ESPE ESCUELA POLITCNICA DEL EJRCITO UNIDAD DE GESTIN

ESPE ESCUELA POLITÉCNICA DEL EJÉRCITO UNIDAD DE GESTIÓN DE POSGRADOS PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GERENCIA DE SISTEMAS TITULO: Modelo de gestión de las Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones Policía Nacional, aplicando COBIT 4. 1 Dominio Planificar y Organizar. AUTORES: Ing. Gabriela Aldás S. Ing. Gonzalo Arias M. TUTOR: Ing. Carlos Procel. San Rafael 06 de Enero de 2016

INTRODUCCIÓN • La Policía Nacional es una Institución fundamental dentro de la estructura del Estado Ecuatoriano, para el cumplimiento de su objetivo primordial de garantizar la seguridad de la ciudadanía, estipulada en el Art. 163 de la Constitución de la República. • El Centro de Datos de la Dirección Nacional de Comunicaciones, tiene bajo su responsabilidad la administración y control de los diferentes sistemas informáticos y de comunicaciones policiales. • En la primera parte del Proyecto “Diagnóstico de TI del Centro de Datos”, se concluyó que su gestión no puede garantizar la calidad en materia de seguridad y los servicios prestados a sus usuarios, lo cual justificó la elaboración del presente proyecto.

BERNAMENTAL MINISTERIAL STITUCIONAL GENERALIDADES: INTRODUCCIÓN FUNDAMENTOS LEGALES Y REGLAMENTARIOS • CONSTITUCIÓN DE LA REPÚBLICA • OBJETIVOS Y PLANES NACIONALES (PLAN NACIONAL DEL BUEN VIVIR) • PLAN ESTRATÉGICO INSTITUCIONAL 2013 -1017 • Objetivo Estratégico 2: Incrementar la efectividad operativa de los servicios policiales • LEY ORGÁNICA DE LA POLICÍA NACIONAL • REGLAMENTO ORGÁNICO FUNCIONAL DE LA DIRECCIÓN NACIONAL DE COMUNICACIONES

PLANTEAMIENTO DEL PROBLEMA • La Policía Nacional para el cumplimiento de su misión de seguridad ciudadana, depende en gran medida del uso de herramientas de TI, que se concentran en el CENTRO DE DATOS. • La organización y la administración de TI no están basadas en normas y estándares de buenas prácticas, situación que es corroborada por los estudios y auditorias técnicas realizadas por entes de control del Estado y cuerpos colegiados de alto nivel como es el caso de la ESPE.

OBJETIVOS GENERAL • Diseñar un modelo de gestión de Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones Policía Nacional, aplicando COBIT 4. 1 Dominio Planificar y Organizar. ESPECÍFICOS Alineados a los procesos PO 4 (Definir los Procesos, Organización y Relaciones de TI) y PO 9 (Evaluar y Administrar los Riesgos de TI), se planteó: • Definir la estructura organizacional. • Establecer procesos de TI. • Establecer roles y responsables. • Establecer un Modelo de madurez. • Establecer Mapas de control.

METODOLOGÍA DE LA INVESTIGACIÓN EXPLORATORIA Es el estudio de un tema o caso del que no conocemos con precisión su estado actual y del que no se disponen datos referenciales. HERRAMIENTAS Entrevistas Recolección de evidencias Análisis de datos Observación in situ COBIT 4. 1

MARCO DE TRABAJO COBIT 4. 1 es un marco de control de gobierno de TI autorizado y aceptado internacionalmente para la adopción por parte de las organizaciones

MARCO DE TRABAJO COBIT Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. COBIT ha generado dominios para el gobierno de TI Proporciona dirección para la entrega de PO soluciones (AI) y la entrega de servicio (DS). Proporciona las soluciones y las pasa para convertirlas en servicios DS AI ME Monitorear todos los procesos para asegurar que se sigue la dirección prevista Recibe las soluciones y las hace utilizables por los usuarios finales

MODELO DE GESTIÓN DE TI PARA EL CENTRO DE DATOS Fundamentados en el marco de trabajo COBIT 4. 1, el modelo de gestión que se propone está basado en DOMINIO PLANIFICAR Y ORGANIZAR (PO) PROCESOS • PO 4 Definir los Procesos, Organización y Relaciones de TI • PO 9 Evaluar y Administrar los Riesgos de TI Estos procesos contienen los fundamentos técnicos para alcanzar los objetivos propuestos en este proyecto.

MODELO DE GESTIÓN DE TI PARA EL CENTRO DE DATOS DEFINICIÓN DEL CENTRO DE DATOS Es el departamento técnico especializado donde se centraliza y administra la infraestructura tecnológica de los sistemas informáticos de la Policía Nacional, para alcanzar los objetivos de TI de la Dirección Nacional de Comunicaciones. OBJETIVO DEL CENTRO DE DATOS Administrar la infraestructura tecnológica de hardware y software, fundamentados en las mejores prácticas de TI, para garantizar la operatividad y efectividad de los sistemas informáticos de la Policía Nacional.

MODELO DE GESTIÓN ESTRUCTURA ORGANIZACIONAL JEFATURA REDES INFORMÁTICAS SERVIDORES SEGURIDADES Y ADMINISTRACIÓN DEL RIESGO GESTIÓN DE INCIDENTES RESPALDO DE LA INFORMACIÓN

MODELO DE GESTIÓN PROCESOS JEFATURA 11 responsabilidades

MODELO DE GESTIÓN PROCESOS SERVIDORES 12 responsabilidades

MODELO DE GESTIÓN PROCESOS SEGURIDADES Y ADMINISTRACIÓN DE RIESGOS 13 responsabilidades

MODELO DE GESTIÓN PROCESOS GESTIÓN INCIDENTES 4 Responsabilidades

MODELO DE GESTIÓN PROCESOS RESPALDO DE INFORMACIÓN 5 Responsabilidades

MODELO DE GESTIÓN PROCESOS REDES INFORMATICAS 12 responsabilidades ACTUAL

MODELO DE GESTIÓN MODELO DE MADUREZ Nivel de madurez 4 No existente 0 Inicial / Ad hoc 1 Repetible pero intuitivo Proceso Definido 2 3 Estado actual del Centro de Datos Objetivo propuesto para el Centro de Datos Administrado y Medible 4 Optimizado 5

MODELO DE GESTIÓN MODELO DE MADUREZ ACTUAL Nivel de Madurez 2: Repetible pero intuitivo • La función de TI está organizada para responder de forma táctica aunque de forma inconsistente, a las necesidades de los usuarios y proveedores. • La necesidad de contar con una organización estructurada y una administración de proveedores se comunica, pero las decisiones todavía dependen del conocimiento y habilidades de individuos clave. • Surgen técnicas comunes para administrar la organización de TI y las relaciones con los proveedores.

MODELO DE GESTIÓN MODELO DE MADUREZ PROPUESTO Nivel de Madurez 4: Administrado y Medible • La organización de TI responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio. • La administración, la propiedad de procesos, la delegación y la responsabilidad de TI están definidas y balanceadas. • Se han aplicado buenas prácticas internas en la organización de las funciones de TI. • La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con sus procesos estratégicos en lugar de estar alineados con tecnologías aisladas

MODELO DE GESTIÓN MAPAS DE CONTROL • Definimos que los mapas de control son herramientas gráficas, que permite visualizar quién debe rendir cuentas, a quién se debe consultar e informar dentro de un marco de trabajo organizacional estándar, lo que en el marco de control COBIT se determina como Matriz RACI.

MODELO DE GESTIÓN MAPAS DE CONTROL

CONCLUSIONES Se diseñó un modelo de gestión de las Tecnologías de Información del Centro de Datos de la Dirección Nacional de Comunicaciones, aplicando COBIT 4. 1 Dominio Planificar y Organizar , el mismo que contempla: o La estructura organizacional con fundamento en el marco de trabajo COBIT, es decir orientada a negocios, procesos y basada en controles. o Procesos alineados a las mejores prácticas de TI, concordantes a la estructura organizacional propuesta. o Roles y responsabilidades para cada uno de los procesos, identificando quien y que actividad se debe realizar.

CONCLUSIONES o Un modelo de madurez para la gestión de TI del Centro de Datos de nivel 4 “Administrado”. Esté nivel de madurez garantizará la calidad de la gestión de TI del Centro de Datos. o Mapas de control que permitirán visualizar los roles y responsabilidades para controlar y asegurar que los objetivos del Centro de Datos se cumplan y los eventos no deseados se prevengan, se detecten y corrijan.

RECOMENDACIONES o La implementación de éste modelo de gestión deberá ser analizado y aprobado por el nivel Gerencial de la Dirección Nacional de Comunicaciones para su trámite legal ante las instancias superiores, ya que se está creando unidades técnico operativas que necesitan ser incorporadas en el Reglamento Orgánico Funcional de la DNC. o Para la asignación de roles y responsabilidades del personal del Centro de Datos; es necesaria la evaluación del personal técnico existente, y la selección de nuevo personal que cuente con el perfil idóneo para cubrir los requerimientos de los procesos planteados.

RECOMENDACIONES o Para alcanzar el nivel de madurez propuesto será necesario ejecutar las recomendaciones anteriores y mantener un control permanente al cumplimiento de los objetivos de control propuestos. o Los mapas de control deben ser permanentemente supervisados y actualizados con la finalidad de que las estructuras, procesos, roles y responsabilidades alcancen los objetivos del Centro de Datos.

GRACIAS. .

ROLES Y RESPONSABILIDADES JEFATURA ROL RESPONSABILIDADES Administrar los servicios, las herramientas, los servidores y equipos de informática y comunicaciones del Centro de Datos. Realizar reuniones de trabajo con los responsables de las secciones a fin de revisar la calidad y eficiencia de los servicios brindados. Jefe Solicitar la desiginación de personal técnico policial permanente para la operatividad adecuada del Centro de Datos. Proponer procedimientos para conservar la integridad y garantizar la confidencialidad de la información que se encuentra en el Centro de Datos.

ROLES Y RESPONSABILIDADES REDES INFORMÁTICAS ADMINISTRADOR DE REDES ROL RESPONSABILIDADES Cumplir con los procedimientos de administración, control y mantenimiento de toda la infraestructura de redes. Administrar las claves de la cuentas de usuario root y administrador de los equipos que administra Elaborar el plan de contingencia para mantener la continuidad del Centro de Datos.

ROLES Y RESPONSABILIDADES SERVIDORES ADMINISTRADOR DE SERVIDORES ROL RESPONSABILIDADES Cumplir con los procedimientos de administración, control y mantenimiento de servidores Mantener actualizado el inventario de los servidores tanto de hardware como de software (Sistema operativo, licencias, utilitarios y demás) Documentar los procesos y procedimientos sobre la administración de servidores.

ROLES Y RESPONSABILIDADES SEGURIDADES Y ADMINISTRACIÓN DE RIESGOS OFICIAL DE SEGURIDAD Y RIESGOS ROL RESPONSABILIDADES Definir e implementar políticas de Seguridad Informática basadas en las buenas prácticas. Elaborar las políticas de seguridad del uso de la información. Elaborar el plan de contingencia que permita mantener la continuidad del negocio del Centro de datos en el caso de desastres. Elaborar y ejecutar el Plan de gestión de riesgos.

ROLES Y RESPONSABILIDADES GESTIÓN DE INCIDENTES ENCARGADO DE GESTIÓN DE INCIDENTES ROL RESPONSABILIDADES Cumplir con los procedimientos de atención al usuario. Atender los requerimientos de los Subadministradores de las Unidades Policiales y escalarlos al sección correspondiente. Registrar y monitorear las llamadas, incidentes, solicitudes de servicio y necesidades de información.

ROLES Y RESPONSABILIDADES RESPALDO DE LA INFORMACIÓN ADMINISTRADOR DE RESPALDOS ROL RESPONSABILIDADES Obtener y almacenar los respaldos de la información, bases de datos, contraseñas, sistemas operativos, software base y todo archivo necesario para el normal funcionamiento de las actividades. Documentar los procesos y procedimientos de la administración de respaldos. Cumplir las normas y procedimientos de seguridad y salud ocupacional del personal que labora en la administración de respaldos.

MODELO DE GESTIÓN PROCESOS INICIO REDES INFORMÁTICAS RECIBIR DISPOSICIONES PARA EJECUTAR ACCIONES NO EXISTE DESIGNACIÓN OFICIAL PARA ESTA SECCIÓN EJECUTAR ACCIONES TÉCNICAS FIN