E S P E UNIDAD DE GESTIÓN DE POSGRADOS ESCUELA POLITÉCNICA DEL EJÉRCITO UNIDAD DE GESTIÓN DE POSGRADOS PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GERENCIA DE SISTEMAS TITULO: Modelo de gestión de las Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones Policía Nacional, aplicando COBIT 4.1 Dominio Planificar y Organizar. + AUTORES: Ing. Gabriela Aldás S. Ing. Gonzalo Arias M. TUTOR: Ing. Carlos Procel. San Rafael 06 de Enero de 2016

INTRODUCCIÓN La Policía Nacional es una Institución fundamental dentro de la estructura del Estado Ecuatoriano, para el cumplimiento de su objetivo primordial de garantizar la seguridad de la ciudadanía, estipulada en el Art. 163 de la Constitución de la República. El Centro de Datos de la Dirección Nacional de Comunicaciones, tiene bajo su responsabilidad la administración y control de los diferentes sistemas informáticos y de comunicaciones policiales. En la primera parte del Proyecto “Diagnóstico de TI del Centro de Datos”, se concluyó que su gestión no puede garantizar la calidad en materia de seguridad y los servicios prestados a sus usuarios, lo cual justificó la elaboración del presente proyecto.

GENERALIDADES: INTRODUCCIÓN FUNDAMENTOS LEGALES Y REGLAMENTARIOS CONSTITUCIÓN DE LA REPÚBLICA OBJETIVOS Y PLANES NACIONALES (PLAN NACIONAL DEL BUEN VIVIR) GUBERNAMENTAL PLAN ESTRATÉGICO INSTITUCIONAL 2013-1017 Objetivo Estratégico 2: Incrementar la efectividad operativa de los servicios policiales MINISTERIAL LEY ORGÁNICA DE LA POLICÍA NACIONAL REGLAMENTO ORGÁNICO FUNCIONAL DE LA DIRECCIÓN NACIONAL DE COMUNICACIONES INSTITUCIONAL

PLANTEAMIENTO DEL PROBLEMA La Policía Nacional para el cumplimiento de su misión de seguridad ciudadana, depende en gran medida del uso de herramientas de TI, que se concentran en el CENTRO DE DATOS. La organización y la administración de TI no están basadas en normas y estándares de buenas prácticas, situación que es corroborada por los estudios y auditorias técnicas realizadas por entes de control del Estado y cuerpos colegiados de alto nivel como es el caso de la ESPE.

OBJETIVOS GENERAL Diseñar un modelo de gestión de Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones Policía Nacional, aplicando COBIT 4.1 Dominio Planificar y Organizar . ESPECÍFICOS Alineados a los procesos PO4 (Definir los Procesos, Organización y Relaciones de TI) y PO9 (Evaluar y Administrar los Riesgos de TI), se planteó: Definir la estructura organizacional. Establecer procesos de TI . Establecer roles y responsables. Establecer un Modelo de madurez. Establecer Mapas de control.

METODOLOGÍA DE LA INVESTIGACIÓN INVESTIGACIÓN EXPLORATORIA Es el estudio de un tema o caso del que no conocemos con precisión su estado actual y del que no se disponen datos referenciales. HERRAMIENTAS Entrevistas Recolección de evidencias Observación in situ Análisis de datos COBIT 4.1

MARCO DE TRABAJO COBIT COBIT 4.1 es un marco de control de gobierno de TI autorizado y aceptado internacionalmente para la adopción por parte de las organizaciones

MARCO DE TRABAJO COBIT Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. COBIT ha generado dominios para el gobierno de TI Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). PO Proporciona las soluciones y las pasa para convertirlas en servicios Recibe las soluciones y las hace utilizables por los usuarios finales DS AI Monitorear todos los procesos para asegurar que se sigue la dirección prevista ME

MODELO DE GESTIÓN DE TI PARA EL CENTRO DE DATOS Fundamentados en el marco de trabajo COBIT 4.1, el modelo de gestión que se propone está basado en DOMINIO PLANIFICAR Y ORGANIZAR (PO) PROCESOS PO4 Definir los Procesos, Organización y Relaciones de TI PO9 Evaluar y Administrar los Riesgos de TI Estos procesos contienen los fundamentos técnicos para alcanzar los objetivos propuestos en este proyecto.

MODELO DE GESTIÓN DE TI PARA EL CENTRO DE DATOS DEFINICIÓN DEL CENTRO DE DATOS Es el departamento técnico especializado donde se centraliza y administra la infraestructura tecnológica de los sistemas informáticos de la Policía Nacional, para alcanzar los objetivos de TI de la Dirección Nacional de Comunicaciones. OBJETIVO DEL CENTRO DE DATOS Administrar la infraestructura tecnológica de hardware y software, fundamentados en las mejores prácticas de TI, para garantizar la operatividad y efectividad de los sistemas informáticos de la Policía Nacional.

ESTRUCTURA ORGANIZACIONAL MODELO DE GESTIÓN ESTRUCTURA ORGANIZACIONAL JEFATURA REDES INFORMÁTICAS SERVIDORES SEGURIDADES Y ADMINISTRACIÓN DEL RIESGO GESTIÓN DE INCIDENTES RESPALDO DE LA INFORMACIÓN

MODELO DE GESTIÓN PROCESOS JEFATURA 11 responsabilidades

MODELO DE GESTIÓN PROCESOS SERVIDORES 12 responsabilidades

SEGURIDADES Y ADMINISTRACIÓN DE RIESGOS MODELO DE GESTIÓN PROCESOS SEGURIDADES Y ADMINISTRACIÓN DE RIESGOS 13 responsabilidades

MODELO DE GESTIÓN PROCESOS GESTIÓN INCIDENTES 4 Responsabilidades

RESPALDO DE INFORMACIÓN MODELO DE GESTIÓN PROCESOS RESPALDO DE INFORMACIÓN 5 Responsabilidades

MODELO DE GESTIÓN PROCESOS REDES INFORMATICAS 12 responsabilidades ACTUAL

Nivel de madurez 4 MODELO DE GESTIÓN MODELO DE MADUREZ 4 3 2 1 5 No existente Inicial / Ad hoc Repetible pero intuitivo Proceso Definido Administrado y Medible Optimizado 4 3 2 1 5 Objetivo propuesto para el Centro de Datos Estado actual del Centro de Datos

Nivel de Madurez 2: Repetible pero intuitivo MODELO DE GESTIÓN MODELO DE MADUREZ ACTUAL Nivel de Madurez 2: Repetible pero intuitivo La función de TI está organizada para responder de forma táctica aunque de forma inconsistente, a las necesidades de los usuarios y proveedores. La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores.

Nivel de Madurez 4: Administrado y Medible MODELO DE GESTIÓN MODELO DE MADUREZ PROPUESTO Nivel de Madurez 4: Administrado y Medible La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. Se han aplicado buenas prácticas internas en la organización de las funciones de TI. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con sus procesos estratégicos en lugar de estar alineados con tecnologías aisladas

MODELO DE GESTIÓN MAPAS DE CONTROL Definimos que los mapas de control son herramientas gráficas, que permite visualizar quién debe rendir cuentas, a quién se debe consultar e informar dentro de un marco de trabajo organizacional estándar, lo que en el marco de control COBIT se determina como Matriz RACI.

MODELO DE GESTIÓN MAPAS DE CONTROL

CONCLUSIONES Se diseñó un modelo de gestión de las Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones, aplicando COBIT 4.1 Dominio Planificar y Organizar , el mismo que contempla: La estructura organizacional con fundamento en el marco de trabajo COBIT, es decir orientada a negocios, procesos y basada en controles. Procesos alineados a las mejores prácticas de TI, concordantes a la estructura organizacional propuesta. Roles y responsabilidades para cada uno de los procesos, identificando quien y que actividad se debe realizar.

CONCLUSIONES Un modelo de madurez para la gestión de TI del Centro de Datos de nivel 4 “Administrado”. Esté nivel de madurez garantizará la calidad de la gestión de TI del Centro de Datos. Mapas de control que permitirán visualizar los roles y responsabilidades para controlar y asegurar que los objetivos del Centro de Datos se cumplan y los eventos no deseados se prevengan, se detecten y corrijan.

RECOMENDACIONES La implementación de éste modelo de gestión deberá ser analizado y aprobado por el nivel Gerencial de la Dirección Nacional de Comunicaciones para su trámite legal ante las instancias superiores, ya que se está creando unidades técnico operativas que necesitan ser incorporadas en el Reglamento Orgánico Funcional de la DNC. Para la asignación de roles y responsabilidades del personal del Centro de Datos; es necesaria la evaluación del personal técnico existente, y la selección de nuevo personal que cuente con el perfil idóneo para cubrir los requerimientos de los procesos planteados.

RECOMENDACIONES Para alcanzar el nivel de madurez propuesto será necesario ejecutar las recomendaciones anteriores y mantener un control permanente al cumplimiento de los objetivos de control propuestos. Los mapas de control deben ser permanentemente supervisados y actualizados con la finalidad de que las estructuras, procesos, roles y responsabilidades alcancen los objetivos del Centro de Datos.

GRACIAS....

ROLES Y RESPONSABILIDADES JEFATURA ROL RESPONSABILIDADES Jefe Administrar los servicios, las herramientas, los servidores y equipos de informática y comunicaciones del Centro de Datos. Realizar reuniones de trabajo con los responsables de las secciones a fin de revisar la calidad y eficiencia de los servicios brindados. Solicitar la desiginación de personal técnico policial permanente para la operatividad adecuada del Centro de Datos. Proponer procedimientos para conservar la integridad y garantizar la confidencialidad de la información que se encuentra en el Centro de Datos.

ROLES Y RESPONSABILIDADES REDES INFORMÁTICAS ROL RESPONSABILIDADES ADMINISTRADOR DE REDES Cumplir con los procedimientos de administración, control y mantenimiento de toda la infraestructura de redes. Administrar las claves de la cuentas de usuario root y administrador de los equipos que administra Elaborar el plan de contingencia para mantener la continuidad del Centro de Datos.

ROLES Y RESPONSABILIDADES SERVIDORES ROL RESPONSABILIDADES ADMINISTRADOR DE SERVIDORES Cumplir con los procedimientos de administración, control y mantenimiento de servidores Mantener actualizado el inventario de los servidores tanto de hardware como de software (Sistema operativo, licencias, utilitarios y demás) Documentar los procesos y procedimientos sobre la administración de servidores.

ROLES Y RESPONSABILIDADES SEGURIDADES Y ADMINISTRACIÓN DE RIESGOS ROL RESPONSABILIDADES OFICIAL DE SEGURIDAD Y RIESGOS Definir e implementar políticas de Seguridad Informática basadas en las buenas prácticas. Elaborar las políticas de seguridad del uso de la información. Elaborar el plan de contingencia que permita mantener la continuidad del negocio del Centro de datos en el caso de desastres. Elaborar y ejecutar el Plan de gestión de riesgos.

ROLES Y RESPONSABILIDADES GESTIÓN DE INCIDENTES ROL RESPONSABILIDADES ENCARGADO DE GESTIÓN DE INCIDENTES Cumplir con los procedimientos de atención al usuario. Atender los requerimientos de los Subadministradores de las Unidades Policiales y escalarlos al sección correspondiente. Registrar y monitorear las llamadas, incidentes, solicitudes de servicio y necesidades de información.

ROLES Y RESPONSABILIDADES RESPALDO DE LA INFORMACIÓN ROL RESPONSABILIDADES ADMINISTRADOR DE RESPALDOS Obtener y almacenar los respaldos de la información, bases de datos, contraseñas, sistemas operativos, software base y todo archivo necesario para el normal funcionamiento de las actividades. Documentar los procesos y procedimientos de la administración de respaldos. Cumplir las normas y procedimientos de seguridad y salud ocupacional del personal que labora en la administración de respaldos.

NO EXISTE DESIGNACIÓN OFICIAL PARA ESTA SECCIÓN MODELO DE GESTIÓN PROCESOS INICIO RECIBIR DISPOSICIONES PARA EJECUTAR ACCIONES EJECUTAR ACCIONES TÉCNICAS FIN REDES INFORMÁTICAS NO EXISTE DESIGNACIÓN OFICIAL PARA ESTA SECCIÓN