar a la actividad de realizar constantemente la revisién de la gestion de SGSI que permitira evaluar, solucionar y monitorizar este sistema. MEA03 Gestionar el cumplimiento de los requisitos externos Se describe el concepto del proceso MEAOS y algunas actividades que la Unidad de TIC del Instituto podria implementar. Concepto del proceso MEA03 31Evaluar, monitorear y recomendar si los procesos de TI del Instituto cumplen con las leyes y requisitos del Consejo de Educacién Superior para garantizar que estan determinados y cumplidos [22]. Matriz RACI del proceso MEA03 En la tabla de 2.10 se realiza la matriz RACI del proceso MEAO3 para la Unidad de TIC del Instituto indicando los roles que se realiza en cada proceso [22] Tabla 2.10 Matriz RACI del proceso MEAO3, 2 Rectorado Procesos del Instituto del Instituto Sucre de TIC del In: de TIC Practica clave de gestion MEA03.01: Identificar los Fequisitos externos de cumplimiento MEA03.02: Optimizar | | R R la respuesta a los requisitos externos. MEA03.02: Optimizar | | R R c la respuesta a los requisitos externos. MEA03.04: Obtener | | R c aseguramiento de cumplimiento externo Vicerrectorado estratégica 2 g é 5: 3 3 8 5 3 8 5 2 3° Cc 9} Coordinador de TIC ©} Operador del Sistema 2) Coordinacion de 2) Coordinador de ° ° La matriz RACI del proceso MEAQ3 como se muestra en la tabla 2.10 se analiz6 e indica los roles de los procesos que le permitird evaluar, monitorizar y recomendar si los procesos de TI cumplen con las normas del Instituto, ademas la institucién se encuentra en la transformacién, para ser un Instituto superior con el propésito de reconvertir la formacién técnica dotando de infraestructura fisica, equipamiento, etc., con este proceso se revisan y ajustan las politicas, procedimientos del Instituto para cumplir con los niveles de calidad especificados por el Consejo de Educacién Superior. Actividades. Las siguientes actividades son algunas précticas que puede aprovechar la Unidad de TIC del Instituto para poder aplicarlas como se indica en la tabla 2.11 32Tabla 2.11 Actividades del proceso MEA03 jiento MEA03.01 Identificar los requisitos internos de cumpli La Unidad de TIC debe evaluar ios procesos de TI como mesa de ayuda, soporte de aplicaciones, etc., y posibles impactos en el area de teonologica, de privacidad, informes econémicos, etc., pueden usar la plataforma del CMMI Cybermaturity Platform que permite evaluar los riesgos, medi y gestionar los procesos de TI ‘MEA03.02 Optimizar la respuesta a los requisitos internos El coordinador de TIC debe notificar a las autoridades del Instituto sobre los requisitos nuevos y puntos relevantes de la Unidad de TIC como la contratacién de un nuevo personal con experiencia en la seguridad de la informacién o instalar un data center virtual, etc. MEA03.04 Obtener aseguramiento de cumplimiento interno La Unidad de TIC debe analizar y examinar continuamente las revisiones de los servicios internos del Instituto como Sistema SAGA, correo electrénico, etc., y determinar si se cumplen con los niveles de calidad que exigen el Consejo de Educacién Superior del pais. Nivel de capacidad esperado del 2 proceso MEA03 En la figura 2.15 se describe el diagrama de las actividades del proceso MEAQ3 con el propésito de realizar las actividades que fueron analizadas y seleccionadas, que se podrian aplicar para verificar que el Instituto Tecnolégico Sucre cumpla con los requisitos internos de los servicios de TI, también indica las personas del Instituto encargadas de estas actividades [22] 33,Coordinacién estratégica Determinar y evaluar los posibles requisitos de cumplimiento de la Unidad de TIC del Instituto Coordinador de TIC Coordinador de TIC Notificar los requisitos nuevos a todo el personal del Instituto Coordinador de procesos Raiser popiinamerts tos. ce os) cumplimientos de los procesos de TI Gestionar alguna asesoria en base a regulaciones, estandares vigentes Coordinacién estratégica Coordinador de TIC ‘Analizar continuamente revisiones de los servicios internos para evaluar niveles de cumplimiento Optimizar los procedimientos, poiiicas, estandares de los pprocesos de TI Coordinador de TIC problemas de incumplimiento yanalizar su causa Figura 2.15 Diagrama de acti idades del proceso de gestion MEA03 2.7 PROCESOS PROPUESTOS PARA EL INSTITUTO. Los objetivos de gestidn COBIT 2019 que se proponen son los siguientes DSS05 (Gestionar los servicios de seguridad), BAIO6 (Gestionar los cambios de TI), ya que deben mejorar algunos mecanismos de seguridad como la red de datos, control de aplicaciones, etc., ademas, el Instituto se encuentra en algunos cambios como el disefio del nuevo sistema SAGA para los estudiantes, profesores, etc., por lo tanto, estos dos objetivos le permitiran realizar estos procesos de una mejor manera. BAI06 Gestionar los cambios de TI En este proceso BAIO6 se detalla el concepto y las actividades para la Unidad de TIC del Instituto. 34Concepto del proceso Proporcionar que todos los cambios de TI se ejecuten de una manera répida y confiable incluyendo estandares, evaluaciones, software y documentacién por parte de la Unidad de TIC del Instituto [22},[26]. Matriz RACI del proceso BAIO6 En el ANEXO X se elabora la matriz RACI del proceso BAIO6 para la Unidad de TIC del Instituto [22]. Para esta matriz se analiz6 e indica los roles de los procesos que podrian llevarse a cabo para preferir, evaluar, hacer un seguimiento, gestionar y finalizar todos los nuevos cambios de TI que se esta realizando en la Unidad de TIC de! Instituto. Actividades. En las siguientes tablas se indican las actividades del proceso BAIN6 y los niveles de capacidad que el instituto podria aplicar ya que estos niveles permiten medir, también se esta ejecutando y completando el proceso (22],[28). En la tabla 2.12 se indica una breve descripcién sobre los niveles de madurez de las actividades del BAI06.01 que se podrian aplicar para el Instituto e indica el nivel que debe alcanzar el proceso [27],[29] Tabla 2.12 Evaluacién de madurez de las actividades del BAIO6.01 Nombre de la practica Autorizar, priorizar y evaluar solicitudes de cambio. Actividades * La Unidad de TIC puede usar el software GLPI que le permite tener un inventario informatica para registrar los nuevos cambios en base a los sistemas operativos, infraestructura, redes de datos, sistema SAGA, correo institucional, etc. * Se debe adoptar cada cambio oficialmente por parte de las autoridades del Instituto sobre los nuevos cambios de TI * El coordinador de TIC debe planificar un cronograma para todos los cambios y puede usar la metodologia del Desing Sprint que consta de fases y le permitird llevar un orden en las actividades para cambiar 0 mejorar los sistemas del Instituto. Inexistente No hay actividades. 0 Inicial Estas actividades deben estar aprobadas. 1 Gestionado Las actividades deben estar implementadas 2 y comunicadas. Establecido Ninguno 3 Predecible 4 Optimizado 5 Nivel de capacidad 1 Esperado 2 35,En la tabla 2.13 se detallan las actividades del BAI06.03 que se podrian realizar para el Instituto e indica el nivel que debe aleanzar el proceso [27],[29]. Tabla 2.13 Evaluacién de madurez de las actividades del BAI06.03 BAI06.03 Informar y hacer seguimiento sobre cambios de estado. Actividades * La Unidad de TIC puede usar el software EGAFutura para tener un sistema de informes y realizar el seguimiento, ya que este sistema permite generar, guardar reportes de los informes para las solicitudes de los nuevos cambios de Tl del Instituto. + El coordinador de TIC debe observar los cambios que se encuentran en ejecucién y aprobados por medio de graficos 0 reportes generados por el software GLPI para realizar de una mejor manera el cierre de los cambios. Inexistente No hay actividades. 0 ni Las actividades deben iniciar. 1 Gestionado Estas actividades deben estar aprobadas. 2 Establecido Las actividades deben estar implementadas 3 y comunicadas. Predecible Ninguno 4 Optimizado Ninguno 5 Nivel de capacidad 2 Esperado 3 En la figura 2.16 se muestra el diagrama de las actividades del proceso BAIO6 con el propésito de realizar las actividades que fueron analizadas y seleccionadas, que se podrian aplicar para gestionar los cambios de TI en el Instituto de una manera controlada, también indica las personas del Instituto encargadas de estas actividades (22) 36Coordinador de TIC Priorizar én la base de los recursos requeridos del Instituto todos los cambios solicitados Operador del Sistema lasificar todos Tos cambios solicitados Por ejemplo infraestructura, sistemas ‘operativos, redes, etc. Permitir oficialmente cada cambio por parte de las autoridades del Instituto Goordinador de TIC ‘Organizar y preparar todos los cambios aprobados Operador del Sistema Operador de Procesos Tener un sistema de linformes sobre la solicitud| de cambio Aplicar informes de estados de| los cambios para la gestion y ‘monitorizacion Coordinador de TIC Agregar los cambios en la} ‘documentacién en el Iprocedimiento de gestion Figura 2.16 Diagrama de actividades del proceso de gestion BAIOS DSS05 Gestionar los servicios de seguridad A continuacién, se describe el concepto para entender el proceso DSSO5 y las actividades que la Unidad de TIC del Instituto podria aplicar. Concepto del proceso DSS05 Proteger la informacién del Instituto para sostener un nivel aceptable sobre el riesgo de la seguridad de la informacién y disminuir el impacto sobre los incidentes y vulneraciones de seguridad de la red de datos del Instituto [22], [26] Matriz RACI del proceso DSS05 En el ANEXO XI se elabora la matriz RACI del proceso DSS05 para la Unidad de TIC del Instituto [22],{24]. Para esta matriz se analizé e indica los roles de los procesos que 37Podrian llevarse a cabo para proteger la red de datos utilizando firewalls 0 algunos softwares, también deben controlar el acceso a la red y evitar vulnerarla, los responsables son: el coordinador de TIC, operador del software y sistema de TIC ellos deben identificar todas las posibles violaciones en la red de datos y mejorar todos los mecanismos de seguridad de la informacion como el control de aplicaciones, usuarios, redes, sistemas operativos, etc Actividades. Se explicaran las actividades del proceso DSS05 que la Unidad de TIC del Instituto podria aplicar y los niveles de capacidad que se espera alcanzar [27],(29]. En la tabla 2.14 se describen a las actividades. Tabla 2.14 Evaluacién de madurez de las actividades del DSS05.02 Pe Dsso! Nombre la Gestionar la conectividad de la red y su seguridad. practica Actividades ‘+ La Unidad de TIC del Instituto debe aplicar mecanismos como firewalls, fitrado de red (pueden usar dispositivos de FORTINET), también podria utilizar el OSSEC, que es un software de deteccién de intrusos de cédigo abierto que se debe instalar en todas las computadoras del personal administrativo, profesores y autoridades. + El coordinador debe plantear una politica de conectividad y seguridad en base a las recomendaciones del estandar ISO/IEC 27002:2013, el cual se enfoca en los controles de accesos, cifrado de la informacion, gestion de activos, seguridad fisica, etc. * El operador de software de TIC debe implementar pruebas de penetracion continuas, puede usar el software METASPLOIT es una excelente herramienta que simula vulnerar la informacion de un dispositivo y asi tomar acciones para proteger la red de datos del Instituto Sucre. Inexistente No hay actividad en la Unidad de Tl 0 Las actividades se inician. 1 Gestionado Las actividades deben estar aprobadas. 2 Establecido Las actividades implementadas y comunicadas. 3 Predecible Ninguno 4 Ninguno 5 de 2 capacidad Esperado 3 En la tabla 2.15 se describen algunas actividades para gestionar la seguridad de los dispositivos finales para el Instituto [27] [29] 38Tabla 2.15 Evaluacion de madurez de las actividades del DSS05.03, Pract Nombre de la prac Actividades Gestionado Establecido Predecible Optimizado Nivel de capacidad Esperado So Gestionar la seguridad de dispositivos finales * La Unidad de TIC puede gestionar de forma segura la proteccién de la red, puede utilizar una VPN como el Fortclient, que es una herramienta que permite conectarse a los usuarios, también pueden usar tuneles Ipsec6 incluso alquilar y trabajar con servidores en la nube ya que estos se encaigan de la seguridad. * El Instituto debe establecer proteccién fisica a los dispositivos de la red del Instituto usando los biométricos, cémaras, sensores, etc. Las actividades existen. Estas actividades deben estar aprobadas. 1 Las actividades deben estar implementadas 2 y comunicadas. Ninguno 3 juno 4 Ninguno 5 fl 2 En la tabla 2.16 se indica una descripcién sobre las actividades del proceso DSS05.07 y los niveles de madurez que se pueden aleanzar [27],{29]. Tabla 2.16 Evaluacion de madurez de las actividades del DSS05.07 Nombre de la practica Manejar la monitorizacion y vulnerat Actividades Inexistente Inicial Gestionado Establecido Predecible Optimizado Nivel de capacidad Esperado a lad de la infraestructura para encontrar eventos asociados con la seguridad. ‘+ Eloperador del sistema de la Unidad de TIC debe analizar cada dia los logs de eventos de los dispositivos como: routers, switches, APs, firewalls, correos electrénicos, etc., para encontrar posibles incidentes. * La Unidad de TIC debe asegurar que se generen tickets puede usar el software OTRS es cédigo abierto esto les permitird entregar tickets sobre los posibles incidentes de seguridad de la informacién y la red de datos del Instituto de una forma oportuna No hay actividad. 0) Las actividades se inician. 1 Estas actividades deben estar aprobadas. 2 Las actividades deben estar implementadas 3 y comunicadas. \guno Ninguno on 2 3 En la figura 2.17 se detalla el diagrama de las actividades del proceso DSS0S con el propésito de realizar las actividades que fueron analizadas y seleccionadas, también las personas del Instituto responsables de estas acti des que se podrian 39implementar para disminuir el impacto de violar la seguridad de la informacién y red datos del Instituto Tecnolégico Sucre [22] Operador de software instalar 0 mantener actualizadas de jas herramientas de proteccién contra] software malicioso Proveedor de TIC ‘Aplicar mecanismos de bloqueo de dispositivos Proveedor de TIC Dar protecci6n fisica a 10s dispositivos de la red de Instituto Unidad de TIC para determinar la vulnerabilidad Incidentes Figura 2.17 Diagrama de acti 40 Realizar pruebas de Penetracion periédicas Asegurar que se creer tickets a incidentes de seguridad y solucionar estos lades del proceso de ge: Coordinador de TIC srador de seguridad (car mecanismos de filtrado de red ‘Operador de seguridad Administrar la configuracion de red de ltorma segura det instituto| Coordinador de TIC Determinar y sostener una politica para la seguridad de la conectividad| con base de los requisites del Instituto3. RESULTADOS, CONCLUSIONES Y RECOMENDACIONES 3.1 RESULTADOS DE LOS PROCESOS PROPUESTOS DE MODELO CORE COBIT 2019 Una vez identificadas las metas empresariales y de alineamiento, se asocian los procesos seleccionados para indicar que se ha determinado un modelo que tenga la base del Marco de Gestion de COBIT 2019 acorde a las necesidades del Instituto, en la tabla 3.1 se detallan los procesos. Tabla 3.1 Los procesos de COBIT 2019 con las metas de alineacién y empresariales del Instituto Tecnolégico Sucre Dimension Metas Metas de Procesos de COBIT BSC | empresariales | _alineamiento 2019 (Dimension Alignment Goals) Cliente Continuidad y | Seguridad de _la| EDM04: _Asegurar la disponibiidad | informacién, optimizacién del riesgo del servicio del | infraestructura de [ APO13: Gestionar_la negocio, procesamiento | seguridad eplceciones) Y | DSS05: Gestionar los privacidad. servicios de seguridad Crecimiento | innovacién de | Habilitar y dar soporte |BAI06: Gestionar los Productos —_y | a procesos de negocio | cambios de TI negocios, mediante la integracién de aplicaciones y tecnologia MEAO3: Gestionar_ el cumplimiento de los Tequisitos externos Por medio de una encuesta en el ANEXO XII a la Unidad de TIC se utilizé la base de la Escala de Likert para poder medir el nivel de los procesos propuestos al Instituto y analizar las respuestas del personal. Los procesos propuestos son los DSSO5 (Gestionar los servicios de seguridad), el propésito es disminuir el impacto de vulnerar la red de datos del Instituto y BAIO6 (Gestionar los cambios de TI), su propésito es facilitar una ejecucién de cambios de una manera de rapida y confiable en la Unidad de Tic. a1En la tabla 3.2 se indican los resultados que se obtuvieron en las 8 preguntas que se realizaron a la Unidad de TIC (ver ANEXO XII), estas preguntas son de los procesos DSS05 y BAIOG ya que el Instituto debe mejorar en la seguridad de la red y gestionar de una mejor manera los nuevos cambios en la Unidad de TIC. Los resultados obtenidos, muestran que la Unidad de TIC esté de acuerdo que se podria implementar estos procesos, se tiene un promedio de 57.36% de acuerdo, mientras que hay un 0% en desacuerdo por parte de la Unidad de TIC, por lo tanto, al aplicar estos procesos los niveles de capacidad COBIT 2019 deben alcanzar el nivel 2 y 3. Tabla 3.2 Resultados de las 8 preguntas 1 0% 37,50% 50,00% 12,50% 2 0% 12,50% 62,50% 25,00% 3 0% 0% 62,50% 37,50% 4 0% 12,50% 50,00% 37,50% 5 0% 0% 50,00% 50,00% 6 0% 0% 50,00% 50,00% 7 0% 0% 62,50% 37,50% 8 0% 0% 71,40% 28,60% Promedio 0% 781% 57.36% 34.83% Esta encuesta se envié al Ingeniero Jack Vidal (Vicerrector del ITS) para que el personal de la Unidad de TIC pueda responder las preguntas, como se observa en figura 3.1 en. la mayoria de las preguntas sus respuestas indican que estén de acuerdo, esto confirma que se podria implementar estos procesos en la Unidad de TIC del Instituto. Grafico de los resultados de las preguntas ila mPregunta t sm Pregunta 2 1 Pregunta 3 se Pregunta 4 Pregunta S regunta 6 ePregunta 7 Progunta 8 Figura 3.1 Grafico de los resultados de las 8 preguntas 42Discusién de los resultados de la encuesta Los resultados obtenidos de la encuesta (ver ANEXO XiIll) sobre los procesos propuestos muestran una aceptacién positiva, por lo que, se podrian aplicar estos procesos y poder llegar a un nivel 2 y 3 de la capacidad los procesos de COBIT 2019, en estos niveles los procesos deben estar definidos e implementados. En la pregunta 1 se procedié a describir una opcién para categorizar los cambios por ejemplo en infraestructura, redes de datos, etc., esto dependerd de la Unidad de TIC en seleccionar que cambios se deben priorizar; segtin los resultados que se observan en. la figura 3.2 se tiene un 50% que lo afirman, es una respuesta aceptable, por lo tanto, se puede implementar esta categorizacion. 1. {La Unidad de TI debe categorizar los cambios soliitados (pe. Procesos del Instituto, Infraestructura, Sistemas Operatives, Redes de datos, Sistemas de Aplicacién)? © sen censcseto 3 De sues © 6 tay ce seerds Figura 3.2 Resultados de la encuesta a la Unidad de TIC pregunta 1 En la pregunta 3 se describié una opcién para tener un sistema con seguimiento para los cambios de TI solicitados, segiin los resultados obtenidos como se indica en la figura 3.3 hay un 62.5% de acuerdo esto indica un resultado positive por lo cual deben aplicar este proceso por parte de la Unidad de TIC y documentar por medio de estados los cambios aprobados, en proceso y cerrados. 433, {Se recomienda mantener un sistema de seguimiento e informes para todas las solicitudes de los cambios de TI? 8 respuestae © 1 Encesacueo (@ 2 Parcalmenta do acuerdo De aeverso © 4 uy de acuerdo Figura 3.3 Resultados de la encuesta a la Unidad de TIC pregunta 3 En la pregunta 7 se detalla la opcién de detectar y monitorizar la vulnerabilidad de la seguridad red usando algunas herramientas de seguridad de la informacién y gestion con un resultado del 62.5% que lo afirman por parte del personal del Instituto como se indica en la figura 3.4, por lo cual la Unidad de TIC debe implementar este proceso para generar tickets ante posibles incidentes de seguridad. 7. gma Unidad de TI se debe monitorizar la red e identificar mediante algunas herramientas de seguridad de la informacién y de gestién de eventos para incidentes de la red y generar tickets de estos incidentes? 8 respuectas @ 1 Encesacuerdo (@ 2 Paciamente de acuerdo © 3 De sexed © + ty oe acuerdo Figura 3.4 Resultados de la encuesta a la Unidad de TIC pregunta 7 En la pregunta 8, como se muestra en la figura 3.5 con un 71.4% de acuerdo, la Unidad de TIC debe implementar y mantener la seguridad por medio de una politica de la conectividad para evitar vulnerar la red.8. {La Unidad de TI debe mantener una politica para la seguridad de la conectividad con base ‘en las evaluaciones de riesgo y los requisitos del Instituto? @ 1 Endesacuerdo (@ 2 Parciaimente de acuerdo @ 3 De acuerdo @ + Muy de acuerdo Figura 3.5 Resultados de la encuesta a la Unidad de TIC pregunta 8 En la tabla 3.3 se indican los resultados de las otras preguntas realizados al personal de la Unidad de TIC. Tabla 3.3 Resultados de las preguntas 2, Pregunta Resultados Observaciones 2. gLa Unidad de 62.5% De acuerdo Se tiene una respuesta positiva por TI del Instituto parte del personal de Instituto, por lo debe evaluar la tanto, deben aplicar una evaluacién probabilidad de de la probabilidad de afectar afectar negativamente al Instituto sobre los negativamente el Auevos cambios; con el propésito de entorno operative disminuir el impacto que se tendria y el riesgo de en los procesos del _ Instituto, implementar los infraestructura, los sistemas y las nuevos cambios aplicaciones al realizar estos de TI? cambios, en el Instituto. 4, elncrementar 50% De acuerdo _La respuesta es aceptable por parte un nuevo de la Unidad de TIC, entonces este personal en la nuevo personal debe usar algunos Unidad de TI para softwares de deteccién de intrusos monitorear la en la red. vulnerabilidad en la red del Instituto? 5. 2En la Unidad 50% Muy de acuerdo Es la respuesta es positiva por lo de Ti con el nuevo tanto con el nuevo personal hay que personal deben implementar estas pruebas para llevar a cabo determinar el nivel de proteccion que pruebas tiene la red y el sistema del Instituto, periédicas de penetracién de 45,intrusos para determinar el nivel de proteccion de la red? 6. ZEl nuevo 50% Muy de acuerdo Por parte del personal de la Unidad personal debe de TIC es muy aceptable este nuevo revisar y evaluar personal que debe revisar nuevas la informacion de amenazas potenciales por medio de nuevas amenazas estandares de seguridad como la potenciales que ISO/IEC 27001, etc. pueden afectar a la seguridad de la Informacion de la Unidad de TI? Con estos resultados como se indica en la tabla 3.3 se puede determinar que la propuesta de los procesos DSS05 y BAIO6 son necesarios y se pueden aplicar para disminuir los riesgos de vulnerabilidad de la red del Instituto y mejorar los cambios de TI con un porcentaje promedio de aceptacion del 92% que esté de acuerdo, por lo tanto, ‘se pueden implementar los procesos en la Unidad de TIC del Instituto. 3.2 CONCLUSIONES COBIT 2019 aumenta la cantidad de los procesos de los objetivos de gestion y gobierno de 37 a 40, los niveles de capacidad del marco de gestién de COBIT 2019 se basan en elrendimiento de CMMI por lo tanto los niveles que deben alcanzar los procesos DSS05, BAIO6 en la Unidad de TIC del Instituto son el 2 y 3 ya que deben estar definidos e implementados con el objetivo de mejorar el rendimiento de los servicios tecnolégicos del Instituto. La versién actual de COBIT 2019 tiene un marco de gestién y gobierno mas completo que la version 5.0, esto le permitird a la Unidad de TIC del Instituto poseer mas flexibilidad para poder ejecutar practicas y sus soluciones de gobierno para que se ajusten a los objetivos del Instituto Tecnolégico Sucre. Las metas de COBIT 2019 seleccionadas para el Instituto Tecnolégico Sucre son claras, concisas y actualizadas mientras que las metas de COBIT 5.0 son extensas y se usan. ‘como una guia para las empresas, ademas se seleccionaron dos metas de alineacién AGO7 y AGO con el propésito de mejorar la disponibilidad e innovacién de los servicios tecnolégicos para los estudiantes, profesores, personal administrativo y autoridades del Instituto. 46El proceso EDMO4 le permitiré al ITS mejorar y disponer de los recursos de TI para la Unidad de Tecnologias de Informacién del Instituto, es un departamento pequerio por lo tanto estos recursos son limitados, el proceso le ayudara a identificar estos problemas, analizar las causas y presentar soluciones para que en un futuro puedan adoptar nuevas estrategias de gestién de recursos de TI para el Instituto Tecnolégico Sucre. En la Unidad de TIC del Instituto se identificaron algunos problemas, el proceso DSS03 le permite identificar, clasificar y analizar su causa para establecer grupos de soporte y encontrar soluciones de los problemas identificados, también deben notificar el estado de los problemas para que todo el personal del Instituto pueda mantenerse informado, finalizando con registros después de la confirmacién sobre la eliminacién del problema en la Unidad de TIC del Instituto, Los resultados de los procesos propuestos son muy positivos y se tiene un promedio del 92% de respuestas aceptables por parte del personal del Instituto Tecnolégico Sucre, por ello se puede aplicar estos procesos en base a un Marco de Gestion de COBIT, ademas le permitiran a la Unidad de TIC realizar nuevos cambios de manera ordenada y confiable; también proteger, monitorizar y evaluar sus servicios de redes de datos para mejorar los mecanismos de la seguridad en la red de! Instituto El proceso BAIOG tiene mas del 60% de aceptacién por lo tanto este proceso contribuira a la Unidad de TIC, para que los nuevos cambios de TI se los categorice, priorice y se los apruebe en base a los procesos, aplicaciones e infraestructura del Instituto para tener un sistema de informes sobre los cambios con el propésito de informar el estado al personal del Instituto. La adopcién del proceso DSS05 se podria aplicar ya que los resultados de la encuesta con mas del 60% por parte de la Unidad de TIC lo aceptan y le permitira disminuir posibles incidentes de seguridad con la informacién y la red de datos del Instituto ademés por medio de una politica de seguridad establecida por parte de la Unidad de TIC del Instituto, le ayudar a mejorar la seguridad con sus mecanismos para la red de datos y proteger la informacion. ‘Se pudo concluir que la Instituci6n se encuentra en el proceso de cambiar a un Instituto ‘Superior Universitario y necesita una mayor capacidad de almacenamiento, para las carreras de modalidad virtual, los nuevos de cambios de TI en los sistemas, con la implementacién de los procesos de COBIT 2019, la contratacién del servicio de un Data Center Virtual (DCV) completo, se estima su costo cerca de los 2 millones de délares y el Gobierno del pais debe incrementar el presupuesto de las Instituciones Tecnolégicas Universitarias para tener estos servicios del DCV. 73.3. RECOMENDACIONES Se recomienda a la Unidad de TIC del Instituto implementar un gobierno de TI y su Marco COBIT 2019 ya que es abierto y adaptable, ademas le permite a la Unidad de TI la capacidad de identificar problemas de la manera més rapida y la arquitectura de COBIT le ayuda @ enfocarse en nuevas areas sin afectar la estructura del Instituto. Se podria implementar una gestion de recursos de los sistemas tecnologicos de la Unidad de TIC del Instituto para que le ayude a tener una mejor infraestructura del Instituto, personal, tecnologia; ya que este departamento es pequefio y realizar esta gestion le permitira evitar tener recursos insuficientes de TI y mejorar sus procesos. Las autoridades del Instituto deben participar y apoyar para implementar un gobierno de gestion de TI, también las areas: financieras, comunicaciones, tecnologia, seguridad, etc., deberia intervenir para que se puedan alcanzar estas metas empresariales y se apliquen estos procesos de COBIT, ademas para que los cambios se los pueda implementar lo mas pronto posible y posteriormente evaluar si se alcanzaron los niveles de capacidad de estos cambios. ‘Se debe tener una mesa de servicios en la Unidad de TIC del Instituto para informar los problemas, analizar nuevos cambios, realizar algunos procedimientos de proteccién de la informacion, bases de datos, seguridad, etc., ademas todo el personal del Instituto debe mantenerse informado de todas estas medidas que se pueden realizar. Se recomienda contratar personal para la Unidad de TIC para: monitorear, realizar pruebas de penetracién habituales y establecer un nivel de proteccién en la red, también para examinar y evaluar informacion sobre nuevas amenazas que posiblemente puedan perjudicar la seguridad de la informacion del Instituto. EI Instituto deberia capacitar a su personal sobre COBIT 2019, son documentos disefiados y creados por la empresa ISACA con el objetivo de proponer, guias, pasos, actividades, niveles, recomendaciones, estandares para un tener gobierno de TI, en total son 4 manuales que desarrollé ISACA con el propésito de ayudar a las empresas a gestionar de una mejor manera los problemas tecnolégicos, financieros, seguridad, clientes, procesos, recursos, etc., COBIT se usa para todo tipo de empresa 48,4. REFERENCIAS BIBLOGRAFICAS. [1] A. Ishlahuddin, P. Handayani, K. Hammi and F. Azzahro. “Analysing IT Governance Maturity Level using COBIT 2019 Framework: A Case Study of Small Size Higher Education Institute (XYZ-edu)", in 3rd International Conference on Computer and Informatics Engineering (IC2IE), 2020, pp. 2-6 [2] |. Horvath, “The Evolution of COBIT 2019 from COBIT 5”. Internet httos:/[Link]/bloa/cobit-2019/, Oct. 13, 2021 [Nov. 16,2021] [3] D. Stouperaert. "COBIT 2019: A SIGNIFICANT UPDATE”, EDPACS, vol.59, pp. 2-5, Mar. 2019, [4] K. Youssfi, J. Boutahar and S. Elghazi, “IT GOVERNANCE IMPLEMENTATION: A TOOL DESIGN OF COBIT 5 ROADMAP’, in Architectures and system team, LISER laboratory ENSEM, 2014, pp. 2-4 [5] C. Medina, R. Vazquez, “Aplicacién de Cobit 5.0 en el Disefio de un Gobierno y Gestién de TI para el Centro de Educacién Continua” Ingenieria Tesis, Escuela Politécnica Nacional, Quito, 2015, pp 14-26 [6] ISACA, COBIT®5 Un Marco de Negocio para el Gobierno y la Gestién de las TI de la Empresa, Rolling Meadows, USA: 2012, pp 17-32 [7] C. Alcocer, E. Larco, “Acoplamiento de Cobit e Itil para Empresas de Seguridad y Vigilancia que tienen implementada la Norma ISO 9001:2008" Magister Tesis, Escuela Politécnica Nacional, Quito, 2013, pp 39-47. [8] ISACA, COBIT®S Procesos Catalizadores, Rolling Meadows, USA: 2012, pp 30-32 [9] ISACA, COBIT® 2019 FRAMEWORK: INTRODUCTION & METHODOLOGY, ‘Schaumburg, USA: 2019, pp 11-42 [10] K. Harisaiprasad, “COBIT 2019 and COBIT 5 Comparison”. Internet: https:/[Link]/resources/news-and-trends/industry-news/2020/cobit-2019-and- cobit-5-comparison, Abr. 27, 2020 [Nov. 14,2021] [11] P. Gallagher. *COBIT 5 vs. COBIT 2019". _ Internet: [Link] Jun. 1, 2020 [Nov. 29,2021] [12] | Khan. “COBIT 5 vs. ~— COBIT_—-2019"._ Internet httos:/[Link]/blog/cobit-5-vs-cobit-2019/, Ene. 10, 2020 [Nov. 28,2021], [13] M. Magalhaes. “COBIT 2019: AN EFFECTIVE GOVERNANCE FRAMEWORK FOR IT PROS". Internet: httos:/www_businessbeam.com/blog/cobit-5-vs-cobit-2019/, Oct. 17, 2019 (Dic. 01,2021}. [14] Rendicién de Cuentas 2020. Sucre Instituto Superior Tecnolégico., 2020 [Online] Available: _http:/[Link]/page/img/banner/RRCC%[Link] Accessed on: Dic. 24, 2021 [15] Sucre Instituto Superior Tecnolégico. ESTATUTO DEL INSTITUTO SUPERIOR UNIVERSITARIO SUCRE. Version 1.0 Quito. 49[16] Informe de Gestién 2018. Sucre Instituto Superior Tecnolégico., 2018 [Online] Available: [Link] 2018%[Link] Accessed on: Ene. 09, 2022 [17] Sucre Instituto Superior Tecnolégico. PLAN ESTRATEGICO DE DESARROLLO INSTITUCIONAL 2021-2025. Quito. [18] Sucre Instituto Superior Tecnolégico. ANEXO 5 HARDWARE, SOFTWARE Y REDES. Quito [19] D. Banegas, A. Zapata. “Como aprovechar COBIT 2019 para afrontar el reto de transformacién digital en las Pymes'. Internet: htips://[Link]/2020/08/28/paper- como-aprovechar-cobit-2019-para-afrontar-el-reto-de-transformacion-digital-en-las- pymes/ , Nov. 28, 2020 [Dic. 27, 2021] [20] IT Service. “COBIT Alinear TI con las metas empresariales’. Intern httos:/[Link]/watch?v=sXqZ_463HWQ&ab_channel=ITService, Feb. 23, 2017 (Dic. 26, 2021), [21] M. Gordillo, “Propuesta de modelo de referencia para la optimizacién de procesos de gestién de tecnologias de la informacién para pymes que proveen servicios integrados de telecomunicaciones, aplicado a la empresa integral data s.a.” Magister Tesis, Escuela Politécnica Nacional, Quito, 2016, pp 61-63. [22] ISACA, COBIT® 2019 FRAMEWORK: GOVERNANCE AND MANAGEMENT OBJECTIVES, Schaumburg, USA: 2019, pp 27-271 [23] J. Ortega. “Propuesta de Mejora de los Procesos: Gestién de Peticiones e Incidentes de Servicio y Gestion de Problemas para el Departamento de TI de una Compafiia Naviera” Licenciatura Tesis, Tecnolégico de Costa Rica, Cartago, 2020, pp 42-52. [24] L. Farias. "IMPLEMENTACION EN LA PONTIFICIA UNIVERSIDAD CATOLICA SEDE ESMERALDAS DEL PROCESO DE ADMINISTRACION DE CONOCIMIENTO: BASADO EN COBIT" Ingenieria Tes Pontifica Univer id Catdlica del Ecuador, Esmeraldas, 2020, pp 10-22. [25] E. Llerena. “Disefio de un Modelo de TI aplicando Cobit 5 para PYMES en Quito- Ecuador" Ingeniera Tesis, Universidad Central del Ecuador, Quito, 2018, pp 74-125. [26] A. Mercedes, “Médulo: Gobernabilidad de TI,” Universidad Ecotec, Ecuador, Ene. 09, 2022. [Online]. Available: httos:/[Link],[Link]/material/material 2018X1_COM531_01_125639.pdf [27] L. Gorgona. “Construyendo un modelo de madurez para COBIT 2019 basado en MMI". Internet: [Link] journal/issues/2021/volume-6/building-a-maturity-model-for-cobit-2019-based-on-cmmi , Dic. 28, 2021 [Ene. 20, 2022] [28] F. Lopez, [Link]. "Implementacién de los procesos de Gobierno de COBIT 2019 en la Direccién de Tecnologias de la Informacién y Comunicaciones del Ejército del Ecuador” Magister Tesis, Universidad de las Fuerzas Armadas, Sangolqui, 2020, pp 139-140. [29] Klotz. M. IT-Compliance nach COBIT 2019. SIMAT Hochschule Stralsund: Stralsund Information Management Team (SIMAT), 2019, pp. 10-36. 50